Direttiva CER: cosa disciplina e a chi si applica

Introduzione

La direttiva UE 2022/2555 c.d. NIS2 (Network and Information Security) è entrata in vigore il 17 gennaio 2023. Gli Stati membri hanno avuto tempo fino al 17 ottobre 2024 per recepirla nel loro diritto nazionale. In particolare, in Italia il recepimento è avvenuto tramite il decreto legislativo 4 settembre 2024 n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, entrato in vigore il 16 ottobre 2024. Tale direttiva ha lo scopo di rafforzare la sicurezza informativa nel contesto europeo.

Il coordinamento tra Direttiva NIS2 e Direttiva CER

La direttiva sopra menzionata non va confusa con la Direttiva (UE) 2022/2557, c.d. Direttiva CER (Critical Entities Resilience), entrata in vigore il 17 ottobre 2024. La Direttiva CER sostituisce la precedente direttiva 2008/114/CE e si focalizza sulla resilienza dei soggetti critici nei settori chiave come energia, trasporti, finanza, acqua, cibo, sanità, spazio, e alcuni aspetti della pubblica amministrazione. La direttiva mira a rafforzare la resilienza delle infrastrutture essenziali dell'UE - per la protezione fisica delle infrastrutture critiche-, con una armonizzazione minima delle norme per garantire la continuità dei servizi. Gli Stati membri hanno dovuto recepire entro il 17 ottobre 2024 la direttiva in argomento. Il recepimento in Italia è avvenuto tramite il decreto legislativo 23 settembre 2024 n. 134, il quale ha definito le misure per l'attuazione della direttiva a livello nazionale, sottolineando l'importanza della conformità alle nuove disposizioni per garantire la sicurezza e la continuità dei servizi essenziali. 

Come chiarito dalla Direttiva CER, i fornitori di servizi essenziali e soggetti critici hanno un ruolo indispensabile per il mantenimento delle funzioni vitali della società e delle attività economiche nel mercato interno, in applicazione dell'articolo 114 TFUE.

La direttiva chiarisce che è necessario un approccio coerente fra la presente direttiva e la direttiva NIS2. Infatti, la direttiva (UE) 2022/2555 impone a un'ampia gamma di soggetti requisiti dettagliati per garantire la propria cybersicurezza. Le materie da essa disciplinate dovrebbero essere escluse dall'ambito di applicazione della direttiva CER, fermo restando il particolare regime per i soggetti del settore delle infrastrutture digitali.

In via ulteriore, il considerando n. 10 della direttiva CER stabilisce che “qualora le disposizioni di atti giuridici settoriali dell'Unione impongano ai soggetti critici di adottare misure per rafforzare la propria resilienza o di notificare gli incidenti, e qualora tali requisiti siano riconosciuti dagli Stati membri come almeno equivalenti ai corrispondenti obblighi stabiliti dalla presente direttiva, le pertinenti disposizioni della presente direttiva non dovrebbero applicarsi, in modo da evitare duplicazioni e oneri non necessari. In tal caso dovrebbero applicarsi le pertinenti disposizioni di tali atti giuridici dell'Unione. Qualora non si applichino le pertinenti disposizioni della presente direttiva, non dovrebbero applicarsi nemmeno le disposizioni di cui alla presente direttiva in materia di vigilanza ed esecuzione”. È il caso della DORA, la quale disciplina interamente il settore bancario e delle infrastrutture di mercato e della NIS2 per quanto concerne in materia di cybersicurezza digitale.

A ribadirlo è sia il considerando n. 21 - chiarendo che gli obblighi applicabili ai soggetti finanziari per la gestione dei rischi informatici, anche per quanto riguarda la protezione delle infrastrutture delle tecnologie dell'informazione e della comunicazione fisiche sono integrate dalla DORA - nonché dall'art. 1 punto 2 - il quale evidenzia che la direttiva CER non si applica alle materie disciplinate dalla direttiva NIS2.

 Inoltre, l'art. 1, punto 3, ribadisce che “Qualora le disposizioni di atti giuridici settoriali dell'Unione richiedano ai soggetti critici di adottare misure per rafforzare la propria resilienza e tali requisiti siano riconosciuti dagli Stati membri come almeno equivalenti ai corrispondenti obblighi stabiliti dalla presente direttiva, non si applicano le pertinenti disposizioni della presente direttiva, comprese le disposizioni in materia di vigilanza ed esecuzione di cui al capo VI”.

Occorre, altresì, evidenziare che entro il 17 gennaio 2026 ogni Stato membro deve adottare una strategia per rafforzare la resilienza dei soggetti critici c.d. “strategia”.

In via ulteriore, la Commissione europea ha il potere di adottare un atto delegato, al fine di integrare la direttiva CER stabilendo un elenco non esaustivo dei servizi essenziali nei settori e nei sotto-settori di cui all'allegato alla medesima. Le autorità competenti devono utilizzare tale elenco dei servizi essenziali per effettuare una valutazione del rischio c.d. “valutazione del rischio dello Stato membro” entro il 17 gennaio 2026 e successivamente ogniqualvolta necessario e almeno ogni quattro anni.

La valutazione del rischio dello Stato membro deve tenere debitamente conto dei rischi rilevanti, naturali e di origine umana, compresi quelli di natura intersettoriale o transfrontaliera, gli incidenti, le catastrofi naturali, le emergenze di sanità pubblica, le minacce ibride o altre minacce antagoniste, inclusi i reati di terrorismo di cui alla direttiva (UE) 2017/541.

Ai sensi dell'art. 6 della direttiva CER, ogni Stato membro redige un elenco dei soggetti critici individuati e provvede affinché a tali soggetti critici sia notificato che sono stati individuati come tali entro un mese dall'individuazione stessa, informandoli degli obblighi di cui ai capi III e IV e della data a decorrere dalla quale si applicano loro tali obblighi.

Particolare rilievo assume l'obbligo in capo agli Stati membri di notificare alle rispettive autorità competenti di cui alla direttiva NIS2, l'identità dei soggetti critici individuati entro un mese dall'individuazione medesima. Nel caso di soggetti di cui ai punti 3 (settore bancario), 4 (infrastrutture dei mercati finanziari) e 8 (infrastrutture digitali) della tabella allegata alla direttiva CER, è opportuno chiarire che questi ultimi non sono soggetti agli obblighi di cui ai capi III e IV della medesima.

A tal proposito l'art. 8 della direttiva CER chiarisce che “gli Stati membri provvedono affinché l'articolo 11 e i capi III, IV e VI non si applichino ai soggetti critici che hanno individuato nei settori di cui ai punti 3 [settore bancario], 4 [infrastrutture dei mercati finanziari] e 8 [infrastrutture digitali] della tabella di cui all'allegato. Gli Stati membri possono adottare o mantenere in vigore disposizioni di diritto interno atte a conseguire un livello di resilienza più elevato per tali soggetti critici, a condizione che dette disposizioni siano coerenti con il diritto dell'Unione applicabile”.

In conclusione

È possibile affermare, quindi, che la direttiva CER si applica a tutti i settori tassativamente indicati all'allegato della medesima, fatta eccezione al settore bancario, infrastrutture dei mercati finanziari, infrastrutture digitali, disciplinati dalla DORA.

È prevista, inoltre, una esclusione di competenza per le materie trattate dalla Direttiva NIS2, con cui vi deve essere sempre una armonizzazione minima delle norme.