Infrastrutture critiche, l’UE ha il Piano d’azione

Le infrastrutture critiche, che si tratti di condotte, vie di trasporto o cavi sottomarini, sono diventate sempre più interconnesse e interdipendenti. Criticità e azioni a livello Ue

2 Novembre 2022 16:12
Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Infrastrutture critiche, l’UE ha il Piano d’azione
Fonte: 123RF

La sicurezza è un obiettivo fondamentale dell’Unione europea. L’azione collettiva a livello dell’Unione contribuisce in modo significativo alla sicurezza dell’UE nel suo insieme e questo coordinamento contribuisce a potenziare la resilienza, a migliorare la vigilanza e a rafforzare la risposta collettiva.

Nel contesto dell’Unione della sicurezza sono state adottate misure importanti per sviluppare mezzi e capacità di prevenzione, individuazione e risposta rapida a numerose minacce alla sicurezza e per associare gli operatori del settore pubblico e privato in uno sforzo comune.

Le criticità

Dotare l’UE degli strumenti necessari per far fronte a uno scenario di minacce in continuo mutamento richiede una vigilanza e un adattamento costanti.

La guerra di aggressione della Russia nei confronti dell’Ucraina ha portato nuovi rischi, spesso combinati come una minaccia ibrida. Uno di questi è il rischio di perturbazione nella fornitura di servizi essenziali da parte di soggetti che gestiscono infrastrutture critiche in Europa.

La società dipende fortemente dalle infrastrutture sia fisiche che digitali e l’interruzione dei servizi essenziali, attraverso attacchi fisici tradizionali o attacchi informatici, o una combinazione degli stessi, può avere gravi conseguenze per il benessere dei cittadini, le economie e la fiducia nei sistemi democratici.

Massimizzare e accelerare i lavori volti a proteggere le risorse, le strutture e i sistemi necessari per il funzionamento dell’economia e per la fornitura di servizi essenziali nel mercato interno, su cui i cittadini fanno affidamento, come pure attenuare l’impatto di qualsiasi attacco garantendo un
recupero più rapido possibile, deve costituire la massima priorità da parte delle Istituzioni.

Se tutte queste infrastrutture debbono essere protette, la priorità principale è attualmente rappresentata dai settori dell’energia, delle infrastrutture digitali, dei trasporti e dello spazio in virtù del loro carattere specificamente orizzontale per la società e l’economia e delle attuali valutazioni dei rischi.

Il Parlamento europeo e il Consiglio hanno già raggiunto un accordo politico per approfondire il quadro legislativo dell’UE allo scopo di contribuire a rafforzare la resilienza dei soggetti che gestiscono infrastrutture critiche.

Nell’estate del 2022 sono stati raggiunti accordi sulla direttiva sulla resilienza delle infrastrutture critiche (“direttiva CER“) e sulla direttiva riveduta sulla sicurezza dei sistemi informatici e di rete (“direttiva NIS2“), mentre la Commissione ha proposto di rafforzare la resilienza delle infrastrutture critiche dell’UE sulla base della proposta di raccomandazione del Consiglio.

La Direttiva CER e NIS2

La nuova direttiva CER propone un nuovo quadro di cooperazione e di obblighi per gli Stati membri e i soggetti critici, per rafforzare la resilienza fisica non informatica, contro le minacce naturali e di origine umana, dei soggetti che forniscono servizi essenziali nel mercato interno, specificando undici settori: energia, trasporti, infrastrutture digitali, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, pubblica amministrazione, spazio e prodotti alimentari.

La legislazione impone alla Commissione di assumere un ruolo di coordinamento sostanziale.

La direttiva CER prevede che la Commissione abbia un ruolo di sostegno e facilitazione, da svolgere con l’aiuto e il coinvolgimento del gruppo per la resilienza dei soggetti critici (CERG) istituito da tale direttiva, e che dovrebbe integrare le attività degli Stati membri sviluppando migliori prassi, metodologie e materiali di orientamento.

La direttiva NIS2, invece, predisporrà un’ampia copertura settoriale per gli obblighi in materia di cybersicurezza. Ciò comporterà il nuovo obbligo per gli Stati membri di includere, se del caso, i cavi sottomarini nelle loro strategie di cybersicurezza.

La direttiva NIS 2 stabilirà una base di riferimento per le misure di gestione dei rischi di cybersicurezza e gli obblighi di segnalazione in tutti i settori contemplati dalla direttiva, in particolare l’energia, i trasporti, la salute e le infrastrutture digitali.

La direttiva riveduta mira a eliminare le divergenze per quanto riguarda gli obblighi di cybersicurezza e l’attuazione delle misure di cybersicurezza nei diversi Stati membri. A tal fine, stabilisce norme minime per un quadro normativo e istituisce meccanismi per una cooperazione efficace tra le autorità competenti di ciascuno Stato membro. Aggiorna l’elenco dei settori e delle attività soggette agli obblighi in materia di cybersicurezza e prevede mezzi di ricorso e sanzioni per garantirne l’applicazione.

La direttiva istituirà formalmente la rete europea delle organizzazioni di collegamento per le crisi informatiche EU-CyCLONe, che sosterrà la gestione coordinata degli incidenti di cybersicurezza su vasta scala.

Per quanto riguarda la cybersicurezza, il Consiglio, nelle sue conclusioni sulla posizione dell’UE in materia di sicurezza informatica dell’estate 2022, ha già invitato la Commissione, l’alto rappresentante e il gruppo di cooperazione NIS a lavorare sulle valutazioni dei rischi e sugli scenari dal punto di vista della cybersicurezza. Tale coordinamento può ispirare un approccio analogo per altre infrastrutture critiche fondamentali.

Se le Direttive costituiscono le basi della cooperazione, del coordinamento e della preparazione nel settore informatico la Commissione ha, inoltre, istituito un programma di emergenza a breve termine per aiutare gli Stati membri a migliorare la loro preparazione in materia informatica, ad esempio sostenendo i test di penetrazione.

Con la direttiva sulla resilienza delle infrastrutture critiche (direttiva CER) e la direttiva riveduta sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS 2), l’UE disporrà presto di un quadro giuridico aggiornato e completo per aumentare la resilienza fisica e informatica di queste infrastrutture. Tuttavia, data la rapida evoluzione delle minacce, occorre accelerare l’applicazione delle nuove norme.

Già nel 2020 la Commissione aveva proposto norme aggiornate per aumentare la resilienza dei soggetti critici, come fattore chiave per costruire un’Unione della sicurezza.

La nuova legislazione dovrebbe entrare in vigore alla fine del 2022 o all’inizio del 2023 e il recepimento e l’applicazione dovrebbero essere considerati prioritari dagli Stati membri.

La proposta di raccomandazione

La proposta di raccomandazione del Consiglio, presentato dalla Presidente Ursula von der Leyen al Parlamento europeo, a seguito degli atti di sabotaggio contro i gasdotti Nord Stream, si pone i seguenti obiettivi principali:

  • rafforzare la preparazione;
  • collaborare con gli Stati membri per sottoporre a prove di stress le loro infrastrutture critiche, a cominciare dal settore energetico per proseguire con altri settori ad alto rischio;
  • aumentare la capacità di risposta, in particolare attraverso il meccanismo unionale di protezione civile;
  • fare un uso adeguato delle capacità dei satelliti per individuare potenziali minacce;
  • rafforzare la cooperazione con la NATO e i partner principali sulla resilienza delle infrastrutture critiche.

Questi punti evidenziano l’importanza di anticipare la legislazione che già gode di un accordo politico.

I soggetti critici europei sono più interconnessi e interdipendenti, il che li rende più forti ed efficienti, ma anche più vulnerabili in caso di incidenti. La guerra di aggressione della Russia contro l’Ucraina ha generato nuovi rischi, attacchi fisici e informatici, spesso combinati nella forma di una minaccia ibrida. Il sabotaggio dei gasdotti Nord Stream e altri incidenti recenti hanno dimostrato che la resilienza delle infrastrutture critiche dell’UE è minacciata. È urgente intervenire, quindi, per rafforzare la capacità dell’UE di proteggersi dagli attacchi contro le infrastrutture critiche, sia nel suo territorio che nell’immediato vicinato.

La proposta di raccomandazione del Consiglio mira a intensificare e accelerare i lavori per proteggere le infrastrutture critiche in tre settori prioritari:

  • preparazione
  • risposta
  • cooperazione internazionale.

Prevede, quindi, di aumentare il sostegno e il ruolo di coordinamento da parte della Commissione per migliorare la preparazione e la risposta alle minacce attuali e di rafforzare la cooperazione tra gli Stati membri e con i paesi terzi vicini.

Dovrebbe essere data priorità ai settori chiave dell’energia, delle infrastrutture digitali, dei trasporti e dello spazio.

L’UE ha un ruolo particolare per quanto riguarda le infrastrutture che attraversano le frontiere o che forniscono servizi transfrontalieri, e che pertanto incidono sugli interessi di più Stati membri. È nell’interesse di tutti gli Stati membri identificare chiaramente tali infrastrutture e i soggetti che le gestiscono e impegnarsi collettivamente a proteggerle. La Commissione incoraggia gli Stati membri a sottoporre a prove di stress i soggetti che gestiscono infrastrutture critiche, sulla base di una serie comune di principi elaborati a livello dell’Unione.

L’esercizio delle prove di stress sarà integrato dall’elaborazione di un piano per gli incidenti e le crisi delle infrastrutture critiche, che descriverà e definirà gli obiettivi e le modalità di cooperazione tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’UE nella reazione agli incidenti che colpiscono le infrastrutture critiche, in particolare quando comportano perturbazioni significative della fornitura di servizi essenziali per il mercato interno.

Il Piano sarà elaborato dalla Commissione in cooperazione con l’AR/VP, in consultazione con gli Stati membri e con il sostegno delle agenzie competenti e si avvarrà degli attuali dispositivi integrati per la risposta politica alle crisi (IPCR) per coordinare la risposta.

Il progetto di raccomandazione mira a rafforzare la capacità di allarme rapido e di risposta alle perturbazioni delle infrastrutture critiche anche attraverso il meccanismo unionale di protezione civile. La Commissione valuterà periodicamente l’adeguatezza e la preparazione dell’attuale capacità di risposta e organizzerà test di cooperazione intersettoriale a livello dell’UE.

Il progetto di raccomandazione invita, inoltre, a rafforzare la cooperazione con i partner principali e i paesi vicini sulla resilienza delle infrastrutture critiche. La Commissione e l’alto rappresentante rafforzeranno il coordinamento con la NATO attraverso il dialogo strutturato UE-NATO sulla resilienza e istituiranno a tale scopo una task force.

Azioni a livello dell’Unione

La Commissione intende rafforzare la cooperazione tra gli esperti degli Stati membri per contribuire ad aumentare la resilienza fisica non informatica dei soggetti che gestiscono infrastrutture critiche e in particolare:

  • preparare lo sviluppo e la promozione di strumenti comuni per sostenere gli Stati membri nel rafforzamento di tale resilienza, comprese metodologie e scenari di rischio;
  • sostenere la definizione di principi comuni per la realizzazione delle prove di stress da parte degli Stati membri, a cominciare da prove incentrate sui rischi di origine umana nel settore dell’energia e successivamente in altri settori chiave quali le infrastrutture digitali, i trasporti e lo spazio;
  • affrontare altri rischi e pericoli significativi;
  • fornire sostegno e consulenza in merito allo svolgimento di tali prove di stress;
  • fornire una piattaforma sicura per raccogliere, valutare e condividere le migliori pratiche, gli insegnamenti tratti dalle esperienze nazionali e altre informazioni relative a tale resilienza, anche per quanto riguarda lo svolgimento delle prove di stress e la traduzione dei risultati in protocolli e piani di emergenza. Il lavoro di tali esperti dovrebbe prestare particolare attenzione alle dipendenze intersettoriali e ai soggetti che gestiscono infrastrutture critiche con rilevanza transfrontaliera e dovrebbe essere proseguito dal gruppo per la resilienza dei soggetti critici una volta istituito.

Azioni a livello degli Stati membri

 Gli Stati membri dovrebbero:

  • coordinare la loro risposta e mantenere una visione d’insieme della risposta intersettoriale alle perturbazioni significative della fornitura di servizi essenziali da parte dei soggetti che gestiscono infrastrutture critiche, nel quadro del meccanismo di crisi (IPCR) del Consiglio per quanto riguarda le infrastrutture critiche di rilevanza transfrontaliera, del programma per gli incidenti e le crisi di cybersicurezza su vasta scala o del quadro per una risposta coordinata alle campagne ibride ove pertinente;
  • intensificare lo scambio di informazioni nell’ambito del meccanismo unionale di protezione civile al fine di rendere più efficace l’allarme rapido e coordinare la loro risposta nell’ambito del meccanismo in caso di perturbazioni significative, così da reagire più rapidamente, se necessario con il sostegno dell’Unione;
  • aumentare la capacità di reagire prontamente, attraverso il meccanismo unionale di protezione civile, a tali perturbazioni significative, in particolare laddove possano avere implicazioni significative a livello transfrontaliero o addirittura paneuropeo, nonché intersettoriale;
  • collaborare con la Commissione per sviluppare ulteriormente i pertinenti mezzi di risposta nell’ambito del pool europeo di protezione civile (ECPP) e di rescEU;
  • invitare i soggetti che gestiscono infrastrutture critiche e le autorità nazionali competenti a rafforzare la capacità di tali soggetti di ripristinare rapidamente le prestazioni di base di servizi essenziali;
  • garantire che, quando è necessario ricostruire le infrastrutture critiche, le nuove infrastrutture siano resilienti nei confronti dell’intera gamma di rischi significativi a cui sono esposte, anche in scenari climatici avversi.

La proposta di raccomandazione è il rafforzamento della capacità dell’Unione di anticipare, prevenire e rispondere alle nuove minacce derivanti dalla guerra di aggressione della Russia nei confronti dell’Ucraina.

E’ importante osservare che i recenti avvenimenti hanno anche sottolineato l’incalzante necessità di prestare maggiore attenzione alle conseguenze dei cambiamenti climatici sulle infrastrutture e sui servizi critici in termini, ad esempio, di disponibilità idriche stagionali compromesse e non prevedibili per il raffreddamento delle centrali nucleari, le centrali idroelettriche e la navigazione interna o rischio di danni materiali alle infrastrutture di trasporto, che possono causare gravi perturbazioni dei servizi essenziali.