CER, attuata la direttiva in materia di “Critical Entites Resilience”
Rispetto alla precedente Direttiva è ampliato l’ambito di riferimento che ora considera anche la produzione di alimenti, il settore bancario, della salute, dell’acqua e dei mercati digitali
Pubblicato nella G.U. n. 23 del 23 settembre 2024, n. 223 il decreto legislativo n. 134/2024 di recepimento della direttiva europea 2022/557, relativa alla resilienza dei soggetti critici (direttiva CER – Critical Entites Resilience).
La normativa è tesa a condurre gli Stati membri ad adottare una strategia per assistere i c.d. “soggetti critici”, che siano pubblici o privati, con misure di sostegno e vigilanza dedicate, definendo gli obiettivi e le misure necessarie perché questi ultimi rafforzino la loro resilienza e siano quindi in grado di resistere ad incidenti potenzialmente idonei ad interrompere il servizio da questi offerto, ritenuto essenziale per lo svolgimento ordinario e regolare della vita della comunità che abitualmente forniscono.
L’ambito di riferimento è meglio individuato nell’allegato alla direttiva, ove risultano tra gli altri elencati settori dell’energia (compresi il teleriscaldamento il tele raffreddamento il gas), della produzione, trasformazione e distribuzione di alimenti, il settore bancario e delle infrastrutture dei mercati finanziari, quello della salute, dell’acqua, dei mercati digitali – si pensi ai fornitori di servizi cloud, di reti di comunicazione elettronica, ai data center, con esclusione degli aspetti inerenti la cibersicurezza, già adeguatamente trattati nella direttiva (UE) 2022/2555 - ed anche alcuni enti della pubblica amministrazione; tutti soggetti da individuare in base ad una serie di parametri, quali, in particolare, il numero di utenti che dipendono dal servizio essenziale fornito, l’area geografica e la quota di mercato che potrebbero essere interessate dall’incidente, l’impatto che questo potrebbe avere in termini di entità e durata sulle attività economica e sociale, sull’incolumità e sulla salute pubblica, ma anche sull’ambiente, tenendo conto tra l’altro anche della vulnerabilità associata al grado di isolamento di alcune aree geografica, quali quelle montane e quelle insulari.
L’intento, in definitiva, è che i soggetti che svolgono un ruolo decisivo nel mantenimento di funzioni vitali della società o di attività economiche siano in grado di “prevenire, proteggere, rispondere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative” a seguito di incidenti idonei a perturbare la fornitura di servizi essenziali.
Rispetto alla direttiva precedente (2008/114/CE) sulle c.d. “infrastrutture critiche” - abrogata a partire dal prossimo 18 ottobre – l’ambito disciplinato dall’odierna direttiva, e quindi dal relativo decreto di recepimento, è dunque nettamente più ampio, posto che la prima, si riferiva ai soli settori dell’energia e dei trasporti e perciò costituiva per espressa previsione del legislatore europeo “il primo passo di un approccio graduale inteso a individuare e designare” le infrastrutture critiche europee (ECI), al fine di valutarne l’effettivo l’impatto e di esaminare – appunto - la necessità di “includere successivamente altri settori” (cons. 5).
Il decreto attuativo
Il decreto attuativo attribuisce al Presidente del Consiglio la responsabilità generale delle politiche per la resilienza dei soggetti critici e l’adozione della relativa strategia nazionale. Presso la Presidenza medesima sono inoltre istituiti due organismi di controllo e coordinamento: il Comitato interministeriale per la resilienza (CIR), con il compito di proporre gli indirizzi generali per le politiche di resilienza dei soggetti critici, sorvegliare sull’attuazione della strategia nazionale, promuove l’adozione di misure volte a rafforzare la resilienza dei soggetti critici e di buone pratiche, “nonché promuove iniziative per favorire, a livello nazionale e internazionale, l’efficace collaborazione e la condivisione delle informazioni e delle buone pratiche tra i soggetti istituzionali e i soggetti critici”(art. 4).
Alla corretta applicazione delle disposizioni del decreto di attuazione della direttiva sono invece designate apposite autorità settoriali competenti (ASC), tra le quali il Ministero dell’ambiente e della sicurezza energetica, per il settore dell’energia, il Ministero delle infrastrutture e dei trasporti, il Ministero dell’economia e delle finanze, per il settore bancario e il Ministero della salute, eventualmente anche per il tramite delle proprie autorità territoriali, il Ministero dell’agricoltura, della sovranità alimentare e delle foreste, per il settore della produzione, trasformazione e distribuzione di alimenti. Il secondo organismo istituito nell’ambito della Presidenza del Consiglio dei ministri è il Punto di Contatto Unico (PCU), al fine di assicurare il collegamento con la Commissione europea e la cooperazione con i Paesi terzi, tra i diversi PCU e le ASC designati dagli altri Stati membri.
Entro luglio 2025, Il Presidente del Consiglio dei ministri deve quindi elaborare la strategia nazionale che indichi la descrizione del procedimento di individuazione dei soggetti critici e delle misure per sostenerli, al fine di permettere a questi ultimi di raggiungere e mantenere nel tempo livello elevato di resilienza, definendo almeno gli obiettivi strategici e le priorità, tenendo conto delle dipendenze e interdipendenze transfrontaliere e intersettoriali; le autorità coinvolte nell’attuazione della strategia con la descrizione delle relative competenze e responsabilità; entro la medesima data il PCU dovrà invece procedere a redige la valutazione del rischio dello Stato, che poi dovrà trasmettere alla Commissione europea.
Mentre la concreta individuazione dei soggetti critici dovrà avvenire entro luglio 2026, con decreto del Presidente del Consiglio dei ministri, sentito il CIR.
Nell’ambito di tutto ciò restano ferme le disposizioni nazionali e del diritto dell’Unione europea in materia di protezione dei dati personali, vale a dire il Reg (UE) 2016/679 (GDPR) e il codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196 ed infatti il PCU e le ASC possono cooperare anche con il Garante per la protezione dei dati personali.
Il parere del Garante per la protezione dei dati personali
Al Garante per la protezione dei dati personali, nel luglio scorso, è stato richiesto un apposito parere su ciò che allora era solo lo schema di decreto legislativo, poi adottato e promulgato nei giorni scorsi; il tema più delicato, al riguardo, è dato dalla previsione contenuta nell’art. 15 (rubricato Controlli dei precedenti personali) del suddetto decreto, laddove è disposto che il soggetto critico – che, si ricorda, può essere anche un privato - possa richiedere il certificato del casellario giudiziale europeo “anche al di fuori delle ipotesi già previste” dal c.d. T.U. sul casellario giudiziale (D.P.R. n. 313/2002 da ultimo aggiornato nell’aprile scorso) per coloro che svolgono o sono candidati a svolgereruoli sensibili all’interno o a vantaggio dello stesso soggetto critico, con particolare riferimento ai ruoli con competenze in materia di resilienza, o che comunque sono autorizzate ad accedere ad esso, direttamente o anche a distanza.
Rispetto alla formulazione originaria dello schema di decreto legislativo, il Garante ha rilevato non sussistere significative criticità, ma ha comunque posto in evidenza la necessità di alcune integrazioni, in particolare in relazione alle condizioni legittimanti le richieste di controllo, alle categorie di precedenti ritenuti rilevanti ai fini del ruolo di volta in volta considerato, con correlativa individuazione dei reati c.d. ostativi e alle modalità ed ai tempi di conservazione dei certificati del casellario; conseguentemente oggi è previsto che con successivo decreto del Presidente del Consiglio dei ministri, “sentito il Garante per la protezione dei dati personali, sono individuate le modalità ed i tempi di conservazione dei certificati del casellario giudiziale europeo nel rispetto della disciplina nazionale ed europea” (art. 15).
Il Garante, tuttavia, aveva segnalato l’opportunità di una integrazione anche dell’art. 16, richiedendo di ivi richiamare gli adempimenti previsti dall’art. 33 GDPR, per il caso in cui l’incidente incorso al soggetto critico implichi la violazione di dati personali, precisazione che invece nel testo odierno stenta a trovare una chiara via di emersione.
______
*A cura dell’Avv. Alessandra Spangaro - DigitalMediaLaws