Direttiva CER e soggetti critici: il Security Manager come punto di contatto interno per la resilienza

La Direttiva (UE) 2022/2557, nota come Direttiva CER, Critical Entities Resilience, segna un passaggio decisivo nella concezione europea della sicurezza delle infrastrutture e dei servizi essenziali. Il suo valore non consiste soltanto nell’aver introdotto nuovi obblighi per gli Stati membri e per i soggetti critici, ma nell’aver modificato il baricentro stesso della sicurezza: dalla protezione della singola infrastruttura alla resilienza complessiva dell’organizzazione che assicura una funzione vitale per la società o per l’economia.

Nel precedente modello europeo, l’attenzione era rivolta prevalentemente all’infrastruttura critica intesa come bene fisico da proteggere. La Direttiva CER supera questa impostazione e introduce una visione più ampia, nella quale ciò che conta non è soltanto la difesa dell’impianto, del sito, della rete o del sistema, ma la capacità del soggetto critico di continuare a fornire il servizio essenziale anche in presenza di eventi avversi. La resilienza diventa così una qualità organizzativa: capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative.

Questa evoluzione ha conseguenze rilevanti per la security aziendale. Se la sicurezza non è più soltanto protezione fisica, ma continuità del servizio, capacità di gestione della crisi, governo delle interdipendenze, dialogo con le autorità e integrazione tra rischi fisici, tecnologici, organizzativi e umani, allora diventa necessario individuare all’interno delle organizzazioni una figura professionale capace di svolgere una funzione di raccordo. In questa prospettiva, il Security Manager appare come il soggetto naturalmente deputato ad assumere il ruolo di punto di contatto interno per la resilienza dei soggetti critici.

Il quadro CER: una sicurezza integrata e multilivello

La Direttiva CER nasce dalla consapevolezza che le società contemporanee dipendono da reti di servizi essenziali sempre più interconnesse. Energia, trasporti, sanità, acqua, infrastrutture digitali, pubblica amministrazione, settore finanziario, spazio e filiera alimentare costituiscono ambiti nei quali la perturbazione di un singolo servizio può produrre effetti a cascata su altri settori e, in alcuni casi, su altri Stati membri.

Non si tratta più, quindi, di proteggere soltanto un’infrastruttura contro un evento ostile o accidentale. Si tratta di assicurare la continuità di una funzione essenziale. Questo significa che la sicurezza deve essere letta in chiave integrata: security fisica, safety, cybersecurity, business continuity, crisis management, gestione del personale, supply chain, comunicazioni istituzionali e compliance normativa devono convergere in un unico sistema di governo del rischio.

La Direttiva richiede agli Stati membri di designare autorità competenti e un punto di contatto unico per garantire la cooperazione transfrontaliera con gli altri Stati membri e con il gruppo europeo per la resilienza dei soggetti critici. In Italia, il D.Lgs. 4 settembre 2024, n. 134, pubblicato nella Gazzetta Ufficiale n. 223 del 23 settembre 2024, ha dato attuazione alla Direttiva CER.

Direttiva CER e il PCU

Il decreto italiano ha istituito presso la Presidenza del Consiglio dei ministri il Punto di Contatto Unico in materia di resilienza dei soggetti critici, definito PCU. Il PCU assicura, tra l’altro, il collegamento con la Commissione europea, con i punti di contatto unici degli altri Stati membri, con le Autorità settoriali competenti e con il gruppo per la resilienza dei soggetti critici. Riceve inoltre le notifiche degli incidenti e promuove attività di ricerca e formazione in materia di resilienza delle infrastrutture critiche.

Questa architettura istituzionale chiarisce un punto essenziale: il “punto di contatto unico” è una funzione pubblica, collocata nel sistema nazionale di coordinamento. Diverso, ma complementare, è il punto di contatto interno al soggetto critico, cioè la figura che, all’interno dell’organizzazione, assicura il collegamento con le Autorità settoriali competenti e con il PCU.

Il punto di contatto interno: una funzione strategica, non meramente amministrativa 

Il D.lgs. 134/2024 prevede che i soggetti critici si dotino di un’adeguata organizzazione interna e designino un soggetto, da comunicare alle Autorità settoriali competenti e al PCU, al fine di assicurare l’attuazione degli adempimenti previsti dal decreto e il collegamento con tali autorità.

Questa previsione è di grande rilievo. Il referente interno non può essere considerato un semplice recapito formale o una casella di posta istituzionale. Al contrario, rappresenta il nodo organizzativo attraverso cui devono transitare informazioni, obblighi, valutazioni, notifiche, richieste dell’autorità, risposte operative e attività di coordinamento.

Il punto di contatto interno deve conoscere la struttura dell’organizzazione, i suoi assets critici, i processi essenziali, i siti sensibili, i sistemi di protezione, le dipendenze da fornitori esterni, le procedure di emergenza, i piani di continuità operativa e le modalità di escalation in caso di incidente. Deve inoltre essere in grado di dialogare con il vertice aziendale, con le funzioni tecniche, con la compliance, con la cybersecurity, con il responsabile della protezione dei dati, con le risorse umane, con la logistica, con il procurement e con le autorità pubbliche.

Questa funzione, dunque, non può essere improvvisata. Richiede competenze manageriali, capacità di valutazione del rischio, conoscenza dei processi di security, familiarità con la gestione delle crisi, capacità di coordinamento interfunzionale e autorevolezza organizzativa.

Perché il Security Manager è la figura naturalmente idonea     

Il Security Manager, soprattutto se qualificato secondo schemi professionali riconosciuti come la UNI 10459, è la figura che più coerentemente risponde a questa esigenza. La norma UNI 10459 è richiamata nei percorsi di certificazione del Security Manager come riferimento per la figura professionale coinvolta nel processo di security, dotata di conoscenze, abilità e competenze idonee a garantire la gestione complessiva del processo. Anche CEPAS descrive il Security Manager come figura manageriale in grado di garantire la gestione complessiva del processo di security o di suoi rilevanti sotto-processi.

La ragione è evidente. La CER non chiede soltanto di adempiere a obblighi documentali, ma di costruire resilienza. E la resilienza richiede una funzione capace di tenere insieme prevenzione, protezione, risposta e ripristino. Il Security Manager presidia esattamente questo spazio: non è soltanto il responsabile della vigilanza fisica o del controllo accessi, ma il gestore di un processo articolato che riguarda persone, beni, infrastrutture, informazioni, procedure, fornitori, minacce intenzionali e vulnerabilità organizzative.

Nel contesto CER, il Security Manager può assumere il ruolo di punto di contatto interno perché possiede una visione trasversale del rischio. È in grado di tradurre le richieste dell’autorità in azioni organizzative concrete; può contribuire alla valutazione del rischio del soggetto critico; può raccordare il piano di resilienza con i piani di security, business continuity e crisis management; può coordinare le attività di formazione e sensibilizzazione del personale; può partecipare alla gestione degli incidenti e assicurare che le notifiche siano tempestive, corrette e coerenti.

Il D.lgs. 134/2024 richiede ai soggetti critici di adottare misure tecniche, di sicurezza e organizzative adeguate e proporzionate, comprensive della protezione fisica dei siti, delle procedure di gestione dei rischi e delle crisi, della continuità operativa, delle catene di approvvigionamento alternative, della gestione della sicurezza del personale, della formazione e delle esercitazioni. È difficile immaginare una figura più coerente del Security Manager per coordinare, o quantomeno presidiare, l’integrazione di tali misure.

Direttiva CER e la Direttiva NIS2 e il rapporto con cybersecurity, safety e compliance 

Indicare il Security Manager come punto di contatto interno non significa attribuirgli in modo esclusivo tutte le responsabilità tecniche. La resilienza dei soggetti critici è, per definizione, una materia interdisciplinare. Il Security Manager non sostituisce il CISO, il responsabile della cybersecurity, il responsabile della business continuity, il DPO, l’RSPP, la funzione legale, la compliance o il crisis manager. Piuttosto, assume il ruolo di coordinatore della componente security e di raccordo organizzativo verso le autorità competenti.

Questa precisazione è essenziale. La Direttiva CER e la Direttiva NIS2 devono essere lette in modo complementare. Il rischio fisico e il rischio cibernetico non sono più separabili in modo netto: un attacco informatico può bloccare un’infrastruttura fisica; un sabotaggio fisico può compromettere sistemi digitali; una crisi organizzativa può generare effetti sulla continuità del servizio. Il punto di contatto interno deve quindi essere in grado di attivare le competenze specialistiche necessarie, senza pretendere di sostituirle.

Il Security Manager, se correttamente collocato nella governance aziendale, può diventare il perno di questa integrazione. Il suo compito è garantire che le informazioni rilevanti circolino, che le responsabilità siano chiare, che le procedure siano coerenti, che le misure siano testate e che il vertice disponga degli elementi necessari per assumere decisioni tempestive.

Il ruolo nelle notifiche degli incidenti 

Uno degli ambiti nei quali il punto di contatto interno assume maggiore importanza è la notifica degli incidenti. Il decreto italiano stabilisce che i soggetti critici notificano senza indebito ritardo all’Autorità settoriale competente e al PCU gli incidenti rilevanti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali. Salvo impossibilità operativa, la notifica deve avvenire entro ventiquattro ore dal momento in cui il soggetto critico viene a conoscenza dell’incidente e, ove opportuno, deve essere seguita da una relazione dettagliata entro trenta giorni.

Questo obbligo dimostra che la funzione di collegamento non può essere puramente formale. Per notificare correttamente un incidente occorre saperlo riconoscere, qualificarlo, valutarne l’impatto, raccogliere informazioni attendibili, coordinarsi con le funzioni tecniche e decidere rapidamente. Occorre inoltre comprendere se l’incidente possa avere effetti transfrontalieri, se possa incidere su altri servizi essenziali e se richieda l’attivazione di procedure di crisi.

Il Security Manager, quale punto di contatto interno, dovrebbe quindi essere inserito nelle procedure di incident management e crisis management. Dovrebbe partecipare alla definizione delle soglie interne di escalation, alla costruzione dei flussi informativi, alla formazione del personale e alle esercitazioni. La qualità della notifica dipende infatti dalla qualità dell’organizzazione che la precede.

Una proposta organizzativa 

Per rendere effettiva questa funzione, l’individuazione del Security Manager come punto di contatto interno dovrebbe essere formalizzata con un atto dell’alta direzione. Tale atto dovrebbe indicare:

• il mandato,
• i poteri,
• le responsabilità,
• le linee di riporto,
• i sostituti in caso di assenza,
• le modalità di coordinamento con le altre funzioni aziendali e
• i flussi informativi verso il vertice.

Il Security Manager dovrebbe avere accesso alle informazioni necessarie per conoscere lo stato di resilienza dell’organizzazione, contribuire alla valutazione del rischio, partecipare alla predisposizione del piano di resilienza, monitorare l’attuazione delle misure, coordinare le esercitazioni e assicurare il collegamento con le Autorità settoriali competenti e con il PCU.

Questa funzione dovrebbe essere collocata in una governance integrata, nella quale siano chiaramente definiti i rapporti con cybersecurity, continuità operativa, crisis management, safety, privacy, risorse umane, procurement e comunicazione istituzionale. Il punto di contatto interno non deve diventare un centro di responsabilità isolato, ma il nodo di raccordo di un sistema organizzativo complesso.

In tal senso, la nomina del Security Manager come referente CER interno rappresenterebbe anche un’occasione per rafforzare il riconoscimento professionale della security aziendale. La Direttiva CER, infatti, mostra con chiarezza che la sicurezza non è più una funzione ancillare o meramente esecutiva, ma una componente strategica della continuità delle funzioni essenziali.

La Direttiva CER e il D.lgs. 134/2024: l’occasione per riconoscere il ruolo centrale del Security Manager nella sicurezza integrata  

La Direttiva CER e il D.lgs. 134/2024 introducono una nuova grammatica della sicurezza. Il soggetto critico non è chiamato soltanto a proteggere infrastrutture, ma a garantire resilienza; non deve solo prevenire incidenti, ma assicurare continuità; non deve solo adempiere a obblighi formali, ma costruire una capacità organizzativa verificabile.

In questo quadro, il punto di contatto interno diventa una figura decisiva. Non è un mero referente amministrativo, ma il presidio attraverso cui l’organizzazione dialoga con le autorità, coordina gli adempimenti, governa le informazioni critiche e traduce la normativa in processi operativi.

Per competenze, collocazione funzionale e visione trasversale del rischio, il Security Manager è la figura più idonea ad assumere questo ruolo. La sua designazione come punto di contatto interno per la resilienza dei soggetti critici consentirebbe di rafforzare il collegamento tra norma e organizzazione, tra security e continuità operativa, tra prevenzione e risposta alla crisi.

La CER, dunque, non rappresenta soltanto un nuovo adempimento europeo. Può diventare l’occasione per riconoscere finalmente il Security Manager come attore centrale della sicurezza integrata, della resilienza organizzativa e della protezione delle funzioni vitali del Paese.