Il tema delle Infrastrutture Critiche prende le mosse alla fine del secolo scorso con l’emanazione della PDD63 da parte del presidente americano Bill Clinton che pose le basi del problema dando anche una prima ed ancora valida definizione su cosa sono le Infrastrutture Critiche: “Le infrastrutture critiche sono quei sistemi fisici e cyber essenziali per il benessere della popolazione e dell’economia. Esse includendo, ma non sono limitati a: telecomunicazioni, energia, servizi bancari e finanziari, trasporti, sistemi idrici e servizi di emergenza”. Così come sull’individuazione della finalità della loro protezione “Qualsiasi interruzione o manipolazione di queste funzioni critiche deve essere breve, poco frequente, gestibile, geograficamente isolata e minimamente dannosa per il benessere degli Stati Uniti”.
Il tema ha assunto una rilevanza in termini di sicurezza nazionale solo a valle del 9/11 con la drammatica costatazione che vettori di trasporto potevano trasformarsi in armi di distruzione di massa e l’evidenziazione delle forti interdipendenze esistenti fra le diverse infrastrutture sia dal punto di vista funzionale che economico.
In particolare, gli Usa oltre ad attivare una serie di iniziative che hanno portato alla definizione del National Infrastructure Protection Plan (Nipp), hanno dato impulso al tema a livello internazionale partendo dall’approvazione dei G8 Principles for Protecting Critical Information Infrastructures nel maggio del 2003 poi confluiti nella risoluzione delle Nazioni Unite 58/199 del gennaio 2004 Creation of a global culture of cybersecurity and the protection of critical information infrastructures.
Solo in modo incidentale si evidenzia che queste attività avevano un focus specifico sulla dimensione cyber (da qui la sigla CIIP – Critical Information Infrastructure Protection) essendo ritenuta questa la minaccia più significativa. Inoltre l’impostazione, essendo derivata dalle politiche post 9/11, prevedevano un inquadramento della tematica all’interno delle strategie di antiterrorismo. Entrambi aspetti che, successivamente, sono stati parzialmente modificati.
La Commissione Europea è stata la prima, di converso, a evidenziare l’opportunità e l’urgenza di un approccio All-Hazard, come evidenziato nella comunicazione COM(2006)786 che istituisce il European Programm on Critical Infrastructure Protection (Epcip). Tale differente paradigma prende le mosse, sia dalla diversa sensibilità e cultura del vecchio continente, ma anche dalla constatazioni della fragilità delle Infrastrutture Critiche nei confronti di eventi naturali, accidentali e tecnologici come testimoniato dai blackout occorsi nel Nordamerica ed Europa nel 2003.
Per altro anche gli Usa, a valle della tragedia causata dall’uragano Katrina nel 2006 hanno abbandonato la visione delle politiche CIP in ottica esclusiva di antiterrorismo per abbracciare una visione più olistica, sostanzialmente in linea con l’orientamento europeo.
Il programma europeo Epcip ha come elemento centrale la direttiva 2008/114/CE, recepita nell’ordinamento italiano con il D.lgs. 61/2011. Tale direttiva ha avuto una genesi complessa essendo uno dei primi atti comunitari che approcciano aspetti connessi con la sicurezza nazionale degli Stati Membri. Infatti, la direttiva evidenzia che eventuali eventi avversi che affliggono una infrastruttura possono riverberare le loro conseguenze anche in altri stati membri da qui l’opportunità (ovvero l’obbligo) di una adeguata protezione di quelle che sono designate come Infrastrutture Critiche Europee (Eci). Per ciascuna Eci, per la cui designazione è previsto un complesso iter, è previsto l’obbligo di designare un responsabile della sicurezza (Security Liaison Officer – SLO) e la predisposizione di un piano di sicurezza dell’operatore PSO che deve essere condiviso e validato dalle autorità pubbliche ed il cui obiettivo è quello di garantire un livello minimo (ed uniforme a livello europeo) di capacità di gestione delle minacce e dei rischi. Il complesso iter ha portato ad una formulazione di compromesso che limita l’ambito di applicazione ai soli settori dell’energia e dei trasporti oltre che incorporare almeno quattro aspetti che ne hanno decretato il parziale fallimento. Nello specifico:
- l’adozione di un approccio basato sull’analisi del rischio e quindi sulla necessità di individuare lo scenario peggiore fra quelli realisticamente possibili – con tutti gli elementi di soggettività che questo implica;
- un approccio multilaterale che prevede nel processo di designazione delle infrastrutture critiche europee il coinvolgimento di due o più stati membri (ovvero che un singolo stato non può procedere alla designazione autonoma di una Eci)
- la presenza di scarne indicazioni o obblighi per quel che erano da considerare infrastrutture critiche nazionali, sostanzialmente rimandato la competenza e la responsabilità della protezione di queste infrastrutture alla sensibilità del singolo stato membro;
- l’assenza di specifiche sanzioni;
Tutti espetti che nelle successiva direttiva Nis che si occupa della sicurezza cyber degli Operatori di Servizi Essenziali vengono superati rendendo il dettato della direttiva più efficiente.
Occorre dire che la Direttiva ha colto quello che era l’obiettivo primario, ovvero far crescere l’attenzione sulle problematiche di sicurezza di questi complessi sistemi e sulla necessità di adottare strategia che, con una visione olistica, siano in grado da un lato di migliorare la capacità di cooperazione pubblico privato (PPP – Public Private Partnership) e dall’altro di favorire la gestione degli elementi di interdipendenza intra- ed inter-settoriali.
Le difficoltà di applicazione delle direttive sono chiaramente illustrate nello staff document SWD(2013)318 della Commissione Europea dell’agosto 2013 che nell’evidenziare che a distanza di 5 anni dalla emanazioni della direttiva erano state designate solo 20 Ice suggerisce di individuare ex-ante 4 infrastrutture che per la loro rilevanza sono da considerare infrastrutture critiche a livello al fine di favorire un più concreto e fattivo sviluppo. Nello specifico la Commissione suggeriva di considerare quali infrastrutture critiche a livello europeo: la rete di trasporto dell’energia elettrica, la rete di trasporto del gas naturale, euro control e il sistema Galileo.
Ad oltre un decennio dall’entrata in vigore della direttiva la stessa è stata recepita all’interno dell’ordinamento di tutti gli stati membri, favorendo la mappatura delle infrastrutture critiche a livello nazionale (attività questa completata da 26 paesi) e contribuendo a migliorare l’awarenss sul tema e favorendo una migliore cooperazione pubblico-privata. Alla data a livello europeo sono state individuate un centinaio di Ice la stragrande maggioranza nell’ambito del settore energia e solo alcune unità nel campo del settore trasporti. La distribuzione geografica è limitata è fortemente disomogenea essendo state non solo le diverse Ice individuate in soli 9 stati membri, ma quasi il 60% delle Ice è stata individuata all’interno di due sole nazioni.
È iniziato l’iter per superare la Direttiva 2008/114/CE con una nuova direttiva che, sull’esperienza di questi anni, riesca a fornire una cornice giuridica all’interno della quale sviluppare con maggiore efficacia ed efficienza la dinamica della protezione delle infrastrutture critiche. È infatti evidente che la tematica è sempre più di interesse ed è sempre più necessaria una visione All-Hazard al fine di cogliere le problematiche legate tanto ad eventi di origine naturale che quelli indotti da fattori antropici (siano essi accidentali che dolosi) ma anche a problematiche di natura geopolitica e di sicurezza nazionale. Sicuramente la nuova direttiva dovrà ampliare il suo campo di azione estendendo oltre ai settori dell’energia e dei trasporti, ad altri a partire da quello idrico, a quello sanitario, a quello spaziale solo per citare alcuni tenendo conto delle possibilità di operare in sinergia con la normativa Nis per quel che riguarda gli aspetti di cyber security. Un ulteriore aspetto è quello di guardare non solo alla protezione, in termini di prevenzione e contrasto delle minacce, ma anche di capacità di ripristino della capacità operativa e più in generale della capacità service continuity in un’ottica di resilienza integrata.
Roberto Setola è direttore del Master in Homeland Security dell’Università Campus Bio-Medico di Roma
Marco Tesei è autore per Europa Atlantica