Glossario · Infrastrutture critiche UE Direttiva CER (Direttiva sulla resilienza dei soggetti critici (Direttiva UE 2022/2557))
Direttiva UE che stabilisce regole armonizzate per rafforzare la resilienza dei soggetti che forniscono servizi essenziali in 11 settori critici. Regolamento gemello della NIS2 — dove la NIS2 affronta la cibersicurezza, la Direttiva CER affronta la più ampia resilienza fisica, ibrida e operativa. In vigore da gennaio 2023, recepimento da parte degli Stati membri entro ottobre 2024.
## Cos'è realmente la Direttiva CER
La Direttiva sulla resilienza dei soggetti critici (CER, Direttiva UE 2022/2557) è il framework dell'UE per rafforzare la resilienza dei soggetti che forniscono servizi essenziali in settori critici. Adottata alla fine del 2022 e in vigore da gennaio 2023, con recepimento da parte degli Stati membri richiesto entro ottobre 2024, opera come **regolamento gemello non-cyber della NIS2**.
Mentre [NIS2](/it/glossary/nis2/) affronta la cibersicurezza per i soggetti essenziali e importanti, la Direttiva CER affronta il quadro più ampio della resilienza — sicurezza fisica, minacce ibride, continuità operativa, dipendenze della catena di approvvigionamento e capacità di ripristino per la stessa popolazione generale di soggetti.
## Quali settori sono coperti
La Direttiva CER identifica 11 settori critici:
| Settore | Esempi |
|--------|----------|
| **Energia** | Elettricità, petrolio, gas, teleriscaldamento, idrogeno |
| **Trasporti** | Aria, ferrovia, acqua, strada |
| **Banche** | Istituti di credito |
| **Infrastrutture dei mercati finanziari** | Sedi di negoziazione, controparti centrali |
| **Salute** | Fornitori di assistenza sanitaria, laboratori di riferimento UE |
| **Acqua potabile** | Fornitori e distributori |
| **Acque reflue** | Infrastrutture di trattamento |
| **Infrastrutture digitali** | IXP, DNS, registri TLD, fornitori cloud, data center |
| **Pubblica amministrazione** | Amministrazioni centrali degli Stati membri |
| **Spazio** | Infrastrutture terrestri a supporto dei servizi spaziali |
| **Alimenti** | Produzione, trasformazione, distribuzione su larga scala |
L'elenco si sovrappone significativamente con NIS2 — per disegno, poiché gli stessi soggetti necessitano tipicamente sia di capacità di cibersicurezza sia di resilienza più ampia.
## Cosa richiede la direttiva
La Direttiva CER impone obblighi su diversi livelli.
### Obblighi degli Stati membri
Ogni Stato membro deve:
- **Identificare i soggetti critici** in ciascuno degli 11 settori sulla base dei criteri della Commissione
- **Condurre valutazioni nazionali del rischio** affrontando l'esposizione a tutti i rischi
- **Adottare strategie nazionali di resilienza** che affrontino le dipendenze intersettoriali
- **Designare un'autorità competente** per l'applicazione della Direttiva CER
- **Cooperare a livello transfrontaliero** attraverso il Gruppo per la resilienza dei soggetti critici
### Obblighi dei soggetti critici
I soggetti critici identificati devono:
- **Condurre valutazioni del rischio** considerando tutti i rischi (fisici, ibridi, della catena di approvvigionamento, operativi)
- **Implementare misure di resilienza** proporzionate ai rischi identificati, inclusi sicurezza fisica, continuità operativa, risposta agli incidenti, gestione del rischio della catena di approvvigionamento
- **Notificare gli incidenti** che interrompono i servizi essenziali alle autorità competenti
- **Condurre controlli sui precedenti** per il personale con ruoli sensibili
- **Sottoporsi a verifica di conformità** da parte delle autorità competenti
### Identificazione transfrontaliera
Gli Stati membri devono coordinare l'identificazione dei soggetti critici che forniscono servizi in più Stati membri. La Commissione può emettere pareri sulla coerenza dell'identificazione transfrontaliera.
## Direttiva CER vs NIS2
Le due direttive sono strettamente coordinate e molti soggetti rientrano nell'ambito di entrambe:
| Aspetto | Direttiva CER | NIS2 |
|--------|---------------|------|
| Oggetto | Resilienza a tutti i rischi | Cibersicurezza |
| Settori | 11 critici | 18+ (essenziali + importanti) |
| Granularità dei soggetti | Singoli soggetti critici | A livello di settore |
| Sicurezza fisica | Centrale | Fuori ambito |
| Minacce ibride | ✅ | Limitate |
| Rischio della catena di approvvigionamento | ✅ | ✅ |
| Soglia di segnalazione | Incidente significativo | Incidente significativo |
| Sanzioni | Attuazione da parte degli Stati membri | Fino a 10 mln € / 2% del fatturato |
| In vigore | Gennaio 2023, recepimento ottobre 2024 | Gennaio 2023, recepimento ottobre 2024 |
Le direttive condividono tempistiche allineate, ambito complementare e implementazione coordinata. Diversi Stati membri hanno creato un'unica autorità competente che gestisce sia la conformità CER sia NIS2.
## Perché la Direttiva CER è importante
### 1. Lezioni di resilienza post-COVID istituzionalizzate
La Direttiva CER è nata dal riconoscimento esplicito che la resilienza delle infrastrutture critiche dell'UE era stata insufficiente di fronte al COVID-19, alle interruzioni del mercato energetico e all'instabilità geopolitica. La direttiva istituzionalizza le lezioni apprese da questi shock.
### 2. Minacce ibride riconosciute
La direttiva affronta esplicitamente le "minacce ibride" — combinazioni di attacchi cibernetici, disinformazione, sabotaggio fisico e interruzione della catena di approvvigionamento che attori statali e non statali utilizzano sempre più contro le infrastrutture critiche europee. Questo è materialmente diverso dai framework puramente focalizzati sul cyber.
### 3. Coordinamento transfrontaliero operativo
Le infrastrutture critiche europee operano sempre più attraverso i confini degli Stati membri. Gli interconnettori energetici, le reti di trasporto, le infrastrutture dei mercati finanziari attraversano tutte le giurisdizioni nazionali. Le disposizioni di coordinamento transfrontaliero della Direttiva CER affrontano questo aspetto strutturalmente.
### 4. Livello di resilienza della catena di approvvigionamento
I soggetti critici devono affrontare esplicitamente il rischio della catena di approvvigionamento — anche per i fornitori di tecnologia. Ciò influisce sull'approvvigionamento UE di servizi cloud, piattaforme software e infrastrutture digitali in cui l'interruzione della catena di approvvigionamento potrebbe influire sui servizi essenziali.
### 5. Infrastrutture digitali come critiche
La Direttiva CER designa esplicitamente le infrastrutture digitali (IXP, DNS, fornitori cloud, data center) come settore critico. Ciò formalizza ciò che era già operativamente vero e crea obblighi regolamentari diretti sui fornitori europei di cloud e infrastrutture.
## Come la Direttiva CER influenza l'approvvigionamento tecnologico
### Per i fornitori europei di cloud e data center
I soggetti critici identificati dalla CER (in infrastrutture digitali o altri settori) devono affrontare il rischio della catena di approvvigionamento per i servizi tecnologici. Ciò spinge le preferenze di approvvigionamento verso fornitori con una solida documentazione di resilienza, giurisdizione UE e comprovata capacità di continuità.
I fornitori cloud europei (Infomaniak, OVHcloud, Scaleway, altri) che hanno investito in documentazione di resilienza sono posizionati come fornitori preferiti. Gli hyperscaler statunitensi affrontano una complessità strutturale di conformità nel servire i soggetti identificati dalla CER.
### Per i fornitori SaaS che vendono a soggetti critici
Se il tuo prodotto SaaS supporta le operazioni di soggetti critici identificati dalla CER — ospedali, banche, aziende energetiche, operatori di trasporto — le tue relazioni con i fornitori hanno ora implicazioni regolamentari dirette nell'ambito del framework CER.
### Per i team di approvvigionamento tecnologico europei
Le considerazioni di conformità CER si stanno integrando nei processi di approvvigionamento insieme alla conformità NIS2, DORA e AI Act. Il framework regolamentare combinato crea una matrice coerente di valutazione dell'approvvigionamento che favorisce i fornitori con comprovata giurisdizione UE, capacità di resilienza e trasparenza della catena di approvvigionamento.
### Per la pianificazione della risposta agli incidenti
I requisiti di notifica degli incidenti CER interagiscono con NIS2, DORA, GDPR e i requisiti settoriali. I soggetti critici mantengono sempre più playbook coordinati di risposta agli incidenti che affrontano tutte le tempistiche di notifica regolamentari pertinenti.
## CER e sovranità digitale
La Direttiva CER rende operativa una dimensione strutturale di sovranità che i framework di pura cibersicurezza non affrontano:
- **Sicurezza fisica delle infrastrutture digitali** — data center, IXP, cavi sottomarini
- **Dipendenze della catena di approvvigionamento** — semiconduttori, hardware, tracciabilità dei materiali
- **Continuità transfrontaliera** — servizi che attraversano gli Stati membri
- **Preparazione alle minacce ibride** — disinformazione, sabotaggio, interruzione coordinata
Queste dimensioni interagiscono con la più ampia agenda di sovranità dell'UE — collegando la cibersicurezza NIS2, la sovranità dei materiali CRMA e il posizionamento difensivo Strategic Compass in una postura coerente.
## Stato di attuazione (2026)
- **Direttiva in vigore** da gennaio 2023
- **Scadenza di recepimento da parte degli Stati membri** era ottobre 2024 — la maggior parte degli Stati membri ha recepito; alcuni stanno ancora completando l'attuazione
- **Identificazione dei soggetti critici** in corso — gli Stati membri stanno identificando i soggetti in base a criteri basati sul rischio
- **Prime notifiche di incidenti** che fluiscono attraverso le autorità competenti
- **Gruppo per la resilienza dei soggetti critici** operativo con coordinamento regolare degli Stati membri
- **Pareri della Commissione sull'identificazione transfrontaliera** in fase di emissione
## Implicazioni pratiche
- **Per gli operatori dei settori critici**: identifica il tuo status CER e preparati agli obblighi di conformità
- **Per i fornitori di tecnologia**: la divulgazione della catena di approvvigionamento e la documentazione di resilienza sono sempre più rilevanti per l'approvvigionamento
- **Per i fornitori cloud europei**: opportunità strutturale dalle preferenze di approvvigionamento verso la resilienza in giurisdizione UE
- **Per i fornitori con sede negli Stati Uniti**: complessità strutturale di conformità quando si servono soggetti identificati dalla CER
- **Per i team di policy e conformità**: integrare il framework CER insieme a NIS2 in un lavoro di conformità coordinato
La Direttiva CER è la regolamentazione non-cyber sulle infrastrutture critiche più operativamente significativa dell'UE degli anni 2020. Combinata con NIS2, crea il framework di resilienza coerente che le infrastrutture critiche europee richiedono operativamente dato il contesto geopolitico post-COVID e post-Ucraina.
Ti è stato utile?
Grazie per il tuo feedback!