Direttive NIS2 e CER: a che punto siamo?

di Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, CSO e DPO, membro del comitato tecnico-scientifico del CESPIS, Centro Studi Prevenzione, Investigazione e Sicurezza

La rubrica Installazione for Dummies chiude il 2025 con un argomento molto sentito tra i professionisti della security: le nuove prescrizioni per la sicurezza fisica e la supply chain entrate in vigore con le Direttive NIS-2 e CER, a protezione delle entità critiche, pubbliche o private operanti in ogni Stato UE. Queste norme garantiscono la disponibilità di beni e servizi vitali in diversi settori - come quello bancario e finanziario, quello energetico e delle telecomunicazioni, nella sanità e nei trasporti – dove qualunque interruzione avrebbe ripercussioni sulla sicurezza funzionale dello Stato e sull’economia generale, compromettendo la protezione e il benessere della popolazione.

Considerando che entrambe le Direttive poggiano le proprie basi “funzionali” sulla ramificata presenza dei sistemi informatici e quelli di rete, divenuti indispensabili in molteplici aspetti della attività professionali, come nella vita quotidiana, l’aspetto della sicurezza operativa diventa il cardine centrale. Una sicurezza tenuta insieme da un “fil rouge” fatto di professionisti e tecnologie, rappresentato dal mondo dei progettisti, dei system integrator e di tutta la catena della fornitura di servizi e tecnologie. In sostanza, quell’ecosistema “fisico” che lega insieme tutti gli aspetti della prevenzione, protezione e resilienza delle “entità critiche” previste all’interno delle due Direttive.

La Direttiva CER 

La Direttiva CER UE 2022/2557 sulla resilienza delle entità critiche mira a raggiungere e mantenere un elevato livello di resilienza attraverso la capacità di prevenire, proteggere o ripristinare gli incidenti fisici. Sostituisce la precedente Direttiva sulle Infrastrutture Critiche (IC) n° 2008/114 CE, norma che un aveva ambito applicativo circoscritto ai soli settori dell’energia e dei trasporti. Le entità critiche previste dalla CER sono realtà tanto pubbliche che private, appartenenti a uno dei settori, sottosettori e categorie elencati nell’Allegato alla Direttiva, e che sono state identificate da uno Stato membro dell’Unione secondo le prescrizioni contenute nell’art. 6 della CER. Devono essere caratterizzate dai seguenti criteri: forniscono uno o più servizi essenziali, operano con infrastrutture situate sul territorio del proprio Stato membro della UE e un incidente produrrebbe avere effetti dirompenti sulla fornitura di uno o più servizi essenziali.

NIS-2 

Mentre la nuova Direttiva NIS-2 (UE 2022/2555) richiede ad ogni Stato membro di adottare una “strategia nazionale per la cybersicurezza”, fissando obiettivi e predisponendo risorse, misure strategiche e normative (art.7). All’art. 21 si chiarisce come i singoli Stati dovranno provvedere affinché i soggetti coinvolti implementino “soluzioni e misure per la gestione dei rischi” relativi alla sicurezza fisica delle infrastrutture e a quella logica riferita ai sistemi informatici e alle reti, “mitigando il rischio di incidenti e riducendone al minimo l’impatto”. Nel comma 2 è prescritta l’implementazione di politiche di analisi dei rischi e di sicurezza dei sistemi informatici, la gestione degli incidenti, la continuità operativa, la sicurezza della catena di approvvigionamento, la sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, le strategie e procedure per valutare l’efficacia delle misure fisiche e di gestione dei rischi di cybersicurezza.

Approccio multirischio

Appare chiaro come l’analisi del rischio attraverso un “approccio multirischio” (considerando gli ambiti della sicurezza fisica, logica e procedurale), comune alle due Direttive, rappresenta il caposaldo delle misure da intraprendere, tenendo conto della tipologia e dimensione dell’entità critica, ma soprattutto, dell’impatto che un incidente potrebbe avere sulla collettività. 

Security e safety

Il mondo della protezione fisica (security e safety) non fa eccezione, perché la quasi totalità degli impianti e delle tecnologie di security sfruttano le reti “logiche”, esponendosi al rischio malware o di possibili attacchi cyber. Parliamo di sistemi di
videosorveglianza, antintrusione, controllo accessi, ma anche delle piattaforme PSIM (Physical Security Information Management), software per la gestione degli impianti di sicurezza integrata (security) e delle centrali antincendio (safety), tutti sistemi integrati rinvenibili nella maggior parte delle realtà private e degli enti pubblici interessati dalle normative NIS-2 e CER. Tali sistemi e prodotti dovranno essere progettati, installati e protetti, obbligatoriamente secondo le prescrizioni normative tecnico-giuridiche, mitigando qualsiasi possibile rischio legato al perimetro fisico, ma non solo.

Protezione multilivello e formazione professionale

Alla fiera “Sicurezza 2025” si è nuovamente affrontata la questione della possibile (!?) certificazione professionale nel settore della security, comparto rappresentato da esperti Antintrusione, TVcc, Controllo Accessi, Sicurezza Passiva, Building Automation, Antincendio e CyberSecurity – quest’ultima ben tangibile considerato che la digitalizzazione dei sistemi integrati ha ormai modellato un nuovo paradigma. AI, IoT, deep learning, sicurezza dati, integrazione dei dispositivi, sono infatti parte integrante della protezione in fatto di cybersecurity multilivello. Con l’entrata in vigore delle nuove normative, la progettazione, lo sviluppo, l’adeguamento alle norme tecniche e giuridiche dei sistemi di sicurezza integrata rappresentano tematiche chiave, e ancor più significativa sarà la corretta formazione dei professionisti. Formazione che è garanzia dei sistemi progettati e realizzati e tutela giuridica, vista la crescente responsabilità normativa degli esperti nell’ecosistema della sicurezza 4.0, che li qualifica, di fatto, come il trait d’union tra la committenza e gli organi di controllo.