Direttiva CER: cosa succede alle infrastrutture critiche italiane dopo la scadenza del 17 luglio
di Redazione Ecoseven – 15/07/2026

In breve
La Direttiva CER impone all’Italia di adottare entro oggi, 17 luglio 2026, l’elenco ufficiale dei soggetti critici: gli operatori pubblici e privati che gestiscono i servizi essenziali del Paese — energia, trasporti, acqua, sanità, alimenti — e senza i quali la vita quotidiana si ferma. Da quel momento parte un orologio: dieci mesi dalla notifica per valutare i rischi, redigere un piano di resilienza e adottare misure concrete. Per la prima volta la tenuta di ponti, reti elettriche e sistemi idrici davanti ad alluvioni, frane e ondate di calore smette di essere una buona pratica e diventa un obbligo di legge con sanzioni. Il percorso, però, arriva a questa scadenza con un precedente che dice molto su quanto sarà rispettata.
Cos’è la Direttiva CER e chi riguarda
La Direttiva (UE) 2022/2557, nota come Direttiva CER (Critical Entities Resilience), è entrata in vigore il 17 gennaio 2023 e ha abrogato la precedente direttiva 2008/114/CE. L’Italia l’ha recepita con il Decreto Legislativo 4 settembre 2024, n. 134, pubblicato in Gazzetta Ufficiale n. 223 del 23 settembre 2024 e in vigore dall’8 ottobre 2024.
Il cambio di prospettiva rispetto al passato è sostanziale. La direttiva del 2008 ragionava per “infrastrutture critiche europee”; la CER ruota attorno al concetto di soggetto critico nazionale: l’operatore, pubblico o privato, che fornisce servizi indispensabili per la società, l’economia, la sicurezza pubblica e l’ambiente.
I settori coperti dalla direttiva sono undici: energia, trasporti, banche, infrastrutture dei mercati finanziari, salute, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio, e produzione, trasformazione e distribuzione di alimenti. L’Italia, in sede di recepimento, ne ha aggiunto uno ulteriore rispetto all’elenco europeo.
Un chiarimento necessario, perché è la confusione più diffusa: la CER non si occupa di cybersicurezza. Direttiva e decreto sono orientati alla resilienza rispetto a eventi, di origine naturale o antropica — terrorismo, criminalità, ma anche imperizia — che incidono sulla dimensione fisica delle infrastrutture. La dimensione cibernetica è materia della Direttiva NIS2, recepita con il D.Lgs. 138/2024. Il D.Lgs. 134/2024 esclude esplicitamente dal proprio ambito le materie già coperte da NIS2.
C’è poi un’eccezione tecnica rilevante: per il settore bancario, quello delle infrastrutture dei mercati finanziari e quello delle infrastrutture digitali, la CER si applica solo parzialmente, perché le misure concrete di resilienza, la notifica degli incidenti e la vigilanza sono disciplinate da normative settoriali (Regolamento DORA e Direttiva NIS2).
Cosa scade il 17 luglio 2026
Il D.Lgs. 134/2024 costruisce un percorso a tappe, e il 17 luglio 2026 è quella decisiva.
| Scadenza | Adempimento |
|---|---|
| 17 luglio 2025 | Adozione della Strategia nazionale per la resilienza dei soggetti critici da parte della Presidenza del Consiglio, e completamento della valutazione del rischio dello Stato |
| 17 gennaio 2026 | Individuazione, da parte delle Autorità Settoriali Competenti, dei soggetti ritenuti critici per ciascun settore |
| 17 luglio 2026 | Adozione dell’elenco ufficiale dei soggetti critici |
| +10 mesi dalla notifica | Termine entro cui i soggetti critici devono conformarsi agli obblighi |
L’atto che formalizza l’elenco è un DPCM. Da quel momento partono le notifiche agli interessati, e da lì decorrono i dieci mesi.
I criteri con cui le Autorità Settoriali individuano un soggetto critico sono tre e devono ricorrere tutti: il soggetto fornisce uno o più servizi essenziali; opera sul territorio italiano, o vi è situata in tutto o in parte la sua infrastruttura critica; un incidente avrebbe effetti negativi rilevanti sulla fornitura di quel servizio essenziale o di altri servizi che ne dipendono.
L’ultimo criterio è quello che allarga il perimetro più di quanto sembri: conta anche l’effetto a cascata. Un soggetto può risultare critico non per ciò che fa direttamente, ma per ciò che si ferma se lui si ferma.
Il precedente che pesa: la Strategia nazionale arrivata con undici mesi di ritardo
Qui sta il dato che il calendario ufficiale non racconta.
La Strategia Nazionale per la Resilienza dei soggetti critici, prevista dall’articolo 6 del D.Lgs. 134/2024 con scadenza al 17 luglio 2025, è stata pubblicata dalla Presidenza del Consiglio dei ministri l’11 giugno 2026: quasi undici mesi dopo il termine di legge, e appena un mese prima della scadenza per l’elenco dei soggetti critici.
Non è un dettaglio procedurale. La Strategia è il documento che le Autorità Settoriali Competenti avrebbero dovuto usare come riferimento per individuare i soggetti critici entro il 17 gennaio 2026 — cioè cinque mesi prima che la Strategia esistesse.
La Strategia traduce il mandato del decreto in tre obiettivi: comprendere lo stato attuale della resilienza dei soggetti critici; conseguire e mantenere un livello elevato di resilienza; promuovere la cooperazione tra gli attori coinvolti a livello nazionale, europeo e internazionale.
Alcune misure attuative erano partite prima della pubblicazione del documento: il Tavolo Permanente sulla Resilienza per il settore Salute (giugno 2025), la mappatura delle infrastrutture critiche subacquee (luglio 2025), il tavolo di raccordo tra Punto di Contatto Unico e Agenzia per la Cybersicurezza Nazionale (ottobre 2025).
Come ha osservato Agenda Digitale commentando la pubblicazione della Strategia, è con il DPCM che formalizza l’elenco e con l’avvio delle notifiche che si potrà cominciare a misurare la distanza tra le intenzioni e i fatti.
Cosa devono fare i soggetti critici nei dieci mesi
Gli obblighi sono definiti dagli articoli 13-16 del D.Lgs. 134/2024 e riguardano quattro ambiti:
- Valutazione del rischio: individuare i rischi naturali e antropici che possono perturbare la fornitura dei servizi essenziali
- Misure di resilienza: individuarle e attuarle concretamente, non dichiararle
- Controllo dei precedenti personali dei propri collaboratori
- Notifica degli incidenti alle autorità competenti
L’articolo 17 è dedicato ai soggetti critici di particolare rilevanza europea, cioè quelli che forniscono servizi essenziali in sei o più Stati membri.
La governance è articolata: l’alta direzione spetta al Presidente del Consiglio, affiancato dal Comitato Interministeriale per la Resilienza (CIR). Ogni settore ha la propria Autorità Settoriale Competente — il MASE per energia e acque, il MIT per i trasporti, il Ministero della Salute per la sanità — coordinate dal Punto di Contatto Unico presso la Presidenza del Consiglio.
Qui emerge una complicazione pratica per gli operatori. NIS2 e CER hanno autorità di riferimento diverse, strutture di governance diverse e soglie di notifica degli incidenti diverse. Un numero rilevante di soggetti ricadrà sotto entrambe. La stessa Strategia segnala che l’Agenzia per la Cybersicurezza Nazionale opera su un doppio binario, essendo al contempo autorità unica per NIS2 e Autorità Settoriale Competente per le infrastrutture digitali in ambito CER.
Perché il clima entra in una direttiva nata dopo Nord Stream
La Direttiva CER matura in un contesto preciso: il sabotaggio dei gasdotti Nord Stream nel settembre 2022, considerato tra i più gravi attacchi alle infrastrutture critiche europee dalla Seconda Guerra Mondiale. La minaccia che l’ha generata era geopolitica, non meteorologica.
Ma l’impianto della direttiva è all-hazards: copre i rischi di origine naturale accanto a quelli antropici. Ed è per questa via che alluvioni, frane, ondate di calore e siccità entrano, per la prima volta, in un obbligo normativo che riguarda la tenuta delle infrastrutture.
È il punto sollevato da Roberto Carnicelli, CEO della climate tech italiana Eoliann, in una nota diffusa il 13 luglio 2026: “Per anni abbiamo parlato di infrastrutture critiche come se fossero eterne — ponti, reti elettriche, sistemi idrici pensati per durare un secolo, progettati per un clima che non esiste più. Oggi il legislatore ci chiede di dimostrare che sappiamo quanto siamo esposti, non di dichiararlo a parole”.
Carnicelli individua anche il nodo tecnico che la norma non risolve: “Si può normare l’obbligo di essere resilienti, ma non si può normare la capacità di misurarlo”.
È un’osservazione che va al cuore del problema dei prossimi dieci mesi. La valutazione del rischio richiesta dal decreto presuppone strumenti per stimare probabilità, intensità e impatto degli eventi su asset specifici. Sul mercato esistono piattaforme di climate risk analytics che integrano dati satellitari e modellazione — la stessa Eoliann ne sviluppa una, Airis, con il supporto dell’ESA — ma la loro accuratezza predittiva è materia di valutazione tecnica caso per caso, non un dato acquisito.
Il decreto, del resto, non prescrive strumenti: attribuisce agli operatori la responsabilità del risultato. Come sceglierli, e come dimostrare che la valutazione è solida, è esattamente ciò che si giocherà nei dieci mesi dalla notifica.
Cosa significa concretamente
Per chi gestisce infrastrutture:
- Verificare se il proprio settore rientra tra gli undici della direttiva e monitorare la notifica dall’Autorità Settoriale Competente di riferimento
- Non attendere la notifica per iniziare la valutazione del rischio: dieci mesi sono un termine stretto per mappare gli asset, prioritizzare gli interventi e redigere il piano di resilienza
- Verificare la doppia esposizione CER/NIS2: gli obblighi non si sovrappongono ma coesistono, con autorità e soglie diverse
- Considerare che il criterio dell’effetto a cascata può rendere critico un soggetto che non si percepisce tale
Per i cittadini:
- La direttiva riguarda la continuità dei servizi da cui dipende la vita quotidiana: acqua potabile, elettricità, trasporti, sanità, catena alimentare
- Non introduce obblighi per i privati cittadini, ma definisce standard di tenuta per chi fornisce quei servizi
- L’efficacia si misurerà in occasione del prossimo evento estremo, non nelle dichiarazioni di conformità
FAQ – Domande frequenti
Cos’è la Direttiva CER?
La Direttiva (UE) 2022/2557, nota come CER (Critical Entities Resilience), è la normativa europea sulla resilienza dei soggetti critici, entrata in vigore il 17 gennaio 2023 e recepita in Italia con il D.Lgs. 4 settembre 2024, n. 134. Impone agli Stati membri di identificare gli operatori pubblici e privati che forniscono servizi essenziali e di garantire che siano in grado di prevenire, assorbire e superare eventi negativi di carattere fisico, di origine naturale o antropica. Sostituisce la precedente direttiva 2008/114/CE.
Cosa scade il 17 luglio 2026 per la Direttiva CER?
Il 17 luglio 2026 è il termine entro cui l’Italia deve adottare, con DPCM, l’elenco ufficiale dei soggetti critici, individuati dalle Autorità Settoriali Competenti entro il precedente termine del 17 gennaio 2026. Dall’adozione dell’elenco partono le notifiche agli interessati: da quel momento i soggetti critici hanno dieci mesi per conformarsi agli obblighi previsti dagli articoli 13-16 del D.Lgs. 134/2024.
Quali settori rientrano nella Direttiva CER?
Undici settori: energia, trasporti, banche, infrastrutture dei mercati finanziari, salute, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio, e produzione, trasformazione e distribuzione di alimenti. In sede di recepimento l’Italia ha aggiunto un settore ulteriore rispetto all’elenco della direttiva. Per il settore bancario, le infrastrutture dei mercati finanziari e le infrastrutture digitali la CER si applica solo parzialmente, perché le misure concrete sono disciplinate dal Regolamento DORA e dalla Direttiva NIS2.
Che differenza c’è tra Direttiva CER e NIS2?
La CER disciplina la resilienza fisica e organizzativa dei soggetti critici rispetto a eventi naturali, incidenti, terrorismo e criminalità; la NIS2 (Direttiva UE 2022/2555, recepita con D.Lgs. 138/2024) disciplina la sicurezza cibernetica. Il D.Lgs. 134/2024 esclude esplicitamente dal proprio ambito le materie coperte da NIS2, per evitare sovrapposizioni. Le due normative hanno autorità di riferimento diverse: la CER prevede un’Autorità Settoriale Competente per ciascun settore, coordinate dal Punto di Contatto Unico presso la Presidenza del Consiglio; la NIS2 individua l’Agenzia per la Cybersicurezza Nazionale come autorità unica.
Cosa devono fare i soggetti critici una volta notificati?
Entro dieci mesi dalla notifica devono adempiere agli obblighi degli articoli 13-16 del D.Lgs. 134/2024: effettuare la valutazione dei rischi che possono perturbare la fornitura dei servizi essenziali, individuare e attuare misure di resilienza adeguate, effettuare il controllo dei precedenti personali dei collaboratori e notificare gli incidenti alle autorità competenti. Il decreto attribuisce agli operatori la responsabilità del risultato, senza prescrivere gli strumenti tecnici con cui raggiungerlo.
ATTENZIONE: questo articolo ha finalità informative e divulgative, non costituisce consulenza legale e non sostituisce l’esame diretto della normativa. Gli operatori che ritengano di rientrare nell’ambito di applicazione del D.Lgs. 134/2024 devono fare riferimento esclusivamente al testo del decreto, agli atti delle Autorità Settoriali Competenti di riferimento e, se ricevuta, alla notifica dello status di soggetto critico, avvalendosi di consulenza specialistica per la valutazione del proprio caso. Le date indicate sono i termini fissati dalla normativa: l’effettiva adozione degli atti e la decorrenza delle notifiche vanno verificate presso le fonti ufficiali. Le dichiarazioni attribuite a Roberto Carnicelli sono tratte da una nota stampa diffusa dall’azienda il 13 luglio 2026; i riferimenti a piattaforme commerciali di analisi del rischio climatico sono citati come esempio del mercato esistente e non costituiscono valutazione, verifica o raccomandazione delle prestazioni dichiarate dai singoli fornitori, che non sono state sottoposte a verifica indipendente.
Fonti principali: Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio del 14 dicembre 2022, relativa alla resilienza dei soggetti critici; Decreto Legislativo 4 settembre 2024, n. 134, pubblicato in Gazzetta Ufficiale n. 223 del 23 settembre 2024, di attuazione della Direttiva CER; Presidenza del Consiglio dei ministri, Strategia Nazionale per la Resilienza dei soggetti critici, pubblicata l’11 giugno 2026 in attuazione dell’articolo 6 del D.Lgs. 134/2024; Direttiva (UE) 2022/2555 (NIS2), recepita con D.Lgs. 4 settembre 2024, n. 138; Regolamento (UE) 2022/2554 (DORA); nota stampa Eoliann del 13 luglio 2026, per le dichiarazioni di Roberto Carnicelli.
adattamento climatico, clima, direttiva CER, infrastrutture critiche, NIS2, resilienza, rischio climatico, sicurezza
