L’Europa ha avviato un processo normativo sul tema delle Infrastrutture Critiche (Ic) nel 2006 e ancora oggi si occupa a vari livelli del tema di proteggere i gangli organizzativi dei nostri sistemi sociali. Nel 2008 ha emanato una direttiva proprio sul tema delle Ic raggiungendo il consenso degli stati membri a pochi giorni dall’entrata in vigore del trattato di Lisbona che avrebbe impedito di emanare una direttiva su tale tema: per raggiungere quel consenso i rappresentanti dei vari stati membri lavorarono giorno e notte. La conclusione fu una direttiva che si occupava solo di due settori, energia e trasporti, settori le cui potenziali Ic nascevano già “multinazionali” (si pensi alle pipeline, o al controllo del traffico aereo) e quindi sui quali tutti gli stati avevano trovato un possibile “punto di incontro”. Gli altri settori, ritenuti comunque non meno importanti, venivano lasciati a successivi atti normativi: la direttiva del 2008 aveva infatti come scopo l’allineamento delle definizioni e dei principi identificativi delle Ic tra i vari stati membri (vecchi e nuovi) dell’Unione. Il resto sarebbe stato gestito successivamente. Una volta entrato in vigore il trattato di Lisbona tale direttiva è rimasta congelata, non potendosi più rivedere visto il cambiamento delle basi giuridiche sottostanti. Tutti gli Stati Membri la hanno comunque recepita, ivi compresa l’Italia che nel 2011 ha emanato il decreto legislativo 61. La delega ricevuta all’epoca non consentiva di aggiungere nel decreto alcunché sul tema delle Ic nazionali, già identificate, perlomeno quelle informatizzate, dalla legge Pisanu e dai suoi emendamenti e attuazioni.
In questi anni l’Italia si è quindi regolata “all’uopo”, identificando “di fatto” alcune Ic tra gli operatori nazionali di quei servizi che sono ormai universalmente riconosciuti come critici. I tavoli delle Istituzioni preposte alla protezione del sistema Paese hanno quindi lavorato in collaborazione pubblico-privato con geometrie variabili a seconda delle necessità e delle situazioni via via rilevate come critiche o potenzialmente tali. Un assetto, questo, che ha comunque consentito al Paese di prendere decisioni importanti e alle Ic (di fatto) nazionali di avviare politiche e posture di protezione al passo con i tempi e le tecnologie. Oggi (in realtà nel 2016) arriva (ed effettivamente arriverà a breve il recepimento italiano) una direttiva europea negoziata in altra Direzione Generale e quindi con nuovi attori dei vari Stati Membri. Una direttiva nata per proteggere le reti e le informazioni che si occupa di pensare un processo di “consapevolezza” obbligatorio per quei servizi critici a livello nazionale che usano le reti e le tecnologie dell’informazione.
Una direttiva che sancisce alcune novità: definisce i settori critici e un modo per identificare le Ic, da un lato, e impone una serie di obblighi per le Ic stesse in termini di cooperazione pubblico privato, dall’altro. Nel normare l’identificazione degli operatori “critici” per un Paese, la Nis segue esattamente il metodo sancito dalla direttiva del 2008: chi può generare impatti al di sopra di soglie predefinite è da considerarsi critico. Tuttavia questa direttiva rappresenta una svolta “di pensiero” perché passa dal concetto di infrastruttura critica al concetto di servizio essenziale, pur lasciando di fatto inalterati i metodi, i valori e i principi che sottendono alla individuazione di entrambe le categorie. Gli indicatori suggeriti per la valutazione dell’impatto sono sostanzialmente gli stessi nel 2008 e nel 2016, il che conferma la bontà del metodo individuato dieci anni fa e consolida tale metodo in una prassi che diventa legge nazionale, per tutti gli Stati membri.
La Nis conclude ciò che era stato avviato nel 2008 con la direttiva sulle Ic europee e conferisce completezza di visione integrando il processo di identificazione con il processo di gestione. In altre parole risponde a una domanda che nel 2008 era rimasta “nell’aria” e cioè: cosa facciamo poi con le Ic individuate?
La Nis è infatti costituita da due grandi “momenti” decisionali: l’identificazione dei servizi essenziali e la gestione delle comunicazioni obbligatorie che questi dovranno fare in caso di incidente rilevante sulle reti e sui dati. Due momenti distinti, ma ugualmente importanti. La comunicazione di incidenti sarà un primo passo verso una “abitudine” alla condivisione delle informazioni: non sarà di per sé una vera e propria procedura di information sharing, ma sarà un primo passo di cooperazione e scambio, nel quale tutti dovranno trovare un lessico comune e comuni valori per rendere lo scambio utile e non dannoso alla competitività aziendale. Temi questi che sono alla base di tutte le tecniche e i tavoli mondialmente esistenti di condivisione delle informazioni.