Nello specifico la direttiva CER richiede agli Stati Membri, sulla falsa riga di quanto fatto per la dimensione cyber con la NIS, di definire una specifica normativa che miri ad individuare gli operatori dii infrastrutture critiche, di indentificare le potenziali minacce sia naturali che dolose e quindi definire una strategia di resilienza per il Paese.
Ieri (8 dicembre) il Consiglio Europeo dei ministri della Giustizia e degli Affari Interni ha approvato la nuova direttiva europea sulla protezione delle infrastrutture critiche (denominata CER – Critical Entity Resilience) e una “Raccomandazione” agli stati membri per porre il tema della resilienza di queste infrastrutture nell’agenda politica dei governi.
Quanto occorso lo scorso settembre al Nord Stream 2 ha evidenziato come le infrastrutture europee sono potenzialmente vulnerabili ad azioni di sabotaggio fisiche che si aggiungono a quelle che attori malevoli, anche stranieri, potrebbero perpetrare attraverso il cyberspace. Questa costatazione ha portato la Commissione europea a delineare un piano in 5 punti che prevede azioni per migliorare la resilienza delle infrastrutture e che trova negli atti approvati ieri, unitamente all’approvazione della direttiva NIS2 sulla sicurezza cibernetica, gli elementi fondanti.
Con questi strumenti l’Europa, da un lato, evidenzia che sempre di più il benessere della popolazione e la sicurezza economica degli stati dipende da un complesso insieme di infrastrutture e sistemi che sono fortemente interdipendenti, cross-settoriali e trans-frontalieri e che, pertanto, occorre una specifica attenzione alla loro protezione e resilienza che superi l’attuale visione settoriale. Ciò anche alla luce del fatto che la transizione energetica, i cambiamenti climatici e la trasformazione digitale impattano in modo significativo non solo sul modo in cui questi sistemi operano, ma anche per ciò che attiene le minacce che possono minarne la continuità operativa.
Nello specifico la direttiva CER richiede agli Stati Membri, sulla falsa riga di quanto fatto per la dimensione cyber con la NIS, di definire una specifica normativa che miri ad individuare gli operatori dii infrastrutture critiche, di indentificare le potenziali minacce sia naturali che dolose e quindi definire una strategia di resilienza per il Paese.
Strategia che vede una forte cooperazione fra le autorità pubbliche e gli operatori privati che sono a loro volta chiamati a contribuire all’attuazione della strategia sia effettuando una disamina dei propri rischi che attuando specifiche iniziative per ridurre l’esposizione ed incrementare la propria resilienza partendo dall’individuazione di un punto di contatto unico con le autorità pubbliche.
La direttiva CER propone, in linea con l’evoluzione tecnica di questi anni, un approccio risk-based che prevede che la determinazione delle contromisure non sia basato su un approccio prescrittivo di compliance, quanto piuttosto con una prospettiva prestazionale che porti ad individuare le misure che sono conformi all’effettiva esposizione al rischio a cui è esposto il singol operatore.
Gli eventi del Nord Stream hanno evidenziato, da un lato, l’importanza di attuare queste iniziative con urgenza e quindi la necessità di una atto politico quale la “Raccomandazione” per sollecitare un recepimento in tempi rapidi della direttiva e l’attuazione delle azioni in essa contenute. Inoltre, è apparso necessario al legislatore europeo affiancare ad un approccio risk-based anche un focus su quelli che sono eventi LPHI (low-probability high-Impact) come le azioni di sabotaggio state sponsored, da qui l’invito agli stati membri di eseguire sulle infrastrutture afferenti ai settori dell’energia, dei trasporti, delle telecomunicazioni e dello spazio stress test miranti a verificare i potenziali impatti che azioni del genere potrebbero avere sulla loro capacità di erogazione dei servizi.
Stress test che dovranno coinvolgere sia la dimensione fisica, che quella cyber ma anche azioni ibride che vedono il concomitante utilizzo da parte di potenziali oppositori del dominio fisico e di quello cibernetico. L’importanza del tema è evidenziato anche dai tempi che la raccomandazione impone per queste attività: è infatti richiesto che gli stress test siano effettuati entro la fine del 2023 per altro con un coinvolgimento “volontario” da parte degli operatori in quanto nessuna norma comunitaria prevede che possa essere imposto tale obbligo.