WEBINAR / 25 Ottobre
La gestione degli incidenti ICT nel contesto DORA


Gli obblighi di classificazione e segnalazione degli incidenti ICT e di programmazione dei test di resilienza operativa digitale

ZOOM MEETING
Offerte per iscrizioni entro il 04/10


WEBINAR / 25 Ottobre
Gli incidenti ICT nel contesto DORA
www.dirittobancario.it
Flash News
IT

Direttiva CER: il decreto di recepimento in Gazzetta Ufficiale

24 Settembre 2024
Di cosa si parla in questo articolo

Pubblicato in Gazzetta Ufficiale n. 223 del 23 settembre 2024 il Decreto Legislativo 04 settembre 2024, n. 134, recante l’attuazione della Direttiva (UE) 2022/2557, relativa alla resilienza dei soggetti critici (c.d. Direttiva CER).

Come noto, la Direttiva CER definisce norme armonizzate volte a garantire la fornitura di servizi essenziali nel mercato interno, aumentare la resilienza dei soggetti critici e migliorare la cooperazione transfrontaliera tra le autorità competenti.

Per soggetti critici, ai sensi del decreto di recepimento, si intende un soggetto pubblico o privato individuato, ai sensi dell’art. 8, nell’ambito delle categorie di soggetti che operano nei settori e sottosettori di cui all’allegato A (parte integrante del decreto).

La direttiva CER impone l’adozione da parte dei singoli Stati membri di misure che garantiscano che servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche siano forniti senza impedimenti, con particolare riguardo all’individuazione dei soggetti critici ed al sostegno nell’adempimento degli obblighi loro imposti.

Inoltre, la direttiva CER definisce norme concernenti:

  • la vigilanza sui soggetti critici
  • la sua esecuzione
  • l’individuazione dei soggetti critici di particolare rilevanza a livello europeo.

Il CIR nel decreto di recepimento della Direttiva CER

In base al decreto di recepimento, presso la Presidenza del Consiglio dei ministri è istituito il Comitato interministeriale per la resilienza (CIR), il quale:

  • propone al Presidente del Consiglio dei ministri gli indirizzi generali per le politiche di resilienza dei soggetti critici
  • esercita l’alta sorveglianza sull’attuazione della strategia nazionale per la resilienza dei soggetti critici di cui all’art. 6
  • promuove l’adozione di misure volte a rafforzare la resilienza dei soggetti critici e di buone pratiche, nonché promuove iniziative per favorire, a livello nazionale e internazionale, l’efficace collaborazione e la condivisione delle informazioni e delle buone pratiche tra i soggetti istituzionali e i soggetti critici.

Con decreto del Presidente del Consiglio dei ministri, su proposta del CIR, possono essere individuati eventuali servizi essenziali aggiuntivi rispetto a quelli contenuti nell’elenco di cui al Regolamento delegato (UE) 2023/2450.

Le Autorità settoriali competenti (ASC)

Il decreto individua le Autorità settoriali competenti (ASC):

    • Ministero dell’ambiente e della sicurezza energetica, per il settore: energia.
    • Ministero delle infrastrutture e dei trasporti, per i settori: trasporti e acque irrigue.
    • Ministero dell’economia e delle finanze, per i settori: bancario e infrastrutture dei mercati finanziari.
    • Ministero della salute e, per gli ambiti di propria competenza, l’Agenzia italiana del farmaco (AIFA), per il settore: salute.
    • Ministero dell’ambiente e della sicurezza energetica, per il settore: acqua potabile e per il settore: acque reflue.
    • Agenzia per la cybersicurezza nazionale, per il settore: infrastrutture digitali.
    • Presidenza del Consiglio dei ministri, per il settore: spazio.
    • Ministero dell’agricoltura, della sovranità alimentare e delle foreste, per il settore: produzione, trasformazione e distribuzione di alimenti.
    • i diversi Ministeri sopra ricordati, negli ambiti di propria competenza, ovvero la Presidenza del Consiglio, per gli enti individuati con apposito d.p.c.m. da adottarsi entro il 17 gennaio 2026, per il settore: Enti della pubblica amministrazione.

Le ASC devono individuare per ciascun settore e sottosettore di cui all’allegato A i soggetti ritenuti critici entro il 17 gennaio 2026 e li comunicano al PCU (punto di contatto unico), tenendo conto dei risultati della valutazione del rischio dello Stato e della strategia e applicano tutti i seguenti criteri:

  • il soggetto fornisce uno o più servizi essenziali
  • il soggetto opera, e la sua infrastruttura critica è situata, in tutto o in parte sul territorio dello Stato
  • un incidente avrebbe effetti negativi rilevanti, ai sensi dell’art. 9, sulla fornitura da parte del soggetto di uno o più servizi essenziali ovvero sulla fornitura di altri servizi essenziali che dipendono da tale o tali servizi essenziali.

Il Punto di contatto Unico (PCU)

Il decreto di recepimento della Direttiva CER individua un punto di contatto unico nell’ambito della Presidenza del Consiglio dei Ministri, al quale attribuire anche le funzioni di:

    • assicurare il collegamento con la Commissione europea e la cooperazione con i Paesi terzi
    • coordinare le attività di sostegno ai soggetti critici nel rafforzamento della loro resilienza
    • ricevere, da parte dei soggetti critici, contestualmente alle autorità competenti, le notifiche degli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali
    • promuovere le attività di ricerca e formazione in materia di resilienza delle infrastrutture critiche
    • coordinare l’attività delle autorità competenti

Misure di resilienza dei soggetti critici

I soggetti critici dovranno adottare e applicare misure tecniche, di sicurezza e di organizzazione, adeguate e proporzionate, per garantire la propria resilienza, sulla base delle informazioni pertinenti fornite in merito alla valutazione del rischio dello Stato, messe a disposizione dal PCU nonché sulla base dei risultati della valutazione del rischio dei soggetti critici.

Le misure includono quelle necessarie per:

  1. evitare il verificarsi di incidenti, anche considerando l’adozione di misure di riduzione del rischio di catastrofi e di misure di adattamento ai cambiamenti climatici
  2. realizzare un’adeguata protezione fisica dei propri siti e delle infrastrutture critiche, anche considerando, a mero titolo esemplificativo, recinzioni, barriere, strumenti e routine di controllo del perimetro, impianti di rilevamento e controllo degli accessi
  3. contrastare e resistere alle conseguenze degli incidenti, nonché mitigarle, anche considerando procedure e protocolli di gestione dei rischi e delle crisi, nonché pratiche di allerta
  4. ripristinare le proprie capacità operative in caso di incidenti, anche considerando l’adozione di misure per la continuità operativa e per l’individuazione di catene di approvvigionamento alternative, al fine di ripristinare la fornitura del servizio essenziale
  5. garantire un’adeguata gestione della sicurezza del personale
  6. informare il personale in merito ai rischi e alle misure adottate, anche considerando misure quali la realizzazione di corsi di formazione, di materiale informativo e di esercitazioni.

Notifica degli incidenti

I soggetti critici, senza indebito ritardo, notificano all’autorità settoriale competente e al PCU gli incidenti rilevanti, che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali, entro ventiquattro ore dal momento in cui vengono a conoscenza dell’incidente e trasmettono una relazione dettagliata entro i successivi trenta giorni.

Per determinare la rilevanza dell’incidente si tiene conto:

  1. del numero e percentuale di utenti interessati
  2. della durata della perturbazione
  3. dell’area geografica interessata, considerando l’eventuale isolamento geografico di tale area.

Vigilanza e sanzioni nel decreto di recepimento della Direttiva CER

Le ASC, tenendo informato il PCU:

  1. effettuano ispezioni dell’infrastruttura critica e dei siti utilizzati dai soggetti critici per fornire i loro servizi essenziali e richiedere informazioni, documenti e ogni altro elemento utile a valutare le misure adottate dai soggetti critici conformemente all’articolo 14 del decreto;
  2. svolgono controlli nei confronti dei soggetti critici
  3. possono chiedere in forma scritta ai soggetti critici di fornire, entro un termine ragionevole, da indicare nella richiesta:
    • le informazioni necessarie per valutare se le misure adottate da tali soggetti per garantire la loro resilienza soddisfano i requisiti di cui all’art. 14
    • la prova dell’effettiva attuazione di tali misure, inclusi i risultati di un controllo svolto a spese di tali soggetti critici da parte di un revisore indipendente e qualificato, dagli stessi selezionato
  4. diffidano i soggetti critici cui la violazione si riferisce ad adottare, entro un termine ragionevole, da indicare nella diffida, le misure, necessarie e proporzionate, per sanare la violazione (art. 20 c. 4)

Le ASC applicano una sanzione amministrativa pecuniaria, da 25.000 euro a 125.000 euro, nei confronti del soggetto critico che:

  • non effettua la valutazione del rischio dei soggetti critici
  • non adotta le misure ai sensi dell’artt. 13 e 14
  • non notifica alle ASC o al PCU gli incidenti
  • non adotta le misure di cui all’art. 20, c. 4, entro il termine previsto dalla diffida ivi disciplinata.

Salvo che il fatto costituisca reato, le ASC applicano una sanzione amministrativa pecuniaria, da 10.000 euro a 50.000 euro, nei confronti del soggetto critico che, entro trenta giorni dallo scadere del termine di cui all’art. 20, comma 2, non fornisca le informazioni e le prove richieste e non risponda per esporre le ragioni del ritardo.

Soggetti critici del settore bancario e dei mercati finanziari

Le disposizioni di cui all’art. 12 e ai capi III, IV e VI del decreto (ovvero sulla resilienza dei soggetti critici, sull’individuazione dei soggetti critici di particolare rilevanza europea e sulla vigilanza) non si applicano ai soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali (di cui ai numeri 3, 4 e 8 dell’allegato A), ai quali si applica la specifica disciplina settoriale.

Di cosa si parla in questo articolo

WEBINAR / 25 Ottobre
La gestione degli incidenti ICT nel contesto DORA


Gli obblighi di classificazione e segnalazione degli incidenti ICT e di programmazione dei test di resilienza operativa digitale

ZOOM MEETING
Offerte per iscrizioni entro il 04/10

Iscriviti alla nostra Newsletter