Infrastrutture Critiche: lo stato dell arte

Transcript

1 Infrastrutture Critiche: lo stato dell arte Direttiva Europea e situazione nazionale Luisa Franchina, Marco Carbonelli, Laura Gratta, Maria Crisci PCM - Segreteria di Coordinamento Interministeriale per le Infrastrutture Critiche 5 maggio 2010 Convegno ICSA Roma

2 Infrastrutture Critiche: lo stato dell arte Direttiva Europea e situazione nazionale Luisa Franchina, Marco Carbonelli, Laura Gratta, Maria Crisci PCM - Segreteria di Coordinamento Interministeriale per le Infrastrutture Critiche PCM- SCIIC INDICE 1 - Prefazione Introduzione L Europa e la protezione delle Infrastrutture Critiche Gli adempimenti imposti dalla Direttiva Le iniziative estere sulla protezione delle IC Iniziative in alcuni Paesi Europei La strategia USA La strategia Canadese Le best practice del G8 per la protezione delle Infrastrutture Critiche Approcci a confronto L attuale situazione italiana Quale strategia per il nostro Paese? Riferimenti Lista degli acronimi Convegno ICSA maggio 2010

3 1 - Prefazione Siamo abituati a una qualità della vita che diamo per scontata, abituati a mangiare, bere, muoverci, parlare, curarci, spendere e diamo sempre per scontato che, in caso di necessità o di incidente, arrivino i soccorsi. Riteniamo che la nostra routine sia garantita e che la nostra concentrazione possa interamente focalizzarsi sul come goderne al meglio. Ma cosa succederebbe se la corrente elettrica non ci fosse più? Cosa succederebbe se avessimo un incidente e nessuno venisse a soccorrerci? O se non ci fosse più benzina in alcun distributore della città in cui viviamo?... è impossibile?... è la trama di un film?... Cosa sono le Infrastrutture Critiche? vedi par.2 Cosa è l effetto domino? vedi par.2 Perché parliamo oggi di Infrastrutture Critiche in Italia? vedi par.2 Cosa dice la Direttiva 114/08 CE? vedi par.3 Cosa si sta facendo all estero? vedi par.4 Cosa si è fatto in Italia? vedi par.5 Cosa si potrebbe fare in Italia? vedi par 6 Questo lavoro si pone lo scopo di analizzare in dettaglio il problema della protezione delle Infrastrutture Critiche, approfondendo in particolare la situazione nazionale Italiana e illustrando come essa si collochi nel panorama normativo Europeo e internazionale. In particolare, dopo aver introdotto il problema della protezione delle Infrastrutture Critiche (par.2) si analizzano le azioni intraprese a livello di Unione Europea su questo tema (par.3), con particolare riferimento alla Direttiva 114/08 CE pubblicata a dicembre Nel par.4 si affronta l analisi comparativa di come il tema della protezione delle Infrastrutture Critiche sia stato diversamente impostato a livello internazionale, fornendo specifici richiami agli approcci di alcuni Stati Europei (Gran Bretagna, Paesi Bassi, Germania, Spagna e Francia) e nordamericani (USA e Canada) e del G8. Nel par.5 viene descritta l attuale situazione normativa italiana relativamente a questo tema. Infine, alla luce dei contenuti della Direttiva e del quadro di riferimento italiano, nel par.6 viene descritto in dettaglio qual è il problema che si pone a livello nazionale e quali importanti compiti le Istituzioni debbono assumere in carico per affrontare con una strategia organica il tema della protezione delle Infrastrutture Critiche. Convegno ICSA maggio 2010

4 2 - Introduzione I moderni Paesi occidentali hanno realizzato nel corso degli anni un modello di società che è caratterizzato da una elevata qualità della vita, intendendo con questa locuzione la possibilità di accedere ad un insieme di servizi e di opportunità di base che vengono messe a disposizione di ogni singolo cittadino affinché egli possa esprimere al meglio le proprie attitudini e soddisfare i propri bisogni. In questa ottica fanno parte della qualità della vita i servizi di fornitura dell energia, la tutela della salute, il sistema dei trasporti, il sistema bancario. La fruibilità di questi servizi di base è ormai data per scontata, tanto è vero che, nel caso non fossero più disponibili, non sapremmo più come comportarci. Per meglio comprendere quest ultima affermazione, valga per tutti l esempio dell erogazione dell energia che, se venisse a mancare, metterebbe in seria difficoltà ognuno di noi in quanto non sapremmo più come riscaldare le nostre case, come alimentare le nostre autovetture, come far funzionare le nostre fabbriche Questa situazione è profondamente diversa da quella presente nel nostro Paese, per esempio, all inizio del 900, quando ogni famiglia riscaldava la propria casa con la legna raccolta dai componenti della famiglia stessa e aveva mezzi di locomozione autonomi (cavalli, muli, etc.), e quando una delle preoccupazioni di un imprenditore era quella di dotare la propria azienda di un generatore di energia autonomo, come, ad esempio, le turbine alimentate dall energia dei corsi d acqua locali. Anche in base a questo tipo di considerazioni, negli ultimi anni si è venuta ad affermare l esigenza di meglio comprendere la reale dipendenza della nostra società da quelle infrastrutture che consentono l erogazione dei servizi che, se venissero a mancare, comprometterebbero a livelli inaccettabili la nostra qualità della vita ([LEW1], [HYS1]). Queste infrastrutture sono state chiamate critiche, e la necessità di proteggere la loro esistenza e corretta funzionalità è sinonimo di necessità di salvaguardare la nostra qualità della vita. Non appena si affrontano questi temi in modo scientifico ed organico, ci si accorge dell estrema complessità e variabilità anche nel breve termine dell organizzazione della nostra società e, quindi, della criticità delle varie infrastrutture. A titolo d esempio analizziamo due eventi, uno internazionale e uno nazionale, in cui, in modo concreto, si è potuto toccare con mano la complessità e l importanza vitale della tema affrontato in questo lavoro. La nube di polveri generata a partire dal 14 aprile 2010 dal risveglio del vulcano Eyjafjallajokull in Islanda ha provocato quella che molti hanno definito la più grande crisi Convegno ICSA maggio 2010

5 del sistema dei trasporti aerei in tutta Europa. Il vulcano si è risvegliato dopo un sonno durato circa 190 anni. Immagini satellitari nel visibile (sinistra) e a infrarosso (destra) dell eruzione del vulcano Immagine satellitare: al centro in basso la striscia grigia di polveri emesse dal vulcano Già dal 15 aprile 2010 le polveri si sono diffuse rapidamente nei cieli prima della Scozia, poi della Norvegia e, successivamente, in tutta l Europa del nord, provocando la Convegno ICSA maggio 2010

6 cancellazione della maggior parte dei voli aerei a causa del rischio elevato di possibili incidenti dovuti al danneggiamento dei motori e delle parti meccaniche venute in contatto con le polveri e i detriti prodotti dall eruzione del vulcano. Vulcano Eyjafjallajokull 15 aprile Immagine della crisi del 15 aprile 2010 negli aeroporti dell Europa del nord Il 16 aprile si contavano voli cancellati in soli due giorni, decine di aeroporti praticamente chiusi, treni presi d'assalto in tutta Europa. Anche l Italia chiudeva lo spazio aereo e la Protezione Civile convocava il Comitato Operativo per gestire l emergenza che nel frattempo aveva messo in ginocchio anche il trasporto ferroviario e quello su strada (mezzi a noleggio e taxi) per eccesso di domanda. 16 aprile voli cancellati in soli due giorni, decine di aeroporti praticamente chiusi, treni presi d'assalto in Europa Convegno ICSA maggio 2010

7 Il 17 aprile venivano raccolti i primi dati aggregati della crisi indotta dal vulcano islandese. Risultavano coinvolti gravemente 20 paesi europei (vedi immagine sotto) coi seguenti dati di impatto: 200 milioni di euro al giorno di perdita totale per le compagnie aeree; 7 milioni di passeggeri bloccati in tutta Europa; treni e trasporti su strada in crisi per picco di carico; assenza di manpower per importanti attività; assenza di beni in trasporto Cargo con gravi perdite nel settore delle derrate alimentari che sono andate in deperimento (pesce, carne, formaggi, ecc); servizi sanitari in grande difficoltà; servizi di emergenza attivati per il ricovero notturno in aeroporto e nelle stazioni ferroviarie. L impatto il 17 aprile 2010 Austria Rep. Ceca Irlanda Gran Bretagna Belgio Olanda Italia Islanda Danimarca Svezia Norvegia Finlandia Estonia Lituania 200 milioni di euro al giorno di perdita totale per le compagnie aeree 7 milioni di passeggeri bloccati Treni e trasporti su strada in crisi per picco di carico Assenza di manpower Assenza di beni in trasporto Cargo Servizi sanitari Lettonia Francia Germania Polonia Slovacchia Svizzera La crisi perdurava ancora per alcuni giorni, portando anche a tensioni in ambito UE tra le istituzione politiche, le compagnie aeree (che premevano per riavviare i servizi per limitare i danni economici) e gli utenti dei mezzi aerei. Come secondo esempio a livello nazionale, analizziamo quanto avvenuto in Italia in occasione dello sciopero degli autotrasportatori del dicembre Sono bastati tre giorni di sciopero per mettere in crisi vari sistemi quali la distribuzione dei carburanti, l approvvigionamento di cibo, il servizio sanitario d emergenza, i sistemi produttivi che si basano sul movimento delle persone, il sistema di approvvigionamento dei farmaci nelle grandi città. In particolare, proprio concentrando l analisi sull assenza di carburante nelle pompe di benzina tutti ricordiamo le code interminabili ai pochi distributori ancora Convegno ICSA maggio 2010

8 provvisti di carburante nel disperato tentativo di accaparrarsi un pieno di benzina per assicurarsi la possibilità del movimento in caso di prolungamento della crisi. Tutto questo non faceva altro che accelerare e ampliare ulteriormente l effetto a catena su altri settori che, a loro volta, entravano in crisi o ampliavano ulteriormente la crisi già in atto (vedi rappresentazione sottostante). 11 dicembre 2007 Sciopero dei trasportatori e blocco degli accessi autostradali Tra gli effetti primari: assenza dei carburanti nei distributori in 36 ore Gestione assegni e contante Servizio sanitario Servizio Postale Pubblica Amministrazione Servizi Emergenza Trasporto su gomma Cibo Beni di consumo Sempre per approfondire questo secondo esempio, nel caso delle farmacie, l aspetto più sorprendente è stato il poco tempo sufficiente per metterle in ginocchio. Questo effetto è dovuto al particolare sistema di approvvigionamento dei farmaci che si è realizzato nel corso degli ultimi anni in base ad esigenze di tipo economico: tutte le farmacie di una città si approvvigionano da un insieme molto limitato di cooperative che, quindi, diventano il vero collo di bottiglia per l approvvigionamento dei farmaci di un intero territorio. La logistica di tali cooperative è caratterizzata da un numero molto limitato di magazzini di stoccaggio, normalmente posizionati lontano dalle città e in vicinanza delle grandi arterie di comunicazione. E evidente che questa organizzazione logistica è molto più vulnerabile nei confronti di uno sciopero degli autotrasportatori rispetto alla vecchia organizzazione, in cui ogni farmacia era una realtà isolata e provvedeva in proprio a fare magazzino di farmaci, acquistando farmaci sufficienti a soddisfare la propria clientela abituale per un periodo di tempo relativamente lungo. In quest ultimo scenario, a fronte di uno sciopero degli autotrasportatori, la crisi si sarebbe manifestata in tempi più lunghi, contando anche sul fatto che ogni farmacia avrebbe svolto anche il ruolo di riserva Convegno ICSA maggio 2010

9 rispetto alle farmacie limitrofe che avessero terminato la propria scorta di un particolare farmaco. Ragionamenti analoghi si potrebbero fare anche in altri ambiti entrati in crisi a causa dello sciopero, dalla produzione industriale alla Pubblica Amministrazione, dal commercio al servizio sanitario nazionale e alla catena alimentare. Infine, occorre considerare che la sempre più incombente minaccia terroristica rende ipotizzabili scenari ben più complessi e drammatici, in cui il collasso a catena descritto in questo esempio, normalmente indicato come effetto domino, potrebbe interessare, in conseguenza ad una mirata strategia terroristica, un numero ancora più cospicuo di infrastrutture. Tutto ciò premesso, è lecito porsi alcune domande legate agli avvenimenti descritti. Se l eruzione vulcanica fosse stata più intensa o più prolungata, oppure se lo sciopero degli autotrasportatori fosse durato più tempo, cosa sarebbe successo all organizzazione e allo stile di vita del nostro Paese e dell intera Europa? Avremmo scoperto altre dipendenze inattese? Esiste un analisi sistematica, aggiornata nel tempo, delle dipendenze tra le Infrastrutture Critiche? Allargando la visuale, gli esperti saprebbero elencare le dipendenze delle infrastrutture nazionali, per esempio, le dipendenze dall Information and Communication Technology, oramai pervasiva in ogni settore? Esiste in Italia una attività sistematica di verifica e controllo sulle interdipendenze tra le varie Infrastrutture Critiche? E necessaria? Queste domande provocatorie ottenute con un ragionamento di tipo pragmatico e di ampiezza apparentemente limitata, sono di validità generale e sono alla base di una crescente attività in ambito mondiale ed europeo, tanto che la Commissione Europea ha già dal dicembre 2008 approvato una Direttiva [EU4], la 114/08 CE, che impone agli Stati Membri una serie di adempimenti per garantire la corretta funzionalità delle Infrastrutture Critiche europee, cioè di quelle infrastrutture il cui eventuale malfunzionamento potrebbe avere impatto su più Stati dell Unione Europea. Nel seguito, approfondiremo con maggiore rigore e dettaglio il problema della protezione delle Infrastrutture Critiche, della loro classificazione in settori, dello studio delle loro interdipendenze, delle soluzioni percorribili e del ruolo strategico che potrebbe e, per molti aspetti dovrebbe, essere svolto dallo Stato. Concludendo, risulta evidente da Convegno ICSA maggio 2010

10 quanto descritto in questi esempi l importanza di sviluppare dei sistemi di previsione dell evoluzione dell effetto domino a seguito di una crisi avviata da una determinata infrastruttura critica. Un esempio di valutazione ex-ante di effetto domino (generato a partire da un modello matematico proposto a livello internazionale dagli autori [FRA1, FRA3, FRA4] e utilizzato nel progetto europeo denominato DOMINO) è mostrato nel grafico che segue in cui, a partire da una crisi provocata dall assenza di carburante, si prevede ex-ante e al variare del tempo l evoluzione dell albero delle dipendenze. Convegno ICSA maggio 2010

11 Esempio di valutazione ex-ante di effetto domino per una crisi avviata dall assenza del carburante Convegno ICSA maggio 2010

12 3 - L Europa e la protezione delle Infrastrutture Critiche Il Consiglio Europeo del giugno 2004 ha chiesto la preparazione di una strategia globale per la protezione delle Infrastrutture Critiche. Il 20 ottobre 2004 la Commissione ha adottato una comunicazione relativa alla protezione delle Infrastrutture Critiche nella lotta contro il terrorismo [EU1], che presenta una serie di proposte per incrementare la prevenzione, la preparazione e la risposta a livello europeo in caso di attentati terroristici che coinvolgono le Infrastrutture Critiche. Nel dicembre 2004 il Consiglio ha approvato, nelle sue conclusioni sulla prevenzione, la preparazione e la risposta in caso di attentati terroristici, la proposta della Commissione di istituire un programma europeo per la protezione delle Infrastrutture Critiche (European Programme for Critical Infrastructure Protection, EPCIP), che comprende varie iniziative, evidenziate nella figura che segue, finalizzate a migliorare la protezione delle Infrastrutture Critiche.. EPCIP Action Plan Critical Infrastructure Warning Information Network (CIWIN) CIP expert groups CIP information sharing identification and analysis of interdependencies EU programme "Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks" for the period A procedure for the identification and designation of ECI A common approach to the assessment of the needs to improve the protection of such infrastructures In particolare, tra gli aspetti caratterizzanti il programma EPCIP vanno ricordati: 1. la realizzazione di una rete informativa per la protezione delle Infrastrutture Critiche (Critical Infrastructure Warning Information Network, CIWIN); 2. l erogazione di finanziamenti per la realizzazione di progetti sulle IC; 3. il varo di una Direttiva riguardante le Infrastrutture Critiche europee. Convegno ICSA maggio 2010

13 In particolare, per quanto riguarda i finanziamenti, si osservi che i progetti capitanati da organizzazioni italiane hanno ottenuto, su un totale finanziato nel triennio di 28 milioni, ben 13 milioni di euro, pari al 46% dei finanziamenti complessivi. Ripartizione dei finanziamenti per progetti nel programma EPCIP 2007/09 ES RO CZ UK SE HU BE CY EE FR DE GR IT Nessun progetto finanziato AT BG DK SF IE LV LT LU MT PT SK SI PL NL 17 Ritornando alle attività in UE, nel novembre 2005 la Commissione ha adottato un Libro Verde [EU2] che raccoglie indicazioni sulle diverse alternative strategiche possibili in materia di EPCIP. Nelle conclusioni relative alla protezione delle Infrastrutture Critiche, il Consiglio "Giustizia e affari interni" (GAI) del dicembre 2005 ha invitato la Commissione a presentare una proposta di programma europeo per la protezione delle Infrastrutture Critiche. La Comunicazione della Commissione st16932 [EU3] presenta i principi, le procedure e gli strumenti proposti per attuare l'epcip. Tale attuazione sarà completata, se del caso, da specifiche comunicazioni settoriali relative all'approccio della Commissione in particolari settori di Infrastrutture Critiche. La Direttiva [EU4], approvata nel dicembre 2008, espone le misure previste dalla Commissione ai fini dell'individuazione e della designazione delle Infrastrutture Critiche Europee e della valutazione della necessità di migliorarne la protezione. Partendo dalla considerazione che nell'unione Europea vi sono varie infrastrutture il cui malfunzionamento o distruzione può avere un impatto su vari Stati Membri, la Direttiva fornisce le seguenti definizioni: Convegno ICSA maggio 2010

14 1. Infrastruttura Critica (IC): quei beni, sistemi o parti di essi collocati negli Stati Membri della UE, che sono essenziali per il mantenimento delle funzioni sociali vitali, della salute, della sicurezza (security e safety), del benessere economico e sociale della popolazione, e la cui distruzione o il cui malfunzionamento avrebbe come diretta conseguenza un impatto significativo su uno Stato Membro, come risultato del mancato svolgimento di queste funzioni (loss of service). 2. Infrastruttura Critica Europea (ICE): infrastruttura critica collocata negli Stati Membri della EU e la cui distruzione o il cui malfunzionamento avrebbe come diretta conseguenza un impatto significativo su almeno due Stati Membri dell EU. La significatività dell impatto deve essere stabilita in termini di criteri trasversali (cross-cutting). Questo comprende gli effetti derivanti da dipendenze intersettoriali su altri tipi di infrastrutture. Si osservi che la definizione di Infrastruttura Critica data nella Direttiva si concentra unicamente sui due aspetti di mancato servizio (loss of service) e di impatto che il mancato servizio induce. La Direttiva 114/08 CE delinea un approccio all hazard, prendendo in considerazione l aspetto della valutazione dell impatto in modo indipendente dalla minaccia che ha indotto il disservizio: in questo senso, quindi, tutti i tipi di minacce, da quelle naturali, a quelle legate alle attività antropiche, dagli incidenti occasionali agli attacchi terroristici deliberati, sono potenzialmente considerabili come causa del disservizio di avvio della crisi dell Infrastruttura Critica sotto osservazione. Uno dei temi fondamentali affrontati dalla Direttiva è quello della definizione di un approccio comune per l individuazione delle Infrastrutture Critiche Europee e per la loro protezione. Poiché vari settori dispongono di un'esperienza, di una competenza e di requisiti particolari in materia di protezione delle Infrastrutture Critiche, la Direttiva è concepita su base settoriale e è attuata secondo un elenco stabilito di settori di IC. Allo stato attuale, i due settori individuati dalla Direttiva, a cui si stanno applicando le procedure per l individuazione delle Infrastrutture Critiche Europee, sono quelli dell Energia e dei Trasporti (nella tab.3.1 sono riportati i sottosettori individuati nell annex 1 della Direttiva). Convegno ICSA maggio 2010

15 Tab.3.1 Settori e sottosettori di IC individuati dall UE nella Direttiva Settori per le ICE: Settore 1, Energia Sottosettori 1. Elettricità Infrastrutture e impianti per la generazione e la trasmissione di energia elettrica per la fornitura del servizio elettrico 2. Petrolio Produzione, raffinazione, trattamento, stoccaggio e trasmissione attraverso condotte 3. Gas Produzione, raffinazione, trattamento, stoccaggio, trasmissione e distribuzione attraverso condotte Terminali di rigassificazione (LGN) Settori per le ICE: Settore 2, Trasporti Sottosettori 4. Trasporti su strada 5. Trasporti ferroviari 6. Trasporti aerei 7. Trasporti in acque interne 8. Trasporti su mare/oceano La Direttiva riconosce la necessità di estendere in futuro la lista dei settori critici, ed assegna la priorità al settore della Information and Communication Technology (ICT) già dal prossimo anno. Infatti, l ICT costituisce oramai un servizio trasversale rispetto ai vari settori, capace, se in crisi, di avviare un effetto domino immediato e dagli impatti devastanti: nel grafico che segue si riporta come gli attacchi informatici ai sistemi di Convegno ICSA maggio 2010

16 controllo SCADA (Supervisory Control And Data Acquisition) siano stati ripartiti tra diversi settori nel triennio Attacchi a sistemi SCADA who is getting attacked other 23% transports 16% chemical 14% power & utilities 19% oil 28% Vale inoltre la pena di ricordare che, durante la fase di negoziazione della Direttiva, sono stati preliminarmente considerati vari ulteriori settori (tab.3.2), che non sono stati tuttavia inseriti nella versione attuale della Direttiva stessa al fine di giungere in tempi brevi ad una versione di compromesso condivisa tra tutti gli Stati Membri. Tab.3.2 Elenco esteso dei settori nella Direttiva UE UE esteso Energia Trasporti Tecnologie dell'informazione e della comunicazione (ICT) Acqua Alimenti Salute Finanze Industria chimica Industria nucleare Spazio Ricerca Grassetto: settori critici attualmente presenti nella Direttiva UE Corsivo: settori critici discussi in sede UE e presenti nella proposta originale di Direttiva diffusa nel dicembre 2006 Convegno ICSA maggio 2010

17 L inclusione di tali ulteriori settori nella Direttiva sarà oggetto di discussione futura; è previsto infatti che la Direttiva sia sottoposta ad un processo di revisione ed aggiornamento che si avvierà in ambito europeo a partire da gennaio La Direttiva prevede l applicazione di una procedura in quattro passi affinché un infrastruttura sia designata ICE (o l equivalente acronimo anglosassone ECI: European Critical Infrastructure); tale procedura è illustrata nella fig.3.1. Procedura di identificazione delle Infrastrutture Critiche Europee Una infrastruttura è candidata come potenziale ICE Step 1 Soddisfa i criteri settoriali? Step 2 E critica (in base alla definizione della Direttiva)? Step 3 Comporta un impatto trans-frontaliero? Step 4 Soddisfa i Criteri Cross-Cutting? Se lo SM nel cui territorio ricade la infrastruttura è d accordo, la IC è designata ICE DPC Nucleo Operativo 3275 Fig.3.1 Procedura per la designazione delle ICE Step 1: facendo riferimento ai settori definiti nella tab.3.1, il primo passo richiede agli Stati Membri di verificare se le infrastrutture potenzialmente critiche soddisfino i criteri settoriali relativi. La Direttiva stabilisce che i criteri settoriali vengano definiti con il contributo e il consenso delle parti coinvolte, compresi gli operatori, prendendo atto del fatto che spesso nell ambito dei settori individuati come critici esistono già criteri consolidati per l analisi dei rischi e l individuazione delle criticità. L applicazione del primo passo consente di effettuare una prima cernita all interno di ogni settore. Step 1: Criteri settoriali Condutture per il trasporto di gas che assicurano una capacità di almeno X milioni di m 3 /h in un punto di frontiera ICT Energy Transport Financial Chemical industry Water Food Health Space Convegno ICSA maggio 2010

18 Step 2: ogni Stato Membro dovrà verificare se le infrastrutture selezionate nel primo passo soddisfino la definizione di infrastruttura critica riportata ai punti 1.a o 1.b precedentemente illustrati in questo paragrafo. Step 3: ogni Stato Membro dovrà verificare se le infrastrutture selezionate nel secondo passo soddisfino la definizione di trans-nazionalità riportata al punto 2.a precedentemente illustrato, vale a dire, se un potenziale malfunzionamento o distruzione dell infrastruttura può avere un impatto su almeno uno Stato Membro diverso da quello in cui è situata. Step 4: occorre quindi effettuare un livellamento delle infrastrutture individuate, per garantire che vengano designate come ICE tutte e sole quelle infrastrutture che soddisfano un criterio comune e omogeneo di criticità. A tal fine, devono essere applicati criteri intersettoriali (cross-cutting) che tengono in considerazione i seguenti aspetti: conseguenze sulla salute dei cittadini, conseguenze economiche, conseguenze sull opinione pubblica Step 4: I criteri Cross-Cutting (CCC) Criterio delle Vittime (stimato in termini del numero potenziale di morti e feriti gravi); Criterio degli Effetti Economici (stimato in termini di ampiezza delle perdite economiche dovute alla degradazioni della qualità di prodotti o servizi o alla loro assenza, inclusi i potenziali danni all ambiente) Criterio delle Conseguenze per i Cittadini- Effetti Pubblici (stimato in termini di impatto sulla fiducia pubblica, sofferenza fisica perturbazione della vita quotidiana, compresa la perdita dei servizi essenziali. Come illustrato nella fig.3.1, nel caso in cui un infrastruttura superi i quattro passi della procedura, segue una fase di natura politica, in cui spetta comunque allo Stato Membro nel cui territorio risiede l infrastruttura la decisione finale di designare tale infrastruttura come ICE. Allo stato attuale, i criteri intersettoriali che sono stati adottati si focalizzano unicamente degli aspetti di loss of service. Da un punto di vista concettuale, i criteri intersettoriali per la valutazione dell impatto potrebbero avere una declinazione più ampia e dettagliata Convegno ICSA maggio 2010

19 rispetto a quella indicata attraverso la Direttiva dall Europa, un esempio di allargamento del potenziale numero dei criteri è riportato nella tabella che segue. Criteridivalutazionedell impatto Vittime Impatti economici Sicurezza economica Sofferenza fisica Perturbazione della vita quotidiana Fiducia nelle istituzioni Salute pubblica Sicurezza pubblica Impatti psicologici Sicurezza dello Stato Difesa della Nazione Impatto sulle Istituzioni Violazione del territorio Oltraggio pubblico e panico Perturbazione della democrazia Impatto sull ordine sociale Impatto geopolitico Morale nazionale Impatto ambientale Impatto sociopolitico Effettinegativisumarchie aziende nazionali La procedura descritta per l individuazione delle ICE si basa su due capisaldi: il primo caposaldo è costituito dai settori di tab.3.1. Il secondo è costituito dai criteri crosscutting: si osservi che questi ultimi comprendono sia dei riferimenti numerici assoluti (come nel caso degli effetti sulla salute o di quelli economici), che sono quindi difficilmente scalabili alle diversificate realtà nazionali nella UE, sia dei parametri di carattere socio-politico e psicologico, che sono fortemente dipendenti dalla singole realtà nazionali. 3.1 Gli adempimenti imposti dalla Direttiva Come si è detto, la Direttiva stabilisce una serie di procedure e azioni per l individuazione e la protezione delle Infrastrutture Critiche Europee, individuando le parti coinvolte e attribuendo specifiche responsabilità. In particolare, l attuazione della proposta di Direttiva comporta una serie di adempimenti per i Paesi Membri, riassunti nel seguito. Individuazione delle ICE La proposta di Direttiva prevede l applicazione di una procedura in vari passi affinché un infrastruttura sia riconosciuta come ICE. In particolare, nel quadro della Direttiva sono indicati i criteri relativi ai singoli settori e criteri inter-settoriali per selezionare quelle infrastrutture la cui rilevanza a livello comunitario è tale da ritenerle di interesse europeo. Convegno ICSA maggio 2010

20 Spetta infine ad ogni Stato Membro la designazione finale dell infrastruttura come ICE, mediante una comunicazione alla Commissione. Come già detto, allo stato attuale la Direttiva indica come settori prioritari, a cui deve essere applicata da subito la procedura per l individuazione delle Infrastrutture Critiche Europee, quelli dell Energia e dei Trasporti. Punto di Contatto Ogni Stato Membro interagirà con gli altri Stati Membri e con la Commissione mediante un organismo nazionale competente per la protezione delle Infrastrutture Critiche. Inoltre, per garantire il coordinamento delle attività, ciascuno Stato Membro ha nominato un Punto di Contatto unico. Valutazione delle minacce e dei rischi Agli Stati Membri è richiesto di svolgere una valutazione dei rischi, delle minacce e delle vulnerabilità con cadenza regolare; in particolare, devono essere analizzati i sottosettori entro i quali sono state designate ICE. Valutazione delle minacce e dei rischi Entro 12 mesi dalla designazione di una ICE ogni StatoMembrodevecondurre una valutazione delle minacce in relazione al sottosettore di appartenenza della ICE. Inoltre, ogni SM deve condurre con cadenza biennale una analisi dei rischi, delle minacce e delle vulnerabilità per ogni settore in cui è stata individuata una ICE Piani di Sicurezza dell Operatore Ogni proprietario/operatore di Infrastruttura designata come ICE dovrà disporre di un Piano di Sicurezza dell Operatore (PSO). La Direttiva fornisce un indicazione dei contenuti minimi che dovranno essere trattati nel Piano; in particolare, il PSO deve identificare i beni dell infrastruttura critica e le soluzioni in atto o in corso di implementazione per la loro protezione. Le procedure dovranno coprire almeno: l identificazione dei beni critici; un analisi dei rischi che comprenda le minacce, le vulnerabilità e l impatto potenziale per ogni bene; l identificazione, la selezione e la prioritarizzazione delle contromisure,suddivise tra quelle permanenti e quelle attuabili gradualmente; Convegno ICSA maggio 2010

21 Azioni successive alla designazione: il Piano di Sicurezza dell Operatore Entro 12 mesi dalla designazione di una ICE deve essere operativo un Piano di Sicurezza dell Operatore o una azione equivalente che comprenda l identificazione dei beni importanti, un analisi del rischio e l identificazione, selezione e prioritizzazione delle contromisure e delle procedure di sicurezza Funzionario di collegamento Ogni proprietario/operatore di Infrastruttura designata come ICE dovrà nominare un funzionario di collegamento in materia di sicurezza che agisca come punto di contatto per le questioni di sicurezza fra l'ice e l organismo nazionale competente per la protezione delle Infrastrutture Critiche. Funzionario di collegamento della Sicurezza Entro 12 mesi dalla designazione di una ICE Deve essere identificato un Funzionario di collegamento della sicurezza al fine di facilitare la cooperazione con le rispettive Autoritànazionalidiprotezionedelle Infrastrutture Critiche Nel caso in cui questo Funzionario non esista, lo Stato Membro deve intraprendere le azioni necessarie per assicurarsi che la nomina del funzionario avvenga Cronoprogramma per l applicazione della Direttiva Per l applicazione della Direttiva è stato predisposto un cronoprogramma (vedi grafico) molto serrato che impegna tutti gli Stati Membri nel triennio Convegno ICSA maggio 2010

22 Cronoprogramma Entrata in vigore, gen Energia Trasporti Report sul no. di CI discusse Identificazione & Designazione OSP & SLO & Valutazione delle minacce Implementazione della Direttiva ICT Finanza Industria chimica Report generale alla Commissione Avvio Revisione mesi 36 Convegno ICSA maggio 2010

23 4 - Le iniziative estere sulla protezione delle IC Negli ultimi anni varie Nazioni e Organizzazioni si sono poste l obiettivo di affrontare in modo organico ed efficace il problema della protezione delle Infrastrutture Critiche; una interessante e completa raccolta delle iniziative di varie Nazioni e organizzazioni, con particolare enfasi sulla Infrastrutture Critiche Informatizzate, si può trovare in [HB1, HB2]. In particolare, in questo capitolo descriveremo gli approcci definiti da: alcuni dei principali Paesi europei (Regno Unito, Paesi Bassi, Germania, Francia, Spagna) (par.4.1); USA (par.4.2); Canada (par.4.3); G8 (par.4.4). Gli approcci descritti rappresentano utili esempi per poter comprendere quali possibili strategie si possano intraprendere facendo tesoro dall esperienza maturata in questo campo da altre nazioni e organizzazioni in cui l azione a livello istituzionale nella protezione delle infrastrutture critiche si è avviata oramai da diversi anni. Infine, il par.4.5 viene dedicato ad una breve comparazione dei settori individuati dall UE, dagli USA e dal G Iniziative in alcuni Paesi Europei In questo paragrafo vengono riportate le iniziative per la protezione delle Infrastrutture Critiche intraprese in alcune Nazioni Europee. Per ogni nazione vengono presentate la definizione di Infrastruttura Critica, gli eventuali settori critici individuati e le strutture governative deputate alla gestione delle iniziative nazionali in materia di Infrastrutture Critiche. A questo riguardo, come si potrà verificare dall analisi dei paragrafi che seguono, va notato che una caratteristica comune alle Nazioni europee considerate è quella di aver predisposto per la protezione delle infrastrutture critiche un organo centralizzato (anche se con differenti collocazioni istituzionali) per il coordinamento delle attività e degli scambi informativi Regno Unito Nel Regno Unito le Infrastrutture Critiche Nazionali sono definite come: quelle infrastrutture per le quali la continuità è così importante per la vita nazionale che una perdita, interruzione significativa o degradazione del servizio comporterebbe gravi Convegno ICSA maggio 2010

24 conseguenze sulla salute pubblica, sull economia o su altri aspetti sociali del Paese, oppure richiederebbe un immediata reazione del Governo. [HB1] Le Infrastrutture Critiche Nazionali sono suddivise in 10 settori e 39 sottosettori, riportati in tab.4.1. Tab.4.1 Settori e sottosettori di IC individuati nel Regno Unito Settore (sottosettori) 1 Communications (Data Communications, Fixed Voice Communications, Mail, Public Information, Wireless Communications) 2 Emergency Services (Ambulance, Fire and Rescue, Marine, Police) 3 Energy (Electricity, Natural Gas, Petroleum) 4 Finance (Asset Management, Financial Facilities, Investment Banking, Markets, Retail Banking) 5 Food (Produce, Import, Process, Distribute, Retail) 6 Government and Public Services (Central Government, Regional Government Local Government, Parliaments and Legislatures, Justice, National Security) 7 Public Safety (Chemical, Biological, Radiological, and Nuclear (CBRN) Terrorism; Crowds and Mass Events) 8 Health (Health Care, Public Health) 9 Transport (Air, Maritime, Rail, Road) 10 Water (Mains Water, Sewage) Nel Regno Unito esistono vari organismi aventi un ruolo nella protezione delle ICN afferenti ai vari settori; essi operano sotto il coordinamento di un centro interministeriale denominato CPNI (Centre for the Protection of National Infrastructure) che riferisce al National Infrastructure Security Coordination Centre (NISCC). Il CPNI coordina e sviluppa le attività all interno dei ministeri e delle agenzie e si interfaccia con gli operatori privati di ICN. Il Direttore del CPNI riferisce ad un consiglio direttivo in cui sono rappresentati l Ufficio del Primo Ministro, il Communications Electronics Security Group (CESG l autorità tecnica del Governo sulla sicurezza dell informazione; ha il compito di proteggere le comunicazioni e le informazioni del governo centrale, delle agenzie e di altre parti dell infrastruttura nazionale informativa, sviluppando politiche e misure di protezione dalle minacce), il Ministero degli Interni, e l Intelligence. Convegno ICSA maggio 2010

25 La protezione delle IC all estero - United Kingdom CPNI Centre for the Protection of Critical Infrastructures NISCC National Infrastructure Security Co-ordination Centre NSAC National Security Advice Centre Part of MI5 UK s Security Service Il CPNI è un organizzazione interdipartimentale, che comprende risorse appartenenti a vari dipartimenti ed agenzie. Tra questi, MI5, il CESG (Communications Electronics Security Group) l Autorità Tecnica nazionale dell UK per la Sicurezza delle Informazioni) e altri dipartimenti governativi responsabili di settori di infrastrutture critiche nazionali Paesi Bassi Il Governo dei Paesi Bassi, mediante una campagna di consultazioni che ha coinvolto industrie private e agenzie governative, ha individuato l insieme di settori e sottosettori ritenuti critici, secondo la seguente definizione: Le infrastrutture sono ritenute critiche se costituiscono una risorsa essenziale indispensabile per la società, e se la loro distruzione porterebbe rapidamente ad uno stato di emergenza o potrebbe avere effetti avversi sulla società nel lungo termine. [HB1] Sono stati individuati 12 settori e 33 prodotti e servizi critici, riportati in tab.4.2. Nei Paesi Bassi esistono vari organismi aventi un ruolo nella protezione delle ICN afferenti ai vari settori; la responsabilità della protezione delle Infrastrutture afferenti ai vari settori è in linea di massima riconducibile ai corrispondenti Ministeri. Il Ministero degli Interni e delle Relazioni del Regno, oltre ad avere la responsabilità della protezione delle infrastrutture informatizzate governative, ha il compito di coordinare le politiche di protezione delle Infrastrutture Critiche tra i vari settori, e di rappresentare la Nazione in ambito internazionale. Convegno ICSA maggio 2010

26 Tab.4.2 Settori e sottosettori di IC individuati nei Paesi Bassi Settore (sottosettori) 1 Drinking Water (Drinking Water Supply) 2 Energy (Electricity, Natural Gas, and Oil) 3 Financial (Financial Services and the Financial Infrastructure, both Public and Private) 4 Food (Food Supply and Food Safety) 5 Health (Urgent Health Care/Hospitals, Sera and Vaccines, Nuclear Medicine), 6 Legal Order (Administration of Justice and Detention, Law Enforcement) 7 Public Order and Safety (Maintaining Public Order, Maintaining Public Safety) 8 Retaining and Managing Surface Water (Management of Water Quality, Retaining and Managing Water Quantity) 9 Telecommunications (Fixed Telecommunication Network Services, Mobile Telecommunication Services, Radio Communication and Navigation, Satellite Communication, Broadcast Services, Internet Access, Postal and Courier Services) 10 Public Administration (Diplomatic Communication, Information Provision by the Government, Armed Forces and Defense, Decision-making by Public Administration) 11 Transport (Mainport Schiphol, Mainport Rotterdam, Main Road and Waterway Infrastructure, Rail Transport) 12 Chemical and Nuclear Industry (Transport, Storage, and Production/Processing) Germania La costituzione tedesca riconosce come una responsabilità dello Stato quello di garantire la sicurezza pubblica e di assicurare che alla popolazione siano forniti i beni essenziali; è quindi responsabilità dello Stato proteggere le Infrastrutture Critiche, definite come: L insieme di quegli elementi la cui indisponibilità o malfunzionamento comporterebbe una carenza di approvvigionamenti o altre conseguenze drammatiche per larga parte della popolazione [HB1] Sono stati individuati 8 settori, riportati in tab.4.3. La responsabilità e il coordinamento delle attività legate alla protezione delle Infrastrutture Critiche ricadono sul Ministero degli Interni (BMI), mediante le sue agenzie quali il Federal Office for Information Security (BSI), la Federal Agency of Civil Protection and Disaster Response (BBK), la Federal Law Enforcement Agency (BKA), e la Federal Police (BPOL). Il BMI opera in cooperazione con altri ministeri per gli aspetti specifici, con i Lander (Stati Federati), che attuano le politiche di protezione, e con gli operatori privati di IC. Convegno ICSA maggio 2010

27 Tab.4.3 Settori e sottosettori di IC individuati in Germania Settore (sottosettori) 1 Transportation and Traffic (Aviation, Sea Traffic, Rail Traffic, Local Traffic, Inland Water Transportation, Road System, Postal System) 2 Energy (Electricity, Natural Gas, and Oil) 3 Hazardous Materials (Chemical and Biological Substances, Hazardous Material Transportation, Defense Industry) 4 Telecommunications and Information Technology 5 Finance and Insurance (Banking, Finance, Financial Service Provider, Stock Markets) 6 Services (Emergency Services, Health Care Services, Civil Protection, Food and Water Supply, Waste Management) 7 Public Administration and Justice System (Government, Government Agencies, Public Administration, Police, Customs, and Federal Armed Forces) 8 Other (Media, Major Research Establishments, Outstanding or Symbolic Buildings, Cultural Assets) Francia In Francia sono ritenute Infrastrutture Critiche: Quelle Infrastrutture che sono vitali per il mantenimento dei processi primari sociali e economici [HB1] Sono stati individuati 9 settori, riportati in tab.4.4. Tab.4.4 Settori di Infrastrutture Critiche individuati in Francia Settore 1 Banking and Finance 2 Chemical and Biotechnological Industries 3 Energy and Electricity 4 Nuclear Power Stations 5 Public Health 6 Public Safety and Order 7 Telecommunication 8 Transport Systems 9 Water Supply In Francia la responsabilità della protezione delle Infrastrutture Critiche ricade completamente sul Segretariato Generale per la Difesa e per la Sicurezza Nazionale (SGDSN), che riferisce direttamente al Primo Ministro. Inoltre, all interno del Ministero della Difesa una struttura chiave per la protezione delle Infrastrutture Critiche è la Divisione Centrale per la Sicurezza dei Sistemi Informatici (DCSSI) che gestisce una commissione interministeriale. Convegno ICSA maggio 2010

28 La protezione delle IC all estero - Francia Primo Ministro riferisce a coordina Ministeri Operatori di IC Spagna Anche la Spagna si è dotata dalla fine del 2007 di un Centro Nazionale per la Protezione delle Infrastrutture Critiche (CNPIC) che dipende dal Segretario di Stato per la Sicurezza, che opera nel Ministero dell Interno, con lo scopo di indirizzare, coordinare e supervisionare la protezione delle Infrastrutture Critiche nazionali. I settori critici individuati in Spagna sono riportati nella tabella che segue Convegno ICSA maggio 2010

29 Settori di Infrastrutture Critiche individuati in Spagna Settore 1 Nuclear industry 2 Chemical industry 3 Space 4 Drinking and water 5 Sewage 6 Information and Communications Technology 7 Transport 8 Food supply chain 9 Health system 10 Research laboratories 11 Financial and Tax system 12 Administration 4.2 La strategia USA A seguito degli eventi dell 11 settembre 2001, gli USA hanno messo a punto una strategia nazionale dettagliata e organica per la protezione della patria che ha portato alla creazione del Department of Homeland Security (DHS). Organigramma del Department of Homeland Security (DHS) USA Nel luglio 2002 il DHS ha emesso una prima versione della National Strategy for Homeland Security [DHS1], poi aggiornata varie volte fino alla versione del luglio Una delle sei critical mission areas identificate nella strategia mira a proteggere le Infrastrutture Critiche e i beni chiave. Convegno ICSA maggio 2010

30 La strategia nazionale specifica in materia di Infrastrutture Critiche deriva dalla Homeland Security Presidential Directive/Hspd-7 del Dicembre 2003 [DHS2], che recepisce la definizione di infrastruttura critica data al punto 1016 del USA Patriot Act del 2001: Infrastrutture Critiche: sistemi e beni, sia fisici sia virtuali, così vitali per gli USA che una indisponibilità o distruzione di tali sistemi o beni avrebbe un impatto debilitante sulla sicurezza, sull economia nazionale, sulla salute pubblica o su una combinazione di questi aspetti. La Direttiva Hspd-7 introduce il National Infrastructure Protection Plan (NIPP) [DHS3] che fornisce una struttura unificante per l integrazione della protezione delle Infrastrutture Critiche e delle risorse chiave in un unico programma nazionale. Il NIPP fornisce una cornice globale per i programmi e le attività in corso nei vari settori, come anche per i progetti di protezione futuri o in fase di sviluppo. L obiettivo di questo sforzo collaborativo tra: il settore privato, i governi statali, territoriali, locali e tribali, le organizzazioni non-governative, il governo federale, è la prioritarizzazione delle iniziative di protezione e degli investimenti nel settore. Inoltre, viene assicurato che le risorse siano destinate ai contesti in cui esse forniscono il maggior beneficio per la mitigazione del rischio e la riduzione delle vulnerabilità, scoraggiando le minacce e minimizzando le conseguenze degli attacchi terroristici o di altri incidenti. Convegno ICSA maggio 2010

31 In base al NIPP, il Department of Homeland Security (DHS) ha la responsabilità di guidare, integrare e coordinare lo sforzo complessivo nazionale per migliorare la protezione delle Infrastrutture Critiche, di sviluppare e implementare programmi e metodologie di analisi del rischio, di sviluppare linee guida inter-settoriali e transgiurisdizionali per la protezione delle Infrastrutture Critiche, e di fornire metriche e criteri settoriali e cross-settoriali per il risk management. Il NIPP individua 18 settori di Infrastrutture Critiche, elencati nella seconda colonna di tab.4.5. Per ogni settore, il NIPP designa una Sector Specific Agency (SSA), ovvero un agenzia governativa responsabile di collaborare con il DHS per implementare il modello di partnership e gestione del rischio del NIPP, di sviluppare programmi di protezione settoriali, e di fornire linee guida sotto il coordinamento del DHS. Tab.4.5 Settori di IC individuati dal DHS USA e relative SSA Uno degli aspetti caratterizzanti del NIPP è il modello di cooperazione tra organismi governativi e partner privati, che prevede un intenso scambio e condivisione di informazioni. Il modello di information-sharing alla base del NIPP è di tipo magliato, e Convegno ICSA maggio 2010

32 permette la distribuzione e l accesso alle informazioni sia verticalmente sia orizzontalmente. La fig. 4.1 illustra come i soggetti coinvolti nella protezione delle Infrastrutture Critiche sono coinvolti negli scambi di informazione e nei processi decisionali. Fig.4.1 Schema delle interazioni tra i partner del NIPP Per rendere efficace l azione del NIPP, i partner devono impegnarsi a condividere e proteggere le informazioni necessarie a raggiungere gli obiettivi del NIPP stesso. Il DHS, in collaborazione con le SSA, è responsabile del coordinamento della rete di informationsharing. La fig.4.2 illustra la struttura attraverso la quale organismi pubblici e privati collaborano e condividono informazioni; tale struttura è costituita da un insieme di ISAC (Information Sharing and Analysis Center, [ISA1]): ogni settore prevede un ISAC per l ambito privato e uno per quello governativo, coordinati tra loro; inoltre, tutti i settori nell ambito privato così come in quello governativo sono coordinati in un ISAC cross-settoriale. I due ISAC cross settoriali (in ambito privato e governativo) hanno a loro volta una struttura di coordinamento. Convegno ICSA maggio 2010

33 Una delle attività di maggior rilievo condotta nell ambito del NIPP, e resa possibile dall articolata struttura finora descritta, è quella dello studio delle interdipendenze tra i vari settori. Fig.4.2 Schema del sistema di information-sharing del NIPP Dalla breve descrizione dell approccio utilizzato negli USA si può immediatamente evincere: l enorme impegno che il governo americano ha destinato alla gestione della protezione delle Infrastrutture Critiche; la collocazione delle responsabilità in materia di protezione delle Infrastrutture Critiche in un organo centrale che costituisce di fatto l Autorità Nazionale per la Sicurezza; la forte enfasi sulla necessità di una collaborazione continua tra pubblico e privato e di uno scambio di informazioni. 4.3 La strategia Canadese In Canada sono ritenute Infrastrutture Critiche: Quegli apparati, reti e beni fisici o informatici che, se distrutti o resi indisponibili, comporterebbero un serio impatto sulla salute, sulla sicurezza (safety e security) o sul benessere economico dei Canadesi o sul funzionamento efficace delle istituzioni [HB1] Sono stati individuati 10 settori, riportati in tab.4.6. Convegno ICSA maggio 2010

34 Tab.4.6 Settori e sottosettori di IC individuati in Canada Settore (sottosettore) 1 Communications and Information Technology (Telecommunications, Software, Hardware, Networks (Internet)) 2 Energy and Utilities (Electrical Power, Natural Gas, Oil Production and Transmission Systems) 3 Finance (Banking, Securities, Investment) 4 Food (Food Safety, Agriculture and Food Industry, Food Distribution) 5 Government (Government Facilities, Government Services (e.g., Meteorological Services), Information Networks, Assets, Key National Symbols (Cultural Institutions and National Sites and Monuments)) 6 Health Care (Hospitals, Health Care and Blood Supply Facilities, Laboratories, Pharmaceuticals) 7 Manufacturing (Chemical Industry and Defense Production, Defense Industrial Base) 8 Safety (Chemical, Biological, Radiological, and Nuclear Safety, Hazardous Materials, Emergency Services (Police, Fire, Ambulance), Search and Rescue, Dams) 9 Transportation (Air, Rail, Marine, Surface) 10 Water (Drinking Water, Wastewater Management) In Canada la protezione delle Infrastrutture Critiche è demandata al ministero per la Public Safety and Emergency Preparedness (PSEPC) che comprende al suo interno la Royal Canadian Mounted Police, il Canadian Security Intelligence Service, il Correctional Service of Canada, il National Parole Board, il Canada Firearms Centre, il Canada Border Services Agency, e tre organi di revisione. Il governo canadese collabora anche con il settore privato e i governi territoriali, mediante una relazione di partnership. 4.4 Le best practice del G8 per la protezione delle Infrastrutture Critiche Il G8 ha da tempo avviato attività di indirizzo per la protezione delle Infrastrutture Critiche. Partendo dalla considerazione che, nei Paesi industrializzati, gran parte delle infrastrutture sono governate da sistemi informatici, l enfasi delle attività in ambito G8 è sulla protezione delle cosidette Critical Information Infrastructures (CII). In [G8_1] un infrastruttura critica è definita come: entità o organizzazione (inclusa la pubblica amministrazione) con le proprie strutture fisiche e informatiche, i sistemi, le reti, i servizi e i beni; entità di maggiore importanza per la vita economica, politica e sociale della comunità di un Paese. Per maggiore importanza si intende il fatto che una distruzione, sospensione, riduzione o non disponibilità delle funzionalità dell infrastruttura avrebbe un serio impatto sulla vita sociale dei cittadini, cioè per esempio sulla salute, la sicurezza fisica e logica o il benessere economico dei cittadini, o sull effettivo funzionamento dello Stato; oppure Convegno ICSA maggio 2010