Intervista di Luigi Garofalo, direttore responsabile di Cybersecurity Italia, al Generale di Corpo d’Armata Franco Federici, Consigliere Militare del Presidente del Consiglio dei Ministri
Cybersecurity Italia. Generale, presso il Suo Ufficio è incardinata la Segreteria Infrastrutture Critiche istituita con dPCM 1° ottobre 2012 che cura le attività tecniche e scientifiche riguardanti l’individuazione delle infrastrutture critiche europee.
La guerra russo-ucraina, con i continui attacchi alle infrastrutture energetiche, di comunicazione e di trasporto ha evidenziato ancora una volta la valenza delle infrastrutture critiche sia nello scenario bellico che per il benessere della popolazione. L’Italia è l’unico Paese del G7 e della EU che non si è ancora dotata di una legge per migliorare la protezione e la resilienza delle proprie infrastrutture critiche. Quali a suo avviso le motivazioni di questa scelta e se, anche alla luce degli obblighi imposti dal recepimento della direttiva europea 2022/2557 sulle “Resilienza dei Soggetti Critici” (CER – Critical Entity Resilience), potrà mutare lo scenario?
Generale Franco Federici. La Segreteria infrastrutture critiche incardinata presso l’Ufficio che dirigo è stata istituita nel 2012 proprio per aderire agli obblighi della Direttiva europea del 2008[1], recepita dal d.lgs. 61/2011, con la quale il Governo pose la necessità di individuare, designare e proteggere le cosiddette “infrastrutture critiche europee”. Di conseguenza, affermare che l’Italia sia l’unico Paese del G7 a non essersi dotato di una legge per migliorare la protezione e la resilienza delle proprie infrastrutture critiche non è corretto. Quello che possiamo dire è che, ad oggi, non esiste una normativa quadro che raccolga in maniera organica tutte le leggi nazionali che, per settore, mirano alla sicurezza e resilienza di tali infrastrutture. Nella normativa italiana è possibile reperire una vasta quantità di disposizioni per la resilienza delle infrastrutture critiche ed ognuna è perfettamente attagliata al settore cui si riferisce. Quello che non le accomuna è l’approccio utilizzato: vi sono norme che adottano un approccio di prevenzione del rischio, altre un approccio basato sul cambiamento climatico, altre ancora adottano un approccio basato sulla resilienza. Quello che, inoltre, non accomuna tutta la normativa di sicurezza in essere nei vari settori è una governance unitaria che permetta di avere una visione olistica della resilienza delle infrastrutture ritenute critiche nel territorio nazionale. Con questa visione è stata predisposta la legge di delegazione europea, che è ora all’attenzione del Parlamento, per il recepimento della Direttiva (UE) 2022/2557 sulla resilienza dei soggetti critici.
Cybersecurity Italia. L’incidente al gasdotto NordStrem2, unitamente a tutta una serie di episodi che hanno avuto ad oggetto cavi sottomarini, ha evidenziato la necessità di tutelare le infrastrutture critiche anche al di fuori di quelli che sono i confini nazionali. Quali iniziative a Suo avviso occorre mettere in campo anche alla luce del ruolo che l’Italia può e vuole svolgere nel Mediterraneo quale hub energetico e di comunicazione per l’accesso all’Europa?
Generale Franco Federici. La tutela delle infrastrutture critiche in acque extraterritoriali evidenzia diverse problematiche: lo status delle infrastrutture critiche sottomarine varia a seconda delle zone marittime in cui queste corrono. Esistono alcune convenzioni e accordi internazionali, oltre a normative nazionali, che possono essere rilevanti in questo contesto. Mi riferisco alla United Nations Convention on the Law of the Sea – UNCLOS, alle disposizioni della Convenzione di Parigi del 1884, alla Carta delle Nazioni Unite, ai regimi esistenti per le Zone Economiche Esclusive (ZEE), alle Convenzioni bilaterali o regionali esistenti. Gli episodi di danneggiamento ai gasdotti Nordstream nelle acque internazionali della ZEE della Danimarca, al gasdotto Balticconnector nella ZEE della Finlandia, al cavo sottomarino per telecomunicazioni FINEST nella ZEE dell’Estonia e al cavo Arelion che collega l’Estonia e la Svezia costituiscono casi di studio da esaminare per valutare i profili di legittima difesa internazionale.
L’Italia, tramite l’Ufficio del Consigliere Militare, sta portando avanti diverse iniziative su più piani: con la NATO, che nel 2023 ha creato una cellula di coordinamento sulle infrastrutture sottomarine, progettata per mappare i rischi e coordinare gli sforzi tra gli Alleati, i Paesi partner e le industrie nazionali; per il tramite della NATO, con l’Unione Europea, per migliorare la resilienza di queste infrastrutture critiche, attraverso una task force dedicata NATO-UE per la condivisione delle informazioni, al fine di organizzare al meglio la sorveglianza e gli interventi laddove necessari.
In ambito nazionale, la Marina ha avviato collaborazioni con le aziende nazionali interessate, funzionali ad uno scambio di informazioni di interesse operativo, alla condotta di attività di monitoraggio e sorveglianza ed alla definizione di comuni procedure operative. Un esempio è quello siglato con Telecom Italia SPARKLE per la protezione dei cavi di telecomunicazione sottomarini. Ci sono poi le iniziative tra privati, quale ad esempio il Memorandum Of Understanding tra Fincantieri e Leonardo per definire iniziative e sviluppi legati a sistemi, inclusi droni subacquei, di protezione delle infrastrutture critiche sottomarine. Esistono, infine, accordi intergovernativi come quello con l’Albania per il gasdotto Trans Adriatic Pipeline o con l’Algeria per il gasdotto Transmed.
Anche qui emerge la necessità di mettere a sistema i diversi elementi e di avere una governance che assicuri l’organicità della materia.
Il ruolo che l’Italia può e vuole svolgere nel Mediterraneo quale hub energetico e di comunicazione per l’accesso all’Europa esula dalle mie competenze, ma mi permetta di dire che il Piano Mattei del Governo con i Paesi africani lo stia delineando chiaramente.
Cybersecurity Italia. Oltre alle minacce di natura dolosa, la redigenda normativa nazionale in tema di resilienza delle infrastrutture critiche quali altri ambiti andrà a coprire in tema di potenziali minacce alla capacità di funzionamento delle diverse infrastrutture critiche?
Generale Franco Federici. L’obiettivo generale della Direttiva CER, e quindi del decreto di recepimento, è di garantire la fornitura continua di servizi essenziali rafforzando la resilienza degli operatori delle infrastrutture critiche. Sulla base di questo presupposto, il testo adotta un approccio cosiddetto “all-hazard” affinché gli operatori siano preparati a un panorama di minacce dinamico e prevede l’esecuzione di una “valutazione del rischio” entro il 17 gennaio 2026 e successivamente ogniqualvolta necessario e almeno ogni quattro anni. Le autorità che saranno individuate quali competenti dal legislatore utilizzeranno tale valutazione del rischio per individuare i soggetti critici.
La valutazione dovrà tenere conto dei rischi di origine umana, quali gli incidenti, le minacce ibride o altre minacce antagoniste, inclusi i reati con finalità di terrorismo anche internazionale, e dei rischi naturali, come le emergenze di sanità pubblica e le catastrofi naturali. Si pensi, a quest’ultimo riguardo, alla crescente rilevanza degli effetti del cambiamento climatico, che intensifica la frequenza e la portata degli eventi meteorologici estremi che possono ridurre la capacità, l’efficienza e la durata operativa di alcuni tipi di infrastrutture se non vengono poste in atto adeguate contromisure.
Occorre precisare, infine, che la direttiva CER richiede di prendere in esame tutti gli eventi nel dominio fisico che minacciano le infrastrutture, mentre la sicurezza e la resilienza rispetto ad eventi cibernetici sono oggetto della complementare direttiva NIS 2.
Cybersecurity Italia. Oltre alle minacce fisiche, le infrastrutture critiche sono sempre più esposte a minacce cyber. Aspetto colto anche dalla Unione Europea, che ha voluto portare avanti in parallelo la discussione sulla CER con quella sulla NIS2, anche se non ha ritenuto opportuno fare un atto normativo unico che coprisse sia la dimensione della resilienza da minacce fisiche che quella da minacce cyber.
In che modo a suo avviso la redigenda normativa nazionale saprà valorizzerà le sinergie fra sicurezza fisica e cyber? Non crede che possa esserci il rischio di creare duplicazioni di oneri a carico degli operatori?
Generale Franco Federici. Dal punto di vista pratico, la dottrina si interroga sull’esatta individuazione del confine tra profili fisici e cyber, soprattutto in relazione alla possibilità di far convergere i sistemi OT e quelli IT e i rispettivi sistemi di sicurezza. Come sappiamo, il dibattito su questa integrazione è tuttora aperto anche nella letteratura scientifica.
Comunque, il rischio di potenziali sovrapposizioni o duplicazioni è stato ben chiaro al legislatore europeo, il quale ha previsto che le autorità competenti individuate ai sensi della normativa sulla resilienza dei soggetti critici e quelle individuate ai sensi della direttiva NIS2 cooperino e si scambino informazioni in relazione ai rischi di cybersicurezza, sulle minacce e sugli incidenti informatici nonché sui rischi, sulle minacce e sugli incidenti non informatici.
Inoltre, la stessa direttiva CER ha evidenziato quanto sia importante che gli Stati provvedano affinché le prescrizioni di entrambe le direttive siano attuate in modo complementare e senza che sui soggetti critici gravino ulteriori oneri rispetto a quelli strettamente necessari a conseguire gli obiettivi in esse indicati.
Il corretto recepimento dei provvedimenti normativi europei consentirà dunque di limitare il rischio di duplicazioni di oneri a carico dei soggetti critici che non siano funzionali ad un’accresciuta resilienza degli stessi.
I criteri di delega contenuti nel disegno di legge di delegazione europea attualmente in discussione alle camere, coerentemente, impegnano il Governo ad assicurare l’opportuno coordinamento delle disposizioni recanti il recepimento delle direttive CER e NIS2.
Cybersecurity Italia. Il Dlgs 61/2011 di recepimento della direttiva sulle infrastrutture critiche attribuiva al Prefetto territorialmente competente la responsabilità della protezione locale delle singole istallazioni ed ad esso gli operatori delle ECI dovevano comunicare anche il PSO (Piano di Sicurezza dell’Operatore). Tale impostazione pare non cogliere appieno la natura sistemica delle diverse infrastrutture critiche che operano generalmente su una dimensione nazionale. Nell’ambito Cyber tale dualismo è stato superato con l’istituzione della ACN che ha assunto il ruolo di Autorità unica nazionale per la cybersicurezza. Ritiene possibile anche per la tematica della resilienza fisica che la struttura che sarà designata al coordinamento della materia possa operare come punto di contatto unico nei confronti degli operatori di infrastrutture critiche?
Generale Franco Federici. In realtà, il decreto legislativo 61/2011 era del tutto coerente non solo con la direttiva che doveva recepire ma anche con l’approccio del tempo. La Direttiva 2008/114/CE era incentrata unicamente sull’esigenza della protezione, come si evince non solo dal titolo – sarebbe un’osservazione banale – ma anche dal preambolo e dal contenuto concreto delle sue disposizioni. Inoltre, si riferiva esclusivamente alle infrastrutture critiche europee, vale dire infrastrutture il cui danneggiamento o la cui distruzione avrebbe avuto un significativo impatto su almeno due Stati membri. Infine, poneva l’accento non tanto sulla continuità del servizio quanto sull’integrità fisica del singolo elemento rispetto a minacce prioritariamente di tipo terroristico: non dimentichiamo che le conclusioni del Consiglio Europeo del giugno 2004, a seguito delle quali fu lanciato dalla Commissione il programma europeo per la protezione delle infrastrutture critiche, di cui la Direttiva è frutto, facevano un esplicito riferimento agli attentati di Madrid della primavera 2004. Stando così le cose, non è affatto sorprendente che si attribuisse al Prefetto competente per territorio in base alla collocazione geografica dell’infrastruttura la responsabilità maggiore, anche per quanto concerneva la dialettica con l’operatore, e che la dimensione nazionale apparisse marginale.
Come è noto, soprattutto ai lettori di Cybersecurity Italia, sul fronte cibernetico le cose sono andate un po’ diversamente, ma si deve ricordare che la prima direttiva europea sull’argomento, la direttiva NIS, è del 2016 e nella sua elaborazione si è sicuramente fatto tesoro anche delle riflessioni dottrinali sviluppate nel frattempo a proposito della valorizzazione delle interdipendenze intra- e inter-settoriali e della opportunità di una visione sistemica. Peraltro, anche per quanto riguarda i processi decisionali nazionali, l’istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN) è stata il punto di approdo di un’evoluzione durata 10 anni: inizialmente, infatti, la governance della sicurezza cibernetica è stata assicurata da un Nucleo costituito presso il mio Ufficio, per poi traslare verso il Dipartimento delle informazioni per la sicurezza e approdare infine all’ACN, titolare di compiti e funzioni che originano da un quadro normativo fattosi, nel tempo, sempre più ricco e complesso, non solo a livello europeo ma anche nazionale.
Venendo quindi alle prospettive future, oggetto della sua domanda, la possibilità che la struttura designata al coordinamento della materia possa operare anche come punto di contatto nei confronti degli operatori è prevista dal disegno di legge di delegazione europea attualmente all’esame del Parlamento. Chiaramente, per i contorni precisi del coordinamento e per l’assetto definitivo della governance si dovrà aspettare il testo definitivo della delega e poi la traduzione dei suoi criteri nel decreto legislativo di recepimento.
Cybersecurity Italia. Generale Federici un’ultima curiosità. In questa intervista abbiamo parlato di resilienza delle infrastrutture critiche, visto che questo è il termine che a livello internazionale si utilizza per designare unitariamente questi sistemi. In realtà la Direttiva 2022/2557 ha adottato una terminologia differente utilizzando il termine “soggetti critici”. Potrebbe aiutarci a capire il perché di questa diversa denominazione e come da un punto di vista giuridico verranno raccordati i due concetti?
Generale Franco Federici. Le riflessioni sulla terminologia sono sempre affascinanti perché la scelta dei termini normalmente risponde a una impostazione di fondo ed è dunque indicativa in sé dell’approccio che si adotta.
La comunità scientifica, con la quale il mio Ufficio ha relazioni costanti, ha spesso evidenziato come il mero riferimento alle infrastrutture, che semanticamente rimandano a elementi puntuali, fosse il meno appropriato a rendere l’idea della complessità del sistema e, soprattutto, a valorizzare il ruolo e le responsabilità degli operatori, suggerendo, pertanto, che un approccio corretto alla materia avrebbe dovuto indurre a riferirsi agli “operatori di infrastrutture critiche”. D’altra parte, nella sicurezza cibernetica, con la Direttiva NIS, si è parlato piuttosto di “operatori di servizi essenziali”, mettendo l’accento sui servizi che occorre garantire al fine del mantenimento di attività sociali e/o economiche fondamentali.
Questo approccio, nella prospettiva contemporanea, è senz’altro il più logico: si identificano i servizi essenziali per il benessere di una società, si individua il soggetto che li eroga e si chiede a questo soggetto di mantenere le infrastrutture di cui si serve efficienti e sicure con l’obiettivo di non interrompere l’erogazione del servizio.
Il cuore della disciplina, quindi, non è più l’infrastruttura ma il soggetto che la gestisce. Questa è, in effetti, anche la prospettiva adottata dalla Direttiva 2022/2557.
Perché lo chiamiamo “soggetto” e non “operatore”? Direi che la scelta è legata alla inclusione, nella Direttiva, degli enti della pubblica amministrazione, ai quali mal si attagliano espressioni quali “operatore di infrastruttura critica” o “operatore di servizio essenziale”. Nella prospettiva italiana, comunque, questa terminologia non può neppure considerarsi una vera novità: infatti, nel decreto legge 105/2019 e nella normativa discendente si parla di “soggetti” che rientrano nel Perimetro di sicurezza nazionale cibernetica, in quanto esercitano funzioni essenziali o assicurano un servizio essenziale.
Non intravedo, di conseguenza, particolari criticità derivanti dall’uso di questa espressione.
[1] Direttiva 114 dell’8 dicembre 2008. Il d.lgs. 61/2011, che recepisce la Direttiva europea 114 del 2008 sulle infrastrutture critiche europee (ICE), richiede una “struttura responsabile”, alla quale affidare «per il supporto al NISP (Nucleo interministeriale situazione e pianificazione), le attività tecniche e scientifiche riguardanti l’individuazione delle ICE e per ogni altra attività connessa, nonché per i rapporti con la Commissione europea e con le analoghe strutture degli altri Stati membri dell’Unione europea».
Con successivo DPCM del 17 maggio 2011 la SIC è designata “struttura responsabile” («La “struttura responsabile” […] è individuata nella Segreteria Infrastrutture Critiche (SIC), esistente nell’ambito dell’Ufficio del Consigliere Militare della Presidenza del Consiglio dei Ministri»).