Le infrastrutture critiche: un punto di vista normativo

La Direttiva 2008/114/CE del Consiglio dell’8 dicembre 2008 definisce chiaramente le locuzioni: infrastruttura critica “un elemento, un sistema o parte di questo ubicato negli Stati membri che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in uno Stato membro a causa dell’impossibilità di mantenere tali funzioni” e infrastruttura critica europea “un’infrastruttura critica ubicata negli Stati membri il cui danneggiamento o la cui distruzione avrebbe un significativo impatto su almeno due Stati membri. La rilevanza dell’impatto è valutata in termini intersettoriali. Sono compresi gli effetti derivanti da dipendenze intersettoriali in relazione ad altri tipi di infrastrutture”.
In estrema sintesi, la direttiva introduce una procedura per l’individuazione e la designazione delle infrastrutture critiche europee (ECI) nei settori (e relativi sotto-settori) dell’energia e dei trasporti delineando, altresì, un approccio comune di valutazione. Per individuare potenziali ECI gli Stati membri dovrebbero utilizzare criteri:
– intersettoriali, che tengono conto del numero delle vittime nonché delle conseguenze economiche e delle conseguenze per i cittadini;
– settoriali, che tengono conto delle caratteristiche dei singoli settori delle ECI.
Il processo implica momenti di interazione, scambio e discussione con altri Stati membri che possono essere interessati in modo significativo dalla perdita del servizio offerto da un’infrastruttura. Lo Stato membro nel cui territorio è ubicata l’infrastruttura, inoltre, deve dare il proprio consenso, affinché tale infrastruttura possa essere formalmente designata come ECI. Aspetto, quest’ultimo, affatto banale e scontato.
Gli Stati membri devono assicurare, in aggiunta, che tutte le ECI designate dispongano di un piano di sicurezza per gli operatori (PSO) e di un Security Liaison Officer (SLO).
La procedura ECI PSO comporta almeno:
– l’individuazione degli elementi importanti;
– un’analisi dei rischi basata sulle minacce più gravi, sulla vulnerabilità di ogni elemento e sull’impatto potenziale;
– l’individuazione, la selezione e la “prioritarizzazione” di contromisure e procedure, con una distinzione fra:
i) misure permanenti di sicurezza, che individuano gli investimenti e gli strumenti indispensabili in materia di sicurezza che si prestano ad essere utilizzati in ogni momento. Rientrano sotto questa voce le informazioni riguardanti le misure di tipo generale, quali quelle tecniche (inclusa l’installazione di strumenti di rilevazione, controllo accessi, protezione e prevenzione); le misure organizzative (comprese le procedure di allarme e gestione delle crisi); le misure di controllo e verifica; le comunicazioni; la crescita della consapevolezza e l’addestramento; la sicurezza dei sistemi informativi;
ii) misure graduali di sicurezza, che possono essere attivate in funzione dei diversi livelli di rischio e di minaccia.
Il SLO, invece, agisce come punto di contatto fra il proprietario/l’operatore della ECI e l’autorità competente dello Stato membro, al fine di scambiare informazioni utili relative ai rischi e alle minacce individuati, riguardo alla ECI interessata.
L’Italia recepisce la suddetta direttiva europea l’11 aprile 2011 con il D.Lgs. n. 61, stabilendo una serie di cose (non secondarie) quali, a titolo esemplificativo:
– art. 3, comma 1, “Alle informazioni sensibili relative alle infrastrutture critiche, nonché ai dati ed alle notizie relativi al processo d’individuazione, di designazione e di protezione delle infrastrutture critiche europee, è attribuita adeguata classifica di segretezza ai sensi dell’articolo 42 della legge 3 agosto 2007, n. 124, e relative disposizioni attuative”;
– art. 4, le funzioni riguardanti l’individuazione e la designazione di tali infrastrutture sono assegnate al Nucleo Interministeriale Situazione e Pianificazione (NISP), integrato dai rappresentanti del Ministero dello Sviluppo Economico, per il settore energia, del Ministero delle Infrastrutture e dei Trasporti ed enti vigilati, per il settore trasporti;
– art. 8, comma 4, il Presidente del Consiglio dei Ministri, su proposta del NISP, designa, con apposito decreto, l’infrastruttura critica;
– art. 11, comma 1, “Il Ministero dell’interno, il Ministero della Difesa, il Dipartimento della Protezione Civile della Presidenza del Consiglio dei Ministri ed il Ministero dello Sviluppo Economico, per il settore energia, ed il Ministero delle Infrastrutture e dei Trasporti, per il settore trasporti, pongono in essere, nell’ambito delle rispettive competenze, tutte le azioni e le misure indispensabili a garantire la protezione delle infrastrutture critiche europee ubicate in territorio nazionale, avvalendosi dei propri organi centrali o delle articolazioni locali, ove esistenti, e tenendo informato il NISP” e comma 2, “A livello locale la responsabilità della protezione delle singole installazioni costituenti le infrastrutture critiche europee è attribuita al Prefetto territorialmente competente”;
– art. 16, “Dall’attuazione del decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le Amministrazioni pubbliche competenti provvedono agli adempimenti previsti dal presente decreto con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente”.
Quello che emerge, dunque, è un quadro normativo caratterizzato da un numero di attori, responsabilità
e compiti davvero considerevole che si confronta con una realtà parimenti complessa e una percezione delle cose (e della normativa vigente), talvolta, differente.
di Cristhian Re, Responsabile Security Edipower