La Direttiva (UE) 2022/2557, anche conosciuta come CER (Critical Entities Resilience), si inserisce in un contesto caratterizzato da una crescente centralità delle infrastrutture critiche nella nostra società, nella quale i fornitori di servizi essenziali, ossia i soggetti critici, svolgono un ruolo fondamentale per il sostentamento delle funzioni sociali basilari. La trasformazione socioeconomica avvenuta durante gli ultimi anni, trainata dal rapido sviluppo delle tecnologie digitali, ha ridisegnato l’intero panorama dei servizi essenziali del mercato interno dell’Unione, da cui è emerso come fattore di maggior rilevanza l’elevata interdipendenza tra le infrastrutture critiche. La centralità di tale fattore ha reso necessario l’intervento da parte del legislatore europeo volto a definire un quadro normativo che miri a rafforzare la resilienza dei fornitori di servizi essenziali tramite un’armonizzazione generale della normativa.
Il flusso delle operazioni transfrontaliere si estende su una rete di fornitura di servizi che salda le infrastrutture essenziali di tutta l’Unione nei settori dell’energia, dei trasporti, bancario, delle acque potabili, delle acque reflue, della produzione, trasformazione e distribuzione di alimenti, della sanità, dello spazio, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, e di determinati aspetti della pubblica amministrazione. A proposito dei settori, il 25 luglio 2023 la Commissione europea ha approvato il Regolamento delegato (UE) 2023/2450 che integra la Direttiva CER 2022/2557, il quale elenca in maniera esaustiva i servizi essenziali nei settori e sottosettori, a esempio, al settore energia corrispondono i sottosettori dell’energia elettrica, del teleriscaldamento e teleraffrescamento, del petrolio, del gas.
Dunque, la Direttiva CER abbraccia tutti i settori dell’economia al fine di creare un sistema di resilienza condiviso dai vari soggetti critici allineando tutti i settori alle varie caratteristiche dei rischi, quali di origine naturale o antropica e se accidentali o intenzionali.
Nell’ambito delle disposizioni principali, la direttiva introduce obblighi specifici per gli Stati membri e per i soggetti critici identificati: strategia nazionale ed approccio basato sul rischio.
La strategia dovrà definire gli obiettivi e le misure strategici per il conseguimento di elevati standard di resilienza.
Complementare alla strategia nazionale, in quanto è parte fondante per l’implementazione delle misure di sicurezza per la resilienza, è l’adozione di un approccio basato sul rischio. Con questa metodologia cambia la prospettiva di conformità delle politiche di governance dei soggetti critici, la quale passa da un approccio prescrittivo statico ad uno prospettivo dinamico che consenta una valutazione dei rischi in linea con lo sviluppo delle minacce e dei relativi impatti.
È importante ricordare che questo approccio di valutazione basato sul rischio è impiegato anche nella Direttiva (UE) 2022/2555 “NIS 2” relativa alla sicurezza informatica, in particolare all’articolo 21 “misure di gestione dei rischi di cibersicurezza”.
La Direttiva (UE) 2022/2557 segna pertanto un punto di svolta nella gestione della sicurezza e della resilienza delle infrastrutture critiche all’interno dell’Unione Europea. Non si limita a un mero adeguamento normativo, ma rappresenta altresì una rivoluzione concettuale del ruolo assunto dalle infrastrutture critiche nazionali ed europee all’interno dell’Unione. Il potenziale di questa Direttiva risiede nella sua visione olistica e integrata della resilienza, la quale adotta un approccio intersettoriale che sconfina i vecchi concetti statici che segmentavano in compartimenti a sé stanti i settori delle infrastrutture critiche.