PRASSI DI RIFERIMENTO UNI/PdR 6:2014 Infrastrutture Critiche Sistema di gestione della resilienza - Requisiti Critical Infrastructures - Resilience management system - Requirements La prassi di riferimento specifica i requisiti di un sistema di gestione della resilienza delle Infrastrutture Critiche, per consentire a un’organizzazione, quale proprietario o operatore di Infrastruttura Critica, di stabilire il contesto, definire, pianificare, attuare, eseguire, verificare, riesaminare e migliorare la propria resilienza. This document specifies requirements for a resilience management system in Critical Infrastructures, to enable an organisation, both owner or operator of a Critical Infrastructure, in establishing the context, defining, planning, implementing, operating, checking, reviewing, and improving its resilience. Pubblicata il 16 gennaio 2014 ICS 03.100.01 © UNI – Ente Nazionale Italiano di Unificazione Via Sannio 2 – 20137 Milano Telefono 02 700241 www.uni.com – [email protected] Tutti i diritti sono riservati. I contenuti possono essere riprodotti o diffusi (anche integralmente) a condizione che ne venga data comunicazione all’editore e sia citata la fonte. Documento distribuito gratuitamente da UNI. © UNI – Italian Organization for Standardization Via Sannio 2 – 20137 Milan Phone +39 02 700241 www.uni.com – [email protected] All rights reserved. The contents of the document (also the full version) may be duplicated or distributed provided that UNI is informed and quoted. This document is distributed by UNI free of charge. La presente prassi di riferimento UNI/PdR 6:2014 è pubblicata con testo inglese e italiano. UNI/PdR 6:2014 FOREWORD The UNI/PdR 6:2014 does not have the status of a UNI technical standard, nor of a technical specification UNI/TS or technical report UNI/TR it is, instead, a document developed under the authority of UNI and adopting the requirements related to practices shared by the following proposer who has signed an agreement of collaboration with UNI: AIPSA - Associazione Italiana Professionisti Security Aziendale Piazzale Rodolfo Morandi, 2 20121 Milano This UNI/PdR has been developed by the working group “Tutela delle Infrastrutture Critiche”, led by UNI and constituted by the following experts: ROGER WARWICK - Project Leader (ASIS International - Chapter Italy) ALESSANDRO LEGA (ASIS International - Chapter Italy) IVANO ROVEDA (AIPROS - Associazione Italiana Professionisti della Sicurezza) UMBERTO SACCONE (ENI/AIAS - Associazione professionale Italiana Ambiente e Sicurezza) DAMIANO TOSELLI (TELECOM ITALIA/AIPSA) MANUELE VITALI (AMSA/AIPSA) This UNI/PdR has been ratified by the Chairmanship of UNI on 14 January 2014. UNI/PdRs are documents introducing technical requirements that are developed through a fast track process reflecting the consensus of the participants only, under the operational direction of UNI. UNI/PdRs are valid for a limited duration of 5 years or until its transformation into another deliverable (UNI, UNI/TS, UNI/TR) whichever is the sooner. When 5 years have passed, the UNI/PdR shall be withdrawn if it is not transformed into another deliverable. Further to the application of this UNI/PdR, anyone interested in providing suggestions for its improvement is requested to send their own contributions to UNI, Italian Organization for Standardization, which shall take them into account. © UNI 1 UNI/PdR 6:2014 PREMESSA La presente prassi di riferimento UNI/PdR 6:2014 non è una norma tecnica UNI, una specifica tecnica UNI/TS o un rapporto tecnico UNI/TR, ma è un documento elaborato da UNI che raccoglie prescrizioni relative a prassi condivise dai seguenti soggetti firmatari di un accordo di collaborazione con UNI: AIPSA - Associazione Italiana Professionisti Security Aziendale Piazzale Rodolfo Morandi, 2 20121 Milano La presente prassi di riferimento è stata elaborata dal Tavolo “Tutela delle Infrastrutture Critiche”, condotto da UNI, costituito dai seguenti esperti: ROGER WARWICK - Project Leader (ASIS International - Chapter Italy) ALESSANDRO LEGA (ASIS International - Chapter Italy) IVANO ROVEDA (AIPROS - Associazione Italiana Professionisti della Sicurezza) UMBERTO SACCONE (ENI/AIAS - Associazione professionale Italiana Ambiente e Sicurezza) DAMIANO TOSELLI (TELECOM ITALIA/AIPSA) MANUELE VITALI (AMSA/AIPSA) La presente prassi di riferimento è stata ratificata dal Presidente dell’UNI il 14 gennaio 2014. Le prassi di riferimento UNI sono documenti che introducono prescrizioni tecniche, elaborati sulla base di un rapido processo di condivisione ristretta ai soli autori, sotto la conduzione operativa di UNI. Le prassi di riferimento sono disponibili per un periodo non superiore a 5 anni, tempo massimo dalla loro pubblicazione entro il quale possono essere trasformata in un documento normativo (UNI, UNI/TS, UNI/TR) oppure devono essere ritirate. Chiunque ritenesse, a seguito dell’applicazione della presente prassi di riferimento, di poter fornire suggerimenti per un suo miglioramento è pregato di inviare i propri contributi all’UNI, Ente Nazionale Italiano di Unificazione, che li terrà in considerazione. © UNI 2 UNI/PdR 6:2014 CONTENTS INTRODUCTION .......................................................................................................................................................... 7 1 SCOPE ........................................................................................................................................................... 19 2 NORMATIVE AND LEGISLATIVE REFERENCES ....................................................................................... 19 3 TERMS AND DEFINITIONS .......................................................................................................................... 21 4 PRINCIPLE ..................................................................................................................................................... 25 5 REQUIREMENTS OF RESILIENCE MANAGEMENT SYSTEM ................................................................... 27 5.1 GENERAL ...................................................................................................................................................... 27 5.2 ANALYSIS OF THE ORGANISATION AND ITS OPERATIONAL ENVIRONMENT.................................... 31 5.2.1 SELECT AND IMPLEMENT A MANAGEMENT SYSTEM........................................................................ 31 5.2.2 ESTABLISH THE CONTEXT ..................................................................................................................... 31 5.2.3 MANAGEMENT COMMITMENT ................................................................................................................ 33 5.2.4 SET SCOPE AND OBJECTIVES FOR RESILIENCE MANAGEMENT SYSTEM .................................... 35 5.2.5 DESIGNATE THE SECURITY LIAISON OFFICER (SLO) ........................................................................ 37 5.2.6 ESTABLISH AND IMPLEMENT AN INTELLIGENCE GATHERING AND SHARING PROCESS .......... 37 5.3 RESILIENCE POLICY .................................................................................................................................... 39 5.4 PLANNING ..................................................................................................................................................... 43 5.4.1 STRATEGIC PLANS AND PROGRAMMES ............................................................................................. 43 5.4.2 RISK ASSESSMENT AND PROCESS MONITORING ............................................................................. 45 5.4.3 INTERNAL AND EXTERNAL COMMUNICATIONS AND CONSULTATION ........................................... 47 5.4.4 LEGAL AND OTHER REQUIREMENTS ................................................................................................... 47 5.4.5 OBJECTIVES AND TARGETS FOR RISK MANAGEMENT .................................................................... 47 5.5 IMPLEMENTATION AND OPERATION ........................................................................................................ 49 5.5.1 RESOURCES, ROLES, RESPONSIBILITIES AND AUTHORITY ............................................................ 49 5.5.2 COMPETENCE, TRAINING AND AWARENESS...................................................................................... 53 5.5.3 COMMUNICATION AND WARNING ......................................................................................................... 53 5.5.4 DOCUMENTATION: THE OPERATOR SECURITY PLAN....................................................................... 55 5.5.5 CONTROL OF DOCUMENTS .................................................................................................................... 59 5.5.6 OPERATIONAL CONTROL ....................................................................................................................... 59 5.5.7 PROCEDURE FOR INCIDENT PREVENTION, RESPONSE AND CONTINUITY ................................... 63 5.6 © UNI CHECKING AND CORRECTIVE ACTION .................................................................................................... 67 3 UNI/PdR 6:2014 5.6.1 MONITORING AND MEASUREMENT ...................................................................................................... 67 5.6.2 EVALUATION OF COMPLIANCE ............................................................................................................. 69 5.6.3 EXERCISES AND TESTING ...................................................................................................................... 69 5.6.4 NON CONFORMITY, CORRECTIVE AND PREVENTIVE ACTION ......................................................... 69 5.6.5 RECORDS .................................................................................................................................................. 71 5.6.6 INTERNAL AUDITS ................................................................................................................................... 71 5.7 MANAGEMENT REVIEW .............................................................................................................................. 73 5.7.1 ADEQUACY AND EFFECTIVENESS ASSESSMENT .............................................................................. 73 5.7.2 MAINTENANCE ......................................................................................................................................... 75 5.7.3 CONTINUAL IMPROVEMENT ................................................................................................................... 75 ANNEX A – MAIN NATIONAL LEGISLATIVE AND EU REGULATORY REFERENCES APPLICABLE TO OWNERS/OPERATORS OF CRITICAL INFRASTRUCTURES ............................................................................... 77 BIBLIOGRAPHY ........................................................................................................................................................ 85 © UNI 4 UNI/PdR 6:2014 SOMMARIO INTRODUZIONE .......................................................................................................................................................... 8 1 SCOPO E CAMPO DI APPLICAZIONE ........................................................................................................ 20 2 RIFERIMENTI NORMATIVI E LEGISLATIVI ................................................................................................. 20 3 TERMINI E DEFINIZIONI ............................................................................................................................... 22 4 PRINCIPIO ..................................................................................................................................................... 26 5 REQUISITI DEL SISTEMA DI GESTIONE DELLA RESILIENZA................................................................. 28 5.1 GENERALITÀ ................................................................................................................................................ 28 5.2 ANALISI DELL’ORGANIZZAZIONE E DEL PROPRIO AMBIENTE DI OPERATIVITÀ .............................. 32 5.2.1 SELEZIONE E ATTUAZIONE DI UN SISTEMA DI GESTIONE ............................................................... 32 5.2.2 DEFINIZIONE DEL CONTESTO ................................................................................................................ 32 5.2.3 IMPEGNO DELLA DIREZIONE ................................................................................................................. 34 5.2.4 DEFINIZIONE DEL CAMPO DI APPLICAZIONE E DEGLI OBIETTIVI DEL SISTEMA DI GESTIONE DELLA RESILIENZA............................................................................................................................ 36 5.2.5 DESIGNAZIONE DEL SECURITY LIAISON OFFICER (SLO) ................................................................. 38 5.2.6 DEFINIZIONE E ATTUAZIONE DI UN PROCESSO DI RACCOLTA E CONDIVISIONE DI INTELLIGENCE ....................................................................................................................................................... 38 5.3 POLITICA PER LA RESILIENZA .................................................................................................................. 40 5.4 PIANIFICAZIONE ........................................................................................................................................... 44 5.4.1 PIANI E PROGRAMMI STRATEGICI ........................................................................................................ 44 5.4.2 VALUTAZIONE DEL RISCHIO E MONITORAGGIO DEL PROCESSO .................................................. 46 5.4.3 COMUNICAZIONE E CONSULTAZIONE INTERNA ED ESTERNA ........................................................ 48 5.4.4 PRESCRIZIONI LEGALI E ALTRE PRESCRIZIONI ................................................................................. 48 5.4.5 OBIETTIVI E RISULTATI PER LA GESTIONE DEL RISCHIO................................................................. 48 5.5 ATTUAZIONE E FUNZIONAMENTO ............................................................................................................ 50 5.5.1 RISORSE, RUOLI, RESPONSABILITÀ E AUTORITÀ ............................................................................. 50 5.5.2 COMPETENZA, FORMAZIONE-ADDESTRAMENTO E CONSAPEVOLEZZA....................................... 54 5.5.3 COMUNICAZIONE E ALLERTA ................................................................................................................ 54 5.5.4 DOCUMENTAZIONE: IL PIANO DI SICUREZZA DELL’OPERATORE ................................................... 56 5.5.5 TENUTA SOTTO CONTROLLO DEI DOCUMENTI .................................................................................. 60 5.5.6 CONTROLLO OPERATIVO ....................................................................................................................... 60 5.5.7 PROCEDURA PER LA PREVENZIONE, RISPOSTA E CONTINUITÀ A UN INCIDENTE ...................... 64 © UNI 5 UNI/PdR 6:2014 5.6 AZIONE DI VERIFICA E AZIONE CORRETTIVA ......................................................................................... 68 5.6.1 MONITORAGGIO E MISURAZIONE ......................................................................................................... 68 5.6.2 VALUTAZIONE DEL RISPETTO DELLE PRESCRIZIONI ....................................................................... 70 5.6.3 ESERCITAZIONI E PROVE ....................................................................................................................... 70 5.6.4 NON CONFORMITÀ, AZIONI CORRETTIVE E PREVENTIVE ................................................................ 70 5.6.5 GESTIONE DOCUMENTI DI ARCHIVIO ................................................................................................... 72 5.6.6 AUDIT INTERNI ......................................................................................................................................... 72 5.7 RIESAME DI DIREZIONE .............................................................................................................................. 74 5.7.1 VALUTAZIONE DI ADEGUATEZZA ED EFFICACIA ............................................................................... 74 5.7.2 MANTENIMENTO ...................................................................................................................................... 76 5.7.3 MIGLIORAMENTO CONTINUO ................................................................................................................ 76 APPENDICE A – PRINCIPALI RIFERIMENTI LEGISLATIVI NAZIONALI E DI REGOLAMENTAZIONE COMUNITARIA APPLICABILI A PROPRIETARI/OPERATORI DI INFRASTRUTTURE CRITICHE ...................... 78 BIBLIOGRAFIA .......................................................................................................................................................... 86 © UNI 6 UNI/PdR 6:2014 INTRODUCTION The Member States of the EU are in the process of applying the Council Directive 2008/114/EC, which establishes the procedures for the identification and designation of European Critical Infrastructures, and a common approach to the assessment of the need to improve the protection of such infrastructures in order to contribute to the protection of people and relevant assets. The Directive, as part of the European Programme for European Critical Infrastructure Protection1, has presented a number of actions to be implemented and adhered to. This document is designed to be applied to owners or operators that is to say those organisations owning or managing Critical Infrastructures in the energy sector and its subsectors (electricity, oil, gas) and the transport sector and its subsectors (road transport, rail transport, air transport, inland waterways transport, ocean and short-sea shipping and ports), as listed in the Council Directive, but it can also be applied to other sectors which a Critical Infrastructure might operate in. These other sectors include: communications and information technology; finance (banking, securities and investment); health care; food; water (dams, storage, treatment and networks); production, storage and transport of dangerous goods (e.g. chemical, biological, radiological and nuclear materials); government (e.g. critical services, facilities, information networks, assets and key national sites and monuments). This document is designed to be integral to the Directive 2008/114/EC in supporting a resilience management system that will assist national authorities, Critical Infrastructure sectors and sub sectors and individual owners or operators in responding to the requirements of the Directive for both European Critical Infrastructures and Critical Infrastructures, in general. 1 The European Commission DG Home Affairs developed the working document SWD (2013) 318 of 28 August 2013, by which it proposes a new approach to the European Programme for Critical Infrastructure Protection. This document emphasizes the need to ensure a high degree of protection of Critical Infrastructures and increasing their resilience as a mean to minimize the consequences of any incidents and loss of services in order to protect society as a whole. © UNI 7 UNI/PdR 6:2014 INTRODUZIONE Gli Stati Membri della UE si trovano impegnati nel processo di applicazione della Direttiva 2008/114/CE del Consiglio Europeo, recante le procedure per l’individuazione e la designazione delle Infrastrutture Critiche Europee, e di un comune approccio alla valutazione della necessità di migliorarne la protezione al fine di contribuire alla tutela delle persone e dei beni rilevanti. La Direttiva, come parte del Programma Europeo per la Protezione delle Infrastrutture Critiche Europee1, ha presentato una serie di azioni da mettere in atto e alle quali fare riferimento. Il presente documento è strutturato per essere applicato a proprietari o operatori ossia quelle organizzazioni titolari o gestori di Infrastrutture Critiche, che operano nel settore dell’energia e dei suoi sottosettori (elettricità, petrolio, gas) e nel settore trasporti e nei suoi sottosettori (stradale, ferroviario, aereo, vie di navigazione interna, trasporto oceanico, marittimo a corto raggio e porti), così come indicati nella Direttiva del Consiglio Europeo, ma può essere altresì applicato ad altri settori in cui l’Infrastruttura Critica potrebbe trovarsi a operare. Tali altri settori comprendono: i sistemi di comunicazione e di tecnologia dell’informazione; la finanza (banche, strumenti finanziari e investimenti); il sistema sanitario; l’approvvigionamento alimentare; l’approvvigionamento idrico (i bacini, l’immagazzinamento, il trattamento, gli acquedotti); la produzione, l’immagazzinamento e il trasporto di sostanze pericolose (per esempio, materiali chimici, biologici, radiologici e nucleari); l’amministrazione (per esempio, servizi cruciali, strutture, reti di informazione, beni e patrimonio architettonico e naturale). Il presente documento è concepito per essere di integrazione alla Direttiva 2008/114/CE nel sostenere un sistema di gestione della resilienza che assisterà le autorità nazionali, i settori e i sottosettori, così come i singoli proprietari o operatori di Infrastrutture Critiche nel rispondere alle prescrizioni della Direttiva per le Infrastrutture Critiche Europee e per le Infrastrutture Critiche in generale. 1 La DG Affari Interni della Commissione Europea ha elaborato il documento di lavoro SWD(2013) 318 del 28 agosto 2013, con il quale propone un nuovo approccio al Programma Europeo per la Protezione delle Infrastrutture Critiche. Il documento enfatizza la necessità di assicurare un elevato grado di tutela delle Infrastrutture Critiche e di rafforzarne la resilienza come strumento per minimizzare le conseguenze di eventuali incidenti e interruzioni di servizi al fine di proteggere la società nel suo insieme. © UNI 8 UNI/PdR 6:2014 This document does not differentiate between European Critical Infrastructures and other Critical Infrastructures nor does it provide indications for their classification. This is the responsibility of the EU Member State. Therefore, this document could constitute a useful point of reference for EU Member States, in adopting acts or other legal regulation, intended to define resilience management systems for their own Critical Infrastructures. Critical Infrastructures, by definition, provide essential products and services to their stakeholders who can be private and public organisations, people and society in general. The survivability of Critical Infrastructures can impact the survivability of organisations, people and society in general. The potential effects of an incident, involving Critical Infrastructures, can produce a direct and/or indirect consequence on people and society in general. Any process for the protection of critical assets must take this into account. Seeing that not all Critical Infrastructures can be fully protected at all times, and not all risks can be eliminated, the resilience factor assumes particular importance in assisting the Critical Infrastructure to return to normal activities the quickest possible following an incident. Resilience is composed of the following elements: the robustness of the system/structure to be protected; the presence of adequate back up procedures and material; the capacity to respond and to activate necessary recovery actions; the speed with which the recovery actions are activated; the capability of the organisation to manage a crisis situation. Incorporating organisational resilience in Critical Infrastructures must be focused both within the organisation and externally upon relevant stakeholders since a Critical Infrastructure procures, develops and supplies goods and services that are critical to society and citizens in general. The criticality of the goods/services is determined by: a) the nature/quality of the goods/services; b) the quantity supplied; c) the timeliness of supply. To these ends the organisation’s supply chain, both upstream and downstream, is a vital component of the organisational resilience of the Critical Infrastructure resilience management system. This document has applicability in the private sector, including not-for-profit, non-governmental organisations, and public sector environments. It is a management framework for action planning and decision making used to anticipate, prevent, prepare for and respond to an incident (emergency, crisis, or disaster). When implemented within a management system, this document enhances an organisation's capacity to manage and survive the incident, and take all appropriate actions to help ensure the organisation's continued viability and provision of essential services. The leadership of a Critical © UNI 9 UNI/PdR 6:2014 Il presente documento non distingue tra Infrastrutture Critiche Europee e altre Infrastrutture Critiche, né fornisce indicazioni per la loro classificazione. Questa responsabilità rimane in capo a ciascun Stato Membro della UE. Pertanto, tale documento può rappresentare un utile riferimento per gli Stati Membri della UE nell’adottare leggi o altri provvedimenti legislativi intesi a definire sistemi di gestione della resilienza per le proprie Infrastrutture Critiche. Le Infrastrutture Critiche, per definizione, forniscono prodotti e servizi essenziali per le loro parti interessate che possono essere le organizzazioni private e pubbliche, la popolazione e la società in generale. La sopravvivenza delle Infrastrutture Critiche può incidere su quella delle organizzazioni, della popolazione e della società in generale. I potenziali effetti di incidenti, che coinvolgono le Infrastrutture Critiche, possono produrre conseguenze dirette e/o indirette sulla popolazione e la società in generale. Qualsiasi processo per la protezione di beni critici deve tenere conto di tale aspetto. Dato che non è possibile proteggere permanentemente tutte le Infrastrutture Critiche e non è possibile eliminare tutti i rischi, il fattore resilienza assume particolare importanza nell’agevolare le Infrastrutture Critiche a ritornare il più rapidamente possibile alla normale attività a seguito di un incidente. La resilienza si compone dei seguenti elementi: la robustezza del sistema/struttura da proteggere; la presenza di adeguate procedure e materiali da usarsi in caso di necessità; la capacità di rispondere e attivare i necessari interventi per il ripristino; la rapidità con cui gli interventi di ripristino sono attivati; la capacità dell’organizzazione di gestire una situazione di crisi. L’integrazione della resilienza organizzativa nelle Infrastrutture Critiche deve coinvolgere l’organizzazione al suo interno e al suo esterno, comprese le relative parti interessate, poiché un’Infrastruttura Critica procura, sviluppa e fornisce beni e servizi critici per i cittadini e la società, in generale. La criticità di beni/servizi è determinata da: a) natura/qualità dei beni/servizi; b) quantità fornita; c) tempestività della fornitura. Pertanto, la catena di approvvigionamento, a monte e a valle dell’organizzazione, è una componente vitale della resilienza organizzativa nel sistema di gestione della resilienza dell’Infrastruttura Critica. Il presente documento trova applicabilità nel settore privato, comprese le organizzazioni senza fini di lucro e non governative, e nel settore pubblico. Fornisce un quadro strutturale per la pianificazione e il processo decisionale utilizzato per anticipare, prevenire, preparare e rispondere a un incidente (emergenza, crisi o disastro). Quando attuato all’interno di un sistema di gestione, il presente documento permette di rafforzare la capacità di un’organizzazione di gestire e sopravvivere a un incidente, e di © UNI 10 UNI/PdR 6:2014 Infrastructure has a duty to stakeholders to plan for its survival. The body of this document provides requirements to establish, define, plan, implement, operate, check, review, and improve the resilience management system when implemented by an organisation in order to enhance prevention, preparedness, mitigation, response, continuity, and recovery from an incident. This document is aimed at designing a resilience management system adopting the “Plan-DoCheck-Act” (PDCA) model. Figure 1 illustrates how a resilience management system takes as input the resilience requirements and expectations of the stakeholders and through the appropriate actions and processes produces risk management outcomes that meet those requirements and expectations. This document may possibly be integrated into other management systems, within an organisation, that follow the PDCA model or other model based on a continuous improvement approach. Figure 1 – “Plan - Do - Check – Act” model © UNI 11 UNI/PdR 6:2014 intraprendere le opportune azioni per aiutare a garantire la continuità della sua capacità di sopravvivenza e fornitura di servizi essenziali. I vertici a capo di un’Infrastruttura Critica hanno l’obbligo verso le parti interessate di pianificare le attività per la sua sopravvivenza. Il presente documento fornisce requisiti per stabilire, definire, pianificare, attuare, eseguire, verificare, riesaminare e migliorare il sistema di gestione della resilienza, adottato da un’organizzazione per migliorare le attività di prevenzione, preparazione, mitigazione, risposta, continuità e ripristino a seguito di un incidente. Il presente documento è finalizzato alla progettazione di un sistema di gestione della resilienza che adotta il modello “Plan-Do-Check-Act” (PDCA). La Figura 1 illustra come un sistema di gestione della resilienza acquisisca come input i requisiti e le aspettative delle parti interessate e, attraverso le azioni e i processi appropriati, produca elementi di gestione del rischio che soddisfino quei requisiti e quelle aspettative. Il presente documento può essere integrato in altri sistemi di gestione, all’interno di un’organizzazione, che seguono il modello PDCA o altro modello basato su un approccio al miglioramento continuo. Figura 1 – Modello “Plan - Do - Check - Act” © UNI 12 UNI/PdR 6:2014 It is a 4-step methodology for organisational process improvement. The stages are: Plan (establish the management system) Establish management system policy, objectives, processes, and procedures relevant to managing risk and improving security, incident preparedness, response, continuity, and recovery and to deliver results in accordance with an organisation’s overall policies and objectives. Do (implement and operate the management system) Check (monitor and review the management system) Act (maintain and improve the management system) Implement and operate the management system policy, controls, processes, and procedures. Assess and measure process performance against management system policy, objectives, and practical experience and report the results to management for review. Take corrective and preventive actions, based on the results of the internal management system audit and management review, to achieve continual improvement of the management system. Intelligence plays a key role in the resilience management of any infrastructure. and, in particular, in the case of Critical Infrastructures. Intelligence plays a crucial role in the survival of the organisation itself, the protection of its assets and stakeholders. Just as important in this context, it contributes to management’s knowledge of the status of availability of necessary components upstream and the needs downstream to be catered for. The intelligence process enables the collection and subsequent analysis of information and data processing from which the organisation can extract useful information for its resilience management system, the prevention and management of incidents of any nature. This process includes intelligence gatherers and preliminary analysers, assembling information from both outside the organisation and within it, and exchanging all relevant information and intelligence with the organisation. The aim of such a process is the collection, evaluation, and sharing of intelligence both within the organisation and with relevant stakeholders, as opportune and appropriate to the scope of this document, to assist the organisational resilience policymakers in making decisions referring to Critical Infrastructure protection. This process is shown in the intelligence management model in Figure 2. © UNI 13 UNI/PdR 6:2014 PDCA è una metodologia a 4 fasi per il miglioramento dei processi organizzativi. Le fasi sono: Plan (stabilire il sistema di gestione) Stabilire la politica del sistema di gestione, gli obiettivi, i processi e le procedure rilevanti ai fini della gestione del rischio e del miglioramento della sicurezza, oltre che la preparazione, risposta, continuità e ripristino da incidente e dell’ottenimento di risultati nel rispetto di politiche e obiettivi generali dell’organizzazione. Do (attuare e rendere operativo il sistema di gestione) Attuare e rendere operativi la politica del sistema di gestione, i controlli, i processi e le procedure. Check Valutare e misurare le prestazioni del processo rispetto alla politica (monitorare e del sistema di gestione, agli obiettivi e alla esperienza concreta, riesaminare il sistema riportando i risultati alla direzione per il riesame. di gestione) Act (mantenere e migliorare il sistema di gestione) Intraprendere misure correttive e preventive, fondate sui risultati dell’audit interno del sistema di gestione e del riesame di direzione, per conseguire un miglioramento continuo del sistema di gestione. L’intelligence ha un ruolo chiave nella gestione della resilienza di ogni infrastruttura e, in particolare modo, nel caso delle Infrastrutture Critiche. L’intelligence ha un ruolo cruciale nella sopravvivenza dell’organizzazione, nella protezione dei suoi beni e delle parti interessate. Di particolare importanza in tale contesto, essa contribuisce alla conoscenza da parte della direzione dello stato di disponibilità, a monte e a valle, dei necessari componenti ed esigenze da soddisfare. Il processo di intelligence consente la raccolta e la successiva analisi ed elaborazione-dati da cui l’organizzazione può trarre informazioni utili al sistema di gestione della resilienza, alla prevenzione e gestione di incidenti di qualsiasi natura. Tale processo coinvolge ricettori e analisti preliminari di intelligence, che raccolgono informazioni, provenienti dall’interno e dall’esterno dell’organizzazione, e scambiano intelligence e informazioni rilevanti con l’organizzazione. Il fine di tale processo è quello di assicurare che la raccolta, la valutazione e la condivisione di intelligence, all'interno dell'organizzazione e delle parti interessate, avvenga in modo appropriato e adeguato al campo di applicazione del presente documento, per assistere i decisori della politica di gestione della resilienza nel prendere le necessarie decisioni per la tutela delle Infrastrutture Critiche. Tale processo è illustrato nel modello di gestione dell’intelligence in Figura 2. © UNI 14 UNI/PdR 6:2014 Figure 2 – Intelligence management model Each activity in an organisation has certain elements of risk that it has to identify and develop risk mitigation plans for. The continuous gathering of intelligence, over as wide an area as is feasible and opportune, is essential for achieving an appropriate level of knowledge. The intelligence model includes the following levels: strategic: the intelligence / information that can contribute to the development, updating, and modifying, when opportune, of the overall strategic plan to safeguard the organisation’s interests, relevant to this document, and those of its stakeholders; tactical: the intelligence / information that can contribute to the development of appropriate and adequate tactics that can ensure the correct implementation of the overall strategic plan; operational: the intelligence / information that can contribute to the action plan. It contains the tactics and satisfies the scope of the overall strategic plan. The integrated flexible, proactive, and reactive resilience approach can leverage the perspectives, knowledge, and capabilities of divisions and individuals within an organisation. Because of the relatively low probability and yet potentially high consequence nature of many natural, intentional, including terroristic, or unintentional threats and hazards that an organisation may face, an integrated approach allows an organisation to establish priorities that address its © UNI 15 UNI/PdR 6:2014 Figura 2 – Modello di gestione dell’intelligence Ciascuna attività in un'organizzazione ha elementi di rischio che devono essere identificati e per i quali si devono sviluppare piani di mitigazione del rischio. La continua raccolta di intelligence su di un’area la più ampia possibile, per quanto sia fattibile e opportuna, è essenziale per il conseguimento di un adeguato livello di conoscenza. Il modello di intelligence include i seguenti livelli: strategico: intelligence / informazione che può contribuire allo sviluppo, aggiornamento e modifica, qualora opportuno, del piano strategico complessivo per la salvaguardia degli interessi dell’organizzazione, pertinenti ai fini del presente documento, e delle proprie parti interessate; tattico: intelligence / informazione che può contribuire allo sviluppo di tattica adeguata e congrua per poter garantire la corretta attuazione del piano strategico complessivo; operativo: intelligence / informazione che può contribuire al piano di azione; include la tattica e risponde alle esigenze di applicazione del piano strategico complessivo. L’approccio integrato alla resilienza di tipo flessibile, proattivo e reattivo può influenzare prospettive, conoscenza e capacità delle strutture e degli individui di un’organizzazione. A causa della bassa probabilità di rischi e minacce di carattere naturali, intenzionali, inclusi atti terroristici, e non intenzionali, ma tuttavia di grave natura per le loro potenziali conseguenze, l'adozione di un approccio integrato permette all'organizzazione di stabilire le adeguate priorità © UNI 16 UNI/PdR 6:2014 individual needs for risk management, and potential consequences for stakeholders, within an economically sound context. This document is the foundation for the protection of Critical Infrastructures. It presents the measures to be taken and defines the processes for their governance and resilience management framework. © UNI 17 UNI/PdR 6:2014 per affrontare le sue particolari necessità di gestione del rischio e le potenziali conseguenze per le parti interessate, all'interno di un sistema economicamente sostenibile. Il presente documento costituisce la base per la protezione delle Infrastrutture Critiche. Illustra le misure da adottare e definisce i processi per la loro governance e il quadro strutturale per la gestione della resilienza. © UNI 18 UNI/PdR 6:2014 1 SCOPE This document specifies requirements for a resilience management system in Critical Infrastructures, to enable an organisation, both owner or operator of a Critical Infrastructure, in establishing the context, defining, planning, implementing, operating, checking, reviewing, and improving its resilience, taking into account: legal, regulatory and other requirements to which the organisation subscribes; significant risks, hazards and threats that may have consequences to the organisation; its stakeholders and other relevant organisations, people and society in general; protection of its assets and processes; pre-planning and management of incidents. This document applies to risks that the organisation identifies as those it can control, influence, or reduce, as well as those it cannot anticipate. It does not itself state specific performance criteria. This document may be applied to all types of organisations or parts thereof regardless the size and function in the Critical Infrastructure chain. This document provides guidance for organisations, enabling them to shape and implement a resilience management system within their management system, appropriate to its needs and those of its stakeholders. 2 NORMATIVE AND LEGISLATIVE REFERENCES The following referenced documents are supportive to the application of this document2. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies. Council Directive 2008/114/EC on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection3 UNI ISO 22300:2013 Societal security - Terminology UNI ISO 31000 Risk management - Principles and guidelines 2 Annex A reports main national legislative and EU regulatory references applicable to owners/operators of Critical Infrastructures in Italy. 3 The Council Directive 2008/114/EC has entered into force in the Italian legislation through the adoption of the Legislative Decree of 11 April 2011, No 61. © UNI 19 UNI/PdR 6:2014 1 SCOPO E CAMPO DI APPLICAZIONE Il presente documento specifica i requisiti di un sistema di gestione della resilienza delle Infrastrutture Critiche, per consentire a un’organizzazione, quale proprietario o operatore di Infrastruttura Critica, di stabilire il contesto, definire, pianificare, attuare, eseguire, verificare, riesaminare e migliorare la propria resilienza, tendendo in considerazione: prescrizioni di legge, di norme e altre prescrizioni cui l’organizzazione deve fare riferimento; rischi, vulnerabilità e minacce rilevanti che possono avere conseguenze per l’organizzazione; le sue parti interessate e altre organizzazioni rilevanti, la popolazione e la società, in generale; la protezione dei propri beni e processi; la pre-pianificazione e la gestione di incidenti. Il presente documento si applica ai rischi che l’organizzazione identifica come quelli che può controllare, influenzare o ridurre, così come quelli che non può anticipare. Il documento non fornisce, di per se, specifici criteri di prestazione. Il presente documento può essere applicato a qualsiasi tipo di organizzazione o parti di questa a prescindere dalla sua dimensione e funzione nell’ambito dell’Infrastruttura Critica. Il presente documento fornisce una guida alle organizzazioni, permettendo loro di progettare e attuare un sistema di gestione della resilienza all’interno del suo sistema di gestione, adeguato alle proprie esigenze e a quelle delle parti interessate. 2 RIFERIMENTI NORMATIVI E LEGISLATIVI I documenti richiamati di seguito sono di supporto per l’applicazione del presente documento2. Per quanto riguarda i riferimenti datati, si applica esclusivamente l’edizione citata. Per i riferimenti non datati vale l’ultima edizione del documento a cui si fa riferimento (compresi gli aggiornamenti). Direttiva 2008/114/CE del Consiglio relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione3 UNI ISO 22300:2013 Sicurezza della società - Terminologia UNI ISO 31000 Gestione del rischio - Principi e linee guida 2 L’Appendice A riporta i principali riferimenti legislativi nazionali e di regolamentazione comunitaria applicabili a proprietari/operatori di Infrastrutture Critiche in Italia. 3 La Direttiva 2008/114/CE del Consiglio è stata recepita dalla legislazione nazionale con l’adozione del Decreto Legislativo 11 aprile 2011, n. 61. © UNI 20 UNI/PdR 6:2014 ISO 28002:2011 Security management systems for the supply chain - Development of resilience in the supply chain - Requirements with guidance for use ISO Guide 73:2009 Risk management - Vocabulary ANSI/ASIS SPC.1 Organizational Resilience: Security, Preparedness, and Continuity Management Systems - Requirements with Guidance for Use 3 TERMS AND DEFINITIONS For the purpose of this document the following terms and definitions apply. 3.1 Critical Infrastructure: An asset, system or part thereof which is essential for the maintenance of vital societal functions, health, safety, security, economic or social well-being of people, and the disruption or destruction of which would have a significant impact in a country as a result of the failure to maintain those functions. [Adapted from Council Directive 2008/114/EC] 3.2 incident: Event that has the capacity to lead to human, intangible or physical loss, or a disruption of an organisation’s operations, services, or functions – which, if not managed, can escalate into an emergency, crisis, or disaster. [ISO 28002:2011, definition 3.26] 3.3 intelligence: Information which, if developed and treated efficiently and effectively, may contribute to the success of the aims and scope of the Critical Infrastructure organisational resilience system. 3.4 management system: Set of interrelated or interacting elements of an organisation to establish policies and objectives, and processes to achieve those objectives. NOTE 1 A management system can address a single discipline or several disciplines. NOTE 2 The system elements include the organisation’s structure, roles and responsibilities, planning, operation, etc. NOTE 3 The scope of a management system can include the whole of the organisation, specific and identified functions of the organisation, specific and identified sections of the organisation, or one or more functions across a group of organisations. [UNI ISO 22300:2013, definition 2.2.5] 3.5 Operator Security Plan (OSP): Measures comprising identification of a Critical Infrastructure's assets, risk assessment, and identification of which security solutions exist or are being implemented for the protection of a Critical Infrastructure. 3.6 organisation: Person or group of people that has its own functions with responsibilities, authorities and relationships to achieve its objectives. © UNI 21 UNI/PdR 6:2014 ISO 28002:2011 Security management systems for the supply chain - Development of resilience in the supply chain - Requirements with guidance for use ISO Guide 73:2009 Risk management - Vocabulary ANSI/ASIS SPC.1 Organizational Resilience: Security, Preparedness, and Continuity Management Systems - Requirements with Guidance for Use 3 TERMINI E DEFINIZIONI Ai fini del presente documento si applicano i seguenti termini e definizioni. 3.1 Infrastruttura Critica: Un elemento, un sistema o parte di questo che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico o sociale della popolazione e il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in uno Stato, a causa della impossibilità di mantenere tali funzioni. [Adattata da Direttiva 2008/114/CE] 3.2 incidente: Evento che ha la capacità di causare una perdita umana, immateriale o materiale, o un’interruzione delle operazioni, dei servizi o delle funzioni di un’organizzazione che, se non gestito, può sfociare in una emergenza, una crisi o un disastro. [ISO 28002:2011, definizione 3.26] 3.3 intelligence: Informazione che, se efficientemente ed efficacemente elaborata e trattata, può contribuire al raggiungimento di scopi e campo di applicazione del sistema di resilienza organizzativa dell’Infrastruttura Critica. 3.4 sistema di gestione: Insieme di elementi correlati o interagenti di un’organizzazione finalizzato a stabilire politiche, obiettivi e processi per conseguire tali obiettivi. NOTA 1 Un sistema di gestione può riguardare una o più discipline. NOTA 2 Gli elementi del sistema comprendono la struttura, i ruoli e le responsabilità, la pianificazione, il funzionamento dell’organizzazione, ecc. NOTA 3 Il campo di applicazione di un sistema di gestione può comprendere l’intera organizzazione, funzioni specifiche e identificate dell’organizzazione, sezioni specifiche e identificate dell’organizzazione, oppure una o più funzioni nell’ambito di un gruppo di organizzazioni. [UNI ISO 22300:2013, definizione 2.2.5] 3.5 Piano di Sicurezza dell’Operatore (PSO): Misure che includono l’identificazione degli elementi che compongono l’Infrastruttura Critica, la valutazione dei rischi e l’identificazione delle soluzioni di sicurezza esistenti ovvero quelle che sono in via di applicazione per la protezione di un’Infrastruttura Critica. 3.6 organizzazione: Persona o gruppo di persone avente le proprie funzioni con responsabilità, autorità e interrelazioni per conseguire i propri obiettivi. © UNI 22 UNI/PdR 6:2014 NOTE The concept of organisation includes, but is not limited to sole-trader, company, corporation, firm, enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not, public or private. [UNI ISO 22300:2013, definition 2.2.9] 3.7 owner/operator of Critical Infrastructure: Organisation responsible for investments in, and/or day-to-day operation of, a particular asset, system or part thereof designated as a Critical Infrastructure. [Adapted from Council Directive 2008/114/EC] 3.8 protection: All activities aimed at ensuring the functionality, continuity and integrity of Critical Infrastructures in order to deter, mitigate and neutralise a threat, risk or vulnerability. [Council Directive 2008/114/EC, definition e] 3.9 resilience: Adaptive capacity of an organisation in a complex and changing environment allowing the organisation to prevent or resist being affected by an incident or to return to an acceptable level of performance in an acceptable period of time after being affected by an incident. [Adapted from ISO 28002:2011] 3.10 risk: Effect of uncertainty on objectives. NOTE 1 Risk is the function of threats x vulnerability x impacts x likelihood. NOTE 2 An effect is a deviation from the expected - positive and/or negative. NOTE 3 Objectives can have different aspects (such as financial, health and safety, security, and environmental goals) and can apply at different levels (such as strategic, organisation-wide, project, product and process). NOTE 4 Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an event, its consequence, or likelihood. [Adapted from ISO 28002:2011] 3.11 risk analysis: Consideration of relevant threat scenarios, in order to assess the vulnerability and the potential impact of disruption or destruction of Critical Infrastructure. [Council Directive 2008/114/EC, definition c] 3.12 Security Liaison Officer (SLO): Officer liaising between the owner/operator of a Critical Infrastructure and the national authority responsible for Critical Infrastructure protection. © UNI 23 UNI/PdR 6:2014 NOTA Il concetto di organizzazione comprende, in termini non esaustivi, singoli operatori, aziende, corporation, società, imprese, autorità, partenariato, istituti di carità o istituzioni, o parti o combinazioni di queste, facenti parte di altre organizzazioni o meno, pubbliche o private. [UNI ISO 22300:2013, definizione 2.2.9] 3.7 proprietario/operatore di Infrastruttura Critica: Organizzazione responsabile degli investimenti e/o del funzionamento quotidiano relativi ad a un elemento o a un sistema specifico, o parte di questo, designato Infrastruttura Critica. [Adattata da Direttiva 2008/114/CE] 3.8 protezione: Tutte le attività volte ad assicurare funzionalità, continuità e integrità delle Infrastrutture Critiche per evitare, mitigare e neutralizzare una minaccia, un rischio o una vulnerabilità. [Direttiva 2008/114/CE, definizione e] 3.9 resilienza: Capacità adattativa di un’organizzazione in un ambiente complesso e mutevole che permette all’organizzazione di prevenire un incidente o di resistere dopo esserne stata colpita o la capacità di ritornare a un livello di prestazione accettabile in un periodo di tempo congruo all’incidente avvenuto. [Adattata da ISO 28002:2011] 3.10 rischio: Effetto di incertezza sugli obiettivi. NOTA 1 Il rischio è funzione di minaccia x vulnerabilità x impatto x probabilità. NOTA 2 Un effetto è una deviazione da quanto atteso, positiva e/o negativa. NOTA 3 Gli obiettivi possono riguardare differenti aspetti (come quello finanziario, della salute e sicurezza, e obiettivi ambientali) e possono essere applicati a vari livelli (come quello strategico, riguardante l’intera organizzazione, di progetto, di prodotto e di processo). NOTA 4 L’incertezza è lo stato, anche parziale, di mancanza di informazione relativa alla comprensione o alla conoscenza di un evento, alle sue conseguenze e alla sua probabilità. [Adattata da ISO 28002:2011] 3.11 analisi dei rischi: Considerazione degli scenari di minaccia pertinenti, al fine di valutare la vulnerabilità e il potenziale impatto del danneggiamento o della distruzione dell’Infrastruttura Critica. [Direttiva 2008/114/CE, definizione c] 3.12 Security Liaison Officer (SLO): Funzionario che funge da collegamento tra il proprietario/l’operatore dell’Infrastruttura Critica e l’autorità nazionale responsabile della protezione dell’Infrastruttura Critica. © UNI 24 UNI/PdR 6:2014 3.13 security management: The organisation's security system based on a management approach and aimed at preventing, facing and overcoming security events that may occur and expose the organization to potential harmful effects. 3.14 stakeholder: Person or organisation that can affect, be affected by, or perceive themselves to be affected by a decision or activity. [ISO Guide 73:2009, definition 3.2.1.1] 4 PRINCIPLE This document adopts a process approach for establishing the context, defining, planning, implementing, operating, checking, reviewing, and improving an organisation's resilience to incidents. The process approach encourages organisations to analyse Critical Infrastructure and stakeholder needs in order to define appropriate processes. A resilience management system can provide the framework for continual improvement to increase the likelihood of enhancing security, preparedness, response, continuity, and resilience. It provides confidence to the organisation and its stakeholders that the organisation is able to provide a safe and secure environment which fulfills Critical Infrastructure and stakeholder requirements. An organisation needs to identify and manage many activities in order to operate effectively. The activities adopted must be appropriate and adequate to the assessment of risk and the assets to be protected. There must be an appropriate and adequate balance between costs, level of protection and security. The liberty of action and rights to privacy of citizens must be taken into adequate consideration. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organisation, together with the identification and interactions of these processes and their management, can be referred to as a “process approach”. Figure 3 depicts the process approach for resilience management in Critical Infrastructures presented in this document. © UNI 25 UNI/PdR 6:2014 3.13 gestione della sicurezza: Il sistema di sicurezza dell’organizzazione, basato su un modello gestionale volto a prevenire, affrontare e superare eventi di sicurezza che possono verificarsi ed esporre l’organizzazione a potenziali effetti dannosi. 3.14 parte interessata: Persona o organizzazione che può interessare, essere interessata, o sentirsi interessata da una decisione o un’attività. [ISO Guide 73:2009, definizione 3.2.1.1] 4 PRINCIPIO La presente prassi di riferimento adotta un approccio per processi per stabilire il contesto, definire, pianificare, attuare, eseguire, verificare, riesaminare e migliorare la resilienza di un’organizzazione agli incidenti. L’approccio per processi induce le organizzazioni ad analizzare le necessità delle Infrastrutture Critiche e delle parti interessate al fine di definire gli opportuni processi. Un sistema di gestione della resilienza è in grado di fornire il quadro strutturale per un miglioramento continuo per accrescere la sicurezza, la preparazione, la risposta, la continuità e la resilienza. Fornisce all’organizzazione e alle sue parti interessate l’aspettativa che l’organizzazione sia in grado di offrire un ambiente sicuro e protetto che soddisfi i requisiti dell’Infrastruttura Critica e delle parti interessate. Un’organizzazione ha la necessità di identificare e gestire molte attività affinché funzioni efficacemente. Le attività adottate devono essere pertinenti e congrue alla valutazione del rischio e dei beni da proteggere. Deve essere raggiunto un opportuno e adeguato equilibrio tra costi, livello di protezione e sicurezza. Devono essere tenuti in adeguata considerazione la libertà di azione e i diritti alla privacy dei cittadini. Un’attività che impiega risorse ed è gestita per consentire la trasformazione di input in output può considerarsi un processo. Spesso l’output di un processo costituisce direttamente l’input del processo successivo. L’applicazione di un sistema di processi all’interno di un’organizzazione, unitamente alla identificazione e alle interazioni di tali processi, nonché alla loro gestione, può essere definita “approccio per processi”. La Figura 3 mostra l’approccio per processi per la gestione della resilienza nelle Infrastrutture Critiche illustrato dal presente documento. © UNI 26 UNI/PdR 6:2014 Figure 3 – Process approach for resilience management in a Critical Infrastructure This approach is based on continual reassessment and encourages its users to emphasize the importance of: a) understanding an organisation's risk, security, preparedness, response, continuity, and recovery requirements; b) establishing a policy and objectives to manage risk; c) implementing and operating controls to manage an organisation's risk within the context of the organisation's objectives; d) monitoring and reviewing the performance and effectiveness of the resilience management system; e) continual improvement based on objective measurement. 5 REQUIREMENTS OF RESILIENCE MANAGEMENT SYSTEM 5.1 GENERAL The organisation shall establish the context, define, plan, implement, operate, check, review, and improve a resilience management system in accordance with the requirements of this document. The resilience management system for Critical Infrastructure is defined by this document in accordance with the requirements of the ISO standard 28002:2011 and the ANSI/ASIS SPC.1 standard. Figure 4 is the flow diagram of the resilience management system. © UNI 27 UNI/PdR 6:2014 Figura 3 – Approccio per processi per la gestione della resilienza in una Infrastruttura Critica Tale approccio si fonda sulla rivalutazione continua e induce chi lo adotta a enfatizzare l’importanza di: a) comprendere i rischi di un’organizzazione e i requisiti di sicurezza, preparazione, risposta, continuità e ripristino; b) stabilire una politica di gestione del rischio e i suoi obiettivi; c) attuare e rendere operativi i controlli per la gestione del rischio di un’organizzazione con riferimento agli obiettivi dell’organizzazione; d) monitorare e riesaminare la prestazione e l’efficacia del sistema di gestione della resilienza; e) un miglioramento continuo basato sulla misurazione oggettiva. 5 REQUISITI DEL SISTEMA DI GESTIONE DELLA RESILIENZA 5.1 GENERALITÀ L’organizzazione deve stabilire il contesto, definire, pianificare, attuare, eseguire, verificare, riesaminare e migliorare il sistema di gestione della resilienza in conformità ai requisiti del presente documento. Il sistema di gestione della resilienza per le Infrastrutture Critiche è definito dal presente documento coerentemente con i requisiti stabiliti dalla norma ISO 28002:2011 e ANSI/ASIS SPC.1. La Figura 4 rappresenta il diagramma di flusso del sistema di gestione della resilienza. © UNI 28 UNI/PdR 6:2014 Figure 4 – Resilience management system flow diagram © UNI 29 UNI/PdR 6:2014 Figura 4 – Diagramma di flusso del sistema di gestione della resilienza © UNI 30 UNI/PdR 6:2014 5.2 ANALYSIS OF THE ORGANISATION AND ITS OPERATIONAL ENVIRONMENT 5.2.1 SELECT AND IMPLEMENT A MANAGEMENT SYSTEM The organisation shall establish its resilience management system in accordance with the requirements set out in this document. Where requirements, identical to these requirements, have been previously addressed during the adoption of the existing management system, those requirements do not need to be repeated separately. 5.2.2 ESTABLISH THE CONTEXT The organisation shall define and document its internal and external context. The organisation shall: a) determine the aspects of the organisation's external context, including: - the cultural, political, social, legal, regulatory, financial, technological, climate, economic, natural and competitive environment, whether international, national, regional or local; - key drivers and trends having an impact on the objectives and capabilities of the organisation in providing critical goods and services; - threshold needs of stakeholders, the public and society in general; - perceptions and values of external stakeholders; b) determine the aspects of the organisation's internal context, including: - important assets, activities, functions, services, products, partnerships, supply chain, and stakeholder relationships; - the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes, systems and technologies); - information systems, information flows, and decision making processes (both formal and informal); - internal stakeholders; - policies, objectives, and the strategies that are in place to achieve them; - perceptions, values and culture; - standards and reference models adopted by the organisation; - structures (e.g. governance, roles and accountabilities). © UNI 31 UNI/PdR 6:2014 5.2 ANALISI DELL’ORGANIZZAZIONE E DEL PROPRIO AMBIENTE DI OPERATIVITÀ 5.2.1 SELEZIONE E ATTUAZIONE DI UN SISTEMA DI GESTIONE L’organizzazione deve stabilire il proprio sistema di gestione della resilienza in conformità ai requisiti esposti nel presente documento. Qualora requisiti identici a quelli qui esposti siano già stati presi in considerazione durante l’adozione del sistema di gestione in essere, non è necessario che tali requisiti siano nuovamente considerati. 5.2.2 DEFINIZIONE DEL CONTESTO L’organizzazione deve L’organizzazione deve: definire e documentare il proprio contesto esterno e interno. a) determinare gli elementi che caratterizzano il suo contesto esterno, inclusi: - l’ambiente culturale, politico, sociale, legislativo, normativo, finanziario, tecnologico, climatico, economico, naturale e competitivo, a livello internazionale, nazionale, regionale o locale; - fattori chiave e tendenze che hanno un impatto su obiettivi e capacità dell’organizzazione di fornire beni e servizi critici; - limiti dei bisogni delle parti interessate, del pubblico e della società in generale; - percezioni e valori delle parti interessate esterne; b) determinare gli elementi che caratterizzano il suo contesto interno, compresi: - beni rilevanti, attività, funzioni, servizi, prodotti, partenariati, catena di approvvigionamento e relazioni con le parti interessate; - capacità, intesa in termini di risorse e conoscenza (per esempio capitale, tempo, persone, processi, sistemi e tecnologie); - sistemi informativi, flussi di informazione, processi decisionali (sia formali sia informali); - parti interessate interne; - politiche, obiettivi e strategie in corso di realizzazione; - percezioni, valori e cultura; - norme e modelli di riferimento adottati dall’organizzazione; - strutture (per esempio governance, ruoli e responsabilità di rendere conto). © UNI 32 UNI/PdR 6:2014 The organisation shall identify and document the following in defining the context for the management system and its commitment to the management of risk and resilience within specific internal and external contexts of the organisation: a) the organisation's critical activities, functions, services, products, partnerships, supply chain, stakeholder relationships, and the potential impact related to an incident either natural or manmade for the organisation and its stakeholders; b) the identification of important assets; c) the components of end-to-end product or service supply chain flow, showing how they are configured or linked to deliver critical products and/or services; d) links between the resilience management policy and the organisation's objectives and other policies; e) the organisation's rationale for managing risk and resilience; f) accountabilities and responsibilities for managing risk and resilience4; g) the organisation's tolerable level of risk; h) resources available to assist those accountable or responsible for managing risk and resilience; i) commitment to the periodic review and verification of the resilience management system and framework; j) continual improvement. 5.2.3 MANAGEMENT COMMITMENT Management shall provide evidence of its commitment to the establishment, implementation, operation, monitoring, review, maintenance, and improvement of the resilience management system by: a) establishing a resilience management policy; b) ensuring that resilience management policy objectives and plans are established; c) establishing roles, responsibilities, and competencies for resilience management functions; 4 For the purpose of this document, it should be noted and properly taken into consideration the value of the difference between being accountable and being responsible. Accountability is to be understood as the state of being responsible to someone or an organisation for some action, or lack of action. Responsibility is the state of having the task (duty) of doing something. Not necessarily is the duty to carry out the action (responsibility) and the accountability (being answerable) that it is done, held by the same person. © UNI 33 UNI/PdR 6:2014 Nel definire il contesto per il sistema di gestione e il suo impegno alla gestione del rischio e della resilienza, in riferimento al suo specifico contesto interno ed esterno, l’organizzazione deve identificare e documentare: a) attività, funzioni, servizi, prodotti, partenariati, catena di approvvigionamento, relazioni con le parti interessate, critici per l’organizzazione, e il potenziale impatto di un incidente sia naturale sia indotto da attività umana a danno dell’organizzazione e le parti interessate; b) l’identificazione dei beni rilevanti; c) gli elementi che compongono il flusso della catena di approvvigionamento di prodotti o servizi, mostrando come siano configurati o collegati per fornire prodotti e/o servizi critici; d) le relazioni della politica di gestione della resilienza con gli obiettivi e le altre politiche dell’organizzazione; e) il fondamento logico dell’organizzazione nella gestione del rischio e della resilienza; f) le responsabilità di rendere conto e le responsabilità nella gestione del rischio e della resilienza4; g) il livello tollerabile di rischio per l’organizzazione; h) le risorse disponibili a supporto di coloro che sono responsabili di rendere conto o responsabili della gestione di rischio e resilienza; i) l’impegno a un riesame e una verifica periodica del sistema di gestione della resilienza e del suo quadro strutturale; j) il miglioramento continuo. 5.2.3 IMPEGNO DELLA DIREZIONE La direzione deve fornire evidenza del suo impegno a stabilire, attuare, eseguire, monitorare, riesaminare, mantenere e migliorare il sistema di gestione della resilienza: a) stabilendo una politica di gestione della resilienza; b) assicurando che siano fissati gli obiettivi e i piani per la politica di gestione della resilienza; c) stabilendo ruoli, responsabilità e competenze per le funzioni di gestione della resilienza; 4 Ai fini del presente documento è opportuno sottolineare e tenere in adeguata considerazione il valore della distinzione tra l’essere responsabili di rendere conto (accountable) e l’essere responsabili (responsible). La responsabilità di rendere conto (accountability) è da intendersi come responsabilità di rispondere a qualcuno o a un'organizzazione, rendendo conto di un'azione o una mancata azione. La responsabilità (responsibility) è da intendersi come la condizione di avere il compito di fare qualcosa. Non necessariamente l'onere di portare a termine un'azione (responsibility) e la responsabilità di rendere conto che ciò venga fatto (accountability), sono in capo alla stessa persona. © UNI 34 UNI/PdR 6:2014 d) appointing the Security Liaison Officer (SLO), as well as one or more persons, as appropriate, coordinated by the SLO, to be accountable to management for the resilience management policy with the appropriate authority and competencies to be accountable for the implementation and maintenance of the management system; e) communicating to the organisation the importance of meeting resilience management objectives and conforming to resilience management policy, its responsibilities under the law, and the need for continual improvement; f) providing sufficient resources to establish the context, define, plan, implement, operate, check, review, and improve the resilience management system; g) adopting a metrics concept to measure the performance versus objectives, as defined by the standard UNI ISO 31000; h) deciding the criteria for accepting risk and the acceptable levels of risk; i) ensuring that internal resilience management system audits are conducted; j) conducting management reviews of the resilience management system; k) demonstrating its commitment to continual improvement. Continual improvement is of fundamental importance in the achievement of resilience management. Therefore management shall provide evidence of its commitment to continually improve the effectiveness of the resilience management system, providing appropriate and adequate resources to this regard. 5.2.4 SET SCOPE AND OBJECTIVES FOR RESILIENCE MANAGEMENT SYSTEM The organisation shall define and document the scope and objectives of its resilience management system within specific internal and external contexts of the organisation. In defining the scope, the organisation shall: a) define the boundaries of the organisation to be included in the scope of its resilience management system. The boundaries shall encompass all and every activity and location that play a fundamental role in the provision of critical goods and services to stakeholders; b) establish the requirements for resilience management, considering the organisation's objectives, goals, internal and external obligations, in particular those related to stakeholders, and legal responsibilities; c) consider critical operational objectives, assets, activities, functions, services, and products; d) determine risk, based both on potential internal and external disruptions, that could adversely affect the operations and functions of the organisation within the context of their potential likelihood and impact; © UNI 35 UNI/PdR 6:2014 d) incaricando il Security Liaison Officer (SLO), così come una o più persone, come più opportuno, coordinate da SLO, di essere responsabile di rendere conto alla direzione della politica di gestione della resilienza, con l’autorità e le competenze adeguate per essere responsabile di rendere conto dell’attuazione e del mantenimento del sistema di gestione; e) comunicando all’organizzazione l’importanza di raggiungere gli obiettivi di gestione della resilienza e di conformarsi alla politica di gestione della resilienza, agli obblighi di legge applicabili e della necessità di miglioramento continuo; f) fornendo sufficienti risorse per stabilire il contesto, definire, pianificare, attuare, eseguire, verificare, riesaminare e migliorare il sistema di gestione della resilienza; g) adottando, come previsto dalla norma UNI ISO 31000, un sistema di misura per valutare la prestazione rispetto all’obiettivo; h) decidendo i criteri di tollerabilità del rischio e i livelli accettabili di rischio; i) assicurando che siano condotti audit interni del sistema di gestione della resilienza; j) effettuando riesami da parte della direzione del sistema di gestione della resilienza; k) dimostrando il proprio impegno a sostegno del miglioramento continuo. Il miglioramento continuo è di fondamentale importanza nella realizzazione della gestione della resilienza. Pertanto, la direzione deve fornire evidenza del suo impegno a migliorare in modo continuo l’efficacia del sistema di gestione della resilienza, fornendo risorse appropriate e adeguate a tale riguardo. 5.2.4 DEFINIZIONE DEL CAMPO DI APPLICAZIONE E DEGLI OBIETTIVI DEL SISTEMA DI GESTIONE DELLA RESILIENZA L’organizzazione deve definire e documentare il campo di applicazione e gli obiettivi del proprio sistema di gestione della resilienza in riferimento al suo specifico contesto interno ed esterno. Nel definire il campo di applicazione l’organizzazione deve: a) definire i confini dell’organizzazione entro cui applicare il proprio sistema di gestione della resilienza. I confini devono ricomprendere ogni attività e luogo aventi un ruolo fondamentale nella fornitura di beni e servizi critici per le parti interessate; b) stabilire i requisiti per la gestione della resilienza, considerando gli obiettivi e gli scopi dell’organizzazione, gli obblighi di carattere interno ed esterno, in particolare quelli inerenti le parti interessate, e le responsabilità legali; c) considerare gli obiettivi operativi, i beni, le attività, le funzioni, i servizi e i prodotti critici; d) determinare il rischio, basato su potenziali interruzioni sia interne sia esterne, che potrebbero ripercuotersi negativamente sulle operazioni e funzioni dell’organizzazione con riferimento alla loro probabilità e impatto potenziale; © UNI 36 UNI/PdR 6:2014 e) define scope of the resilience management system in terms of and appropriate to the size, nature, and complexity of the organisation from a perspective of continual improvement. The organisation shall define the scope consistent with protecting and preserving the integrity of the organisation and its capability to supply critical goods and services, including relationships with stakeholders, interactions with key suppliers, outsourcing partners, and other stakeholders (for example, the organisation's supply chain partners and suppliers, customers, stakeholders, the community in which it operates, etc.). The outcome of the resilience management system will play a fundamental and determining role in the protection of a Critical Infrastructure, and its capability to provide critical goods and services for the well-being of citizens and, more in general, the effective functioning of society. The organisation shall also assign strategic relevance to security management, preparedness, mitigation, crisis management; emergency management, business continuity management, disaster management, and recovery management in developing its resilience management system, based on the risk assessment (see 5.4.2). 5.2.5 DESIGNATE THE SECURITY LIAISON OFFICER (SLO) Appropriately authorised management shall define, document, and provide resources for the organisation's management system into which the resilience management system has been incorporated, reflecting a commitment to the protection of human, environmental, and physical assets; anticipating and preparing for potential incidents; and business and operational resilience. Management shall designate a SLO, as required by the Council Directive 2008/114/EC (see 5.5.1). Management shall ensure the availability of adequate and appropriate resources essential for the implementation and control of the resilience management system and the reaching of its objectives. Resources include human resources and specialized skills, equipment, internal infrastructure, technology, information, intelligence, and financial resources. Management shall ensure that all resources are adequately and appropriately utilized for the efficient and efficacious implementation of the resilience system. 5.2.6 ESTABLISH AND IMPLEMENT AN INTELLIGENCE GATHERING AND SHARING PROCESS The organisation shall establish and implement an intelligence process for the gathering, analysing, managing and, as opportune, sharing of intelligence. This shall be done both inside and outside the organisation as appropriate. The intelligence process shall be designed in such a way as to ensure that the organisation possesses knowledge, and is capable of acting upon it, that is beneficial for it to be able to develop and supply critical services and products to stakeholders continuously at an acceptable level. This shall include, but not be limited to, the gathering of information regarding the present and, foreseeable future, status of direct and indirect suppliers and their capability to supply what is needed by the organisation for this scope. © UNI 37 UNI/PdR 6:2014 e) definire il campo di applicazione del sistema di gestione della resilienza in termini adeguati a dimensione, natura e complessità dell’organizzazione in un’ottica di miglioramento continuo. L’organizzazione deve definire il campo di applicazione in coerenza con la protezione e la conservazione della sua integrità e capacità di fornire beni e servizi critici, compresi i rapporti con le parti interessate, le interazioni con i fornitori chiave, i fornitori di servizi esternalizzati e altre parti interessate (per esempio fornitori e partner della catena di approvvigionamento dell’organizzazione, clienti, altre parti interessate, la comunità in cui opera, ecc.). L’attività del sistema di gestione della resilienza svolgerà un ruolo fondamentale e determinante nella tutela di una Infrastruttura Critica e della sua capacità di fornire beni e servizi critici per il benessere dei cittadini e, più in generale, l’efficace funzionamento della società. Nello sviluppo del suo sistema di gestione della resilienza, l’organizzazione deve altresì attribuire rilevanza strategica alla gestione della sicurezza, alla preparazione, mitigazione e gestione delle crisi; alla gestione delle emergenze; alla gestione della continuità operativa alla gestione di disastri e alla gestione del ripristino, basandosi sulla valutazione del rischio (vedere 5.4.2). 5.2.5 DESIGNAZIONE DEL SECURITY LIAISON OFFICER (SLO) La direzione designata deve definire, documentare e fornire le risorse per il sistema di gestione dell’organizzazione in cui è inserito il sistema di gestione della resilienza, riflettendo un impegno alla tutela di beni umani, ambientali e materiali, anticipando e preparandosi a potenziali incidenti al fine di provvedere alla resilienza di business e operativa. La direzione deve designare un SLO, come disposto dalla Direttiva 2008/114/CE (vedere 5.5.1). La direzione deve assicurare la disponibilità di risorse adeguate e appropriate, essenziali per attuare e controllare il sistema di gestione della resilienza e il raggiungimento dei suoi obiettivi. Sono comprese risorse umane, competenze specialistiche, attrezzature, infrastrutture interne, tecnologia, informazione, intelligence e risorse finanziarie. La direzione deve assicurare che tutte le risorse siano adeguatamente e conformemente impiegate ai fini di un’efficiente ed efficace attuazione del sistema di gestione della resilienza. 5.2.6 DEFINIZIONE E ATTUAZIONE DI UN PROCESSO DI RACCOLTA E CONDIVISIONE DI INTELLIGENCE L’organizzazione deve stabilire e attuare un processo di intelligence per la raccolta, analisi, gestione e condivisione di intelligence, per quanto opportuno. Ciò deve essere eseguito all’interno e all’esterno dell’organizzazione, nel modo opportuno. Il processo di intelligence deve essere progettato per assicurare che l’organizzazione possegga conoscenza e sia capace di agire sulla base di questa, a beneficio della sua capacità di sviluppare ed erogare beni e servizi critici alle parti interessate in modo continuo a un livello accettabile. Ciò deve prevedere ma non limitarsi solo alla raccolta di informazioni riguardanti il presente e il prevedibile futuro stato di fornitori diretti e indiretti e della loro capacità di fornire quanto è necessario all’organizzazione a tale scopo. © UNI 38 UNI/PdR 6:2014 The organisation shall keep up to date with the general status of other Critical Infrastructures, whose failing could have a direct, or indirect, effect upon the organisation’s capability to develop and/or supply, critical services and/or products. The organisation shall share information with other Critical Infrastructures, stakeholders and appropriate authorities as is opportune. 5.3 RESILIENCE POLICY The protection of Critical Infrastructures is realized through the implementation of all embracing protection plans which contain indications of targets, measures and operational plans. The protection measures are based on the full scope of risks and keep in mind the aspects of the whole risk management cycle. Thus the organisation adopting this Critical Infrastructure resilience management system shall produce a resilience policy statement to be incorporated into its management system. The resilience policy statement shall be appropriate to the nature and scale of potential risks to the organisation's activities, functions, products, services, and capability of supplying critical goods and services to stakeholders. The policy shall: a) include a commitment to employee and community life safety as the first priority; b) include a commitment to continual improvement; c) include a commitment to enhanced organisational sustainability and resilience; d) include a commitment to flexible and proactive risk minimization; e) include a commitment to implement a procedure for ensuring that pertinent security management information is communicated to and from relevant employees, suppliers and other stakeholders; NOTE Because of the sensitive nature of certain security related information, due consideration shall be given to the sensitivity of information prior to their sharing; the organisation shall have a specific procedure in place for the management of communications of classified information. f) include a procedure for the gathering and sharing of information including intelligence regarding potential direct and indirect threats to the organisation that could impact security management operations and activities and have negative effects upon the organisation’s capability to produce and/or supply goods or provide services that are vital to stakeholders and the population and society in general. The intelligence operations shall be structured on three levels, strategic, tactical and operational. This shall include: I. © UNI the establishing and managing of two way communications with the national secretariat for Critical Infrastructure, as is appropriate and adequate; 39 UNI/PdR 6:2014 L’organizzazione deve tenersi al corrente dello stato generale delle altre Infrastrutture Critiche dal cui malfunzionamento potrebbe derivare un effetto diretto o indiretto sulla sua capacità di sviluppare e/o erogare beni e/o servizi critici. L’organizzazione deve condividere l’informazione con altre Infrastrutture Critiche, le parti interessate e le autorità competenti, come opportuno. 5.3 POLITICA PER LA RESILIENZA La tutela delle Infrastrutture Critiche si realizza attraverso l’attuazione di piani di protezione onnicomprensivi che contengono indicazioni in termini di obiettivi, misure e piani operativi. Le misure di tutela si basano sull’intero spettro di rischi e tengono in considerazione gli aspetti dell’intero ciclo di gestione del rischio. Pertanto, l’organizzazione che adotta questo sistema di gestione per la resilienza per le Infrastrutture Critiche deve produrre una dichiarazione della politica per la resilienza da integrarsi nel suo sistema di gestione. Tale dichiarazione deve essere adeguata alla natura ed entità di potenziali rischi per attività, funzioni, prodotti e servizi dell’organizzazione e la sua capacità di fornire prodotti o servizi critici alle parti interessate. La politica deve: a) come prima priorità includere un impegno alla sicurezza della vita dei dipendenti e della comunità; b) includere un impegno a sostegno del miglioramento continuo; c) includere un impegno a sostegno di una rafforzata sostenibilità e resilienza organizzativa; d) includere un impegno a sostegno di una minimizzazione del rischio preventiva e proattiva; e) includere un impegno a sostegno dell’attuazione di procedure per assicurare che una coerente informazione relativa alla gestione della sicurezza sia comunicata da e verso i pertinenti dipendenti, fornitori e altre parti interessate; NOTA A causa della natura sensibile di certe informazioni relative alla sicurezza, è necessaria considerare la delicatezza di tali informazioni, prima della loro condivisione; l’organizzazione deve avere una specifica procedura di gestione della comunicazione di informazioni riservate. f) includere una procedura per la raccolta e condivisione di informazione, compresa l’intelligence riguardante potenziali minacce dirette e indirette all’organizzazione, che potrebbero impattare su operazioni e attività di gestione della sicurezza e avere effetti negativi sulla capacità dell’organizzazione di produrre e/o fornire beni o erogare servizi vitali per le parti interessate, la popolazione e la società in generale. Le operazioni di intelligence devono essere strutturate su tre livelli, strategico, tattico e operativo. Ciò deve includere: I. © UNI la costituzione e la gestione, in modo corretto e adeguato, di un sistema di comunicazione bidirezionale con l’autorità nazionale per le Infrastrutture Critiche; 40 UNI/PdR 6:2014 II. the establishing and managing of opportune two way communications with other relevant organisations; III. the promotion of co-operation between the organisation and relevant public institutions and agencies in order to exchange relevant intelligence and co-operate in the protection of Critical Infrastructures; g) include a commitment to comply with applicable legal requirements and with other requirements to which the organisation subscribes, this includes compliance with the crosscutting criteria referred to in the Council Directive 2008/114/EC: I. casualties criterion, assessed in terms of the potential number of fatalities or injuries; II. economic effects criterion, assessed in terms of the significance of economic loss and/or degradation of products or services; including potential environmental effects; III. public effects criterion, assessed in terms of the impact on public confidence, physical suffering and disruption of daily life; including the loss of essential services. NOTE The cross-cutting criteria thresholds shall be based on the severity of the impact of the disruption or destruction of a particular infrastructure. The precise thresholds applicable to the cross-cutting criteria shall be determined on a case-by-case basis by the relevant EU Member State concerned by a particular Critical Infrastructure. h) determine and document the risk tolerance in relation to the scope of the management policy and address and specify where in the management system, adopted by the organisation, the following elements related to resilience management are addressed: a framework for setting and reviewing resilience management policy objectives and targets: references to limitations and exclusions; a designated policy owner and/or responsible point of contact; the SLO or person designated on his/her behalf; how the policy is documented, implemented and maintained, communicated to all appropriate persons working for or on behalf of the organisation, and is made available to relevant stakeholders; NOTE An organisation can choose to make public a non-confidential version of its resilience policy, not including sensitive security-related information. © UNI how the policy is reviewed at planned intervals and when significant changes occur; 41 UNI/PdR 6:2014 II. la costituzione e la gestione di un opportuno sistema di comunicazione bidirezionale con altre organizzazioni pertinenti; III. la promozione di cooperazione tra l’organizzazione e le istituzioni e le agenzie pubbliche rilevanti al fine di uno scambio di intelligence pertinente e di una collaborazione nella tutela di Infrastrutture Critiche; g) includere un impegno per il rispetto delle prescrizioni di legge e altre prescrizioni cui l’organizzazione fa riferimento, incluso il rispetto dei criteri di valutazione intersettoriali di cui alla Direttiva 2008/114/CE del Consiglio Europeo: I. il criterio del numero di vittime valutato in termini di numero potenziale di morti o feriti; II. il criterio delle conseguenze economiche valutate in termini di entità delle perdite economiche e/o del deterioramento di prodotti o servizi, comprese le potenziali conseguenze ambientali; III. il criterio delle conseguenze per i cittadini valutate in termini di impatto sulla fiducia dei cittadini, sofferenze fisiche e perturbazione della vita quotidiana, compresa la perdita di servizi essenziali. NOTA Le soglie dei criteri intersettoriali devono basarsi sulla gravità delle conseguenze del danneggiamento o della distruzione di una determinata infrastruttura. Le soglie puntuali applicabili ai criteri intersettoriali devono essere determinate caso per caso dal pertinente Stato Membro UE, interessato da una determinata Infrastruttura Critica. h) determinare e documentare la tollerabilità del rischio in relazione al campo di applicazione della politica di gestione, specificando dove nel sistema di gestione adottato dall’organizzazione sono affrontati i seguenti elementi relativi alla gestione della resilienza: un quadro strutturale per definire e riesaminare gli obiettivi e i risultati della politica di gestione della resilienza; i riferimenti ai limiti e alle eccezioni; il titolare designato alla politica di gestione e/o il punto di contatto responsabile; SLO o persona designata per suo conto; come la politica è documentata, attuata e mantenuta, come è comunicata a tutte le persone coinvolte che lavorano per l’organizzazione o per suo conto, e come è resa disponibile alle parti interessate rilevanti; NOTA Un’organizzazione può decidere di rendere pubblica una versione non riservata della sua politica per la resilienza, omettendo informazioni sensibili relative alla sicurezza. © UNI come la politica è riesaminata a intervalli pianificati e in caso di cambiamenti significativi; 42 UNI/PdR 6:2014 5.4 how the policy visibly endorsed by appropriately authorised management; how the policy interacts and the effects of interaction with other Critical Infrastructure sectors in the case of interruption of production, service and supply. PLANNING 5.4.1 STRATEGIC PLANS AND PROGRAMMES The organisation shall establish and maintain one or more strategic plans and programmes for: a) prevention and protection in order to avoid, eliminate, deter, protect from or prevent the likelihood of an incident and its consequence, including removal of human or physical assets at risk; b) mitigation in order to minimize the impact of an incident; c) response, taking into account the initial response to an incident involving the protection of people and property from immediate harm. An initial reaction by management may form part of the organisation's first response; d) continuity, ensuring that processes, controls, and resources are made available to ensure that the organisation continues to meet its critical business and operational objectives; e) recovery, ensuring that processes, resources, and capabilities of the organisation are reestablished to meet ongoing operational requirements within the time period specified in the objectives. The organisation shall establish, implement and maintain one or more strategic programmes for achieving its objectives and targets. The programmes shall be optimized and prioritized in order to control and treat risk associated with the likelihood and impact of disruptions to the organisation and its supply chain. The programmes shall include: a) designation of responsibility and resources for achieving objectives and targets at relevant functions and levels of the organisation; b) consideration of its activities, functions, regulatory or legal requirements, contractual and supply chain obligations, stakeholders' needs and the environment; c) the means, time-frame and resource allocation by which the resilience management objectives and targets are to be achieved. The organisation shall evaluate its strategic programmes to determine if these measures have introduced new risks. The resilience management programmes shall be reviewed periodically to ensure that they remain effective and consistent with the objectives and targets. Where necessary, the programmes shall be amended accordingly. © UNI 43 UNI/PdR 6:2014 come la politica è apertamente sostenuta da parte della direzione designata; come la politica interagisce e gli effetti di tale interazione con altri settori di Infrastrutture Critiche in caso di interruzione della produzione, erogazione o fornitura. 5.4 PIANIFICAZIONE 5.4.1 PIANI E PROGRAMMI STRATEGICI L’organizzazione deve stabilire e mantenere uno o più piani e programmi strategici per: a) la prevenzione e la protezione al fine di evitare, eliminare, dissuadere, prevenire e proteggersi dalla probabilità di incidente e della sua conseguenza, compreso l’allontanamento di risorse umane o la rimozione di strutture fisiche a rischio; b) la mitigazione al fine di minimizzare l’impatto di un incidente; c) la risposta, tenendo in considerazione la risposta iniziale a un incidente che riguarda la tutela di persone e immobili da danno immediato. Un’iniziale reazione da parte della direzione può formare parte della prima risposta dell’organizzazione; d) la continuità, assicurando che i processi, i controlli e le risorse siano resi disponibili per garantire che l’organizzazione continui a soddisfare i suoi obiettivi di continuità operativa critici; e) il ripristino, assicurando che i processi, le risorse e le capacità dell’organizzazione siano ristabiliti per soddisfare i requisiti di continuità operativa entro il termine di tempo specificato negli obiettivi. L’organizzazione deve stabilire, attuare e mantenere uno o più programmi strategici per conseguire i suoi obiettivi e risultati. I programmi devono essere ottimizzati e definiti per priorità per controllare e trattare il rischio associato alla probabilità e all’impatto di interruzioni sull’organizzazione e la sua catena di approvvigionamento. I programmi devono: a) includere la designazione di responsabilità e le risorse per il raggiungimento di obiettivi e risultati correlati alle funzioni e ai livelli pertinenti dell’organizzazione; b) considerare le attività e le funzioni, le prescrizioni, normative e legali, gli obblighi contrattuali e la catena di approvvigionamento, le esigenze delle parti interessate e l’ambiente; c) includere gli strumenti, la tempistica di riferimento e le risorse allocate con cui devono essere conseguiti gli obiettivi e i risultati previsti per la gestione della resilienza. L’organizzazione deve valutare i propri programmi strategici per determinare se tali misure abbiano introdotto nuovi rischi. I programmi per la gestione della resilienza devono essere riesaminati periodicamente per assicurare che continuino a essere efficaci e coerenti con gli obiettivi e i risultati. Qualora necessario, i programmi devono essere coerentemente corretti. © UNI 44 UNI/PdR 6:2014 5.4.2 RISK ASSESSMENT AND PROCESS MONITORING The organisation shall establish, implement, and maintain an ongoing formal and documented risk assessment process to: a) identify risk due to intentional, unintentional, and naturally-caused hazards and threats that have a potential for direct or indirect impact on the organisation's activities, operations, functions and supply chain; human, intangible, and physical assets; the environment; and its stakeholders; b) systematically analyse impact/consequence; risk, including likelihood, vulnerability, criticality, and c) determine those risks that have a significant consequence on activities, functions, services, products, supply chain, stakeholder relationships, and the environment; d) systematically evaluate and prioritize risk control and treatment and their related costs. The organisation shall: a) document and keep this information up to date and confidential, as is appropriate; b) periodically review whether the resilience management scope, policy, and risk assessment are still appropriate given the organisation's internal and external context; c) ensure that prioritised risks are taken into account in establishing, implementing, and operating its resilience management system; d) re-evaluate risk within the context of relevant changes within and outside the organisation or made to the organisation's operating environment, procedures, functions, services, partnerships, and supply chain; e) develop risk criteria that are used to evaluate the significance of risk. The risk criteria reflect the internal and external context of the organisation, including its values, objectives and resources; f) establish criteria for maximum allowable downtime, recovery time objectives, as well as acceptable levels of loss associated with the organisation and its supply chain's products, services and functions; g) establish a prioritized timeframe for recovery of activities and functions within the organisation and throughout the supply chain; h) evaluate the direct and indirect benefits and costs of options to reduce risk and enhance sustainability and resilience. © UNI 45 UNI/PdR 6:2014 5.4.2 VALUTAZIONE DEL RISCHIO E MONITORAGGIO DEL PROCESSO L’organizzazione deve stabilire, attuare e mantenere un continuo processo formale e documentato di valutazione del rischio per: a) identificare il rischio dovuto a pericoli e minacce intenzionali, non intenzionali e naturali con potenziale impatto diretto o indiretto su attività, operazioni, funzioni e catena di approvvigionamento dell’organizzazione; su beni umani, immateriali e materiali; sull’ambiente e sulle parti interessate; b) analizzare sistematicamente il rischio, compresi probabilità, vulnerabilità, criticità e impatto/conseguenza; c) determinare quei rischi che hanno una significativa conseguenza su attività, funzioni, servizi, prodotti, catena di approvvigionamento, relazioni con le parti interessate e con l’ambiente; d) valutare sistematicamente e stabilire le priorità di controllo del rischio, del suo trattamento e dei costi associati. L’organizzazione deve: a) documentare e mantenere aggiornate e riservate le relative informazioni, per quanto opportuno; b) riesaminare periodicamente se il campo di applicazione della gestione della resilienza, la politica e la valutazione del rischio sono ancora adeguati, dato il contesto interno ed esterno dell’organizzazione; c) assicurare che i rischi prioritari siano presi in considerazione nello stabilire, attuare ed eseguire il proprio sistema di gestione della resilienza; d) rivalutare il rischio in riferimento a cambiamenti rilevanti all’interno e all’esterno dell’organizzazione o apportati all’ambiente in cui opera l’organizzazione, a procedure, funzioni, servizi, partenariati e catena di approvvigionamento; e) sviluppare criteri di rischio da utilizzarsi per valutare la gravità del rischio. I criteri di rischio riflettono il contesto interno ed esterno dell’organizzazione, compresi i suoi valori, obiettivi e risorse; f) stabilire criteri per il limite massimo accettabile di inattività, gli obiettivi temporali di ripristino, così come i livelli accettabili in termini di perdita associata a prodotti, servizi e funzioni dell’organizzazione e della sua catena di approvvigionamento; g) stabilire un ordine temporale di priorità per il ripristino nell’organizzazione e lungo la catena di approvvigionamento; di attività e funzioni h) valutare benefici e costi, diretti e indiretti, delle opzioni per ridurre il rischio e rafforzare la sostenibilità e la resilienza. © UNI 46 UNI/PdR 6:2014 5.4.3 INTERNAL AND EXTERNAL COMMUNICATIONS AND CONSULTATION The organisation shall establish, implement, and maintain a formal and documented communication and consultation process with stakeholders and supply chain partners in the risk assessment process to ensure that: a) intelligence is collected, treated and shared as appropriate; b) risk is adequately identified; c) interests of stakeholders, as well as dependencies and linkages within the supply chain are understood; d) resilience risk assessment process interfaces with other management disciplines; e) risk assessment is being conducted within the appropriate internal and external context and parameters relevant to the organisation and its supply chain. 5.4.4 LEGAL AND OTHER REQUIREMENTS The organisation shall establish and maintain a procedure to: a) identify legal, regulatory, and other requirements to which the organisation subscribes related to the organisation's hazards, threats, and risks that are related to its facilities, activities, functions, products, services, supply chain, the environment, and stakeholders; b) determine how these requirements apply to its hazards, threats, risks and their potential impact. The organisation shall document this information and keep it up to date. The organisation shall ensure that applicable legal, regulatory, and other requirements to which the organisation subscribes are considered in developing, implementing, and maintaining its resilience management system. 5.4.5 OBJECTIVES AND TARGETS FOR RISK MANAGEMENT The organisation shall establish, implement and maintain documented objectives and targets to manage risk in order to avoid, prevent, deter, mitigate, respond to, and recover from an incident. Objectives shall be derived from and consistent with the resilience management policy and risk assessment, including the commitments to: a) minimize risk by reducing likelihood and consequence; © UNI 47 UNI/PdR 6:2014 5.4.3 COMUNICAZIONE E CONSULTAZIONE INTERNA ED ESTERNA L’organizzazione deve stabilire, attuare e mantenere un formale e documentato processo di comunicazione e consultazione con le parti interessate e i partner della catena di approvvigionamento nel processo di valutazione del rischio per assicurare che: a) l’intelligence sia opportunamente raccolta, trattata e diffusa; b) il rischio sia adeguatamente identificato; c) gli interessi delle parti interessate, così come le relazioni di dipendenza e i collegamenti all’interno della catena di approvvigionamento, siano compresi; d) il processo di valutazione di rischio della resilienza si interfacci con altre discipline di gestione; e) la valutazione del rischio sia condotta con riferimento all’opportuno contesto interno ed esterno e ai parametri rilevanti per l’organizzazione e la sua catena di approvvigionamento. 5.4.4 PRESCRIZIONI LEGALI E ALTRE PRESCRIZIONI L’organizzazione deve stabilire e mantenere una procedura per: a) identificare le prescrizioni di legge, norme e altre prescrizioni ai quali l’organizzazione fa riferimento relative a pericoli, minacce e rischi collegati a siti, attività, funzioni, prodotti, servizi, catena di approvvigionamento, l’ambiente e le parti interessate dell’organizzazione; b) determinare come tali prescrizioni valgono per i propri pericoli, minacce e rischi e il loro potenziale impatto. L’organizzazione deve documentare tale informazione e mantenerla aggiornata. L’organizzazione deve assicurarsi che le leggi, le norme e altre prescrizioni applicabili cui fa riferimento siano considerate nello sviluppo, nell’attuazione e nel mantenimento del suo sistema di gestione della resilienza. 5.4.5 OBIETTIVI E RISULTATI PER LA GESTIONE DEL RISCHIO L’organizzazione deve stabilire, attuare e mantenere documentati obiettivi e risultati per la gestione del rischio per evitare, prevenire, dissuadere, mitigare un incidente e consentire la risposta e il ripristino a seguito di questo. Gli obiettivi devono derivare ed essere coerenti con la politica di gestione della resilienza e la valutazione del rischio, compresi gli impegni a: a) minimizzare il rischio riducendo probabilità e conseguenza; © UNI 48 UNI/PdR 6:2014 b) increase resilience through flexible, proactive and reactive approaches; financial, operational and business requirements (including supply chain commitments); c) compliance with legal and other requirements; d) continual improvement. Targets shall be measurable qualitatively and/or quantitatively using established metrics. Targets shall be derived from and consistent with the resilience management policy objectives and shall be: a) to an appropriate level of detail; b) commensurate to the risk assessment and the organisation's timeframe for recovery; c) specific, measurable, achievable, relevant and time-based (where practicable); d) communicated to all relevant employees and third parties, including suppliers and supply chain partners, with the intent that these persons are made aware of their individual obligations; e) reviewed periodically to ensure that they remain relevant and consistent with the resilience management policy objectives and amended accordingly. The strategic means for achieving objectives and targets are defined in plans and programmes for resilience (see 5.4.1). 5.5 IMPLEMENTATION AND OPERATION 5.5.1 RESOURCES, ROLES, RESPONSIBILITIES AND AUTHORITY Roles, responsibilities and authorities shall be defined, documented and communicated in order to facilitate effective resilience management, consistent with the achievement of its resilience management policy, objectives, targets and programmes. In accordance with the Council Directive 2008/114/EC the organisation's appropriately authorised management shall appoint a SLO who, irrespective of other responsibilities, shall have defined roles, responsibilities, and authority for: a) ensuring that a resilience management system is established, communicated, implemented, and maintained in accordance with the requirements of this document; b) identifying and monitoring the requirements and expectations of the organisation and stakeholders and take appropriate action to manage these expectations; c) ensuring the availability of adequate resources that have received appropriate training; © UNI 49 UNI/PdR 6:2014 b) accrescere la resilienza con approcci flessibili, proattivi e reattivi; capacità finanziarie, operative e di business (compresi gli impegni da parte della catena di approvvigionamento); c) rispetto delle prescrizioni legali e altre prescrizioni; d) miglioramento continuo. I risultati devono essere misurabili qualitativamente e/o quantitativamente utilizzando un sistema di misurazione prestabilito. I risultati devono derivare ed essere coerenti con gli obiettivi della politica di gestione della resilienza e devono essere: a) a un appropriato livello di dettaglio; b) commisurati alla valutazione del rischio e al tempo necessario per il ripristino dell’organizzazione; c) specifici, misurabili, raggiungibili, pertinenti e circostanziati nel tempo (qualora fattibile); d) comunicati a dipendenti e parti terze pertinenti, compresi fornitori e partner della catena di approvvigionamento, con l’intento che tali soggetti siano resi coscienti dei loro obblighi individuali; e) periodicamente riesaminati per assicurare che rimangano adeguati e coerenti con gli obiettivi della politica di gestione della resilienza e di conseguenza corretti. Gli strumenti strategici con cui conseguire obiettivi e risultati sono declinati in piani e programmi per la resilienza (vedere 5.4.1). 5.5 ATTUAZIONE E FUNZIONAMENTO 5.5.1 RISORSE, RUOLI, RESPONSABILITÀ E AUTORITÀ Ruoli, livelli di responsabilità e di autorità devono essere definiti, documentati e comunicati al fine di facilitare una efficace gestione della resilienza, coerente con il conseguimento della sua politica di gestione della resilienza, i suoi obiettivi, risultati e programmi. Come previsto dalla Direttiva 2008/114/CE del Consiglio, la direzione designata dell’organizzazione deve nominare un SLO che, a prescindere da altre responsabilità, deve avere ruoli, livelli di responsabilità e autorità definiti per: a) assicurare che un sistema di gestione della resilienza sia stabilito, comunicato, attuato e mantenuto secondo i requisiti del presente documento; b) identificare e monitorare i requisiti e le aspettative dell’organizzazione e delle parti interessate e adottare le opportune azioni per la loro gestione; c) assicurare la disponibilità di adeguate risorse che abbiano ricevuto adeguata formazioneaddestramento; © UNI 50 UNI/PdR 6:2014 d) reporting on the performance of the resilience management system to appropriately authorised management for review and as the basis for improvement. This shall be accomplished by the creation of an adequate structure that shall continuously search for, find, analyse, share, with all relevant and authorised stakeholders, intelligence that may be of assistance in predicting, and responding to, (taking appropriate action) direct and/or indirect attacks that may impact upon the direct and/or indirect continuity of provision of products and/or services that are critical to stakeholders. The structure shall be either in-house, out-sourced or an appropriate combination of both. This structure shall provide inputs to the organisation. A decisionary hierarchy, which is endorsed by appropriately authorised management, shall be established for action to be taken, or not to be taken, following the receipt of inputs. Inputs shall be documented and records kept. Records shall be kept of all decisions taken to act, or not act, upon input. The organisation shall co-operate with, and participate in, intelligence sharing groups, for the protection of Critical Infrastructures where opportune and approved, by whichever national body has been given this task, in a measure that is appropriate and adequate to the scope of this document. The organisation shall establish: a) resilience management, crisis management, and response teams with defined roles, appropriate authority, and adequate resources to oversee incident prevention, preparedness, response, and recovery; b) logistical capabilities and procedures to locate, acquire, store, distribute, maintain, test, and account for services, personnel, resources, materials, and facilities made available or donated to support the resilience management system; c) resource management objectives for response time, personnel, equipment, training, facilities, funding, insurance, liability control, expert knowledge, materials, and the time frames within which they will be needed from organisation's resources and from any partner entities; d) procedures for stakeholder assistance, communications and strategic alliances. The organisation shall assess the need of coordination with other public or private organisations and establish essential and necessary cooperation. The organisation shall develop financial and administrative procedures to support the resilience management programme before, during, and after an incident. Procedures shall be: a) established to ensure that fiscal decisions can be expedited; b) in accordance with established authority levels and accounting principles. © UNI 51 UNI/PdR 6:2014 d) riportare alla direzione designata in merito alla prestazione del sistema di gestione della resilienza al fine di un riesame e come base per il miglioramento. Ciò deve essere attuato con la creazione di una struttura adeguata che si occupi continuamente di ricercare, individuare, analizzare e condividere con le parti interessate, pertinenti e autorizzate, l’intelligence di supporto nel prevedere e rispondere (mediante opportuna azione) ad attacchi diretti e/o indiretti che possano determinare un impatto sulla continuità diretta e/o indiretta di fornitura di prodotti e/o servizi critici per le parti interessate. La struttura da adottare può essere interna, esterna oppure una combinazione delle due soluzioni. Tale struttura deve fornire input all’organizzazione. Deve essere istituita una gerarchia decisionale, approvata dalla direzione designata, per decidere quali azioni intraprendere, o meno, a seguito degli input ricevuti. Gli input devono essere documentati e registrati. Deve essere inoltre tenuto un archivio delle decisioni di intervento, o non intervento, prese sulla base delle pertinenti valutazioni. L’organizzazione deve collaborare e partecipare a gruppi di condivisione di intelligence per la tutela di Infrastrutture Critiche, ove opportuno e approvato dall’ente nazionale incaricato di tale compito, in una misura appropriata e adeguata al campo di applicazione del presente documento. L’organizzazione deve stabilire: a) squadre per la gestione della resilienza, la gestione di crisi e di risposta a incidente, con ruoli definiti, appropriata autorità e congrue risorse al fine di sovrintendere la prevenzione, la preparazione, la risposta e il ripristino susseguente un incidente; b) capacità e procedure logistiche per localizzare, acquisire, immagazzinare, distribuire, mantenere, testare e rendere conto dei servizi erogati, del personale, delle risorse, dei materiali e delle strutture rese disponibili o donate a supporto del sistema di gestione della resilienza; c) obiettivi di gestione delle risorse per i tempi di risposta, il personale, le attrezzature, formazione, le strutture, i finanziamenti, le assicurazioni, il controllo delle responsabilità, le specifiche conoscenze, i materiali e l’arco di tempo entro cui saranno rese disponibili dalle risorse dell'organizzazione e dalle organizzazioni partner; d) procedure per l’assistenza alle parti interessate, la comunicazione e le alleanze strategiche. L’organizzazione deve valutare le necessità di coordinamento con altre organizzazioni pubbliche o private e istituire la necessaria ed essenziale cooperazione. L’organizzazione deve sviluppare procedure finanziarie e amministrative a sostegno del programma di gestione della resilienza prima, durante e dopo un incidente. Le procedure devono essere: a) stabilite per garantire che le decisioni di natura fiscale possano essere espedite; b) coerenti con i livelli di autorità prestabiliti e i principi contabili. © UNI 52 UNI/PdR 6:2014 5.5.2 COMPETENCE, TRAINING AND AWARENESS The organisation shall ensure that any person who has the potential to prevent, cause, respond to, mitigate, or be affected by significant hazards, threats, and risks is competent (on the basis of appropriate education, training, or experience) and retains relevant documentation. The organisation shall identify competencies and training needs associated with management of its hazards, threats, and risks and its resilience management policy. It shall provide training or take other action to meet these needs and retain associated records. The organisation shall establish, implement, and maintain a procedure to ensure all people working for it or on its behalf are aware of: a) the significant hazards, threats, and risks, and related actual or potential impact, associated with their work and the benefits of improved personal performance; b) the procedure for incident prevention, deterrence, mitigation, self-protection, evacuation, response; continuity and recovery; c) the importance of conformity with the resilience management policy and procedure and with the requirements of the Critical Infrastructure security management system; d) their roles and responsibilities in achieving conformity with the requirements of the resilience management policy; e) the potential consequence of deviation from the specified procedure. The organisation shall build, promote, and embed a resilience management culture within the organisation and supply chain that: a) ensures the resilience management culture becomes part of the organisation's and supply chain's core values and organisation governance; b) makes supply chain partners and stakeholders aware of the resilience management policy and their role in any plans. 5.5.3 COMMUNICATION AND WARNING With regard to its hazards, threats, risks and resilience management policy, the organisation shall establish, implement, and maintain a procedure for: a) documenting, recording, and communicating changes in documentation, plans, procedures, the management system, and results of evaluations and reviews; b) internal communication between the various levels and functions of the organisation; c) external communication with its supply chain and other partner entities and stakeholders; © UNI 53 UNI/PdR 6:2014 5.5.2 COMPETENZA, FORMAZIONE-ADDESTRAMENTO E CONSAPEVOLEZZA L’organizzazione deve assicurare che qualsiasi persona in grado di prevenire, causare, rispondere, mitigare o essere colpita da pericoli, minacce e rischi significativi sia competente (sulla base di appropriata istruzione, formazione-addestramento ed esperienza) e deve conservare la relativa documentazione comprovante. L’organizzazione deve identificare le competenze e i bisogni di formazione-addestramento associati alla gestione di pericoli, minacce e rischi e alla politica di gestione della resilienza. Deve erogare formazione-addestramento o adottare altre azioni per soddisfare tali bisogni e deve conservare i relativi documenti. L’organizzazione deve stabilire, attuare e mantenere una procedura per garantire che le persone che vi lavorano o lavorano per suo conto siano a conoscenza: a) di pericoli, minacce e rischi significativi, e del loro effettivo o potenziale impatto, associati al loro lavoro e dei benefici dovuti al miglioramento della propria prestazione b) delle procedure di prevenzione, deterrenza, mitigazione, auto-protezione, evacuazione, risposta, continuità e rispristino; c) dell’importanza di essere conformi alla politica e alle procedure di gestione della resilienza e ai requisiti del sistema di gestione della sicurezza dell’Infrastruttura Critica; d) dei loro ruoli e delle loro responsabilità nel conseguire la conformità ai requisiti della politica di gestione della resilienza; e) della potenziale conseguenza in caso di deviazione da una specifica procedura. L’organizzazione deve costruire, promuovere e diffondere una cultura per la gestione della resilienza al suo interno e nella catena di approvvigionamento per: a) assicurare che la cultura della gestione della resilienza divenga parte dei suoi valori fondamentali e di quelli della catena di approvvigionamento e della governance; b) rendere i partner della catena di approvvigionamento e le parti interessate consapevoli della politica di gestione della resilienza e del loro ruolo previsto nei vari piani. 5.5.3 COMUNICAZIONE E ALLERTA Con riferimento a pericoli, minacce, rischi e alla sua politica di gestione della resilienza, l’organizzazione deve stabilire, attuare e mantenere una procedura per: a) documentare, registrare e comunicare i cambiamenti della documentazione, dei piani, delle procedure, del sistema di gestione, dei risultati di valutazione e del riesame; b) comunicare internamente tra i vari livelli e funzioni dell’organizzazione; c) comunicare all’esterno con la catena di approvvigionamento, enti partner e parti interessate; © UNI 54 UNI/PdR 6:2014 d) receiving, documenting, and responding to communication from external stakeholders e) adapting and integrating a national or regional risk or threat advisory system or equivalent into planning and operational use; f) sharing intelligence with its supply chain and other partner entities and stakeholders; g) alerting stakeholders and supply chain partners potentially impacted by a potential, actual or impending incident; h) assuring availability of the means of communication during a crisis situation and disruption; i) facilitating structured communication with immediate and emergency responders; j) assuring the interoperability of multiple responding organisations and personnel; k) recording of vital information about the incident, actions taken, and decisions made. 5.5.4 DOCUMENTATION: THE OPERATOR SECURITY PLAN The resilience management system documentation shall include the Operator Security Plan (OSP) and further documents and records determined by the organisation to be necessary to ensure the effective planning, operation, and control of processes that relate to its significant risks. The organisation shall implement an OSP as specified in the Council Directive 2008/114/EC comprising an identification of important assets, a risk assessment and the identification, selection and prioritization of counter measures and procedures. The OSP risk analysis shall be based on an all-hazards approach which shall counter threats from technological, man-made and natural disasters but shall give priority to threats from terrorism. The OSP shall provide for the gathering, treating and sharing, as appropriate, of relevant intelligence regarding potential direct or indirect threats to the organisation that could impact the organisations ability to produce and/or supply goods or provide services that are essential for stakeholders. The OSP shall identify Critical Infrastructure assets and which security solutions exist or are being implemented for their protection. As specified in Annex II of the Council Directive 2008/114/EC, the OSP shall cover at least: 1. identification of important assets; 2. the conducting of a risk analysis based on major threat scenarios, vulnerability of each asset, and potential impact; © UNI 55 UNI/PdR 6:2014 d) ricevere, documentare e rispondere alla comunicazione dalle parti interessate esterne; e) adattare e integrare nella pianificazione e nell’operatività un sistema consultivo del rischio, nazionale o regionale, o un suo equivalente; f) condividere l’intelligence con la catena di approvvigionamento, enti partner e parti interessate; g) allertare le parti interessate e i partner della catena di approvvigionamento potenzialmente coinvolti da un possibile, reale o imminente incidente; h) garantire la disponibilità dei mezzi di comunicazione durante una situazione di crisi e interruzione operativa; i) agevolare comunicazioni strutturate con operatori per la risposta immediata e le emergenze; j) garantire l’interoperabilità tra le molteplici organizzazioni e il personale per la risposta in caso di incidente; k) registrare informazioni vitali riguardanti l’incidente, le azioni intraprese e le decisioni assunte. 5.5.4 DOCUMENTAZIONE: IL PIANO DI SICUREZZA DELL’OPERATORE La documentazione del sistema di gestione della resilienza deve includere il Piano di Sicurezza dell’Operatore (PSO) e ulteriori documenti e archivi necessari da parte dell’organizzazione per assicurare l’efficace pianificazione, funzionamento e controllo dei processi relativi ai rischi rilevanti. L’organizzazione deve attuare un PSO come specificato nella Direttiva 114/2008/CE del Consiglio, che comprende l’identificazione dei beni rilevanti, la valutazione del rischio e l’identificazione, la selezione e la definizione di priorità per contromisure e procedure. L’analisi del rischio di PSO deve basarsi su un approccio onnicomprensivo che permetta di contrastare le minacce derivanti da disastri tecnologici, naturali o causati dall’uomo ma che assegni priorità alle minacce di natura terroristica. Il PSO deve provvedere alla raccolta, al trattamento e alla condivisione, per quanto opportuno, di intelligence pertinente e relativa a possibili minacce dirette o indirette per l’organizzazione che potrebbero influire sulla sua capacità di produrre e/o fornire beni o erogare servizi essenziali per le parti interessate. Il PSO deve individuare i beni dell’Infrastruttura Critica e le soluzioni di sicurezza esistenti o in corso di attuazione per la loro protezione. Come specificato nell’Allegato II della Direttiva 114/2008/CE del Consiglio Europeo, il PSO deve almeno includere: 1. l’individuazione degli elementi importanti; 2. la conduzione di un’analisi dei rischi basata sulle minacce più gravi, sulla vulnerabilità di ogni elemento e sull’impatto potenziale; © UNI 56 UNI/PdR 6:2014 3. identification selection and prioritisation of counter-measures and procedures with a distinction between: - permanent security measures, which identify indispensable security investments and means which are relevant to be employed at all times. This heading shall include information concerning general measures such as technical measures (including installation of detection, access control, protection and prevention means); organisational measures (including a procedure for alerts and crisis management); control and verification measures; communication; awareness raising and training; and security of information systems; - graduated security measures, which can be activated according to varying risk and threat levels. Thus the OSP shall establish, implement, and maintain a formal and documented evaluation process to: a) systematically conduct asset identification and valuation to identify the organisation’s critical activities, functions, services, products, partnerships, supply chain, stakeholder relationships, and the potential impact related to an incident based on risk scenarios; b) identify intentional, unintentional, and naturally-caused hazards and threats that have a potential for direct or indirect impact on the organisation’s operations, functions, and human, intangible, and physical assets; the environment; and its stakeholders; c) systematically analyse risk, vulnerability, criticality, and impact (consequence); d) systematically analyse and prioritise risk controls and treatments and their related costs; e) determine those risks that have a significant impact on activities, functions, services, products, stakeholder relationships, and the environment (i.e., significant risk and impact). The organisation shall: a) document and keep this information up to date and confidential, as is appropriate; b) re-evaluate risk and impact within the context of changes within the organisation or made to the organisation’s operating environment, procedures, functions, services, partnerships, and supply chain; c) establish recovery time objectives and priorities; d) evaluate the direct and indirect benefits and costs of options to reduce risk and enhance sustainability and resilience; e) ensure that the significant risk and impact are taken into account in establishing, implementing, and operating its Critical Infrastructure, resilience management system. © UNI 57 UNI/PdR 6:2014 3. l’individuazione, la selezione e l’ordine di priorità di contromisure e procedure, con una distinzione fra: misure permanenti di sicurezza, che individuano gli investimenti e gli strumenti indispensabili in materia di sicurezza che si prestano ad essere utilizzati in ogni momento. Rientrano sotto questa voce le informazioni riguardanti le misure di tipo generale, quali quelle tecniche (inclusa l’installazione di strumenti di rilevazione, controllo accessi, protezione e prevenzione); le misure organizzative (comprese procedure di emergenza e gestione delle crisi); le misure di controllo e verifica; le comunicazioni; la crescita della consapevolezza e l’addestramento; la sicurezza dei sistemi informativi; misure graduali di sicurezza, che possono essere attivate in funzione dei diversi livelli di rischio e di minaccia. Pertanto, il PSO deve stabilire, attuare e mantenere un processo di valutazione formale e documentato allo scopo di: a) condurre sistematicamente l’identificazione e la valutazione di beni per individuare attività critiche, funzioni, servizi, prodotti, partenariati, catena di approvvigionamento, relazioni con le parti interessate e il potenziale impatto di un incidente, basato sugli scenari di rischio; b) identificare i pericoli, intenzionali e non, e di origine naturale e le minacce che hanno un potenziale impatto diretto o indiretto sulle operazioni, sulle funzioni dell’organizzazione e su beni umani, immateriali e materiali; sull’ambiente e sulle parti interessate; c) analizzare sistematicamente rischio, vulnerabilità, criticità e impatto (conseguenza); d) analizzare sistematicamente e definire le priorità per controlli e trattamenti del rischio e i loro costi associati; e) determinare quei rischi che hanno un significativo impatto su attività, funzioni, servizi, prodotti relazioni con le parti interessate e sull’ambiente (ossia, rischio e impatto significativo). L’organizzazione deve: a) documentare e mantenere aggiornate e riservate le relative informazioni, come più opportuno; b) rivalutare il rischio e l’impatto in riferimento ai cambiamenti all’interno dell’organizzazione o apportati all’ambiente operativo dell’organizzazione, a procedure funzioni, servizi, partenariati e alla catena di approvvigionamento; c) stabilire gli obiettivi in termini di tempo di ripristino e priorità; d) valutare benefici e costi, diretti e indiretti, delle opzioni per ridurre il rischio e rafforzare la sostenibilità e la resilienza; e) garantire che i rischi e gli impatti significativi siano tenuti in considerazione nello stabilire, attuare ed eseguire il sistema di gestione della resilienza dell’Infrastruttura Critica. © UNI 58 UNI/PdR 6:2014 5.5.5 CONTROL OF DOCUMENTS Documents required by the resilience management system shall be controlled. The organisation shall establish, implement, and maintain a procedure to: a) comply with legal and regulatory requirements; b) approve documents for adequacy prior to their issue; c) review, update and re-approve documents as necessary; d) ensure that changes and the current revision status of documents are identified; e) ensure that relevant versions of applicable documents are available at points of use; f) establish document retention, archival, and destruction parameters; g) ensure that documents remain legible and readily identifiable; h) ensure that documents of external origin, determined by the organisation to be necessary for the planning and operation of the resilience management system, are identified and their distribution controlled; i) identify as obsolete all out-of-date documents that the organisation is required to retain; j) ensure the integrity of the documents by ensuring they are tamperproof, securely backed-up, accessible only to authorised personnel, and protected from damage, deterioration, or loss. 5.5.6 OPERATIONAL CONTROL The organisation shall identify those operations and activities that are necessary for achieving: a) the resilience management policy; b) the control of activities identified as having significant risk; c) compliance with legal and regulatory requirements; d) its resilience management policy objectives; e) the delivery of its resilience management policy programmes; f) the required level of supply chain resilience. The organisation shall establish, implement, and maintain a flexible and proactive plan and procedure for those operations that are associated with the identified significant risk, consistent with its resilience management policy, risk assessment, supply chain requirements, objectives, and © UNI 59 UNI/PdR 6:2014 5.5.5 TENUTA SOTTO CONTROLLO DEI DOCUMENTI I documenti richiesti dal sistema di gestione della resilienza devono essere tenuti sotto controllo. L’organizzazione deve stabilire, attuare e mantenere una procedura per: a) essere conforme alle prescrizioni legali e normative; b) approvare l’adeguatezza dei documenti prima della loro emissione; c) riesaminare, aggiornare e riapprovare i documenti quando necessario; d) assicurare che le modifiche e lo stato di revisione vigente dei documenti siano identificati; e) assicurare che le versioni pertinenti dei documenti applicabili siano disponibili nelle sedi d’uso; f) stabilire i parametri per la conservazione e l’archivio dei documenti e per la loro distruzione; g) garantire che i documenti rimangano leggibili e prontamente identificabili; h) assicurare che i documenti di origine esterna, ritenuti dall’organizzazione necessari per la pianificazione e il funzionamento del sistema di gestione della resilienza, siano identificati e la loro distribuzione sia controllata; i) identificare come obsoleti i documenti superati che l’organizzazione è obbligata a conservare; j) assicurare l’integrità dei documenti assicurando che siano a prova di manomissione, con copie di riserva, accessibili solo da personale autorizzato e al sicuro da danni, deterioramento o perdita. 5.5.6 CONTROLLO OPERATIVO L’organizzazione deve identificare quelle operazioni e attività necessarie a conseguire: a) la politica di gestione della resilienza; b) il controllo delle attività che hanno un rischio significativo; c) il rispetto delle prescrizioni legali e normative; d) i suoi obiettivi di politica di gestione della resilienza; e) l’emissione dei suoi programmi di politica di gestione della resilienza; f) il livello di resilienza richiesto alla catena di approvvigionamento. L’organizzazione deve stabilire, attuare e mantenere un piano e una procedura di tipo preventivo e proattivo per quelle operazioni associate a rischi significativi, coerenti con la sua politica di gestione della resilienza, la valutazione del rischio, i requisiti della catena di approvvigionamento, gli obiettivi © UNI 60 UNI/PdR 6:2014 targets, in order to ensure that they are carried out under specified conditions minimizing the risk, by: a) establishing, implementing, and maintaining a procedure related to the identified hazards, threats and risks to activities, functions, products and services of the organisation, and communicating applicable procedures and requirements to its supply chain and suppliers; b) establishing, implementing, and maintaining a documented procedure to control situations where their absence could lead to deviation from the resilience management policy, objectives, and targets; c) evaluating any risk in upstream and downstream supply chain activities to establish, implement, and maintain documented procedure for minimizing the likelihood and/or mitigating the consequence of an incident; d) establishing and maintaining the requirements for goods and services which impact on resilience and communicating these to suppliers. e) stipulating the operating criteria in the documented procedure. The procedure shall include controls for the design, installation, operation, refurbishment of resilience related items of equipment, logistical flow, instrumentation, etc., as appropriate. Where existing arrangements are revised and new arrangements introduced that could impact on the resilience management of operations and activities, the organisation shall consider the associated risk before their implementation. The new or revised arrangements to be considered shall include: a) revised organisational structure, roles or responsibilities; b) revised resilience policy, objectives, targets and programmes; c) revised process and procedures; d) the introduction of new infrastructure, equipment or technology, which may include hardware or software; e) the introduction of new suppliers, supply chain partners, or personnel. The operational control procedure shall: a) address reliability and resilience, the safety and health of people, and the protection of property and the environment potentially impacted by an incident; b) establish ownership of risk treatment and control measures (both internally and externally); c) ensure premonitory signals are comprehended in capacity planning; © UNI 61 UNI/PdR 6:2014 e i risultati per assicurarsi che siano conseguiti secondo determinate condizioni per la riduzione del rischio: a) stabilendo, attuando e mantenendo una procedura relativa a difficoltà, minacce e rischi identificati per attività, funzioni, prodotti e servizi dell’organizzazione e comunicando procedure e requisiti applicabili alla sua catena di approvvigionamento e ai suoi fornitori; b) stabilendo, attuando e mantenendo una procedura documentata per controllare le varie situazioni, la cui assenza potrebbe portare a una deviazione dalla politica di gestione della resilienza, dagli obiettivi e dai risultati; c) valutando ogni rischio nelle attività a monte e a valle della catena di approvvigionamento per stabilire, attuare e mantenere una procedura documentata per minimizzare la probabilità e/o mitigare la conseguenza di un incidente; d) stabilendo e mantenendo dei requisiti per i beni e i servizi che impattano sulla resilienza e comunicandoli ai fornitori. e) stabilendo i criteri operativi da inserire nella procedura documentata. La procedura deve includere controlli per la progettazione, l’installazione, il funzionamento, il rinnovamento di attrezzature collegate alla resilienza, flusso logistico, strumentazione, ecc., come è opportuno. Qualora le disposizioni in essere siano revisionate e siano introdotte nuove disposizioni che potrebbero impattare sulla gestione della resilienza di operazioni e attività, l’organizzazione deve valutare il rischio associato prima della loro attuazione. Le nuove disposizioni e quelle revisionate devono comprendere: a) revisioni della struttura organizzativa, dei ruoli e delle responsabilità; b) revisioni della politica di resilienza, degli obiettivi, dei risultati e dei programmi; c) revisioni dei processi e delle procedure; d) l’introduzione di nuove infrastrutture, attrezzature e tecnologie, che possono comprendere la componente hardware o software; e) l’introduzione di nuovi fornitori, partner della catena di approvvigionamento o di nuovo personale. La procedura di controllo operativo deve: a) affrontare l’affidabilità e la resilienza, la sicurezza e il benessere della popolazione, e la protezione delle proprietà e dell’ambiente sui quali un incidente può avere impatto; b) stabilire la titolarità del trattamento del rischio e delle misure di controllo (sia internamente sia esternamente); c) assicurare che i segnali premonitori siano compresi in termini di pianificazione delle capacità di risposta; © UNI 62 UNI/PdR 6:2014 d) ensure processes are in place site/process/product time to recover); to validate supplier responses (e.g. validate e) be commensurate with the Critical Infrastructure resilience objectives and fit for purpose; f) provide a feedback loop to know if past risk control strategies are changing as part of the routine engineering or process changes or a supplier's decision. 5.5.7 PROCEDURE FOR INCIDENT PREVENTION, RESPONSE AND CONTINUITY The organisation shall establish, implement, and maintain a procedure to manage an incident that can have an impact on the organisation, its activities, functions, services, supply chain, stakeholders, and the environment. The procedure shall document how the organisation will prevent, protect from, prepare for, mitigate, respond to and recover from an incident. The organisation shall prepare for and respond to actual incidents to prevent or mitigate associated adverse consequences. When establishing, implementing, and maintaining a procedure to prevent, prepare for and respond to an incident expeditiously, the organisation shall consider each of the following actions: a) preserve life safety; b) protect assets; c) prevent further escalation of the incident; d) reduce the length of the disruption to operations; e) restore critical operational continuity; f) recover normal operations including evaluating improvements; g) protect image and reputation including media coverage and stakeholder relationships. The organisation shall periodically review and, where necessary, revise its incident prevention, preparedness, response, and recovery procedure – in particular, after exercises or the occurrence of an accident or an incident that can escalate into an emergency, crisis, or disaster. The organisation shall ensure that any persons performing incident prevention, protection, preparedness, mitigation, and response, and recovery measures on its behalf are competent on the basis of appropriate education, training, or experience, and retain associated records. The organisation shall document this information and update it at regular intervals or as changes occur. © UNI 63 UNI/PdR 6:2014 d) assicurare che vi siano processi per la verifica e convalida delle capacità di risposta dei fornitori (per esempio, per convalidare i tempi di ripristino relativi a siti/processi/prodotti) e) essere commisurata agli obiettivi di resilienza dell’Infrastruttura Critica e adatta allo scopo; f) fornire un ritorno di informazione continuo per sapere se le esistenti strategie di controllo del rischio stiano cambiando come parte di una manovra di routine, di un cambiamento dei processi o una decisione di un fornitore. 5.5.7 PROCEDURA PER LA PREVENZIONE, RISPOSTA E CONTINUITÀ A UN INCIDENTE L’organizzazione deve stabilire, attuare e mantenere una procedura per gestire un incidente che possa avere impatto sull’organizzazione e sulle sue attività, funzioni, servizi, catena di approvvigionamento, parti interessate e ambiente. La procedura deve documentare come l’organizzazione previene, si protegge, si prepara, mitiga, risponde e ripristina la sua operatività a seguito di un incidente. L’organizzazione deve essere preparata e rispondere a un reale incidente in modo da prevenire o mitigare le associate conseguenze negative. L’organizzazione, nella fase di definizione, attuazione e mantenimento della procedura di prevenzione, deve prepararsi e rispondere in modo sollecito a un incidente, e deve considerare ognuna delle seguenti azioni: a) salvaguardare la vita delle persone; b) proteggere i beni; c) prevenire l’ulteriore aggravarsi di un incidente; d) ridurre la durata dell’interruzione delle operazioni; e) ripristinare la continuità operativa critica; f) recuperare la normale operatività compreso il processo di valutazione dei miglioramenti; g) proteggere l’immagine e la reputazione considerando l’impatto mediatico e le relazioni con le parti interessate. L’organizzazione deve riesaminare periodicamente e, se necessario, rivedere la sua procedura di prevenzione, preparazione, risposta e ripristino; in particolare, dopo le esercitazioni o il verificarsi di un evento o un incidente che possa aggravarsi e sfociare in emergenza, crisi o disastro. L’organizzazione deve garantire che ogni persona che, per suo conto, mette in atto le misure di prevenzione, protezione, preparazione, mitigazione, risposta e ripristino a seguito di incidente sia competente secondo un’adeguata educazione, formazione-addestramento o esperienza, e deve conservare i documenti che li comprova. L’organizzazione deve documentare tale informazione e aggiornarla a intervalli regolari o in caso di cambiamenti. © UNI 64 UNI/PdR 6:2014 5.5.7.1 PROCEDURE FOR INCIDENT PREVENTION The organisation shall establish, implement, and maintain a procedure to prevent, protect from and mitigate an incident and continue its activities based on resilience objectives developed through the risk assessment process. The procedure shall be based on a hierarchy of control measures in priority order that can be used to select and manage risk exposure, including a procedure to: a) eliminate the risk by complete removal of the risk exposure; b) reduce the risk by modifying activities, processes, equipment or materials; c) isolate or separate the assets from risk. It shall: a) include engineering controls to deter, detect and delay a potential hazard or threat agent; b) include administrative controls such as work practices or procedures that reduce risk; c) protect the asset if the risk cannot be eliminated or reduced. 5.5.7.2 PROCEDURE FOR INCIDENT RESPONSE The organisation shall establish, implement, and maintain a procedure to manage an incident and continue its activities based on recovery objectives developed through the risk assessment process. The organisation shall document a procedure to ensure continuity of activities and management of an incident. The procedure shall: a) be specific regarding the immediate steps that shall be taken during a disruption; b) be flexible to respond to unanticipated incidents and changing internal and external conditions; c) be focused on the impact of various hazards and threats that could potentially disrupt operations rather than specific events; d) be developed based on valid assumptions and an analysis of interdependencies; e) be effective in minimizing consequences through implementation of appropriate mitigation plans; f) consider the transition of post-incident management from the immediate crisis situation to the longer-term resumption and recovery of operations. © UNI 65 UNI/PdR 6:2014 5.5.7.1 PROCEDURA PER LA PREVENZIONE DI INCIDENTI L’organizzazione deve stabilire, attuare e mantenere una procedura per prevenire, proteggersi e mitigare un incidente e continuare le proprie attività sulla base degli obiettivi di resilienza sviluppati attraverso il processo di valutazione del rischio. La procedura deve basarsi su una gerarchia di misure di controllo, ordinate per priorità, per identificare e gestire l’esposizione al rischio, compresa una procedura per: a) eliminare il rischio eliminandone completamente l’esposizione; b) ridurre il rischio modificando le attività, i processi, le attrezzature e i materiali; c) isolare o separare i beni dal rischio. Essa deve: a) includere la progettazione di controlli tecnologici per dissuadere, individuare e ritardare un potenziale pericolo o fattore di minaccia; b) includere procedure gestionali per la riduzione del rischio; c) proteggere i beni nel caso in cui il rischio non possa essere eliminato o ridotto. 5.5.7.2 PROCEDURA PER LA RISPOSTA A INCIDENTI L’organizzazione deve istituire, attuare e mantenere una procedura per gestire un incidente e continuare le proprie attività sulla base degli obiettivi di ripristino sviluppati attraverso il processo di valutazione del rischio. L’organizzazione deve documentare una procedura che permetta la continuità operativa e la gestione di un incidente. La procedura deve: a) essere specifica un’interruzione; nei confronti delle azioni immediate da intraprendere durante b) essere flessibile per rispondere a incidenti imprevisti e far fronte ai cambiamenti delle condizioni interne ed esterne; c) essere focalizzata sull’impatto di diversi pericoli e minacce che potrebbero portare a un’interruzione delle operazioni, piuttosto che su specifici eventi; d) essere sviluppata sulla base di valide supposizioni e su un’analisi delle interrelazioni; e) essere efficace nel minimizzare le conseguenze attraverso l’attuazione di adeguati piani di mitigazione; f) considerare gli accadimenti che avvengono nel periodo successivo alla gestione dell'incidente a partire dall'immediata situazione di crisi fino al completo ripristino e recupero delle operazioni. © UNI 66 UNI/PdR 6:2014 5.5.7.3 PROCEDURE FOR INCIDENT CONTINUITY AND RECOVERY PLAN The organisation shall establish a documented procedure that details how the organisation will manage an incident and how it will recover or maintain its activities to a predetermined level, based on management-approved recovery objectives. Each plan shall define: a) purpose and scope; b) objectives and measures of success; c) implementation procedure; d) roles, responsibilities and authorities; e) communication requirements and procedure; f) internal and external interdependencies and interactions; g) resource requirements; h) information flow and documentation processes. The organisation shall periodically test, review and, where necessary, revise its continuity and recovery plan, in particular, after the occurrence of an incident and its associated post-event review. 5.6 CHECKING AND CORRECTIVE ACTION The organisation shall evaluate resilience management plans, procedures, and capabilities through periodic assessments, testing, post-incident reports, lessons learned, performance evaluations, and exercises. Significant changes in these factors shall be reflected immediately in the procedure. The organisation shall keep records of the results of the periodic evaluations 5.6.1 MONITORING AND MEASUREMENT The organisation shall establish, implement, and maintain performance metrics and a procedure to monitor and measure, on a regular basis, those characteristics of its operations that have material impact on its performance. The procedure shall include the documenting of information to monitor performance, applicable operational controls, and conformity with the organisation's resilience management objectives and targets. The organisation shall evaluate and document the performance of the systems which protect its assets, as well as its communications and information systems. © UNI 67 UNI/PdR 6:2014 5.5.7.3 PROCEDURA PER LA CONTINUITÀ E PIANO DI RIPRISTINO DA INCIDENTE L’organizzazione deve stabilire una documentata procedura che dettagli come l’organizzazione intende gestire un incidente e ripristinare le proprie attività o mantenerle a un predeterminato livello, basandosi sugli obiettivi di ripristino approvati dalla direzione. Ogni piano deve definire: a) scopo e campo di applicazione; b) obiettivi e indici di misura del successo; c) procedura di attuazione; d) ruoli, livelli di responsabilità e autorità; e) requisiti di comunicazione e relative procedure; f) interrelazioni e interazioni interne ed esterne; g) requisiti delle risorse; h) flusso informativo e processi di documentazione. L’organizzazione deve periodicamente testare, riesaminare e, qualora necessario, revisionare il proprio piano di continuità e ripristino, in particolare dopo il verificarsi di un incidente e il relativo riesame post-evento. 5.6 AZIONE DI VERIFICA E AZIONE CORRETTIVA L’organizzazione deve valutare piani di gestione della resilienza, procedure e capacità mediante valutazioni periodiche, test, report post-incidente, apprendimento organizzativo, valutazioni di prestazione ed esercitazioni. Cambiamenti significativi riscontrati in tali attività devono immediatamente riflettersi nella procedura. L’organizzazione deve tenere un archivio dei risultati delle valutazioni periodiche. 5.6.1 MONITORAGGIO E MISURAZIONE L’organizzazione deve stabilire, attuare e mantenere un sistema di misurazione della prestazione e una procedura per monitorare e misurare, su base regolare, le caratteristiche delle sue operazioni che hanno un impatto materiale sulla sua prestazione. La procedura deve includere la documentazione delle informazioni per monitorare la prestazione, i controlli operativi applicabili e la conformità agli obiettivi e ai risultati di gestione della resilienza dell’organizzazione. L’organizzazione deve valutare e documentare la prestazione dei sistemi che proteggono i beni, così come, i sistemi di comunicazione e i sistemi informativi. © UNI 68 UNI/PdR 6:2014 5.6.2 EVALUATION OF COMPLIANCE Consistent with its commitment to compliance, the organisation shall establish, implement, and maintain a procedure for periodically evaluating compliance with applicable legal and regulatory requirements. The organisation shall evaluate compliance with other requirements to which it subscribes, including industry best practices. The organisation may wish to combine this evaluation with the evaluation of legal compliance referred to above or to establish a separate procedure. The organisation shall keep records of the results of the periodic evaluations. 5.6.3 EXERCISES AND TESTING The organisation shall test and evaluate the appropriateness and efficacy of its resilience management system, its programmes, processes, and procedures (including partnership and supply chain relationships). The organisation shall validate its resilience management system using exercises and testing that: a) are consistent with the scope of the resilience management system and objectives of the organisation; b) are based on the risk assessment and are well planned with clearly defined aims and objectives; c) minimize the risk of disruption to operations and the potential to cause risk to operations and assets; d) produce a formalized post-exercise report that contains outcomes, recommendations, and arrangements to implement improvements in a timely fashion; e) are reviewed by appropriately authorised management within the context of promoting continual improvement; f) are conducted at planned intervals, and from time to time on a non-periodic basis, as determined by the management of the organisation, as well as when significant changes occur within the organisation and the environment it operates in. 5.6.4 NON CONFORMITY, CORRECTIVE AND PREVENTIVE ACTION The organisation shall establish, implement, and maintain a procedure for dealing with actual and potential nonconformity and for taking corrective action and preventive action. The procedure shall define requirements for: © UNI 69 UNI/PdR 6:2014 5.6.2 VALUTAZIONE DEL RISPETTO DELLE PRESCRIZIONI Coerentemente al suo impegno per il rispetto delle prescrizioni, l’organizzazione deve stabilire, attuare e mantenere una procedura per valutare periodicamente il rispetto delle prescrizioni di legge e di normative applicabili. L’organizzazione deve valutare il rispetto di altre prescrizioni cui fa riferimento, comprese le migliori prassi dell’industria di riferimento. L’organizzazione può decidere di combinare le valutazioni precedenti con altri adempimenti di legge riferiti a quanto sopra, oppure stabilire procedure separate. L’organizzazione deve tenere archiviati i risultati delle periodiche valutazioni che effettua. 5.6.3 ESERCITAZIONI E PROVE L’organizzazione deve testare e valutare l’adeguatezza e l’efficacia del suo sistema di gestione della resilienza, dei suoi programmi e processi e delle sue procedure (compresi partenariati e relazioni con la catena di approvvigionamento). L’organizzazione deve convalidare il suo sistema di gestione della resilienza ricorrendo a esercitazioni e prove che: a) siano coerenti con il campo di applicazione del sistema di gestione della resilienza e gli obiettivi dell’organizzazione; b) siano basate sulla valutazione del rischio e ben pianificate, con fini e obiettivi chiaramente definiti; c) minimizzino il rischio di interruzione delle operazioni e il potenziale per determinare un rischio per le operazioni e i beni; d) producano un report formale post-esercitazione contenente gli esiti, le raccomandazioni e le disposizioni per mettere in atto miglioramenti in maniera puntuale per lo scopo; e) siano riesaminate dalla direzione designata, nell’ottica di promuovere il miglioramento continuo; f) 5.6.4 siano condotte a intervalli pianificati e, di tanto in tanto su base non periodica, per decisione della direzione dell’organizzazione, ma anche quando intervengono cambiamenti significativi nell’organizzazione e nell’ambiente in cui opera. NON CONFORMITÀ, AZIONI CORRETTIVE E PREVENTIVE L’organizzazione deve stabilire, attuare e mantenere una procedura per gestire effettive e potenziali non conformità e per adottare azioni correttive e preventive. La procedura deve definire i requisiti per: © UNI 70 UNI/PdR 6:2014 a) identifying and correcting nonconformity and taking action to mitigate its impact; b) investigating nonconformity, determining its cause, and taking action in order to avoid its recurrence; c) evaluating the need for action to prevent nonconformity and implementing appropriate action designed to avoid their occurrence; d) implement corrective action and preventive action; e) recording the results of corrective action and preventive action taken; f) reviewing the effectiveness of corrective action and preventive action taken. Actions taken shall be appropriate to the impact of the potential problems, and conducted in an expedited fashion. The organisation shall identify changed risk, and identify preventive action requirements focusing attention on significantly changed risk. The priority of preventive actions shall be determined based on the results of the risk assessment. The organisation shall make any necessary change to the resilience management system documentation for the improvement of efficiency. 5.6.5 RECORDS The organisation shall establish and maintain records to demonstrate conformity to the requirements of its resilience management system and the results achieved. The organisation shall establish, implement, and maintain a procedure to protect the integrity of records, including access to, identification, storage, protection, retrieval, retention, and disposal of records. Records shall be and remain legible, identifiable, and traceable. 5.6.6 INTERNAL AUDITS The organisation shall conduct internal resilience management system audits at planned intervals, and from time to time on a non-periodic basis, as determined by the management of the organisation, to determine whether the control objectives, controls, processes, and procedures of its resilience management system: a) conform to the requirements of this document and relevant legislation or regulations; b) conform to the organisation's risk management requirements; c) are effectively implemented and maintained; © UNI 71 UNI/PdR 6:2014 a) identificare e correggere le non conformità e adottare azioni per mitigarne l’impatto; b) analizzare le non conformità, determinandone la causa e intervenendo per evitare che si ripresentino; c) valutare la necessità di azioni per evitare non conformità e attuare le opportune azioni per evitare che si ripetano; d) attuare azioni preventive e azioni correttive; e) tenere archiviati i risultati delle azioni preventive e correttive effettuate; f) riesaminare l’efficacia delle azioni preventive e correttive effettuate. Le azioni adottate devono essere adeguate rispetto all’impatto del potenziale problema e devono essere condotte in maniera tempestiva. L’organizzazione deve identificare i rischi che si sono modificati e individuare i requisiti di azione preventiva, focalizzando l’attenzione sui rischi che hanno subito modifiche significative. La priorità di azioni preventive deve essere determinata sulla base dei risultati di valutazione del rischio. L’organizzazione deve apportare le dovute modifiche alla documentazione del sistema di gestione della resilienza al fine di un miglioramento dell’efficienza. 5.6.5 GESTIONE DOCUMENTI DI ARCHIVIO L’organizzazione deve stabilire e mantenere dei documenti d’archivio che dimostrino la conformità ai requisiti del suo sistema di gestione della resilienza e i risultati conseguiti. L’organizzazione deve stabilire, attuare e mantenere una procedura per tutelare l’integrità dei documenti d’archivio, compresi l’accesso, l’identificazione, l’archiviazione, la protezione, il recupero, la conservazione e l’eliminazione dei documenti. I documenti archiviati devono rimanere leggibili, identificabili e tracciabili. 5.6.6 AUDIT INTERNI L’organizzazione deve condurre audit interni sul sistema di gestione della resilienza a intervalli pianificati, e di tanto in tanto su base non periodica, per decisione della direzione dell’organizzazione, per determinare se gli obiettivi del controllo, i controlli, i processi e le procedure del sistema di gestione della resilienza: a) siano conformi ai requisiti del presente documento, della legislazione o delle normative applicabili; b) siano conformi ai requisiti di gestione del rischio dell’organizzazione; c) siano efficacemente messi in atto e mantenuti attivi; © UNI 72 UNI/PdR 6:2014 d) perform as expected; An audit programme shall be planned, taking into consideration the status and importance of the processes and areas to be audited, as well as the results of previous audits. The audit criteria, scope, frequency, and methods shall be defined. The selection of auditors and conduct of audits shall ensure objectivity and impartiality of the audit process. Auditors shall not audit their own work. The responsibilities and requirements for planning and conducting audits, and for reporting results and maintaining records (see 5.6.5), shall be defined in a documented procedure. The management responsible for the area being audited shall ensure that actions are taken without undue delay to eliminate detected nonconformities and their causes. Follow-up activities shall include the verification of the actions taken and the reporting of verification results. Management shall be held accountable for the efficiency and correctness of the audit procedure. 5.7 MANAGEMENT REVIEW 5.7.1 ADEQUACY AND EFFECTIVENESS ASSESSMENT Appropriately authorised management shall review the organisation's overall resilience management system at planned intervals to ensure its continuing suitability, adequacy, and effectiveness. This review shall include assessing opportunities for improvement and the need for changes to the management system, including the resilience management system policy and objectives. The result of the review shall be clearly documented and records shall be maintained (see 5.6.5). The input to a management review shall include: a) results of resilience management system audit and review; b) feedback from stakeholders; c) techniques, products, or procedures that could be used in the organisation to improve the resilience management system performance and effectiveness; d) status of preventive and corrective action; e) results of exercises and testing; f) vulnerabilities or threats not adequately addressed in the previous risk assessment; g) results from effectiveness measurements; h) follow-up actions from previous management reviews; © UNI 73 UNI/PdR 6:2014 d) abbiano una prestazione come da previsione. Un programma di audit deve essere pianificato considerando lo stato e l’importanza dei processi e delle aree da sottoporre ad audit, così come i risultati dei precedenti audit. Devono essere definiti criteri, campo di applicazione, frequenza e metodi di audit. La selezione degli auditor e la conduzione di audit devono garantire obiettività e imparzialità del processo di audit. Gli auditor non devono revisionare il proprio operato. Le responsabilità e i requisiti per la pianificazione e la conduzione di audit, e per riportarne i risultati e mantenerne i relativi documenti d’archivio (vedere 5.6.5), devono essere definiti in una documentata procedura. La direzione responsabile dell’area oggetto di audit deve garantire che le azioni per eliminare le non conformità rilevate e le loro cause siano prese senza ingiustificato ritardo. Le attività di follow-up devono includere la verifica delle azioni adottate e l’elaborazione dei rapporti con i risultati della verifica. La direzione deve essere tenuta responsabile di rendere conto dell’efficienza e correttezza della procedura di audit. 5.7 RIESAME DI DIREZIONE 5.7.1 VALUTAZIONE DI ADEGUATEZZA ED EFFICACIA La direzione designata deve riesaminare il sistema di gestione della resilienza dell’organizzazione nel suo complesso, a intervalli pianificati, per assicurarne la continua idoneità, adeguatezza ed efficacia. Tale riesame deve comprendere la valutazione delle opportunità di miglioramento e dell’esigenza di modifiche al sistema di gestione, compresi politica e obiettivi del sistema di gestione della resilienza. Il risultato del riesame dev’essere chiaramente documentato e devono essere conservati i relativi documenti archiviali (vedere 5.6.5). Gli input per il riesame di direzione devono comprendere: a) risultati degli audit e del riesame del sistema di gestione della resilienza; b) ritorno di informazioni dalle parti interessate; c) tecniche, prodotti o procedure che potrebbero essere usati dall’organizzazione per migliorare la prestazione del sistema di gestione della resilienza e la sua efficacia; d) stato delle azioni preventive e correttive; e) risultati di esercitazioni e prove; f) vulnerabilità o minacce non adeguatamente affrontate in precedenti valutazioni del rischio; g) risultati di misurazioni dell’efficacia; h) azioni di follow-up da precedenti riesami di direzione; © UNI 74 UNI/PdR 6:2014 i) any changes that could affect the resilience management system; j) adequacy of policy and objectives; k) recommendations for improvement. The output from the management review shall include any decisions and actions related to the following: a) improvement of the effectiveness of the resilience management system; b) update of the risk assessment, and incident preparedness and response plans; c) modification of procedures and controls that effect risk, as necessary, to respond to internal or external events that may affect the resilience management system, including changes to: - business and operational requirements; - risk reduction and security requirements; - operational conditions processes effecting the existing operational requirements; - regulatory or legal requirements; - contractual obligations; - levels of risk and/or criteria for accepting risk; d) resource needs; e) improvement of how the effectiveness of controls is being measured. 5.7.2 MAINTENANCE Appropriately authorised management shall establish a defined and documented resilience management system maintenance programme to ensure that any internal or external changes that impact the organisation are reviewed in relation to the resilience management policy. It shall identify any new critical activities that need to be included in the resilience management system maintenance programme. 5.7.3 CONTINUAL IMPROVEMENT The organisation shall continually improve the effectiveness of the resilience management system through the use of the resilience management policy, objectives, audit results, analysis of monitored events, corrective and preventive actions, and management review. © UNI 75 UNI/PdR 6:2014 i) modifiche che potrebbero avere effetti sul sistema di gestione della resilienza; j) adeguatezza della politica e dei suoi obiettivi; k) raccomandazioni per il miglioramento. L’output del riesame di direzione deve includere ogni decisione e azione riguardanti: a) il miglioramento dell’efficacia del sistema di gestione della resilienza; b) l’aggiornamento della valutazione del rischio e dei piani di preparazione e risposta a un incidente; c) la modifica di procedure e controlli correlati ai rischi, quando necessario, per rispondere a eventi interni ed esterni che possano incidere sul sistema di gestione della resilienza, compresi i cambiamenti a: requisiti commerciali e operativi; requisiti di riduzione del rischio e requisiti di sicurezza; condizioni operative di processi che hanno effetti sui requisiti operativi esistenti; requisiti normativi o di legge; obblighi contrattuali; livelli di rischio e/o criteri di accettazione del rischio; d) le esigenze in termini di risorse; e) il miglioramento del modo in cui viene misurata l’efficacia dei controlli. 5.7.2 MANTENIMENTO La direzione designata deve istituire uno specifico e documentato programma di mantenimento del sistema di gestione della resilienza per garantire che ogni cambiamento interno ed esterno, che abbia impatto sull’organizzazione, sia esaminato in relazione alla politica di gestione della resilienza. Deve identificare tutte le nuove attività critiche che devono essere incluse nel programma di mantenimento del sistema di gestione della resilienza. 5.7.3 MIGLIORAMENTO CONTINUO L’organizzazione deve migliorare continuamente l’efficacia del sistema di gestione della resilienza utilizzando la politica di gestione della resilienza, gli obiettivi, i risultati degli audit, l’analisi degli eventi monitorati, le azioni correttive e preventive e il riesame di direzione. © UNI 76 UNI/PdR 6:2014 ANNEX A – MAIN NATIONAL LEGISLATIVE AND EU REGULATORY REFERENCES APPLICABLE TO OWNERS/OPERATORS OF CRITICAL INFRASTRUCTURES EU REGULATIONS Regulation (EC) No 1221/2009 of the European Parliament and of the Council of 25 November 2009 on the voluntary participation by organisations in a Community ecomanagement and audit scheme (EMAS), repealing Regulation (EC) No 761/2001 and Commission Decisions 2001/681/EC and 2006/193/EC Regulation (EC) No 1013/2006 of the European Parliament and of the Council of 14 June 2006 on shipments of waste Regulation (EC) No 725/2004 of the European Parliament and of the Council of 31 March 2004 on enhancing ship and port facility security DIRECTIVES Council Directive 2009/119/EC of 14 September 2009 imposing an obligation on Member States to maintain minimum stocks of crude oil and/or petroleum products Directive 2009/140/EC of the European Parliament and of the Council of 25 November 2009 amending Directives 2002/21/EC on a common regulatory framework for electronic communications networks and services, 2002/19/EC on access to, and interconnection of, electronic communications networks and associated facilities, and 2002/20/EC on the authorisation of electronic communications networks and services Directive 2008/68/EC of the European Parliament and of the Council of 24 September 2008 on the inland transport of dangerous goods Directive 2008/98/EC of the European Parliament and of the Council of 19 November 2008 on waste and repealing certain Directives Directive 2008/99/EC of the European Parliament and of the Council of 19 November 2008 on the protection of the environment through criminal law © UNI 77 UNI/PdR 6:2014 APPENDICE A – PRINCIPALI RIFERIMENTI LEGISLATIVI NAZIONALI E DI REGOLAMENTAZIONE COMUNITARIA APPLICABILI A PROPRIETARI/OPERATORI DI INFRASTRUTTURE CRITICHE REGOLAMENTI COMUNITARI Regolamento (CE) n. 1221/2009 del Parlamento europeo e del Consiglio del 25 novembre 2009 sull’adesione volontaria delle organizzazioni a un sistema comunitario di ecogestione e audit (EMAS), che abroga il regolamento (CE) n. 761/2001 e le decisioni della Commissione 2001/681/CE e 2006/193/CE Regolamento (CE) n. 1013/2006 del Parlamento europeo e del Consiglio del 14 giugno 2006 relativo alle spedizioni di rifiuti Regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio del 31 marzo 2004 relativo al miglioramento della sicurezza delle navi e degli impianti portuali DIRETTIVE E DECRETI DI ATTUAZIONE Direttiva 2009/119/CE Decreto Legislativo 31 dicembre 2012, n. 249 Attuazione della direttiva 2009/119/CE che stabilisce l'obbligo per gli Stati membri di mantenere un livello minimo di scorte di petrolio greggio e/o di prodotti petroliferi Direttiva 2009/140/CE Decreto Legislativo 28 maggio 2012, n. 70 Modifiche al decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche in attuazione delle direttive 2009/140/CE, in materia di reti e servizi di comunicazione elettronica, e 2009/136/CE in materia di trattamento dei dati personali e tutela della vita privata Direttiva 2008/68/CE Decreto Legislativo 27 gennaio 2010, n. 35 Attuazione della direttiva 2008/68/CE, relativa al trasporto interno di merci pericolose Direttiva 2008/98/CE Decreto Legislativo 3 dicembre 2010, n. 205 Disposizioni di attuazione della direttiva 2008/98/CE del Parlamento europeo e del Consiglio del 19 novembre 2008 relativa ai rifiuti e che abroga alcune direttive Direttiva 2008/99/CE Decreto Legislativo 7 luglio 2011, n. 121 Attuazione della direttiva 2008/99/CE sulla tutela penale dell'ambiente, nonché della direttiva 2009/123/CE che modifica la direttiva 2005/35/CE relativa all'inquinamento provocato dalle navi e all'introduzione di sanzioni per violazioni © UNI 78 UNI/PdR 6:2014 Directive 2006/21/EC of the European Parliament and of the Council of 15 March 2006 on the management of waste from extractive industries and amending Directive 2004/35/EC Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC Directive 2005/65/EC of the European Parliament and of the Council of 26 October 2005 on enhancing port security Directive 2003/105/EC of the European Parliament and of the Council of 16 December 2003 amending Council Directive 96/82/EC on the control of major-accident hazards involving dangerous substances Council Directive 96/82/EC (“Seveso II”) of 9 December 1996 on the control of major-accident hazards involving dangerous substances OTHER EU ACTS SWD(2013) 318 of 28 August 2013 Commission Staff Working Document on a new approach to the European Programme for Critical Infrastructure Protection Making European Critical Infrastructures more secure 2007/124/EC, Euratom Council Decision of 12 February 2007 establishing for the period 2007 to 2013, as part of General Programme on Security and Safeguarding Liberties, the Specific Programme Prevention, Preparedness and Consequence Management of Terrorism and other Security related risk COM(2006) 786 of 12 December 2006 Communication from the Commission on a European Programme for Critical Infrastructure protection COM(2004) 702 of 20 October 2004 Communication from the Commission to the Council and the European Parliament. Critical Infrastructure Protection in the fight against terrorism LAWS AND LEGISLATIVE DECREES T.U.L.P.S. - Testo Unico delle leggi di Pubblica Sicurezza © UNI 79 UNI/PdR 6:2014 Direttiva 2006/21/CE Decreto legislativo 30 maggio 2008, n. 117 Attuazione della direttiva 2006/21/CE relativa alla gestione dei rifiuti delle industrie e che modifica la direttiva 2004/35/CE Direttiva 2006/24/CE Decreto legislativo 30 maggio 2008, n. 109 Attuazione della direttiva 2006/24/CE riguardante la conservazione dei dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE Direttiva 2005/65/CE Decreto Legislativo 6 novembre 2007, n. 203 Attuazione della direttiva 2005/65/CE relativa al miglioramento della sicurezza nei porti Direttiva 2003/105/CE Decreto Legislativo 21 settembre 2005, n. 238 Attuazione della Direttiva 2003/105/CE che modifica la direttiva 96/82/CE sul controllo dei pericoli di incidenti rilevanti connessi con determinate sostanze pericolose Direttiva 96/82/CE (“Seveso II”) Decreto Legislativo 17 agosto 1999, n. 334 Attuazione della Direttiva 96/82/CE relativa al controllo dei pericoli di incidenti rilevanti connessi con determinate sostanze pericolose ALTRI ATTI COMUNITARI SWD(2013) 318 del 28 agosto 2013 Commission Staff Working Document on a new approach to the European Programme for Critical Infrastructure Protection Making European Critical Infrastructures more secure 2007/124/CE, Euratom Decisione del Consiglio del 12 febbraio 2007 che istituisce per il periodo 2007-2013 il programma specifico «Prevenzione, preparazione e gestione delle conseguenze in materia di terrorismo e di altri rischi correlati alla sicurezza», quale parte del programma generale sulla sicurezza e la tutela delle libertà COM(2006) 786 del 12 dicembre 2006 Comunicazione della Commissione relativa a un programma europeo per la protezione delle infrastrutture critiche COM(2004) 702 del 20 ottobre 2004 Comunicazione della Commissione al Consiglio e al Parlamento Europeo. La protezione delle infrastrutture critiche nella lotta contro il terrorismo LEGGI E DECRETI LEGISLATIVI T.U.L.P.S. - Testo Unico delle leggi di Pubblica Sicurezza © UNI 80 UNI/PdR 6:2014 Decreto legislativo 9 aprile 2008, n. 81 Attuazione dell'articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro Legge 31 luglio 2005, n.155 Conversione in legge, con modificazioni, del decreto-legge 27 luglio 2005, n. 144, recante misure urgenti per il contrasto del terrorismo internazionale Decreto legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali (privacy) Legge 27 dicembre 2002, n. 286 Conversione in legge, con modificazioni, del D.L. 4 novembre 2002, n. 245, recante interventi urgenti a favore delle popolazioni colpite dalle calamità naturali nelle regioni Molise e Sicilia, nonché ulteriori disposizioni in materia di protezione civile Legge 9 novembre 2001, n. 401 Disposizioni urgenti per assicurare il coordinamento operativo delle strutture preposte alle attività di protezione civile e per migliorare le strutture logistiche nel settore della difesa civile Legge 11 aprile 2000, n. 83 Modifiche ed integrazioni della legge 12 giugno 1990, n. 146, in materia di esercizio del diritto di sciopero nei servizi pubblici essenziali e di salvaguardia dei diritti della persona costituzionalmente tutelati Legge 12 giugno 1990, n. 146 Norme sull'esercizio del diritto di sciopero nei servizi pubblici essenziali e sulla salvaguardia dei diritti della persona costituzionalmente tutelati COUNCIL OF MINISTERS DECREES, MINISTERIAL DECREES AND DIRECTIVES Decreto del Presidente del Consiglio dei Ministri 22 luglio 2011 Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate (G.U. 1 settembre 2011, n. 203) Decreto del Presidente del Consiglio dei Ministri 5 maggio 2010 Organizzazione nazionale per la gestione di crisi (G.U. 17 giugno 2010, n. 139) Decreto del Ministero dell’Interno 1 dicembre 2010, n. 269 Regolamento recante disciplina delle caratteristiche minime del progetto organizzativo e dei requisiti minimi di qualità degli istituti e dei servizi di cui agli articoli 256-bis e 257-bis del Regolamento di esecuzione del Testo Unico delle leggi di Pubblica Sicurezza, nonché dei requisiti professionali e di capacità tecnica richiesti per la direzione dei medesimi istituti e per lo svolgimento di incarichi organizzativi nell'ambito degli stessi istituti (G.U. 14 febbraio 2011, n. 36) Decreto del Ministero dell'Interno 9 gennaio 2008 Individuazione delle infrastrutture critiche informatiche di interesse nazionale (G.U. 30 aprile 2008, n. 101) Decreto del Presidente del Consiglio dei Ministri 8 aprile 2008 Criteri per l'individuazione delle notizie, delle informazioni, dei documenti, degli atti, delle attività, delle cose e dei luoghi suscettibili di essere oggetto di segreto di Stato (G.U. 16 aprile 2008, n.90) © UNI 81 UNI/PdR 6:2014 Decreto legislativo 9 aprile 2008, n. 81 Attuazione dell'articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro Legge 31 luglio 2005, n.155 Conversione in legge, con modificazioni, del decreto-legge 27 luglio 2005, n. 144, recante misure urgenti per il contrasto del terrorismo internazionale Decreto legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali (privacy) Legge 27 dicembre 2002, n. 286 Conversione in legge, con modificazioni, del D.L. 4 novembre 2002, n. 245, recante interventi urgenti a favore delle popolazioni colpite dalle calamità naturali nelle regioni Molise e Sicilia, nonché ulteriori disposizioni in materia di protezione civile Legge 9 novembre 2001, n. 401 Disposizioni urgenti per assicurare il coordinamento operativo delle strutture preposte alle attività di protezione civile e per migliorare le strutture logistiche nel settore della difesa civile Legge 11 aprile 2000, n. 83 Modifiche ed integrazioni della legge 12 giugno 1990, n. 146, in materia di esercizio del diritto di sciopero nei servizi pubblici essenziali e di salvaguardia dei diritti della persona costituzionalmente tutelati Legge 12 giugno 1990, n. 146 Norme sull'esercizio del diritto di sciopero nei servizi pubblici essenziali e sulla salvaguardia dei diritti della persona costituzionalmente tutelati DECRETI PRESIDENZA DEL CONSIGLIO, DECRETI E DIRETTIVE MINISTERIALI Decreto del Presidente del Consiglio dei Ministri 22 luglio 2011 Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate (G.U. 1 settembre 2011, n. 203) Decreto del Presidente del Consiglio dei Ministri 5 maggio 2010 Organizzazione nazionale per la gestione di crisi (G.U. 17 giugno 2010, n. 139) Decreto del Ministero dell’Interno 1 dicembre 2010, n. 269 Regolamento recante disciplina delle caratteristiche minime del progetto organizzativo e dei requisiti minimi di qualità degli istituti e dei servizi di cui agli articoli 256-bis e 257-bis del Regolamento di esecuzione del Testo Unico delle leggi di Pubblica Sicurezza, nonché dei requisiti professionali e di capacità tecnica richiesti per la direzione dei medesimi istituti e per lo svolgimento di incarichi organizzativi nell'ambito degli stessi istituti (G.U. 14 febbraio 2011, n. 36) Decreto del Ministero dell'Interno 9 gennaio 2008 Individuazione delle infrastrutture critiche informatiche di interesse nazionale (G.U. 30 aprile 2008, n. 101) Decreto del Presidente del Consiglio dei Ministri 8 aprile 2008 Criteri per l'individuazione delle notizie, delle informazioni, dei documenti, degli atti, delle attività, delle cose e dei luoghi suscettibili di essere oggetto di segreto di Stato (G.U. 16 aprile 2008, n. 90) © UNI 82 UNI/PdR 6:2014 Direttiva del Presidente del Consiglio dei Ministri 3 dicembre 2008 Indirizzi operativi per la gestione delle emergenze (G.U. 13 febbraio 2009, n. 36) © UNI 83 UNI/PdR 6:2014 Direttiva del Presidente del Consiglio dei Ministri 3 dicembre 2008 Indirizzi operativi per la gestione delle emergenze (G.U. 13 febbraio 2009, n. 36) © UNI 84 UNI/PdR 6:2014 BIBLIOGRAPHY [1] UNI EN ISO 9001 Quality management systems - Requirements [2] ISO 22301 Societal security - Business continuity management systems - Requirements [3] ISO 22320 Societal security - Emergency management - Requirements for incident response [4] ISO/IEC 27001 Information technology - Security techniques - Information security management systems - Requirements [5] ISO 28000 Specification for security management systems for the supply chain [6] ISO/IEC 31010 Risk management - Risk assessment techniques © UNI 85 UNI/PdR 6:2014 BIBLIOGRAFIA [1] UNI EN ISO 9001 Sistemi di gestione per la qualità - Requisiti [2] ISO 22301 Societal security - Business continuity management systems - Requirements [3] ISO 22320 Societal security - Emergency management - Requirements for incident response [4] ISO/IEC 27001 Information technology - Security techniques - Information security management systems - Requirements [5] ISO 28000 Specification for security management systems for the supply chain [6] ISO/IEC 31010 Risk management - Risk assessment techniques © UNI 86 Ente Nazionale Italiano di Unificazione Membro italiano ISO e CEN www.uni.com www.youtube.com/normeUNI www.twitter.com/normeUNI www.twitter.com/formazioneUNI Sede di Milano Via Sannio, 2 - 20137 Milano tel +39 02700241, Fax +39 0270024375, [email protected] Sede di Roma Via del Collegio Capranica, 4 - 00186 Roma tel +39 0669923074, Fax +39 066991604, [email protected]
© Copyright 2024 ExpyDoc