Legislatura 19ª - 1ª Commissione permanente - Resoconto sommario n. 225 del 25/06/2024
Azioni disponibili
IN SEDE CONSULTIVA SU ATTI DEL GOVERNO
Schema di decreto legislativo recante attuazione della direttiva (UE) 2022/2557 relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE (n. 165)
(Esame e rinvio)
Il presidente BALBONI (FdI), in funzione di relatore in luogo della senatrice Spelgatti, illustra lo schema di decreto legislativo in esame, volto a recepire la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, concernente la resilienza dei soggetti critici (direttiva CER - Critical entities resilience), nel rispetto dei criteri di delega di cui all'articolo 5 della legge n. 15 del 2024 (legge di delegazione europea 2022-2023).
La predetta direttiva ha l'obiettivo di introdurre norme armonizzate volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche siano forniti senza impedimenti nel mercato interno. A tal fine, vengono stabiliti - in capo a enti pubblici o privati individuati come "soggetti critici" - obblighi volti a rafforzarne la resilienza e la capacità di fornire servizi essenziali nel mercato interno.
Lo schema di decreto, sul quale la 1ª Commissione è chiamata ad esprimere il parere entro il prossimo 27 luglio, si compone di 7 Capi e 22 articoli.
All'interno del Capo I, recante disposizioni generali, l'articolo 1 definisce l'oggetto e l'ambito di applicazione.
L'articolo 2 reca le definizioni utili ai fini del presente schema, riproducendo quelle contenute nell'articolo 2 della direttiva CER.
Nell'ambito del Capo II, dedicato al contesto strategico e istituzionale, l'articolo 3 attribuisce, in via esclusiva, al Presidente del Consiglio dei ministri l'alta direzione e la responsabilità generale delle politiche per la resilienza dei soggetti critici, ivi compresa l'adozione della strategia nazionale nonché la competenza di impartire direttive per la resilienza dei soggetti critici.
L'articolo 4 prevede l'istituzione, presso la Presidenza del Consiglio dei ministri, del Comitato interministeriale per la resilienza (CIR), presieduto dal Presidente del Consiglio dei ministri ovvero dal Ministro senza portafoglio o dal Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, con delega alla resilienza dei soggetti critici, e composto dai Ministri degli affari esteri, dell'interno, della giustizia, della difesa, dell'economia e delle finanze, delle imprese e del made in Italy, dell'agricoltura, della sovranità alimentare e delle foreste, dell'ambiente e della sicurezza energetica, delle infrastrutture e dei trasporti, della salute, dal Ministro per la protezione civile e le politiche del mare, dall'autorità delegata alla sicurezza della Repubblica e dall'autorità delegata alle politiche spaziali e aerospaziali. Il CIR ha funzioni di proposta, di alta sorveglianza sull'attuazione della strategia nazionale e di promozione. Le funzioni di segretario sono svolte dal responsabile del punto unico di contatto.
L'articolo 5 elenca le autorità settoriali competenti (ASC), responsabili della corretta applicazione e dell'esecuzione delle disposizioni del presente decreto, associando a ciascuna settori e sottosettori di riferimento, indicati nell'allegato A allo schema di decreto.
Prevede, inoltre, che le modalità di collaborazione tra le autorità settoriali competenti e le Regioni interessate, qualora il soggetto critico abbia carattere regionale ovvero operi esclusivamente sul territorio di una Regione in determinati settori, siano definite con accordo in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano, da adottarsi entro il 30 settembre 2024. Chiarisce, altresì, che le autorità settoriali esercitano le proprie attribuzioni nel rispetto di quelle proprie dell'autorità giudiziaria relativamente alla ricezione delle notizie di reato, del Ministero dell'interno in materia di tutela dell'ordine e della sicurezza pubblica e di difesa civile, del Ministero della difesa in materia di difesa e sicurezza dello Stato, del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri in materia di previsione, prevenzione e mitigazione dei rischi e di gestione e superamento delle emergenze, del Ministero delle imprese e del made in Italy in materia di resilienza fisica delle reti di comunicazione elettronica, nonché dell'Agenzia per la cibersicurezza nazionale in materia di cibersicurezza e resilienza e degli organismi preposti alla sicurezza nazionale.
Nell'ambito della Presidenza del Consiglio dei ministri, è istituito il Punto di contatto unico in materia di resilienza dei soggetti critici (PCU), la cui organizzazione è definita con dPCm.
Tra le funzioni attribuite al PCU, si segnalano in particolare: assicurare il collegamento con la Commissione europea e la cooperazione con i Paesi terzi; svolgere una funzione di collegamento per garantire la cooperazione transfrontaliera tra punti di contatto e tra autorità settoriali competenti degli Stati membri, nonché con il gruppo per la resilienza dei soggetti critici; assicurare il coordinamento interministeriale e le relazioni con la Commissione interministeriale tecnica di difesa civile, con il Dipartimento della Protezione civile e con gli altri organismi nazionali che trattano la resilienza dei soggetti critici; coordinare le attività di sostegno ai soggetti critici nell'adempimento dei loro obblighi; ricevere, da parte dei soggetti critici, contestualmente alle autorità competenti, le notifiche degli incidenti; svolgere le funzioni di autorità settoriale competente per il settore degli enti della pubblica amministrazione.
Infine, l'articolo 5 dispone in merito al reclutamento e all'organizzazione del personale assegnato sia al PCU sia a ciascuna ASC, disciplinando la copertura dei relativi oneri.
L'articolo 6 prevede che, entro il 17 luglio 2025, il Presidente del Consiglio dei ministri, a seguito di una consultazione aperta ai portatori di interessi, sentito il Comitato interministeriale per la resilienza e tenuto conto della strategia nazionale per la cibersicurezza, detti la strategia nazionale per la resilienza dei soggetti critici e che successivamente la aggiorni almeno ogni quattro anni. Sono quindi elencati i contenuti che la strategia deve avere per conseguire e mantenere un livello elevato di resilienza da parte dei soggetti critici rientranti nell'ambito di applicazione del presente schema di decreto.
L'articolo 7 dispone in ordine alla valutazione del rischio da parte dello Stato. In particolare, si prevede che la valutazione sia compiuta dal PCU entro il 17 luglio 2025 (successivamente, quando necessario e almeno ogni 4 anni), tenendo conto dell'elenco dei servizi essenziali, individuato con regolamento UE 2023/2450 della Commissione, e degli ulteriori servizi essenziali eventualmente individuati con dPCm.
L'articolo 8 delinea la procedura e i criteri per l'individuazione dei soggetti critici, anche di carattere regionale.
L'articolo 9 definisce i criteri che le ASC e il PCU devono utilizzare per determinare la "rilevanza" degli effetti negativi di un eventuale incidente sulla fornitura di servizi essenziali.
L'articolo 10 reca specifiche deroghe per i soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, ai quali si applica la specifica disciplina settoriale.
L'articolo 11 enuncia le attività di sostegno che il PCU e le ASC, anche sulla base della valutazione del rischio dello Stato, devono svolgere nei confronti dei soggetti critici. Inoltre, si prevede l'istituzione, presso la Presidenza del Consiglio dei ministri, della Conferenza dei soggetti critici, di cui si disciplinano la composizione e le funzioni.
L'articolo 12 prevede specifiche attività di cooperazione tra i PCU e le ASC dei vari Stati membri, in favore dei soggetti critici che utilizzano infrastrutture critiche che collegano fisicamente l'Italia e uno o più Stati membri, che fanno parte di strutture societarie collegate o associate a soggetti critici di altri Stati membri, che forniscono servizi essenziali a o in altri Stati membri.
Il Capo III è dedicato alla resilienza dei soggetti critici.
L'articolo 13 dispone in ordine alla valutazione del rischio da parte dei soggetti critici.
L'articolo 14 riguarda le misure di resilienza (tecniche, di sicurezza e di organizzazione) che i soggetti critici sono tenuti ad adottare, oltre che a descrivere in un apposito piano di resilienza che dovrà essere aggiornato con cadenza almeno triennale.
L'articolo 15 tratta dei controlli dei precedenti personali delle persone che svolgono attività o ricoprono ruoli particolarmente delicati nell'erogazione dei servizi essenziali da parte dei soggetti critici.
L'articolo 16 disciplina la procedura di notifica da seguire in caso di incidente e definisce i parametri da considerare per determinare la rilevanza di quest'ultimo.
Il Capo IV riguarda i soggetti critici di particolare rilevanza europea.
In particolare, l'articolo 17 ne disciplina l'individuazione.
L'articolo 18 regolamenta le missioni di consulenza organizzate dalla Commissione europea al fine di valutare le misure adottate da parte di un soggetto critico.
Il Capo V, rubricato "Cooperazione e comunicazione", si compone del solo articolo 19 volto a chiarire che il PCU è il rappresentante dello Stato italiano all'interno del gruppo per la resilienza dei soggetti critici.
Nell'ambito del Capo VI, in materia di vigilanza ed esecuzione, l'articolo 20 attribuisce alle ASC poteri di vigilanza, di ispezione, di controllo, di richiesta di informazioni e di diffida, finalizzati a garantire il rispetto degli obblighi imposti ai soggetti critici.
L'articolo 21 attiene all'apparato sanzionatorio.
All'interno del Capo VII, recante le disposizioni finali, l'articolo 22 prevede l'abrogazione del decreto legislativo 11 aprile 2011, n. 61, emanato in attuazione della direttiva 2008/114/CE, successivamente abrogata dalla direttiva CER.
Segnala, infine, che lo schema di decreto in esame è stato trasmesso dal Governo con urgenza, stante l'imminente scadenza della delega, anche se privo del parere del Garante per la protezione dei dati personali e del parere della Conferenza unificata, che saranno trasmessi appena acquisiti. Pertanto, la Commissione dovrà attendere la trasmissione della suddetta documentazione prima di procedere all'espressione del parere.
Il seguito dell'esame è quindi rinviato.