Servizio Studi

Tel. 06 6706-2451 -  studi1@senato.it - @SR_Studi

Dossier n. 303

 

 

 

 

Servizio Studi

Dipartimento Istituzioni

Tel. 06 6760-9475 st_istituzioni@camera.it -  @CD_istituzioni

 

Atti del Governo n. 165

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

La documentazione dei Servizi e degli Uffici del Senato della Repubblica e della Camera dei deputati è destinata alle esigenze di documentazione interna per l'attività degli organi parlamentari e dei parlamentari. Si declina ogni responsabilità per la loro eventuale utilizzazione o riproduzione per fini non consentiti dalla legge. I contenuti originali possono essere riprodotti, nel rispetto della legge, a condizione che sia citata la fonte.

 

I N D I C E

INTRODUZIONE. 5

CAPO I – Disposizioni generali

Articolo 1  (Oggetto e ambito di applicazione) 11

Articolo 2 (Definizioni) 14

CAPO II – Contesto strategico e istituzionale

Articolo 3  (Competenze della Presidenza del Consiglio) 17

Articolo 4  (Comitato interministeriale per la resilienza) 18

Articolo 5  (Autorità settoriali e punto di contatto unico) 20

Articolo 6 (Strategia per la resilienza dei soggetti critici) 26

Articolo 7 (Valutazione del rischio da parte dello Stato) 28

Articolo 8 (Individuazione dei soggetti critici) 30

Articolo 9 (Effetti negativi rilevanti) 33

Articolo 10 (Soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali) 34

Articolo 11 (Sostegno ai soggetti critici) 35

Articolo 12 (Cooperazione con gli Stati membri dell’Unione europea) 36

Capo III - Resilienza dei soggetti critici

Articolo 13 (Valutazione del rischio da parte dei soggetti critici) 37

Articolo 14 (Misure di resilienza dei soggetti critici) 38

Articolo 15 (Controlli dei precedenti personali) 40

Articolo 16 (Notifica degli incidenti) 42

CAPO IV- Soggetti critici di particolare rilevanza europea

Articolo 17 (Individuazione dei soggetti critici di particolare rilevanza europea) 44

Articolo 18  (Missioni di consulenza) 45

CAPO V- Cooperazione e comunicazione

Articolo 19 (Gruppo per la resilienza dei soggetti critici) 48

CAPO VI – Vigilanza ed esecuzione

Articolo 20 (Vigilanza ed esecuzione) 49

Articolo 21 (Sanzioni) 51

 

CAPO VII – Disposizioni finali

Articolo 22 (Abrogazione) 53

Allegato A.. 55

 

INTRODUZIONE

 

 

Una nuova direttiva europea sui “soggetti critici”

 

L’atto del Governo n. 165 reca uno schema di decreto legislativo attuativo della direttiva dell’Unione europea n. 2557 del 2022, relativa alla resilienza dei soggetti critici.

Per “soggetti critici”, vale preliminarmente esplicitare, si intendono i soggetti, pubblici o privati, che operano nella fornitura di servizi essenziali, fondamentali per il mantenimento di “funzioni vitali” della società, delle attività economiche, della salute e della sicurezza pubbliche, dell’ambiente. 

Per accrescere la capacità di prevenzione, resistenza, reazione e risposta (resilienza, nel lessico di oggi) rispetto ad incidenti perturbatori della fornitura di servizi essenziali, intervenne già la direttiva europea n. 114 del 2008 (suo atto di recepimento nell’ordinamento italiano, il decreto legislativo n. 61 del 2011).

La sua disciplina tuttavia era circoscritta a due soli settori – energia (elettricità, petrolio, gas) e trasporti – ed incentrata su misure di protezione riferite alle singole infrastrutture.

Tale ‘approccio’ normativo è stato oggetto di revisione, nella considerazione della crescente interdipendenza tra infrastrutture e tra settori di attività, nella fornitura dei servizi essenziali.

Di qui l’emanazione della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio.

Essa pone l’accento, ancor più che sulle “infrastrutture”, sui “soggetti” impegnati nella fornitura dei servizi essenziali, e considera tali servizi quali inerenti ad uno spettro di attività più esteso rispetto a quello originariamente previsto.

Infatti la direttiva n. 2557 menziona come settori oggetto della sua disciplina:

ü energia (energia elettrica; teleriscaldamento e teleraffreddamento; petrolio; gas; idrogeno);

ü  trasporti (aereo; ferroviario; per vie d’acqua; su strada; pubblico);

ü  settore bancario;

ü  infrastrutture dei mercati finanziari;

ü  acqua potabile;

ü  acque reflue;

ü  infrastrutture digitali;

ü  enti della pubblica amministrazione;

ü  spazio;

ü  produzione, trasformazione e distribuzione di alimenti.

Con riferimento esclusivo a questi undici settori, dunque, la direttiva pone previsioni – a parte alcune di tipo organizzativo – volte a:

ü  l’adozione da parte degli Stati membri di una strategia nazionale per la resilienza dei soggetti critici;

ü  la valutazione del rischio da parte di ciascun Stato membro;

ü  l’obbligatoria individuazione come soggetti critici, da parte di ciascuno Stato membro, degli operatori pubblici e privati, titolari di infrastrutture critiche (impianti, reti, sistemi necessari alla fornitura di un servizio essenziale), che operino nei settori sopra ricordati;

ü  l’adozione da parte dei soggetti critici di misure tecniche, di sicurezza ed organizzative volte a rafforzarne la resilienza;

ü  l’obbligo per gli Stati membri di provvedere affinché i soggetti critici procedano alla notifica senza indebito ritardo (e comunque entro 24 ore) all’autorità competente degli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali;

ü  l’individuazione dei soggetti critici di particolare rilevanza a livello europeo (che forniscono servizi essenziali identici o analoghi in sei o più Stati membri);

ü  la definizione di procedure comuni di cooperazione;

ü  l’irrogazione di sanzioni efficaci, proporzionate e dissuasive in caso di violazione delle disposizioni nazionali prescritte.

Vale infine ricordare come la direttiva n. 2557 del 2022 sia stata integrata da un regolamento delegato della Commissione europea, il quale ha stabilito un elenco di servizi da intendersi come essenziali, ai fini della resilienza dei soggetti critici.  Si tratta del regolamento n. 2450 del 2023.

Inoltre, la direttiva si colloca entro un ‘pacchetto’ normativo in materia di sicurezza di servizi.

Essa è infatti affiancata dalla direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione europea (cd. “direttiva NIS 2”: l’acronimo sta per Network and Information Security) e dal regolamento (UE) 2022/2554, sulla resilienza operativa digitale per il settore finanziario (cd. Digital Operational Resilience Act).

 

 

La norma di delega per il recepimento

 

La direttiva dell’Unione europea n. 2557 del 2022 pone come termine per il suo recepimento il 17 ottobre 2024 (dal giorno seguente, è abrogata la direttiva n. 114 del 2008).

A tal fine, è intervenuta la legge 21 febbraio 2024, n. 15 (legge di delegazione europea 2022-23), entrata in vigore il 10 marzo.

Più in particolare, il suo articolo 5, comma 1, pone i principi e criteri direttivi di delega, per il recepimento.

Tali sono:

 

-          esclusione dall’ambito di applicazione, degli enti della pubblica amministrazione operanti nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati, ed inclusi gli organismi di informazione per la sicurezza, ai quali si applicano le disposizioni di cui alla legge 3 agosto 2007, n. 124 (“Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto”);

-          avvalimento della facoltà di escludere anche specifici soggetti critici operanti negli ambiti testé ricordati, o che forniscano servizi esclusivamente a quegli enti della pubblica amministrazione, demandandone l’individuazione a uno o più d.P.C.m., su proposta delle competenti Amministrazioni di settore;

-          con riferimento agli undici settori disciplinati dalla direttiva, designazione di una o più “autorità competente” ovvero – in caso di istituzione o designazione di un’unica autorità competente – di un punto di contatto unico che svolga una funzione di collegamento, allo scopo di garantire la cooperazione transfrontaliera con i punti di contatto unici di altri Stati membri e con il gruppo per la resilienza dei soggetti critici (previsto dall’articolo 19 della direttiva n. 2557);

-          individuazione di un punto di contatto unico al quale attribuire anche le funzioni di: assicurare il  collegamento con la Commissione europea e la cooperazione con i Paesi terzi; coordinare le attività di sostegno ai soggetti critici nel rafforzamento della loro resilienza; ricevere, da parte dei soggetti critici, contestualmente alle autorità competenti, le notifiche degli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali; promuovere le attività di ricerca e formazione in materia di resilienza delle infrastrutture critiche; coordinare l’attività delle autorità competenti;

-          avvalimento della facoltà di individuare servizi essenziali aggiuntivi (rispetto all’elenco predisposto dalla Commissione europea – ai sensi dell’articolo 5, paragrafo 1, della direttiva – con il regolamento delegato n. 2450 del 2023);

-          previsione che le soglie applicate per specificare i criteri di rilevanza degli effetti negativi degli incidenti possano essere comunicate alla Commissione europea come tali o in forma aggregata;

-          previsione, ove necessario, di misure atte a conseguire un livello di resilienza più elevato per i soggetti critici del settore bancario, del settore delle infrastrutture dei mercati finanziari e del settore delle infrastrutture digitali;

-          introduzione di sanzioni penali e amministrative efficaci, proporzionate e dissuasive – ove necessario anche in deroga ai limiti previsti per tale riguardo dall’articolo 32, comma 1, lettera d), della legge n. 234 del 2012 (che definisce i limiti delle sanzioni amministrative e penali per le infrazioni alle disposizioni dei decreti legislativi di recepimento delle direttive europee previste dalla legge di delegazione europea) [1] nonché alla legge n. 689 del 1981 – nonché strumenti deflattivi del contenzioso, quali la diffida ad adempiere;

-          previsione che le autorità competenti possano irrogare le sanzioni amministrative;

-          previsione, anche per le autorità competenti, della facoltà di adottare una disciplina secondaria;

-               coordinamento delle disposizioni recanti il recepimento della direttiva in esame con quelle di recepimento della direttiva (UE) 2022/2555 sulla cybersicurezza – la cui delega è contenuta all’articolo 3 della legge n. 15 del 2024 legge in esame – nonché con il regolamento (UE) 2022/2554 sulla resilienza operativa digitale per il settore finanziario, ivi comprese le disposizioni nazionali di adeguamento a quest’ultimo;

-          coordinamento con le disposizioni vigenti, operando le necessarie modifiche o abrogazioni espresse e, in particolare, modificando o abrogando l’articolo 211-bis del decreto-legge 19 maggio 2020, n. 34 – che reca disposizioni finalizzate a garantire la continuità dei servizi erogati dagli operatori di infrastrutture critiche – nonché il decreto legislativo 11 aprile 2011, n. 61, di attuazione della succitata direttiva 2008/114/CE;

-          mantenimento come ferme delle attribuzioni: dell’autorità giudiziaria, relativamente alla ricezione delle notizie di reato; del Ministero dell’interno, in materia di tutela dell’ordine e della sicurezza pubblica e di difesa civile; del Ministero della difesa, in materia di difesa e sicurezza dello Stato; del Dipartimento della Protezione civile, in materia di previsione, prevenzione e mitigazione dei rischi; del Ministero delle imprese e del made in Italy, in materia di resilienza fisica delle reti di comunicazione elettronica; dell’Agenzia per la cybersicurezza nazionale, in materia di cybersicurezza e resilienza nazionale nello spazio cibernetico. A tal fine, è indicata l’istituzione di un tavolo di coordinamento tra il punto di contatto unico e la Commissione interministeriale tecnica di difesa civile, in relazione alla formulazione e attuazione degli obiettivi di resilienza nazionale;

-          tutela dei lavoratori nello svolgimento delle attività ritenute critiche e sensibili, anche mediante disposizioni speciali (in raccordo con la normativa europea).

 

Onde dare attuazione alla delega sopra ricordata, giunge in Parlamento l’atto del Governo n. 165 in esame.

Esso è stato approvato in via preliminare dal Consiglio dei ministri il 10 giugno 2024, e trasmesso alle Camere il 17 giugno.

Il termine per l’espressione del parere delle competenti Commissioni parlamentari assegnatarie del vaglio consultivo è il 27 luglio 2024.

CAPO I – Disposizioni generali

Articolo 1
(Oggetto e ambito di applicazione)

 

 

 

Il comma 1 fornisce un sunto del contenuto e dell’ambito applicativo della novella disciplina in materia di resilienza dei soggetti critici, che lo schema di decreto legislativo viene a recepire.

Un primo novero di misure sono volte a garantire che i servizi essenziali per il mantenimento di “funzioni vitali” della società, di attività economiche, della salute e della sicurezza pubbliche o dell'ambiente, siano forniti senza impedimenti.

Correlativamente, sono posti criteri per l’individuazione dei soggetti critici. Taluni soggetti critici sono individuati come di particolare rilevanza europea.

Ai soggetti critici sono posti alcuni obblighi, volti a rafforzarne la resilienza e la capacità di fornire i servizi essenziali. E sono previste misure per il sostegno nell’adempimento degli obblighi.

Alcune altre disposizioni riguardano la vigilanza e l’irrogazione di sanzioni nei confronti dei soggetti critici.

Così come si dispone circa la predisposizione della strategia nazionale per la resilienza dei soggetti critici, e la disciplina della valutazione del rischio, da parte sia dello Stato sia dei soggetti critici.

Sul piano organizzativo, sono designate le autorità settoriali di competenza ed è istituito un punto di contatto unico. Così come si istituisce il Comitato interministeriale per la resilienza.

Sono inoltre definite modalità di cooperazione con gli altri Stati membri e con la Commissione europea, inclusa la partecipazione nazionale al gruppo per la resilienza dei soggetti critici.

 

Il comma 2 – nel recepire principio posto dalla direttiva n. 2557 (cfr. suo articolo 1, par. 2) – prevede che la novella disciplina sui soggetti critici non si applichi alle materie disciplinate dalle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555 sulla cybersicurezza.

Il comma 3 trasla nella novella disciplina recepita dallo schema, quanto previsto dalla direttiva n. 2557 (cfr. suo articolo 1, par. 3), per il caso che gli obblighi previsti per i soggetti critici di adottare misure per rafforzare la loro resilienza siano oggetto di uno specifico atto giuridico dell'Unione europea.

Ebbene, in questo caso si applicano le disposizioni di tale atto giuridico specifico, nella misura in cui gli effetti degli obblighi lì previsti siano almeno equivalenti.

In tale circostanza non si applicano le disposizioni in materia di vigilanza ed esecuzione, presenti nello schema.

Il comma 4 si riannoda a previsione della direttiva n. 2557 (cfr. suo articolo 1, par. 4) in ordine alla comunicazione di informazioni riservate.

Tale comunicazione è limitata a quanto strettamente necessario ai fini dell’applicazione della direttiva e le informazioni scambiate sono esclusivamente quelle pertinenti e commisurate allo scopo.

In ogni caso, la comunicazione tutela la riservatezza di tali informazioni, nonché la sicurezza e gli interessi commerciali dei soggetti critici.

Inoltre la disciplina che si viene a porre non comporta la comunicazione di informazioni la cui divulgazione sia contraria agli interessi essenziali dello Stato in materia di sicurezza nazionale, di difesa o di pubblica sicurezza.

Questo, coerentemente con quanto previsto dall’articolo 346 del Trattato sul funzionamento dell’Unione europea, che rimane salvo (il quale prevede, appunto, che nessuno Stato membro sia tenuto a fornire informazioni la cui divulgazione sia dallo stesso considerata contraria agli interessi essenziali della propria sicurezza).

Il comma 5 – il cui dettato ricalca quello della direttiva n. 2557 (cfr. suo articolo 1, par. 5) – dispone resti impregiudicata la responsabilità dello Stato di tutelare la sicurezza nazionale, la difesa e le altre funzioni essenziali dello Stato, tra cui la garanzia dell’integrità territoriale dello Stato e il mantenimento dell’ordine pubblico.

Il comma 6 esclude dall’applicazione della disciplina prevista dallo schema di decreto legislativo gli organi, articolazioni, enti della pubblica amministrazione (come definiti, questi ultimi, dall’articolo 2 dello schema: v. infra) che operano nei settori della pubblica sicurezza, della difesa nazionale o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati.

La disposizione, fin qui, ricalca il dettato della direttiva n. 2557 (cfr. suo articolo 1, par. 6).

Altresì esplicita la non applicazione agli organismi di informazione per la sicurezza (di cui alla legge n. 124 del 2007) e all’Agenzia per la cybersicurezza nazionale (di cui al decreto-legge n. 82 del 2021).

Né la disciplina posta dallo schema si applica al Parlamento, alla Banca d’Italia, all’Unità di informazione finanziaria per l’Italia (istituita presso la Banca d’Italia ma autonoma, oggetto dell’articolo 6 del decreto legislativo n. 231 del 2007, circa la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo), agli organi giudiziari.

Il comma 7 demanda a uno o più d.P.C.m. (di concerto, per gli ambiti di rispettiva competenza, con i Ministri della giustizia, dell’interno, della difesa), sentito il Comitato interministeriale per la resilienza (istituito dall’articolo 4 dello schema, v. infra) l’individuazione di ulteriori specifici soggetti cui non si applichino le disposizioni di cui all’articolo 12 (cooperazione con gli Stati membri) e ai capi III (resilienza dei soggetti critici), IV (soggetti critici di particolare rilevanza europea) e VI (vigilanza ed esecuzione, incluse le sanzioni) del presente schema.

Tali soggetti critici da individuare sono tra quelli che svolgano attività principalmente nei settori della pubblica sicurezza, della protezione civile, della difesa o dell’attività di contrasto, accertamento e perseguimento di reati, ovvero che forniscano servizi esclusivamente agli organi, alle articolazioni,  agli enti della pubblica amministrazione di cui al comma 6 sopra ricordato.

La disposizione si riannoda a previsione della direttiva n. 2557 (cfr. suo articolo 1, par. 7).

Il comma 8 scandisce che resta ferma l’applicazione del Codice in materia di protezione dei dati personali (recato dal decreto legislativo n. 196 del 2003).

Il comma 9 demanda a un d.P.C.m. – previo parere del Comitato parlamentare per la sicurezza della Repubblica e sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR) (secondo previsto dall’articolo 43 della legge n. 124 del 2007) – l’individuazione di specifici soggetti critici che svolgano attività principalmente, o forniscano servizi esclusivamente, per gli organismi di informazione per la sicurezza nazionale (Dipartimento delle informazioni per la sicurezza, Agenzia informazioni e sicurezza esterna, Agenzia informazioni e sicurezza interna), ai quali, nell’espletamento di tali predette attività o servizi, non si applichino le disposizioni di cui all’articolo 12 (cooperazione con gli Stati membri) e ai capi III (resilienza dei soggetti critici), IV (soggetti critici di particolare rilevanza europea) e VI (vigilanza ed esecuzione, incluse le sanzioni) del presente schema.

 

Articolo 2
(Definizioni)

 

 

 

Quale breviario e compendio delle espressioni linguistiche più ricorrenti e connotanti, l’articolo 2 enumera talune definizioni.

 

Soggetto critico

È un soggetto pubblico o privato, appositamente individuato dalle autorità settoriali competenti, fornitore di un servizio essenziale, nei settori di attività cui si riferisce la direttiva (gli undici settori, ricordati supra nell’introduzione). Ulteriori elementi definitori – quale la collocazione del soggetto e della sua infrastruttura critica, in tutto o in parte nel territorio nazionale – si rinvengono nell’articolo 8 dello schema, relativo al procedimento di loro individuazione.

 

Resilienza

È la capacità di un soggetto critico di prevenire, attenuare, assorbire un incidente, di proteggersi da esso, di risposta, di resistenza, di adattamento e di ripristino delle proprie capacità operative (invero la formulazione linguistica si direbbe suscettibile di qualche approfondimento, per espressioni quali: “rispondervi”, “adattarvisi”, ecc.);

 

Incidente

Un evento di carattere fisico che può perturbare in modo significativo, o che perturba, la fornitura di un servizio essenziale.

 

Infrastruttura critica

Un elemento, un impianto, un’attrezzatura, una rete, un sistema, o una parte di essi, necessari per la fornitura di un servizio essenziale.

 

 Servizio essenziale

Un servizio fondamentale per il mantenimento di funzioni vitali della società, di attività economiche, della salute e della sicurezza pubbliche o dell'ambiente.

L’individuazione dei servizi fondamentali è avvenuta, in sede europea, finora con il regolamento delegato n. 2450 del 2023. Servizi aggiuntivi sono individuabili con d.P.C.m. (v. infra l’articolo 7).

 

Rischio

La potenziale perdita o perturbazione causata da un incidente. Risulta da una combinazione dell'entità di tale perdita o perturbazione con la probabilità che si verifichi l'incidente.

 

Valutazione del rischio

L’intero processo per la determinazione della natura e della portata di un rischio, mediante l’individuazione e l’analisi delle potenziali minacce, vulnerabilità e pericoli che potrebbero causare un incidente, nonché mediante la valutazione della potenziale perdita o perturbazione della fornitura di un servizio essenziale che potrebbero essere causate da tale incidente.

 

Norma

Una specifica tecnica, adottata da un organismo di normazione riconosciuto, per applicazione ripetuta o continua, alla quale non è obbligatorio conformarsi, ed appartenente a a una delle seguenti categorie: a) norma internazionale (adottata da un organismo di normazione internazionale); b) norma europea (adottata da un’organizzazione europea di normazione; c) norma armonizzata (una norma europea adottata sulla base di una richiesta della Commissione ai fini dell’applicazione della legislazione dell’Unione europea sull’armonizzazione); d) norma nazionale (adottata da un organismo di normazione nazionale).

Si desume questo contenuto definitorio dal rinvio normativo all’articolo 2, punto 1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, sulla normazione europea.

 

Specifica tecnica

Un documento che prescrive i requisiti tecnici che un determinato prodotto, processo, servizio o sistema deve soddisfare, e che stabilisce uno o più tra gli elementi seguenti: le caratteristiche richieste di un prodotto o di un servizio, compresi i livelli di qualità, le prestazioni, l’interoperabilità, la protezione dell’ambiente, la salute, la sicurezza o le dimensioni, nonché le procedure di valutazione della conformità per i prodotti, e per i servizi le prescrizioni applicabili al fornitore per quanto riguarda le informazioni da fornire al ricevente ; i metodi e i processi di produzione relativi ai prodotti agricoli, ai prodotti destinati all’alimentazione umana e animale, nonché ai medicinali, così come i metodi e i processi di produzione relativi agli altri prodotti, quando abbiano un’incidenza sulle caratteristiche di questi ultimi; i metodi e i criteri di valutazione della prestazione dei prodotti da costruzione.

Si desume questo contenuto definitorio dal rinvio all'articolo 2, punto 4), del citato regolamento (UE) sulla normazione europea n. 1025 del 2012.

 

 

Enti della pubblica amministrazione:

Un soggetto che – non necessariamente operante in uno degli undici settori enumerati dalla direttiva in modo puntuale – soddisfi i seguenti criteri:

ü  è istituito allo scopo di soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale;

ü  è dotato di personalità giuridica o è autorizzato per legge ad agire per conto di un altro soggetto dotato di personalità giuridica;

ü  è finanziato in modo maggioritario da autorità statali o da altri organismi di diritto pubblico a livello centrale, la sua gestione è soggetta alla vigilanza di tali autorità o organismi, oppure è dotato di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri sia designata da autorità statali o da altri organismi di diritto pubblico a livello centrale;

ü  ha il potere di adottare, nei confronti di persone fisiche o giuridiche, decisioni amministrative o regolatorie che incidono sui loro diritti relativi alla circolazione transfrontaliera delle persone, delle merci, dei servizi o dei capitali.

CAPO II – Contesto strategico e istituzionale

Articolo 3
(Competenze della Presidenza del Consiglio)

 

 

 

L’articolo 3 determina le competenze, esclusive o delegabili, della Presidenza del Consiglio.

Ad essa spettano:

ü  l'alta direzione e la responsabilità generale delle politiche per la resilienza dei soggetti critici;

ü  l'adozione della strategia nazionale per la resilienza dei soggetti critici, sentito il Comitato interministeriale per la resilienza.

Tali competenze sono esclusive della Presidenza del Consiglio.

Inoltre le è riconosciuta espressamente una potestà di direttiva, sentito il medesimo Comitato interministeriale.

Il Presidente del Consiglio dei ministri ha facoltà di delega a un Ministro senza portafoglio o ad un Sottosegretario di Stato alla Presidenza del Consiglio, in ordine alle competenze in materia di resilienza dei soggetti critici, ad eccezione di quelle sue esclusive.

Il Ministro o il Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, avente delega circa la resilienza dei soggetti critici, aggiorna il Presidente del Consiglio dei ministri sull’esercizio delle competenze delegate.

Articolo 4
(Comitato interministeriale per la resilienza)

 

 

 

L’articolo 4 istituisce un “Comitato interministeriale per la resilienza”, presso la Presidenza del Consiglio.

Le sue funzioni sono di:

ü  proposta (al Presidente del Consiglio) degli indirizzi generali per le politiche di resilienza dei soggetti critici;

ü  alta sorveglianza sull'attuazione della strategia nazionale per la resilienza dei soggetti critici (v. infra l’articolo 6 dello schema);

ü  promozione di misure volte a rafforzare la resilienza dei soggetti critici e di buone pratiche, nonché di iniziative per favorire, a livello nazionale e internazionale, l'efficace collaborazione e la condivisione delle informazioni e delle buone pratiche tra i soggetti istituzionali e i soggetti critici.

A presiedere il Comitato interministeriale è il Presidente del Consiglio o, in caso di delega alla resilienza dei soggetti critici, il Ministro senza portafoglio o il Sottosegretario di Stato alla Presidenza del Consiglio.

Riguardo alla composizione del Comitato, è la seguente:

ü  Ministro degli affari esteri e della cooperazione internazionale;

ü  Ministro dell'interno;

ü  Ministro della giustizia;

ü  Ministro della difesa;

ü  Ministro dell'economia e delle finanze;

ü  Ministro delle imprese e del made in Italy;

ü  Ministro dell’agricoltura, della sovranità alimentare e delle foreste;

ü  Ministro dell’ambiente e della sicurezza energetica;

ü  Ministro delle infrastrutture e dei trasporti; Ministro della salute;

ü  Ministro per la protezione civile e le politiche del mare;

ü  autorità delegata alla sicurezza della Repubblica;

ü  autorità delegata alle politiche spaziali e aerospaziali.

Segretario del Comitato è il responsabile del “punto di contatto unico” (v. infra, articolo 5, comma 5).

Partecipa alle sedute del Comitato – senza diritto di voto – il direttore generale dell’Agenzia per la cybersicurezza nazionale

Così come partecipano alle sedute, a seguito di invito del Presidente del Consiglio, anche su loro richiesta, Ministri diversi da quelli sopra ricordati.

Alle medesime condizioni testé menzionate, partecipano il capo del Dipartimento della protezione civile della Presidenza del Consiglio ed altre autorità civili e autorità militari, la cui presenza sia necessaria in relazione all’ordine del giorno delle sedute.

 

Articolo 5
(Autorità settoriali e punto di contatto unico)

 

 

 

La direttiva europea n. 2557 del 2022 prescrive (all’articolo 9) agli Stati membri di designare o istituire una o più autorità competenti responsabili della sua corretta applicazione ed esecuzione, nonché un punto di contatto unico, a fini di cooperazione transfrontaliera e di scambio di informazioni.

L’articolo 5 dello schema dà attuazione a siffatte prescrizioni.

Il comma 1, in particolare, designa le Autorità settoriali competenti, responsabili si è ricordato dell’applicazione e dell’esecuzione dell’atto di recepimento (il presente decreto legislativo) della direttiva europea.

Esse sono, va da sé, diversificate a seconda dei settori di attività considerati come suscettibili di servizi essenziali, l’enumerazione dei quali è contenuta in apposito allegato (A) in calce allo schema.

Dunque le Autorità settoriali competenti sono:

ü  Ministero dell’ambiente e della sicurezza energetica, per il settore: ENERGIA, sottosettori: energia elettrica; teleriscaldamento e  teleraffrescamento; petrolio; gas; idrogeno;

ü  Ministero delle infrastrutture e dei trasporti, per il settore: TRASPORTI, sottosettori: trasporto aereo; trasporto ferroviario; trasporto per vie d'acqua; trasporto su strada; trasporto pubblico; e per il settore: ACQUE IRRIGUE (quest’ultimo, non ricompreso nell’elenco dei settori della direttiva n. 2557 né dal regolamento delegato integrativo n. 2450 del 2023, è presente nell’allegato A in calce allo schema, avvalendosi di facoltà integrativa attribuita dalla norma di delega);

ü  Ministero dell'economia e delle finanze, per il settore: BANCARIO, e per il settore: infrastrutture dei mercati finanziari.  Peraltro è prevista la collaborazione con le autorità di vigilanza di settore, la Banca d'Italia, la Commissione nazionale per la società e la borsa (Consob);

ü  Ministero della salute, direttamente o per il tramite delle proprie autorità territoriali, e, per gli ambiti di propria competenza, l’Agenzia italiana del farmaco (AIFA), per il settore: SALUTE;

ü  Ministero dell’ambiente e della sicurezza energetica, direttamente o per il tramite delle proprie autorità territoriali, per il settore: acqua potabile, e per il settore: acque reflue;

ü  Agenzia per la cybersicurezza nazionale, per il settore: infrastrutture digitali, in collaborazione con il Ministero delle imprese e del made in Italy, per le attività di valutazione del rischio e di individuazione dei soggetti critici (cfr.  articoli 7 e 8 dello schema);

ü  Presidenza del Consiglio dei ministri, per il settore: SPAZIO;

ü  Ministero dell’agricoltura, della sovranità alimentare e delle foreste, per il settore: produzione, trasformazione e distribuzione di alimenti.

ü  i diversi Ministeri sopra ricordati, negli ambiti di propria competenza, ovvero la Presidenza del Consiglio, per gli enti individuati con apposito d.P.C.m. da adottarsi entro il 17 gennaio 2026, per il settore: ENTI DELLA PUBBLICA AMMINISTRAZIONE.

 

In ordine alla collaborazione tra le Autorità settoriali competenti con le Regioni, prevede il comma 2 che un accordo in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano, ne definisca le modalità.

Siffatto accordo è “definito” entro il 30 settembre 2024.

Tale collaborazione regionale è prescritta quando il soggetto critico abbia “carattere regionale” ovvero operi esclusivamente sul territorio di una Regione, nei settori: energia; trasporti; acque irrigue; salute; acqua potabile; alimenti.

Il medesimo accordo, in tali casi, definisce altresì criteri uniformi in ambito nazionale per lo svolgimento delle attività di ispezione e di verifica, sulle misure, da parte dei soggetti critici, di valutazione del rischio, di resilienza, notifica degli incidenti, nonché, da parte delle Autorità settoriali competenti, di vigilanza ed esecuzione (cfr. articoli 13, 14 e 16 e 20 dello schema).

 

Il comma 3 prevede che le Autorità settoriali competenti esercitino le competenze loro attribuite nel rispetto delle attribuzioni di un novero di soggetti.

Sono:

ü  l’autorità giudiziaria, relativamente alle notizie di reato;

ü  il Ministero dell’interno, in materia di tutela dell’ordine pubblico e della sicurezza pubblica e di difesa civile

ü  il Ministero della difesa, in materia di difesa e sicurezza dello Stato;

ü  il Dipartimento della protezione civile della Presidenza del Consiglio, in materia di previsione, prevenzione e mitigazione dei rischi e di gestione e superamento delle emergenze;

ü  il Ministero delle imprese e del made in Italy, in materia di resilienza fisica delle reti di comunicazione elettronica;

ü  l’Agenzia per la cybersicurezza nazionale, in materia di cybersicurezza e resilienza (come definite dall’articolo 1 del decreto-legge n. 82 del 2021);

ü  gli organismi preposti alla tutela della sicurezza nazionale (ai sensi della legge n. 124 del 2007).

 

Il comma 4 prevede che le Autorità settoriali competenti incoraggino – “quando opportuno” – l’uso di norme e specifiche tecniche europee e internazionali, per le misure sulla sicurezza e sulla resilienza applicabili ai soggetti critici.

Questa azione di ‘incoraggiamento’ è tenuta a svolgersi senza imposizioni o discriminazioni a favore dell’uso di un particolare tipo di tecnologia.

La formulazione del comma è pressoché ‘fotocopia’ dell’articolo 16 della direttiva n. 2557.

 

Altre disposizioni dell’articolo 5 in esame concernono l’istituzione di un punto di contatto unico in materia di resilienza dei soggetti critici.

Essa risponde a prescrizione della direttiva europea n. 2557, che la prevede a fini di collaborazione transfrontaliera e di scambio di informazioni.

Ottempera il comma 5, che lo istituisce presso la Presidenza del Consiglio, demandandone l’organizzazione a successivo d.P.C.m.

L’organizzazione ha da tener conto altresì delle attribuzioni ‘in proprio’ affidate alla Presidenza del Consiglio quale Autorità settoriale competente per lo spazio nonché per gli enti della pubblica amministrazione che le siano riconosciuti di competenza da apposito d.P.C.m., si è sopra ricordato.

Il d.P.C.m. di organizzazione del punto di contatto unico è espressione di una autonomia organizzativa riconosciuta in via ordinamentale alla Presidenza del Consiglio (dall’articolo 7 del decreto legislativo n. 303 del 1999).

La norma di legge peraltro – ossia questo comma di un atto che è decreto legislativo – determina la dotazione organica della nuova struttura punto di contatto. Si tratta di complessive trentadue unità di personale, con corrispondente incremento della dotazione organica.

Più in dettaglio, sono cinque unità di livello dirigenziale, di cui massimo una di livello dirigenziale generale, e ventisette unità di personale non dirigenziale.

La correlativa spesa è quantificata in 3,57 milioni annui, a decorrere dal 2025.

Per l’anno 2024, la quantificazione è calibrata su un ultimo trimestre d’anno, tenuto conto della tempistica procedurale. Pertanto essa ammonta a 893.205 euro.

Il comma 6 enumera alcune particolari competenze del punto di contatto unico così istituito.

Esso dunque:

ü  assicura il collegamento con: la Commissione europea; i punti di contatto unici designati o istituiti dagli altri Stati membri; le Autorità settoriali competenti nazionali e degli altri Stati membri; il gruppo per la resilienza dei soggetti critici (v. infra l'articolo 19 dello schema);

ü  assicura la cooperazione con i Paesi terzi, sentito il Ministero degli affari esteri e della cooperazione internazionale

ü  si coordina con la Commissione interministeriale tecnica di difesa civile (di cui al decreto del Ministro dell’interno 10 gennaio 2013), con il Dipartimento della protezione civile della Presidenza del Consiglio dei ministri, con gli altri organismi nazionali competenti in materia di resilienza nazionale;

ü  coordina le attività di sostegno ai soggetti critici;

ü  riceve le notifiche degli incidenti (v. infra l’articolo 16 dello schema);

ü  promuove le attività di ricerca e formazione in materia di resilienza delle infrastrutture critiche;

ü  svolge funzioni di autorità settoriale competente per il settore: enti della pubblica amministrazione, per quanto di competenza della Presidenza del Consiglio dei ministri;

ü  svolge i compiti di segreteria a supporto del Comitato interministeriale per la resilienza (istituito dall’articolo 4 dello schema, v. supra).

 

Altre funzioni del punto di contatto unico sono specificate dai commi 7 e 8.

Esso trasmette alla Commissione europea una relazione di sintesi sulle notifiche ricevute degli incidenti rilevati dai soggetti critici, compresi il numero di notifiche e la natura degli incidenti notificati. La relazione altresì dà conto delle azioni intraprese dalle Autorità settoriali competenti (v. infra articolo 16 dello schema).

La relazione è resa entro il 17 luglio 2028 e, successivamente, ogni due anni. Ed è trasmessa anche al gruppo per la resilienza dei soggetti critici (v. infra articolo 19 dello schema).

 Per la redazione di tale relazione, può essere utilizzare un modello comune sviluppato dalla Commissione europea.

Sono previsioni – queste dettate dal comma 7 – che ricalcano l’articolo 9, paragrafo 3, della direttiva n. 2557.

Il punto di contatto – aggiunge il comma 8 – elabora annualmente un documento di sintesi sullo stato della resilienza dei soggetti critici.

Questo documento è trasmesso al Presidente del Consiglio dei ministri ovvero al Ministro o al Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega alla resilienza dei soggetti critici, per essere comunicato al Comitato interministeriale per la resilienza.

 

I commi 9-11 concernono sia il punto di contatto sia le Autorità settoriali competenti.

Il comma 9 prevede che essi cooperino tra loro, e possano cooperare con il Dipartimento della protezione civile della Presidenza del Consiglio, col Ministero dell’interno, col Garante per la protezione dei dati personali, con i soggetti critici e le parti interessate.

Il comma 10 dispone che essi cooperino e scambino informazioni con l’Agenzia nazionale per la cybersicurezza sui rischi di cybersicurezza, sulle minacce e sugli incidenti informatici e sui rischi, sulle minacce e sugli incidenti non informatici che hanno ripercussioni sui soggetti critici, nonché sulle misure adottate.

Ancora, punto di contatto unico, Autorità settoriali competenti e Agenzia per la cybersicurezza cooperano e trasmettono informazioni su rischi, minacce e incidenti, anche di natura informatica, che hanno ripercussioni sui soggetti critici, nonché sulle relative misure adottate. Destinatari di tali informazioni, ai sensi del comma 11, sono il Dipartimento delle informazioni per la sicurezza (DIS), dall'Agenzia informazioni e sicurezza esterna (AISE) e dall'Agenzia informazioni e sicurezza interna (AISI) – tutti oggetto della legge n. 124 del 2007 sul sistema di informazione per la sicurezza della Repubblica.

L’identità del punto unico di contatto e delle Autorità settoriali competenti –  così come i dati di contatto, le competenze e le responsabilità previste – sono notificate alla Commissione europea entro tre mesi dalla loro istituzione e designazione, prevede il comma 12.

La notifica è effettuata dalla Presidenza del Consiglio dei ministri, la quale assicura altresì adeguata e tempestiva pubblicità all’identità (e ad ogni modifica di essa) del punto unico di contatto e delle Autorità settoriali competenti.

 

Il comma 13 tratta del personale onde assicurare l’esercizio delle competenze attribuite alle Autorità settoriali competenti, altre dalla Presidenza del Consiglio.

Ciascuna di loro individua, tra quelli esistenti, un ufficio dirigenziale di livello non generale, o istituisce un apposito ufficio dirigenziale non generale.

A comporre il personale di tale ufficio è, per ciascuna Autorità settoriale competente, una dotazione di sette unità (con corrispondente incremento della dotazione organica).

Esso è composto da un dirigente di seconda fascia e da sei unità di personale appartenente all’area funzionari del vigente contratto collettivo nazionale (comparto funzioni centrali) o categorie equivalenti.

Questo personale è posto alle dirette dipendenze del segretario generale o del soggetto individuato secondo i rispettivi ordinamenti.

Il correlativo provvedimento di organizzazione è adottato con decorrenza non anteriore al 1° ottobre 2024. Ne è data comunicazione al Ministero dell’economia e delle finanze - Dipartimento della Ragioneria generale dello Stato.

Il reclutamento autorizzato è per contratto di lavoro subordinato a tempo indeterminato, così per le Autorità settoriali competenti come per il punto unico di contatto (quest’ultimo presso la Presidenza del Consiglio, ai sensi del comma 5 ricordato sopra).

Per quanto riguarda i dirigenti, sono reclutati mediante lo svolgimento di procedure concorsuali o attraverso lo scorrimento di vigenti graduatorie di concorsi pubblici.

Per il personale non dirigenziale, è reclutato mediante procedure di passaggio diretto di personale tra amministrazioni pubbliche (cfr. l’articolo 30 del decreto legislativo n. 165 del 2001) o scorrimento di vigenti graduatorie di concorsi pubblici o avvio di nuove procedure concorsuali pubbliche o avvalimento in posizione di comando (cfr. l'articolo 17, comma 14, della legge n. 127 del 1997) o aspettativa, distacco, fuori ruolo ovvero altro analogo istituto previsto dai rispettivi ordinamenti, ad esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche.

In caso di collocamento fuori ruolo del personale (non dirigenziale), è reso indisponibile un numero di posti equivalente dal punto di vista finanziario, nella dotazione organica dell'amministrazione di provenienza, per tutta la durata del collocamento fuori ruolo.

Specifica autorizzazione all’assunzione è prevista per il Ministero delle imprese e del made in Italy, per lo svolgimento delle attività di collaborazione con l’Agenzia per la cybersicurezza digitale, per il settore delle infrastrutture digitali.

Quel Ministero a tal fine è autorizzato ad assumere con contratto di lavoro subordinato a tempo indeterminato, con corrispondente incremento della dotazione organica, due unità di personale appartenente all’area dei funzionari (del vigente contratto collettivo nazionale - Comparto funzioni centrali), con le modalità di reclutamento sopra ricordate.

La quantificazione della spesa per il reclutamento del personale così complessivamente previsto per le Autorità settoriali competenti è di 1,08 milioni per l’anno 2024 e di 3,15 milioni annui a decorrere dall’anno 2025.

A tale personale e spesa per le Autorità settoriali competenti si aggiungono le unità di personale (trentadue) e gli oneri (dal 2025, sono 3,57 milioni) previsti – dal comma 5 di questo medesimo articolo dello schema – per il punto di contatto unico.

La quantificazione complessiva di tali oneri assunzionali è, secondo il comma 14, pari a 1,98 milioni per l’anno 2024, e 6,72 milioni a decorrere dall'anno 2025.

La copertura finanziaria è a valere del Fondo per il recepimento della normativa europea (cfr. articolo 41-bis della legge n. 234 del 2012).

Si è sopra ricordato – a proposito del comma 1 – come siano coinvolte quali Autorità settoriali competenti, nei settori rispettivamente delle infrastrutture digitali e sanitario, anche l’Agenzia per la Cybersicurezza Nazionale e l’Agenzia Italiana del Farmaco.

Queste due Agenzie, prevede il comma 15, provvedono con le risorse umane strumentali e finanziarie disponibili a legislazione vigente.

Infine il comma 16 demanda a un d.P.C.m. venturo (non è previsto un termine per la sua emanazione) la ripartizione tra le diverse Autorità settoriali competenti delle somme relative agli oneri di funzionamento.

La ripartizione in ragione del numero dei settori, dei sottosettori e delle categorie dei potenziali soggetti critici, nonché dei relativi elementi di complessità tecnica, in capo alle Autorità settoriali competenti.

Il d.P.C.m. è adottato di concerto con il Ministro dell’economia e delle finanze.

 

Articolo 6
(Strategia per la resilienza dei soggetti critici)

 

 

 

L’articolo 6, in attuazione dell’articolo 4 della direttiva CER, prevede che, entro il 17 luglio 2025, il Presidente del Consiglio dei ministri, a seguito di una consultazione aperta ai portatori di interessi, sentito il Comitato interministeriale per la resilienza di cui all’articolo 4 e tenuto conto della strategia nazionale per la cybersicurezza, detti la strategia nazionale per la resilienza dei soggetti critici e che successivamente la aggiorni almeno ogni quattro anni (comma 1).

 

La relazione illustrativa evidenzia che la scadenza per l’adozione della strategia è anticipata rispetto a quella prevista nella direttiva, in modo che il successivo procedimento di individuazione dei soggetti critici possa svolgersi in un arco temporale più ampio.

 

Al comma 2, sono elencati i contenuti che la strategia deve avere per conseguire e mantenere un livello elevato di resilienza da parte dei soggetti critici rientranti nell'ambito di applicazione del presente schema di decreto. In particolare, si prevede che la strategia debba contenere almeno:

a) gli obiettivi strategici e le priorità per conseguire e mantenere un livello elevato di resilienza dei soggetti critici, tenendo conto delle dipendenze e interdipendenze transfrontaliere e intersettoriali;

b) l’indicazione delle autorità coinvolte nell’attuazione della strategia, la descrizione delle competenze, del ruolo e delle responsabilità di tali autorità, nonché dei soggetti critici e degli altri soggetti coinvolti nella strategia;

c) la descrizione delle misure necessarie per conseguire e mantenere un livello elevato di resilienza dei soggetti critici, compresa una descrizione della valutazione del rischio di cui all'articolo 7;

d) la descrizione del procedimento di individuazione dei soggetti critici;

e) la descrizione delle misure per sostenere i soggetti critici ai sensi dell’articolo 11, comprese le misure per rafforzare la cooperazione tra le autorità e gli altri soggetti coinvolti nell’attuazione della Strategia;

f) un elenco delle principali autorità e dei pertinenti portatori di interessi, diversi dai soggetti critici, coinvolti nell’attuazione della strategia;

g) un quadro strategico per il coordinamento tra le Autorità settoriali competenti (ASC) e il Punto di contatto unico (PCU) e tra le ASC e l’Agenzia per la cybersicurezza nazionale di cui al decreto-legge 14 giugno 2021, n. 82, ai fini della condivisione delle informazioni su rischi, le minacce e gli incidenti, nonché dell’esercizio delle rispettive competenze;

h) la descrizione delle misure già in vigore volte ad agevolare il rispetto degli obblighi di cui al capo III del presente schema da parte delle piccole e medie imprese, ai sensi della normativa di adeguamento alla raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese, individuate come soggetti critici.

 

Infine, la strategia ed i relativi aggiornamenti sostanziali devono essere comunicati dal PCU alla Commissione europea, entro tre mesi dalla loro adozione (comma 3).

 

 

 

 

 

 

Articolo 7
(Valutazione del rischio da parte dello Stato)

 

 

 

L’articolo 7, in attuazione dell’articolo 5 della direttiva, prevede che la valutazione del rischio dello Stato sia compiuta dal Punto di contatto unico (PCU), entro il 17 luglio 2025, dopo aver acquisito le valutazioni del rischio proposte dalle Autorità settoriali competenti (ASC), tenendo conto dell’elenco dei servizi essenziali, individuato con regolamento (UE) 2023/2450 della Commissione del 25 luglio 2023, e degli ulteriori servizi essenziali eventualmente individuati con d.P.C.m.

Per la valutazione del rischio, il PCU può consultare anche i principali operatori fornitori di servizi essenziali, nonché esperti, anche appartenenti a università e istituti di ricerca.

Il suddetto d.P.C.m. deve essere adottato su proposta del Comitato interministeriale per la resilienza (CIR) e deve tenere conto dei seguenti criteri:

- i servizi essenziali aggiuntivi devono riferirsi ai settori e ai sottosettori di cui all’allegato A (vedi supra);

-nell’individuazione di un servizio essenziale aggiuntivo, si tiene conto delle interdipendenze con gli altri servizi essenziali e dei conseguenti rischi associati a un incidente;

-nell’individuazione dei servizi essenziali aggiuntivi, è assicurato un livello di dettaglio sufficiente a determinare in modo chiaro e univoco i corrispondenti soggetti critici e sono evitate sovrapposizioni e ridondanze con l’elenco di cui al regolamento della Commissione (commi 1, 2 e 3).

 

Il comma 4 enuncia le tipologie di rischi di cui deve tenere conto la valutazione del rischio e stabilisce che, ai fini dell’individuazione dei rischi di natura intersettoriale o transfrontaliera, il PCU e le ASC, sentito il Ministero degli affari esteri e della cooperazione internazionale, cooperano con le autorità competenti degli altri Stati membri e con le autorità competenti degli Stati terzi.

Il comma 5 individua gli elementi da tenere in considerazione per la valutazione del rischio:

 

 

a)     meccanismo unionale di protezione civile (decisione n. 1313/2013/UE);

b)    norme sulla sicurezza dell'approvvigionamento di gas (Regolamento (UE) 2017/1938 del Parlamento europeo e del Consiglio, del 25 ottobre 2017), sulla preparazione ai rischi nel settore dell'energia elettrica (Regolamento (UE) 2019/941 del Parlamento europeo e del Consiglio, del 5 giugno 2019), sulla valutazione e alla gestione dei rischi di alluvioni (Direttiva 2007/60/CE del Parlamento europeo e del Consiglio, del 23 ottobre 2007) e sul pericolo di incidenti rilevanti connessi con sostanze pericolose (Direttiva 2012/18/UE del Parlamento europeo e del Consiglio, del 4 luglio 2012);

c)     interdipendenza tra settori critici;

d)    informazioni sugli incidenti notificati.

 

Il comma 6 prescrive che il PCU metta a disposizione dei soggetti critici gli elementi rilevanti della valutazione del rischio dello Stato, garantendo che le informazioni fornite siano funzionali per l’analisi del rischio di ciascun soggetto critico e per l’adozione delle relative misure di resilienza.

 

In base al comma 7, il PCU trasmette alla Commissione europea le informazioni pertinenti sui tipi di rischi individuati e sui risultati della valutazione del rischio, per settore e sottosettore di cui all'allegato A, entro tre mesi dalla sua effettuazione.

 

 

 

 

 

 

Articolo 8
(Individuazione dei soggetti critici)

 

 

 

L’articolo 8, in attuazione dell’articolo 6 della direttiva CER, prevede al comma 1 che le Autorità settoriali competenti (ASC) individuino, entro il 17 gennaio 2026,  ciascuna per i rispettivi settori e sottosettori di competenza, i soggetti ritenuti critici, tenendo conto della valutazione del rischio dello Stato e della strategia nazionale per la resilienza. I soggetti, così individuati, devono essere comunicati dalle ASC al Punto di contatto unico (PCU).

In particolare, in sede di individuazione dei soggetti critici, le ASC devono applicare i seguenti criteri:

ü  fornitura di servizi essenziali;

ü  ubicazione o operatività nel territorio nazionale;

ü  effetti negativi rilevanti di un eventuale incidente sull’erogazione di servizi essenziali  (comma 2).

 

Ricevute le comunicazioni dalle ASC, il PCU, in attuazione dall’articolo 5, comma 1, lettera d), della legge di delega, coordina le attività delle ASC, avviando, ove necessario, apposite interlocuzioni al fine di garantire l’omogeneità dei criteri applicati, nel rispetto delle soglie di rilevanza degli effetti negativi di cui all’articolo 9 dello schema di decreto, e forma un elenco dei soggetti critici, che sarà contenuto in un DPCM da adottare, sentito il CIR, entro il 17 luglio 2026. Il suddetto decreto non è soggetto a pubblicazione ed è escluso dall’accesso (commi 3 e 4).

 

Come evidenzia la Relazione illustrativa, si garantisce il rispetto del termine di scadenza del 17 luglio 2026, previsto dalla direttiva per l’individuazione dei soggetti critici e la formazione del rispettivo elenco, attraverso la fissazione di una duplice scansione temporale: entro il 17 gennaio 2026, le ASC devono procedere ad individuare i soggetti critici e a comunicarli al PCU; entro il 17 luglio 2026, il relativo elenco deve essere stilato dal PCU e deve essere adottato il DPCM.

 

Il PCU procederà, indi, alle comunicazioni necessarie e conseguenziali all’individuazione dei soggetti critici. Più in dettaglio:

-      entro trenta giorni dall’adozione dell’elenco, deve comunicare ai soggetti indicati nell’elenco la loro designazione come soggetti critici, gli obblighi che tale individuazione comporta e la ASC di riferimento, informando, in particolare, i soggetti dei settori bancario, delle infrastrutture dei mercati finanziari e digitali, di cui all’articolo 10 dello schema di decreto, che non sono sottoposti agli obblighi di cui all’articolo 12 dello schema di decreto e ai capi III e IV (comma 5);

-      entro il medesimo termine di trenta giorni, deve comunicare all’Agenzia per la cybersicurezza nazionale l'identità dei soggetti critici individuati (comma 6), indicando i soggetti ai quali non si applicano gli obblighi di cui al comma 5, in quanto rientranti nei settori bancario e delle infrastrutture dei mercati finanziari e digitali;

-      deve trasmettere l’elenco dei soggetti critici anche agli organismi di informazione per la sicurezza, indicando sempre i soggetti esonerati dagli obblighi di cui al comma 5 (comma 7).

 

      Infine, in base al comma 8, il PCU deve notificare alla Commissione europea, senza indebito ritardo:

      a) l’elenco dei servizi essenziali individuati con il DPCM di cui all’articolo 7, comma 2;

      b) il numero di soggetti critici per ciascun settore e sottosettore di cui all’allegato A e per ciascun servizio essenziale;

c) le soglie di rilevanza degli effetti negativi, di cui all’articolo 9, comma 2, presentate come tali o in forma aggregata.

     

      Al fine di garantire l’attualità nell’individuazione dei soggetti critici, il comma 9 prevede il riesame e l’aggiornamento del relativo elenco, quando necessario e, in ogni caso, ogni quattro anni, con le medesime modalità di cui ai commi 1, 2, 3 e 4, con obbligo di tempestiva notifica delle modifiche apportate. In particolare, il PCU, in caso di inclusione di nuovi soggetti, deve procedere alle comunicazioni di cui ai commi 5 e 6 e, in caso di non conferma, deve notificare ai soggetti l’intervenuta esclusione dall’elenco dei soggetti e la conseguente non sottoposizione dei medesimi ai relativi obblighi.

 

      Infine, con il comma 10 sono previste particolari modalità di individuazione dei soggetti critici di carattere regionale, i quali devono essere designati:

-      con decreto del Ministro dell’ambiente e della sicurezza energetica nel settore dell’energia di cui al numero 1 dell’allegato A;

-      con decreto del Ministro delle infrastrutture e dei trasporti nel settore dei trasporti di cui al numero 2 dell’allegato A;

-      con decreto del Ministro della salute nel settore della salute di cui al numero 5 dell’allegato A;

-      con decreto del Ministro dell'ambiente e della sicurezza energetica nel settore dell’acqua potabile di cui al numero 6 dell’allegato A e nel settore delle acque reflue, di cui al numero 7 dell’allegato A;

-      con decreto del Ministro dell’agricoltura, della sovranità alimentare e delle foreste nel settore della produzione, trasformazione e distribuzione di alimenti, di cui al numero 11 dell’allegato A.

 

      I suddetti decreti sono adottati previa intesa sancita in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano, ai sensi dell’articolo 3 del decreto legislativo 28 agosto 1997, n. 281 (comma 10).

 

 

 

 

 

 

Articolo 9
(Effetti negativi rilevanti)

 

 

 

L’articolo 9, in attuazione dell’articolo 7 della direttiva CER, definisce i criteri che le Autorità settoriali competenti (ASC) ed il Punto di contatto unico (PCU) devono utilizzare per determinare la “rilevanza” degli effetti negativi di un eventuale incidente sulla fornitura di servizi essenziali.

Tale rilevanza costituisce uno dei parametri di individuazione dei soggetti critici.

In base al comma 1, le ASC ed il PCU devono tenere conto dei seguenti fattori:

a)     il numero di utenti che dipendono dal servizio essenziale coinvolto;

b)    la misura in cui altri settori e sottosettori dipendono dal servizio essenziale in questione;

c)     l'impatto che gli incidenti potrebbero avere, in termini di entità e di durata, sulle attività economiche o sociali, sull'ambiente, sulla pubblica sicurezza, sull'incolumità pubblica o sulla salute pubblica;

d)    la quota di mercato del soggetto nel mercato del servizio essenziale fornito;

e)     l'area geografica, anche transfrontaliera, che potrebbe essere interessata da un incidente, tenendo conto della vulnerabilità associata al grado di isolamento di alcuni tipi di aree geografiche, quali quelle insulari, remote o montane;

f)     l'importanza del soggetto nel mantenimento di un livello sufficiente del servizio essenziale, tenendo conto della disponibilità di strumenti alternativi per la fornitura di tale servizio essenziale.

 

Soglie numeriche di specificazione di ognuno dei suddetti parametri sono definite con d.P.C.m., da adottare, entro il 17 luglio 2025, su proposta del Comitato interministeriale per la resilienza (CIR).

 

Lo schema del suddetto d.P.C.m. deve essere trasmesso alla Camera dei deputati e al Senato della Repubblica, per l'espressione del parere delle Commissioni parlamentari competenti per materia, che si pronunciano nel termine di trenta giorni, decorso il quale il decreto può essere comunque adottato (commi 2 e 3).

Articolo 10
(Soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali)

 

 

 

L’articolo 10, in attuazione dell’articolo 8 della direttiva CER, prevede che ai soggetti critici - del settore bancario, del settore delle infrastrutture dei mercati finanziari e del settore delle infrastrutture digitali - non sono applicabili le disposizioni concernenti la cooperazione con gli Stati membri dell’Unione europea, di cui al successivo articolo 12, gli obblighi di resilienza dei soggetti critici (capo III, articoli 13-16), i soggetti critici di particolare rilevanza europea (capo IV, articoli 17-18), nonché la vigilanza e l’esecuzione, ivi comprese quelle relative alle sanzioni, anche amministrative, e ai poteri ispettivi (capo VI, articoli 20-21).

 

La Relazione illustrativa evidenzia come il Governo abbia scelto di non esercitare la facoltà, prevista dall’articolo 5, comma 1, lettera g), della legge di delega, corrispondente all’articolo 7, paragrafo 1, secondo periodo, della direttiva, che consentiva al legislatore delegato di prevedere misure atte a conseguire un livello di resilienza più elevato per i soggetti critici dei settori indicati dall’articolo in esame. Si è ritenuto, infatti, che le discipline settoriali applicabili a tali soggetti siano già idonee al conseguimento di un adeguato livello di resilienza.

 

Articolo 11
(Sostegno ai soggetti critici)

 

 

 

L’articolo 11, in attuazione dell’articolo 10 della direttiva CER, elenca le attività di sostegno che il Punto di contatto unico (PCU) e le Autorità settoriali competenti (ASC), anche sulla base della valutazione del rischio dello Stato, devono svolgere nei confronti dei soggetti critici.

Tali attività si sostanziano in un supporto nel rafforzamento della loro resilienza, attraverso attività di scambio con essi di buone prassi, elaborazione di modelli, linee guida e metodologie di analisi, nell'organizzazione di esercitazioni volte a testare la loro resilienza, nonché nella realizzazione di corsi di formazione per il loro personale e ove possibile attività di consulenza (comma 1).

 

Il comma 2 specifica che PCU e ASC devono agevolare la condivisione volontaria di informazioni tra i soggetti critici, nel rispetto delle disposizioni nazionali e unionali in materia di informazioni classificate e sensibili, di concorrenza e di protezione dei dati personali.

 

Inoltre, in attuazione della previsione di cui all’articolo 10, paragrafo 2, della direttiva, è istituita, a far data dal 17 ottobre 2026, presso la Presidenza del Consiglio dei ministri, senza oneri per lo Stato, la Conferenza dei soggetti critici (CRSC), coordinata dal PCU e composta da un rappresentante per ciascuna delle ASC, da un rappresentante del Ministero dell’Interno, da un rappresentante del Dipartimento della Protezione Civile e da uno dell’Agenzia per la cybersicurezza nazionale, nonché, eventualmente, dai referenti dei soggetti critici appartenenti ai settori di volta in volta oggetto della medesima conferenza e da altri soggetti pubblici o privati invitati dal PCU.

La CRSC tratta questioni attinenti alla resilienza dei soggetti critici, agevola la condivisione, tra i componenti, di informazioni e delle migliori prassi e formula proposte in materia di rafforzamento della resilienza dei soggetti critici. Ai componenti della CRSC non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati a carico della finanza pubblica (commi 3, 4, 5 e 6).

Alle attività di cui al comma 1, si provvede nei limiti delle risorse destinate al funzionamento di cui all’articolo 5, comma 16, del presente decreto (comma 7).

Articolo 12
(Cooperazione con gli Stati membri dell’Unione europea)

 

 

 

L’articolo 12, in attuazione dell’articolo 11 della direttiva CER, al fine di rafforzare la resilienza dei soggetti critici e, ove possibile, di ridurre gli oneri amministrativi a loro carico, prevede specifiche attività di cooperazione tra i PCU e le ASC dei vari Stati membri, in favore dei soggetti critici che:

ü  utilizzano infrastrutture critiche che collegano fisicamente l’Italia e uno o più Stati membri;

ü  fanno parte di strutture societarie collegate o associate a soggetti critici di altri Stati membri;

ü  forniscono servizi essenziali a o in altri Stati membri.

 

Capo III - Resilienza dei soggetti critici

Articolo 13
(Valutazione del rischio da parte dei soggetti critici)

 

 

 

L’articolo 13, in attuazione dell’articolo 12 della direttiva CER, disciplina la valutazione del rischio da parte dei soggetti critici.

In base ai commi 1 e 2, si stabilisce che detti soggetti, entro nove mesi dal ricevimento della notifica della loro individuazione quali soggetti critici (e successivamente quando necessario e, in ogni caso, ogni quattro anni), effettuino una valutazione di tutti i rischi rilevanti che potrebbero perturbare la fornitura dei loro servizi essenziali, basandosi sulla valutazione del rischio dello Stato, effettuata dal Punto di contatto unico (PCU) e dalle Autorità settoriali competenti (ASC), e su altre fonti di informazioni rilevanti, e individuino le proprie infrastrutture critiche, ai sensi dell’articolo 2 dello schema di decreto (vedi infra).

 

Nella valutazione del rischio, il comma 3 prevede che i soggetti critici debbano tenere conto:

ü  di tutti i rischi rilevanti naturali e di origine umana che potrebbero causare un incidente, compresi quelli di natura intersettoriale o transfrontaliera, degli incidenti, delle catastrofi naturali, delle emergenze di sanità pubblica, delle minacce ibride e di altre minacce antagoniste, inclusi i reati con finalità di terrorismo anche internazionale;

ü  della misura in cui altri settori dipendano dal servizio essenziale fornito dal soggetto critico e della misura in cui tale soggetto critico dipenda dai servizi essenziali forniti da altri soggetti in taluni altri settori, pur se forniti in altri Stati membri dell’UE e nei paesi terzi vicini.

 

Inoltre, per la valutazione del rischio, il soggetto critico utilizza  valutazioni e documenti già redatti, conformemente agli obblighi previsti da altre disposizioni giuridiche pertinenti. Al riguardo, è demandata alle ASC, nell’esercizio delle funzioni di vigilanza, la dichiarazione della conformità totale o parziale della pregressa documentazione agli obblighi prescritti dal presente articolo (commi 4 e 5).

Articolo 14
(Misure di resilienza dei soggetti critici)

 

 

 

L’articolo 14, in attuazione dell’articolo 13 della direttiva CER, ai commi 1 e 2, prevede che i soggetti critici, tenuto conto delle proprie infrastrutture critiche, adottino misure tecniche, di sicurezza e di organizzazione, adeguate e proporzionate, per garantire la propria resilienza, sulla base delle informazioni fornite dalla valutazione del rischio dello Stato e dei risultati della valutazione del rischio del soggetto critico.

Le suddette misure includono, in particolare, quelle necessarie per:

ü  evitare il verificarsi di incidenti, anche considerando l’adozione di misure di riduzione del rischio di catastrofi e di misure di adattamento ai cambiamenti climatici;

ü  realizzare un'adeguata protezione fisica dei propri siti e delle infrastrutture critiche, anche considerando recinzioni, barriere, strumenti e routine di controllo del perimetro, impianti di rilevamento e controllo degli accessi;

ü  contrastare e resistere alle conseguenze degli incidenti, nonché mitigarle, anche considerando procedure e protocolli di gestione dei rischi e delle crisi, nonché pratiche di allerta;

ü  ripristinare le proprie capacità operative in caso di incidenti, anche considerando l’adozione di misure per la continuità operativa e per l’individuazione di catene di approvvigionamento alternative, al fine di ripristinare la fornitura del servizio essenziale;

ü  garantire un’adeguata gestione della sicurezza del personale (l’individuazione di categorie di personale che svolgono funzioni critiche; il rilascio di autorizzazioni per l’accesso ai siti, alle infrastrutture critiche e alle informazioni sensibili; le procedure per il controllo dei precedenti personali; adeguati requisiti di formazione e adeguate qualifiche);

ü  informare il personale in merito ai rischi e alle misure adottate, anche considerando misure quali la realizzazione di corsi di formazione, di materiale informativo e di esercitazioni.

 

Il comma 3 prevede, inoltre, che i medesimi soggetti critici, nell’ambito delle misure organizzative, designino un soggetto - da comunicare alle Autorità settoriali competenti (ASC) e al Punto di contatto unico (PCU) - che assicuri l’attuazione degli adempimenti previsti dal presente schema di decreto per i soggetti critici, nonché il collegamento con le ASC e con il PCU.

 

In base ai commi 4 e 5, i soggetti critici predispongono e applicano un piano di resilienza, in cui siano descritte le misure tecniche, di sicurezza e organizzative succitate. Tale piano dovrà essere aggiornato con cadenza almeno triennale e, in ogni caso, quando necessario.

In continuità con quanto previsto dall’articolo 13, commi 4 e 5, nel caso in cui i soggetti critici abbiano redatto documenti o adottato misure ai sensi di disposizioni giuridiche pertinenti diverse dal presente decreto, potranno utilizzare tali documenti e misure per soddisfare i requisiti richiesti dal presente articolo. In proposito, è demandata alle ASC, nell'esercizio delle funzioni di vigilanza, la dichiarazione di conformità totale o parziale dei documenti presentati agli obblighi di cui al presente articolo. 

 

Articolo 15
(Controlli dei precedenti personali)

 

 

 

L’articolo 15, in attuazione dell’articolo 14 della direttiva CER, stabilisce, anche al di fuori delle ipotesi già previste dal Testo unico in materia di casellario giudiziale, di casellario giudiziale europeo, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, di cui al D.P.R., n. 313 del 2002, un procedimento per l’acquisizione dei precedenti personali delle persone che svolgono attività o ricoprono ruoli particolarmente delicati nell’erogazione dei servizi essenziali da parte dei soggetti critici.

In base al comma 1, un soggetto critico, anche diverso da una pubblica amministrazione, tenendo conto della valutazione del rischio dello Stato, può richiedere il certificato del casellario giudiziale europeo per le persone che:

ü  rivestono ruoli sensibili all’interno del soggetto critico o a vantaggio di quest’ultimo, con particolare riferimento ai ruoli con competenze in materia di resilienza;

ü  sono autorizzate ad accedere – direttamente o a distanza - ai suoi siti e ai suoi sistemi informatici o di controllo;

ü  sono candidate per l’assunzione in ruoli che rientrano nei criteri sopra elencati.

 

Ai fini della relativa istanza, il soggetto critico trasmette alla Autorità settoriali competenti (ASC) una richiesta motivata, contenente il necessario riferimento alle condizioni necessarie di cui al comma 1. La ASC valuta l’effettiva sussistenza delle suddette condizioni e della motivazione e verifica che i controlli richiesti siano proporzionati e strettamente limitati a quanto necessario, nonché che siano effettuati al solo scopo di valutare un potenziale rischio per la sicurezza del soggetto critico interessato.

Nel caso in cui la ASC non fornisca risposta entro dieci giorni dalla data di ricevimento della richiesta, l’autorizzazione alla presentazione dell’istanza di cui al comma 1 si intende negata (comma 2).

 

Il comma 3 prevede che l’Ufficio centrale presso il Ministero della giustizia, competente in materia di casellario giudiziale, fornisca risposte alle richieste di informazioni entro dieci giorni lavorativi dalla data di ricevimento della richiesta stessa, trattando tali richieste nel rispetto del Codice in materia di protezione dei dati personali, di cui decreto legislativo n. 196 del 2003, del decreto legislativo n. 51 del 2018 e del regolamento (UE) 2016/79.

 

Articolo 16
(Notifica degli incidenti)

 

 

 

L’articolo 16, in attuazione dell’articolo 15 della direttiva CER, disciplina la procedura di notifica da seguire in caso di incidente.

Il comma 1 prevede che i soggetti critici comunichino, senza indebito ritardo, alla rispettiva Autorità settoriale competente (ASC) e al Punto di contatto unico (PCU), gli incidenti rilevanti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali.

 

Salvo che siano operativamente impossibilitati a farlo, i soggetti critici devono effettuare tale notifica entro 24 ore dal momento in cui vengono a conoscenza dell’incidente, trasmettendo, ove opportuno, anche una relazione finale dettagliata al più tardi entro i successivi trenta giorni (comma 2).

 

Per determinare la rilevanza dell’incidente, il comma 3 prevede che si devono tener conto dei seguenti parametri:

ü  numero e percentuale di utenti interessati;

ü  durata della perturbazione;

ü  area geografica interessata.

 

Per la specificazione di tali criteri, si prevedono soglie quantitative, scandite con specifico riferimento a ciascuno dei settori di cui all’allegato A, che vengono definite con DPCM, su proposta delle ASC, per il tramite del PCU. Nel medesimo decreto, sono, altresì, individuate le modalità con cui effettuare la notifica (comma 4).

 

In base al comma 5, gli incidenti di rilevanza transnazionale, ossia che perturbano o possono perturbare in modo significativo la continuità della fornitura dei servizi essenziali almeno a o in sei Stati membri, debbano essere notificate alla Commissione dalle ASC, per il tramite del PCU.

 

Le notifiche devono contenere tutte le informazioni utili per consentire alle ASC e al PCU di comprendere la natura, la causa e le possibili conseguenze dell’incidente, compreso un eventuale impatto transfrontaliero, nonché ogni informazione utile a permettere alle ASC di reagire tempestivamente agli incidenti. Tali notifiche non comportano maggiori responsabilità per i soggetti critici (comma 6).

 

Il PCU trasmette, agli organismi per la sicurezza della Repubblica, gli elementi delle notifiche di cui al comma 6, relative agli incidenti di cui all’articolo 2, comma 1, lettera c), nonché degli eventi notificati ai sensi del comma 5 (comma 7).

 

In caso di impatto transfrontaliero rilevante sulla fornitura dei servizi essenziali, le ASC, tramite il PCU, informano i PCU degli altri Stati membri interessati (comma 8).

 

Sulla base del comma 9, le informazioni, fornite e ricevute dal PCU, sono trattate da quest’ultimo, ai sensi delle disposizioni nazionali e del diritto dell’Unione europea, rispettandone la riservatezza e tutelando la sicurezza e gli interessi commerciali dei soggetti critici interessati.

 

Ferme le disposizioni a tutela delle indagini nel procedimento penale e a tutela della sicurezza delle informazioni classificate, le ASC, a seguito della ricezione della notifica dell’incidente, forniscono tempestivamente al soggetto critico notificante e al PCU ogni informazione utile in merito al seguito dato alla notifica, compresa ogni informazione utile a permettere al soggetto critico un’efficace risposta all’incidente notificato. Le ASC, infine, assicurano, di concerto con il PCU, adeguata pubblicità ad ogni informazione rilevante per l’interesse pubblico relativa all’incidente notificato e al seguito dato a tale notifica (commi 10 e 11).

 

CAPO IV- Soggetti critici di particolare rilevanza europea

Articolo 17
(Individuazione dei soggetti critici di particolare rilevanza europea)

 

 

 

L’articolo 17, in attuazione dell’articolo 17 della direttiva CER, definisce il soggetto critico di particolare rilevanza europea (SCRE), attraverso il rinvio alla procedura stabilita dalla direttiva, che culmina in una comunicazione da parte della Commissione ai soggetti individuati (comma 1).

 

In caso di ricezione della notifica dell’inclusione nell’elenco nazionale dei soggetti critici, ai sensi dell’articolo 8, comma 5, del presente decreto, il medesimo soggetto deve comunicare, al Punto di contatto unico (PCU) e all’Autorità settoriale competente (ASC), quali siano i servizi essenziali forniti a o in sei o più Stati membri e quali siano questi Stati membri (comma 2).

 

In tal modo, il PCU inoltra, senza indebito ritardo, l’informazione alla Commissione, ai fini della individuazione degli SCRE (comma 3).

 

Nel corso della procedura di individuazione dei SCRE da parte della Commissione europea, i soggetti critici, le ASC e il PCU collaborano alle attività consultive avviate dalla Commissione europea. In particolare, il PCU comunica alla Commissione se i servizi forniti nello Stato membro da un soggetto individuato come critico in un altro Stato membro siano ritenuti essenziali (comma 4).

 

Il PCU è l’autorità nazionale competente a ricevere la comunicazione, con la quale la Commissione europea individua un soggetto di particolare rilevanza europea. Il PCU, senza indebito ritardo, trasmette tale comunicazione all’Autorità settoriale competente, per l’immediata notifica al soggetto critico (comma 5).

 

In ogni caso, gli obblighi dei soggetti critici individuati come SCRE si applicano a decorrere dalla data in cui gli stessi ricevono la notifica da parte dell’Autorità settoriale competente (comma 6).

Articolo 18
(Missioni di consulenza)

 

 

 

L’articolo 18 dà recepimento all’analogo articolo 18 della direttiva, avente ad oggetto l’organizzazione di missioni di consulenza da parte del Punto di contatto unico, a fini di valutazione delle misure adottate da parte di un soggetto critico (individuato come tale ai sensi dell’articolo 8 supra) che sia stato riconosciuto come di particolare rilevanza europea (ai sensi dell’articolo 17).

Ebbene, per la valutazione delle misure di resilienza adottate da tali soggetti, il Punto di contatto unico, sentita l’Autorità settoriale competente, può chiedere alla Commissione europea di organizzare una missione di consulenza (comma 1).

Così come analoga richiesta può giungere dalla medesima Commissione (comma 2). In tal caso il Punto di contatto unico (sempre sentita l’Autorità settoriale competente) può accogliere la richiesta.

Ancora il Punto di contatto fornisce informazioni, dietro richiesta motivata della Commissione europea o di almeno uno Stato membro, al quale (o nel quale) siano forniti servizi essenziali da parte di un soggetto critico di rilevanza europea (comma 3).

Siffatte informazioni concernono:

ü  le parti pertinenti della valutazione del rischio del soggetto critico;

ü  un elenco delle misure di resilienza (v. supra articolo 14) adottate dal soggetto critico

ü  informazioni sui provvedimenti adottati circa l’ottemperanza alla valutazione del rischio nonché il piano resilienza, e sulle attività svolte e i provvedimenti adottati in funzione di vigilanza, esecuzione, sanzione.

Ancora il Punto di contatto unico riceve la relazione delle missioni di consulenza organizzate, trasmettendone prontamente la relazione alle Autorità settoriali competenti (comma 4).

Se la relazione riguarda la valutazione delle misure adottate da un soggetto critico di particolare rilevanza europea, individuato come soggetto critico in un altro Stato membro e fornitore di servizi essenziali all’Italia o in Italia, il Punto di contatto unico (anche su proposta delle ASC) può trasmettere alla Commissione europea osservazioni in merito alla relazione.

Tali osservazioni vertono sull’adempimento degli obblighi di resilienza (di cui al capo III della direttiva n. 2557) da parte del soggetto critico e sull’eventuale necessità di misure rafforzative (comma 5).

Oltre che promotore di osservazioni, il Punto di contatto unico è ricevitore di esse. Infatti riceve il parere della Commissione europea sull’adempimento degli obblighi di resilienza del soggetto critico di rilevanza europea (parere previsto dall’articolo 18, par. 4, terzo comma, della direttiva n. 2557) e su eventuali misure rafforzative.

Anche in tal caso, il Punto di contatto trasmette prontamente il parere della Commissione all’Autorità settoriale competente. Così i commi 6 e 7.

Il parere della Commissione europea importa un obbligo di adeguamento, in capo al soggetto critico, e di verifica dell’adempimento, in capo all’Autorità settoriale competente (comma 8).

Il Punto di contatto critico, sentiti l’autorità settoriale competente e il soggetto critico interessato, fornisce alla Commissione europea e agli Stati membri ai quali o nei quali sono forniti i servizi essenziali da parte di tale soggetto, informazioni in merito alle misure adottate sulla base del parere della Commissione (comma 9).

 

Il comma 10 concerne gli esperti che partecipino alle missioni di consulenza.

Sono proposti dal Punto di contatto unico (sentite le Autorità settoriali competenti) alla Commissione europea.

Nei casi in cui sia necessario in ragione delle attività da svolgere, gli esperi sono muniti di un valido e appropriato nulla osta di sicurezza (disciplinato dall’articolo 9 della legge n. 124 del 2007).

Per la partecipazione degli esperti alle missioni è prevista una clausola di invarianza finanziaria: essa non deve comportare nuovi o maggiori oneri a carico della finanza pubblica.

 

Altre missioni di consulenza di cui il Punto di contatto unico possa fare richiesta alla Commissione europea sono di ausilio consultivo al soggetto critico (con il suo accordo) in ordine all’adempimento degli obblighi di consulenza (comma 11).

Sono missioni di consulenza ‘altre’ rispetto a quelle richieste dal Punto di contatto unico o dalla Commissione europea per la valutazione delle misure di resilienza del soggetto critico di rilevanza europea.

Solo queste ultime hanno accesso – previsto dal comma 12 – alle informazioni (nei limiti di quanto necessario per lo svolgimento), ai sistemi e agli impianti relativi alla fornitura di servizi essenziali da parte dei soggetti critici individuati di rilevanza europea.

Esse si svolgono conformemente al diritto nazionale e nel rispetto delle esigenze di sicurezza e di tutela degli interessi nazionali (comma 13).

Dei principali risultati e risultati delle missioni di consulenza, è informato il gruppo per la resilienza dei soggetti critici (v. articolo 19 infra).

Tale comunicazione è resa dal Punto di contatto unico, sentita l’Autorità settoriale competente (comma 14).

 

Infine il comma 15 quantifica oneri di missione derivanti dal presente articolo.

Sono pari a 14.472 euro per l’anno 2024; a 57.888 euro annui a decorrere dall’anno 2025.

Vi si fa fronte mediante corrispondente riduzione del Fondo per il recepimento della normativa europea (di cui all'articolo 41-bis della legge n. 234 del 2012).

La relazione tecnica indica la puntuale stima degli oneri così previsti.

Con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell’economia e delle finanze, le somme relative alla copertura degli oneri di missione sono ripartite tra il Punto di contatto unico e le Autorità settoriali competenti (comma 16).

CAPO V- Cooperazione e comunicazione

Articolo 19
(Gruppo per la resilienza dei soggetti critici)

 

 

 

Il gruppo per la resilienza dei soggetti critici è istituito dall’articolo 19 della direttiva (UE) 2022/2557 sulla resilienza dei soggetti critici. Tale gurppo ha il compito di sostenere la Commissione e di agevolare la cooperazione tra gli Stati membri e lo scambio di informazioni su questioni attinenti alla medesima direttiva. Esso, prosegue l’articolo 19 della direttiva citata, è composto da rappresentanti degli Stati membri e della Commissione in possesso, se del caso, di un nulla osta di sicurezza. A tal fine l’articolo in esame prevede che il personale del PCU designato a partecipare alle attività del gruppo per la resilienza dei soggetti critici sia in possesso, quando necessario, del nulla osta di sicurezza, rilasciato ai sensi dalla legge 3 agosto 2007, n. 124, all’articolo 9. Quest’ultimo demanda all'Ufficio centrale per la segretezza (UCSe), presso il DIS, il rilascio e la revoca dei nulla osta di sicurezza (NOS), previa acquisizione del parere dei direttori dei servizi di informazione per la sicurezza e, ove necessario, del Ministro della difesa e del Ministro dell'interno.

 

Per quanto concerne il PCU si fa rinvio alla scheda sull’articolo 5 dello schema di decreto legislativo in esame.

 

CAPO VI – Vigilanza ed esecuzione

Articolo 20
(Vigilanza ed esecuzione)

 

 

 

Il comma 1 del presente articolo prevede che le Autorità settoriali competenti, di propria iniziativa o su proposta del Punto di contatto unico – punto di contatto unico, effettuino ispezioni dell’infrastruttura critica e dei siti utilizzati dai soggetti critici e svolgano o dispongano controlli nei confronti dei soggetti critici medesimi.

Nel corso delle ispezioni le ASC possono fornire servizi essenziali o chiedere informazioni, documenti e ogni altro elemento utile a valutare le misure di resilienza di interesse.

La disposizione specifica che sono salve le attribuzioni e le competenze degli organi preposti alla tutela dell'ordine e della sicurezza pubblica.

Il comma 2 stabilisce che le ASC, se necessario, possono formulare ai soggetti critici richieste scritte al fine di acquisire informazioni utili alla valutazione delle misure di resilienza adottate, la prova dell’effettiva attuazione delle medesime misure nonché gli esiti controllo svolto da parte di un revisore indipendente e qualificato, a spese di tali soggetti critici. La disposizione prevede espressamente che l’ASC debba fissare un termine ragionevole per ottemperare alla richiesta medesima.

Il comma 3 stabilisce che debbano essere indicate le finalità e della richiesta scritta medesima e che sia altresì specificato il tipo di informazioni da fornire.

Il comma 4 disciplina il caso dell’accertamento di una violazione da parte delle ASC. Viene comunque esplicitamente fatta salva la disciplina sanzionatoria dettata dall’articolo 21 dello schema di decreto in esame (v. relativa scheda). Le ASC che accertino  - nell’esercizio dei poteri qui sopra menzionati - talune violazioni,  hanno il potere di diffidare i soggetti critici interessati ad adottare le misure necessarie a sanare la violazione medesima. Nella diffida dovrà essere indicato un termine ragionevole per l’adozione di tali misure. Il comma specifica, inoltre, che le misure richieste con la diffida dovranno essere necessarie e proporzionate. Il soggetto destinatario della diffida sia tenuto a fornire le informazioni sulle misure adottate.

Le diffide inoltre devono tenere conto della gravità della violazione (comma 5).

I poteri conferiti alle ASC dalle disposizioni in commento sono esercitati in modo oggettivo, trasparente, proporzionato. Inoltre, il loro esercizio deve tutelare i segreti commerciali e aziendali dei soggetti critici, nonché i loro diritti e interessi legittimi, inclusi il diritto al contraddittorio, i diritti della difesa, tra cui quello di produrre documenti e di formulare osservazioni, e il diritto a un ricorso effettivo dinanzi a un giudice indipendente (comma 6).

Il comma 7 prevede che le ASC sono tenute ad informare l’Agenzia per la cybersicurezza nazionale e il punto di contatto unico - PCU nei casi disciplinati dai commi 1 e 2 del presente articolo.

Le medesime ASC possono chiedere all’Agenzia per la cybersicurezza nazionale di esercitare, nei confronti di tali soggetti critici, i poteri di vigilanza e di esecuzione previsti in capo alla medesima Agenzia per la cybersicurezza dalle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555. A tal fine, dispone il comma 8, le ASC, tengono informato il PCU e cooperano e scambiano informazioni con l’Agenzia per la cybersicurezza nazionale.

 

 

 

Articolo 21
(Sanzioni)

 

 

 

Il comma 1 stabilisce che le ASC siano competenti per l’accertamento delle violazioni e per l’irrogazione delle sanzioni amministrative, con riferimento ai rispettivi settori di competenza.

Si tratta dei seguenti settori elencati dall’Allegato A annesso allo schema di decreto in esame:

1.     Energia;

2.     Trasporti;

3.     Settore bancario;

4.     Infrastrutture dei mercati finanziari;

5.     Salute;

6.     Acqua potabile;

7.     Acque reflue;

8.     Infrastrutture digitali;

9.     Enti della pubblica amministrazione;

10.  Spazio;

11.  Produzione, trasformazione e distribuzione di alimenti;

12.  Acque irrigue.

 

Il comma 2 fissa l’ammontare della sanzione amministrativa pecuniaria, da 25.000 euro a 125.000 euro, salvo che il fatto costituisca reato, da irrogare nei confronti dei soggetti critici che:

a)     non abbiano effettuato la valutazione del rischio ove prescritto (articolo 13);

b)    non abbiano adottato le misure di resilienza (concernenti la prevenzione di incidenti ovvero il contrasto o il rispristino a seguito di incidenti) previste dall'articolo 14, commi 1 e 2, lettere a), c) e d);

c)     non abbiano individuato le infrastrutture critiche ai fini della valutazione del rischio (articolo 13, comma 2) o non abbiano adottato le misure inerenti alla protezione fisica dei propri siti e delle infrastrutture critiche (articolo 14, comma 2, lettera b)), alla gestione della sicurezza del personale (lettera e)); non abbiano rispettato di obblighi di informazione al personale su rischi e sulle  misure per farvi fronte (lettera f)), e mancata adozione delle occorrenti misure di organizzazione interna (articolo 14, comma 3);

d)    non abbiano adottato (o aggiornato) e applicato il piano di resilienza (articolo 14, comma 4);

e)     non abbiano notificato gli incidenti alle ASC o al PCU – punto di contatto unico (articolo 16);

f)     non abbiano adottato le misure necessarie per ottemperare a diffida entro i termini previsti (articolo 20, comma 4).

 

Il comma 3 stabilisce la sanzione amministrativa pecuniaria, pari alla somma da 10.000 euro a 50.000 euro, nei confronti del soggetto critico che non fornisca le informazioni o prove richieste per iscritto dalle ASC, entro trenta giorni dallo scadere del termine fissato dalla medesima richiesta scritta, e non risponda per esporre le ragioni del ritardo (articolo 20, comma 2).

 

Per ulteriori informazioni si rinvia alle schede degli articoli dello schema di decreto qui sopra richiamati.

 

La relazione illustrativa chiarisce che le disposizioni in esame non tengono conto della facoltà attribuita dal criterio di delega di cui all’articolo 5, comma 1, lettera h), della legge n. 15 del 2024, che riconosce al legislatore delegato “la possibilità di derogare ai limiti edittali stabiliti per le sanzioni penali e amministrative dalle disposizioni generali sul recepimento delle direttive europee di cui alla legge n. 34 del 2012”.

 

Il comma 4 stabilisce che si ha reiterazione delle violazioni di cui al presente articolo nei casi regolati dall’articolo 8-bis della legge 24 novembre 1981, n. 689.

Si prevede che la reiterazione determini l'aumento fino al triplo della sanzione prevista.

L’articolo 8-bis della legge 24 novembre 1981, n. 689 prevede, tra l’altro, che si ha reiterazione quando, nei cinque anni successivi alla commissione di una violazione amministrativa, accertata con provvedimento esecutivo, lo stesso soggetto commette un'altra violazione della stessa indole.

 

Riguardo l'irrogazione delle sanzioni amministrative pecuniarie in esame da parte delle ASC, si applicano, ove non diversamente previsto dal presente provvedimento, i principi generali sull’applicazione delle sanzioni contenuti nel capo I, sezioni I e II, della legge n. 689 del 1981 (comma 5).

CAPO VII – Disposizioni finali

Articolo 22
(Abrogazione)

 

 

 

Il suddetto decreto legislativo n. 61 del 2011 reca “attuazione della direttiva 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione”.

Tale direttiva è stata abrogata direttiva (UE) 2022/2557 che si intende recepire con lo schema di decreto legislativo in esame.

 

 

Allegato A

 

Settori	Sottosettori	Categorie di soggetti
1. Energia	a) Energia elettrica	Imprese elettriche di cui all’articolo 2, comma 25-terdecies, del decreto legislativo 16 marzo 1999, n. 79   [La disposizione richiamata recita: “Si definisce impresa elettrica ogni persona fisica o giuridica, esclusi i clienti finali, che svolge almeno una delle funzioni seguenti: generazione, trasmissione, distribuzione, aggregazione, gestione della domanda, stoccaggio, fornitura o acquisto di energia elettrica, che è responsabile per i compiti commerciali, tecnici o di manutenzione legati a queste funzioni”.]
		Gestori del sistema di trasmissione di elettricità di cui all’articolo 2, comma 25-bis, del decreto legislativo 16 marzo 1999, n. 79   [La disposizione richiamata recita: “Gestore del sistema di trasmissione: qualsiasi persona fisica o giuridica responsabile della gestione, della manutenzione e dello sviluppo del sistema di trasmissione in una data zona e delle relative interconnessioni con altri sistemi, e di assicurare la capacità a lungo termine del sistema di soddisfare richieste ragionevoli di trasmissione di energia elettrica”.]
		Gestori del sistema di distribuzione di elettricità di cui all’articolo 2, comma 25-ter, del decreto legislativo 16 marzo 1999, n. 79   [La disposizione richiamata recita: “Gestore del sistema di distribuzione: qualsiasi persona fisica o giuridica responsabile della gestione, della manutenzione e dello sviluppo del sistema di distribuzione in una data zona e delle relative interconnessioni con altri sistemi, e di assicurare la capacità a lungo termine del sistema di soddisfare richieste ragionevoli di distribuzione di energia elettrica”.]
		Produttori di cui all’articolo 2, comma 18, del decreto legislativo 16 marzo 1999, n. 79 [La disposizione richiamata recita: “Produttore è la persona fisica o giuridica che produce energia elettrica indipendentemente dalla proprietà dell'impianto”.]
		Gestori del mercato elettrico designati quali definiti all’articolo 2, punto 8), del regolamento
		(UE) 2019/943 del Parlamento europeo e del Consiglio   [La disposizione richiamata recita: “«gestore del mercato elettrico designato» o «NEMO»: gestore del mercato designato dall'autorità competente per svolgere mansioni relative al coupling unico del giorno prima o al coupling unico infragiornaliero”.]
		Partecipanti al mercato quali definiti all’articolo 2, punto 25), del regolamento (UE) 2019/943 che forniscono servizi di aggregazione, gestione della domanda o stoccaggio di energia quali definiti all’articolo 3, commi 9, 8 e 6, del decreto legislativo 8 novembre 2021, n. 210   [Le disposizioni richiamate recitano: -      “«partecipante al mercato», persona fisica o giuridica che produce, acquista o vende servizi connessi all'elettricità, alla gestione della domanda o allo stoccaggio, compresa la trasmissione di ordini di compravendita, su uno o più mercati dell'energia elettrica, tra cui i mercati dell'energia di bilanciamento” (art. 2, punto 25, del regolamento (UE) 2019/943); -      “l'aggregazione è la funzione svolta da una persona fisica o giuridica che combina più carichi di clienti o l'energia elettrica generata per la vendita, l'acquisto o la vendita all'asta in qualsiasi mercato dell'energia elettrica.” (art. 3, comma 9, d. lgs. N. 210 del 2021); -      “la gestione della domanda è la variazione del carico dell'energia elettrica per i clienti finali rispetto ai modelli di consumo normali o attuali in risposta a segnali del mercato, anche in risposta a prezzi dell'energia elettrica variabili nel tempo o incentivi finanziari, oppure in risposta all'accettazione dell'offerta del cliente finale di vendere la riduzione o l'aumento della domanda a un determinato prezzo sui mercati organizzati definiti dall'articolo 2, punto 4, del regolamento di esecuzione 2014/1348/ UE della Commissione europea, individualmente o per aggregazione.” (art. 3, comma 8, d. lgs. N. 210 del 2021); -      “lo stoccaggio di energia è il differimento dell'utilizzo finale dell'energia elettrica a un momento successivo alla sua generazione ovvero la conversione di energia elettrica in una forma di energia che può essere stoccata, lo stoccaggio di tale energia e la sua successiva riconversione in energia elettrica ovvero l'uso sotto forma di un altro vettore energetico.” (art. 3, comma 6, d. lgs. N. 210 del 2021)”.]
	b) Teleriscaldamento e teleraffrescamento	Gestori di teleriscaldamento o teleraffrescamento di cui all’articolo 2, comma 1, del decreto legislativo 3 marzo 2011, n. 28."   [La disposizione richiamata recita: “Ai fini del presente decreto legislativo si applicano le definizioni della direttiva 2003/54/CE del Parlamento Europeo e del Consiglio del 26 giugno 2003. Si applicano inoltre le seguenti definizioni: a) «energia da fonti rinnovabili»: energia proveniente da fonti rinnovabili non fossili, vale a dire energia eolica, solare, aerotermica, geotermica, idrotermica e oceanica, idraulica, biomassa, gas di discarica, gas residuati dai processi di depurazione e biogas; b) «energia aerotermica»: energia accumulata nell'aria ambiente sotto forma di calore; c) «energia geotermica»: energia immagazzinata sotto forma di calore nella crosta terrestre; d) «energia idrotermica»: energia immagazzinata nelle acque superficiali sotto forma di calore; e) «biomassa»: la frazione biodegradabile dei prodotti, rifiuti e residui di origine biologica provenienti dall'agricoltura (comprendente sostanze vegetali e animali), dalla silvicoltura e dalle industrie connesse, comprese la pesca e l'acquacoltura, gli sfalci e le potature provenienti dal verde pubblico e privato, nonché la parte biodegradabile dei rifiuti industriali e urbani; f) «consumo finale lordo di energia»: i prodotti energetici forniti a scopi energetici all'industria, ai trasporti, alle famiglie, ai servizi, compresi i servizi pubblici, all'agricoltura, alla silvicoltura e alla pesca, ivi compreso il consumo di elettricità e di calore del settore elettrico per la produzione di elettricità e di calore, incluse le perdite di elettricità e di calore con la distribuzione e la trasmissione; g) «teleriscaldamento» o «teleraffrescamento»: la distribuzione di energia termica in forma di vapore, acqua calda o liquidi refrigerati, da una o più fonti di produzione verso una pluralità di edifici o siti tramite una rete, per il riscaldamento o il raffreddamento di spazi, per processi di lavorazione e per la fornitura di acqua calda sanitaria; h) «bioliquidi»: combustibili liquidi per scopi energetici diversi dal trasporto, compresi l'elettricità, il riscaldamento ed il raffreddamento, prodotti dalla biomassa; i) «biocarburanti»: carburanti liquidi o gassosi per i trasporti ricavati dalla biomassa; l) «garanzia di origine»: documento elettronico che serve esclusivamente a provare ad un cliente finale che una determinata quota o un determinato quantitativo di energia sono stati prodotti da fonti rinnovabili come previsto all'articolo 3, paragrafo 6, della direttiva 2003/54/CE e dai provvedimenti attuativi di cui all'articolo 1, comma 5, del decreto-legge 18 giugno 2007, n. 73, convertito, con modificazioni, dalla legge 3 agosto 2007, n. 125; m) «edificio sottoposto a ristrutturazione rilevante»: edificio che ricade in una delle seguenti categorie: i) edificio esistente avente superficie utile superiore a 1000 metri quadrati, soggetto a ristrutturazione integrale degli elementi edilizi costituenti l'involucro; ii) edificio esistente soggetto a demolizione e ricostruzione anche in manutenzione straordinaria; n) «edificio di nuova costruzione»: edificio per il quale la richiesta del pertinente titolo edilizio, comunque denominato, sia stata presentata successivamente alla data di entrata in vigore del presente decreto; o) «biometano»: gas ottenuto a partire da fonti rinnovabili avente caratteristiche e condizioni di utilizzo corrispondenti a quelle del gas metano e idoneo alla immissione nella rete del gas naturale; p) «regime di sostegno»: strumento, regime o meccanismo applicato da uno Stato membro o gruppo di Stati membri, inteso a promuovere l'uso delle energie da fonti rinnovabili riducendone i costi, aumentando i prezzi a cui possono essere vendute o aumentando, per mezzo di obblighi in materia di energie rinnovabili o altri mezzi, il volume acquistato di dette energie. Comprende, non in via esclusiva, le sovvenzioni agli investimenti, le esenzioni o gli sgravi fiscali, le restituzioni d'imposta, i regimi di sostegno all'obbligo in materia di energie rinnovabili, compresi quelli che usano certificati verdi, e i regimi di sostegno diretto dei prezzi, ivi comprese le tariffe di riacquisto e le sovvenzioni; q) «centrali ibride»: centrali che producono energia elettrica utilizzando sia fonti non rinnovabili, sia fonti rinnovabili, ivi inclusi gli impianti di co-combustione, vale a dire gli impianti che producono energia elettrica mediante combustione di fonti non rinnovabili e di fonti rinnovabili; q-bis) «rifiuti»: rifiuti di cui all'articolo 183, comma 1 lettera a) del decreto legislativo 3 aprile 2006 n. 152, ad esclusione delle sostanze che sono state deliberatamente modificate o contaminate per soddisfare tale definizione; (2) q-ter) «colture amidacee»: colture comprendenti principalmente cereali (indipendentemente dal fatto che siano utilizzati solo i semi ovvero sia utilizzata l'intera pianta, come nel caso del mais verde), tuberi e radici (come patate, topinambur, patate dolci, manioca e ignami) e colture di bulbo-tuberi (quali la colocasia e la xantosoma); (2) q-quater) «materie ligno-cellulosiche»: materie composte da lignina, cellulosa ed emicellulosa quali la biomassa proveniente da foreste, le colture energetiche legnose e i residui e rifiuti della filiera forestale; (2) q-quinquies) «materie cellulosiche di origine non alimentare»: materie prime composte principalmente da cellulosa ed emicellulosa e aventi un tenore di lignina inferiore a quello delle materie ligno-cellulosiche. Comprendono residui di colture alimentari e foraggere (quali paglia, steli di granturco, pule e gusci), colture energetiche erbacee a basso tenore di amido (quali loglio, panico verga, miscanthus, canna comune e colture di copertura precedenti le colture principali e ad esse successive), residui industriali (anche residui di colture alimentari e foraggere dopo che sono stati estratti gli olii vegetali, gli zuccheri, gli amidi e le proteine) e materie derivate dai rifiuti organici; (2) q-sexies) «residuo della lavorazione»: sostanza diversa dal prodotto o dai prodotti finali cui mira direttamente il processo di produzione; non costituisce l'obiettivo primario del processo di produzione, il quale non è stato deliberatamente modificato per ottenerlo; (2) q-septies) «carburanti per autotrazione rinnovabili liquidi e gassosi di origine non biologica»: i carburanti liquidi o gassosi diversi dai biocarburanti il cui contenuto energetico proviene da fonti energetiche rinnovabili diverse dalla biomassa e che sono utilizzati nei trasporti; (2) q-octies) «residui dell'agricoltura, dell'acquacoltura, della pesca e della silvicoltura»: residui generati direttamente dall'agricoltura, dall'acquacoltura, dalla pesca e dalla silvicoltura; non comprendono i residui delle industrie connesse o della lavorazione; (2) q-nonies) «biocarburanti e bioliquidi a basso rischio di cambiamento indiretto di destinazione dei terreni»: biocarburanti e bioliquidi le cui materie prime sono state prodotte nell'ambito di sistemi che riducono la delocalizzazione della produzione a scopi diversi dalla fabbricazione di biocarburanti e bioliquidi e che sono stati prodotti conformemente ai criteri di sostenibilità per i biocarburanti e i bioliquidi stabiliti nell'articolo 38; (2) q-decies) "biocarburanti avanzati": biocarburanti da materie prime e altri carburanti rinnovabili di cui all'allegato I, parte 2-bis, parte A (2)”.]
	c) Petrolio	Gestori di oleodotti
		Gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio
		Organismo centrale di stoccaggio italiano
	d) Gas	Imprese fornitrici di gas di cui all’articolo 2, comma 1, lettera kk-septies), del decreto legislativo 23 maggio 2000, n. 164   [La disposizione richiamata recita: “impresa fornitrice: ogni persona fisica o giuridica che svolge funzioni di fornitura”.
		Gestori del sistema di distribuzione del gas di cui all’articolo 2, comma 1, lettera kk-sexies), del decreto legislativo 23 maggio 2000, n. 164 [La disposizione richiamata recita: “gestore del sistema di distribuzione: qualsiasi persona fisica o giuridica che svolge la funzione di distribuzione ed è responsabile della gestione, della manutenzione e, se necessario, dello sviluppo del sistema di distribuzione in una data zona ed, eventualmente, delle relative interconnessioni con altri sistemi, nonché di assicurare la capacità a lungo termine del sistema di soddisfare richieste ragionevoli di distribuzione di gas naturale”.]
		Gestori del sistema di trasporto del gas di cui all’articolo 2, comma 1, lettera kk-quater), del decreto legislativo 23 maggio 2000, n. 164 [La disposizione richiamata recita: “gestore del sistema di trasporto: qualsiasi persona fisica o giuridica che svolge l'attività di trasporto ed è responsabile della gestione, della manutenzione e, se necessario, dello sviluppo del sistema di trasporto in una data zona ed, eventualmente, delle relative interconnessioni con altri sistemi, nonché di assicurare la capacità a lungo termine del sistema di soddisfare richieste ragionevoli di trasporto di gas naturale”.]
		Gestori degli impianti di stoccaggio del gas di cui all’articolo 2, comma 1, lettera kk-nonies), del decreto legislativo 23 maggio 2000, n. 164 [La disposizione richiamata recita: “gestore dell'impianto di stoccaggio: qualsiasi persona fisica o giuridica che svolge l'attività di stoccaggio ed è responsabile della gestione di un impianto di stoccaggio di gas naturale”.]
		Gestori del sistema GNL di cui all’articolo 2, comma 1, lettera kk-decies), del decreto legislativo 23 maggio 2000, n. 164   [La disposizione richiamata recita: “gestore di un impianto di GNL: qualsiasi persona fisica o giuridica responsabile della liquefazione del gas naturale o dell'importazione, o dello scarico, e della rigassificazione di GNL, e responsabile della gestione di un impianto di GNL”.]
		Imprese di gas naturale di cui all’articolo 2, comma 1, lettera t), del decreto legislativo 23 maggio 2000, n. 164 [La disposizione richiamata recita: “impresa di gas naturale: ogni persona fisica o giuridica, ad esclusione dei clienti finali che svolge almeno una delle funzioni seguenti: produzione, trasporto, distribuzione, fornitura, acquisto o stoccaggio di gas naturale, compresa la rigassificazione di GNL e che è responsabile per i compiti commerciali, tecnici o di manutenzione legati a queste funzioni”.]
		Gestori di impianti di raffinazione e trattamento di gas naturale
	e) Idrogeno	Gestori di impianti di produzione, stoccaggio e trasporto di idrogeno
2. Trasporti	a) Trasporto aereo	Vettori aerei di cui all’articolo 3, comma 4, del regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio   [La disposizione richiamata recita: “"vettore aereo": impresa di trasporto aereo titolare di una licenza di esercizio valida o documento equivalente”.]
		- Gestori aeroportuali di cui all’articolo 72, comma 1, lettera b, del decreto legge 24 gennaio 2012, n. 1, convertito, con modificazioni, dalla Legge 24 marzo 2012 n. 27   [La disposizione richiamata recita: “gestore aeroportuale: il soggetto al quale le disposizioni legislative, regolamentari o contrattuali affidano, insieme con altre attività o in via esclusiva, il compito di amministrare e di gestire le infrastrutture aeroportuali o della rete aeroportuale e di coordinare e di controllare le attività dei vari operatori presenti negli aeroporti e nella rete aeroportuale di interesse”.] - Aeroporti di cui all’articolo 72, comma 1, lettera a, del decreto legge 24 gennaio 2012, n. 1, convertito, con modificazioni, dalla Legge 24 marzo 2012 n. 27, compresi gli aeroporti centrali di cui all’allegato II, punto 2), del regolamento (UE) n. 1315/2013 del Parlamento europeo e del Consiglio [La disposizione richiamata recita: “aeroporto: qualsiasi terreno appositamente predisposto per l'atterraggio, il decollo e le manovre di aeromobili, inclusi gli impianti annessi che esso può comportare per le esigenze del traffico e per il servizio degli aeromobili nonché gli impianti necessari per fornire assistenza ai servizi aerei commerciali”.] - Soggetti che gestiscono impianti annessi situati in aeroporti
		Operatori attivi nel controllo della gestione del traffico che forniscono servizi di controllo del traffico aereo di cui all’articolo 2, primo paragrafo n. 1, del regolamento (UE) n. 549/2004 del Parlamento europeo e del Consiglio   [La disposizione richiamata recita: “"servizio di controllo del traffico aereo": un servizio fornito al fine di: a) prevenire collisioni: - tra aeromobili, e - nell'area di manovra tra aeromobili e ostacoli; e b) accelerare il flusso di traffico aereo e mantenerlo ordinato”.]
	b) Trasporto ferroviario	Gestori dell’infrastruttura ferroviaria di cui all’articolo 3, comma 1, lettera b, del decreto legislativo 15 luglio 2015, n. 112   [La disposizione richiamata recita: “gestore dell'infrastruttura: qualsiasi organismo o impresa responsabili dell'esercizio, della manutenzione e del rinnovo dell'infrastruttura ferroviaria di una rete nonché della partecipazione al suo sviluppo come stabilito dallo Stato nell'ambito della sua politica generale sullo sviluppo e sul finanziamento dell'infrastruttura”.]
		Imprese ferroviarie di cui all’articolo 3, comma 1, lettera a, del decreto legislativo 112/2015 compresi gli operatori degli impianti di servizio di cui all’articolo 3, comma 1, lettera n, del decreto legislativo 15 luglio 2015, n. 112   [Le disposizioni richiamate recitano: “impresa ferroviaria: qualsiasi impresa pubblica o privata titolare di una licenza, la cui attività principale consiste nella prestazione di servizi per il trasporto sia di merci sia di persone per ferrovia e che garantisce obbligatoriamente la trazione; sono comprese anche le imprese che forniscono solo la trazione” (lett. a) e “operatore dell'impianto di servizio: un'entità pubblica o privata responsabile della gestione di uno o più impianti di servizio o della prestazione di uno o più servizi alle imprese ferroviarie di cui all'articolo 13, commi 2, 9 e 11” (lett. n).]
	c) Trasporto per vie d’acqua	Compagnie di navigazione per il trasporto per vie d’acqua interne, marittimo e costiero di passeggeri e merci quali definite all’allegato I del regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio, escluse le singole navi gestite da tali compagnie   [Il regolamento europeo richiamato tratta del miglioramento della sicurezza delle navi e degli impianti portuali.
		Organi di gestione dei porti quali definiti all'articolo 2, comma 1, lettera a, del decreto legislativo 6 novembre 2007, n. 203, compresi i relativi impianti portuali quali definiti all'articolo 2, primo paragrafo, numero 11), del regolamento (CE) n. 725/2004, e soggetti che gestiscono opere e attrezzature all'interno di porti. [Le disposizioni richiamate recitano: “«porto»: una specifica area terrestre e marittima, comprendente impianti ed attrezzature intesi ad agevolare le operazioni commerciali di trasporto marittimo, come individuata ai sensi dell'articolo 3, comma 2, che ha al suo interno uno o più impianti portuali dotati di un piano di sicurezza approvato a norma del regolamento (CE) n. 725/2004 che forniscono servizi alle navi di cui alla regola 2, cap. XI-2 Convenzione SOLAS o alle navi di cui all'articolo 3, comma 2, del citato regolamento” (art. 2, comma 1, lettera a, d. lgs. n. 203 del 2007) e “«impianto portuale», un luogo in cui avviene l'interfaccia nave/porto; comprende aree quali le zone di ancoraggio, di ormeggio e di accosto dal mare, secondo i casi” (art. 2, primo paragrafo, numero 11), del regolamento (CE) n. 725/2004).]
		Gestori di servizi di assistenza al traffico marittimo quale definito dall’articolo 2 comma 1, lettera p, del decreto legislativo 19 agosto 2005, n. 196, individuati dall’Autorità settoriale competente [La disposizione richiamata recita: “«servizio di assistenza al traffico marittimo (VTS)»: il servizio finalizzato a migliorare la sicurezza della navigazione e l'efficienza del traffico marittimo e a tutelare l'ambiente, in grado di interagire con le navi che transitano nell'area coperta dal VTS”.]
	d) Trasporto su strada	Autorità stradali di cui all'articolo 2, punto 12), del regolamento delegato (UE) 2015/962 della Commissione responsabili del controllo della gestione del traffico   [La disposizione richiamata recita: “«autorità stradale», qualsiasi autorità pubblica responsabile della pianificazione, del controllo o della gestione delle strade che rientrano nella sua competenza territorial”.]
		Gestori di sistemi di trasporto intelligenti quali definiti dal Decreto MIT 1° febbraio 2013, articolo 1, comma 1, lettera a   [La disposizione richiamata recita: “«sistemi ditrasporto intelligenti» o «ITS» (Intelligent Transport Systems): tecnologie informatiche e della comunicazione applicate ai sistemi di trasporto, alle infrastrutture, ai veicoli e alla gestione del traffico e della mobilità”.]
	e) Trasporto pubblico	Operatori di servizio pubblico quali definiti all’articolo 2, lettera d), del regolamento (CE) n. 1370/2007 del Parlamento europeo e del Consiglio [La disposizione richiamata recita: “«operatore di servizio pubblico»: un'impresa o un gruppo di imprese di diritto pubblico o privato che fornisce servizi di trasporto pubblico di passeggeri o qualsiasi ente pubblico che presta servizi di trasporto pubblico di passeggeri”.]
3. Settore bancario		Enti creditizi quali definiti all’articolo 4, punto 1), del regolamento (UE) n. 575/2013   [La disposizione richiamata recita: “«ente creditizio», un'impresa che svolge una delle attività seguenti: a)       raccogliere depositi o altri fondi rimborsabili dal pubblico e concedere crediti per proprio conto; b)  svolgere una qualsiasi delle attività di cui all'allegato I, sezione A, punti 3) e 6), della direttiva 2014/65/UE del Parlamento europeo e del Consiglio (21) se ricorre una delle condizioni seguenti ma l'impresa non è un negoziatore per conto proprio di merci e di quote di emissioni, un organismo di investimento collettivo o un'impresa di assicurazione: i) il valore totale delle attività consolidate dell'impresa è pari o superiore a 30 miliardi di EUR; ii) il valore totale delle attività dell'impresa è inferiore a 30 miliardi di EUR e l'impresa fa parte di un gruppo in cui il valore totale delle attività consolidate di tutte le imprese di tale gruppo che individualmente detengono attività totali inferiori a 30 miliardi di EUR e svolgono una qualsiasi delle attività di cui all'allegato I, sezione A, punti 3) e 6), della direttiva 2014/65/UE è pari o superiore a 30 miliardi di EUR; oppure iii) il valore totale delle attività dell'impresa è inferiore a 30 miliardi di EUR e l'impresa fa parte di un gruppo in cui il valore totale delle attività consolidate di tutte le imprese del gruppo che svolgono una qualsiasi delle attività di cui all'allegato I, sezione A, punti 3) e 6), della direttiva 2014/65/UE è pari o superiore a 30 miliardi di EUR, ove l'autorità di vigilanza su base consolidata - in consultazione con il collegio delle autorità di vigilanza - decida in tal senso per far fronte ai potenziali rischi di elusione e ai potenziali rischi per la stabilità finanziaria dell'Unione. Ai fini della lettera b), punti ii) e iii), se l'impresa fa parte di un gruppo di un paese terzo, le attività totali di ciascuna succursale del gruppo di un paese terzo autorizzata nell'Unione sono incluse nel valore totale combinato delle attività di tutte le imprese del gruppo”.]
4. Infrastrutture dei mercati finanziari		Gestori di sedi di negoziazione quali definiti all’articolo 1, comma 5-octies, lettera c) del decreto legislativo 24 febbraio 1998, n. 58   [La disposizione richiamata recita:“«sede di negoziazione»: un mercato regolamentato, un sistema multilaterale di negoziazione o un sistema organizzato di negoziazione”.]
		Controparti centrali (CCP) quali definite all’articolo 2, punto 1), del regolamento (UE) n. 648/2012   [La disposizione richiamata recita: “«CCP»: una persona giuridica che si interpone tra le controparti di contratti negoziati su uno o più mercati finanziari agendo come acquirente nei confronti di ciascun venditore e come venditore nei confronti di ciascun acquirente”.]
5. Salute		Prestatori di assistenza sanitaria quali definiti all'articolo 3, comma 1, lettera h), del decreto legislativo 4 marzo 2014, n. 38   [La disposizione richiamata recita: “«prestatore di assistenza sanitaria»: una qualsiasi persona fisica o giuridica o qualsiasi altra entità che presti legalmente assistenza sanitaria nel territorio di uno Stato membro dell'Unione europea”.]
		Laboratori di riferimento dell’UE di cui all’articolo 15 del regolamento (UE) 2022/2371 del Parlamento europeo e del Consiglio   [La disposizione richiamata recita: “1. Nel settore della sanità pubblica o in settori specifici della sanità pubblica rilevanti per l'attuazione del presente regolamento o dei piani nazionali di prevenzione, di preparazione e di risposta, la Commissione può designare mediante atti di esecuzione laboratori di riferimento dell'UE per fornire sostegno ai laboratori nazionali di riferimento al fine di promuovere le buone pratiche e l'allineamento da parte degli Stati membri su base volontaria in materia di diagnosi, metodi di prova, uso di determinati test per la sorveglianza, la notifica e la segnalazione uniforme delle malattie da parte degli Stati membri. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 29, paragrafo 2. 2. I laboratori di riferimento dell'UE sono responsabili di coordinare la rete di laboratori nazionali di riferimento, in particolare nei settori seguenti: a) diagnostica di riferimento, compresi i protocolli di prova; b) risorse materiali di riferimento; c) valutazioni esterne della qualità; d) consulenza scientifica e assistenza tecnica; e) cooperazione e ricerca; f) monitoraggio, notifiche degli allarmi e sostegno alla risposta ai focolai, comprese le malattie trasmissibili emergenti e i batteri e virus patogeni; e g) formazione. 3. La rete dei laboratori di riferimento dell'UE è gestita e coordinata dall'ECDC, in collaborazione con i laboratori di riferimento dell'OMS. La struttura di governance di tale rete copre la cooperazione e il coordinamento con i laboratori e le reti di riferimento nazionali e regionali esistenti. 4. Le designazioni di cui al paragrafo 1 seguono una procedura di selezione pubblica, sono limitate nel tempo, con un periodo minimo di designazione di quattro anni e sono riesaminate periodicamente. Tali designazioni stabiliscono le responsabilità e i compiti dei laboratori di riferimento dell'UE designati. 5. I laboratori di riferimento dell'UE di cui al paragrafo 1: a) sono imparziali, esenti da qualsiasi conflitto di interesse e, in particolare, non si trovano in una situazione che potrebbe compromettere, direttamente o indirettamente, l'imparzialità della loro condotta professionale per quanto riguarda l'esecuzione dei loro compiti in qualità di laboratori di riferimento dell'UE; b) dispongono di, o hanno accesso contrattuale a, personale qualificato con una formazione appropriata nel proprio settore di competenza; c) possiedono o hanno accesso all'infrastruttura, alle attrezzature e ai prodotti necessari per svolgere i compiti loro assegnati; d) garantiscono che il loro personale o l'eventuale personale assunto a contratto abbia una buona conoscenza delle norme e pratiche internazionali e che nel corso delle attività di lavoro siano presi in considerazione i più recenti sviluppi nel settore della ricerca ai livelli nazionale, dell'Unione e internazionale; e) dispongono degli strumenti necessari per svolgere i loro compiti in situazioni di emergenza, o vi hanno accesso; e f) se del caso, dispongono degli strumenti per rispettare le pertinenti norme di biosicurezza. Oltre a rispettare le prescrizioni di cui al primo comma del presente paragrafo, i laboratori di riferimento dell'UE sono anche accreditati a norma del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (39) . 6. Possono essere concesse sovvenzioni ai laboratori di riferimento dell'UE di cui al paragrafo 1 per i costi da essi sostenuti nell'attuazione dei programmi di lavoro annuali o pluriennali stabiliti conformemente agli obiettivi e alle priorità dei programmi di lavoro adottati dalla Commissione conformemente al programma «UE per la salute» (EU4Health)”.]
		Soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali quali definiti all’articolo 1, lettera a), del decreto legislativo 24 aprile 2006, n. 219   [La disposizione richiamata recita: “prodotto medicinale o medicinale, di seguito indicato con il termine "medicinale": 1) ogni sostanza o associazione di sostanze presentata come avente proprietà curative o profilattiche delle malattie umane; 2) ogni sostanza o associazione di sostanze che può essere utilizzata sull'uomo o somministrata all'uomo allo scopo di ripristinare, correggere o modificare funzioni fisiologiche, esercitando un'azione farmacologica, immunologica o metabolica, ovvero di stabilire una diagnosi medica”.]
		Soggetti che fabbricano prodotti farmaceutici di base e preparati farmaceutici di cui alla sezione C, divisione 21, della classificazione statistica comune delle attività economiche nella Comunità europea (NACE Rev. 2) di cui all’allegato 1 del regolamento (CE) n. 1893/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006   [Il regolamento europeo richiamato definisce la classificazione statistica delle attività economiche NACE Revisione 2 e modifica il regolamento (CEE) n. 3037/90 del Consiglio nonché alcuni regolamenti (CE) relativi a settori statistici specifici”.]
		Soggetti che fabbricano dispositivi medici considerati critici durante un’emergenza di sanità pubblica («elenco dei dispositivi critici per l’emergenza di sanità pubblica») ai sensi dell’articolo 22 del regolamento (UE) 2022/123 del Parlamento europeo e del Consiglio   [La disposizione richiamata recita: “1.Immediatamente dopo il riconoscimento di un’emergenza di sanità pubblica, l’MDSSG consulta il gruppo di lavoro di cui all’articolo 21, paragrafo 5. Immediatamente dopo tale consultazione l’MDSSG adotta un elenco delle categorie dei dispositivi medici critici che considera critici nel corso dell’emergenza di sanità pubblica («elenco dei dispositivi critici per l’emergenza di sanità pubblica»). Nella misura del possibile, le informazioni pertinenti sui dispositivi medici critici nonché sui relativi fabbricanti sono raccolte da Eudamed, una volta pienamente operativa. Le informazioni sono inoltre raccolte, a seconda dei casi, dagli importatori e dai distributori. Fino a quando Eudamed non sarà pienamente operativa, le informazioni disponibili possono essere raccolte anche da banche dati nazionali o da altre fonti disponibili. L’MDSSG aggiorna l’elenco dei dispositivi critici per l’emergenza di sanità pubblica ogniqualvolta necessario fino alla cessazione del riconoscimento dell’emergenza di sanità pubblica. 2. Ai fini dell’articolo 25, paragrafo 2, l’MDSSG adotta e rende accessibile al pubblico la serie di informazioni di cui all’articolo 25, paragrafo 2, lettere b) e c), che è necessaria per monitorare l’offerta e la domanda dei dispositivi medici inclusi nell’elenco dei dispositivi critici per l’emergenza di sanità pubblica e informa il gruppo di lavoro di cui all’articolo 21, paragrafo 5, di tale serie di informazioni. 3.L’Agenzia pubblica su una pagina web dedicata del suo portale web: a) l’elenco dei dispositivi critici per l’emergenza di sanità pubblica e gli eventuali aggiornamenti di tale elenco; e b) informazioni in merito alle carenze effettive dei dispositivi medici critici inclusi nell’elenco dei dispositivi critici per l’emergenza di sanità pubblica”.]
		Soggetti titolari di un’autorizzazione di distribuzione di cui all’articolo 101 del decreto legislativo 24 aprile 2006, n. 219   [La disposizione richiamata recita: “1. Per ottenere l'autorizzazione, il richiedente deve soddisfare le condizioni seguenti: a) disporre di locali, di installazioni e di attrezzature idonei, sufficienti a garantire una buona conservazione e una buona distribuzione dei medicinali; b) disporre di adeguato personale nonché di una persona responsabile, in possesso del diploma di laurea in farmacia o in chimica o in chimica e tecnologia farmaceutiche o in chimica industriale, che non abbia riportato condanne penali per reati contro il patrimonio o comunque connessi al commercio di medicinali non conforme alle disposizioni del presente decreto, nè condanne penali definitive di almeno due anni per delitti non colposi; c) impegnarsi a rispettare gli obblighi cui è soggetto a norma dell'articolo 104. 2. La persona responsabile di cui alla lettera b) del comma 1 e di cui al comma 2-bis deve svolgere la propria attività a carattere continuativo nella sede indicata nell'autorizzazione con un orario compatibile con le necessità derivanti dalle dimensioni dell'attività di distribuzione espletata. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministero della salute, sentita l'AIFA, possono essere stabilite, per i depositi che trattano esclusivamente gas medicinali, deroghe al disposto di cui al primo periodo. (117) 2-bis. In deroga a quanto disposto dai commi 1 e 2, le funzioni di persona responsabile di depositi che trattano esclusivamente gas medicinali possono essere svolte dal soggetto che possieda almeno uno dei seguenti requisiti: a) abbia conseguito una laurea specialistica, di cui al decreto del Ministro dell'università e della ricerca scientifica e tecnologica 3 novembre 1999, n. 509, o una laurea magistrale, di cui al decreto del Ministro dell'istruzione, dell'università e della ricerca 22 ottobre 2004, n. 270, appartenente a una delle classi di seguito specificate: I. classe LM-8 Classe dei corsi di laurea magistrale in biotecnologie industriali; II. classe LM-9 Classe dei corsi di laurea magistrale in biotecnologie mediche, veterinarie e farmaceutiche; III. classe LM-21 Classe dei corsi di laurea magistrale in ingegneria chimica; b) abbia conseguito una laurea di cui al decreto del Ministro dell'università e della ricerca scientifica e tecnologica 3 novembre 1999, n. 509, e al decreto del Ministro dell'istruzione, dell'università e della ricerca 22 ottobre 2004, n. 270, appartenente a una delle classi di seguito specificate, a condizione che siano stati superati gli esami di chimica farmaceutica e di legislazione farmaceutica: I. classe L-2 Classe dei corsi di laurea in biotecnologie; II. classe L-9 Classe dei corsi di laurea in ingegneria industriale; III. classe L-27 Classe dei corsi di laurea in scienze e tecnologie chimiche; IV. classe L-29 Classe dei corsi di laurea in scienze e tecnologie farmaceutiche; c) abbia svolto, per almeno cinque anni, anche non continuativi, successivamente all'entrata in vigore del decreto legislativo 30 dicembre 1992, n. 538, funzioni di direttore tecnico di magazzino di distribuzione all'ingrosso o di deposito di gas medicinali. (118) 2-ter. Sono comunque fatte salve le situazioni regolarmente in atto alla data di entrata in vigore della presente disposizione, anche in mancanza dei requisiti previsti dal comma 1, lettera b), e dal comma 2-bis). (118) 3. La responsabilità di più magazzini appartenenti allo stesso titolare può essere affidata a una stessa persona, purché l'attività da questa svolta in ciascun magazzino sia compatibile con quanto previsto al comma 2”.]
6. Acqua potabile		Fornitori e distributori di acque destinate al consumo umano, di cui all'articolo 2, comma1, lettera a) del decreto legislativo 23 febbraio 2023, n. 18, ma esclusi i distributori per i quali la distribuzione di acque destinate al consumo umano è solo una parte dell'attività generale di distribuzione di altri prodotti e beni che non sono considerati servizi essenziali o importanti [La disposizione richiamata recita: “«acque destinate al consumo umano», in prosieguo anche denominate «acque potabili»: 1) tutte le acque trattate o non trattate, destinate a uso potabile, per la preparazione di cibi, bevande o per altri usi domestici, in locali sia pubblici che privati, a prescindere dalla loro origine, siano esse fornite tramite una rete di distribuzione, mediante cisterne o in bottiglie o contenitori, comprese le acque di sorgente di cui al decreto legislativo 8 ottobre 2011, n. 176; 2) tutte le acque utilizzate in un'impresa alimentare e incorporate negli alimenti o prodotti destinati al consumo umano nel corso della loro produzione, preparazione, trattamento, conservazione o immissione sul mercato”.]
7. Acque reflue		Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, acque reflue domestiche o acque reflue industriali quali definite articolo 74, comma 1, lettere i), g), h), del decreto legislativo 3 aprile 2006, n. 152, escluse le imprese per cui la raccolta, lo smaltimento o il trattamento di acque reflue urbane, acque reflue domestiche e acque reflue industriali è una parte non essenziale della loro attività generale [Le disposizioni richiamate recitano:“«acque reflue domestiche»: acque reflue provenienti da insediamenti di tipo residenziale e da servizi e derivanti prevalentemente dal metabolismo umano e da attività domestiche” (art. 4 comma 1, lett. g); «acque reflue industriali»: qualsiasi tipo di acque reflue scaricate da edifici od impianti in cui si svolgono attività commerciali o di produzione di beni, diverse dalle acque reflue domestiche e dalle acque meteoriche di dilavamento (art. 4 comma 1, lett. h);  «acque reflue urbane»: acque reflue domestiche o il miscuglio di acque reflue domestiche, di acque reflue industriali ovvero meteoriche di dilavamento convogliate in reti fognarie, anche separate, e provenienti da agglomerate” (art. 4 comma 1, lett. h).]
8. Infrastrutture digitali		Fornitori di punti di interscambio Internet di cui alle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555   [La disposizione richiamata recita: «punto di interscambio internet»: un'infrastruttura di rete che consente l'interconnessione di più di due reti indipendenti (sistemi autonomi), principalmente al fine di agevolare lo scambio del traffico internet, che fornisce interconnessione soltanto ai sistemi autonomi e che non richiede che il traffico internet che passa tra qualsiasi coppia di sistemi autonomi partecipanti passi attraverso un terzo sistema autonomo né altera o interferisce altrimenti con tale traffico.]; (art. 6 – Definizioni)
		Fornitori di servizi DNS di cui alle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555   [La disposizione richiamata recita: «fornitore di servizi DNS»: un soggetto che fornisce: a) servizi di risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet; o b) servizi di risoluzione dei nomi di dominio autorevoli per uso da parte di terzi, fatta eccezione per i server dei nomi radice.] (art. 6 – Definizioni)
		Registri dei nomi di dominio di primo livello (TLD) di cui alle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555   [La disposizione richiamata recita: “«registro dei nomi di dominio di primo livello» o «registro dei nomi TLD»: un soggetto cui è stato delegato uno specifico dominio di primo livello (TLD) e che è responsabile dell'amministrazione di tale TLD, compresa la registrazione dei nomi di dominio sotto tale TLD, e del funzionamento tecnico di tale TLD, compresi il funzionamento dei server dei nomi, la manutenzione delle banche dati e la distribuzione dei file di zona TLD tra I server dei nomi, indipendentemente dal fatto che una qualsiasi di tali operazioni sia effettuata dal soggetto stesso o sia esternalizzata, ma escludendo le situazioni in cui i nomi TLD sono utilizzati da un registro esclusivamente per uso proprio”.] (art. 6 – Definizioni)
		Fornitori di servizi di cloud computing di cui alle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555   [La disposizione richiamata recita: “«servizio di cloud computing»: un servizio digitale che consente l'amministrazione su richiesta di un pool scalabile ed elastico di risorse di calcolo condivisibili e l'ampio accesso remoto a quest'ultimo, anche ove tali risorse sono distribuite in varie ubicazioni”.] (art. 6 – Definizioni)
		Fornitori di servizi di data center di cui alle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555   [La disposizione richiamata recita: «servizio di data center»: un servizio che comprende strutture, o gruppi di strutture, dedicate a ospitare, interconnettere e far funzionare in modo centralizzato apparecchiature informatiche e di rete che forniscono servizi di conservazione, elaborazione e trasporto di dati insieme a tutti gli impianti e le infrastrutture per la distribuzione dell'energia e il controllo ambientale”.] (art. 6 – Definizioni)
		Fornitori di reti di distribuzione dei contenuti (content delivery network) di cui alle disposizioni nazionali di attuazione della direttiva (UE) 2022/2555   [La disposizione richiamata recita: ««rete di distribuzione dei contenuti (content delivery network)»: una rete di server distribuiti geograficamente allo scopo di garantire l'elevata disponibilità, l'accessibilità o la rapida distribuzione di contenuti e servizi digitali agli utenti di internet per conto di fornitori di contenuti e servizi;”.] (art. 6 – Definizioni)
		Prestatori di servizi fiduciari di cui all'articolo 3, punto 19), del regolamento (UE) n. 910/2014   [La disposizione richiamata recita: "«organismo di valutazione della conformità», un organismo ai sensi dell’articolo 2, punto 13, del regolamento (CE) n. 765/2008, che è accreditato a norma di detto regolamento come competente a effettuare la valutazione della conformità del prestatore di servizi fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati”.]
		Fornitori di reti pubbliche di comunicazione elettronica quali definite all’articolo 2, comma 1, lettera tt), del decreto legislativo 1° agosto 2003, n. 259   [La disposizione richiamata recita: "«rete pubblica di comunicazione elettronica»: una rete di comunicazione elettronica, utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di rete.]
		Fornitori di servizi di comunicazione elettronica quali definiti all’articolo 2, comma 1, lettera fff), del decreto legislativo 1° agosto 2003, n. 259 nella misura in cui tali servizi siano accessibili al pubblico   [La disposizione richiamata recita: "«servizio di comunicazione elettronica»: i servizi, forniti di norma a pagamento su reti di comunicazioni elettroniche, che comprendono, con l'eccezione dei servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti, i tipi di servizi seguenti: 1) servizio di accesso a internet quale definito all'articolo 2, secondo comma, punto 2), del regolamento (UE) 2015/2120; 2) servizio di comunicazione interpersonale; 3) servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali come i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina e per la diffusione circolare radiotelevisiva.]
9. Enti della pubblica amministrazione		Soggetti delle amministrazioni centrali quali definiti dall’art. 2, comma 1, lettera l) [Legge 24 dicembre 2012, n. 243] [La disposizione richiamata recita: "gli enti individuati con le procedure e gli atti previsti, in coerenza con l'ordinamento dell'Unione europea, dalla normativa in materia di contabilità e finanza pubblica, articolati nei sottosettori delle amministrazioni centrali, delle amministrazioni locali e degli enti nazionali di previdenza e assistenza sociale".]
10. Spazio		Operatori di infrastrutture terrestri possedute, gestite e operate dallo Stato o da privati, che sostengono la fornitura di servizi spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica quali definite all’articolo 2, comma 1, lettera tt), del decreto legislativo 1° agosto 2003, n. 259   [La disposizione richiamata recita: "«rete pubblica di comunicazione elettronica»: una rete di comunicazione elettronica, utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di rete”.]
11. Produzione, trasformazione e distribuzione di alimenti		Imprese alimentari quali definite all’articolo 3, punto 2), del regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio impegnate esclusivamente nella logistica e nella distribuzione all’ingrosso nonché nella produzione e trasformazione industriale su larga scala   [La disposizione richiamata recita: "«impresa alimentare», ogni soggetto pubblico o privato, con o senza fini di lucro, che svolge una qualsiasi delle attività connesse ad una delle fasi di produzione, trasformazione e distribuzione degli alimenti”.]
12. Acque irrigue		Gestori di concessioni di derivazione di cui all’articolo 21 del R.D. n.1775/33ad uso irriguo [La disposizione richiamata recita: “Le concessioni di derivazioni per uso irriguo devono tener conto delle tipologie delle colture in funzione della disponibilità della risorsa idrica, della quantità minima necessaria alla coltura stessa, prevedendo se necessario specifiche modalità di irrigazione; le stesse sono assentite o rinnovate solo qualora non risulti possibile soddisfare la domanda d'acqua attraverso le strutture consortili già operanti sul territorio”.]