Direttiva CER: scadenze e obblighi per i soggetti critici dal 17 luglio 2026 (ma decorrenza posticipata)
Il 17 luglio 2026 rappresenta una scadenza chiave per tutte le organizzazioni italiane riconosciute come soggetti critici dalla Direttiva CER (D.Lgs 134/2024). In quella data il Governo adotterà l'elenco definitivo di questi soggetti, accompagnato da obblighi normativi stringenti. Tuttavia, è importante chiarire che gli obblighi operativi per ciascun soggetto critico non scattano immediatamente il 17 luglio 2026, ma decorrono 10 mesi dopo la notifica del Piano di Continuità Operativa (PCU), che avviene entro 30 giorni dall’adozione dell’elenco.
Ignorare queste disposizioni espone a rischi operativi significativi e a sanzioni amministrative rilevanti.
Per DPO, RSPP, IT e quality manager di PMI, conoscere chi rientra nella categoria dei soggetti critici e quali obblighi normativi devono rispettare è fondamentale per pianificare efficacemente la compliance e gestire il rischio in modo proattivo. La Direttiva CER cambia il paradigma della gestione della continuità operativa delle infrastrutture critiche.
Questo articolo analizza il quadro normativo del D.Lgs 134/2024, definisce i soggetti critici, dettaglia gli obblighi e le scadenze da monitorare, e indica azioni pratiche per evitare non conformità e garantire resilienza operativa.
Cos’è la Direttiva CER e quali sono i suoi obiettivi?
La Direttiva CER nasce per rafforzare la resilienza delle infrastrutture critiche italiane, in linea con la Strategia Nazionale per la Resilienza adottata dal Governo. Il suo scopo è prevenire e mitigare gli impatti di eventi avversi, naturali o dolosi, che possono compromettere servizi essenziali per la società e l’economia.
Il D.Lgs 134/2024 recepisce la direttiva europea sulla resilienza delle infrastrutture critiche, stabilendo un quadro normativo vincolante che definisce obblighi e controlli per i soggetti coinvolti. Al centro c’è l’identificazione dei soggetti critici, cioè enti e aziende la cui compromissione può avere conseguenze sistemiche per sicurezza nazionale, salute pubblica o economia.
Chi sono i soggetti critici secondo il D.Lgs 134/2024?
Il Governo deve adottare entro il 17 luglio 2026 l’elenco definitivo dei soggetti critici italiani. Questi operano in settori strategici come energia, trasporti, telecomunicazioni, sanità e approvvigionamento idrico. L’elenco rispetta le specificità nazionali e individua realtà il cui malfunzionamento genera danni sistemici rilevanti.
Per auditor, compliance officer e risk manager, questa classificazione delimita il perimetro di applicazione degli obblighi normativi. Le organizzazioni escluse dall’elenco non sono vincolate dagli stessi obblighi, pur essendo raccomandate buone pratiche di continuità operativa.
Quali sono gli obblighi principali per i soggetti critici?
Dopo la notifica del Piano di Continuità Operativa (PCU), che segue l’adozione dell’elenco, i soggetti critici devono implementare misure concrete di resilienza fisica e redigere piani di sicurezza dettagliati. Questi obblighi non scattano il 17 luglio 2026, ma decorrono 10 mesi dopo la notifica del PCU, come previsto dall’articolo 8 del D.Lgs 134/2024.
Quali misure di resilienza fisica sono richieste?
Le misure riguardano la protezione delle infrastrutture strategiche tramite sistemi ridondanti, barriere fisiche e tecnologie di monitoraggio continuo. L’obiettivo è contenere l’impatto di eventi avversi, riducendo i tempi di inattività e prevenendo danni sistemici.
Quali componenti devono avere i piani di sicurezza?
I piani devono includere un’analisi dettagliata dei rischi specifici, procedure operative per emergenze, responsabilità interne ben definite e programmi di formazione e simulazione per il personale. Sono documenti dinamici, da aggiornare regolarmente per adattarsi all’evoluzione delle minacce.
Quali sono le tempistiche da monitorare fino al 2026 e oltre?
Il 17 luglio 2026 è la scadenza per l’adozione da parte del Governo dell’elenco definitivo dei soggetti critici. Da quel momento, entro 30 giorni, i soggetti riceveranno la notifica del Piano di Continuità Operativa (PCU). Gli obblighi specifici decorrono 10 mesi dopo questa notifica, non immediatamente il 17 luglio 2026.
La preparazione deve iniziare subito: valutare l’inclusione nell’elenco, condurre audit preliminari e predisporre le misure di resilienza è indispensabile. Aspettare l’ultimo momento equivale a gestire una crisi senza margine di manovra, come salire su un treno in ritardo con pochi posti disponibili.
Qual è l’impatto pratico del mancato adeguamento alla Direttiva CER?
Non adeguarsi comporta rischi concreti: oltre alle sanzioni amministrative, la mancanza di resilienza può causare blackout, interruzioni di servizio e incidenti con effetti a cascata su economia e società. Questo danneggia reputazione e sostenibilità operativa.
Rispettare la Direttiva CER rappresenta un investimento strategico nella sicurezza operativa. Migliora la gestione del rischio, rafforza la capacità di risposta e consolida il controllo operativo. Per i professionisti del settore, si traduce in vantaggi competitivi e credibilità verso stakeholder e mercato.
Ti interessa questo argomento?
Parla con Evidy per approfondire o richiedere un preventivo per le certificazioni.
Articoli Correlati
Cyber Resilience Act: obblighi di segnalazione e marcatura CE dal 2026-2027
Dal 2026 obbligo di segnalare vulnerabilità e incidenti tramite Single Reporting Platform a ENISA e CSIRT, marcatura CE obbligatoria dal 2027.
2026 segna la scadenza chiave per la revisione privacy in data center AI
Nel 2026 scade la revisione obbligatoria per la privacy nei data center AI: aggiornare DPIA e compliance secondo ISO/IEC 27701:2025 e GDPR è cruciale.
Regolamento PPWR: tutte le scadenze chiave per produttori e confezionatori (2026-2030)
Il Regolamento PPWR introduce dal 2026 obblighi su riciclabilità, dal 2028 etichettatura armonizzata e dal 2030 criteri tecnici e minimi di materiale riciclato.