Resilienza dei soggetti critici: attuata la direttiva CER con il decreto legislativo n. 134/2024

È stato pubblicato sulla Gazzetta Ufficiale n. 223 del 23 settembre 2024 il decreto legislativo n. 134/2024, che recepisce la direttiva europea 2022/557 sulla resilienza dei soggetti critici (CER – Critical Entities Resilience). Questa normativa segna un importante passo avanti nella protezione dei soggetti pubblici e privati che forniscono servizi essenziali per la società.

L’obiettivo della direttiva CER è garantire che questi soggetti critici siano in grado di prevenire, gestire e riprendersi da incidenti che potrebbero interrompere i servizi essenziali che offrono. La nuova disciplina amplia l’ambito di applicazione rispetto alla precedente direttiva 2008/114/CE, includendo settori chiave come l’energia, la produzione di alimenti, il settore bancario, la salute, l’acqua e i mercati digitali. Questo aggiornamento è fondamentale per rafforzare la resilienza di settori vitali che svolgono un ruolo cruciale nel garantire la continuità delle funzioni fondamentali della società.

Settori coinvolti e nuove responsabilità La direttiva CER riconosce come critici numerosi settori che vanno ben oltre i trasporti e l’energia, precedentemente considerati nell’ambito delle infrastrutture critiche. L’elenco dei soggetti critici include ora anche fornitori di servizi cloud, reti di comunicazione elettronica, data center e alcuni enti della pubblica amministrazione. La loro identificazione avverrà sulla base di parametri specifici, come il numero di utenti serviti, l’impatto geografico e il potenziale effetto di un’interruzione dei servizi sull’economia e la società.

Con questo nuovo quadro normativo, i soggetti critici devono adottare misure che li rendano in grado di “prevenire, proteggere, rispondere, mitigare e ripristinare le proprie capacità operative” in caso di incidenti che possano perturbare la fornitura di servizi essenziali.

Il decreto attuativo Il decreto attuativo attribuisce al Presidente del Consiglio la responsabilità di elaborare la strategia nazionale per la resilienza dei soggetti critici entro luglio 2025. La strategia dovrà indicare gli obiettivi principali, le priorità e le modalità con cui i soggetti critici verranno sostenuti. Inoltre, la Presidenza del Consiglio coordinerà due nuovi organismi: il Comitato Interministeriale per la Resilienza (CIR), che si occuperà di indirizzare le politiche di resilienza, e il Punto di Contatto Unico (PCU), che garantirà il collegamento con la Commissione europea e la cooperazione internazionale.

Le autorità settoriali competenti (ASC), come il Ministero dell’Ambiente e della Sicurezza Energetica, il Ministero delle Infrastrutture e dei Trasporti, e il Ministero della Salute, avranno il compito di vigilare sull’attuazione delle misure di resilienza nei settori di loro competenza.

Il ruolo del Garante per la protezione dei dati personali Uno degli aspetti più delicati riguarda la protezione dei dati personali. Il Garante per la protezione dei dati personali ha espresso pareri durante l’iter legislativo, chiedendo chiarimenti su come i soggetti critici potranno richiedere certificati del casellario giudiziale europeo per i ruoli sensibili legati alla resilienza. Il Garante ha inoltre raccomandato l’integrazione delle misure previste dal GDPR in caso di violazioni dei dati personali.

---

LEGGI ANCHE