Informazioni sui cookies usati sul sito web
Usiamo i cookies sul nostro sito per migliorare le performances e il contenuto del sito. I cookies ci permettono di fornire una esperienza utente più accurata e canali social media.

Strategia per la resilienza dei soggetti critici

Proposte sui contenuti della Strategia nazionale per la resilienza dei soggetti critici, in attuazione e del decreto legislativo n.134/2024

Fase 2 di 2
Analisi dei contributi e pubblicazione report finale della consultazione 25/06/2025 - 30/06/2025
Fasi del processo Consulta gli esiti della consultazione

Approfondimenti: la resilienza dei soggetti critici

La Direttiva (UE) 2022/2557 del Parlamento Europeo e del Consiglio del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE, comunemente indicata come “Direttiva CER” (critical entities resilience), è entrata in vigore il 17 gennaio 2023 ed è stata recepita con il decreto legislativo 4 settembre 2024, n. 134

La Direttiva CER ruota attorno al concetto di “soggetto critico” nazionale e non più, come la Direttiva 114/2008, di “infrastruttura critica europea”. L’Annesso alla Direttiva precisa in quali settori e sotto-settori devono essere censiti i soggetti critici e ne specifica altresì la tipologia. Ai settori previsti dalla direttiva (energia, trasporti, banche, mercati finanziari, salute, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio, produzione, trasformazione e distribuzione di alimenti), l’Italia ne ha aggiunto uno ulteriore, quello delle acque irrigue, per un totale di 12 settori.

La Direttiva CER e il d.lgs. 134/2024 sono orientati alla resilienza e ne attribuiscono la responsabilità principalmente agli operatori. Per resilienza si intende “la capacità di un soggetto critico di prevenire, attenuare, assorbire un incidente, di proteggersi da esso, di rispondervi, di resistervi, di adattarvisi e di ripristinare le proprie capacità operative”.

La procedura di identificazione dei soggetti critici presuppone che sia effettuata una valutazione di tutti i rischi pertinenti che possono incidere sulla fornitura di servizi essenziali (rischi naturali e di origine umana, compresi gli incidenti, le catastrofi naturali, le emergenze sanitarie, le minacce antagoniste, i reati terroristici). Occorre poi chiedersi se il soggetto assicuri un servizio essenziale, se operi sul territorio nazionale e se l’interruzione del servizio avrebbe ripercussioni negative rilevanti. In mancanza di tutte e tre queste condizioni il soggetto non può essere definito critico e la sua resilienza non rientra nell’ambito di applicazione della direttiva.

I soggetti critici sono responsabili della propria resilienza e devono adottare misure appropriate quali misure di riduzione del rischio di catastrofi e di adattamento al clima, un'adeguata protezione fisica delle aree sensibili, degli impianti e di altre infrastrutture, procedure e protocolli di gestione dei rischi, definizione delle categorie di personale che esercitano funzioni critiche, da sottoporre anche a un controllo dei precedenti penali e di servizio.

Un aspetto essenziale è che la Direttiva e il d. lgs. 134/2024 sono orientati alla resilienza unicamente rispetto a eventi, di origine naturale o antropica (terrorismo, criminalità, ma anche imperizia), che incidono sulla dimensione “fisica” delle infrastrutture, mentre la dimensione cibernetica è oggetto di normativa specifica. Tuttavia, per tre settori particolari, quello bancario, quello delle infrastrutture dei mercati finanziari e quello delle infrastrutture digitali, la Direttiva e il d. lgs. 134/2024 si applicano solo in modo parziale poiché le concrete misure di resilienza, la notifica degli incidenti, le attività di vigilanza e di esecuzione da parte delle autorità pubbliche sono disciplinate da atti normativi settoriali (Regolamento UE del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario - cd. Regolamento DORA, e Direttiva UE del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell'Unione - cd. Direttiva NIS 2, recepita con il d. lgs. 4 settembre 2024, n. 138).

In materia di governance, il d. lgs. 134/2024 attribuisce l’alta direzione e la responsabilità generale delle politiche di resilienza al Presidente del Consiglio dei ministri, cui affianca un comitato interministeriale ad hoc, il Comitato Interministeriale per la Resilienza – CIR. Il decreto individua inoltre le Autorità Settoriali Competenti – ASC, responsabili della sua corretta applicazione, e il Punto di Contatto Unico – PCU, chiamato ad esercitare una attività di coordinamento a livello nazionale e a svolgere una funzione di collegamento per garantire la cooperazione transfrontaliera con le autorità competenti di altri Stati membri e con la Commissione Europea. Le ASC sono sette (Ministero dell’ambiente e della sicurezza energetica, Ministero delle infrastrutture e dei trasporti, Ministero dell’economia e delle finanze, Ministero della salute, Ministero dell’agricoltura, della sovranità alimentare e delle foreste, Presidenza del Consiglio dei ministri, Agenzia per la cybersicurezza nazionale) e alcune tra loro sono responsabili per più di un settore. Il Punto di Contatto Unico è istituito in seno alla Presidenza del Consiglio dei ministri.

Devi abilitare tutti i cookies per vedere questo contenuto.

Cambia i settaggi cookies