A oggi abbiamo in Italia una lista di infrastrutture critiche nazionali basata su nove settori con più di cinquecento operatori già di fatto designati. Per tutti questi operatori la legge prevede la redazione o l’aggiornamento del Piano di sicurezza dell’operatore, un documento fino ad oggi non molto diffuso. Approfondiamo lo stato dell’arte di tali piani, quali sono le loro funzioni e l’inquadramento normativo anche alla luce dell’emergenza sanitaria.
Piano di sicurezza dell’operatore: la normativa
Innanzitutto va infatti ricordato che il 18 luglio del 2020, mentre ancora ci stavamo riprendendo dal lockdown prolungato, è stata emanata la legge 17 luglio 2020, n. 77, denominata “Conversione in legge, con modificazioni, del decreto-legge 19 maggio 2020, n. 34, recante misure urgenti in materia di salute, sostegno al lavoro e all’economia, nonché di politiche sociali connesse all’emergenza epidemiologica da Covid-19”. All’articolo 211 bis tale legge individua le infrastrutture critiche nazionali ai fini degli adempimenti della legge stessa e quindi delle misure di gestione delle crisi derivanti da emergenze di natura sanitaria.
In particolare, il comma 1 indica che “gli operatori di infrastrutture critiche, al fine di assicurare la continuità del servizio di interesse pubblico erogato e il funzionamento in sicurezza delle infrastrutture stesse, adottano o aggiornano i propri piani di sicurezza con disposizioni recanti misure di gestione delle crisi derivanti da emergenze di natura sanitaria emanate dalle autorità competenti”. Ora, con l’art. 211 bis della legge 77/2020, l’insieme delle Infrastrutture critiche nazionali italiane va a comprendere tutti gli operatori di Servizi Essenziali designati ai sensi del decreto legislativo 65/2018 e i fornitori di servizi digitali, ma non solo. Questo insieme, infatti, contiene anche quello delle Infrastrutture Critiche Europee già designate ai sensi del decreto legislativo 61/2011, le società e gli enti che gestiscono od ospitano i sistemi spaziali dell’Unione europea ubicati sul territorio nazionale, nonché i sistemi spaziali nazionali impiegati per finalità di difesa e sicurezza nazionale e ogni altra società o ente preposti alla gestione di infrastrutture o beni che sono dichiarati critici con decreto del Presidente del Consiglio dei ministri, su proposta dei Ministri competenti (con ciò lasciando la possibilità di aggiungere a questa lista ulteriori operatori privati o pubblici a discrezione del Governo in qualsiasi momento).
Problemi e ambiguità
Il PSO era già previsto dalla direttiva 114/08, che fornisce indicazioni piuttosto generiche. La legge 77 prevede al comma 3 “l’aggiornamento dei piani di sicurezza con riferimento all’emergenza da COVID-19 tiene conto delle linee guida sulla gestione dell’emergenza medesima emanate dai Ministeri competenti e dei princìpi precauzionali emanati dalla Segreteria infrastrutture critiche”, con ciò individuando una specificità del PSO sulla gestione di crisi sanitarie di lunga durata.
La scarsa dovizia di particolari sul PSO della 114/08 era dovuta al desiderio dell’UE di lasciare ad organi nazionali e soprattutto settoriali l’eventuale inserimento di requisiti stringenti che non potevano che essere decisi a livello nazionale e, soprattutto, sulla base delle esigenze e delle norme preesistenti, o delle prassi consolidate, dei singoli settori. È del tutto teorico ipotizzare di progettare il piano di sicurezza come un unicum aziendale. Più realistico definire preventivamente una serie di “perimetri d’intervento” ed operare la progettazione del piano per ciascuno di essi. Il perimetro di intervento è un concetto flessibile: può essere, infatti, uno specifico insediamento produttivo, una procedura informatica, un processo o altro. Attualmente non è chiaro se il legislatore abbia inteso prescrivere la redazione del PSO per l’intera IC o per alcune componenti critiche della stessa.
Le interdipendenze
L’aspetto delle interdipendenze sarà sicuramente un nodo centrale del PSO. La perimetrazione delle ICN parte infatti dalla consapevolezza dei possibili effetti domino che si possono generare per il malfunzionamento totale o parziale di una di esse. Nel considerare le interdipendenze sarà determinante dimostrare un adeguato livello di consapevolezza e di dialogo con la propria catena di fornitura, che facilmente possiamo immaginare suddivisa in fornitori critici e non. La sicurezza della supply chain è un argomento assai complesso, oggetto di studio e speculazione anche a livello teorico e accademico.
Le interdipendenze, in prima approssimazione, sono assimilabili a una minaccia: quella, appunto, che venendo meno la risorsa erogata dall’entità da cui l’IC dipende, anche la propria attività possa essere compromessa. Nel 2011 era stato suggerito nelle pubblicazioni relative ai PSO di inserire un elenco critico, cioè commentato, delle interdipendenze e delle relative minacce.
PSO, lo stato dell’arte
Resta comunque la domanda iniziale e cioè a che punto siamo con la redazione dei PSO. È auspicabile che questo esercizio porti alla condivisione sul tema di minacce e contromisure come già più volte sperato negli ultimi anni e come già avviene in altri Paesi a cura degli ISAC (Information Sharing and Analysis Center), atti a condividere tra operatori del settore informazioni inerenti le principali minacce (settoriali e generali) e le migliori contromisure adottate. Gli ISAC, giocano un ruolo fondamentale nella condivisione delle informazioni, specialmente negli Stati Uniti, dove questo concetto è nato (PDD-63, 1998) come contromisura preventiva con la quale il governo ha chiesto a ogni settore che gestisce infrastrutture critiche di stabilire organizzazioni per la condivisione delle informazioni riguardo minacce e vulnerabilità del proprio settore.
Le regole di ingaggio degli ISAC prevedono una autorità garante (di parte terza o scelta tra pari) che gestisce i dati, assicura la regolarità dei flussi informativi, amministra le regole di need to know e anonimizza i dati (statistici e non solo) per la successiva diffusione. Le regole di anonimizzazione sono la base degli ingaggi all’interno degli organismi di condivisione, sia pubblici che privati che misti. Senza anonimizzazione o con una gestione “sconsiderata” del dato condiviso si rischia infatti di minare le regole consolidate di competitività intra e inter settoriale.
Al contrario, una chiara, ben definita e sostenibile policy di anonimizzazione potrebbe portare l’autorità a giocare un ruolo fondamentale nella protezione del sistema paese e nella crescita del livello di maturità di tutti i suoi stakeholder.
Conclusioni
Con questa legge il nostro Paese si è allineato alla posizione di tutti gli altri Paesi, occidentali e non, individuando un insieme di settori potenzialmente critici e un insieme di operatori di ICN. Questo allineamento potrà essere esteso, nelle competenze, ad altri adempimenti oltre a quello specifico inerente le misure urgenti in materia di salute, sostegno al lavoro e all’economia, nonché di politiche sociali connesse all’emergenza epidemiologica da Covid-19.
L’identificazione e la designazione delle ICN potrà consentire un deciso miglioramento nelle azioni di prevenzione, pianificazione e preparazione alla gestione di una crisi di qualsiasi natura e una postura di collaborazione pubblico privato operante in continuità, anche nei cosiddetti tempi di pace, cioè, e non solo nella gestione di emergenze, come comunque oggi già avviene.
