La normativa CER, introdotta a livello europeo con la Direttiva (UE) 2022/2557 e recepita nell’ordinamento italiano con il D. Lgs. 4 settembre 2024, n. 134, si inserisce nel più ampio processo di rafforzamento della resilienza delle infrastrutture e dei servizi essenziali nel mercato interno. Fondata sull’art. 114 TFUE, la disciplina mira a garantire la continuità delle funzioni vitali della società e dell’economia attraverso un modello regolatorio che supera la tradizionale logica di protezione statica dell’infrastruttura e adotta una prospettiva dinamica, orientata alla capacità del soggetto di prevenire, assorbire, gestire e ripristinare eventi perturbativi di natura fisica, naturale o ibrida.
L’obiettivo del presente contributo è quello di offrire una panoramica degli obblighi di conformità derivanti dalla normativa CER, con particolare attenzione alle attività che i soggetti individuati dalle Autorità sono chiamati a pianificare e integrare nei propri assetti organizzativi.
L’analisi si concentrerà, in chiave operativa, sulle implicazioni giuridiche e gestionali della disciplina, evidenziando la necessità di un processo continuo di valutazione del rischio, adeguamento organizzativo e responsabilizzazione interna.
Individuazione dei destinatari della normativa CER
Pe i destinatari della normativa CER, l’insorgenza degli obblighi di conformità è strettamente collegata al procedimento di individuazione del soggetto critico disciplinato dagli artt. 6 e 7 della Direttiva (UE) 2022/2557 e recepito, nell’ordinamento italiano, dagli artt. 8 e 9 del D. Lgs. 4 settembre 2024, n. 134.
In particolare, l’art. 8 del decreto affida alle Autorità Settoriali Competenti (ASC), sotto il coordinamento del Punto di contatto unico istituito ai sensi dell’art. 5, co. 5, il compito di individuare gli enti che forniscono servizi essenziali e la cui eventuale perturbazione produrrebbe effetti negativi rilevanti sulla continuità del servizio.
L’inclusione nell’elenco adottato con DPCM, ai sensi dell’art. 8, co. 4, non soggetto a pubblicazione e sottratto all’accesso, è seguita dalla notifica individuale al soggetto interessato; da tale momento decorre il termine di dieci mesi per l’applicazione degli obblighi di cui ai Capi III e IV del decreto (art. 8, co. 5).
La notifica è un atto amministrativo a effetti costitutivi, che determina l’assoggettamento dell’ente al regime speciale previsto dalla normativa CER, inclusi gli obblighi di valutazione del rischio (art. 13) e di adozione delle misure di resilienza (art. 14).
In termini operativi, la ricezione della comunicazione impone l’attivazione di un processo interno di adeguamento, volto a delimitare il perimetro dei servizi essenziali coinvolti, a mappare le infrastrutture e le risorse strategiche e a verificare le interdipendenze intersettoriali e transfrontaliere, in coerenza con i criteri di cui all’art. 9 del decreto.
In questa fase assume rilievo anche l’analisi delle catene di fornitura e dei rapporti contrattuali critici, poiché la responsabilità dell’ente, nel quadro della normativa CER, si estende alla capacità di garantire la continuità del servizio in presenza di vulnerabilità derivanti da soggetti terzi.
Normativa CER e assetto di governance: responsabilità dell’organo amministrativo e dei suoi componenti
Nel delineare gli obblighi a carico dei soggetti critici, la normativa CER presuppone un adeguamento sostanziale degli assetti organizzativi. Sebbene il D. Lgs. 134/2024 non introduca una figura autonoma di “responsabile della resilienza”, l’art. 14, co. 3, impone espressamente al soggetto critico di designare un referente per i rapporti con l’Autorità Settoriale Competente e con il Punto di contatto unico, configurando così un obbligo di formalizzazione interna delle responsabilità.
Tale previsione si inserisce in un più ampio quadro di accountability organizzativa, coerente con l’art. 13 della Direttiva (UE) 2022/2557, che richiede l’adozione di misure adeguate e proporzionate sulla base della valutazione del rischio.
Sul piano sistematico, l’adeguamento richiesto dalla normativa CER incide direttamente sulle responsabilità dell’organo amministrativo, il quale, ai sensi dell’art. 2086, co. 2, c.c., è tenuto a istituire assetti organizzativi, amministrativi e contabili adeguati alla natura e alle dimensioni dell’impresa.
L’inclusione nell’elenco dei soggetti critici comporta dunque la necessità di integrare tali assetti con procedure specifiche di gestione della resilienza, flussi informativi interni, meccanismi di reporting e protocolli di escalation in caso di incidente. In presenza di un Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001, si impone una verifica di coerenza tra il sistema di prevenzione dei reati e le nuove esigenze di continuità operativa e protezione delle infrastrutture.
Normativa CER e valutazione del rischio
Uno degli snodi centrali della normativa CER risiede nell’obbligo di effettuare una valutazione del rischio a carico del soggetto critico, previsto dall’art. 12 della Direttiva.
In base a tale disposizione, entro nove mesi dalla notifica di individuazione ai sensi dell’art. 8, co. 5, il soggetto è tenuto a svolgere una propria risk assessment, da aggiornare almeno ogni quattro anni, tenendo conto della valutazione del rischio nazionale elaborata ai sensi dell’art. 7 del decreto. La normativa CER impone che l’analisi consideri rischi naturali e di origine umana, minacce ibride, atti di sabotaggio o terrorismo, emergenze sanitarie e interdipendenze intersettoriali e transfrontaliere, secondo un approccio espressamente multi-rischio.
Sotto il profilo operativo, la valutazione del rischio non può risolversi in un documento meramente descrittivo, ma deve fondarsi su una mappatura puntuale dei servizi essenziali erogati, degli asset fisici e organizzativi coinvolti e delle catene di fornitura critiche.
L’art. 13, co. 2, del decreto consente di valorizzare valutazioni già effettuate ai sensi di normative settoriali, purché coerenti con le finalità della normativa CER; ciò impone un’attività di integrazione e armonizzazione con eventuali risk assessment predisposti ai sensi della disciplina di attuazione della Direttiva (UE) 2022/2555 (NIS 2) o di altre regolazioni speciali.
Normativa CER e misure di resilienza: protezione fisica, continuità operativa e gestione delle crisi
Per i destinatari della normativa CER, una volta effettuata la valutazione del rischio ai sensi dell’art. 13 del D. Lgs. 134/2024, si apre la parantesi dell’adozione di misure tecniche, organizzative e di sicurezza adeguate e proporzionate alla natura delle minacce individuate.
L’art. 13 della Direttiva (UE) 2022/2557 e il corrispondente art. 14 del decreto di recepimento stabiliscono che tali misure debbano essere finalizzate alla prevenzione degli incidenti, alla protezione fisica dei siti e delle infrastrutture critiche, alla gestione delle crisi e alla garanzia della continuità operativa. La normativa CER richiede – in sostanza – un presidio reattivo e la costruzione di un sistema integrato di resilienza, capace di assicurare la prosecuzione del servizio essenziale anche in presenza di eventi perturbativi significativi.
In termini applicativi, ciò comporta la revisione dei sistemi di controllo degli accessi, dei protocolli di sicurezza perimetrale e delle procedure di protezione delle infrastrutture sensibili.
Parallelamente, assume rilievo la predisposizione di piani di continuità operativa e di gestione delle crisi, che individuino ruoli, responsabilità, tempi di risposta e soluzioni alternative per il mantenimento dei servizi essenziali. L’art. 14, co. 4, prevede inoltre che le misure confluiscano in un piano di resilienza formalizzato e aggiornato almeno ogni tre anni, il quale costituisce il fulcro attraverso cui il soggetto critico dimostra la propria conformità alla normativa CER, anche in sede di vigilanza da parte delle Autorità competenti.
Normativa CER e misure di resilienza
La normativa CER, una volta effettuata la valutazione del rischio ai sensi dell’art. 13 del D. Lgs. 134/2024, impone al soggetto critico l’adozione di misure tecniche, organizzative e di sicurezza adeguate e proporzionate alla natura delle minacce individuate. L’art. 13 della Direttiva (UE) 2022/2557 e il corrispondente art. 14 del decreto di recepimento stabiliscono che tali misure debbano essere finalizzate alla prevenzione degli incidenti, alla protezione fisica dei siti e delle infrastrutture critiche, alla gestione delle crisi e alla garanzia della continuità operativa.
La normativa CER, dunque, non si limita a richiedere un presidio reattivo, ma pretende la costruzione di un sistema integrato di resilienza, capace di assicurare la prosecuzione del servizio essenziale anche in presenza di eventi perturbativi significativi.
In termini applicativi, ciò comporta la revisione dei sistemi di controllo degli accessi, dei protocolli di sicurezza perimetrale e delle procedure di protezione delle infrastrutture sensibili, in coerenza con quanto richiesto dall’art. 14, co. 1 e 2, del D. Lgs. 134/2024. Parallelamente, assume rilievo la predisposizione di piani di continuità operativa e di gestione delle crisi, che individuino ruoli, responsabilità, tempi di risposta e soluzioni alternative per il mantenimento dei servizi essenziali.
L’art. 14, co. 4, prevede inoltre che le misure confluiscano in un piano di resilienza formalizzato e aggiornato almeno ogni tre anni, il quale costituisce il documento cardine attraverso cui il soggetto critico dimostra la propria conformità alla normativa CER, anche in sede di vigilanza da parte delle Autorità competenti.
Normativa CER e NIS 2: integrazione tra resilienza fisica e sicurezza cibernetica
La normativa CER si colloca in un quadro regolatorio europeo caratterizzato da una stretta interrelazione tra sicurezza fisica e sicurezza cibernetica. L’art. 1, par. 2, della Direttiva (UE) 2022/2557 impone espressamente agli Stati membri di assicurare un’attuazione coordinata con la Direttiva (UE) 2022/2555 (NIS 2), in considerazione della relazione funzionale tra la resilienza delle infrastrutture e la protezione delle reti e dei sistemi informativi.
In modo speculare, l’art. 2, par. 3, e l’art. 3 della NIS 2 qualificano i soggetti individuati come critici ai sensi della normativa CER quali “soggetti essenziali”, rendendo loro applicabili gli obblighi di gestione del rischio informatico e di notifica degli incidenti previsti dal quadro NIS.
Il legislatore italiano ha recepito tale principio di complementarità all’art. 1, co. 2, del D. Lgs. 134/2024, chiarendo che le misure di cybersicurezza restano disciplinate dalla normativa nazionale di attuazione della NIS 2, evitando duplicazioni.
Sul piano operativo, la coesistenza dei due regimi impone un’attività di integrazione procedurale e organizzativa. I soggetti critici devono armonizzare le rispettive valutazioni del rischio, coordinare le funzioni responsabili della sicurezza fisica e della sicurezza informatica e predisporre flussi informativi interni coerenti con i diversi obblighi di notifica.
L’adozione di documenti separati ma non coordinati espone al rischio di lacune o sovrapposizioni, soprattutto in presenza di incidenti ibridi che producano effetti sia fisici sia digitali.
Normativa CER e obblighi di notifica
Tra gli adempimenti di maggiore impatto operativo previsti dalla normativa CER rientra l’obbligo di notifica degli incidenti rilevanti, disciplinato dall’art. 15 della Direttiva (UE) 2022/2557 e recepito nell’ordinamento italiano dall’art. 16 del D. Lgs. 134/2024.
La disposizione impone al soggetto critico di comunicare senza indebito ritardo all’Autorità Settoriale Competente e al Punto di contatto unico gli incidenti che perturbano o possono perturbare in modo significativo la fornitura del servizio essenziale.
La normativa nazionale specifica una scansione temporale precisa: notifica iniziale, salvo impossibilità operativa, entro ventiquattro ore dalla conoscenza dell’evento, cui può seguire una relazione dettagliata entro trenta giorni (art. 16, co. 2). La significatività dell’incidente è valutata secondo parametri oggettivi, quali il numero di utenti coinvolti, la durata della perturbazione e l’area geografica interessata (art. 16, co. 3).
In termini organizzativi, la normativa CER impone la predisposizione preventiva di procedure interne di escalation e di modelli di comunicazione che consentano di rispettare i termini stringenti previsti dalla legge. È necessario definire soglie interne di allerta, flussi informativi tra funzioni operative e vertice aziendale, nonché meccanismi di conservazione e tracciabilità delle evidenze documentali relative all’evento. La mancata o tardiva notifica costituisce violazione sanzionabile ai sensi dell’art. 21 del D. Lgs. 134/2024, con possibili riflessi anche reputazionali.
Controlli delle Autorità, poteri ispettivi e preparazione alla verifica
La normativa CER attribuisce alle Autorità Settoriali Competenti poteri di vigilanza penetranti, volti a verificare l’effettiva attuazione degli obblighi imposti ai soggetti critici. L’art. 21 della Direttiva (UE) 2022/2557 e, in sede di recepimento, l’art. 20 del D. Lgs. 134/2024 prevedono che le Autorità possano effettuare ispezioni in loco presso infrastrutture e siti critici, svolgere attività di vigilanza documentale e richiedere informazioni e prove circa l’adozione delle misure di resilienza. È altresì contemplata la possibilità di disporre verifiche tramite revisori indipendenti, con oneri a carico del soggetto vigilato (art. 20, co. 2).
Il sistema è strutturato secondo il principio di proporzionalità, ma si fonda su un obbligo pieno di collaborazione da parte dell’ente, la cui inosservanza integra una specifica violazione sanzionabile ai sensi dell’art. 21, co. 3.
La mancata ottemperanza agli obblighi sostanziali previsti dalla normativa CER è sanzionata, ai sensi dell’art. 21, co. 1 e 2, con sanzioni amministrative pecuniarie comprese tra 25.000 e 125.000 euro, mentre l’inosservanza degli obblighi informativi o documentali può comportare sanzioni da 10.000 a 50.000 euro, con possibili aggravamenti in caso di reiterazione.
In prospettiva operativa, la normativa CER impone ai soggetti critici di organizzare la propria documentazione in modo coerente e costantemente aggiornato, al fine di dimostrare, anche ex post, la correttezza del percorso di adeguamento. Ciò implica la predisposizione di dossier di conformità, la tracciabilità delle decisioni assunte in materia di sicurezza e la formalizzazione delle verifiche interne periodiche. L’art. 20, co. 4–6, del D. Lgs. 134/2024 prevede inoltre che, in caso di irregolarità, l’Autorità possa adottare diffide e prescrivere misure correttive entro un termine definito.
Compliance e assistenza legale per soggetti CER e infrastrutture critiche. Rivolgiti al nostro Studio
L’esperienza maturata nell’ambito della corporate compliance e della cybersicurezza consente di affrontare in modo integrato gli adempimenti derivanti dalla normativa CER, coordinando la resilienza fisica con la sicurezza informatica e con gli obblighi di gestione del rischio aziendale. Un approccio metodico, fondato su analisi documentale, gap analysis, strutturazione dei processi interni e formazione dei vertici e del personale, permette di trasformare gli obblighi della normativa CER in un percorso ordinato di adeguamento e di rafforzamento organizzativo.
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.