Ad aprile 2026 il governo italiano ha pubblicato la prima Strategia nazionale per la resilienza dei soggetti critici, dando attuazione al decreto legislativo 134/2024 che recepisce la Direttiva CER dell’Unione Europea.

Il documento è rilevante non perché risolve il problema della protezione delle infrastrutture critiche, ma perché riconosce formalmente che quel problema è più complesso, interconnesso e urgente di quanto la postura regolatoria italiana abbia storicamente riflesso.

Strategia nazionale per la resilienza
dei soggetti critici: il contesto della guerra ibrida

Il perimetro dichiarato è la resilienza fisica: proteggere le infrastrutture che erogano energia, acqua, trasporti, sanità, cibo, finanza e servizi digitali da perturbazioni di natura fisica.

Ma il documento evita con cura di trattare le minacce fisiche e digitali come universi separati, anzi sottolinea come in un contesto di guerra ibrida un attacco cibernetico possa inficiare le operazioni di tali infrastrutture.

“Pur nel perimetro proprio della direttiva CER, l’analisi del rischio fisico non può prescindere dal fatto che, nell’attuale contesto, molte interruzioni o danneggiamenti possono inserirsi in campagne ibride, ossia azioni ostili che mirano a colpire infrastrutture, servizi essenziali e processi decisionali”, recita il documento strategico.

Gli obblighi della Direttiva CER

La Direttiva CER, Critical Entities Resilience, adottata dal Parlamento Europeo nel dicembre 2022, sostituisce la precedente direttiva sulle infrastrutture critiche europee del 2008 e amplia significativamente il perimetro dei settori considerati critici: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio.

La direttiva obbliga gli Stati membri a identificare formalmente i soggetti critici nei propri territori, a valutare i rischi su base nazionale e a imporre agli operatori piani di resilienza concreti.

Però la direttiva CER non si occupa di cyber sicurezza, che resta di pertinenza NIS2, ma di resilienza fisica.

Per questo motivo, il coordinamento tra le due discipline è, per definizione, il nodo più delicato.

Il sabotaggio di un gasdotto o il tranciamento del cavo sottomarino sono eventi puramente fisici. Tuttavia, questi eventi possono essere atti condotti da uno stato ostile in campagne ibride che quindi combinano attacchi informatici, disinformazione, spionaggio, pressione economica e azione fisica in modo simultaneo e coordinato.

L’architettura istituzionale e il nodo CER-NIS2

La governance definita dal decreto è multilivello. Il presidente del Consiglio esercita l’alta direzione strategica.

Il Comitato interministeriale per la resilienza coordina. Le Autorità settoriali competenti supervisionano i propri ambiti.

Il Punto di contatto unico, collocato presso la presidenza del Consiglio e affidato al Consigliere militare, coordina trasversalmente e gestisce il raccordo con la Commissione europea.

L’Agenzia per la Cybersicurezza Nazionale svolge un ruolo doppio:

• Autorità Settoriale Competente (ASC) per le infrastrutture digitali;
• e autorità NIS2, il che crea l’opportunità di coordinamento che la strategia esplicitamente richiede.

La Strategia nazionale per la resilienza dei soggetti critici sana le contraddizioni

Per gli operatori che ricadono contemporaneamente sotto CER e NIS2, il rischio di obblighi contraddittori è stato reale e scarsamente gestito.

La strategia intende affrontare anche questo problema come evidenziato dal passaggio seguente: “È, quindi, fondamentale garantire un efficace coordinamento istituzionale a livello operativo, che riguardi aspetti essenziali quali:

• lo scambio informativo su rischi e incidenti,
• svolgimento di attività di supervisione coordinate per i soggetti ricadenti sotto entrambe le discipline CER e NIS2,
• un’interpretazione armonizzata degli obblighi di adeguamento, al fine di evitare oneri sproporzionati o indicazioni contraddittorie per gli operatori”.

Il problema strutturale è noto

Un operatore di infrastrutture digitali che eroga servizi essenziali può ricevere indicazioni diverse da ACN in veste NIS2 e dalla stessa ACN in veste CER.

Armonizzare non è un dettaglio tecnico. è condizione necessaria, ma non sufficiente, affinché il sistema funzioni.

I vantaggi della Strategia nazionale per la resilienza dei soggetti critici

Uno dei principali contributi del documento strategico è il trattamento esplicito degli effetti a cascata provocati da eventi avversi e delle dipendenze intersettoriali.

La valutazione del rischio nazionale condotta dal Punto di Contatto Unico, istituito presso la Presidenza del Consiglio dei Ministri, in cooperazione con le ASC, ha rilevato che le interdipendenze trasversali rappresentano una vulnerabilità critica in quasi ogni settore.

L’energia alimenta le ferrovie, che alimentano i porti, che alimentano le filiere alimentari, che dipendono dalle telecomunicazioni, che dipendono dall’energia.

“Rischi intersettoriali e transfrontalieri, espressione delle interdipendenze tra reti e funzioni critiche nonché tra diversi settori e che risultano aggravati dall’elevata complessità e interconnessione dei sistemi.

Tali vulnerabilità rendono difficile isolare e contenere i malfunzionamenti, sia all’interno di singoli settori sia tra settori diversi, ostacolando anche l’individuazione tempestiva delle criticità e la definizione di risposte efficaci.

In questo ambito, le interruzioni nelle catene di approvvigionamento inducono la necessità di un ripensamento delle strategie di gestione del rischio, con particolare attenzione alla mappatura delle catene critiche, fisiche e digitali”, continua la strategia.

“Queste categorie di rischio non si manifestano in modo isolato, ma risultano sempre più interconnesse, generando scenari complessi nei quali un singolo evento può innescare o amplificare altri effetti negativi”.

Cosa prevede la Piattaforma AI

Per affrontare questo problema in modo sistematico, la strategia prevede una piattaforma basata su intelligenza artificiale per mappare le dipendenze settoriali e intersettoriali, capace di simulare impatti a cascata e scenari what-if.

Prevede una piattaforma separata per la gestione delle notifiche degli incidenti con un registro nazionale ad accesso riservato.

Inoltre prevede stress test settoriali a partire da fine 2027, mappatura delle dipendenze estere da settembre 2026, e la Conferenza per la Resilienza dei Soggetti Critici come sede permanente di dialogo pubblico-privato.

Sono gli strumenti giusti. La domanda è la consueta: tempi di esecuzione e risorse effettivamente allocate.

Resilienza by design e settore privato

Una delle previsioni più rilevanti, e meno discusse, è la resilienza by design per le nuove infrastrutture critiche.

Il documento stabilisce che le nuove infrastrutture devono essere progettate secondo requisiti di resilienza fin dall’origine, incorporando le valutazioni di difesa e sicurezza militare del Ministero della Difesa come input fondamentale.

Estendere una metodologia già consolidata per i sistemi dual-use a tutte le infrastrutture critiche è una scelta significativa.

Significa che qualunque scelta di progetto, della componente energetica a quella infrastrutturale, devono tenere conto di scenari di minaccia che tradizionalmente venivano considerati solo in ambito militare.

Sul rapporto con il settore privato, la strategia non lascia spazio a interpretazioni: il coinvolgimento dei privati non è un’opzione, è una necessità strutturale.

In Italia la maggior parte delle infrastrutture che erogano servizi essenziali è di proprietà o gestita da soggetti privati.

Senza una collaborazione strutturata e continuativa, la strategia rimane un esercizio istituzionale privo di impatto reale sulle infrastrutture che conta proteggere.

Una valutazione critica della postura italiana

Il documento è solido nella diagnosi e corretto nell’impianto. Le lacune sono altrove.

L’Italia sconta un ritardo accumulato: molte delle misure previste hanno date di avvio tra settembre 2026 e fine 2027.

La piattaforma per le notifiche degli incidenti fisici partirà a dicembre 2026. Gli stress test multisettoriali non prima di dicembre 2027. Nel frattempo, le infrastrutture esistono, le dipendenze esistono, e le minacce non aspettano i cronoprogrammi istituzionali.

Il fattore umano è riconosciuto come criticità trasversale, con particolare riferimento alla scarsità di personale altamente specializzato nella Pubblica Amministrazione.

Ma la Strategia nazionale per la resilienza dei soggetti critici non indica risorse finanziarie dedicate né meccanismi di reclutamento straordinario.

Senza personale qualificato, le piattaforme tecnologiche restano infrastrutture vuote.

Sul piano europeo, l’Italia non è un caso isolato. La maggior parte degli Stati membri sta affrontando gli stessi problemi di coordinamento CER-NIS2, le stesse dipendenze transfrontaliere non mappate, gli stessi ritardi nell’identificazione formale dei soggetti critici.

La scadenza del 17 luglio 2026 per l’adozione del DPCM con l’elenco dei soggetti critici italiani è ravvicinata e ambiziosa.

Se rispettata, collocherebbe l’Italia tra i primi Paesi a completare questo passaggio. Inoltre, se slittasse, aprirebbe un periodo di incertezza normativa proprio mentre le minacce alle infrastrutture europee, dai cavi sottomarini ai nodi energetici, stanno aumentando in frequenza e sofisticazione.

La resilienza, come afferma correttamente la strategia stessa, non si misura nella qualità dei documenti programmatici.

Si misura, invece, nella capacità concreta di conoscere le dipendenze del Paese, anticipare gli effetti a cascata, coordinare le decisioni in tempo reale e ridurre il tempo tra incidente, risposta e ripristino.

Il documento c’è. Ora serve la capacità.