L'art. 2 della Direttiva 2008/114/CE del Consiglio dell'8 dicembre 2008, relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione, intende per "Infrastruttura Critica" un elemento, un sistema o parte di questo ubicato negli Stati membri che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in uno Stato membro a causa dell'impossibilità di mantenere tali funzioni.

A tal proposito il Libro Verde relativo al programma europeo per la protezione delle Infrastrutture Critiche recita che queste "possono essere danneggiate, distrutte o manomesse a causa di atti deliberati di terrorismo, calamità naturali, negligenza, incidenti, pirateria informatica, attività criminose e comportamenti dolosi. Per tutelare la vita e i beni dei cittadini dell'UE dai rischi legati al terrorismo, alle calamità naturali e agli incidenti, bisogna fare in modo che gli eventuali danni alle infrastrutture critiche o la loro manomissione siano, nella misura del possibile, di breve durata, poco frequenti, gestibili, geograficamente isolati e il meno nocivi possibile per il benessere degli Stati membri, dei loro cittadini e dell'Unione Europea. I recenti attentati terroristici di Madrid e Londra hanno evidenziato i rischi contro le infrastrutture europee".

Lo stesso art. 2 della citata Direttiva 2008/114/CE definisce "Infrastruttura Critica Europea" o "ECI" un'infrastruttura critica ubicata negli Stati membri il cui danneggiamento o la cui distruzione avrebbe un significativo impatto su almeno due Stati membri. La rilevanza dell'impatto è valutata in termini intersettoriali. Sono compresi gli effetti derivanti da dipendenze intersettoriali in relazione ad altri tipi di infrastrutture.

L'art 5 fornisce indicazioni in merito alla redazione per il piano di sicurezza.

"La procedura per il piano di sicurezza per gli operatori (PSO) individua gli elementi della ECI e le soluzioni di sicurezza esistenti o in corso di attuazione per la loro protezione. Il contenuto minimo della procedura per un ECI PSO è definito nell'allegato II".

ALLEGATO II

Procedura ECI PSO

"Il PSO individua gli elementi dell'infrastruttura critica e le soluzioni di sicurezza esistenti o in corso di attuazione per la loro protezione. La procedura ECI PSO comporta almeno:

1) - l'individuazione degli elementi importanti;

2) - un'analisi dei rischi basata sulle minacce più gravi, sulla vulnerabilità di ogni elemento e sull'impatto potenziale;

3) - l'individuazione, la selezione e la prioritarizzazione di contromisure e procedure, con una distinzione fra:

- misure permanenti di sicurezza, che individuano gli investimenti e gli strumenti indispensabili in materia di sicurezza che si prestano ad essere utilizzati in ogni momento. Rientrano sotto questa voce le informazioni riguardanti le misure di tipo generale, quali quelle tecniche (inclusa l'installazione di strumenti di rilevazione, controllo accessi, protezione e prevenzione); le misure organizzative (comprese le procedure di allarme e gestione delle crisi); le misure di controllo e verifica; le comunicazioni; la crescita della consapevolezza e l'addestramento; la sicurezza dei sistemi informativi,

- misure graduali di sicurezza, che possono essere attivate in funzione dei diversi livelli di rischio e di minaccia".