Il 17 luglio 2026, il governo italiano dovrà adottare l’elenco ufficiale dei soggetti designati come “critici” ai sensi della Direttiva CER. Entro il 17 agosto, le aziende interessate riceveranno la notifica formale: da quel momento, avranno 9-10 mesi per dimostrare di essere resilienti.
Non resilienti sul piano informatico o su quello fisico. Resilienti in senso pieno, rispetto a qualsiasi tipo di minaccia: un attacco cyber, un sabotaggio fisico, un’alluvione, un’interruzione della supply chain. La CER usa esplicitamente l’espressione “approccio a tutti i rischi”. È qui che molte organizzazioni si troveranno impreparate, non per mancanza di investimenti, ma per come quegli investimenti sono stati strutturati.
Il problema che la CER porta a galla
Energia, trasporti, sanità, produzione alimentare, infrastrutture digitali, banche: gli 11 settori coperti dalla direttiva hanno quasi tutti investito in sicurezza negli ultimi anni. In cybersecurity, soprattutto. In Italia la spesa ha superato i 2,2 miliardi di euro nel 2025. Eppure, gli attacchi gravi sono aumentati del 42% nello stesso anno (Clusit 2026), e trasporti e logistica hanno subito un incremento del 134% degli incidenti.
Questo non significa che gli investimenti siano stati inutili. Significa che sono stati spesso indirizzati su un fronte solo, lasciando scoperto l’altro.
Nella maggior parte delle organizzazioni che operano in settori critici, sicurezza fisica e sicurezza informatica rispondono ancora a strutture separate, con budget e KPI separati, e con linguaggi che spesso non si parlano. Se un responsabile della sicurezza fisica gestisce guardie, accessi e telecamere, un CISO gestisce firewall, SOC e incident response. Nel mezzo, c’è una zona grigia che nessuno presidia davvero: accessi remoti di manutenzione a un impianto, badge che abilitano l’accesso a sistemi gestionali, sono solo alcuni degli esempi.
È esattamente lì che si annidano gli attacchi più efficaci e pericolosi. E nel 2025 lo abbiamo visto: nel manifatturiero, nei trasporti, nelle utility. Il fatto, ad esempio, che il 16% di tutti gli attacchi globali al settore manifatturiero abbia colpito aziende italiane non è una casualità geografica, ma il riflesso di un approccio alla sicurezza ancora troppo frammentato.
Cosa chiede davvero la CER
La direttiva non richiede di installare nuovi sistemi o di assumere nuove figure. Richiede di dimostrare che l’organizzazione ha chiaro che cosa succederebbe se un servizio essenziale venisse interrotto, indipendentemente dalla causa, e che ha predisposto misure concrete per ridurre quella probabilità e accelerare il ripristino.
In pratica, questo significa sapere dove si trovano i punti di contatto tra sicurezza fisica e digitale, quali fornitori e partner hanno accesso a sistemi o aree critiche, e cosa
succederebbe se uno di quegli anelli cedesse. Secondo una ricerca ABB condotta su 3.600 decision maker industriali (ottobre 2025), il 76% stima che un fermo non pianificato costi fino a 500.000 euro l’ora, e il 44% lo subisce almeno una volta al mese. A questo si aggiunge il costo medio di una violazione dei dati, che in Italia si attesta sui 3,5 milioni di euro a incidente (IBM). La valutazione del rischio che la CER impone entro 9 mesi dalla notifica deve partire da queste grandezze, non dalle categorie di un audit di conformità.
Il recepimento italiano (D.Lgs. 134/2024) aggiunge un elemento che cambia il peso politico interno di questa scadenza: la responsabilità personale diretta di amministratori e dirigenti, fino alla possibile sospensione temporanea dalle funzioni, in caso di grave inadempienza. Questo passo segna, legalmente, il fatto che la sicurezza non sia più una questione da delegare internamente ai funzionari tecnici.
Resilienza certificata come posizione di mercato
C’è però da considerare una lettura meno difensiva di questa scadenza.
Un’organizzazione che affronta la CER con diligenza, mappando le interdipendenze, integrando la gestione dei rischi fisici e digitali, costruendo una capacità di risposta che attraversa tutti i domini, non sta solo evitando sanzioni. Sta costruendo qualcosa che il mercato inizia a riconoscere come un valore.
Il 62% delle imprese considera la fiducia un criterio determinante nella scelta di un fornitore (Accenture). Gli investitori istituzionali integrano sempre più la resilienza operativa nelle valutazioni ESG. Nelle gare di appalto con requisiti di continuità, una postura di sicurezza verificabile e documentata fa differenza. L’etichetta di “entità critica” non è un peso: è il riconoscimento che l’azienda fa parte dell’infrastruttura essenziale del Paese, con tutto il credito che ne deriva nei confronti di partner, clienti e finanziatori.
Il nodo da sciogliere
CER e NIS2 si sovrappongono: i soggetti designati come critici ai sensi della prima entrano automaticamente nel perimetro dei “soggetti essenziali” della seconda. Chi sta lavorando sulla NIS2 ha già fatto parte del lavoro, ma deve estendere ulteriormente la prospettiva: se la NIS2 guarda principalmente al rischio informatico, la CER richiede di considerare l’intera catena di rischi fisici e operativi.
Il punto di partenza non è scegliere una tecnologia. È rispondere a domande concrete: dove si toccano, nella nostra organizzazione, il perimetro fisico e quello digitale? Chi ha accesso, da remoto o in presenza, a sistemi e aree critiche, e con quale livello di controllo? Se un fornitore venisse compromesso domani, quanto tempo impiegheremmo ad accorgercene?
Le aziende che arriveranno alla scadenza di agosto con queste risposte già strutturate non avranno solo un vantaggio operativo, avranno trasformato un obbligo normativo in una fotografia chiara della propria sicurezza, e in un potenziale punto di forza da portare al mercato.
