La Direttiva CER (Critical Entities Resilience), recepita in Italia con il decreto legislativo n. 31/2024, introduce un cambiamento significativo nella gestione della resilienza delle infrastrutture critiche, estendendo per la prima volta una responsabilità personale diretta ai vertici aziendali in caso di mancata attuazione delle misure previste. Si tratta di una peculiarità normativa che, nel caso italiano, assume tratti particolarmente vincolanti rispetto alla media europea.
Secondo quanto stabilito dal decreto, entro il 17 luglio 2025 tutte le entità qualificate come “critiche” o “importanti” dovranno comunicare all’autorità nazionale competente (il Dipartimento della Protezione Civile, con il supporto di altri organismi settoriali) una serie di informazioni aggiuntive, tra cui l’elenco dei dirigenti e degli amministratori soggetti al nuovo regime di responsabilità personale per l’inadeguata implementazione delle misure di resilienza previste.
La responsabilità personale non si limita a sanzioni pecuniarie. In caso di grave non conformità, l’autorità potrà disporre la sospensione temporanea dalle funzioni dirigenziali dei soggetti coinvolti, fino a dimostrazione dell’adozione di misure correttive efficaci. Una misura senza precedenti nel contesto della protezione delle infrastrutture critiche civili, che richiama fortemente il paradigma già introdotto dalla NIS 2 in ambito cybersicurezza.
Le implicazioni sono profonde: l’eventuale sospensione di figure apicali può incidere negativamente sulla continuità operativa e strategica delle entità coinvolte, con impatti anche sulla fiducia degli stakeholder e sulla reputazione complessiva dell’organizzazione. Inoltre, la possibilità di responsabilità diretta per amministratori e dirigenti rappresenta un potente incentivo all’adozione tempestiva di strategie strutturate di prevenzione, gestione del rischio e risposta a eventi avversi.
Per garantire la conformità, è essenziale che le entità critiche aggiornino i propri piani di resilienza fisica, organizzativa e operativa, assicurando il rispetto dei requisiti di valutazione del rischio, protezione da minacce naturali e antropiche, continuità dei servizi essenziali e reporting.
In tale contesto, un supporto tecnologico utile per rispondere alle esigenze di conformità è rappresentato dalla piattaforma ATENA di Hermes Bay, uno strumento avanzato progettato per il monitoraggio della compliance normativa. ATENA consente di effettuare una valutazione dettagliata dello stato di conformità aziendale, predisponendo checklist specifiche e dashboard operative per la gestione delle azioni correttive, migliorando significativamente i tempi di risposta alle richieste normative.
Un altro strumento eccellente da considerare è DEMETRA: progettata per simulare scenari e visualizzare il rischio attraverso modelli interattivi “What-If”, questa piattaforma supporta i vertici aziendali nel comprendere in anticipo le conseguenze di scelte e vulnerabilità, permettendo di pianificare strategie di risposta mirate e proattive.
