Protezione delle Infrastrutture Critiche, atto secondo

02/09/2014

di Alessandro Lega, CPP – ASIS International chapter Italy

Nel numero 25 di a&s Italy, abbiamo anticipato che avremmo (ri)parlato della figura del Security Liaison Officer (SLO), che la Direttiva Europea 2008/114 prevede quale punto di riferimento per la protezione delle Infrastrutture Critiche Europee. Alessandro Lega mantiene la promessa con una modalità molto in voga tra i giornalisti - in particolare quelli che vincono il premio Pulitzer: la regola delle “cinque “W” (lettera che si ritrova in Why When What hoW e Who – Perché Quando Cosa Come Chi). Gli aspetti di Protezione delle Infrastrutture Critiche illustrati nell’articolo che segue, anche se non proprio in termini giornalistici, rispondono a questa regola.

Il Why è stato fissato nel 2008, quando la Direttiva 2008/114, il riferimento di base in materia di Protezione delle Infrastrutture Critiche (PIC), è stata rilasciata dall'Unione Europea; il When corrisponde al 2011, quando l’ultimo degli Stati Membri l’ha recepita. L’Italia l’ha recepita l’11 aprile 2011, emanando il Dlgs61-2011 pubblicato sulla Gazzetta Ufficiale del 5 maggio dello stesso anno. Il What e hoW si possono ricondurre al momento in cui è avvenuta la stesura della Prassi di Riferimento UNI 6:2014, rilasciata a gennaio 2014 ma predisposta fra il 2012 ed il 2013, che descrive cosa e come deve essere condotto un sistema di gestione della resilienza di una infrastruttura critica, nazionale od Europea. Rimane solo da definire il Who.

Who's who?

La Direttiva indica solo il nome di colui che dovrebbe occuparsene, quello appunto del Security Liaison Officer o, come dice la Direttiva stessa, di una sua figura equivalente. Non c’è dubbio che se la Direttiva avesse definito compiutamente quali debbono essere le responsabilità, le competenze, il percorso di formazione, gli aggiornamenti necessari eccetera, gli stati membri UE avrebbero avuto a disposizione una sorta di disciplinare in base al quale definire il profilo professionale di colei/colui cui affidare il processo di resilienza delle infrastrutture critiche. Sono portato a pensare che la non definizione del profilo dello SLO non sia stata una dimenticanza; forse più un rinvio della decisione per vedere anche quale sarebbe stata la reazione degli Stati Membri. Sta di fatto che, per arrivare ad una sua definizione, la Commissione Europea ha dovuto prima lanciare un bando di gara Europeo, offrendo ai tutti gli Stati Membri la possibilità di sviluppare un progetto in grado di proporre criteri per delineare il profilo professionale, le responsabilità, le esigenze formative e quant’altro ritenuto necessario per delineare la figura professionale dello SLO.

Lo ha fatto con la classica metodologia di assegnazione di un punteggio alle varie proposte presentate dagli Stati Membri. Questo è avvenuto nel 2012. Il bando di gara, pubblicato nel 2012 sul sito della Commissione Europea con il codice di protocollo HOME/2012/CIPS/AG/4000003747, ha attratto l’attenzione di diversi enti Europei. Ad aggiudicarselo, nel giugno del 2013, fu l’Università Campus Bio-Medico di Roma, che ha al suo interno un Laboratorio di Sistemi Complessi e Sicurezza. Lo dirige il Prof Roberto Setola, che si avvale di risorse interne ed esterne. La prima decisione fu quella di costituire un consorzio insieme all’Associazione Romena per le Infrastrutture Critiche e Servizi di Protezione (ARPIC) e di individuare alcuni partner da associare, quale l’Associazione Italiana di Esperti di Infrastrutture Critiche (AIIC), l’Associazione Italiana dei Business Continuity Manager (BCManager), il chapter Italiano di ASIS International e la società romena Transelectrica, leader nazionale nel campo della trasmissione di energia elettrica in Romania. Una volta aggiudicatosi il bando di gara, l’Università Campus Bio-Medico di Roma ha avviato il progetto il cui kick-off si è tenuto a Roma il 5 giugno 2013.

Il progetto, la cui durata prevista è di 12 mesi, è stato diviso in tre fasi: 1) raccolta della documentazione esistente in materia di Infrastrutture Critiche; 2) messa a punto di un questionario da far circolare all’interno della comunità security; 3) organizzazione di tre distinti workshop da tenersi nell’arco di 6-7 mesi. La raccolta della documentazione che già esiste in ambito Security e Protezione Infrastrutture Critiche ha portato alla raccolta di oltre 100 documenti internazionali che hanno permesso di definire una solida bibliografia di riferimento. La documentazione è stata di supporto per la messa a punto di una prima bozza di questionario, che è stato sviluppato tenendo conto di quattro diverse tipologie di partecipanti alla survey: Chief Security Officer (Security Manager), Staff di organizzazioni Security, Istituzioni, appartenenti al mondo Accademico. Le versioni preliminari del questionario sono state fatte circolare all’interno dei partner e ciò ha permesso rapidamente di mettere a punto, alla fine del 2013, una versione consolidata. In parallelo con l’attività di raccolta, è iniziata anche la messa a punto del website che più avanti, una volta completato, avrebbe ospitato sia l’intero progetto, sia il meccanismo di distribuzione del questionario e la raccolta delle relative risposte. Nei primi mesi il website è stato condiviso fra pochi addetti ai lavori, per poi andare online verso la fine dell’estate 2013.

I workshop

Il primo workshop si è tenuto a Bucarest, Romania, ospitato da ARPIC e da Transelectrica, l’11 ottobre, in coincidenza di un convegno internazionale sulle infrastrutture critiche. Hanno partecipato circa 40 specialisti con competenze nel campo delle Infrastrutture Critiche, alcuni con responsabilità manageriali nel settore della distribuzione energia elettrica, altri con responsabilità operative - un valido mix di competenze per iniziare a sgrossare il materiale predisposto. La metodologia, utilizzata anche nelle occasioni successive, è stata quella del classico brain storming, dopo aver diviso i partecipanti in tre gruppi separati. Ciascuno dei tre gruppi ha dibattuto gli stessi item proposti da tre conduttori. Alla fine di due ore di elaborazione caldamente dibattuta, i tre gruppi si sono riuniti per mettere a punto quanto emerso nel corso del brain storming.

Le evidenze raccolte, insieme ad alcune interviste individuali effettuate con personaggi di rilievo nel mondo delle Infrastrutture Critiche, ha permesso di meglio mettere a punto il questionario che nel frattempo ha avuto una sua evoluzione molto partecipata. Il 12 novembre 2014 è stato possibile presentare un primo stato dell’arte del progetto in ambito Joint Research Centre dell’ European Commission in occasione del Terzo Workshop su Protezione delle Infrastrutture Critiche. I vari rappresentanti degli Stati Membri, i rappresentanti tecnici e politici della Commissione Europea hanno potuto vedere l’impostazione data ed i progressi fatti nei primi quattro mesi di attività.

A questo punto, avendo consolidato i quattro questionari predisposti in base alla provenienza professionale, istituzionale e accademica dei possibili partecipanti, si è ricercato un veicolo importante per poterlo diffondere. E’ stato scelto, e si è dimostrato particolarmente efficace, un partner associativo: ASIS International Europa. Con i suoi circa 2800 soci in ambito Europeo, grazie alla diffusione capillare della newsletter EuroDynamics di fine 2013 e che con un mass mailing di inizio 2014, si è cominciato a ricevere un valido contributo tramite le risposte di oltre 200 soggetti interessati. Il questionario, rimasto aperto fino alla fine di maggio, è stato di grandissimo aiuto a delineare i desiderata dei diversi soggetti coinvolti. Il 25 febbraio scorso, dopo aver provveduto alla raccolta e all’elaborazione dei primi 180 questionari, si è tenuto a Roma il secondo Workshop, che si è svolto con modalità simili al primo. Unica differenza: la partecipazione, di circa cinquanta persone, è stata tutta italiana. Anche in questa occasione i tre gruppi di esperti hanno dibattuto l’argomento, giungendo poi a conclusioni condivise, che hanno permesso di aggiungere i nuovi elementi a quelli raccolti fino ad allora (vedi a&s Italy 26/2014 pag. 36).

Risultati intermedi

Avendolo previsto per tempo, si è deciso di presentare i risultati intermedi in un contesto internazionale. Due persone del team coinvolto nel progetto hanno quindi partecipato alla 13^a edizione della Conferenza Europea di ASIS International, che quest’anno si è svolta all’Aia dal 1 al 3 aprile. Nella capitale del paese dei tulipani si sono raccolti oltre 700 operatori del mondo della sicurezza, provenienti dai cinque continenti. Una partecipazione massiccia da parte dei soci ASIS International ha permesso di avere una significativa presenza del nostro Continente. Nel pomeriggio del 3 aprile, in una sala conferenza il cui nome dà già un’idea del clima internazionale (Oceania), è stato possibile presentare il progetto ad una platea mista. Al termine della presentazione è stato anche possibile attivare una breve sessione di domande e risposte che hanno contribuito a mettere a fuoco il tema dibattuto. Il questionario, aperto fino alla fine di maggio, ha fornito spunti di aggiornamento che devono essere raccolti ed analizzati.

Il 21 maggio, ospitati presso la Technical University di Delft - Campus dell’Aia, con il supporto di ASIS International chapter Benelex, si è tenuto il 3°ed ultimo Workshop previsto dal progetto. Rimangono però alcune cose importanti da fare, prima che il progetto possa essere completato: 1) il 25 giugno, in un contesto istituzionale, alla presenza di componenti del Governo italiano e della Commissione Europea, si terrà una Conferenza di chiusura con l’illustrazione dei risultati raggiunti. Questa sarà una chiusura solo formale, in quanto è prevedibile che i risultati definitivi saranno raggiunti dopo l’estate 2014, a consolidamento dei vari elementi che continueranno a giungere 2) ad inizio dell’autunno 2014 verrà stilato un rapporto definitivo in grado di delineare il profilo che dovrà avere il futuro Security Liaison Officer. Un percorso tutto sommato breve, se consideriamo la portata dell’argomento trattato. Si deve anche considerare che in futuro gli Stati Membri, oggi apparentemente distratti nei confronti delle problematiche legate alla Protezione delle Infrastrutture Critiche, dovranno prendere atto che la scelta per individuare le competenze adeguate per chi dovrà occuparsi di protezione delle Infrastrutture Critiche non potrà esser fatto con il sorteggio.

Quindi il progetto SLO dovrebbe essere visto come lo strumento in grado di sostenere gli operatori di Infrastrutture Critiche ad individuare la persona giusta e ad affidare le responsabilità adeguate alle necessità del Paese in cui l’infrastruttura si trova, in rispetto con le aspettative che le Istituzioni devono costantemente rappresentare, mantenendo il suo ruolo di verifica della compliance. Nel prossimo articolo, potremo vedere la conclusione del progetto e le sue applicazioni pratiche.