In attuazione della legge 21 febbraio 2024, n. 15 (legge di delegazione europea 2022-2023), il Governo ha adottato lo SCHEMA di un decreto legislativo per l’attuazione della Direttiva (UE) 2022/2557, concernente la resilienza dei soggetti critici (direttiva CER - critical entities resilience).

Per comprendere, esattamente, di che cosa si tratta è necessario, in via preliminare, prendere in considerazione alcune delle principali definizioni contenute nella direttiva.

In particolare, le definizioni da considerare sono le seguenti:

1) «soggetto critico»: un soggetto pubblico o privato che è stato individuato da uno Stato membro, ai sensi dell’articolo 6, come appartenente a una delle categorie di cui alla terza colonna della tabella di cui all’allegato;

2) «resilienza»: la capacità di un soggetto critico di prevenire, attenuare, assorbire un incidente, di proteggersi da esso, di rispondervi, di resistervi, di adattarvisi e di ripristinare le proprie capacità operative;

3) «incidente»: un evento che può perturbare in modo significativo, o che perturba, la fornitura di un servizio essenziale, inclusi i casi in cui si ripercuote negativamente sui sistemi nazionali che salvaguardano lo Stato di diritto;

4) «infrastruttura critica»: un elemento, un impianto, un’attrezzatura, una rete o un sistema o una parte di un elemento, di un impianto, di un’attrezzatura, di una rete o di un sistema, necessari per la fornitura di un servizio essenziale;

5) «servizio essenziale»: un servizio fondamentale per il mantenimento di funzioni vitali della società, di attività economiche, della salute e della sicurezza pubbliche o dell’ambiente;

6) «rischio»: la potenziale perdita o perturbazione causata da un incidente e deve essere espresso come combinazione dell’entità di tale perdita o perturbazione e della probabilità che si verifichi l’incidente;

7) «valutazione del rischio»: l’intero processo volto a determinare la natura e la portata di un rischio individuando e analizzando potenziali minacce, vulnerabilità e pericoli pertinenti che potrebbero causare un incidente e valutando la potenziale perdita o perturbazione della fornitura di un servizio essenziale causata da tale incidente;

10) «ente della pubblica amministrazione»: un soggetto riconosciuto come tale in uno Stato membro conformemente al diritto nazionale, esclusi il settore della giustizia, i parlamenti e le banche centrali, che soddisfa i criteri seguenti:

a) è istituito allo scopo di soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale;

b) è dotato di personalità giuridica o è autorizzato per legge ad agire per conto di un altro soggetto dotato di personalità giuridica;

c) è finanziato in modo maggioritario da autorità statali o da altri organismi di diritto pubblico a livello centrale; la sua gestione è soggetta alla vigilanza di tali autorità o organismi, oppure è dotato di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata da autorità statali o da altri organismi di diritto pubblico a livello centrale;

d) ha il potere di adottare, nei confronti di persone fisiche o giuridiche, decisioni amministrative o normative che incidono sui loro diritti relativi alla circolazione transfrontaliera delle persone, delle merci, dei servizi o dei capitali.

Partendo da queste definizioni, la Direttiva reca norme armonizzate nei seguenti ambiti:

- misure specifiche volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, della salute e della sicurezza pubbliche o dell'ambiente, siano erogati senza impedimenti;

- criteri per individuare i soggetti critici e misure per sostenerli nell’adempimento degli obblighi loro imposti;

- obblighi per i soggetti critici volti a rafforzare la loro resilienza e la loro capacità di fornire servizi essenziali in ambito nazionale ed europeo, nonché disposizioni in materia di vigilanza e irrogazione di sanzioni;

- disposizioni sulla predisposizione della strategia nazionale, sulla valutazione del rischio, sul Comitato interministeriale per la resilienza, sulle autorità settoriali competenti e sul punto di contatto unico;

- disposizioni per i soggetti critici di particolare rilevanza a livello europeo e per la cooperazione con gli altri Stati membri.

Con riferimento allo SCHEMA di decreto legislativo elaborato dal Governo, per l'attuazione della Direttiva, la delega legislativa è stata esercitata ai sensi dell’articolo 5 della legge n. 15/2024, prevedendo che:

a) dal campo di applicazione del provvedimento vanno esclusi:

• gli organi, le articolazioni della pubblica amministrazione, nonché gli enti che operano nei settori della pubblica sicurezza, della difesa nazionale o dell’attività di contrasto e perseguimento di reati;
• gli organismi di informazione per la sicurezza, l’Agenzia per la cybersicurezza nazionale, il Parlamento, la Banca d’Italia, l’Unità di informazione finanziaria e per gli organi giudiziari;

b) va demandata a un DPCM l’individuazione di specifici soggetti critici che svolgono attività principalmente nei settori della pubblica sicurezza, della protezione civile, della difesa o dell'attività di contrasto o che forniscono servizi esclusivamente agli organi, articolazioni o agli enti della pubblica amministrazione;

c) va disciplinato il procedimento per l’acquisizione dei precedenti penali (lett. “personali”) di coloro che svolgono attività o ricoprono ruoli particolarmente delicati nell’erogazione dei servizi essenziali da parte dei soggetti critici.

In particolare, la bozza di decreto legittima i soggetti critici, anche diversi dalle Pubbliche amministrazioni, a richiedere, tenendo conto della valutazione del rischio dello Stato, il certificato del casellario giudiziale europeo per le persone che:

- rivestano ruoli sensibili all’interno della struttura del soggetto critico o a vantaggio di quest’ultimo, con particolare riferimento ai ruoli con competenze in materia di resilienza;

- siano autorizzati ad accedere – direttamente o a distanza - ai suoi siti e ai suoi sistemi informatici o di controllo;

- siano candidati per l’assunzione in alcuno dei ruoli su descritti.

Il procedimento di rilascio del Casellario prevede che sia l’Ufficio centrale presso il Ministero della giustizia, competente in materia, a fornire le risposte alle richieste di informazioni nel rispetto del Codice domestico, del GDPR e del d.lgs. n. 51 del 2018.

Infine, lo SCHEMA di decreto disciplina la procedura di notifica da osservare in caso di incidente, prevedendo che i soggetti critici hanno l’obbligo di comunicare, senza indebito ritardo, gli incidenti che sono rilevanti in quanto perturbano o possono perturbare, significativamente, la continuità di servizi essenziali.

La procedura di notifica deve tenere conto che vanno fornite, alle autorità competenti, tutte le informazioni utili - nessuna è esclusa -, dovendosi:

• comprendere la natura, la causa e le possibili conseguenze dell’incidente, incluso un eventuale impatto transfrontaliero;
• reagire tempestivamente, sulla base delle informazioni acquisite agli incidenti.

• PARERE DEL GARANTE

In relazione al predetto SCHEMA di decreto, il Dipartimento affari giuridici e legislativi della Presidenza del Consiglio dei Ministri ha richiesto il Parere del Garante.

Con la Newsletter del 13 settembre 2024, il Garante ha reso noto di aver rilasciato il richiesto parere, che risulta essere favorevole anche se condizionato.

Il Garante ha ritenuto che lo SCHEMA di decreto legislativo non presenta, sotto il profilo della protezione dati, particolari criticità, sebbene sia suscettibile di integrazione …. per assicurare piena conformità alla disciplina di riferimento.

In particolare, nella prospettiva di una piena conformità alla normativa, è la disciplina della verifica dei precedenti penali contenuta nello SCHEMA di decreto ad esigere alcune integrazioni.

La precisazione richiesta dal Garante è relativa:

a) alla previsione delle condizioni legittimanti le richieste di controllo, tali da rappresentare un necessario parametro di esercizio della valutazione che il secondo periodo del comma 2 dell’articolo demanda all’ASC;

b) alle categorie di precedenti - distinti per fattispecie di reati ostativi - ritenuti “rilevanti” ai fini del ruolo di volta in volta considerato;

c) alla disciplina – da demandare eventualmente anche alla fonte regolamentare – delle modalità e dei tempi di conservazione dei certificati del casellario giudiziale europeo acquisiti, nel rispetto dei principi di cui agli articoli 5 del Regolamento e 3 del d.lgs. 51 del 2018.

Per quanto concerne gli adempimenti conseguenti a incidenti rilevanti suscettibili di pregiudicare la fornitura di servizi essenziali, per evitare dubbi interpretativi, il Garante ha ritenuto opportuno chiedere l’integrazione dell’articolo 16 dello SCHEMA e inserire, per le ipotesi nelle quali l’evento o incidente implichi violazioni di dati personali:

• gli adempimenti previsti dagli articoli 33 e ss. del Regolamento e (ove applicabile) 26 e ss. del decreto legislativo 18 maggio 2018, n. 51.