Il 11 giugno 2026, la Presidenza del Consiglio dei Ministri ha presentato la Strategia Nazionale per la Resilienza dei Soggetti Criticiun piano ambizioso per proteggere le infrastrutture essenziali del Paese. Questo documento, che attua l’articolo 6 del decreto legislativo 4, n. 134, rappresenta un passo fondamentale per l’Italia nel recepire la direttiva europea CER (Critical Entities Resilience) e affrontare le sfide della resilienza fisica e cyber.
La strategia si inserisce in un contesto più ampio, che include la Strategia Nazionale di Cybersicurezza 2026-2026e mira a coordinare gli obblighi previsti dalla direttiva CER con quelli della normativa NIS2. Questo coordinamento è essenziale per evitare sovrapposizioni e garantire un approccio armonizzato alla gestione dei rischi.
Il coordinamento tra CER e NIS2: un doppio binario
Le normative CER e NIS2 presentano strutture di governance diverse e autorità di riferimento specifiche. La CER prevede che ogni settore abbia la propria Autorità di riferimento, come il MASE per l’energia, il MIT per i trasporti e il Ministero della Salute per la sanità, coordinate dal Punto di Contatto Unico presso la Presidenza del Consiglio dei Ministri. La NIS2, invece, individua l’Agenzia per la Cybersicurezza Nazionale (ACN) come autorità nazionale competente unica.
L’ACN opera su un doppio binarioessendo al tempo stesso Autorità Settoriale Competente per le infrastrutture digitali in ambito CER. Questo implica che un gestore di reti energetiche, ad esempio, risponda al MASE sotto CER e all’ACN sotto NIS2. Inoltre, le soglie e i tempi di notifica degli incidenti differiscono tra le due normative, con NIS2 che prevede una early warning entro 24 ore, una notifica formale entro 72 ore e un rapporto finale entro un mese, mentre la CER utilizza criteri di rilevanza definiti settore per settore.
Rischi e interdipendenze: un approccio integrato
La strategia riconosce che le infrastrutture critiche sono esposte a tre categorie di rischio: naturali, antropici e intersettoriali. Questi ultimi, originati dalle interdipendenze tra reti, funzioni e settori, rappresentano una delle sfide più complesse. La strategia offre spunti rilevanti per chi opera nel settore, riconoscendo che molte interruzioni o danneggiamenti possono inserirsi in campagne ibride che combinano componenti fisiche, cyber, informative ed economiche.
Metodologicamente, la strategia colloca la valutazione del rischio nazionale prima della definizione degli obiettivi e delle misure attuative. Ogni misura è associata a un attore responsabile e a una data di avvio, su un arco temporale che si estende fino al 2027. Il processo di elaborazione ha incluso incontri settoriali con le Autorità Settoriali Competenti (ASC) e le principali associazioni di categoria, oltre a una consultazione pubblica.
La piattaforma di analisi predittiva
Un elemento particolarmente rilevante della strategia è lo sviluppo di una piattaforma per identificare e analizzare le interdipendenze settoriali. Basata su un protocollo d’intesa con un organismo nazionale di ricerca, la piattaforma includerà capacità di simulazione degli impatti a cascata e analisi predittive di tipo what-if, integrate con sistemi di Intelligenza artificiale. Questo strumento potrebbe diventare un punto di riferimento per la gestione delle crisi e la pianificazione strategica.
Cooperazione pubblico-privato e obiettivi della strategia
La strategia sottolinea l’importanza della cooperazione pubblico-privato per migliorare la capacità di prevenzione, risposta e ripristino. Questa cooperazione si realizza attraverso lo scambio bidirezionale di informazioni, la condivisione di metodologie di analisi del rischio, l’organizzazione di stress test settoriali e intersettoriali e la formazione del personale dei soggetti critici. La Conferenza per la Resilienza dei Soggetti Critici e il canale programmato con AIPSA rappresentano sedi stabili per questa collaborazione.
Gli obiettivi della strategia sono chiari: comprendere lo stato attuale della resilienza dei soggetti critici, conseguire e mantenere un livello elevato di resilienza e promuovere la cooperazione e il coordinamento tra gli attori coinvolti a livello nazionale, europeo e internazionale. Tra le misure previste figurano l’analisi delle dipendenze extra-nazionali, la mappatura delle dipendenze e interdipendenze settoriali e la diffusione di linee guida per le fasi di prevenzione, protezione, risposta e ripristino.
La strategia rappresenta un passo significativo verso la creazione di un sistema di infrastrutture critiche più resilienti e sicure, in grado di affrontare le sfide complesse del presente e del futuro.
