di Oliviero Casale e Paola Rinaldi
Infrastrutture critiche e soggetti critici: la nuova architettura europea della resilienza
L’Unione europea ha progressivamente trasformato il proprio approccio alla sicurezza delle infrastrutture critiche. Per molto tempo il quadro europeo è stato centrato soprattutto sulla protezione di singole infrastrutture strategiche, in particolare nei settori dell’energia e dei trasporti. Oggi, invece, il baricentro si è spostato verso un concetto più ampio e più adatto al contesto contemporaneo: la resilienza dei soggetti critici, cioè delle entità pubbliche o private che garantiscono servizi essenziali al funzionamento della società e dell’economia.
Questa evoluzione non è una semplice modifica terminologica. Riflette un cambiamento profondo nella percezione del rischio. Guerra ibrida, sabotaggio, terrorismo, eventi climatici estremi, vulnerabilità delle supply chain, interdipendenze digitali e transfrontaliere impongono un modello più sofisticato: non basta proteggere un’infrastruttura, bisogna garantire che i servizi essenziali continuino a funzionare anche in presenza di gravi perturbazioni. È questo il principio che anima la Direttiva (UE) 2022/2557, la cosiddetta CER Directive.
Le definizioni chiave: soggetto critico, infrastruttura critica, servizio essenziale, resilienza
Per comprendere davvero la riforma europea bisogna partire dalle definizioni contenute nella direttiva.
La direttiva definisce soggetto critico come un soggetto pubblico o privato individuato da uno Stato membro ai sensi dell’articolo 6, appartenente a una delle categorie previste nell’allegato. Non si tratta quindi di una qualifica generica o intuitiva: un’entità diventa “critica” perché, a seguito di una valutazione nazionale, viene formalmente identificata come tale.
La stessa direttiva definisce infrastruttura critica come un elemento, un impianto, un’attrezzatura, una rete o un sistema, o una parte di essi, necessari per la fornitura di un servizio essenziale. Questa definizione è importante perché mostra che il diritto europeo non abbandona affatto il concetto di infrastruttura critica: semplicemente lo inserisce in una cornice più ampia, in cui conta non solo il bene materiale, ma la funzione che esso rende possibile.
Il servizio essenziale, a sua volta, è definito come un servizio fondamentale per il mantenimento di funzioni vitali della società, di attività economiche, della salute e della sicurezza pubbliche o dell’ambiente. È questa nozione a spiegare perché il tema delle infrastrutture critiche riguarda ormai ambiti molto più ampi di quelli tradizionali.
Infine, la direttiva definisce la resilienza come la capacità di un soggetto critico di prevenire, attenuare, assorbire un incidente, proteggersi da esso, rispondervi, resistervi, adattarvisi e ripristinare le proprie capacità operative. In questa definizione si vede bene il cambio di paradigma: la sicurezza non coincide più con l’assenza di rischio, ma con la capacità di continuare a operare anche quando il rischio si materializza.
Una formulazione molto vicina compare anche nella raccomandazione del Consiglio del 2022, che parla della resilienza delle infrastrutture critiche come capacità di prevenire, proteggere, rispondere, resistere, attenuare, assorbire, adattarsi o riprendersi da eventi che perturbano in modo significativo la fornitura di servizi essenziali. Questo conferma che il lessico europeo lavora contemporaneamente sul piano delle infrastrutture e su quello dei soggetti che le gestiscono.
Dal vecchio modello ECI alla direttiva CER
La direttiva CER abroga la precedente disciplina del 2008 sulle European Critical Infrastructures, limitata ai settori energia e trasporti e centrata soprattutto sulla protezione di infrastrutture con impatto transfrontaliero. Quel modello è stato ritenuto insufficiente, perché troppo focalizzato sulle singole strutture e non abbastanza capace di cogliere il carattere interconnesso e sistemico delle vulnerabilità contemporanee. La nuova direttiva parte invece dall’idea che i soggetti che erogano servizi essenziali svolgano un ruolo indispensabile per il mantenimento delle funzioni vitali della società e delle attività economiche nel mercato interno.
Il punto di svolta sta qui: l’attenzione non si concentra più solo sull’infrastruttura come asset materiale, ma sull’entità che eroga il servizio e sulla sua capacità di prevenire, resistere, assorbire, reagire e recuperare da incidenti naturali o antropici. Il primo Programma biennale di lavoro 2025-2026 del Critical Entities Resilience Group lo esplicita chiaramente, parlando del passaggio dal concetto più limitato di protezione delle infrastrutture critiche a quello più ampio di resilienza dei soggetti critici.
I settori della nuova resilienza europea
La portata della direttiva CER emerge anche dall’ampiezza dei settori coperti. Il nuovo quadro si applica a undici settori: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio e produzione, trasformazione e distribuzione alimentare. Questo elenco mostra che l’Unione europea considera la criticità in termini sistemici: la continuità della vita collettiva dipende ormai da reti, dati, logistica, amministrazione, finanza e filiere produttive non meno che da centrali o oleodotti.
Per rendere concretamente applicabile questo quadro, la Commissione ha adottato il Regolamento delegato (UE) 2023/2450, che stabilisce un elenco non esaustivo di servizi essenziali nei settori e sottosettori della direttiva. Tale elenco serve alle autorità competenti per effettuare la valutazione del rischio e, successivamente, per individuare i soggetti critici. La sua natura non esaustiva è significativa: l’Unione fissa un perimetro comune, ma lascia agli Stati membri un margine di adattamento alle specificità nazionali.
L’elenco dei servizi essenziali: la traduzione operativa della direttiva
Il regolamento delegato del 2023 rappresenta uno snodo decisivo, perché traduce la direttiva in un catalogo operativo di servizi. In campo energetico comprende, tra l’altro, fornitura, distribuzione, trasmissione e produzione di energia elettrica, teleriscaldamento, petrolio, gas e idrogeno. Nei trasporti ricomprende trasporto aereo, ferroviario, marittimo, fluviale e su strada, insieme alla gestione delle relative infrastrutture. Copre inoltre raccolta di depositi e concessione di prestiti nel settore bancario, sedi di negoziazione e sistemi di compensazione nei mercati finanziari, assistenza sanitaria e produzione di medicinali, fornitura di acqua potabile, trattamento delle acque reflue, servizi DNS, cloud, data center e comunicazioni elettroniche nel digitale, servizi delle amministrazioni centrali, infrastrutture terrestri di supporto ai servizi spaziali e grandi attività di logistica, stoccaggio, distribuzione e produzione nella filiera alimentare.
Questo elenco chiarisce un punto spesso poco compreso nel dibattito pubblico: l’infrastruttura critica non coincide necessariamente con un bene fisico isolato. In molti casi, la criticità riguarda un servizio e l’insieme dei sistemi, delle reti, delle piattaforme e delle organizzazioni che lo rendono possibile.
Gli obblighi degli Stati membri
La direttiva CER affida agli Stati membri la responsabilità primaria di costruire il sistema nazionale della resilienza. Devono adottare una strategia nazionale, effettuare valutazioni periodiche dei rischi, identificare i soggetti critici sulla base dei risultati di tali valutazioni, sostenerli nel rafforzamento della propria resilienza e garantire che le autorità competenti dispongano di poteri, risorse e mezzi adeguati per vigilare sul rispetto della normativa.
Le scadenze sono particolarmente rilevanti: il recepimento nazionale doveva essere completato entro il 17 ottobre 2024; le norme si applicano dal 18 ottobre 2024; gli Stati membri devono effettuare la valutazione dei rischi entro il 17 gennaio 2026 e identificare i soggetti critici entro il 17 luglio 2026. Queste date mostrano che il 2025 e il 2026 rappresentano la fase in cui il sistema europeo passa dalla legislazione all’attuazione concreta.
Gli obblighi dei soggetti critici
Una volta identificati, i soggetti critici sono tenuti a effettuare proprie valutazioni dei rischi, adottare misure tecniche, organizzative e di sicurezza adeguate a rafforzare la resilienza e notificare gli incidenti significativi alle autorità nazionali. Per i soggetti che forniscono servizi essenziali in sei o più Stati membri, il sistema europeo prevede anche missioni consultive supplementari, destinate a fornire pareri sulla valutazione del rischio e sulle misure di resilienza adottate.
In questo modo, la direttiva costruisce un modello di responsabilità condivisa: lo Stato non è l’unico garante della sicurezza dei servizi essenziali, ma anche i gestori, pubblici o privati, devono dotarsi di strumenti reali di prevenzione, preparedness, incident response e recovery.
L’approccio risk-based e il peso dei rischi transfrontalieri
Le linee guida della Commissione del 2025 precisano la logica con cui gli Stati dovrebbero applicare la direttiva. L’identificazione dei soggetti critici deve seguire un approccio risk-based, concentrandosi sulle entità più rilevanti per il mantenimento delle funzioni vitali della società e delle attività economiche. Le linee guida raccomandano di considerare sia l’ampiezza della perdita o interruzione del servizio sia la probabilità che tale perdita si verifichi, con particolare attenzione ai rischi cross-sectoral e cross-border, per il loro potenziale di generare effetti a cascata su altri servizi essenziali.
Questo è uno dei profili più moderni del modello europeo. Non si ragiona più per silos. Un’interruzione nel settore energetico può compromettere comunicazioni elettroniche, ospedali, reti di trasporto, sistemi bancari o amministrazione pubblica. Allo stesso modo, un incidente in uno Stato membro può propagarsi rapidamente ad altri. La vulnerabilità viene quindi letta come interdipendenza sistemica.
La complementarità con la NIS2
La direttiva CER non opera isolatamente. Il legislatore europeo l’ha costruita in parallelo con la Direttiva (UE) 2022/2555, nota come NIS2, dedicata alla cibersicurezza. Il programma di lavoro del CERG evidenzia che con CER e NIS2 si è aperta una nuova fase di cooperazione europea, nella quale le due direttive costruiscono insieme un quadro robusto di tutela contro minacce cyber e non cyber.
La distinzione tra le due norme resta importante: la CER riguarda la resilienza complessiva dei soggetti critici rispetto a minacce fisiche, organizzative, naturali e ibride; la NIS2 si concentra specificamente sulla sicurezza delle reti e dei sistemi informativi. Ma il loro rapporto è di complementarità strutturale, perché oggi una minaccia raramente è solo fisica o solo digitale.
La raccomandazione del Consiglio del 2022
Accanto alla direttiva CER, il quadro europeo comprende la Raccomandazione del Consiglio dell’8 dicembre 2022 su un approccio coordinato a livello dell’Unione per rafforzare la resilienza delle infrastrutture critiche. È un atto non vincolante, ma politicamente significativo, adottato in un contesto segnato da sabotaggi, guerra di aggressione russa contro l’Ucraina, campagne ibride e crescente attenzione alle infrastrutture con rilevanza transfrontaliera. La raccomandazione afferma che, pur restando agli Stati membri e agli operatori la responsabilità primaria della sicurezza e dell’erogazione dei servizi essenziali, un coordinamento europeo più stretto è divenuto necessario.
Si articola attorno a tre assi: preparedness, response e international cooperation. In questo quadro si collocano anche gli stress test europei, a partire dal settore energetico, e il rafforzamento della cooperazione con la NATO e con partner internazionali.
Stress test, NATO e cooperazione internazionale
Il programma di lavoro del CERG chiarisce che la raccomandazione del 2022 ha già prodotto effetti operativi. Nel 2023 sono stati condotti stress test nel settore energetico, e i loro risultati alimentano le attività successive di follow-up e rafforzamento della resilienza. Il medesimo programma collega questi sviluppi al più ampio quadro di cooperazione internazionale e al coordinamento con la NATO.
Questo passaggio mostra bene come la resilienza non sia più soltanto materia di regolazione del mercato interno, ma anche componente della sicurezza europea in senso lato.
Il Blueprint del 2024
Un ulteriore tassello della nuova architettura è costituito dal Blueprint per coordinare la risposta a livello UE alle perturbazioni di infrastrutture critiche con rilevanza transfrontaliera significativa, adottato nel 2024. Si tratta di uno strumento destinato a migliorare la cooperazione a livello dell’Unione in caso di crisi che travalichino i confini nazionali.
La logica è evidente: in un sistema interconnesso, la gestione di incidenti gravi non può più essere affidata a risposte puramente nazionali. Servono meccanismi comuni di scambio informativo, coordinamento con gli altri strumenti europei di crisi, supporto tecnico e comunicazione pubblica coerente.
Le linee guida e il template di reporting del 2025
La Comunicazione della Commissione dell’11 settembre 2025, con linee guida non vincolanti e template volontario di reporting, rappresenta il tentativo più concreto di rendere uniforme l’applicazione della direttiva nei diversi ordinamenti nazionali. Non sostituisce la discrezionalità degli Stati membri, ma fornisce una metodologia comune e favorisce una convergenza progressiva delle pratiche nazionali.
Il ruolo del CERG
In questa architettura il Critical Entities Resilience Group svolge una funzione cruciale. Ha il compito di sostenere la Commissione e facilitare la cooperazione tra Stati membri. Il programma di lavoro 2025-2026 mostra chiaramente che il suo obiettivo principale è contribuire alla corretta attuazione del quadro CER, facilitare lo scambio di informazioni e buone pratiche e promuovere una maggiore resilienza dei soggetti critici e delle infrastrutture critiche nell’UE.
La costruzione di una comunità europea della resilienza fondata sulla fiducia è forse uno degli elementi meno visibili ma più importanti dell’intero sistema, perché senza fiducia, condivisione di dati sensibili e cooperazione tra pubblico e privato, la resilienza rischia di restare soltanto un obiettivo formale.
Conclusione
La nuova politica europea in materia di infrastrutture critiche non è una semplice riforma tecnica. È la costruzione di una vera architettura di resilienza sistemica. La direttiva CER, il regolamento delegato sui servizi essenziali, la raccomandazione del 2022, il Blueprint del 2024, le linee guida del 2025 e il lavoro del CERG concorrono tutti allo stesso obiettivo: garantire che i servizi essenziali dell’Unione continuino a funzionare anche in un contesto segnato da sabotaggio, terrorismo, crisi climatiche, attacchi ibridi e crescente interdipendenza digitale.
In definitiva, l’Europa sta cercando di passare da una logica di mera protezione a una logica di governo della continuità. È questo, oggi, il vero significato della resilienza delle infrastrutture critiche.
Autori
* Oliviero Casale è General Manager di UniProfessioni , Innovation Manager certificato UNI 11814 e Mentor Industry 6.0; componente del CtS di Net EU Association; consigliere della Fondazione Communia; Segretraio di AICQ Emilia Romagna e Marche; componente di ISO TC/279 (Innovation management); Cultore della Materia in “Affidabilità Controllo Qualità e Certificazione di Processo e di Prodotto” presso il Dipartimento di Ingegneria Industriale dell’Università di Bologna.
Email: oliviero.casale@uniprofessioni.it
Linkedin: https://linkedin.com/in/olivierocasale/
** Paola Rinaldi è laureata in Fisica e PhD in Ingegneria elettrotecnica; titolare del corso di “Affidabilità, Controllo Qualità e Certificazione di Processo e di Prodotto” nel C.d.L. in Ingegneria Gestionale nell’Università di Bologna; Vicepresidente di Aicq Emilia-Romagna e certificata come Circular Economy Advisor.
Email: paola.rinaldi@unibo.it
Linkedin: https://linkedin.com/in/paola-rinaldi-phd-748b22a0
