ridurre le vulnerabilità e rafforzare la resilienza1 fisica dei soggetti critici nell’Unione europea (Unione) al fine di garantire una prestazione senza impedimenti di servizi essenziali per l’economia e la società nel suo complesso;
aumentare la resilienza dei soggetti critici che forniscono tali servizi.
PUNTI CHIAVE
Gli Stati membri dell’Unione devono, a seguito di una valutazione dei rischi, individuare i soggetti critici che forniscono servizi essenziali per il mantenimento di funzioni vitali per la società, l’economia, la sanità pubblica e la sicurezza o l’ambiente, e individuare i casi in cui un incidente potrebbe avere notevoli effetti negativi su tali servizi essenziali. Ciò riguarda soggetti operanti nei seguenti settori:
energia, compresi gli operatori dei settori dell’energia elettrica, del teleriscaldamento, del petrolio, del gas e dell’idrogeno;
trasporto aereo, ferroviario, per via d’acqua e su strada, compresi i trasporti pubblici;
banche, soggetti anche al regolamento (UE) 2022/2554 (regolamento sulla resilienza operativa digitale — si veda la sintesi);
infrastrutture dei mercati finanziari, comprese le sedi di negoziazione, soggette anch’esse al regolamento sulla resilienza operativa digitale;
sanità, compresi i prestatori di assistenza sanitaria, i produttori di articoli farmaceutici di base e di dispositivi critici, nonché le infrastrutture di ricerca e sviluppo di medicinali;
fornitori e distributori di acqua potabile;
smaltimento e trattamento delle acque reflue;
infrastrutture digitali, compresi i servizi di comunicazione elettronica e i centri di calcolo, soggetti anche alla direttiva (UE) 2022/2555 (si veda la sintesi);
enti della pubblica amministrazione a livello di governo centrale, esclusi la sicurezza nazionale, la pubblica sicurezza, la difesa e l’applicazione della legge;
operatori spaziali di infrastrutture terrestri; e
imprese del settore alimentare impegnate esclusivamente nella logistica, nella distribuzione all’ingrosso e nella produzione e trasformazione industriali su larga scala.
Si noti che determinate parti della direttiva non si applicano ai soggetti dei settori bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali.
Ciascuno Stato membro deve:
adottare una strategia nazionale ed effettuare valutazioni periodiche dei rischi;
tenendo conto dei risultati di tali valutazioni, individuare i soggetti che fanno affidamento sulle infrastrutture critiche per fornire servizi essenziali alla società, all’economia, alla sanità pubblica e alla sicurezza o all’ambiente;
sostenere i soggetti critici individuati nel miglioramento della propria resilienza, ad esempio con materiali di orientamento, esercitazioni, consulenze e formazione;
garantire che le autorità nazionali abbiano i poteri, le risorse e i mezzi per effettuare i propri compiti di vigilanza, compreso lo svolgimento di ispezioni in loco di soggetti critici e l’introduzione di sanzioni in caso di mancato rispetto nell’ambito di un meccanismo di applicazione della legge;
specificare le condizioni in base alle quali un soggetto critico può presentare richieste di controlli dei precedenti sul personale che detiene ruoli sensibili.
Gli Stati membri devono individuare i soggetti critici per i settori e i sottosettori di cui all’allegato della direttiva entro il .
I soggetti critici devono:
effettuare valutazioni dei propri rischi per individuare quelli che potrebbero ostacolarne la capacità di fornire servizi essenziali;
adottare misure tecniche, organizzative e di sicurezza per aumentare la resilienza;
riferire gli incidenti negativi di rilievo alle autorità nazionali.
Se i soggetti critici forniscono servizi essenziali in o a sei o più Stati membri, possono godere di consulenze aggiuntive sotto forma di missioni consultive che forniscano un parere sulla valutazione dei rischi e le misure che rafforzano la resilienza messe in atto dal soggetto.
La Commissione europea ha adottato il regolamento delegato (UE) 2023/2450, che stabilisce un elenco non esaustivo di servizi essenziali nei settori e sottosettori sopra menzionati. Le autorità competenti degli Stati membri devono utilizzare questo elenco per effettuare una valutazione dei rischi, che dovrà successivamente essere impiegata ai fini dell’identificazione dei soggetti critici.
Il gruppo per la resilienza dei soggetti critici agevola la cooperazione fra gli Stati membri, compresa la condivisione di informazioni e di buone pratiche.
La Commissione fornisce sostegno, anche in materia di rischi transettoriali, migliori pratiche, metodologie, formazione ed esercitazioni transfrontaliere per verificare la resilienza dei soggetti critici.
A PARTIRE DA QUANDO SI APPLICANO LE NORME?
La direttiva deve essere recepita nel diritto nazionale entro il . Le norme si applicano a partire dal .
La presente direttiva fa parte di un pacchetto di misure legislative volte a migliorare la resilienza e le capacità di reazione agli incidenti dei soggetti pubblici e privati dell’Unione nel settore della sicurezza informatica e in quello della protezione delle infrastrutture critiche.
Inoltre, nel gennaio 2023, il Consiglio ha rilasciato una raccomandazione su un approccio coordinato a livello dell’Unione per rafforzare la resilienza delle infrastrutture critiche.
Resilienza. La capacità di prevenire, proteggere da, reagire a, resistere a, mitigare, assorbire, alleviare e recuperare dagli incidenti, che possono essere provocati, fra l’altro, da catastrofi naturali, come le emergenze di sanità pubblica, o da minacce di origine antropica, quali il terrorismo, il sabotaggio o le minacce ibride. Le minacce ibride si presentano quando attori statali o non statali cercano di sfruttare le vulnerabilità delle infrastrutture critiche utilizzando una miscela di misure (diplomatiche, militari, economiche, tecnologiche) in modo coordinato, come ad esempio le campagne di disinformazione di massa che ostacolano il processo democratico durante le elezioni, pur rimanendo al di sotto della soglia della guerra formale.
DOCUMENTO PRINCIPALE
Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del , relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio (GU L 333 del , pag. 164).
DOCUMENTI CORRELATI
Regolamento delegato (UE) 2023/2450 della Commissione, del , che integra la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio stabilendo un elenco di servizi essenziali (GU L 2023/2450 del ).
Raccomandazione del Consiglio, dell’, su un approccio coordinato a livello dell’Unione per rafforzare la resilienza delle infrastrutture critiche (GU L 20 del , pag. 1).
Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del , relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del , pag. 1).
Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del , relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del , pag. 80).
Comunicazione della Commissione al Parlamento europeo, al Consiglio europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni — Un programma di lotta al terrorismo dell’Unione europea: prevedere, prevenire, proteggere e reagire [COM(2020) 795 final del ].
Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni sulla strategia dell’Unione per l’Unione della sicurezza [COM(2020) 605 final del ].
Direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio, del , relativa a norme comuni per il mercato interno dell’energia elettrica e che modifica la direttiva 2012/27/CE (rifusione) (GU L 158 del , pag. 125).
Le modifiche successive alla direttiva (UE) 2019/944 sono state incorporate nel testo originale. La versione consolidata ha esclusivamente valore documentale.
Regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio, del , sul mercato interno dell’energia elettrica (rifusione) (GU L 158 del , pag. 54).
Regolamento (UE) 2019/941 del Parlamento europeo e del Consiglio, del , sulla preparazione ai rischi nel settore dell’energia elettrica e che abroga la direttiva 2005/89/CE (GU L 158 del , pag. 1).
Direttiva (UE) 2018/2001 del Parlamento europeo e del Consiglio, dell’, sulla promozione dell’uso dell’energia da fonti rinnovabili (rifusione) (GU L 328 del , pag. 82).
Direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, del , sulla lotta contro il terrorismo e che sostituisce la decisione quadro 2002/475/GAI del Consiglio e che modifica la decisione 2005/671/GAI del Consiglio (GU L 88 del , pag. 6).
Regolamento (UE) 2017/1938 del Parlamento europeo e del Consiglio, del , concernente misure volte a garantire la sicurezza dell’approvvigionamento di gas e che abroga il regolamento (UE) n. 994/2010 (GU L 280 del , pag. 1).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del , relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (GU L 119 del , pag. 1).
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del , relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del , pag. 89).
Direttiva 2012/18/UE del Parlamento europeo e del Consiglio, del , sul controllo del pericolo di incidenti rilevanti connessi con sostanze pericolose, recante modifica e successiva abrogazione della direttiva 96/82/CE del Consiglio (GU L 197 del , pag. 1).
Regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del , sulla normazione europea, che modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio (GU L 316 del , pag. 12).
Direttiva 2009/73/CE del Parlamento europeo e del Consiglio, del , relativa a norme comuni per il mercato interno del gas naturale e che abroga la direttiva 2003/55/CE (GU L 211 del , pag. 94).
Direttiva 2007/60/CE del Parlamento europeo e del Consiglio, del , relativa alla valutazione e alla gestione dei rischi di alluvioni (GU L 288 del , pag. 27).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del , relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del , pag. 37).