La protezione delle Infrastrutture Critiche

di Alessandro Lega, CPP – ASIS International chapter Italy

L’argomento è di attualità già da qualche anno. In Italia ha fatto capolino a seguito della Direttiva europea 2008/114, recepita dal Legislatore italiano con il DLgs61-2011 nell’aprile del 2011. Da allora, e per tutto il 2013, l’argomento è stato di tanto in tanto dibattuto in qualche convegno, più di tipo internazionale che di tipo nazionale, per la verità. In Italia, al momento del recepimento della Direttiva Europea, ci si è preoccupati di dare una risposta abbastanza formale ricorrendo al Nucleo Interministeriale Situazioni e Pianificazione (NISP) già costituito nel 2010, alle dirette dipendenze della Presidenza del Consiglio.

Ho scritto “abbastanza formale” perché se leggiamo il primo comma dell’art 4 del DLgs61-2011, quello che ha recepito la Direttiva europea, troviamo: 1. Il Nucleo Interministeriale Situazione e Pianificazione (NISP), nella composizione di cui all'articolo 5, commi 2, 3 e 4, del decreto del Presidente del Consiglio dei Ministri in data 5 maggio 2010, pubblicato nella Gazzetta Ufficiale n. 139 del 17 giugno 2010, svolge  le funzioni specificate nel presente decreto per l'individuazione e la designazione delle ICE⁽¹⁾, fermi restando i compiti ad esso attribuiti dal Presidente del Consiglio dei Ministri in altre materie. Inoltre, se risaliamo a quanto indicato nei primi 5 commi dell’art 5 del decreto del Presidente del Consiglio dei Ministri in data 5 maggio 2010, citato nel Dlg61-2011, c’è da rimanere a dir poco sbalorditi da quanto sia ampia e altolocata la composizione del NISP⁽²⁾. Un apparato tanto massiccio e posizionato in alto da ricordare una citazione del commediografo russo Denis Ivanovič Fonvizin: “Dio è troppo in alto, lo Zar è troppo lontano”.

Lungi da me l’intenzione di alimentare qualsiasi sterile polemica. Vorrei solo evidenziare che di fatto ciò che è avvenuto da aprile 2011 alla fine del 2013 non ha mosso di una virgola ciò che era stato stabilito al momento del recepimento della Direttiva Europea. Per esempio da parte dell’Italia non sono ancora state individuate le specifiche Infrastrutture Critiche nazionali e neppure quelle europee. Unica cosa decisa, ma questo lo aveva già fatto la Direttiva europea, riguarda i sottosettori dei due settori attualmente individuati come critici: quello dell’Energia e quello dei Trasporti. Infatti il DLgs61-2011 definisce che nel settore dell’Energia rientrano i sottosettori: Elettricità (comprendente: infrastrutture e impianti per la produzione e la trasmissione di energia elettrica e per la fornitura di elettricità; Petrolio (comprendente: produzione, raffinazione, trattamento, stoccaggio e trasporto di petrolio attraverso oleodotti); Gas (comprendente: produzione, raffinazione, trattamento, stoccaggio e trasporto di gas attraverso oleodotti e terminali GNL). Nel settore Trasporti rientrano invece i sottosettori: Trasporto stradale; Trasporto ferroviario; Trasporto aereo; Vie di navigazione interna; Trasporto oceanico, trasporto marittimo a corto raggio e porti.

Ovviamente non potevano mancare i riferimenti al Decreto Legislativo del 17 agosto 1999 n.334, cosiddetto “Decreto Seveso”, che fra l’altro è il recepimento della Direttiva Europea 96/82/CE relativa al “controllo dei pericoli di incidenti rilevanti connessi con determinate sostanze pericolose”.
Meglio interrompere qui l’analisi dei riferimenti legislativi e cominciare a guardare cosa è accaduto nel mondo non istituzionale. In due momenti diversi ed anche in ambienti diversi sono nate due iniziative destinate a passare fra le poche nate in Italia che potranno avere una conseguenza sul resto dell’Europa.
La prima si è sviluppata in ambito UNI, ente Nazionale di Unificazione; il suo percorso è stato completato il 16 gennaio 2014 quando è stata pubblicata una prassi riferimento rubricata con il nome UNI/PdR 6:2014.
L’altra è nata in ambito accademico, l’Università Campus Bio-Medico di Roma e viene finanziata da parte della Unione Europea; il suo percorso si completerà a settembre del 2014. Parliamo della prima.

Prassi di riferimento UNI

UNI, avvalendosi di esperti di ASIS International Chapter Italy, di AIPROS, di AIPSA e di AIAS, ha sviluppato in tempi contenuti una Prassi di Riferimento (UNI/PdR 6:2014) resa pubblica il 16 gennaio del 2014. La prima caratteristica singolare di questa Prassi di Riferimento (l’equivalente di una Best Practice anglosassone) è che è stata predisposta prima in Inglese e poi tradotta in Italiano. Questa caratteristica la rende usufruibile anche fuori dal territorio italiano rendendone facile la condivisione. Immediata e positiva conseguenza di questa particolarità è il fatto che sarà possibile ricevere validi commenti anche da parte di professionisti e stakeholder che operano nelle diverse realtà, in qualsiasi parte del mondo. Va notato che qualsiasi Pratica di Riferimento UNI viene resa disponibile a tutti senza nessun addebito. Chi volesse scaricare la UNI/PdR 6:2014 dal web la può trovare sul sito di UNI⁽³⁾.

Altro aspetto di rilievo è che una Prassi di Riferimento, che rimane valida per un massimo di 5 anni, può essere trasformata in una norma e può essere migliorata nel corso della propria validità. La sua impostazione, d’altra parte, fa riferimentoallo standard ANSI/ASIS SPC.1 (del 2009) e all'ISO 28002 (del 2011).
Ma cosa contiene questa Prassi di Riferimento? Il suo contenuto, come indica il suo sottotitolo, definisce i requisiti di un Sistema di gestione della resilienza di Infrastrutture Critiche, al fine di consentire ad un'organizzazione, quale proprietario o operatore di Infrastruttura Critica, di stabilire il contesto, definire, pianificare, attuare, eseguire, verificare, riesaminare e migliorare la propria resilienza.

La si potrebbe anche chiamareuno “standard volontario” per chi voglia adottarla e diffonderla all’interno della propria organizzazione, indipendentemente dal fatto che sia una infrastruttura critica oppure no, indipendentemente dal fatto che sia una IC nazionale o una ICE europea. A qualsiasi organizzazione stia a cuore il proprio livello di resilienza, quanto trattato nella prassi indicata può essere di ausilio permettendo di stabilire il contesto, definire, pianificare, attuare, eseguire, verificare, riesaminare e migliorare la propria resilienza.  In cosa consiste il cuore di questa prassi? Principalmente nell’aver restituito alla protezione di un'infrastruttura (critica) la dignità di processo e quindi la necessità di un management system.

Fino ad adesso, sia da parte dell’EU che dall’Autorità governativa italiana, l’argomento è stato affrontato unicamente in termini legislativi. Con questo contributo, che UNI è riuscito a mettere a disposizione della comunità, si comincia a definire cosa e come debba essere fatto quanto necessario per rendere resiliente un’infrastruttura. Si accenna anche a chi dovrebbe fare cosa, limitandosi a definirne il nome di chi debba occuparsene: un Security Liaison Officer (SLO), come previsto dalla direttiva Europea 2008/114.
Quali devono essere le competenze, il profilo professionale e le responsabilità di un SLO? A questo sta pensando la seconda iniziativa accennata all’inizio dell’articolo, che a&s Italy tratterà nei prossimi numeri.    

 ⁽¹⁾ ICE sta per Infrastrutture Critiche Europee, che altro non sono che le infrastrutture le cui eventuali malfunzioni potrebbero provocare conseguenze negative anche ad altri paesi Europei, oltre al nostro.

⁽²⁾ Si legge infatti:  1. E’ costituito presso la Presidenza del Consiglio dei Ministri, senza oneri aggiuntivi per il bilancio dello Stato, il Nucleo interministeriale situazione e pianificazione (NISP) per il supporto del CoPS e del Presidente del Consiglio dei Ministri; 2.  Il Nucleo è presieduto dal Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri - Segretario del Consiglio dei Ministri, che può delegare le relative funzioni al Consigliere militare del Presidente del Consiglio dei Ministri; 3.  Il NISP è composto da due rappresentanti per ciascuno dei Ministeri degli affari esteri, dell'interno e della difesa, da un rappresentante del Ministero dell'economia e finanze, del Ministero della salute, del Dipartimento della protezione civile, del Dipartimento informazioni per la sicurezza (DIS), dell'Agenzia informazione e sicurezza interna (AISI), dell'Agenzia informazione e sicurezza esterna (AISE) e del Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, quale rappresentante, anche, della Commissione di cui all'art. 6, comma 4, nonché da un dirigente dell'Ufficio stampa e del Portavoce del Presidente, da uno dell'Ufficio del Consigliere diplomatico e da uno dell'Ufficio del Consigliere militare del Presidente del Consiglio dei Ministri; 4.  I componenti del NISP sono individuati dal Ministero od ente di appartenenza e sono autorizzati ad assumere decisioni che impegnano la propria Amministrazione; 5.  Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione (NdR: CoPS sta per Comitato Politico Strategico) 

⁽³⁾  La Prassi di Riferimento UNI/PdR 6:2014 è scaricabile dal sito UNI:
http://www.uni.com/index.php?option=com_content&view=article&id=1354:le-prassi-di-riferimento&catid=149&Itemid=1439&showall=&limitstart=9