di Roberto Setola e Stefania Gliubich
L’art. 211 bis del D.L. 19.05.2020, n. 34 (il così detto DL Rilancio) impone agli operatori di infrastrutture critiche di adottare, ovvero aggiornare, i proprio piani di sicurezza con specifiche misure atte a garantire una migliore gestione di crisi derivanti da emergenze sanitaria. Tali aggiornamenti devono essere redatti d’intesa con le amministrazioni competenti e, per quel che concerne la gestione dell’emergenza Covid-19, tener conto delle linee guida emanate dai Ministeri competenti per materia e dei “Principi Precauzionali” emanati dalla Segreteria Infrastrutture Critiche della Presidenza del Consiglio dei Ministri.
Nell’ambito delle iniziative messe in atto dal Legislatore per una migliore gestione della crisi legata all’emergenza Covid-19 si innesta l’articolo 211-bis (“Continuità dei servizi erogati dagli operatori di infrastrutture critiche) del DL. Rilancio (D.L. n. 34/2020). La norma introduce l’obbligo in capo agli operatori di infrastrutture critiche, al fine di assicurare la continuità del servizio di interesse pubblico, di includere nei propri piani di sicurezza specifiche disposizioni per la gestione di crisi derivanti da emergenza di natura sanitaria. In particolare il comma 3 richiede che per quel che concerne la gestione della crisi legata al Covid-19, gli operatori di infrastrutture critiche nell’aggiornare i propri piani di sicurezza tengano conto delle linee guida elaborate dai Ministeri competenti per materia e dei “Principi Precauzionali” emanati dalla Segreteria Infrastrutture Critiche della Presidenza del Consiglio dei Ministri.
La ratio della norma deriva dalla constatazione della rilevanza dei servizi erogati dalle infrastrutture critiche e dalla conseguente necessità di garantire la continuità operativa di questi sistemi anche in presenza di un evento pandemico. Il tutto cercando di bilanciare le esigenze operative con la necessità di tutelare l’incolumità e la sicurezza degli addetti.
In quest’ottica il Legislatore prevede l’obbligo da parte degli operatori di infrastrutture critiche di adottare/ adeguare i propri piani di sicurezza in modo da contemplare esplicitamente anche scenari di crisi indotte da emergenze di natura sanitaria. In altri termini gli operatori di infrastrutture critiche devono predisporre, in analogia a quanto già fanno (o dovrebbero fare) per altre classi di rischi, opportune linee di condotta da attuare in concomitanza con l’insorgere di eventuali emergenze di natura sanitaria. In questa ottica la norma ha una valenza più generale rispetto allo scenario Covid, sollecitando gli operatori di infrastrutture critiche a considerare nell’ambito dei propri piani di sicurezza quanto necessario per una corretta gestione di queste tipologie di crisi. In questo quadro, stante la rilevanza crescente che assume la dimensione cibernetica, il Legislatore ha ritenuto opportuno rimarcare che le procedure di gestione dell’emergenza di origine sanitaria devono in ogni caso sottostare a quanto previsto per la gestione della sicurezza cibernetica dal D.Lgs n. 65 del 2018 (recepimento direttiva NIS) e dal decreto legge n. 105 del 2019 (Perimetro di Sicurezza Cibernetica Nazionale). Ovvero nel momento in cui l’operatore deve disegnare le proprie procedure di gestione di crisi di natura sanitaria non può derogare a quanto previsto dalle normative relative agli aspetti di sicurezza cibernetica. Ciò anche al fine di evitare che l’adozione di soluzioni emergenziali (cosa in parte successo durante i primi mesi dell’emergenza Covid) possa creare ulteriori vulnerabilità che potrebbero essere sfruttate da soggetti esterni ed esteri per compromettere la sicurezza cibernetica del Paese.
La norma, anche alla luce del carattere emergenziale della normativa per il contrasto al Covid, non specifica in modo puntuale quali elementi e quali aspetti debbano essere inseriti all’interno dei piani di sicurezza, lasciando in questo modo autonomia agli operatori di utilizzare le strategie e le impostazioni che autonomamente hanno adottato. Il comma 2 sottolinea, però, che l’aggiornamento dei piani di sicurezza è redatto d’intesa con le amministrazioni di cui all’art. 11, comma 3 del D.Lgs n. 61/2011 (Infrastrutture Critiche Europee).
Questo richiamo alla normativa sulle Infrastrutture Critiche Europee può essere letto come un suggerimento agli operatori affinché i loro piani di sicurezza siano in qualche modo conformi, o quanto meno allineati, a quanto previsto dall’allegato B del citato D.Lgs “Requisiti minimi del piano di sicurezza dell’operatore (PSO)”. In questo modo il legislatore ha voluto fornire una indicazione agli operatori senza però imporre loro uno stravolgimento delle proprie modalità operative. Il Legislatore si è, comunque, riservato la possibilità di emanare per tramite del NISP ai sensi dell’art. 14 del D.Lgs 61/2011 direttive interministeriali contenenti specifici parametri integrativi di protezione. La norma, nell’ipotesi in cui le iniziative autonomamente messe in atto dagli operatori non fossero adeguate alla gestione delle crisi sanitarie, conferisce al NISP la facoltà di emanare specifiche direttive volte a meglio indirizzare le attività di protezione che gli operatori devono mettere in atto.
Questa possibilità è però indicata come “eventuale”, quasi che fosse una estrema ratio volendo il legislatore preferire una rapporto di cooperazione con gli Operatori, come evidenziato dal comma 2 che sottolinea che gli aggiornamenti dei piani di sicurezza vanno redatti di “intesa” con i rappresentanti delle amministrazioni coinvolte. Il richiamo al comma 3 dell’art. 11 del D.Lgs 61/2011 fa emergere l’opportunità se non la necessità in questo contesto di “fare squadra” fra gli Operatori ed i diversi dicasteri. Sottolineando come la tematica della continuità operativa e della protezione delle Infrastrutture critiche sia trasversale al punto che, per ciascun operatore di infrastruttura critica, il legislatore chiede al Ministero dello sviluppo economico, per il settore energia, al Ministero delle infrastrutture e dei trasporti, per il settore trasporti, al Ministero dell’interno e della difesa, nonché al Dipartimento della protezione civile della Presidenza del Consiglio dei Ministri di individuare un proprio funzionario che funga da punto di contatto.
Dal combinato disposto di quanto previsto dal comma 2 dell’art. 211-bis e dal comma 3 dell’art. 11 del D.Lgs. 61/2011 si delinea uno scenario di cooperazione Pubblico-Privato nell’ambito del quale gli Operatori di Infrastrutture Critiche avranno la possibilità di confrontare le proprie visioni relative ai potenziali rischi ed alle consequenziali misure di mitigazione in modo unitario con i diversi dicasteri competenti. Questo aspetto è ulteriormente sottolineato dalla previsione che gli emendamenti ai piani di sicurezza siano comunicate ai Ministeri competenti per materia, alla Segreteria Infrastrutture Critiche e al Ministero dell’Interno per quel che concerne gli aspetti di sicurezza cibernetica ai sensi dell’art. 7bis del D.L. 144/2005 (CNAIPC).
Il comma 3 richiede che – per quel che riguarda specificatamente i piani di sicurezza relativi dell’emergenza Covid-19, che rappresenta una delle possibili emergenze di natura sanitaria – essi debbano tener conto delle linee guida emanate dei Ministeri competenti e dei Principi Precauzionali emanati alla Segreteria Infrastrutture Critiche (si veda oltre per una disamina degli stessi) .
Inoltre, con l’obiettivo di favorire il regolare funzionamento delle Infrastrutture Critiche durante l’emergenza Covid, il comma 4 specifica che il Ministero dell’Interno e quello della Salute adottano, per gli aspetti di rispettiva competenza, proprie direttive per favorire l’attuazione delle misure di cui al comma 3.
In altri termini il Legislatore, alla luce del fatto che l’emergenza Covid è ancora in atto, anticipa la fase di “intesa” di cui al comma 2, fornendo per questa specifica emergenza, da un lato, indicazioni ai singoli operatori su quali best-practice adottare e, dall’altro, dà incarico, rispettivamente, ai Ministeri dell’Interno e della Salute di adottare specifiche direttive per favorire: a) il regolare funzionamento e la continuità operativa delle infrastrutture critiche; b) la protezione dal contagio del personale operativo; c) la mobilità sul territorio nazionale, anche di personale proveniente da estero, per garantire la continuità operativa e le attività di manutenzione.
Ai fini dell’attuazione degli obblighi derivanti dall’art. 211-bis sono identificati operatori di infrastrutture critiche, coloro che :
- gestiscono le infrastrutture individuate come critiche dai decreti dirigenziali del Ministero della Sviluppo Economico e dal Mistero delle Infrastrutture e dei Trasporti ai sensi dell’art. 5 del D.Lgs. 61/2011. Tali infrastrutture sono state individuate sulla scorta di criteri di carattere settoriale ed intersettoriale determinati dai singoli dicasteri di concerto con la Segreteria Infrastrutture Critiche. Il Legislatore, tenuto conto della specificità dell’emergenza Covid, ha previsto inoltre la possibilità di integrare tali elenchi con ulteriori infrastrutture da individuarsi con successivi decreti direttoriali e su proposta dei ministeri competenti;
- gli operatori di servizi essenziali e i fornitori di servizi digitali individuati ai sensi del D-Lgs 65/2018 (Direttiva NIS);
- le società e gli enti che gestiscono o ospitano i sistemi spaziali dell’Unione Europea ubicati nel territorio nazionale (quindi in primo luogo il centro di controllo di Galileo) nonché i sistemi spaziali nazionali impiegati per finalità di difesa e sicurezza nazionale. Il legislatore ha integrato quest’ultima tipologia alla luce del fatto che il segmento spaziale non è ricompreso fra quelli precedentemente elencati nonostante la sua rilevanza strategica.
In conclusione, attraverso l’art. 211 bis il Legislatore interviene in una materia che vede coesistere più normative, spesso frammentate, nella sempre maggiore consapevolezza la rilevanza delle Infrastrutture Critiche per il benessere del Paese e la loro crescente complessità richiedono un approccio sempre più integrato che superi e travalichi responsabilità e competenze dei singoli dicasteri, suggerendo l’opportunità di una normativa maggiormente unitaria. ©