INFORMATION TECHNOLOGY
Pubblicato il D.lgs. 4 settembre 2024, n. 134 recante «Attuazione della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici”.
Con la Direttiva (UE) 2022/2557 (Direttiva CER) si interviene per:
realizzare un adeguato livello di armonizzazione nell'individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici;
rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali.
Soggetto critico: un soggetto pubblico o privato individuato nell'ambito delle categorie di soggetti che operano nei settori e sottosettori di cui all'allegato A del presente provvedimento. I soggetti critici sono individuati almeno nei seguenti settori:
• energia;
• trasporti;
• bancario;
• infrastrutture dei mercati finanziari;
• salute;
• acqua potabile;
• acque reflue;
• Infrastrutture digitali;
• spazio;
• produzione, trasformazione e distribuzione di alimenti;
• enti della pubblica amministrazione.
Nello specifico, il D.lgs. n. 134/2024 stabilisce:
Misure di resilienza dei soggetti critici.
I soggetti critici dovranno adottare e applicare misure tecniche, di sicurezza e di organizzazione, adeguate e proporzionate, per garantire la propria resilienza, sulla base delle informazioni pertinenti fornite in merito alla valutazione del rischio dello Stato, messe a disposizione dal PCU.
Il punto di contatto unico (PCU), istituito nell'ambito della Presidenza del Consiglio dei Ministri, al esercita le funzioni di:
o assicurare il collegamento con la Commissione europea e la cooperazione con i Paesi terzi;
o coordinare le attività di sostegno ai soggetti critici nel rafforzamento della loro resilienza;
o ricevere, da parte dei soggetti critici, contestualmente alle autorità competenti, le notifiche degli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali;
o promuovere le attività di ricerca e formazione in materia di resilienza delle infrastrutture critiche;
o coordinare l'attività delle autorità competenti.
Nello specifico, è prevista:
realizzare un adeguato livello di armonizzazione nell'individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici;
rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali.
Soggetto critico: un soggetto pubblico o privato individuato nell'ambito delle categorie di soggetti che operano nei settori e sottosettori di cui all'allegato A del presente provvedimento. I soggetti critici sono individuati almeno nei seguenti settori:
• energia;
• trasporti;
• bancario;
• infrastrutture dei mercati finanziari;
• salute;
• acqua potabile;
• acque reflue;
• Infrastrutture digitali;
• spazio;
• produzione, trasformazione e distribuzione di alimenti;
• enti della pubblica amministrazione.
Nello specifico, il D.lgs. n. 134/2024 stabilisce:
- misure volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società, di attività economiche, della salute e della sicurezza pubbliche o dell'ambiente siano forniti senza impedimenti nonché criteri per l'individuazione dei soggetti critici;
- obblighi per i soggetti critici, volti a rafforzarne la resilienza, fino al raggiungimento di un livello elevato, e a rafforzarne la capacità di fornire i servizi essenziali, nel mercato interno, al fine di migliorarne il funzionamento;
- misure per il sostegno nell'adempimento degli obblighi imposti ai soggetti critici;
- disposizioni riguardanti la vigilanza e l'irrogazione di sanzioni nei confronti dei soggetti critici;
- disposizioni riguardanti l'individuazione dei soggetti critici di particolare rilevanza europea e le missioni di consulenza della Commissione europea finalizzate a valutare le misure predisposte da tali soggetti per adempiere ai propri obblighi;
- disposizioni per la predisposizione della strategia nazionale per la resilienza dei soggetti critici;
- la disciplina della valutazione del rischio da parte dello Stato e della valutazione del rischio da parte dei soggetti critici;
- l'istituzione del Comitato interministeriale per la resilienza, nonché l'individuazione delle autorità settoriali competenti e del punto di contatto unico;
- le modalità di cooperazione con gli altri Stati membri e con la Commissione europea, inclusa la partecipazione nazionale al gruppo per la resilienza dei soggetti critici.
Misure di resilienza dei soggetti critici.
I soggetti critici dovranno adottare e applicare misure tecniche, di sicurezza e di organizzazione, adeguate e proporzionate, per garantire la propria resilienza, sulla base delle informazioni pertinenti fornite in merito alla valutazione del rischio dello Stato, messe a disposizione dal PCU.
Il punto di contatto unico (PCU), istituito nell'ambito della Presidenza del Consiglio dei Ministri, al esercita le funzioni di:
o assicurare il collegamento con la Commissione europea e la cooperazione con i Paesi terzi;
o coordinare le attività di sostegno ai soggetti critici nel rafforzamento della loro resilienza;
o ricevere, da parte dei soggetti critici, contestualmente alle autorità competenti, le notifiche degli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali;
o promuovere le attività di ricerca e formazione in materia di resilienza delle infrastrutture critiche;
o coordinare l'attività delle autorità competenti.
Nello specifico, è prevista:
- l'adozione di una strategia.
- una valutazione del rischio, con l'adozione di misure tecniche, di sicurezza e organizzative, adeguate e proporzionate per garantire la resilienza e ripristinare le capacità operative in caso di incidenti;
- il contrasto e il resistere alle conseguenze degli incidenti, nonché la loro mitigazione, anche considerando procedure e protocolli di gestione dei rischi e delle crisi, nonché pratiche di allerta;
- la notifica senza ritardo all'autorità competente degli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali;
