Direttiva CER: rafforzata la resilienza dei soggetti critici
Il Consiglio dei ministri, su proposta su proposta del Presidente Giorgia Meloni, e del Ministro per gli Affari europei, il Sud, le politiche di coesione e il Pnrr, Raffaele Fitto, ha approvato un decreto legislativo relativo al recepimento della direttiva (UE) 2022/2557 relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio.
Il decreto viene adottato per il recepimento della direttiva (UE) 2022/2557 concernente la resilienza dei soggetti critici (direttiva CER – “Critical entities resilience”), che abroga la direttiva 2008/114/CE del Consiglio, e nel rispetto dei criteri di delega di cui all’articolo 5 della legge 21 febbraio 2024, n. 15 (legge di delegazione europea 2022-2023).
Con la direttiva CER si interviene al fine di:
- realizzare un adeguato livello di armonizzazione nell’individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici;
- rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali.
A tal fine, il decreto: individua i c.d. soggetti critici almeno nei seguenti settori: energia, trasporti, bancario, acque potabili, acque reflue, produzione, trasformazione e distribuzione di alimenti, salute, spazio, infrastrutture dei mercati finanziari e infrastrutture digitali, nonché enti della pubblica amministrazione; stabilisce che gli stessi soggetti critici dovranno effettuare una valutazione del rischio, adottare misure tecniche, di sicurezza e organizzative, adeguate e proporzionate per garantire la propria resilienza, ripristinare le proprie capacità operative in caso di incidenti; notificare senza indebito ritardo all’autorità competente gli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali; prevede l’adozione di una «strategia»; regola le modalità di individuazione dei soggetti critici di particolare rilevanza a livello europeo; contiene misure volte a consentire di reagire rapidamente e adeguatamente agli incidenti (di carattere fisico); stabilisce procedure comuni di cooperazione e comunicazione sull’applicazione della direttiva (in particolare deve essere assicurato il coordinamento con la normativa in materia di sicurezza cibernetica di cui alla direttiva NIS2); esclude dall’ambito di applicazione gli enti della pubblica amministrazione che operano nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati, ai quali non si applica il presente decreto; prevede la possibilità di escludere specifici soggetti critici che svolgono attività di tali settori ovvero che forniscono servizi esclusivamente agli enti della pubblica citati.