E' stato pubblicato il Recepimento Direttiva (UE) 2022/2557, detta CER (D. Lgs. 4 settembre 2024, n. 134): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138.

La Direttiva CER è quella relativa alla resilienza dei soggetti critici. Può sembrare simile alla NIS2, ma è applicabile anche a soggetti importanti sono solo per i servizi informatici. Da notare però che un soggetto critico per la CER è automaticamente un soggetto a cui si applica la NIS2.

Va detto che in questo caso non è l'impresa a dover valutare se è un soggetto critico, ma sono le ASC (autorità settoriali competenti) a identificare i soggetti critici, ossia che forniscono servizi essenziali, e notificare loro il loro stato. Qui è chiara l'importanza soprattutto per la continuità.

La Direttiva e il D. Lgs. descrivono poi gli obblighi di valutazione del rischio, di adozione di misure di sicurezza e di notifica degli incidenti. Nulla di nuovo e non riporto qui le specificità. Segnalo però l'interessante art. 13 comma 4 che, in poche parole, dice che si possono riutilizzare le valutazioni del rischio già fatte per altri motivi, purché ovviamente considerino i rischi specifici relativi alla resilienza e alla continuità e alla dipendenza da altri soggetti.

Interessante anche la possibilità di chiedere, da parte del PCU (punto di contatto unico in materia di resilienza dei soggetti critici, presso la Presienza del Consiglio) e dell'ASC, una "missione di consulenza" per valutare le misure adottate dal soggetto critico.