{"id":33936,"date":"2026-05-03T18:09:00","date_gmt":"2026-05-03T17:09:00","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/it\/?p=33936"},"modified":"2026-05-03T18:13:23","modified_gmt":"2026-05-03T17:13:23","slug":"analisi-del-rischio-segnalazione-e-vigilanza-nel-quadro-della-direttiva-sulla-resilienza-dei-soggetti-critici-drsc-e-della-legge-olandese-sulla-resilienza-dei-soggetti-critici-wet-weerbaarheid-kri","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/it\/ifcrm\/resilienza-delle-entita-critiche\/analisi-del-rischio-segnalazione-e-vigilanza-nel-quadro-della-direttiva-sulla-resilienza-dei-soggetti-critici-drsc-e-della-legge-olandese-sulla-resilienza-dei-soggetti-critici-wet-weerbaarheid-kri\/","title":{"rendered":"Analisi del rischio, segnalazione e vigilanza nel quadro della direttiva sulla resilienza dei soggetti critici (DRSC) e della legge olandese sulla resilienza dei soggetti critici (Wet weerbaarheid kritieke entiteiten, Wwke)"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

La disciplina dei soggetti critici ai sensi della direttiva sulla resilienza dei soggetti critici e della legge olandese sulla resilienza dei soggetti critici segna uno spostamento di eccezionale rilievo nel modo in cui il legislatore europeo e nazionale affronta, sul piano normativo, la continuit\u00e0 dei servizi essenziali. Se nelle precedenti impostazioni della sicurezza e della continuit\u00e0 l\u2019accento era posto in misura considerevole su misure tecniche circoscritte, protocolli di sicurezza settoriali o interventi episodici successivi a disfunzioni concrete, il quadro CER\/Wwke introduce invece un regime fondato su una resilienza strutturale, incorporata nella governance e suscettibile di controllo giuridico. In tale regime, il centro dell\u2019attenzione non \u00e8 rappresentato dalla singola misura di protezione in quanto tale, bens\u00ec dalla capacit\u00e0 di un soggetto di continuare a svolgere in modo durevole la propria funzione essenziale nonostante minacce multiple e spesso concomitanti. Il nucleo normativo si sposta cos\u00ec da una protezione reattiva a una preparazione sistematica, da strumenti di sicurezza isolati alla governance, e da una compartimentazione settoriale a una valutazione pi\u00f9 ampia delle dipendenze, delle relazioni di filiera, delle influenze transfrontaliere e del coordinamento istituzionale. In tal modo, l\u2019analisi del rischio cessa di essere un documento interno di limitata rilevanza giuridica e diviene il fondamento di un pi\u00f9 ampio ordinamento pubblico e privato della resilienza, nel quale lo Stato, le autorit\u00e0 competenti e il soggetto critico assumono ciascuno responsabilit\u00e0 distinte ma strettamente intrecciate.<\/p>

Tale spostamento non ha natura meramente tecnica o programmatica, ma incide direttamente sul modo in cui i destinatari delle norme, le autorit\u00e0 di vigilanza e gli organi di amministrazione devono comprendere la posizione giuridica dei soggetti critici. Nell\u2019ambito della direttiva sulla resilienza dei soggetti critici e della Wwke, il servizio essenziale non \u00e8 concepito come un semplice output operativo di un\u2019organizzazione, bens\u00ec come una funzione portante per la societ\u00e0, la cui interruzione, compromissione o degradazione pu\u00f2 produrre conseguenze gravi per la sicurezza pubblica, la salute pubblica, la stabilit\u00e0 economica, la fiducia istituzionale e la concreta governabilit\u00e0 della societ\u00e0. Ne consegue che l\u2019analisi del rischio, la segnalazione degli incidenti e la vigilanza non devono essere considerate come obblighi di conformit\u00e0 separati e coesistenti, ma come componenti di un regime integrato volto alla conservazione governabile delle funzioni essenziali. Tale regime esige che le rappresentazioni pubbliche del rischio e le misure private di controllo siano tra loro coerenti, che le informazioni sugli incidenti siano rese disponibili con rapidit\u00e0 e con sufficiente profondit\u00e0, e che la vigilanza non si limiti a una verifica documentale, ma possa in ultima istanza sfociare in interventi correttivi e coercitivi qualora la continuit\u00e0 di un servizio essenziale sia in pericolo. In questo contesto acquista particolare rilievo anche il collegamento con la Gestione integrata del rischio di criminalit\u00e0 finanziaria. Sebbene il CER\/Wwke riguardi, nella sua essenza, la resilienza dei soggetti critici, le analisi del rischio richieste, l\u2019attenzione rivolta alle dipendenze di filiera, la necessit\u00e0 di una governance dimostrabile e gli obblighi di informazione e notifica impongono di non trattare pi\u00f9 il rischio di continuit\u00e0, il rischio operativo, il rischio di integrit\u00e0 e il rischio di criminalit\u00e0 finanziaria come ambiti rigorosamente separati. Per molti soggetti critici, un assetto di resilienza credibile potr\u00e0 pertanto essere sviluppato in modo convincente soltanto se i principi della Gestione integrata del rischio di criminalit\u00e0 finanziaria saranno espressamente collegati alla pi\u00f9 ampia struttura di governance prevista dal CER\/Wwke.<\/p>

<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Inventario obbligatorio dei rischi come nucleo della resilienza dei soggetti critici<\/h4>

Nel regime CER\/Wwke, l\u2019inventario obbligatorio dei rischi costituisce il punto di partenza giuridico e amministrativo dell\u2019intera architettura della resilienza. Ci\u00f2 riveste un\u2019importanza fondamentale, poich\u00e9 stabilisce che la resilienza non si misura in primo luogo attraverso l\u2019esistenza di singole misure di protezione, ma attraverso la qualit\u00e0 della comprensione sottostante dei possibili scenari di perturbazione, delle vulnerabilit\u00e0, delle dipendenze e delle potenziali conseguenze sociali. In questo regime, un soggetto critico non viene valutato sullo sfondo di un ideale astratto di sicurezza, ma in base alla questione se la propria analisi sia sufficientemente precisa, aggiornata e coerente da proteggere in modo significativo il servizio essenziale anche in condizioni di pressione. In termini giuridici, ci\u00f2 significa che l\u2019inventario dei rischi non pu\u00f2 essere relegato al rango di esercizio preparatorio privo di autonoma rilevanza normativa. L\u2019inventario costituisce il documento e il processo attraverso cui deve emergere che il soggetto comprende la propria posizione all\u2019interno della pi\u00f9 ampia catena della resilienza, che le minacce rilevanti sono state individuate, che l\u2019interazione tra i processi interni e le dipendenze esterne \u00e8 stata riconosciuta e che le misure adottate su tale base non sono state selezionate in modo arbitrario o frammentario. Un inventario carente incide pertanto direttamente sulla legittimit\u00e0 dell\u2019intero quadro di controllo.<\/p>

Ne deriva un modello normativo nel quale la qualit\u00e0 dell\u2019inventario determina in larga misura la qualit\u00e0 delle decisioni successive. Se i rischi vengono definiti in modo troppo ristretto, affrontati in modo eccessivamente statico o ridotti in misura eccessiva a classici rischi di sicurezza, si produce una rappresentazione fallace della controllabilit\u00e0. L\u2019apparenza di conformit\u00e0 pu\u00f2 allora permanere, mentre fattori materiali di perturbazione restano al di fuori dell\u2019analisi. Tale pericolo \u00e8 particolarmente acuto per i soggetti critici caratterizzati da strutture operative complesse, relazioni internazionali con fornitori, processi ibridi fisici e digitali e una forte dipendenza da personale specializzato o da infrastrutture gestite esternamente. In simili contesti, la perturbazione del servizio essenziale difficilmente pu\u00f2 essere ricondotta a una causa unica e isolata. Pi\u00f9 spesso si tratta di effetti a catena successivi o simultanei, nei quali un evento iniziale relativamente circoscritto si propaga attraverso sistemi digitali, dipendenze contrattuali, carenze di personale, interruzioni logistiche o danni reputazionali. Un inventario dei rischi che non renda visibile tale interdipendenza non manca soltanto di dettaglio, ma resta al di sotto di quanto necessario per cogliere la reale natura del destinatario della norma. Il quadro CER\/Wwke presuppone pertanto un inventario che descriva l\u2019essenza del servizio, le condizioni per la sua erogazione ininterrotta e le fonti materiali di vulnerabilit\u00e0 nella loro reciproca relazione.<\/p>

Sotto questo profilo, l\u2019inventario dei rischi non pu\u00f2 essere considerato separatamente dalla pi\u00f9 ampia governance interna del soggetto. Un\u2019attuazione convincente dell\u2019obbligo legale richiede che tale inventario non sia delegato a una funzione di compliance isolata e priva di mandato strategico, ma che venga incorporato nelle strutture decisionali dell\u2019organo amministrativo, dei comitati rischi, della direzione operativa e delle funzioni di controllo. Per i soggetti che si trovano altres\u00ec ad affrontare obblighi in materia di rispetto delle sanzioni, presidio antiriciclaggio, prevenzione delle frodi, controllo dell\u2019integrit\u00e0 e revisione della filiera, appare appropriato collegare l\u2019inventario dei rischi previsto dal CER\/Wwke con la Gestione integrata del rischio di criminalit\u00e0 finanziaria. Ci\u00f2 non dipende da un\u2019identit\u00e0 tra i due regimi, ma dal fatto che entrambi impongono all\u2019organizzazione un\u2019esigenza analoga: la capacit\u00e0 di costruire, gerarchizzare e tradurre le rappresentazioni del rischio in modo integrato, anzich\u00e9 isolato, in misure di controllo dimostrabili. Quando un soggetto critico dipende, ad esempio, da terzi, da flussi di pagamento complessi, da catene contrattuali transfrontaliere o da fornitori ad alto rischio, il mancato collegamento con la Gestione integrata del rischio di criminalit\u00e0 finanziaria pu\u00f2 condurre a una valutazione incompleta dei rischi che gravano sulla continuit\u00e0 del servizio essenziale. L\u2019inventario obbligatorio dei rischi ai sensi del CER\/Wwke costituisce pertanto non soltanto un obbligo giuridico, ma anche un criterio istituzionale per valutare se il soggetto sia in grado di comprendere in modo integrato le proprie vulnerabilit\u00e0 pi\u00f9 sostanziali.<\/p>

Rappresentazioni del rischio relative a perturbazioni fisiche, digitali, del personale e della filiera<\/h4>

Uno degli aspetti pi\u00f9 significativi del quadro CER\/Wwke risiede nel fatto che la rappresentazione del rischio del soggetto critico non pu\u00f2 espressamente essere limitata a un solo tipo di minaccia o a una sola dimensione organizzativa. La struttura legislativa e regolatoria impone un approccio nel quale le perturbazioni fisiche, digitali, del personale e della filiera siano valutate nella loro interdipendenza. Ci\u00f2 significa che un soggetto non pu\u00f2 limitarsi ad analisi separate, ad esempio, della sicurezza degli accessi fisici, della protezione delle reti o dei sistemi di alimentazione di emergenza, ma deve determinare in che modo tali elementi si condizionino reciprocamente e in quale sequenza o combinazione possano compromettere il servizio essenziale. Un sabotaggio fisico pu\u00f2 innescare perturbazioni digitali, una compromissione digitale pu\u00f2 provocare un sovraccarico del personale, carenze di organico possono condurre a errori con conseguenze operative, e una perturbazione che colpisce un fornitore apparentemente periferico pu\u00f2, attraverso le dipendenze di filiera, compromettere direttamente la capacit\u00e0 di continuare a fornire un servizio essenziale. La rilevanza giuridica di tale rappresentazione composita del rischio risiede nel fatto che il quadro di vigilanza non valuta il soggetto soltanto sulla base di incidenti visibili, ma sulla questione se combinazioni note o ragionevolmente prevedibili di fattori di perturbazione siano state adeguatamente mappate.<\/p>

In particolare, il dominio digitale non pu\u00f2 pi\u00f9 essere trattato, nell\u2019ambito del CER\/Wwke, come una materia specialistica separata riservata esclusivamente ai professionisti della cybersicurezza. In molti settori critici, l\u2019infrastruttura digitale non costituisce pi\u00f9 un mero supporto, ma un elemento costitutivo della stessa erogazione del servizio essenziale. Ne consegue che ogni perturbazione riguardante l\u2019integrit\u00e0 dei dati, l\u2019accesso ai sistemi, la disponibilit\u00e0 delle reti o l\u2019automazione dei processi acquisisce immediatamente una dimensione di continuit\u00e0. Sarebbe tuttavia profondamente erroneo dedurre da ci\u00f2 che i fattori fisici e del personale abbiano perso rilevanza. Al contrario, molte perturbazioni gravi sorgono l\u00e0 dove la vulnerabilit\u00e0 digitale si combina con una sicurezza fisica insufficiente, una segregazione inadeguata delle funzioni, uno screening problematico del personale, strutture di crisi carenti o una disponibilit\u00e0 insufficiente di operatori qualificati. La componente del personale merita, sotto tale profilo, un\u2019attenzione particolare, poich\u00e9 la disponibilit\u00e0, l\u2019affidabilit\u00e0, la resilienza e la competenza dei collaboratori che svolgono funzioni critiche risultano spesso tanto determinanti per la resilienza effettiva quanto la qualit\u00e0 della tecnologia. Un soggetto che si limiti a rafforzare la tecnologia, senza possedere un\u2019adeguata visibilit\u00e0 sulle persone chiave, sugli scenari di assenza, sulla concentrazione delle conoscenze, sulle minacce all\u2019integrit\u00e0 o sul sovraccarico prolungato del personale, omette una parte essenziale della rappresentazione del rischio richiesta dalla legge.<\/p>

La dimensione relativa alla filiera rende l\u2019esercizio ancora pi\u00f9 esigente. Il CER\/Wwke impone, in sostanza, al soggetto critico di oltrepassare i propri confini organizzativi nell\u2019analisi e di tenere conto dei fornitori, dei rapporti di esternalizzazione, delle connessioni infrastrutturali, delle dipendenze a monte e a valle e delle potenziali perturbazioni che insorgono al di fuori della sua immediata sfera di controllo formale. Tale obbligo trasforma l\u2019analisi del rischio, che cessa di essere un documento interno di controllo per diventare uno strumento di comprensione sistemica. Non appena un servizio essenziale dipende da prestatori esterni di servizi informatici, ambienti cloud, collegamenti di telecomunicazione, approvvigionamenti energetici, pezzi di ricambio specializzati, processi esternalizzati o strutture di approvvigionamento distribuite a livello internazionale, si forma un paesaggio di rischio che non pu\u00f2 pi\u00f9 essere adeguatamente rappresentato mediante un tradizionale inventario interno dei rischi. \u00c8 a questo punto che emerge un collegamento diretto con la Gestione integrata del rischio di criminalit\u00e0 finanziaria. In molte filiere, la dipendenza operativa, la vulnerabilit\u00e0 dell\u2019integrit\u00e0 e il rischio di criminalit\u00e0 finanziaria convergono, in particolare quando la selezione dei fornitori, l\u2019esposizione alle sanzioni, gli indicatori di frode, le strutture proprietarie, l\u2019esposizione alla corruzione e l\u2019integrit\u00e0 dei pagamenti incidono sulla sicurezza dell\u2019approvvigionamento e sulla continuit\u00e0 operativa. Un soggetto che intenda analizzare in modo integrato le perturbazioni fisiche, digitali, del personale e della filiera dovr\u00e0 quindi lavorare sempre pi\u00f9 a partire da una rappresentazione consolidata del rischio nella quale la logica della Gestione integrata del rischio di criminalit\u00e0 finanziaria sia visibilmente incorporata come livello necessario di due diligence e di controllo amministrativo.<\/p>

Il collegamento tra rischio di continuit\u00e0 e rischio di integrit\u00e0 finanziaria<\/h4>

Il quadro CER\/Wwke non \u00e8 stato formalmente concepito come legislazione in materia di integrit\u00e0 finanziaria, ma la prassi dei soggetti critici dimostra chiaramente che il rischio di continuit\u00e0 e il rischio di integrit\u00e0 finanziaria spesso non possono essere separati in modo convincente. La fornitura di un servizio essenziale pu\u00f2 essere minacciata non solo da sabotaggi, guasti di sistema o eventi naturali, ma anche da frodi, corruzione, violazioni delle sanzioni, rapporti connessi al riciclaggio di denaro, filiere di fornitura contaminate, carenze di integrit\u00e0 nei processi di acquisto e strutture opache di propriet\u00e0 o di finanziamento delle controparti commerciali. Un soggetto critico che collochi tali rischi esclusivamente in un silo separato di integrit\u00e0 o di compliance, senza collegarli espressamente alla continuit\u00e0 del servizio essenziale, corre il rischio di trascurare meccanismi di perturbazione sostanziali. Quando un fornitore chiave viene meno a causa di un\u2019esposizione alle sanzioni, quando un prestatore esternalizzato \u00e8 oggetto di un\u2019indagine penale, quando una frode negli acquisti conduce a materiali o servizi difettosi, o quando la corruzione compromette l\u2019affidabilit\u00e0 di contratti di manutenzione o di sicurezza, non si pone soltanto una questione di integrit\u00e0, ma anche un problema diretto di resilienza ai sensi del CER\/Wwke.<\/p>

In tale prospettiva, \u00e8 opportuno non considerare il sistema di Gestione integrata del rischio di criminalit\u00e0 finanziaria come un semplice strumento di compliance, bens\u00ec come una componente piena del pi\u00f9 ampio quadro di resilienza dei soggetti critici. La Gestione integrata del rischio di criminalit\u00e0 finanziaria fornisce una struttura idonea a individuare in modo sistematico i rischi relativi ai clienti, ai fornitori, alle transazioni, alla propriet\u00e0, alla geografia e ai comportamenti, a rilevare schemi di abuso o infiltrazione e ad attribuire esplicitamente le responsabilit\u00e0 di governance. Per i soggetti critici, tale approccio pu\u00f2 avere un valore determinante, in quanto consente di non trattare le perturbazioni connesse all\u2019integrit\u00e0 come meri rischi reputazionali remoti, ma come eventi suscettibili di incidere direttamente sulla sicurezza dell\u2019approvvigionamento, sulla stabilit\u00e0 contrattuale, sull\u2019accesso ai servizi, sulle autorizzazioni, sui finanziamenti e sulla capacit\u00e0 operativa. Il collegamento tra CER\/Wwke e Gestione integrata del rischio di criminalit\u00e0 finanziaria conduce pertanto a una comprensione pi\u00f9 raffinata della minaccia: ci\u00f2 che rileva non \u00e8 soltanto l\u2019attacco visibile all\u2019infrastruttura, ma anche l\u2019erosione progressiva dell\u2019affidabilit\u00e0 all\u2019interno delle relazioni, delle transazioni e dei processi decisionali dai quali dipende il servizio essenziale.<\/p>

Tale collegamento riveste grande importanza anche sul piano della governance. Gli organi amministrativi e di sorveglianza che organizzano il rischio di continuit\u00e0 e il rischio di integrit\u00e0 finanziaria in linee di reporting distinte creano spesso una zona cieca istituzionale. Ne pu\u00f2 derivare che i segnali individuati nell\u2019ambito della Gestione integrata del rischio di criminalit\u00e0 finanziaria non vengano tradotti tempestivamente in misure di protezione del servizio essenziale, mentre i problemi di continuit\u00e0 operativa, a loro volta, non vengono riportati alla funzione di integrit\u00e0. In un ambiente fortemente regolato, una simile separazione diventa sempre pi\u00f9 difficile da sostenere. Il CER\/Wwke non richiede infatti soltanto che i rischi siano registrati, ma che siano valutati alla luce della prestazione del servizio essenziale. Tale criterio impone un approccio funzionale: ogni rischio di integrit\u00e0 finanziaria suscettibile di incidere ragionevolmente sulla prestazione di tale servizio appartiene alla rappresentazione rilevante della resilienza. Il vantaggio strategico di un collegamento esplicito con la Gestione integrata del rischio di criminalit\u00e0 finanziaria risiede nel fatto che esso consente al soggetto di organizzare in modo coerente lo screening, il monitoraggio, la gestione del rischio relativo ai terzi, il rilevamento degli incidenti e i protocolli di escalation. Ne deriva una linea di difesa pi\u00f9 solida contro perturbazioni che, in mancanza di tale collegamento, potrebbero essere erroneamente classificate come meri incidenti di integrit\u00e0, mentre le loro conseguenze sociali si estendono in realt\u00e0 ben oltre.<\/p>

Dimostrabilit\u00e0 delle misure di resilienza e responsabilit\u00e0 amministrativa<\/h4>

Il regime CER\/Wwke richiede non soltanto che esistano misure di resilienza, ma anche che sia dimostrabile per quali ragioni tali misure siano state scelte, in che modo corrispondano all\u2019attuale rappresentazione del rischio, in quale maniera funzionino e chi assuma la responsabilit\u00e0 amministrativa della loro progettazione, attuazione, verifica e aggiornamento. Questo requisito di dimostrabilit\u00e0 va ben oltre la classica esistenza di politiche, protocolli o piani di gestione degli incidenti. In termini giuridici, l\u2019accento si sposta sulla dimostrazione della ragionevolezza, della coerenza e dell\u2019efficacia delle misure. Una misura che esista formalmente ma non possa essere ricondotta all\u2019analisi del rischio, non sia stata tradotta nei processi operativi, non sia testata o non sia sottoposta a monitoraggio amministrativo contribuisce solo in misura limitata alla difendibilit\u00e0 del soggetto nei confronti delle autorit\u00e0 di vigilanza o delle autorit\u00e0 competenti. La questione, pertanto, non consiste soltanto nello stabilire se una misura esista sulla carta, ma se il soggetto sia in grado di dimostrare che l\u2019assetto prescelto costituisce una risposta ponderata alle specifiche vulnerabilit\u00e0 messe in luce dall\u2019analisi. Ci\u00f2 richiede una documentazione disciplinata, un processo decisionale chiaro, una governance verificabile e un livello di supervisione amministrativa nel quale l\u2019agenda della resilienza sia assunta in modo visibile.<\/p>

Nella prassi, ci\u00f2 significa che la responsabilit\u00e0 amministrativa non pu\u00f2 essere esaurita mediante generici rinvii a compiti delegati alla sicurezza, alla compliance, al risk management o alle operations. Dagli organi amministrativi e dal senior management ci si attende che comprendano le ipotesi fondamentali del modello di resilienza, che stabiliscano priorit\u00e0 nell\u2019allocazione delle risorse, che mantengano visibilit\u00e0 sulle dipendenze maggiori e che sorveglino attivamente la questione se le misure di mitigazione corrispondano realmente alla natura critica del servizio essenziale. Un organo di amministrazione che agisca soltanto in modo reattivo dopo gli incidenti, oppure che si accontenti di assurance generiche senza un esame sostanziale, colloca l\u2019organizzazione in una posizione di vulnerabilit\u00e0. Ci\u00f2 vale a maggior ragione quando il soggetto opera in un contesto nel quale si intersecano molteplici regimi di vigilanza, quali la regolamentazione settoriale, gli obblighi in materia cyber, le norme sull\u2019esternalizzazione, i requisiti di integrit\u00e0 e gli obblighi derivanti dalla Gestione integrata del rischio di criminalit\u00e0 finanziaria. In tali circostanze, la responsabilit\u00e0 amministrativa viene valutata alla luce della capacit\u00e0 di prevenire la frammentazione. Ci\u00f2 che \u00e8 decisivo non \u00e8 la mera esistenza di numerosi documenti di controllo separati, ma la questione se esista una linea amministrativa identificabile che colleghi l\u2019analisi del rischio, la selezione delle misure, l\u2019escalation, gli investimenti, l\u2019audit e il reporting.<\/p>

Il ruolo della Gestione integrata del rischio di criminalit\u00e0 finanziaria \u00e8 significativo anche sotto tale profilo, poich\u00e9 in questo ambito la dimostrabilit\u00e0 e l\u2019accountability risultano tradizionalmente molto sviluppate e offrono elementi costruttivi utili per la governance CER\/Wwke. \u00c8 del tutto concepibile, ad esempio, che le decisioni relative a fornitori, terzi, pagamenti, rapporti di esternalizzazione e connessioni operative ad alto rischio siano gi\u00e0 documentate, nell\u2019ambito della Gestione integrata del rischio di criminalit\u00e0 finanziaria, con un grado sufficiente di approfondimento quanto all\u2019accettazione del rischio, all\u2019escalation e all\u2019attribuzione delle responsabilit\u00e0. Quando tali elementi di governance vengono collegati agli obblighi derivanti dal CER\/Wwke, un soggetto critico \u00e8 meglio in grado di dimostrare che le misure non sono state adottate in modo improvvisato, ma discendono da una valutazione sistematica delle vulnerabilit\u00e0 e delle dipendenze. Ci\u00f2 rafforza non soltanto la difendibilit\u00e0 esterna nei confronti dell\u2019autorit\u00e0 di vigilanza, ma anche la disciplina interna dell\u2019organo amministrativo. In questo contesto, la dimostrabilit\u00e0 non costituisce una semplice formalit\u00e0 successiva, ma un elemento costitutivo della resilienza stessa: un soggetto che non sia in grado di spiegare perch\u00e9 una misura esista, chi ne sia responsabile e come la sua efficacia venga monitorata incontrer\u00e0 spesso, in una situazione di crisi, difficolt\u00e0 anche nel far s\u00ec che tale misura funzioni realmente in modo efficace.<\/p>

Obblighi di notifica, informazione e rendicontazione nei confronti delle autorit\u00e0 e degli organi di vigilanza<\/h4>

Gli obblighi di notifica, informazione e rendicontazione previsti dal CER\/Wwke rientrano tra gli elementi pi\u00f9 sensibili e, al contempo, pi\u00f9 strategici del regime. Essi sono sensibili perch\u00e9 impongono al soggetto critico di condividere con le autorit\u00e0 competenti, in un breve lasso di tempo, informazioni potenzialmente gravose, operativamente delicate e talvolta sensibili sul piano reputazionale; sono strategici perch\u00e9 tali informazioni risultano essenziali per la costruzione di una posizione informativa amministrativa a livello nazionale e, ove necessario, transfrontaliero. L\u2019obbligo di notificare gli incidenti che perturbano o possono perturbare in modo significativo il servizio essenziale non pu\u00f2 quindi essere inteso come un requisito amministrativo autonomo. Si tratta di un meccanismo che consente allo Stato di valutare una perturbazione non soltanto dal punto di vista del singolo soggetto, ma in relazione al suo impatto pi\u00f9 ampio sulla societ\u00e0, sull\u2019economia, sulle filiere e su altre funzioni vitali. Per il soggetto tenuto alla notifica, ci\u00f2 implica che la qualificazione degli incidenti, le linee di escalation, la formazione dei fascicoli e i processi interni di validazione debbano essere organizzati in modo tale che la tempestivit\u00e0 non comprometta l\u2019affidabilit\u00e0, e che l\u2019affidabilit\u00e0 non produca un ritardo paralizzante.<\/p>

La complessit\u00e0 di tale obbligo aumenta considerevolmente una volta riconosciuto che, nella prassi, molti incidenti non si presentano come eventi immediatamente chiari e nettamente delimitati. In una fase iniziale \u00e8 spesso incerto se si tratti di un difetto tecnico, di un atto malevolo, di un incidente di integrit\u00e0, di un problema di approvvigionamento, di una carenza del personale o di una combinazione di tali fattori. Proprio per questo motivo, i processi di notifica e rendicontazione devono essere progettati sulla base dell\u2019incertezza e dello sviluppo progressivo delle informazioni. Una prima notifica deve essere possibile anche in assenza di un\u2019analisi causale completa, mentre la successiva relazione dettagliata deve offrire una struttura sufficiente per rendere intelligibili la natura, l\u2019impatto, la probabile causa, le misure adottate, le conseguenze attese e le vulnerabilit\u00e0 residue. Un soggetto che non sviluppi anticipatamente tale processo corre il rischio, in una situazione incidentale, di cadere in una comunicazione frammentata e improvvisata, in un atteggiamento giuridicamente difensivo o in una trasmissione incoerente di informazioni a diverse autorit\u00e0. Gli obblighi derivanti dal CER\/Wwke richiedono pertanto una forma di prontezza alla rendicontazione: la capacit\u00e0 di comunicare, sotto pressione, in modo fattuale, accurato e istituzionalmente utile. Anche in questo caso, il collegamento con la Gestione integrata del rischio di criminalit\u00e0 finanziaria pu\u00f2 presentare un valore aggiunto, poich\u00e9 tale ambito dispone spesso di esperienza in materia di regole di escalation, governance delle attivit\u00e0 sospette, trattamento delle informazioni, standard documentali e percorsi decisionali relativi a notifiche sensibili.<\/p>

Inoltre, gli obblighi di notifica, informazione e rendicontazione non producono effetti soltanto all\u2019esterno, ma penetrano in profondit\u00e0 nell\u2019organizzazione interna del soggetto critico. La questione di quali informazioni debbano essere trasmesse, in quale momento, chi sia autorizzato ad approvare la comunicazione esterna, come venga garantita l\u2019esattezza fattuale, quale ruolo svolga la consulenza legale e come venga assicurata la coerenza con notifiche parallele effettuate ai sensi di altri regimi, incide direttamente sulla struttura amministrativa dell\u2019organizzazione. In molti settori, infatti, un incidente pu\u00f2 essere contemporaneamente rilevante ai fini del CER\/Wwke, della regolamentazione cyber, della vigilanza settoriale, degli impegni contrattuali verso le controparti, dei rapporti assicurativi, delle autorit\u00e0 penali o delle funzioni di integrit\u00e0. In assenza di una direzione integrata, emerge rapidamente il rischio di qualificazioni contraddittorie e di frammentazione delle informazioni. Il valore aggiunto di un collegamento esplicito con la Gestione integrata del rischio di criminalit\u00e0 finanziaria risiede qui nel fatto che le competenze gi\u00e0 esistenti in materia di triage, riservatezza, escalation, accertamento dei fatti e armonizzazione delle relazioni possono essere impiegate per rendere pi\u00f9 robusta l\u2019operativizzazione degli obblighi derivanti dal CER\/Wwke. In questo regime, gli obblighi di notifica e rendicontazione non possono pertanto essere considerati come una semplice fase conclusiva successiva all\u2019incidente, bens\u00ec come una componente essenziale del quadro preventivo di resilienza. Un soggetto che non sia in grado di notificare e interpretare in modo coerente una perturbazione grave rivela spesso, proprio per questo, che la comprensione sottostante del rischio, della dipendenza e della governance non \u00e8 a sua volta sufficientemente integrata.<\/p><\/div><\/div><\/div><\/div>

Il ruolo delle autorit\u00e0 competenti nella valutazione e nell\u2019applicazione delle misure<\/h4>

Nel quadro del regime CER\/Wwke, l\u2019autorit\u00e0 competente occupa una posizione che si estende ben oltre quella di un\u2019autorit\u00e0 settoriale classica incaricata unicamente di verificare ex post se gli obblighi formali di legge siano stati rispettati. In questo contesto, l\u2019autorit\u00e0 competente \u00e8 investita di un mandato di diritto pubblico che comprende dimensioni normative, valutative, di coordinamento e di enforcement. Gi\u00e0 a livello della valutazione settoriale dei rischi risulta evidente che l\u2019autorit\u00e0 non agisce come soggetto esterno rispetto al compito di resilienza, bens\u00ec come attore istituzionale che contribuisce a modellare il quadro entro il quale le entit\u00e0 critiche devono sviluppare la propria analisi del rischio e le proprie misure di resilienza. Ci\u00f2 riveste grande importanza per l\u2019interpretazione degli obblighi di legge. Esso chiarisce che la norma non si forma esclusivamente all\u2019interno dell\u2019entit\u00e0 stessa, ma viene ulteriormente specificata dalla rappresentazione pubblica del rischio, dalle aspettative proprie del settore e dall\u2019interpretazione amministrativa di ci\u00f2 che, in un dato contesto, costituisce un livello adeguato di resilienza. L\u2019autorit\u00e0, pertanto, non opera soltanto come destinataria di informazioni, ma anche come produttrice di contesto, priorit\u00e0 e cornici orientative che concorrono a strutturare il margine di apprezzamento giuridico dell\u2019entit\u00e0.<\/p>

Nella pratica, tale posizione si traduce in una forma di vigilanza necessariamente stratificata e interpretativa. La valutazione di un\u2019entit\u00e0 critica non pu\u00f2 fondarsi su un approccio meccanico di tipo checklist, poich\u00e9 la questione se un\u2019entit\u00e0 sia realmente in grado di continuare a fornire un servizio essenziale di fronte a minacce diverse dipende da caratteristiche settoriali specifiche, configurazioni tecniche, strutture di dipendenza, collocazione geografica, grado di esternalizzazione, interconnessione internazionale e qualit\u00e0 della governance amministrativa. L\u2019autorit\u00e0 competente deve quindi essere in grado di valutare se l\u2019analisi del rischio dell\u2019entit\u00e0 presenti sufficiente profondit\u00e0, se le misure adottate corrispondano al suo specifico profilo di rischio, se le notifiche siano effettuate in modo adeguato e tempestivo e se le scelte amministrative relative alla prioritizzazione, agli investimenti e all\u2019escalation trovino un fondamento ragionevole nell\u2019obiettivo legale della protezione della continuit\u00e0. La vigilanza assume cos\u00ec un carattere sostanziale. Ci\u00f2 che diviene decisivo non \u00e8 la mera esistenza di documenti in quanto tali, bens\u00ec la forza persuasiva della coerenza tra analisi, decisione e attuazione. Per le entit\u00e0 critiche, ci\u00f2 significa che il rapporto con l\u2019autorit\u00e0 competente non pu\u00f2 essere affrontato in maniera puramente difensiva. Un\u2019entit\u00e0 che cerchi soltanto di dimostrare una conformit\u00e0 formale minima, lasciando per\u00f2 visibilmente insufficiente la risposta alla vulnerabilit\u00e0 operativa sottostante, raggiunger\u00e0 pi\u00f9 rapidamente, in un modello di vigilanza sostanziale, i limiti della tolleranza amministrativa.<\/p>

La dimensione dell\u2019enforcement conferma tale quadro. Il regime CER\/Wwke non \u00e8 stato espressamente concepito come una vigilanza simbolica priva di forza coercitiva, bens\u00ec come un quadro entro il quale l\u2019autorit\u00e0 competente pu\u00f2 effettivamente intervenire quando la continuit\u00e0 dei servizi essenziali risulti protetta in misura insufficiente. La disponibilit\u00e0 di sanzioni amministrative pecuniarie, penalit\u00e0 di mora e misure di esecuzione amministrativa evidenzia che il legislatore non considera le carenze nella governance della resilienza come meri malfunzionamenti organizzativi interni, ma come rischi di rilevanza pubblica che, ove necessario, devono essere contenuti mediante interventi correttivi. Ci\u00f2 comporta implicazioni anche per l\u2019organizzazione della Gestione integrata del rischio di criminalit\u00e0 finanziaria all\u2019interno delle entit\u00e0 critiche. L\u00e0 dove rischi di integrit\u00e0 finanziaria, rischio legato ai terzi, esposizione alle sanzioni, indicatori di frode o strutture proprietarie dei fornitori possano incidere sulla continuit\u00e0 del servizio essenziale, l\u2019autorit\u00e0 competente pu\u00f2 legittimamente attendersi che tali elementi non restino esclusi dalla valutazione della resilienza. Il ruolo dell\u2019autorit\u00e0 assume pertanto anche una funzione di collegamento tra la classica tutela della continuit\u00e0 e una vigilanza pi\u00f9 ampia su integrit\u00e0 e dipendenze. Diviene cos\u00ec evidente che valutazione ed enforcement nel quadro CER\/Wwke non riguardano soltanto la sicurezza in senso stretto, ma il controllo amministrativo di tutti i fattori rilevanti suscettibili di compromettere il servizio essenziale.<\/p>

Dalla conformit\u00e0 formale alla qualit\u00e0 sostanziale della resilienza<\/h4>

Una delle ambizioni pi\u00f9 caratteristiche del regime CER\/Wwke consiste nel passaggio dalla conformit\u00e0 formale come punto di arrivo alla qualit\u00e0 sostanziale della resilienza come criterio di una strutturazione conforme alla norma. Questa distinzione \u00e8 fondamentale. La conformit\u00e0 formale presuppone che il controllo giuridico si concentri soprattutto sull\u2019esistenza di documenti prescritti, procedure, canali di notifica e funzioni organizzative. La qualit\u00e0 sostanziale della resilienza, al contrario, richiede di verificare se tali elementi, considerati nel loro insieme, contribuiscano effettivamente alla protezione del servizio essenziale contro scenari realistici di perturbazione. In un quadro orientato alla continuit\u00e0 di funzioni di grande rilevanza sociale, un approccio puramente formale sarebbe inevitabilmente insufficiente. Un\u2019analisi del rischio che appaia metodologicamente curata ma lasci senza menzione dipendenze cruciali, una procedura di gestione degli incidenti che sembri giuridicamente completa ma si riveli operativamente inutilizzabile, oppure una struttura di governance che sulla carta attribuisca responsabilit\u00e0 chiare ma sia priva di una reale capacit\u00e0 di escalation, forse producono ordine amministrativo, ma non una resilienza convincente. Il quadro CER\/Wwke indica quindi implicitamente che la conformit\u00e0 ha significato solo nella misura in cui si traduce in una capacit\u00e0 reale di protezione.<\/p>

Ci\u00f2 comporta conseguenze di vasta portata sul modo in cui le entit\u00e0 critiche strutturano i propri assetti di controllo interno. L\u2019accento si sposta dalla produzione di documenti alla capacit\u00e0 di giustificare le scelte, dal semplice rispetto minimo dei requisiti alla dimostrazione della coerenza, e da una funzione di compliance isolata a una direzione amministrativa integrata. La questione non \u00e8 pi\u00f9 soltanto se esista una policy, ma se tale policy sia calibrata sulla concreta realt\u00e0 di rischio dell\u2019entit\u00e0. Allo stesso modo, non \u00e8 sufficiente che un processo di notifica degli incidenti sia formalmente stabilito; \u00e8 necessario che i segnali siano riconosciuti tempestivamente, che i criteri di classificazione siano operativi, che l\u2019escalation al livello dell\u2019organo di amministrazione non fallisca a causa di frizioni organizzative e che la comunicazione di informazioni verso l\u2019esterno possa avvenire in modo coerente quando la pressione \u00e8 massima. La qualit\u00e0 sostanziale della resilienza richiede inoltre che l\u2019entit\u00e0 sviluppi una capacit\u00e0 istituzionale di apprendimento. Incidenti, quasi incidenti, allerte esterne, problemi relativi ai fornitori, audit, informazioni sulle minacce e test operativi non devono essere amministrati separatamente, bens\u00ec trasformati in un quadro dinamico della qualit\u00e0 della resilienza. In assenza di questa dimensione di apprendimento, la conformit\u00e0 diviene rapidamente retrospettiva e statica, mentre il quadro CER\/Wwke si fonda proprio su ambienti di minaccia dinamici e su una ricalibrazione periodica.<\/p>

Il collegamento con la Gestione integrata del rischio di criminalit\u00e0 finanziaria rafforza ulteriormente tale spostamento. All\u2019interno di un quadro correttamente organizzato di Gestione integrata del rischio di criminalit\u00e0 finanziaria, l\u2019accento non cade normalmente soltanto sull\u2019esistenza di procedure, ma sull\u2019efficacia della rilevazione, del monitoraggio, della due diligence, dell\u2019escalation e del seguito amministrativo. Tale approccio si accorda strettamente con l\u2019idea di qualit\u00e0 sostanziale della resilienza. Quando un\u2019entit\u00e0 critica riunisce queste discipline, emerge un modello nel quale la conformit\u00e0 non viene intesa come semplice produzione documentale, ma come controllo dimostrabile di rischi direttamente rilevanti per il servizio essenziale. Ci\u00f2 vale in particolare per relazioni di catena ad alto rischio, strutture complesse di fornitori, dipendenze transfrontaliere e segnali di integrit\u00e0 suscettibili di incidere sulla continuit\u00e0 operativa. Un\u2019entit\u00e0 che soddisfi formalmente obblighi distinti, ma non renda visibile l\u2019interrelazione tra rischio di continuit\u00e0 e rischio di integrit\u00e0 finanziaria, sar\u00e0 pi\u00f9 debole sul piano sostanziale rispetto a un\u2019entit\u00e0 che abbia esplicitamente integrato tali connessioni. Il passaggio dalla conformit\u00e0 formale alla qualit\u00e0 sostanziale della resilienza non \u00e8 quindi soltanto un\u2019aspirazione di policy, ma il nucleo stesso di un\u2019attuazione giuridica convincente degli obblighi derivanti dal CER\/Wwke.<\/p>

La tensione tra requisiti di vigilanza e fattibilit\u00e0 operativa<\/h4>

Il regime CER\/Wwke impone obblighi esigenti alle entit\u00e0 critiche, ma tali obblighi non sorgono in un vuoto istituzionale. Essi si applicano a organizzazioni gi\u00e0 inserite in realt\u00e0 operative, tecniche, contrattuali e umane complesse e spesso soggette simultaneamente a molteplici regimi di vigilanza, ciascuno dotato di una propria terminologia, di proprie linee di reporting e di proprie aspettative in materia di accountability. \u00c8 a questo livello che emerge una tensione fondamentale tra requisiti di vigilanza e fattibilit\u00e0 operativa. Da un lato, il legislatore richiede un\u2019analisi approfondita dei rischi, misure di resilienza dimostrabili, notifiche di incidenti senza indebito ritardo, una ricalibrazione periodica, il coinvolgimento degli organi amministrativi e la disponibilit\u00e0 a cooperare con le autorit\u00e0 di vigilanza. Dall\u2019altro lato, molte entit\u00e0 critiche non dispongono n\u00e9 di risorse illimitate, n\u00e9 di strutture dati uniformi, n\u00e9 di modelli di governance pienamente armonizzabili. I dipartimenti operativi lavorano sotto pressione temporale, i sistemi si sono sviluppati storicamente, le relazioni di catena sono frammentate sul piano contrattuale o tecnico e le informazioni rilevanti per le autorit\u00e0 di vigilanza sono spesso distribuite internamente tra sicurezza, legale, operazioni, acquisti, compliance, risk, finanza e gestione della crisi. In questa realt\u00e0, un regime giuridicamente sofisticato pu\u00f2 essere efficace soltanto se viene tradotto non solo come normativamente ambizioso, ma anche come amministrativamente praticabile.<\/p>

Questa tensione non deve essere sottovalutata, poich\u00e9 altrimenti conduce facilmente a due estremi ugualmente indesiderabili. Nel primo estremo, l\u2019entit\u00e0 tenta di assorbire il pi\u00f9 completamente possibile i requisiti della vigilanza costruendo un sistema sempre pi\u00f9 pesante di documenti, controlli, riunioni e reporting, con il rischio che l\u2019organizzazione operativa si impantani in un eccessivo carico procedurale e che l\u2019essenza stessa della resilienza effettiva venga perduta di vista. Nel secondo estremo, emerge una resistenza al regime e quest\u2019ultimo viene percepito come un onere esterno che occorre soprattutto gestire formalmente, con un\u2019integrazione minima nei processi centrali dell\u2019organizzazione. Entrambi gli esiti compromettono l\u2019obiettivo del CER\/Wwke. Una reale fattibilit\u00e0 richiede pertanto un approccio progettuale nel quale i requisiti di vigilanza siano integrati nei ritmi operativi esistenti, nelle linee decisionali e nei processi informativi, senza perdita di rigore normativo. Ci\u00f2 esige sia comprensione giuridica sia competenza organizzativa. Non ogni obbligo richiede necessariamente un processo autonomo; molti obblighi possono essere attuati in modo pi\u00f9 efficace mediante l\u2019integrazione con strutture di crisi esistenti, comitati di rischio, governance dei terzi, change management e meccanismi di assurance.<\/p>

Anche qui la Gestione integrata del rischio di criminalit\u00e0 finanziaria svolge un ruolo importante. Le organizzazioni che dispongono gi\u00e0 di un\u2019infrastruttura pi\u00f9 sviluppata per la due diligence, il monitoraggio, l\u2019escalation degli incidenti, lo screening dei fornitori, la documentazione di governance e l\u2019informazione gestionale possono utilizzare alcuni di questi elementi per rendere operativamente applicabili gli obblighi del CER\/Wwke senza creare duplicazioni inutili. Il valore della Gestione integrata del rischio di criminalit\u00e0 finanziaria in questo contesto risiede non solo nel collegamento sostanziale tra i rischi, ma anche nell\u2019architettura organizzativa che essa pu\u00f2 offrire. Cos\u00ec, quando informazioni su fornitori ad alto rischio, schemi transazionali anomali, strutture proprietarie, rischi sanzionatori ed escalation siano gi\u00e0 raccolte in modo sistematico, tale infrastruttura pu\u00f2 essere utilizzata anche per rendere pi\u00f9 visibili i rischi di resilienza legati alla catena. In tal modo, la fattibilit\u00e0 operativa del quadro CER\/Wwke ne risulta rafforzata. La tensione tra vigilanza e attuazione non scompare per questo, ma diventa pi\u00f9 gestibile. Il punto decisivo \u00e8 che le entit\u00e0 critiche non trattino i requisiti di vigilanza come un universo parallelo, bens\u00ec li traducano in una governance praticabile, allineata alla propria realt\u00e0 operativa, senza scadere in un ritualismo puramente formale.<\/p>

L\u2019importanza di un\u2019analisi congiunta delle minacce e di un quadro operativo integrato unitario<\/h4>

L\u2019efficacia del quadro CER\/Wwke dipende in larga misura dalla qualit\u00e0 della comprensione condivisa delle minacce tra entit\u00e0 critiche, autorit\u00e0 competenti e, ove rilevante, altri attori pubblici e privati coinvolti nella protezione dei servizi essenziali. Un\u2019entit\u00e0 critica pu\u00f2 operare con efficacia soltanto limitata quando la propria rappresentazione del rischio diverga in modo significativo dai segnali settoriali, dalle valutazioni nazionali delle minacce o dall\u2019esperienza dei partner di catena. Inversamente, lo Stato pu\u00f2 esercitare in modo solo limitato il proprio ruolo di coordinamento ed enforcement qualora notifiche di incidenti, analisi settoriali e informazioni di vigilanza non siano riunite in una visione coerente dei modelli di perturbazione, delle dipendenze e dei rischi di escalation. In questo contesto, l\u2019idea di un\u2019analisi congiunta delle minacce assume un\u2019importanza decisiva. Non si tratta soltanto di uno scambio di informazioni in senso generale, ma della costruzione di un quadro analitico condiviso nel quale i rischi pertinenti siano classificati, interpretati e prioritizzati in modo comparabile. In assenza di una simile base analitica condivisa, ciascun attore rischia di operare a partire da una prospettiva parziale, con la conseguenza che rischi sistemici significativi vengono riconosciuti troppo tardi o in modo troppo incompleto.<\/p>

Il concetto di un quadro operativo integrato unitario si colloca direttamente in tale logica. Per le entit\u00e0 critiche, ci\u00f2 non significa necessariamente l\u2019esistenza di un unico dashboard letterale o di un ambiente tecnico uniforme, ma piuttosto l\u2019esistenza di una visione complessiva coerente, tanto sul piano amministrativo quanto su quello operativo, nella quale siano riunite perturbazioni fisiche, segnali digitali, vulnerabilit\u00e0 del personale, problemi relativi ai fornitori, notifiche di integrit\u00e0, degrado operativo e informazioni esterne sulle minacce. Una simile rappresentazione integrata \u00e8 essenziale, poich\u00e9 le perturbazioni gravi raramente possono essere ridotte a una sola disciplina. Ci\u00f2 che inizia come una perturbazione nella catena di approvvigionamento pu\u00f2 acquisire una dimensione cyber, poi condurre a un sovraccarico del personale, successivamente degenerare in difficolt\u00e0 di comunicazione con le autorit\u00e0 e infine sfociare in una disorganizzazione sociale. Se l\u2019organizzazione non dispone di un quadro integrato di ci\u00f2 che si sta sviluppando, ne deriveranno ritardi decisionali, incoerenze nel reporting e una prioritizzazione subottimale di risorse scarse. Il quadro CER\/Wwke implica quindi l\u2019aspettativa che le entit\u00e0 critiche organizzino i propri sistemi informativi, le proprie strutture di crisi e la propria governance in modo tale da limitare la frammentazione e consentire una valutazione tempestiva e interconnessa dei segnali rilevanti.<\/p>

Anche qui il rapporto con la Gestione integrata del rischio di criminalit\u00e0 finanziaria \u00e8 evidente. In molte organizzazioni, i segnali relativi a transazioni che aumentano il rischio, controparti dubbie, schemi anomali di fornitori, risultati di screening o avvisi legati alle sanzioni si trovano in sistemi e team istituzionalmente separati dalle funzioni di continuit\u00e0 operativa o di sicurezza. Ne pu\u00f2 derivare la perdita di un contesto essenziale. Un quadro operativo integrato unitario che escluda strutturalmente i segnali di integrit\u00e0 finanziaria rimane incompleto, soprattutto in settori nei quali l\u2019affidabilit\u00e0 dei terzi, la pulizia dei flussi finanziari e l\u2019integrit\u00e0 delle catene di approvvigionamento e contrattuali incidono direttamente sulla sicurezza di fornitura del servizio essenziale. La Gestione integrata del rischio di criminalit\u00e0 finanziaria pu\u00f2 dunque apportare un contributo sostanziale all\u2019analisi congiunta delle minacce mettendo a disposizione dati, indicatori e processi di governance che altrimenti resterebbero al di fuori del dominio della continuit\u00e0. Il vantaggio strategico di tale integrazione risiede nel fatto che l\u2019analisi delle minacce non reagisce pi\u00f9 soltanto a perturbazioni manifeste, ma diventa anche sensibile ai segnali precoci di erosione, abuso o infiltrazione suscettibili di incidere nel tempo sulla resilienza dell\u2019entit\u00e0. Un quadro operativo condiviso e integrato diventa cos\u00ec condizione per un intervento tempestivo, per la coerenza amministrativa e per un rispetto credibile degli obblighi derivanti dal CER\/Wwke.<\/p>

La vigilanza ai sensi del CER\/Wwke come catalizzatore di una governance integrata della Gestione integrata del rischio di criminalit\u00e0 finanziaria<\/h4>

Quando il regime CER\/Wwke viene considerato nella sua interezza, emerge una concezione della vigilanza che non si limita a correggere e a vincolare, ma pu\u00f2 anche esercitare un effetto trasformativo sulla governance interna delle entit\u00e0 critiche. Il quadro obbliga infatti le organizzazioni ad approfondire la propria analisi dei rischi, a rendere esplicite le dipendenze, a ripartire pi\u00f9 chiaramente le responsabilit\u00e0 amministrative, a strutturare il reporting degli incidenti e a rendere dimostrabile l\u2019efficacia delle misure adottate. Questi requisiti esercitano pressione sulle tradizionali compartimentazioni organizzative e creano cos\u00ec un forte incentivo all\u2019integrazione di funzioni che in precedenza coesistevano soltanto in parte. Da questa prospettiva, la vigilanza ai sensi del CER\/Wwke pu\u00f2 fungere da catalizzatore di una governance integrata della Gestione integrata del rischio di criminalit\u00e0 finanziaria. Non perch\u00e9 il quadro CER\/Wwke si fonda formalmente nel diritto dell\u2019integrit\u00e0 finanziaria, ma perch\u00e9 mette in luce le stesse debolezze amministrative che ricorrono anche nel campo della Gestione integrata del rischio di criminalit\u00e0 finanziaria: rappresentazioni frammentate del rischio, insufficiente conoscenza delle catene, escalation deficitaria, limitata assunzione di responsabilit\u00e0 a livello dell\u2019organo amministrativo e un\u2019enfasi eccessiva su descrizioni formali di processo senza sufficiente visibilit\u00e0 sull\u2019effettiva efficacia.<\/p>

Per molte entit\u00e0 critiche, ci\u00f2 costituisce una rilevante opportunit\u00e0 strategica. Invece di considerare il CER\/Wwke come un ulteriore quadro normativo separato che si aggiunge agli obblighi esistenti, esso pu\u00f2 essere utilizzato come leva strutturale per costruire una governance del rischio pi\u00f9 integrata, nella quale rischio di continuit\u00e0, rischio operativo, cyber risk, rischio fornitore e rischio di integrit\u00e0 finanziaria siano gestiti congiuntamente. La Gestione integrata del rischio di criminalit\u00e0 finanziaria offre a tale scopo metodi e discipline preziosi, in particolare nei settori della due diligence sui terzi, dell\u2019analisi della propriet\u00e0 e del controllo, del monitoraggio delle transazioni, dello screening sanzionatorio, della governance dell\u2019escalation, della registrazione degli incidenti e dell\u2019accountability amministrativa. Quando questi elementi vengono intrecciati con i requisiti del CER\/Wwke, ne deriva un modello di governance pi\u00f9 capace di proteggere effettivamente la funzione sociale dell\u2019entit\u00e0 critica. Il valore aggiunto che ne consegue non risiede soltanto nell\u2019efficienza o nella riduzione delle sovrapposizioni, ma soprattutto in un innalzamento della qualit\u00e0 sostanziale. Un\u2019entit\u00e0 che integri la logica della Gestione integrata del rischio di criminalit\u00e0 finanziaria nella propria architettura della resilienza accresce la probabilit\u00e0 che rischi sottili ma sistemicamente rilevanti di integrit\u00e0 e dipendenza vengano riconosciuti in tempo prima di tradursi in disfunzioni operative.<\/p>

Diventa cos\u00ec evidente anche che la vigilanza ai sensi del CER\/Wwke fa in definitiva pi\u00f9 che verificare la conformit\u00e0; essa ridefinisce le aspettative relative alla buona governance nei settori critici. Agli amministratori e ai dirigenti di vertice si richiede sempre pi\u00f9 di non affrontare i rischi in modo ristretto sul piano settoriale o funzionale, ma di riconoscere che la continuit\u00e0 dei servizi essenziali dipende da un ampio insieme di fattori tra loro intrecciati. Una governance integrata della Gestione integrata del rischio di criminalit\u00e0 finanziaria pu\u00f2, in tale quadro pi\u00f9 ampio, fungere da fondamento strutturante per il giudizio amministrativo, in quanto fornisce meccanismi per mettere in relazione rapporti, transazioni, terzi, flussi finanziari, strutture proprietarie e indicatori comportamentali con il compito di resilienza dell\u2019organizzazione. Ne risulta una forma di governance nella quale normativit\u00e0 giuridica, realt\u00e0 operativa e indirizzo strategico del rischio si avvicinano tra loro. \u00c8 precisamente qui che risiede il significato pi\u00f9 profondo del quadro CER\/Wwke: non nell\u2019aggiungere ulteriori oneri di conformit\u00e0, ma nell\u2019imporre un ordinamento istituzionale nel quale la protezione dei servizi essenziali venga affrontata come un mandato di governance integrata. In questa lettura, la vigilanza ai sensi del CER\/Wwke non \u00e8 soltanto un regime di controllo, ma una forza trainante di una nuova generazione di governance nella quale resilienza, integrit\u00e0 e continuit\u00e0 non sono pi\u00f9 amministrate in compartimenti separati.<\/p><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div>

<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\n
\n\n\n
\n\n

Ruolo dell\u2019avvocato<\/span><\/span><\/h2> \n<\/div>\n\n\n<\/div>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Prevenzione\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Rilevamento\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Indagine\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Risposta\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Consulenza\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Contenzioso\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Negoziazione\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\n
\n\n\n
\n\n

Aree di attivit\u00e0<\/span><\/span><\/h2> \n<\/div>\n\n\n<\/div>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Difesa Penale Aziendale\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Questioni di Vigilanza e Applicazione Amministrativa\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Indagini Interne ed Esterne\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Diritto penale dell\u2019economia, Vigilanza regolatoria e Responsabilit\u00e0 d\u2019impresa\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Privacy, Dati & Sicurezza Informatica\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Tecnologia e Digitale\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\n
\n\n\n
\n\n

Settori<\/span><\/span><\/h2> \n<\/div>\n\n\n<\/div>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Agricoltura\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Arte e cultura\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Industria automobilistica\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Aviazione, aerospaziale e difesa\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Banche, istituzioni finanziarie e fintech\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Settore chimico\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Societ\u00e0 di consulenza e servizi professionali\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Beni di consumo e commercio al dettaglio\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Economia digitale\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Energia e risorse naturali\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Aziende familiari e gestione patrimoniale\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Alimentazione e bevande\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Entit\u00e0 governative e settore pubblico\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Assistenza sanitaria, scienze della vita e prodotti farmaceutici\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Ospitalit\u00e0, ristoranti & bar\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Assicurazione\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Media, intrattenimento e sport\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Private equity e venture capital\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Immobiliare e costruzione\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Startup e scale-up\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Telecomunicazioni\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Trasporti, mobilit\u00e0 e infrastrutture\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

La disciplina dei soggetti critici ai sensi della direttiva sulla resilienza dei soggetti critici e della legge olandese sulla resilienza dei soggetti critici segna uno spostamento di eccezionale rilievo nel modo in cui il legislatore europeo e nazionale affronta, sul piano normativo, la continuit\u00e0 dei servizi essenziali. Se nelle precedenti impostazioni della sicurezza e della continuit\u00e0 l\u2019accento era posto in misura considerevole su misure tecniche circoscritte, protocolli di sicurezza settoriali o interventi episodici successivi a disfunzioni concrete, il quadro CER\/Wwke introduce invece un regime fondato su una resilienza strutturale, incorporata nella governance e suscettibile di controllo giuridico. In tale regime,<\/p>\n","protected":false},"author":1,"featured_media":33941,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[237],"tags":[],"class_list":["post-33936","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-resilienza-delle-entita-critiche"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/33936","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/comments?post=33936"}],"version-history":[{"count":9,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/33936\/revisions"}],"predecessor-version":[{"id":33946,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/33936\/revisions\/33946"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/media\/33941"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/media?parent=33936"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/categories?post=33936"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/tags?post=33936"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}