Sistema di gestione della resilienza

PRASSI DI RIFERIMENTO
UNI/PdR 6:2014
Infrastrutture Critiche
Sistema di gestione della resilienza - Requisiti
Critical Infrastructures - Resilience management system - Requirements
La prassi di riferimento specifica i requisiti di un sistema di gestione della resilienza delle
Infrastrutture Critiche, per consentire a un’organizzazione, quale proprietario o operatore di
Infrastruttura Critica, di stabilire il contesto, definire, pianificare, attuare, eseguire, verificare,
riesaminare e migliorare la propria resilienza.
This document specifies requirements for a resilience management system in Critical
Infrastructures, to enable an organisation, both owner or operator of a Critical Infrastructure, in
establishing the context, defining, planning, implementing, operating, checking, reviewing, and
improving its resilience.
Pubblicata il 16 gennaio 2014
ICS 03.100.01
© UNI – Ente Nazionale Italiano di Unificazione
Via Sannio 2 – 20137 Milano
Telefono 02 700241
www.uni.com – [email protected]
Tutti i diritti sono riservati.
I contenuti possono essere riprodotti o diffusi (anche integralmente) a condizione che ne venga data
comunicazione all’editore e sia citata la fonte.
Documento distribuito gratuitamente da UNI.
© UNI – Italian Organization for Standardization
Via Sannio 2 – 20137 Milan
Phone +39 02 700241
www.uni.com – [email protected]
All rights reserved.
The contents of the document (also the full version) may be duplicated or distributed provided that UNI is
informed and quoted.
This document is distributed by UNI free of charge.
La presente prassi di riferimento UNI/PdR 6:2014 è pubblicata con testo inglese e italiano.
UNI/PdR 6:2014
FOREWORD
The UNI/PdR 6:2014 does not have the status of a UNI technical standard, nor of a technical
specification UNI/TS or technical report UNI/TR it is, instead, a document developed under the
authority of UNI and adopting the requirements related to practices shared by the following proposer
who has signed an agreement of collaboration with UNI:
AIPSA - Associazione Italiana Professionisti Security Aziendale
Piazzale Rodolfo Morandi, 2
20121 Milano
This UNI/PdR has been developed by the working group “Tutela delle Infrastrutture Critiche”, led by
UNI and constituted by the following experts:
ROGER WARWICK - Project Leader (ASIS International - Chapter Italy)
ALESSANDRO LEGA (ASIS International - Chapter Italy)
IVANO ROVEDA (AIPROS - Associazione Italiana Professionisti della Sicurezza)
UMBERTO SACCONE (ENI/AIAS - Associazione professionale Italiana Ambiente e Sicurezza)
DAMIANO TOSELLI (TELECOM ITALIA/AIPSA)
MANUELE VITALI (AMSA/AIPSA)
This UNI/PdR has been ratified by the Chairmanship of UNI on 14 January 2014.
UNI/PdRs are documents introducing technical requirements that are developed through a fast track process
reflecting the consensus of the participants only, under the operational direction of UNI.
UNI/PdRs are valid for a limited duration of 5 years or until its transformation into another deliverable (UNI,
UNI/TS, UNI/TR) whichever is the sooner. When 5 years have passed, the UNI/PdR shall be withdrawn if it is
not transformed into another deliverable.
Further to the application of this UNI/PdR, anyone interested in providing suggestions for its improvement is
requested to send their own contributions to UNI, Italian Organization for Standardization, which shall take
them into account.
© UNI
1
UNI/PdR 6:2014
PREMESSA
La presente prassi di riferimento UNI/PdR 6:2014 non è una norma tecnica UNI, una specifica
tecnica UNI/TS o un rapporto tecnico UNI/TR, ma è un documento elaborato da UNI che raccoglie
prescrizioni relative a prassi condivise dai seguenti soggetti firmatari di un accordo di collaborazione
con UNI:
AIPSA - Associazione Italiana Professionisti Security Aziendale
Piazzale Rodolfo Morandi, 2
20121 Milano
La presente prassi di riferimento è stata elaborata dal Tavolo “Tutela delle Infrastrutture Critiche”,
condotto da UNI, costituito dai seguenti esperti:
ROGER WARWICK - Project Leader (ASIS International - Chapter Italy)
ALESSANDRO LEGA (ASIS International - Chapter Italy)
IVANO ROVEDA (AIPROS - Associazione Italiana Professionisti della Sicurezza)
UMBERTO SACCONE (ENI/AIAS - Associazione professionale Italiana Ambiente e Sicurezza)
DAMIANO TOSELLI (TELECOM ITALIA/AIPSA)
MANUELE VITALI (AMSA/AIPSA)
La presente prassi di riferimento è stata ratificata dal Presidente dell’UNI il 14 gennaio 2014.
Le prassi di riferimento UNI sono documenti che introducono prescrizioni tecniche, elaborati sulla base di un
rapido processo di condivisione ristretta ai soli autori, sotto la conduzione operativa di UNI.
Le prassi di riferimento sono disponibili per un periodo non superiore a 5 anni, tempo massimo dalla loro
pubblicazione entro il quale possono essere trasformata in un documento normativo (UNI, UNI/TS, UNI/TR)
oppure devono essere ritirate.
Chiunque ritenesse, a seguito dell’applicazione della presente prassi di riferimento, di poter fornire
suggerimenti per un suo miglioramento è pregato di inviare i propri contributi all’UNI, Ente Nazionale Italiano
di Unificazione, che li terrà in considerazione.
© UNI
2
UNI/PdR 6:2014
CONTENTS
INTRODUCTION .......................................................................................................................................................... 7 1 SCOPE ........................................................................................................................................................... 19 2 NORMATIVE AND LEGISLATIVE REFERENCES ....................................................................................... 19 3 TERMS AND DEFINITIONS .......................................................................................................................... 21 4 PRINCIPLE ..................................................................................................................................................... 25 5 REQUIREMENTS OF RESILIENCE MANAGEMENT SYSTEM ................................................................... 27 5.1 GENERAL ...................................................................................................................................................... 27 5.2 ANALYSIS OF THE ORGANISATION AND ITS OPERATIONAL ENVIRONMENT.................................... 31 5.2.1 SELECT AND IMPLEMENT A MANAGEMENT SYSTEM........................................................................ 31 5.2.2 ESTABLISH THE CONTEXT ..................................................................................................................... 31 5.2.3 MANAGEMENT COMMITMENT ................................................................................................................ 33 5.2.4 SET SCOPE AND OBJECTIVES FOR RESILIENCE MANAGEMENT SYSTEM .................................... 35 5.2.5 DESIGNATE THE SECURITY LIAISON OFFICER (SLO) ........................................................................ 37 5.2.6 ESTABLISH AND IMPLEMENT AN INTELLIGENCE GATHERING AND SHARING PROCESS .......... 37 5.3 RESILIENCE POLICY .................................................................................................................................... 39 5.4 PLANNING ..................................................................................................................................................... 43 5.4.1 STRATEGIC PLANS AND PROGRAMMES ............................................................................................. 43 5.4.2 RISK ASSESSMENT AND PROCESS MONITORING ............................................................................. 45 5.4.3 INTERNAL AND EXTERNAL COMMUNICATIONS AND CONSULTATION ........................................... 47 5.4.4 LEGAL AND OTHER REQUIREMENTS ................................................................................................... 47 5.4.5 OBJECTIVES AND TARGETS FOR RISK MANAGEMENT .................................................................... 47 5.5 IMPLEMENTATION AND OPERATION ........................................................................................................ 49 5.5.1 RESOURCES, ROLES, RESPONSIBILITIES AND AUTHORITY ............................................................ 49 5.5.2 COMPETENCE, TRAINING AND AWARENESS...................................................................................... 53 5.5.3 COMMUNICATION AND WARNING ......................................................................................................... 53 5.5.4 DOCUMENTATION: THE OPERATOR SECURITY PLAN....................................................................... 55 5.5.5 CONTROL OF DOCUMENTS .................................................................................................................... 59 5.5.6 OPERATIONAL CONTROL ....................................................................................................................... 59 5.5.7 PROCEDURE FOR INCIDENT PREVENTION, RESPONSE AND CONTINUITY ................................... 63 5.6 © UNI
CHECKING AND CORRECTIVE ACTION .................................................................................................... 67 3
UNI/PdR 6:2014
5.6.1 MONITORING AND MEASUREMENT ...................................................................................................... 67 5.6.2 EVALUATION OF COMPLIANCE ............................................................................................................. 69 5.6.3 EXERCISES AND TESTING ...................................................................................................................... 69 5.6.4 NON CONFORMITY, CORRECTIVE AND PREVENTIVE ACTION ......................................................... 69 5.6.5 RECORDS .................................................................................................................................................. 71 5.6.6 INTERNAL AUDITS ................................................................................................................................... 71 5.7 MANAGEMENT REVIEW .............................................................................................................................. 73 5.7.1 ADEQUACY AND EFFECTIVENESS ASSESSMENT .............................................................................. 73 5.7.2 MAINTENANCE ......................................................................................................................................... 75 5.7.3 CONTINUAL IMPROVEMENT ................................................................................................................... 75 ANNEX A – MAIN NATIONAL LEGISLATIVE AND EU REGULATORY REFERENCES APPLICABLE TO
OWNERS/OPERATORS OF CRITICAL INFRASTRUCTURES ............................................................................... 77 BIBLIOGRAPHY ........................................................................................................................................................ 85 © UNI
4
UNI/PdR 6:2014
SOMMARIO
INTRODUZIONE .......................................................................................................................................................... 8 1 SCOPO E CAMPO DI APPLICAZIONE ........................................................................................................ 20 2 RIFERIMENTI NORMATIVI E LEGISLATIVI ................................................................................................. 20 3 TERMINI E DEFINIZIONI ............................................................................................................................... 22 4 PRINCIPIO ..................................................................................................................................................... 26 5 REQUISITI DEL SISTEMA DI GESTIONE DELLA RESILIENZA................................................................. 28 5.1 GENERALITÀ ................................................................................................................................................ 28 5.2 ANALISI DELL’ORGANIZZAZIONE E DEL PROPRIO AMBIENTE DI OPERATIVITÀ .............................. 32 5.2.1 SELEZIONE E ATTUAZIONE DI UN SISTEMA DI GESTIONE ............................................................... 32 5.2.2 DEFINIZIONE DEL CONTESTO ................................................................................................................ 32 5.2.3 IMPEGNO DELLA DIREZIONE ................................................................................................................. 34 5.2.4 DEFINIZIONE DEL CAMPO DI APPLICAZIONE E DEGLI OBIETTIVI DEL SISTEMA DI
GESTIONE DELLA RESILIENZA............................................................................................................................ 36 5.2.5 DESIGNAZIONE DEL SECURITY LIAISON OFFICER (SLO) ................................................................. 38 5.2.6 DEFINIZIONE E ATTUAZIONE DI UN PROCESSO DI RACCOLTA E CONDIVISIONE DI
INTELLIGENCE ....................................................................................................................................................... 38 5.3 POLITICA PER LA RESILIENZA .................................................................................................................. 40 5.4 PIANIFICAZIONE ........................................................................................................................................... 44 5.4.1 PIANI E PROGRAMMI STRATEGICI ........................................................................................................ 44 5.4.2 VALUTAZIONE DEL RISCHIO E MONITORAGGIO DEL PROCESSO .................................................. 46 5.4.3 COMUNICAZIONE E CONSULTAZIONE INTERNA ED ESTERNA ........................................................ 48 5.4.4 PRESCRIZIONI LEGALI E ALTRE PRESCRIZIONI ................................................................................. 48 5.4.5 OBIETTIVI E RISULTATI PER LA GESTIONE DEL RISCHIO................................................................. 48 5.5 ATTUAZIONE E FUNZIONAMENTO ............................................................................................................ 50 5.5.1 RISORSE, RUOLI, RESPONSABILITÀ E AUTORITÀ ............................................................................. 50 5.5.2 COMPETENZA, FORMAZIONE-ADDESTRAMENTO E CONSAPEVOLEZZA....................................... 54 5.5.3 COMUNICAZIONE E ALLERTA ................................................................................................................ 54 5.5.4 DOCUMENTAZIONE: IL PIANO DI SICUREZZA DELL’OPERATORE ................................................... 56 5.5.5 TENUTA SOTTO CONTROLLO DEI DOCUMENTI .................................................................................. 60 5.5.6 CONTROLLO OPERATIVO ....................................................................................................................... 60 5.5.7 PROCEDURA PER LA PREVENZIONE, RISPOSTA E CONTINUITÀ A UN INCIDENTE ...................... 64 © UNI
5
UNI/PdR 6:2014
5.6 AZIONE DI VERIFICA E AZIONE CORRETTIVA ......................................................................................... 68 5.6.1 MONITORAGGIO E MISURAZIONE ......................................................................................................... 68 5.6.2 VALUTAZIONE DEL RISPETTO DELLE PRESCRIZIONI ....................................................................... 70 5.6.3 ESERCITAZIONI E PROVE ....................................................................................................................... 70 5.6.4 NON CONFORMITÀ, AZIONI CORRETTIVE E PREVENTIVE ................................................................ 70 5.6.5 GESTIONE DOCUMENTI DI ARCHIVIO ................................................................................................... 72 5.6.6 AUDIT INTERNI ......................................................................................................................................... 72 5.7 RIESAME DI DIREZIONE .............................................................................................................................. 74 5.7.1 VALUTAZIONE DI ADEGUATEZZA ED EFFICACIA ............................................................................... 74 5.7.2 MANTENIMENTO ...................................................................................................................................... 76 5.7.3 MIGLIORAMENTO CONTINUO ................................................................................................................ 76 APPENDICE A – PRINCIPALI RIFERIMENTI LEGISLATIVI NAZIONALI E DI REGOLAMENTAZIONE
COMUNITARIA APPLICABILI A PROPRIETARI/OPERATORI DI INFRASTRUTTURE CRITICHE ...................... 78 BIBLIOGRAFIA .......................................................................................................................................................... 86
© UNI
6
UNI/PdR 6:2014
INTRODUCTION
The Member States of the EU are in the process of applying the Council Directive 2008/114/EC,
which establishes the procedures for the identification and designation of European Critical
Infrastructures, and a common approach to the assessment of the need to improve the
protection of such infrastructures in order to contribute to the protection of people and relevant
assets.
The Directive, as part of the European Programme for European Critical Infrastructure
Protection1, has presented a number of actions to be implemented and adhered to.
This document is designed to be applied to owners or operators that is to say those
organisations owning or managing Critical Infrastructures in the energy sector and its subsectors
(electricity, oil, gas) and the transport sector and its subsectors (road transport, rail transport, air
transport, inland waterways transport, ocean and short-sea shipping and ports), as listed in the
Council Directive, but it can also be applied to other sectors which a Critical Infrastructure might
operate in. These other sectors include:

communications and information technology;

finance (banking, securities and investment);

health care;

food;

water (dams, storage, treatment and networks);

production, storage and transport of dangerous goods (e.g. chemical, biological,
radiological and nuclear materials);

government (e.g. critical services, facilities, information networks, assets and key
national sites and monuments).
This document is designed to be integral to the Directive 2008/114/EC in supporting a resilience
management system that will assist national authorities, Critical Infrastructure sectors and sub
sectors and individual owners or operators in responding to the requirements of the Directive for
both European Critical Infrastructures and Critical Infrastructures, in general.
1
The European Commission DG Home Affairs developed the working document SWD (2013) 318 of 28
August 2013, by which it proposes a new approach to the European Programme for Critical Infrastructure
Protection. This document emphasizes the need to ensure a high degree of protection of Critical
Infrastructures and increasing their resilience as a mean to minimize the consequences of any incidents and
loss of services in order to protect society as a whole.
© UNI
7
UNI/PdR 6:2014
INTRODUZIONE
Gli Stati Membri della UE si trovano impegnati nel processo di applicazione della Direttiva
2008/114/CE del Consiglio Europeo, recante le procedure per l’individuazione e la designazione
delle Infrastrutture Critiche Europee, e di un comune approccio alla valutazione della necessità
di migliorarne la protezione al fine di contribuire alla tutela delle persone e dei beni rilevanti.
La Direttiva, come parte del Programma Europeo per la Protezione delle Infrastrutture Critiche
Europee1, ha presentato una serie di azioni da mettere in atto e alle quali fare riferimento.
Il presente documento è strutturato per essere applicato a proprietari o operatori ossia quelle
organizzazioni titolari o gestori di Infrastrutture Critiche, che operano nel settore dell’energia e
dei suoi sottosettori (elettricità, petrolio, gas) e nel settore trasporti e nei suoi sottosettori
(stradale, ferroviario, aereo, vie di navigazione interna, trasporto oceanico, marittimo a corto
raggio e porti), così come indicati nella Direttiva del Consiglio Europeo, ma può essere altresì
applicato ad altri settori in cui l’Infrastruttura Critica potrebbe trovarsi a operare. Tali altri settori
comprendono:

i sistemi di comunicazione e di tecnologia dell’informazione;

la finanza (banche, strumenti finanziari e investimenti);

il sistema sanitario;

l’approvvigionamento alimentare;

l’approvvigionamento idrico (i bacini, l’immagazzinamento, il trattamento, gli acquedotti);

la produzione, l’immagazzinamento e il trasporto di sostanze pericolose (per esempio,
materiali chimici, biologici, radiologici e nucleari);

l’amministrazione (per esempio, servizi cruciali, strutture, reti di informazione, beni e
patrimonio architettonico e naturale).
Il presente documento è concepito per essere di integrazione alla Direttiva 2008/114/CE nel
sostenere un sistema di gestione della resilienza che assisterà le autorità nazionali, i settori e i
sottosettori, così come i singoli proprietari o operatori di Infrastrutture Critiche nel rispondere alle
prescrizioni della Direttiva per le Infrastrutture Critiche Europee e per le Infrastrutture Critiche in
generale.
1
La DG Affari Interni della Commissione Europea ha elaborato il documento di lavoro SWD(2013) 318 del 28
agosto 2013, con il quale propone un nuovo approccio al Programma Europeo per la Protezione delle
Infrastrutture Critiche. Il documento enfatizza la necessità di assicurare un elevato grado di tutela delle
Infrastrutture Critiche e di rafforzarne la resilienza come strumento per minimizzare le conseguenze di
eventuali incidenti e interruzioni di servizi al fine di proteggere la società nel suo insieme.
© UNI
8
UNI/PdR 6:2014
This document does not differentiate between European Critical Infrastructures and other Critical
Infrastructures nor does it provide indications for their classification. This is the responsibility of
the EU Member State.
Therefore, this document could constitute a useful point of reference for EU Member States, in
adopting acts or other legal regulation, intended to define resilience management systems for
their own Critical Infrastructures.
Critical Infrastructures, by definition, provide essential products and services to their
stakeholders who can be private and public organisations, people and society in general.
The survivability of Critical Infrastructures can impact the survivability of organisations, people
and society in general. The potential effects of an incident, involving Critical Infrastructures, can
produce a direct and/or indirect consequence on people and society in general. Any process for
the protection of critical assets must take this into account.
Seeing that not all Critical Infrastructures can be fully protected at all times, and not all risks can
be eliminated, the resilience factor assumes particular importance in assisting the Critical
Infrastructure to return to normal activities the quickest possible following an incident. Resilience
is composed of the following elements: the robustness of the system/structure to be protected;
the presence of adequate back up procedures and material; the capacity to respond and to
activate necessary recovery actions; the speed with which the recovery actions are activated;
the capability of the organisation to manage a crisis situation.
Incorporating organisational resilience in Critical Infrastructures must be focused both within the
organisation and externally upon relevant stakeholders since a Critical Infrastructure procures,
develops and supplies goods and services that are critical to society and citizens in general. The
criticality of the goods/services is determined by:
a) the nature/quality of the goods/services;
b) the quantity supplied;
c) the timeliness of supply.
To these ends the organisation’s supply chain, both upstream and downstream, is a vital
component of the organisational resilience of the Critical Infrastructure resilience management
system.
This document has applicability in the private sector, including not-for-profit, non-governmental
organisations, and public sector environments. It is a management framework for action
planning and decision making used to anticipate, prevent, prepare for and respond to an
incident (emergency, crisis, or disaster).
When implemented within a management system, this document enhances an organisation's
capacity to manage and survive the incident, and take all appropriate actions to help ensure the
organisation's continued viability and provision of essential services. The leadership of a Critical
© UNI
9
UNI/PdR 6:2014
Il presente documento non distingue tra Infrastrutture Critiche Europee e altre Infrastrutture
Critiche, né fornisce indicazioni per la loro classificazione. Questa responsabilità rimane in capo
a ciascun Stato Membro della UE.
Pertanto, tale documento può rappresentare un utile riferimento per gli Stati Membri della UE
nell’adottare leggi o altri provvedimenti legislativi intesi a definire sistemi di gestione della
resilienza per le proprie Infrastrutture Critiche.
Le Infrastrutture Critiche, per definizione, forniscono prodotti e servizi essenziali per le loro parti
interessate che possono essere le organizzazioni private e pubbliche, la popolazione e la
società in generale.
La sopravvivenza delle Infrastrutture Critiche può incidere su quella delle organizzazioni, della
popolazione e della società in generale. I potenziali effetti di incidenti, che coinvolgono le
Infrastrutture Critiche, possono produrre conseguenze dirette e/o indirette sulla popolazione e la
società in generale. Qualsiasi processo per la protezione di beni critici deve tenere conto di tale
aspetto.
Dato che non è possibile proteggere permanentemente tutte le Infrastrutture Critiche e non è
possibile eliminare tutti i rischi, il fattore resilienza assume particolare importanza nell’agevolare
le Infrastrutture Critiche a ritornare il più rapidamente possibile alla normale attività a seguito di
un incidente. La resilienza si compone dei seguenti elementi: la robustezza del sistema/struttura
da proteggere; la presenza di adeguate procedure e materiali da usarsi in caso di necessità; la
capacità di rispondere e attivare i necessari interventi per il ripristino; la rapidità con cui gli
interventi di ripristino sono attivati; la capacità dell’organizzazione di gestire una situazione di
crisi.
L’integrazione della resilienza organizzativa nelle Infrastrutture Critiche deve coinvolgere
l’organizzazione al suo interno e al suo esterno, comprese le relative parti interessate, poiché
un’Infrastruttura Critica procura, sviluppa e fornisce beni e servizi critici per i cittadini e la
società, in generale. La criticità di beni/servizi è determinata da:
a) natura/qualità dei beni/servizi;
b) quantità fornita;
c) tempestività della fornitura.
Pertanto, la catena di approvvigionamento, a monte e a valle dell’organizzazione, è una
componente vitale della resilienza organizzativa nel sistema di gestione della resilienza
dell’Infrastruttura Critica.
Il presente documento trova applicabilità nel settore privato, comprese le organizzazioni senza
fini di lucro e non governative, e nel settore pubblico. Fornisce un quadro strutturale per la
pianificazione e il processo decisionale utilizzato per anticipare, prevenire, preparare e
rispondere a un incidente (emergenza, crisi o disastro).
Quando attuato all’interno di un sistema di gestione, il presente documento permette di
rafforzare la capacità di un’organizzazione di gestire e sopravvivere a un incidente, e di
© UNI
10
UNI/PdR 6:2014
Infrastructure has a duty to stakeholders to plan for its survival. The body of this document
provides requirements to establish, define, plan, implement, operate, check, review, and
improve the resilience management system when implemented by an organisation in order to
enhance prevention, preparedness, mitigation, response, continuity, and recovery from an
incident.
This document is aimed at designing a resilience management system adopting the “Plan-DoCheck-Act” (PDCA) model. Figure 1 illustrates how a resilience management system takes as
input the resilience requirements and expectations of the stakeholders and through the
appropriate actions and processes produces risk management outcomes that meet those
requirements and expectations.
This document may possibly be integrated into other management systems, within an
organisation, that follow the PDCA model or other model based on a continuous improvement
approach.
Figure 1 – “Plan - Do - Check – Act” model
© UNI
11
UNI/PdR 6:2014
intraprendere le opportune azioni per aiutare a garantire la continuità della sua capacità di
sopravvivenza e fornitura di servizi essenziali. I vertici a capo di un’Infrastruttura Critica hanno
l’obbligo verso le parti interessate di pianificare le attività per la sua sopravvivenza. Il presente
documento fornisce requisiti per stabilire, definire, pianificare, attuare, eseguire, verificare,
riesaminare e migliorare il sistema di gestione della resilienza, adottato da un’organizzazione
per migliorare le attività di prevenzione, preparazione, mitigazione, risposta, continuità e
ripristino a seguito di un incidente.
Il presente documento è finalizzato alla progettazione di un sistema di gestione della resilienza
che adotta il modello “Plan-Do-Check-Act” (PDCA). La Figura 1 illustra come un sistema di
gestione della resilienza acquisisca come input i requisiti e le aspettative delle parti interessate
e, attraverso le azioni e i processi appropriati, produca elementi di gestione del rischio che
soddisfino quei requisiti e quelle aspettative.
Il presente documento può essere integrato in altri sistemi di gestione, all’interno di
un’organizzazione, che seguono il modello PDCA o altro modello basato su un approccio al
miglioramento continuo.
Figura 1 – Modello “Plan - Do - Check - Act”
© UNI
12
UNI/PdR 6:2014
It is a 4-step methodology for organisational process improvement. The stages are:
Plan
(establish the
management system)
Establish management system policy, objectives, processes, and
procedures relevant to managing risk and improving security, incident
preparedness, response, continuity, and recovery and to deliver
results in accordance with an organisation’s overall policies and
objectives.
Do
(implement and
operate the
management system)
Check
(monitor and review
the management
system)
Act
(maintain and
improve the
management system)
Implement and operate the management system policy, controls,
processes, and procedures.
Assess and measure process performance against management
system policy, objectives, and practical experience and report the
results to management for review.
Take corrective and preventive actions, based on the results of the
internal management system audit and management review, to
achieve continual improvement of the management system.
Intelligence plays a key role in the resilience management of any infrastructure. and, in
particular, in the case of Critical Infrastructures.
Intelligence plays a crucial role in the survival of the organisation itself, the protection of its
assets and stakeholders. Just as important in this context, it contributes to management’s
knowledge of the status of availability of necessary components upstream and the needs
downstream to be catered for.
The intelligence process enables the collection and subsequent analysis of information and data
processing from which the organisation can extract useful information for its resilience
management system, the prevention and management of incidents of any nature. This process
includes intelligence gatherers and preliminary analysers, assembling information from both
outside the organisation and within it, and exchanging all relevant information and intelligence
with the organisation. The aim of such a process is the collection, evaluation, and sharing of
intelligence both within the organisation and with relevant stakeholders, as opportune and
appropriate to the scope of this document, to assist the organisational resilience policymakers in
making decisions referring to Critical Infrastructure protection.
This process is shown in the intelligence management model in Figure 2.
© UNI
13
UNI/PdR 6:2014
PDCA è una metodologia a 4 fasi per il miglioramento dei processi organizzativi. Le fasi sono:
Plan
(stabilire il sistema di
gestione)
Stabilire la politica del sistema di gestione, gli obiettivi, i processi e le
procedure rilevanti ai fini della gestione del rischio e del
miglioramento della sicurezza, oltre che la preparazione, risposta,
continuità e ripristino da incidente e dell’ottenimento di risultati nel
rispetto di politiche e obiettivi generali dell’organizzazione.
Do
(attuare e rendere
operativo il sistema
di gestione)
Attuare e rendere operativi la politica del sistema di gestione, i
controlli, i processi e le procedure.
Check
Valutare e misurare le prestazioni del processo rispetto alla politica
(monitorare e
del sistema di gestione, agli obiettivi e alla esperienza concreta,
riesaminare il sistema
riportando i risultati alla direzione per il riesame.
di gestione)
Act
(mantenere e
migliorare il sistema
di gestione)
Intraprendere misure correttive e preventive, fondate sui risultati
dell’audit interno del sistema di gestione e del riesame di direzione,
per conseguire un miglioramento continuo del sistema di gestione.
L’intelligence ha un ruolo chiave nella gestione della resilienza di ogni infrastruttura e, in
particolare modo, nel caso delle Infrastrutture Critiche.
L’intelligence ha un ruolo cruciale nella sopravvivenza dell’organizzazione, nella protezione dei
suoi beni e delle parti interessate. Di particolare importanza in tale contesto, essa contribuisce
alla conoscenza da parte della direzione dello stato di disponibilità, a monte e a valle, dei
necessari componenti ed esigenze da soddisfare.
Il processo di intelligence consente la raccolta e la successiva analisi ed elaborazione-dati da
cui l’organizzazione può trarre informazioni utili al sistema di gestione della resilienza, alla
prevenzione e gestione di incidenti di qualsiasi natura. Tale processo coinvolge ricettori e
analisti preliminari di intelligence, che raccolgono informazioni, provenienti dall’interno e
dall’esterno dell’organizzazione, e scambiano intelligence e informazioni rilevanti con
l’organizzazione. Il fine di tale processo è quello di assicurare che la raccolta, la valutazione e la
condivisione di intelligence, all'interno dell'organizzazione e delle parti interessate, avvenga in
modo appropriato e adeguato al campo di applicazione del presente documento, per assistere i
decisori della politica di gestione della resilienza nel prendere le necessarie decisioni per la
tutela delle Infrastrutture Critiche.
Tale processo è illustrato nel modello di gestione dell’intelligence in Figura 2. © UNI
14
UNI/PdR 6:2014
Figure 2 – Intelligence management model
Each activity in an organisation has certain elements of risk that it has to identify and develop
risk mitigation plans for. The continuous gathering of intelligence, over as wide an area as is
feasible and opportune, is essential for achieving an appropriate level of knowledge.
The intelligence model includes the following levels:

strategic: the intelligence / information that can contribute to the development,
updating, and modifying, when opportune, of the overall strategic plan to safeguard the
organisation’s interests, relevant to this document, and those of its stakeholders;

tactical: the intelligence / information that can contribute to the development of
appropriate and adequate tactics that can ensure the correct implementation of the
overall strategic plan;

operational: the intelligence / information that can contribute to the action plan. It
contains the tactics and satisfies the scope of the overall strategic plan.
The integrated flexible, proactive, and reactive resilience approach can leverage the
perspectives, knowledge, and capabilities of divisions and individuals within an organisation.
Because of the relatively low probability and yet potentially high consequence nature of many
natural, intentional, including terroristic, or unintentional threats and hazards that an organisation
may face, an integrated approach allows an organisation to establish priorities that address its
© UNI
15
UNI/PdR 6:2014
Figura 2 – Modello di gestione dell’intelligence
Ciascuna attività in un'organizzazione ha elementi di rischio che devono essere identificati e per
i quali si devono sviluppare piani di mitigazione del rischio. La continua raccolta di intelligence
su di un’area la più ampia possibile, per quanto sia fattibile e opportuna, è essenziale per il
conseguimento di un adeguato livello di conoscenza.
Il modello di intelligence include i seguenti livelli:

strategico: intelligence / informazione che può contribuire allo sviluppo, aggiornamento
e modifica, qualora opportuno, del piano strategico complessivo per la salvaguardia
degli interessi dell’organizzazione, pertinenti ai fini del presente documento, e delle
proprie parti interessate;

tattico: intelligence / informazione che può contribuire allo sviluppo di tattica adeguata
e congrua per poter garantire la corretta attuazione del piano strategico complessivo;

operativo: intelligence / informazione che può contribuire al piano di azione; include la
tattica e risponde alle esigenze di applicazione del piano strategico complessivo.
L’approccio integrato alla resilienza di tipo flessibile, proattivo e reattivo può influenzare
prospettive, conoscenza e capacità delle strutture e degli individui di un’organizzazione. A causa
della bassa probabilità di rischi e minacce di carattere naturali, intenzionali, inclusi atti terroristici,
e non intenzionali, ma tuttavia di grave natura per le loro potenziali conseguenze, l'adozione di
un approccio integrato permette all'organizzazione di stabilire le adeguate priorità
© UNI
16
UNI/PdR 6:2014
individual needs for risk management, and potential consequences for stakeholders, within an
economically sound context.
This document is the foundation for the protection of Critical Infrastructures. It presents the
measures to be taken and defines the processes for their governance and resilience
management framework.
© UNI
17
UNI/PdR 6:2014
per affrontare le sue particolari necessità di gestione del rischio e le potenziali conseguenze per
le parti interessate, all'interno di un sistema economicamente sostenibile.
Il presente documento costituisce la base per la protezione delle Infrastrutture Critiche. Illustra le
misure da adottare e definisce i processi per la loro governance e il quadro strutturale per la
gestione della resilienza.
© UNI
18
UNI/PdR 6:2014
1
SCOPE
This document specifies requirements for a resilience management system in Critical
Infrastructures, to enable an organisation, both owner or operator of a Critical Infrastructure, in
establishing the context, defining, planning, implementing, operating, checking, reviewing, and
improving its resilience, taking into account:

legal, regulatory and other requirements to which the organisation subscribes;

significant risks, hazards and threats that may have consequences to the organisation;

its stakeholders and other relevant organisations, people and society in general;

protection of its assets and processes;

pre-planning and management of incidents.
This document applies to risks that the organisation identifies as those it can control, influence, or
reduce, as well as those it cannot anticipate. It does not itself state specific performance criteria.
This document may be applied to all types of organisations or parts thereof regardless the size and
function in the Critical Infrastructure chain.
This document provides guidance for organisations, enabling them to shape and implement a
resilience management system within their management system, appropriate to its needs and those
of its stakeholders.
2
NORMATIVE AND LEGISLATIVE REFERENCES
The following referenced documents are supportive to the application of this document2. For dated
references, only the edition cited applies. For undated references, the latest edition of the
referenced document (including any amendments) applies.
Council Directive 2008/114/EC on the identification and designation of European critical
infrastructures and the assessment of the need to improve their protection3
UNI ISO 22300:2013 Societal security - Terminology
UNI ISO 31000 Risk management - Principles and guidelines
2
Annex A reports main national legislative and EU regulatory references applicable to owners/operators of
Critical Infrastructures in Italy.
3
The Council Directive 2008/114/EC has entered into force in the Italian legislation through the adoption of
the Legislative Decree of 11 April 2011, No 61.
© UNI
19
UNI/PdR 6:2014
1
SCOPO E CAMPO DI APPLICAZIONE
Il presente documento specifica i requisiti di un sistema di gestione della resilienza delle
Infrastrutture Critiche, per consentire a un’organizzazione, quale proprietario o operatore di
Infrastruttura Critica, di stabilire il contesto, definire, pianificare, attuare, eseguire, verificare,
riesaminare e migliorare la propria resilienza, tendendo in considerazione:

prescrizioni di legge, di norme e altre prescrizioni cui l’organizzazione deve fare
riferimento;

rischi, vulnerabilità e minacce rilevanti che possono avere conseguenze per
l’organizzazione;

le sue parti interessate e altre organizzazioni rilevanti, la popolazione e la società, in
generale;

la protezione dei propri beni e processi;

la pre-pianificazione e la gestione di incidenti.
Il presente documento si applica ai rischi che l’organizzazione identifica come quelli che può
controllare, influenzare o ridurre, così come quelli che non può anticipare. Il documento non
fornisce, di per se, specifici criteri di prestazione.
Il presente documento può essere applicato a qualsiasi tipo di organizzazione o parti di questa a
prescindere dalla sua dimensione e funzione nell’ambito dell’Infrastruttura Critica. Il presente
documento fornisce una guida alle organizzazioni, permettendo loro di progettare e attuare un
sistema di gestione della resilienza all’interno del suo sistema di gestione, adeguato alle proprie
esigenze e a quelle delle parti interessate.
2
RIFERIMENTI NORMATIVI E LEGISLATIVI
I documenti richiamati di seguito sono di supporto per l’applicazione del presente documento2. Per
quanto riguarda i riferimenti datati, si applica esclusivamente l’edizione citata. Per i riferimenti non
datati vale l’ultima edizione del documento a cui si fa riferimento (compresi gli aggiornamenti).
Direttiva 2008/114/CE del Consiglio relativa all’individuazione e alla designazione delle
infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione3
UNI ISO 22300:2013 Sicurezza della società - Terminologia
UNI ISO 31000 Gestione del rischio - Principi e linee guida
2
L’Appendice A riporta i principali riferimenti legislativi nazionali e di regolamentazione comunitaria applicabili
a proprietari/operatori di Infrastrutture Critiche in Italia.
3
La Direttiva 2008/114/CE del Consiglio è stata recepita dalla legislazione nazionale con l’adozione del
Decreto Legislativo 11 aprile 2011, n. 61.
© UNI
20
UNI/PdR 6:2014
ISO 28002:2011 Security management systems for the supply chain - Development of
resilience in the supply chain - Requirements with guidance for use
ISO Guide 73:2009 Risk management - Vocabulary
ANSI/ASIS SPC.1 Organizational Resilience: Security, Preparedness, and Continuity
Management Systems - Requirements with Guidance for Use
3
TERMS AND DEFINITIONS
For the purpose of this document the following terms and definitions apply.
3.1 Critical Infrastructure: An asset, system or part thereof which is essential for the maintenance
of vital societal functions, health, safety, security, economic or social well-being of people, and the
disruption or destruction of which would have a significant impact in a country as a result of the
failure to maintain those functions.
[Adapted from Council Directive 2008/114/EC]
3.2 incident: Event that has the capacity to lead to human, intangible or physical loss, or a
disruption of an organisation’s operations, services, or functions – which, if not managed, can
escalate into an emergency, crisis, or disaster.
[ISO 28002:2011, definition 3.26]
3.3 intelligence: Information which, if developed and treated efficiently and effectively, may
contribute to the success of the aims and scope of the Critical Infrastructure organisational
resilience system.
3.4 management system: Set of interrelated or interacting elements of an organisation to establish
policies and objectives, and processes to achieve those objectives.
NOTE 1
A management system can address a single discipline or several disciplines.
NOTE 2
The system elements include the organisation’s structure, roles and responsibilities,
planning, operation, etc.
NOTE 3
The scope of a management system can include the whole of the organisation,
specific and identified functions of the organisation, specific and identified sections of the
organisation, or one or more functions across a group of organisations.
[UNI ISO 22300:2013, definition 2.2.5]
3.5 Operator Security Plan (OSP): Measures comprising identification of a Critical Infrastructure's
assets, risk assessment, and identification of which security solutions exist or are being
implemented for the protection of a Critical Infrastructure.
3.6 organisation: Person or group of people that has its own functions with responsibilities,
authorities and relationships to achieve its objectives.
© UNI
21
UNI/PdR 6:2014
ISO 28002:2011 Security management systems for the supply chain - Development of
resilience in the supply chain - Requirements with guidance for use
ISO Guide 73:2009 Risk management - Vocabulary
ANSI/ASIS SPC.1 Organizational Resilience: Security, Preparedness, and Continuity
Management Systems - Requirements with Guidance for Use
3
TERMINI E DEFINIZIONI
Ai fini del presente documento si applicano i seguenti termini e definizioni.
3.1 Infrastruttura Critica: Un elemento, un sistema o parte di questo che è essenziale per il
mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere
economico o sociale della popolazione e il cui danneggiamento o la cui distruzione avrebbe un
impatto significativo in uno Stato, a causa della impossibilità di mantenere tali funzioni.
[Adattata da Direttiva 2008/114/CE]
3.2 incidente: Evento che ha la capacità di causare una perdita umana, immateriale o materiale, o
un’interruzione delle operazioni, dei servizi o delle funzioni di un’organizzazione che, se non gestito,
può sfociare in una emergenza, una crisi o un disastro.
[ISO 28002:2011, definizione 3.26]
3.3 intelligence: Informazione che, se efficientemente ed efficacemente elaborata e trattata, può
contribuire al raggiungimento di scopi e campo di applicazione del sistema di resilienza
organizzativa dell’Infrastruttura Critica.
3.4 sistema di gestione: Insieme di elementi correlati o interagenti di un’organizzazione finalizzato
a stabilire politiche, obiettivi e processi per conseguire tali obiettivi.
NOTA 1
Un sistema di gestione può riguardare una o più discipline.
NOTA 2
Gli elementi del sistema comprendono la struttura, i ruoli e le responsabilità, la
pianificazione, il funzionamento dell’organizzazione, ecc.
NOTA 3
Il campo di applicazione di un sistema di gestione può comprendere l’intera
organizzazione, funzioni specifiche e identificate dell’organizzazione, sezioni specifiche e
identificate dell’organizzazione, oppure una o più funzioni nell’ambito di un gruppo di organizzazioni.
[UNI ISO 22300:2013, definizione 2.2.5]
3.5 Piano di Sicurezza dell’Operatore (PSO): Misure che includono l’identificazione degli elementi
che compongono l’Infrastruttura Critica, la valutazione dei rischi e l’identificazione delle soluzioni di
sicurezza esistenti ovvero quelle che sono in via di applicazione per la protezione di un’Infrastruttura
Critica.
3.6 organizzazione: Persona o gruppo di persone avente le proprie funzioni con responsabilità,
autorità e interrelazioni per conseguire i propri obiettivi.
© UNI
22
UNI/PdR 6:2014
NOTE
The concept of organisation includes, but is not limited to sole-trader, company,
corporation, firm, enterprise, authority, partnership, charity or institution, or part or combination
thereof, whether incorporated or not, public or private.
[UNI ISO 22300:2013, definition 2.2.9]
3.7 owner/operator of Critical Infrastructure: Organisation responsible for investments in, and/or
day-to-day operation of, a particular asset, system or part thereof designated as a Critical
Infrastructure.
[Adapted from Council Directive 2008/114/EC]
3.8 protection: All activities aimed at ensuring the functionality, continuity and integrity of Critical
Infrastructures in order to deter, mitigate and neutralise a threat, risk or vulnerability.
[Council Directive 2008/114/EC, definition e]
3.9 resilience: Adaptive capacity of an organisation in a complex and changing environment
allowing the organisation to prevent or resist being affected by an incident or to return to an
acceptable level of performance in an acceptable period of time after being affected by an incident.
[Adapted from ISO 28002:2011]
3.10 risk: Effect of uncertainty on objectives.
NOTE 1
Risk is the function of threats x vulnerability x impacts x likelihood.
NOTE 2
An effect is a deviation from the expected - positive and/or negative.
NOTE 3
Objectives can have different aspects (such as financial, health and safety, security,
and environmental goals) and can apply at different levels (such as strategic, organisation-wide,
project, product and process).
NOTE 4
Uncertainty is the state, even partial, of deficiency of information related to,
understanding or knowledge of, an event, its consequence, or likelihood.
[Adapted from ISO 28002:2011]
3.11 risk analysis: Consideration of relevant threat scenarios, in order to assess the vulnerability
and the potential impact of disruption or destruction of Critical Infrastructure.
[Council Directive 2008/114/EC, definition c]
3.12 Security Liaison Officer (SLO): Officer liaising between the owner/operator of a Critical
Infrastructure and the national authority responsible for Critical Infrastructure protection.
© UNI
23
UNI/PdR 6:2014
NOTA
Il concetto di organizzazione comprende, in termini non esaustivi, singoli operatori,
aziende, corporation, società, imprese, autorità, partenariato, istituti di carità o istituzioni, o parti o
combinazioni di queste, facenti parte di altre organizzazioni o meno, pubbliche o private.
[UNI ISO 22300:2013, definizione 2.2.9]
3.7 proprietario/operatore di Infrastruttura Critica: Organizzazione responsabile degli
investimenti e/o del funzionamento quotidiano relativi ad a un elemento o a un sistema specifico, o
parte di questo, designato Infrastruttura Critica.
[Adattata da Direttiva 2008/114/CE]
3.8 protezione: Tutte le attività volte ad assicurare funzionalità, continuità e integrità delle
Infrastrutture Critiche per evitare, mitigare e neutralizzare una minaccia, un rischio o una
vulnerabilità.
[Direttiva 2008/114/CE, definizione e]
3.9 resilienza: Capacità adattativa di un’organizzazione in un ambiente complesso e mutevole che
permette all’organizzazione di prevenire un incidente o di resistere dopo esserne stata colpita o la
capacità di ritornare a un livello di prestazione accettabile in un periodo di tempo congruo
all’incidente avvenuto.
[Adattata da ISO 28002:2011]
3.10 rischio: Effetto di incertezza sugli obiettivi.
NOTA 1
Il rischio è funzione di minaccia x vulnerabilità x impatto x probabilità.
NOTA 2
Un effetto è una deviazione da quanto atteso, positiva e/o negativa.
NOTA 3
Gli obiettivi possono riguardare differenti aspetti (come quello finanziario, della
salute e sicurezza, e obiettivi ambientali) e possono essere applicati a vari livelli (come quello
strategico, riguardante l’intera organizzazione, di progetto, di prodotto e di processo).
NOTA 4
L’incertezza è lo stato, anche parziale, di mancanza di informazione relativa alla
comprensione o alla conoscenza di un evento, alle sue conseguenze e alla sua probabilità.
[Adattata da ISO 28002:2011]
3.11 analisi dei rischi: Considerazione degli scenari di minaccia pertinenti, al fine di valutare la
vulnerabilità e il potenziale impatto del danneggiamento o della distruzione dell’Infrastruttura Critica.
[Direttiva 2008/114/CE, definizione c]
3.12 Security Liaison Officer (SLO): Funzionario che funge da collegamento tra il
proprietario/l’operatore dell’Infrastruttura Critica e l’autorità nazionale responsabile della protezione
dell’Infrastruttura Critica.
© UNI
24
UNI/PdR 6:2014
3.13 security management: The organisation's security system based on a management
approach and aimed at preventing, facing and overcoming security events that may occur and
expose the organization to potential harmful effects.
3.14 stakeholder: Person or organisation that can affect, be affected by, or perceive themselves to
be affected by a decision or activity.
[ISO Guide 73:2009, definition 3.2.1.1]
4
PRINCIPLE
This document adopts a process approach for establishing the context, defining, planning,
implementing, operating, checking, reviewing, and improving an organisation's resilience to
incidents.
The process approach encourages organisations to analyse Critical Infrastructure and stakeholder
needs in order to define appropriate processes. A resilience management system can provide the
framework for continual improvement to increase the likelihood of enhancing security,
preparedness, response, continuity, and resilience. It provides confidence to the organisation and its
stakeholders that the organisation is able to provide a safe and secure environment which fulfills
Critical Infrastructure and stakeholder requirements.
An organisation needs to identify and manage many activities in order to operate effectively. The
activities adopted must be appropriate and adequate to the assessment of risk and the assets to be
protected. There must be an appropriate and adequate balance between costs, level of protection
and security. The liberty of action and rights to privacy of citizens must be taken into adequate
consideration.
Any activity using resources and managed in order to enable the transformation of inputs into
outputs can be considered to be a process. Often the output from one process directly forms the
input to the next process.
The application of a system of processes within an organisation, together with the identification and
interactions of these processes and their management, can be referred to as a “process approach”.
Figure 3 depicts the process approach for resilience management in Critical Infrastructures
presented in this document.
© UNI
25
UNI/PdR 6:2014
3.13 gestione della sicurezza: Il sistema di sicurezza dell’organizzazione, basato su un modello
gestionale volto a prevenire, affrontare e superare eventi di sicurezza che possono verificarsi ed
esporre l’organizzazione a potenziali effetti dannosi.
3.14 parte interessata: Persona o organizzazione che può interessare, essere interessata, o
sentirsi interessata da una decisione o un’attività.
[ISO Guide 73:2009, definizione 3.2.1.1]
4
PRINCIPIO
La presente prassi di riferimento adotta un approccio per processi per stabilire il contesto, definire,
pianificare, attuare, eseguire, verificare, riesaminare e migliorare la resilienza di un’organizzazione
agli incidenti.
L’approccio per processi induce le organizzazioni ad analizzare le necessità delle Infrastrutture
Critiche e delle parti interessate al fine di definire gli opportuni processi. Un sistema di gestione
della resilienza è in grado di fornire il quadro strutturale per un miglioramento continuo per
accrescere la sicurezza, la preparazione, la risposta, la continuità e la resilienza. Fornisce
all’organizzazione e alle sue parti interessate l’aspettativa che l’organizzazione sia in grado di offrire
un ambiente sicuro e protetto che soddisfi i requisiti dell’Infrastruttura Critica e delle parti
interessate.
Un’organizzazione ha la necessità di identificare e gestire molte attività affinché funzioni
efficacemente. Le attività adottate devono essere pertinenti e congrue alla valutazione del rischio e
dei beni da proteggere. Deve essere raggiunto un opportuno e adeguato equilibrio tra costi, livello di
protezione e sicurezza. Devono essere tenuti in adeguata considerazione la libertà di azione e i
diritti alla privacy dei cittadini.
Un’attività che impiega risorse ed è gestita per consentire la trasformazione di input in output può
considerarsi un processo. Spesso l’output di un processo costituisce direttamente l’input del
processo successivo.
L’applicazione di un sistema di processi all’interno di un’organizzazione, unitamente alla
identificazione e alle interazioni di tali processi, nonché alla loro gestione, può essere definita
“approccio per processi”.
La Figura 3 mostra l’approccio per processi per la gestione della resilienza nelle Infrastrutture
Critiche illustrato dal presente documento.
© UNI
26
UNI/PdR 6:2014
Figure 3 – Process approach for resilience management in a Critical Infrastructure
This approach is based on continual reassessment and encourages its users to emphasize the
importance of:
a) understanding an organisation's risk, security, preparedness, response, continuity, and
recovery requirements;
b) establishing a policy and objectives to manage risk;
c) implementing and operating controls to manage an organisation's risk within the
context of the organisation's objectives;
d) monitoring and reviewing the performance and effectiveness of the resilience management
system;
e) continual improvement based on objective measurement.
5
REQUIREMENTS OF RESILIENCE MANAGEMENT SYSTEM
5.1
GENERAL
The organisation shall establish the context, define, plan, implement, operate, check, review, and
improve a resilience management system in accordance with the requirements of this document.
The resilience management system for Critical Infrastructure is defined by this document in
accordance with the requirements of the ISO standard 28002:2011 and the ANSI/ASIS SPC.1
standard.
Figure 4 is the flow diagram of the resilience management system.
© UNI
27
UNI/PdR 6:2014
Figura 3 – Approccio per processi per la gestione della resilienza in una Infrastruttura Critica
Tale approccio si fonda sulla rivalutazione continua e induce chi lo adotta a enfatizzare l’importanza
di:
a) comprendere i rischi di un’organizzazione e i requisiti di sicurezza, preparazione, risposta,
continuità e ripristino;
b) stabilire una politica di gestione del rischio e i suoi obiettivi;
c) attuare e rendere operativi i controlli per la gestione del rischio di un’organizzazione con
riferimento agli obiettivi dell’organizzazione;
d) monitorare e riesaminare la prestazione e l’efficacia del sistema di gestione della resilienza;
e) un miglioramento continuo basato sulla misurazione oggettiva.
5
REQUISITI DEL SISTEMA DI GESTIONE DELLA RESILIENZA
5.1
GENERALITÀ
L’organizzazione deve stabilire il contesto, definire, pianificare, attuare, eseguire, verificare,
riesaminare e migliorare il sistema di gestione della resilienza in conformità ai requisiti del presente
documento. Il sistema di gestione della resilienza per le Infrastrutture Critiche è definito dal presente
documento coerentemente con i requisiti stabiliti dalla norma ISO 28002:2011 e ANSI/ASIS SPC.1.
La Figura 4 rappresenta il diagramma di flusso del sistema di gestione della resilienza.
© UNI
28
UNI/PdR 6:2014
Figure 4 – Resilience management system flow diagram
© UNI
29
UNI/PdR 6:2014
Figura 4 – Diagramma di flusso del sistema di gestione della resilienza
© UNI
30
UNI/PdR 6:2014
5.2
ANALYSIS OF THE ORGANISATION AND ITS OPERATIONAL ENVIRONMENT
5.2.1 SELECT AND IMPLEMENT A MANAGEMENT SYSTEM
The organisation shall establish its resilience management system in accordance with the
requirements set out in this document. Where requirements, identical to these requirements, have
been previously addressed during the adoption of the existing management system, those
requirements do not need to be repeated separately.
5.2.2 ESTABLISH THE CONTEXT
The organisation shall define and document its internal and external context. The organisation shall:
a) determine the aspects of the organisation's external context, including:
-
the cultural, political, social, legal, regulatory, financial, technological, climate,
economic, natural and competitive environment, whether international, national, regional or
local;
-
key drivers and trends having an impact on the objectives and capabilities of the
organisation in providing critical goods and services;
-
threshold needs of stakeholders, the public and society in general;
-
perceptions and values of external stakeholders;
b) determine the aspects of the organisation's internal context, including:
-
important assets, activities, functions, services, products, partnerships, supply chain,
and stakeholder relationships;
-
the capabilities, understood in terms of resources and knowledge (e.g. capital, time,
people, processes, systems and technologies);
-
information systems, information flows, and decision making processes (both formal and
informal);
-
internal stakeholders;
-
policies, objectives, and the strategies that are in place to achieve them;
-
perceptions, values and culture;
-
standards and reference models adopted by the organisation;
-
structures (e.g. governance, roles and accountabilities).
© UNI
31
UNI/PdR 6:2014
5.2
ANALISI DELL’ORGANIZZAZIONE E DEL PROPRIO AMBIENTE DI OPERATIVITÀ
5.2.1
SELEZIONE E ATTUAZIONE DI UN SISTEMA DI GESTIONE
L’organizzazione deve stabilire il proprio sistema di gestione della resilienza in conformità ai requisiti
esposti nel presente documento. Qualora requisiti identici a quelli qui esposti siano già stati presi in
considerazione durante l’adozione del sistema di gestione in essere, non è necessario che tali
requisiti siano nuovamente considerati.
5.2.2
DEFINIZIONE DEL CONTESTO
L’organizzazione deve
L’organizzazione deve:
definire
e
documentare
il
proprio
contesto
esterno
e
interno.
a) determinare gli elementi che caratterizzano il suo contesto esterno, inclusi:
-
l’ambiente culturale, politico, sociale, legislativo, normativo, finanziario, tecnologico,
climatico, economico, naturale e competitivo, a livello internazionale, nazionale, regionale o
locale;
-
fattori chiave e tendenze che hanno un impatto su obiettivi e capacità dell’organizzazione di
fornire beni e servizi critici;
-
limiti dei bisogni delle parti interessate, del pubblico e della società in generale;
-
percezioni e valori delle parti interessate esterne;
b) determinare gli elementi che caratterizzano il suo contesto interno, compresi:
-
beni rilevanti, attività, funzioni, servizi, prodotti, partenariati, catena di approvvigionamento e
relazioni con le parti interessate;
-
capacità, intesa in termini di risorse e conoscenza (per esempio capitale, tempo, persone,
processi, sistemi e tecnologie);
-
sistemi informativi, flussi di informazione, processi decisionali (sia formali sia informali);
-
parti interessate interne;
-
politiche, obiettivi e strategie in corso di realizzazione;
-
percezioni, valori e cultura;
-
norme e modelli di riferimento adottati dall’organizzazione;
-
strutture (per esempio governance, ruoli e responsabilità di rendere conto).
© UNI
32
UNI/PdR 6:2014
The organisation shall identify and document the following in defining the context for the
management system and its commitment to the management of risk and resilience within specific
internal and external contexts of the organisation:
a) the organisation's critical activities, functions, services, products, partnerships, supply chain,
stakeholder relationships, and the potential impact related to an incident either natural or
manmade for the organisation and its stakeholders;
b) the identification of important assets;
c) the components of end-to-end product or service supply chain flow, showing how they are
configured or linked to deliver critical products and/or services;
d) links between the resilience management policy and the organisation's objectives and other
policies;
e) the organisation's rationale for managing risk and resilience;
f)
accountabilities and responsibilities for managing risk and resilience4;
g) the organisation's tolerable level of risk;
h) resources available to assist those accountable or responsible for managing risk and
resilience;
i)
commitment to the periodic review and verification of the resilience management system and
framework;
j)
continual improvement.
5.2.3 MANAGEMENT COMMITMENT
Management shall provide evidence of its commitment to the establishment, implementation,
operation, monitoring, review, maintenance, and improvement of the resilience management system
by:
a) establishing a resilience management policy;
b) ensuring that resilience management policy objectives and plans are established;
c) establishing roles, responsibilities, and competencies for resilience management functions;
4
For the purpose of this document, it should be noted and properly taken into consideration the value of the
difference between being accountable and being responsible. Accountability is to be understood as the state
of being responsible to someone or an organisation for some action, or lack of action. Responsibility is the
state of having the task (duty) of doing something. Not necessarily is the duty to carry out the action
(responsibility) and the accountability (being answerable) that it is done, held by the same person.
© UNI
33
UNI/PdR 6:2014
Nel definire il contesto per il sistema di gestione e il suo impegno alla gestione del rischio e della
resilienza, in riferimento al suo specifico contesto interno ed esterno, l’organizzazione deve
identificare e documentare:
a) attività, funzioni, servizi, prodotti, partenariati, catena di approvvigionamento, relazioni con le
parti interessate, critici per l’organizzazione, e il potenziale impatto di un incidente sia
naturale sia indotto da attività umana a danno dell’organizzazione e le parti interessate;
b) l’identificazione dei beni rilevanti;
c) gli elementi che compongono il flusso della catena di approvvigionamento di prodotti o
servizi, mostrando come siano configurati o collegati per fornire prodotti e/o servizi critici;
d) le relazioni della politica di gestione della resilienza con gli obiettivi e le altre politiche
dell’organizzazione;
e) il fondamento logico dell’organizzazione nella gestione del rischio e della resilienza;
f)
le responsabilità di rendere conto e le responsabilità nella gestione del rischio e della
resilienza4;
g) il livello tollerabile di rischio per l’organizzazione;
h) le risorse disponibili a supporto di coloro che sono responsabili di rendere conto o
responsabili della gestione di rischio e resilienza;
i)
l’impegno a un riesame e una verifica periodica del sistema di gestione della resilienza e del
suo quadro strutturale;
j)
il miglioramento continuo.
5.2.3
IMPEGNO DELLA DIREZIONE
La direzione deve fornire evidenza del suo impegno a stabilire, attuare, eseguire, monitorare,
riesaminare, mantenere e migliorare il sistema di gestione della resilienza:
a) stabilendo una politica di gestione della resilienza;
b) assicurando che siano fissati gli obiettivi e i piani per la politica di gestione della resilienza;
c) stabilendo ruoli, responsabilità e competenze per le funzioni di gestione della resilienza;
4
Ai fini del presente documento è opportuno sottolineare e tenere in adeguata considerazione il valore della
distinzione tra l’essere responsabili di rendere conto (accountable) e l’essere responsabili (responsible). La
responsabilità di rendere conto (accountability) è da intendersi come responsabilità di rispondere a qualcuno o
a un'organizzazione, rendendo conto di un'azione o una mancata azione. La responsabilità (responsibility) è
da intendersi come la condizione di avere il compito di fare qualcosa. Non necessariamente l'onere di portare
a termine un'azione (responsibility) e la responsabilità di rendere conto che ciò venga fatto (accountability),
sono in capo alla stessa persona.
© UNI
34
UNI/PdR 6:2014
d) appointing the Security Liaison Officer (SLO), as well as one or more persons, as
appropriate, coordinated by the SLO, to be accountable to management for the resilience
management policy with the appropriate authority and competencies to be accountable for
the implementation and maintenance of the management system;
e) communicating to the organisation the importance of meeting resilience management
objectives and conforming to resilience management policy, its responsibilities under the
law, and the need for continual improvement;
f)
providing sufficient resources to establish the context, define, plan, implement, operate,
check, review, and improve the resilience management system;
g) adopting a metrics concept to measure the performance versus objectives, as defined by the
standard UNI ISO 31000;
h) deciding the criteria for accepting risk and the acceptable levels of risk;
i)
ensuring that internal resilience management system audits are conducted;
j)
conducting management reviews of the resilience management system;
k) demonstrating its commitment to continual improvement.
Continual improvement is of fundamental importance in the achievement of resilience management.
Therefore management shall provide evidence of its commitment to continually improve the
effectiveness of the resilience management system, providing appropriate and adequate resources
to this regard.
5.2.4 SET SCOPE AND OBJECTIVES FOR RESILIENCE MANAGEMENT SYSTEM
The organisation shall define and document the scope and objectives of its resilience management
system within specific internal and external contexts of the organisation.
In defining the scope, the organisation shall:
a) define the boundaries of the organisation to be included in the scope of its resilience
management system. The boundaries shall encompass all and every activity and location
that play a fundamental role in the provision of critical goods and services to stakeholders;
b) establish the requirements for resilience management, considering the organisation's
objectives, goals, internal and external obligations, in particular those related to
stakeholders, and legal responsibilities;
c) consider critical operational objectives, assets, activities, functions, services, and products;
d) determine risk, based both on potential internal and external disruptions, that could
adversely affect the operations and functions of the organisation within the context of their
potential likelihood and impact;
© UNI
35
UNI/PdR 6:2014
d) incaricando il Security Liaison Officer (SLO), così come una o più persone, come più
opportuno, coordinate da SLO, di essere responsabile di rendere conto alla direzione della
politica di gestione della resilienza, con l’autorità e le competenze adeguate per essere
responsabile di rendere conto dell’attuazione e del mantenimento del sistema di gestione;
e) comunicando all’organizzazione l’importanza di raggiungere gli obiettivi di gestione della
resilienza e di conformarsi alla politica di gestione della resilienza, agli obblighi di legge
applicabili e della necessità di miglioramento continuo;
f)
fornendo sufficienti risorse per stabilire il contesto, definire, pianificare, attuare, eseguire,
verificare, riesaminare e migliorare il sistema di gestione della resilienza;
g) adottando, come previsto dalla norma UNI ISO 31000, un sistema di misura per valutare la
prestazione rispetto all’obiettivo;
h) decidendo i criteri di tollerabilità del rischio e i livelli accettabili di rischio;
i)
assicurando che siano condotti audit interni del sistema di gestione della resilienza;
j)
effettuando riesami da parte della direzione del sistema di gestione della resilienza;
k) dimostrando il proprio impegno a sostegno del miglioramento continuo.
Il miglioramento continuo è di fondamentale importanza nella realizzazione della gestione della
resilienza. Pertanto, la direzione deve fornire evidenza del suo impegno a migliorare in modo
continuo l’efficacia del sistema di gestione della resilienza, fornendo risorse appropriate e adeguate
a tale riguardo.
5.2.4 DEFINIZIONE DEL CAMPO DI APPLICAZIONE E DEGLI OBIETTIVI DEL SISTEMA DI
GESTIONE DELLA RESILIENZA
L’organizzazione deve definire e documentare il campo di applicazione e gli obiettivi del proprio
sistema di gestione della resilienza in riferimento al suo specifico contesto interno ed esterno.
Nel definire il campo di applicazione l’organizzazione deve:
a) definire i confini dell’organizzazione entro cui applicare il proprio sistema di gestione della
resilienza. I confini devono ricomprendere ogni attività e luogo aventi un ruolo fondamentale
nella fornitura di beni e servizi critici per le parti interessate;
b) stabilire i requisiti per la gestione della resilienza, considerando gli obiettivi e gli scopi
dell’organizzazione, gli obblighi di carattere interno ed esterno, in particolare quelli inerenti le
parti interessate, e le responsabilità legali;
c) considerare gli obiettivi operativi, i beni, le attività, le funzioni, i servizi e i prodotti critici;
d) determinare il rischio, basato su potenziali interruzioni sia interne sia esterne, che
potrebbero ripercuotersi negativamente sulle operazioni e funzioni dell’organizzazione con
riferimento alla loro probabilità e impatto potenziale;
© UNI
36
UNI/PdR 6:2014
e) define scope of the resilience management system in terms of and appropriate to the size,
nature, and complexity of the organisation from a perspective of continual improvement.
The organisation shall define the scope consistent with protecting and preserving the integrity of the
organisation and its capability to supply critical goods and services, including relationships with
stakeholders, interactions with key suppliers, outsourcing partners, and other stakeholders (for
example, the organisation's supply chain partners and suppliers, customers, stakeholders, the
community in which it operates, etc.).
The outcome of the resilience management system will play a fundamental and determining role in
the protection of a Critical Infrastructure, and its capability to provide critical goods and services for
the well-being of citizens and, more in general, the effective functioning of society.
The organisation shall also assign strategic relevance to security management, preparedness,
mitigation, crisis management; emergency management, business continuity management, disaster
management, and recovery management in developing its resilience management system, based
on the risk assessment (see 5.4.2).
5.2.5 DESIGNATE THE SECURITY LIAISON OFFICER (SLO)
Appropriately authorised management shall define, document, and provide resources for the
organisation's management system into which the resilience management system has been
incorporated, reflecting a commitment to the protection of human, environmental, and physical
assets; anticipating and preparing for potential incidents; and business and operational resilience.
Management shall designate a SLO, as required by the Council Directive 2008/114/EC (see 5.5.1).
Management shall ensure the availability of adequate and appropriate resources essential for the
implementation and control of the resilience management system and the reaching of its objectives.
Resources include human resources and specialized skills, equipment, internal infrastructure,
technology, information, intelligence, and financial resources.
Management shall ensure that all resources are adequately and appropriately utilized for the
efficient and efficacious implementation of the resilience system.
5.2.6 ESTABLISH AND IMPLEMENT AN INTELLIGENCE GATHERING AND SHARING
PROCESS
The organisation shall establish and implement an intelligence process for the gathering, analysing,
managing and, as opportune, sharing of intelligence.
This shall be done both inside and outside the organisation as appropriate. The intelligence process
shall be designed in such a way as to ensure that the organisation possesses knowledge, and is
capable of acting upon it, that is beneficial for it to be able to develop and supply critical services
and products to stakeholders continuously at an acceptable level.
This shall include, but not be limited to, the gathering of information regarding the present and,
foreseeable future, status of direct and indirect suppliers and their capability to supply what is
needed by the organisation for this scope.
© UNI
37
UNI/PdR 6:2014
e)
definire il campo di applicazione del sistema di gestione della resilienza in termini adeguati
a dimensione, natura e complessità dell’organizzazione in un’ottica di miglioramento
continuo.
L’organizzazione deve definire il campo di applicazione in coerenza con la protezione e la
conservazione della sua integrità e capacità di fornire beni e servizi critici, compresi i rapporti con le
parti interessate, le interazioni con i fornitori chiave, i fornitori di servizi esternalizzati e altre parti
interessate (per esempio fornitori e partner della catena di approvvigionamento dell’organizzazione,
clienti, altre parti interessate, la comunità in cui opera, ecc.).
L’attività del sistema di gestione della resilienza svolgerà un ruolo fondamentale e determinante
nella tutela di una Infrastruttura Critica e della sua capacità di fornire beni e servizi critici per il
benessere dei cittadini e, più in generale, l’efficace funzionamento della società.
Nello sviluppo del suo sistema di gestione della resilienza, l’organizzazione deve altresì attribuire
rilevanza strategica alla gestione della sicurezza, alla preparazione, mitigazione e gestione delle
crisi; alla gestione delle emergenze; alla gestione della continuità operativa alla gestione di disastri
e alla gestione del ripristino, basandosi sulla valutazione del rischio (vedere 5.4.2).
5.2.5
DESIGNAZIONE DEL SECURITY LIAISON OFFICER (SLO)
La direzione designata deve definire, documentare e fornire le risorse per il sistema di gestione
dell’organizzazione in cui è inserito il sistema di gestione della resilienza, riflettendo un impegno alla
tutela di beni umani, ambientali e materiali, anticipando e preparandosi a potenziali incidenti al fine
di provvedere alla resilienza di business e operativa.
La direzione deve designare un SLO, come disposto dalla Direttiva 2008/114/CE (vedere 5.5.1). La
direzione deve assicurare la disponibilità di risorse adeguate e appropriate, essenziali per attuare e
controllare il sistema di gestione della resilienza e il raggiungimento dei suoi obiettivi. Sono
comprese risorse umane, competenze specialistiche, attrezzature, infrastrutture interne, tecnologia,
informazione, intelligence e risorse finanziarie.
La direzione deve assicurare che tutte le risorse siano adeguatamente e conformemente impiegate
ai fini di un’efficiente ed efficace attuazione del sistema di gestione della resilienza.
5.2.6 DEFINIZIONE E ATTUAZIONE DI UN PROCESSO DI RACCOLTA E CONDIVISIONE DI
INTELLIGENCE
L’organizzazione deve stabilire e attuare un processo di intelligence per la raccolta, analisi,
gestione e condivisione di intelligence, per quanto opportuno.
Ciò deve essere eseguito all’interno e all’esterno dell’organizzazione, nel modo opportuno. Il
processo di intelligence deve essere progettato per assicurare che l’organizzazione possegga
conoscenza e sia capace di agire sulla base di questa, a beneficio della sua capacità di sviluppare
ed erogare beni e servizi critici alle parti interessate in modo continuo a un livello accettabile.
Ciò deve prevedere ma non limitarsi solo alla raccolta di informazioni riguardanti il presente e il
prevedibile futuro stato di fornitori diretti e indiretti e della loro capacità di fornire quanto è
necessario all’organizzazione a tale scopo.
© UNI
38
UNI/PdR 6:2014
The organisation shall keep up to date with the general status of other Critical Infrastructures,
whose failing could have a direct, or indirect, effect upon the organisation’s capability to develop
and/or supply, critical services and/or products.
The organisation shall share information with other Critical Infrastructures, stakeholders and
appropriate authorities as is opportune.
5.3
RESILIENCE POLICY
The protection of Critical Infrastructures is realized through the implementation of all embracing
protection plans which contain indications of targets, measures and operational plans. The
protection measures are based on the full scope of risks and keep in mind the aspects of the whole
risk management cycle. Thus the organisation adopting this Critical Infrastructure resilience
management system shall produce a resilience policy statement to be incorporated into its
management system. The resilience policy statement shall be appropriate to the nature and scale of
potential risks to the organisation's activities, functions, products, services, and capability of
supplying critical goods and services to stakeholders.
The policy shall:
a) include a commitment to employee and community life safety as the first priority;
b) include a commitment to continual improvement;
c) include a commitment to enhanced organisational sustainability and resilience;
d) include a commitment to flexible and proactive risk minimization;
e) include a commitment to implement a procedure for ensuring that pertinent security
management information is communicated to and from relevant employees, suppliers and
other stakeholders;
NOTE Because of the sensitive nature of certain security related information, due consideration
shall be given to the sensitivity of information prior to their sharing; the organisation shall have a
specific procedure in place for the management of communications of classified information.
f)
include a procedure for the gathering and sharing of information including intelligence
regarding potential direct and indirect threats to the organisation that could impact security
management operations and activities and have negative effects upon the organisation’s
capability to produce and/or supply goods or provide services that are vital to stakeholders
and the population and society in general. The intelligence operations shall be structured on
three levels, strategic, tactical and operational. This shall include:
I.
© UNI
the establishing and managing of two way communications with the national secretariat
for Critical Infrastructure, as is appropriate and adequate;
39
UNI/PdR 6:2014
L’organizzazione deve tenersi al corrente dello stato generale delle altre Infrastrutture Critiche dal
cui malfunzionamento potrebbe derivare un effetto diretto o indiretto sulla sua capacità di sviluppare
e/o erogare beni e/o servizi critici.
L’organizzazione deve condividere l’informazione con altre Infrastrutture Critiche, le parti interessate
e le autorità competenti, come opportuno.
5.3
POLITICA PER LA RESILIENZA
La tutela delle Infrastrutture Critiche si realizza attraverso l’attuazione di piani di protezione
onnicomprensivi che contengono indicazioni in termini di obiettivi, misure e piani operativi. Le
misure di tutela si basano sull’intero spettro di rischi e tengono in considerazione gli aspetti
dell’intero ciclo di gestione del rischio. Pertanto, l’organizzazione che adotta questo sistema di
gestione per la resilienza per le Infrastrutture Critiche deve produrre una dichiarazione della politica
per la resilienza da integrarsi nel suo sistema di gestione. Tale dichiarazione deve essere adeguata
alla natura ed entità di potenziali rischi per attività, funzioni, prodotti e servizi dell’organizzazione e
la sua capacità di fornire prodotti o servizi critici alle parti interessate.
La politica deve:
a) come prima priorità includere un impegno alla sicurezza della vita dei dipendenti e della
comunità;
b) includere un impegno a sostegno del miglioramento continuo;
c) includere un impegno a sostegno di una rafforzata sostenibilità e resilienza organizzativa;
d) includere un impegno a sostegno di una minimizzazione del rischio preventiva e proattiva;
e) includere un impegno a sostegno dell’attuazione di procedure per assicurare che una
coerente informazione relativa alla gestione della sicurezza sia comunicata da e verso i
pertinenti dipendenti, fornitori e altre parti interessate;
NOTA A causa della natura sensibile di certe informazioni relative alla sicurezza, è necessaria
considerare la delicatezza di tali informazioni, prima della loro condivisione; l’organizzazione deve
avere una specifica procedura di gestione della comunicazione di informazioni riservate.
f)
includere una procedura per la raccolta e condivisione di informazione, compresa
l’intelligence riguardante potenziali minacce dirette e indirette all’organizzazione, che
potrebbero impattare su operazioni e attività di gestione della sicurezza e avere effetti
negativi sulla capacità dell’organizzazione di produrre e/o fornire beni o erogare servizi vitali
per le parti interessate, la popolazione e la società in generale. Le operazioni di intelligence
devono essere strutturate su tre livelli, strategico, tattico e operativo. Ciò deve includere:
I.
© UNI
la costituzione e la gestione, in modo corretto e adeguato, di un sistema di
comunicazione bidirezionale con l’autorità nazionale per le Infrastrutture Critiche;
40
UNI/PdR 6:2014
II.
the establishing and managing of opportune two way communications with other
relevant organisations;
III.
the promotion of co-operation between the organisation and relevant public institutions
and agencies in order to exchange relevant intelligence and co-operate in the protection
of Critical Infrastructures;
g) include a commitment to comply with applicable legal requirements and with other
requirements to which the organisation subscribes, this includes compliance with the crosscutting criteria referred to in the Council Directive 2008/114/EC:
I.
casualties criterion, assessed in terms of the potential number of fatalities or injuries;
II.
economic effects criterion, assessed in terms of the significance of economic loss and/or
degradation of products or services; including potential environmental effects;
III.
public effects criterion, assessed in terms of the impact on public confidence, physical
suffering and disruption of daily life; including the loss of essential services.
NOTE The cross-cutting criteria thresholds shall be based on the severity of the impact of the
disruption or destruction of a particular infrastructure. The precise thresholds applicable to the
cross-cutting criteria shall be determined on a case-by-case basis by the relevant EU Member State
concerned by a particular Critical Infrastructure.
h) determine and document the risk tolerance in relation to the scope of the management policy
and address and specify where in the management system, adopted by the organisation, the
following elements related to resilience management are addressed:

a framework for setting and reviewing resilience management policy objectives and
targets:

references to limitations and exclusions;

a designated policy owner and/or responsible point of contact;

the SLO or person designated on his/her behalf;

how the policy is documented, implemented and maintained, communicated to all
appropriate persons working for or on behalf of the organisation, and is made available
to relevant stakeholders;
NOTE An organisation can choose to make public a non-confidential version of its resilience policy,
not including sensitive security-related information.

© UNI
how the policy is reviewed at planned intervals and when significant changes occur;
41
UNI/PdR 6:2014
II.
la costituzione e la gestione di un opportuno sistema di comunicazione bidirezionale con
altre organizzazioni pertinenti;
III.
la promozione di cooperazione tra l’organizzazione e le istituzioni e le agenzie pubbliche
rilevanti al fine di uno scambio di intelligence pertinente e di una collaborazione nella
tutela di Infrastrutture Critiche;
g) includere un impegno per il rispetto delle prescrizioni di legge e altre prescrizioni cui
l’organizzazione fa riferimento, incluso il rispetto dei criteri di valutazione intersettoriali di cui
alla Direttiva 2008/114/CE del Consiglio Europeo:
I.
il criterio del numero di vittime valutato in termini di numero potenziale di morti o feriti;
II.
il criterio delle conseguenze economiche valutate in termini di entità delle perdite
economiche e/o del deterioramento di prodotti o servizi, comprese le potenziali
conseguenze ambientali;
III.
il criterio delle conseguenze per i cittadini valutate in termini di impatto sulla fiducia dei
cittadini, sofferenze fisiche e perturbazione della vita quotidiana, compresa la perdita di
servizi essenziali.
NOTA Le soglie dei criteri intersettoriali devono basarsi sulla gravità delle conseguenze del
danneggiamento o della distruzione di una determinata infrastruttura. Le soglie puntuali applicabili ai
criteri intersettoriali devono essere determinate caso per caso dal pertinente Stato Membro UE,
interessato da una determinata Infrastruttura Critica.
h) determinare e documentare la tollerabilità del rischio in relazione al campo di applicazione
della politica di gestione, specificando dove nel sistema di gestione adottato
dall’organizzazione sono affrontati i seguenti elementi relativi alla gestione della resilienza:

un quadro strutturale per definire e riesaminare gli obiettivi e i risultati della politica di
gestione della resilienza;

i riferimenti ai limiti e alle eccezioni;

il titolare designato alla politica di gestione e/o il punto di contatto responsabile;

SLO o persona designata per suo conto;

come la politica è documentata, attuata e mantenuta, come è comunicata a tutte le
persone coinvolte che lavorano per l’organizzazione o per suo conto, e come è resa
disponibile alle parti interessate rilevanti;
NOTA Un’organizzazione può decidere di rendere pubblica una versione non riservata della sua
politica per la resilienza, omettendo informazioni sensibili relative alla sicurezza.

© UNI
come la politica è riesaminata a intervalli pianificati e in caso di cambiamenti significativi;
42
UNI/PdR 6:2014
5.4

how the policy visibly endorsed by appropriately authorised management;

how the policy interacts and the effects of interaction with other Critical Infrastructure
sectors in the case of interruption of production, service and supply.
PLANNING
5.4.1 STRATEGIC PLANS AND PROGRAMMES
The organisation shall establish and maintain one or more strategic plans and programmes for:
a) prevention and protection in order to avoid, eliminate, deter, protect from or prevent the
likelihood of an incident and its consequence, including removal of human or physical assets
at risk;
b) mitigation in order to minimize the impact of an incident;
c) response, taking into account the initial response to an incident involving the protection of
people and property from immediate harm. An initial reaction by management may form part
of the organisation's first response;
d) continuity, ensuring that processes, controls, and resources are made available to ensure
that the organisation continues to meet its critical business and operational objectives;
e) recovery, ensuring that processes, resources, and capabilities of the organisation are reestablished to meet ongoing operational requirements within the time period specified in the
objectives.
The organisation shall establish, implement and maintain one or more strategic programmes for
achieving its objectives and targets. The programmes shall be optimized and prioritized in order to
control and treat risk associated with the likelihood and impact of disruptions to the organisation and
its supply chain. The programmes shall include:
a) designation of responsibility and resources for achieving objectives and targets at relevant
functions and levels of the organisation;
b) consideration of its activities, functions, regulatory or legal requirements, contractual and
supply chain obligations, stakeholders' needs and the environment;
c) the means, time-frame and resource allocation by which the resilience management
objectives and targets are to be achieved.
The organisation shall evaluate its strategic programmes to determine if these measures have
introduced new risks. The resilience management programmes shall be reviewed periodically to
ensure that they remain effective and consistent with the objectives and targets. Where necessary,
the programmes shall be amended accordingly.
© UNI
43
UNI/PdR 6:2014

come la politica è apertamente sostenuta da parte della direzione designata;

come la politica interagisce e gli effetti di tale interazione con altri settori di Infrastrutture
Critiche in caso di interruzione della produzione, erogazione o fornitura.
5.4
PIANIFICAZIONE
5.4.1
PIANI E PROGRAMMI STRATEGICI
L’organizzazione deve stabilire e mantenere uno o più piani e programmi strategici per:
a) la prevenzione e la protezione al fine di evitare, eliminare, dissuadere, prevenire e
proteggersi dalla probabilità di incidente e della sua conseguenza, compreso
l’allontanamento di risorse umane o la rimozione di strutture fisiche a rischio;
b) la mitigazione al fine di minimizzare l’impatto di un incidente;
c) la risposta, tenendo in considerazione la risposta iniziale a un incidente che riguarda la
tutela di persone e immobili da danno immediato. Un’iniziale reazione da parte della
direzione può formare parte della prima risposta dell’organizzazione;
d) la continuità, assicurando che i processi, i controlli e le risorse siano resi disponibili per
garantire che l’organizzazione continui a soddisfare i suoi obiettivi di continuità operativa
critici;
e) il ripristino, assicurando che i processi, le risorse e le capacità dell’organizzazione siano
ristabiliti per soddisfare i requisiti di continuità operativa entro il termine di tempo specificato
negli obiettivi.
L’organizzazione deve stabilire, attuare e mantenere uno o più programmi strategici per conseguire
i suoi obiettivi e risultati. I programmi devono essere ottimizzati e definiti per priorità per controllare e
trattare il rischio associato alla probabilità e all’impatto di interruzioni sull’organizzazione e la sua
catena di approvvigionamento. I programmi devono:
a) includere la designazione di responsabilità e le risorse per il raggiungimento di obiettivi e
risultati correlati alle funzioni e ai livelli pertinenti dell’organizzazione;
b) considerare le attività e le funzioni, le prescrizioni, normative e legali, gli obblighi contrattuali
e la catena di approvvigionamento, le esigenze delle parti interessate e l’ambiente;
c) includere gli strumenti, la tempistica di riferimento e le risorse allocate con cui devono
essere conseguiti gli obiettivi e i risultati previsti per la gestione della resilienza.
L’organizzazione deve valutare i propri programmi strategici per determinare se tali misure abbiano
introdotto nuovi rischi. I programmi per la gestione della resilienza devono essere riesaminati
periodicamente per assicurare che continuino a essere efficaci e coerenti con gli obiettivi e i risultati.
Qualora necessario, i programmi devono essere coerentemente corretti.
© UNI
44
UNI/PdR 6:2014
5.4.2 RISK ASSESSMENT AND PROCESS MONITORING
The organisation shall establish, implement, and maintain an ongoing formal and documented risk
assessment process to:
a) identify risk due to intentional, unintentional, and naturally-caused hazards and threats that
have a potential for direct or indirect impact on the organisation's activities, operations,
functions and supply chain; human, intangible, and physical assets; the environment; and its
stakeholders;
b) systematically analyse
impact/consequence;
risk,
including
likelihood,
vulnerability,
criticality,
and
c) determine those risks that have a significant consequence on activities, functions, services,
products, supply chain, stakeholder relationships, and the environment;
d) systematically evaluate and prioritize risk control and treatment and their related costs.
The organisation shall:
a) document and keep this information up to date and confidential, as is appropriate;
b) periodically review whether the resilience management scope, policy, and risk assessment
are still appropriate given the organisation's internal and external context;
c) ensure that prioritised risks are taken into account in establishing, implementing, and
operating its resilience management system;
d) re-evaluate risk within the context of relevant changes within and outside the organisation or
made to the organisation's operating environment, procedures, functions, services,
partnerships, and supply chain;
e) develop risk criteria that are used to evaluate the significance of risk. The risk criteria reflect
the internal and external context of the organisation, including its values, objectives and
resources;
f)
establish criteria for maximum allowable downtime, recovery time objectives, as well as
acceptable levels of loss associated with the organisation and its supply chain's products,
services and functions;
g) establish a prioritized timeframe for recovery of activities and functions within the
organisation and throughout the supply chain;
h) evaluate the direct and indirect benefits and costs of options to reduce risk and enhance
sustainability and resilience.
© UNI
45
UNI/PdR 6:2014
5.4.2
VALUTAZIONE DEL RISCHIO E MONITORAGGIO DEL PROCESSO
L’organizzazione deve stabilire, attuare e mantenere un continuo processo formale e documentato
di valutazione del rischio per:
a) identificare il rischio dovuto a pericoli e minacce intenzionali, non intenzionali e naturali con
potenziale impatto diretto o indiretto su attività, operazioni, funzioni e catena di
approvvigionamento dell’organizzazione; su beni umani, immateriali e materiali;
sull’ambiente e sulle parti interessate;
b) analizzare sistematicamente il rischio, compresi probabilità, vulnerabilità, criticità e
impatto/conseguenza;
c) determinare quei rischi che hanno una significativa conseguenza su attività, funzioni, servizi,
prodotti, catena di approvvigionamento, relazioni con le parti interessate e con l’ambiente;
d) valutare sistematicamente e stabilire le priorità di controllo del rischio, del suo trattamento e
dei costi associati.
L’organizzazione deve:
a) documentare e mantenere aggiornate e riservate le relative informazioni, per quanto
opportuno;
b) riesaminare periodicamente se il campo di applicazione della gestione della resilienza, la
politica e la valutazione del rischio sono ancora adeguati, dato il contesto interno ed esterno
dell’organizzazione;
c) assicurare che i rischi prioritari siano presi in considerazione nello stabilire, attuare ed
eseguire il proprio sistema di gestione della resilienza;
d) rivalutare il rischio in riferimento a cambiamenti rilevanti all’interno e all’esterno
dell’organizzazione o apportati all’ambiente in cui opera l’organizzazione, a procedure,
funzioni, servizi, partenariati e catena di approvvigionamento;
e) sviluppare criteri di rischio da utilizzarsi per valutare la gravità del rischio. I criteri di rischio
riflettono il contesto interno ed esterno dell’organizzazione, compresi i suoi valori, obiettivi e
risorse;
f)
stabilire criteri per il limite massimo accettabile di inattività, gli obiettivi temporali di ripristino,
così come i livelli accettabili in termini di perdita associata a prodotti, servizi e funzioni
dell’organizzazione e della sua catena di approvvigionamento;
g) stabilire un ordine temporale di priorità per il ripristino
nell’organizzazione e lungo la catena di approvvigionamento;
di
attività
e
funzioni
h) valutare benefici e costi, diretti e indiretti, delle opzioni per ridurre il rischio e rafforzare la
sostenibilità e la resilienza.
© UNI
46
UNI/PdR 6:2014
5.4.3 INTERNAL AND EXTERNAL COMMUNICATIONS AND CONSULTATION
The organisation shall establish, implement, and maintain a formal and documented communication
and consultation process with stakeholders and supply chain partners in the risk assessment
process to ensure that:
a) intelligence is collected, treated and shared as appropriate;
b) risk is adequately identified;
c) interests of stakeholders, as well as dependencies and linkages within the supply chain are
understood;
d) resilience risk assessment process interfaces with other management disciplines;
e) risk assessment is being conducted within the appropriate internal and external context and
parameters relevant to the organisation and its supply chain.
5.4.4 LEGAL AND OTHER REQUIREMENTS
The organisation shall establish and maintain a procedure to:
a) identify legal, regulatory, and other requirements to which the organisation subscribes
related to the organisation's hazards, threats, and risks that are related to its facilities,
activities, functions, products, services, supply chain, the environment, and stakeholders;
b) determine how these requirements apply to its hazards, threats, risks and their potential
impact.
The organisation shall document this information and keep it up to date.
The organisation shall ensure that applicable legal, regulatory, and other requirements to which the
organisation subscribes are considered in developing, implementing, and maintaining its resilience
management system.
5.4.5 OBJECTIVES AND TARGETS FOR RISK MANAGEMENT
The organisation shall establish, implement and maintain documented objectives and targets to
manage risk in order to avoid, prevent, deter, mitigate, respond to, and recover from an incident.
Objectives shall be derived from and consistent with the resilience management policy and risk
assessment, including the commitments to:
a) minimize risk by reducing likelihood and consequence;
© UNI
47
UNI/PdR 6:2014
5.4.3
COMUNICAZIONE E CONSULTAZIONE INTERNA ED ESTERNA
L’organizzazione deve stabilire, attuare e mantenere un formale e documentato processo di
comunicazione e consultazione con le parti interessate e i partner della catena di
approvvigionamento nel processo di valutazione del rischio per assicurare che:
a) l’intelligence sia opportunamente raccolta, trattata e diffusa;
b) il rischio sia adeguatamente identificato;
c) gli interessi delle parti interessate, così come le relazioni di dipendenza e i collegamenti
all’interno della catena di approvvigionamento, siano compresi;
d) il processo di valutazione di rischio della resilienza si interfacci con altre discipline di
gestione;
e) la valutazione del rischio sia condotta con riferimento all’opportuno contesto interno ed
esterno e ai parametri rilevanti per l’organizzazione e la sua catena di approvvigionamento.
5.4.4
PRESCRIZIONI LEGALI E ALTRE PRESCRIZIONI
L’organizzazione deve stabilire e mantenere una procedura per:
a) identificare le prescrizioni di legge, norme e altre prescrizioni ai quali l’organizzazione fa
riferimento relative a pericoli, minacce e rischi collegati a siti, attività, funzioni, prodotti,
servizi, catena di approvvigionamento, l’ambiente e le parti interessate dell’organizzazione;
b) determinare come tali prescrizioni valgono per i propri pericoli, minacce e rischi e il loro
potenziale impatto.
L’organizzazione deve documentare tale informazione e mantenerla aggiornata.
L’organizzazione deve assicurarsi che le leggi, le norme e altre prescrizioni applicabili cui fa
riferimento siano considerate nello sviluppo, nell’attuazione e nel mantenimento del suo sistema di
gestione della resilienza.
5.4.5 OBIETTIVI E RISULTATI PER LA GESTIONE DEL RISCHIO
L’organizzazione deve stabilire, attuare e mantenere documentati obiettivi e risultati per la gestione
del rischio per evitare, prevenire, dissuadere, mitigare un incidente e consentire la risposta e il
ripristino a seguito di questo.
Gli obiettivi devono derivare ed essere coerenti con la politica di gestione della resilienza e la
valutazione del rischio, compresi gli impegni a:
a) minimizzare il rischio riducendo probabilità e conseguenza;
© UNI
48
UNI/PdR 6:2014
b) increase resilience through flexible, proactive and reactive approaches; financial, operational
and business requirements (including supply chain commitments);
c) compliance with legal and other requirements;
d) continual improvement.
Targets shall be measurable qualitatively and/or quantitatively using established metrics. Targets
shall be derived from and consistent with the resilience management policy objectives and shall
be:
a) to an appropriate level of detail;
b) commensurate to the risk assessment and the organisation's timeframe for recovery;
c) specific, measurable, achievable, relevant and time-based (where practicable);
d) communicated to all relevant employees and third parties, including suppliers and supply
chain partners, with the intent that these persons are made aware of their individual
obligations;
e) reviewed periodically to ensure that they remain relevant and consistent with the resilience
management policy objectives and amended accordingly.
The strategic means for achieving objectives and targets are defined in plans and programmes for
resilience (see 5.4.1).
5.5
IMPLEMENTATION AND OPERATION
5.5.1 RESOURCES, ROLES, RESPONSIBILITIES AND AUTHORITY
Roles, responsibilities and authorities shall be defined, documented and communicated in order to
facilitate effective resilience management, consistent with the achievement of its resilience
management policy, objectives, targets and programmes.
In accordance with the Council Directive 2008/114/EC the organisation's appropriately authorised
management shall appoint a SLO who, irrespective of other responsibilities, shall have defined
roles, responsibilities, and authority for:
a) ensuring that a resilience management system is established, communicated, implemented,
and maintained in accordance with the requirements of this document;
b) identifying and monitoring the requirements and expectations of the organisation and
stakeholders and take appropriate action to manage these expectations;
c) ensuring the availability of adequate resources that have received appropriate training;
© UNI
49
UNI/PdR 6:2014
b) accrescere la resilienza con approcci flessibili, proattivi e reattivi; capacità finanziarie,
operative e di business (compresi gli impegni da parte della catena di approvvigionamento);
c) rispetto delle prescrizioni legali e altre prescrizioni;
d) miglioramento continuo.
I risultati devono essere misurabili qualitativamente e/o quantitativamente utilizzando un sistema di
misurazione prestabilito. I risultati devono derivare ed essere coerenti con gli obiettivi della politica
di gestione della resilienza e devono essere:
a) a un appropriato livello di dettaglio;
b) commisurati alla valutazione del rischio e al tempo necessario per il ripristino
dell’organizzazione;
c) specifici, misurabili, raggiungibili, pertinenti e circostanziati nel tempo (qualora fattibile);
d) comunicati a dipendenti e parti terze pertinenti, compresi fornitori e partner della catena di
approvvigionamento, con l’intento che tali soggetti siano resi coscienti dei loro obblighi
individuali;
e) periodicamente riesaminati per assicurare che rimangano adeguati e coerenti con gli
obiettivi della politica di gestione della resilienza e di conseguenza corretti.
Gli strumenti strategici con cui conseguire obiettivi e risultati sono declinati in piani e programmi per
la resilienza (vedere 5.4.1).
5.5
ATTUAZIONE E FUNZIONAMENTO
5.5.1
RISORSE, RUOLI, RESPONSABILITÀ E AUTORITÀ
Ruoli, livelli di responsabilità e di autorità devono essere definiti, documentati e comunicati al fine di
facilitare una efficace gestione della resilienza, coerente con il conseguimento della sua politica di
gestione della resilienza, i suoi obiettivi, risultati e programmi.
Come previsto dalla Direttiva 2008/114/CE del Consiglio, la direzione designata dell’organizzazione
deve nominare un SLO che, a prescindere da altre responsabilità, deve avere ruoli, livelli di
responsabilità e autorità definiti per:
a) assicurare che un sistema di gestione della resilienza sia stabilito, comunicato, attuato e
mantenuto secondo i requisiti del presente documento;
b) identificare e monitorare i requisiti e le aspettative dell’organizzazione e delle parti
interessate e adottare le opportune azioni per la loro gestione;
c) assicurare la disponibilità di adeguate risorse che abbiano ricevuto adeguata formazioneaddestramento;
© UNI
50
UNI/PdR 6:2014
d) reporting on the performance of the resilience management system to appropriately
authorised management for review and as the basis for improvement.
This shall be accomplished by the creation of an adequate structure that shall continuously search
for, find, analyse, share, with all relevant and authorised stakeholders, intelligence that may be of
assistance in predicting, and responding to, (taking appropriate action) direct and/or indirect attacks
that may impact upon the direct and/or indirect continuity of provision of products and/or services
that are critical to stakeholders. The structure shall be either in-house, out-sourced or an
appropriate combination of both. This structure shall provide inputs to the organisation. A
decisionary hierarchy, which is endorsed by appropriately authorised management, shall be
established for action to be taken, or not to be taken, following the receipt of inputs. Inputs shall be
documented and records kept. Records shall be kept of all decisions taken to act, or not act, upon
input.
The organisation shall co-operate with, and participate in, intelligence sharing groups, for the
protection of Critical Infrastructures where opportune and approved, by whichever national body has
been given this task, in a measure that is appropriate and adequate to the scope of this document.
The organisation shall establish:
a) resilience management, crisis management, and response teams with defined roles,
appropriate authority, and adequate resources to oversee incident prevention,
preparedness, response, and recovery;
b) logistical capabilities and procedures to locate, acquire, store, distribute, maintain, test, and
account for services, personnel, resources, materials, and facilities made available or
donated to support the resilience management system;
c) resource management objectives for response time, personnel, equipment, training,
facilities, funding, insurance, liability control, expert knowledge, materials, and the time
frames within which they will be needed from organisation's resources and from any partner
entities;
d) procedures for stakeholder assistance, communications and strategic alliances.
The organisation shall assess the need of coordination with other public or private organisations and
establish essential and necessary cooperation.
The organisation shall develop financial and administrative procedures to support the resilience
management programme before, during, and after an incident. Procedures shall be:
a) established to ensure that fiscal decisions can be expedited;
b) in accordance with established authority levels and accounting principles.
© UNI
51
UNI/PdR 6:2014
d) riportare alla direzione designata in merito alla prestazione del sistema di gestione della
resilienza al fine di un riesame e come base per il miglioramento.
Ciò deve essere attuato con la creazione di una struttura adeguata che si occupi continuamente di
ricercare, individuare, analizzare e condividere con le parti interessate, pertinenti e autorizzate,
l’intelligence di supporto nel prevedere e rispondere (mediante opportuna azione) ad attacchi diretti
e/o indiretti che possano determinare un impatto sulla continuità diretta e/o indiretta di fornitura di
prodotti e/o servizi critici per le parti interessate. La struttura da adottare può essere interna, esterna
oppure una combinazione delle due soluzioni. Tale struttura deve fornire input all’organizzazione.
Deve essere istituita una gerarchia decisionale, approvata dalla direzione designata, per decidere
quali azioni intraprendere, o meno, a seguito degli input ricevuti. Gli input devono essere
documentati e registrati. Deve essere inoltre tenuto un archivio delle decisioni di intervento, o non
intervento, prese sulla base delle pertinenti valutazioni.
L’organizzazione deve collaborare e partecipare a gruppi di condivisione di intelligence per la tutela
di Infrastrutture Critiche, ove opportuno e approvato dall’ente nazionale incaricato di tale compito, in
una misura appropriata e adeguata al campo di applicazione del presente documento.
L’organizzazione deve stabilire:
a) squadre per la gestione della resilienza, la gestione di crisi e di risposta a incidente, con ruoli
definiti, appropriata autorità e congrue risorse al fine di sovrintendere la prevenzione, la
preparazione, la risposta e il ripristino susseguente un incidente;
b) capacità e procedure logistiche per localizzare, acquisire, immagazzinare, distribuire,
mantenere, testare e rendere conto dei servizi erogati, del personale, delle risorse, dei
materiali e delle strutture rese disponibili o donate a supporto del sistema di gestione della
resilienza;
c) obiettivi di gestione delle risorse per i tempi di risposta, il personale, le attrezzature,
formazione, le strutture, i finanziamenti, le assicurazioni, il controllo delle responsabilità, le
specifiche conoscenze, i materiali e l’arco di tempo entro cui saranno rese disponibili dalle
risorse dell'organizzazione e dalle organizzazioni partner;
d) procedure per l’assistenza alle parti interessate, la comunicazione e le alleanze strategiche.
L’organizzazione deve valutare le necessità di coordinamento con altre organizzazioni pubbliche o
private e istituire la necessaria ed essenziale cooperazione.
L’organizzazione deve sviluppare procedure finanziarie e amministrative a sostegno del programma
di gestione della resilienza prima, durante e dopo un incidente. Le procedure devono essere:
a) stabilite per garantire che le decisioni di natura fiscale possano essere espedite;
b) coerenti con i livelli di autorità prestabiliti e i principi contabili.
© UNI
52
UNI/PdR 6:2014
5.5.2 COMPETENCE, TRAINING AND AWARENESS
The organisation shall ensure that any person who has the potential to prevent, cause, respond to,
mitigate, or be affected by significant hazards, threats, and risks is competent (on the basis of
appropriate education, training, or experience) and retains relevant documentation.
The organisation shall identify competencies and training needs associated with management of its
hazards, threats, and risks and its resilience management policy. It shall provide training or take
other action to meet these needs and retain associated records.
The organisation shall establish, implement, and maintain a procedure to ensure all people working
for it or on its behalf are aware of:
a) the significant hazards, threats, and risks, and related actual or potential impact, associated
with their work and the benefits of improved personal performance;
b) the procedure for incident prevention, deterrence, mitigation, self-protection, evacuation,
response; continuity and recovery;
c) the importance of conformity with the resilience management policy and procedure and with
the requirements of the Critical Infrastructure security management system;
d) their roles and responsibilities in achieving conformity with the requirements of the resilience
management policy;
e) the potential consequence of deviation from the specified procedure.
The organisation shall build, promote, and embed a resilience management culture within the
organisation and supply chain that:
a) ensures the resilience management culture becomes part of the organisation's and supply
chain's core values and organisation governance;
b) makes supply chain partners and stakeholders aware of the resilience management policy
and their role in any plans.
5.5.3 COMMUNICATION AND WARNING
With regard to its hazards, threats, risks and resilience management policy, the organisation shall
establish, implement, and maintain a procedure for:
a) documenting, recording, and communicating changes in documentation, plans, procedures,
the management system, and results of evaluations and reviews;
b) internal communication between the various levels and functions of the organisation;
c) external communication with its supply chain and other partner entities and stakeholders;
© UNI
53
UNI/PdR 6:2014
5.5.2
COMPETENZA, FORMAZIONE-ADDESTRAMENTO E CONSAPEVOLEZZA
L’organizzazione deve assicurare che qualsiasi persona in grado di prevenire, causare, rispondere,
mitigare o essere colpita da pericoli, minacce e rischi significativi sia competente (sulla base di
appropriata istruzione, formazione-addestramento ed esperienza) e deve conservare la relativa
documentazione comprovante.
L’organizzazione deve identificare le competenze e i bisogni di formazione-addestramento associati
alla gestione di pericoli, minacce e rischi e alla politica di gestione della resilienza. Deve erogare
formazione-addestramento o adottare altre azioni per soddisfare tali bisogni e deve conservare i
relativi documenti.
L’organizzazione deve stabilire, attuare e mantenere una procedura per garantire che le persone
che vi lavorano o lavorano per suo conto siano a conoscenza:
a) di pericoli, minacce e rischi significativi, e del loro effettivo o potenziale impatto, associati al
loro lavoro e dei benefici dovuti al miglioramento della propria prestazione
b) delle procedure di prevenzione, deterrenza, mitigazione, auto-protezione, evacuazione,
risposta, continuità e rispristino;
c) dell’importanza di essere conformi alla politica e alle procedure di gestione della resilienza e
ai requisiti del sistema di gestione della sicurezza dell’Infrastruttura Critica;
d) dei loro ruoli e delle loro responsabilità nel conseguire la conformità ai requisiti della politica
di gestione della resilienza;
e) della potenziale conseguenza in caso di deviazione da una specifica procedura.
L’organizzazione deve costruire, promuovere e diffondere una cultura per la gestione della
resilienza al suo interno e nella catena di approvvigionamento per:
a) assicurare che la cultura della gestione della resilienza divenga parte dei suoi valori
fondamentali e di quelli della catena di approvvigionamento e della governance;
b) rendere i partner della catena di approvvigionamento e le parti interessate consapevoli della
politica di gestione della resilienza e del loro ruolo previsto nei vari piani.
5.5.3
COMUNICAZIONE E ALLERTA
Con riferimento a pericoli, minacce, rischi e alla sua politica di gestione della resilienza,
l’organizzazione deve stabilire, attuare e mantenere una procedura per:
a) documentare, registrare e comunicare i cambiamenti della documentazione, dei piani, delle
procedure, del sistema di gestione, dei risultati di valutazione e del riesame;
b) comunicare internamente tra i vari livelli e funzioni dell’organizzazione;
c) comunicare all’esterno con la catena di approvvigionamento, enti partner e parti interessate;
© UNI
54
UNI/PdR 6:2014
d) receiving, documenting, and responding to communication from external stakeholders
e) adapting and integrating a national or regional risk or threat advisory system or equivalent
into planning and operational use;
f)
sharing intelligence with its supply chain and other partner entities and stakeholders;
g) alerting stakeholders and supply chain partners potentially impacted by a potential, actual or
impending incident;
h) assuring availability of the means of communication during a crisis situation and disruption;
i)
facilitating structured communication with immediate and emergency responders;
j)
assuring the interoperability of multiple responding organisations and personnel;
k) recording of vital information about the incident, actions taken, and decisions made.
5.5.4 DOCUMENTATION: THE OPERATOR SECURITY PLAN
The resilience management system documentation shall include the Operator Security Plan (OSP)
and further documents and records determined by the organisation to be necessary to ensure the
effective planning, operation, and control of processes that relate to its significant risks.
The organisation shall implement an OSP as specified in the Council Directive 2008/114/EC
comprising an identification of important assets, a risk assessment and the identification, selection
and prioritization of counter measures and procedures. The OSP risk analysis shall be based on an
all-hazards approach which shall counter threats from technological, man-made and natural
disasters but shall give priority to threats from terrorism.
The OSP shall provide for the gathering, treating and sharing, as appropriate, of relevant
intelligence regarding potential direct or indirect threats to the organisation that could impact the
organisations ability to produce and/or supply goods or provide services that are essential for
stakeholders.
The OSP shall identify Critical Infrastructure assets and which security solutions exist or are being
implemented for their protection. As specified in Annex II of the Council Directive 2008/114/EC, the
OSP shall cover at least:
1. identification of important assets;
2. the conducting of a risk analysis based on major threat scenarios, vulnerability of
each asset, and potential impact;
© UNI
55
UNI/PdR 6:2014
d) ricevere, documentare e rispondere alla comunicazione dalle parti interessate esterne;
e) adattare e integrare nella pianificazione e nell’operatività un sistema consultivo del rischio,
nazionale o regionale, o un suo equivalente;
f)
condividere l’intelligence con la catena di approvvigionamento, enti partner e parti
interessate;
g) allertare le parti interessate e i partner della catena di approvvigionamento potenzialmente
coinvolti da un possibile, reale o imminente incidente;
h) garantire la disponibilità dei mezzi di comunicazione durante una situazione di crisi e
interruzione operativa;
i)
agevolare comunicazioni strutturate con operatori per la risposta immediata e le emergenze;
j)
garantire l’interoperabilità tra le molteplici organizzazioni e il personale per la risposta in
caso di incidente;
k) registrare informazioni vitali riguardanti l’incidente, le azioni intraprese e le decisioni assunte.
5.5.4
DOCUMENTAZIONE: IL PIANO DI SICUREZZA DELL’OPERATORE
La documentazione del sistema di gestione della resilienza deve includere il Piano di Sicurezza
dell’Operatore (PSO) e ulteriori documenti e archivi necessari da parte dell’organizzazione per
assicurare l’efficace pianificazione, funzionamento e controllo dei processi relativi ai rischi rilevanti.
L’organizzazione deve attuare un PSO come specificato nella Direttiva 114/2008/CE del Consiglio,
che comprende l’identificazione dei beni rilevanti, la valutazione del rischio e l’identificazione, la
selezione e la definizione di priorità per contromisure e procedure. L’analisi del rischio di PSO deve
basarsi su un approccio onnicomprensivo che permetta di contrastare le minacce derivanti da
disastri tecnologici, naturali o causati dall’uomo ma che assegni priorità alle minacce di natura
terroristica.
Il PSO deve provvedere alla raccolta, al trattamento e alla condivisione, per quanto opportuno, di
intelligence pertinente e relativa a possibili minacce dirette o indirette per l’organizzazione che
potrebbero influire sulla sua capacità di produrre e/o fornire beni o erogare servizi essenziali per le
parti interessate.
Il PSO deve individuare i beni dell’Infrastruttura Critica e le soluzioni di sicurezza esistenti o in corso
di attuazione per la loro protezione. Come specificato nell’Allegato II della Direttiva 114/2008/CE del
Consiglio Europeo, il PSO deve almeno includere:
1. l’individuazione degli elementi importanti;
2. la conduzione di un’analisi dei rischi basata sulle minacce più gravi, sulla
vulnerabilità di ogni elemento e sull’impatto potenziale;
© UNI
56
UNI/PdR 6:2014
3. identification selection and prioritisation of counter-measures and procedures with a
distinction between:
-
permanent security measures, which identify indispensable security investments and means
which are relevant to be employed at all times. This heading shall include information
concerning general measures such as technical measures (including installation of
detection, access control, protection and prevention means); organisational measures
(including a procedure for alerts and crisis management); control and verification measures;
communication; awareness raising and training; and security of information systems;
-
graduated security measures, which can be activated according to varying risk and threat
levels.
Thus the OSP shall establish, implement, and maintain a formal and documented evaluation
process to:
a) systematically conduct asset identification and valuation to identify the organisation’s critical
activities, functions, services, products, partnerships, supply chain, stakeholder
relationships, and the potential impact related to an incident based on risk scenarios;
b) identify intentional, unintentional, and naturally-caused hazards and threats that have a
potential for direct or indirect impact on the organisation’s operations, functions, and human,
intangible, and physical assets; the environment; and its stakeholders;
c) systematically analyse risk, vulnerability, criticality, and impact (consequence);
d) systematically analyse and prioritise risk controls and treatments and their related costs;
e) determine those risks that have a significant impact on activities, functions, services,
products, stakeholder relationships, and the environment (i.e., significant risk and impact).
The organisation shall:
a) document and keep this information up to date and confidential, as is appropriate;
b) re-evaluate risk and impact within the context of changes within the organisation or made to
the organisation’s operating environment, procedures, functions, services, partnerships, and
supply chain;
c) establish recovery time objectives and priorities;
d) evaluate the direct and indirect benefits and costs of options to reduce risk and enhance
sustainability and resilience;
e) ensure that the significant risk and impact are taken into account in establishing,
implementing, and operating its Critical Infrastructure, resilience management system.
© UNI
57
UNI/PdR 6:2014
3. l’individuazione, la selezione e l’ordine di priorità di contromisure e procedure, con
una distinzione fra:

misure permanenti di sicurezza, che individuano gli investimenti e gli strumenti indispensabili
in materia di sicurezza che si prestano ad essere utilizzati in ogni momento. Rientrano sotto
questa voce le informazioni riguardanti le misure di tipo generale, quali quelle tecniche
(inclusa l’installazione di strumenti di rilevazione, controllo accessi, protezione e
prevenzione); le misure organizzative (comprese procedure di emergenza e gestione delle
crisi); le misure di controllo e verifica; le comunicazioni; la crescita della consapevolezza e
l’addestramento; la sicurezza dei sistemi informativi;

misure graduali di sicurezza, che possono essere attivate in funzione dei diversi livelli di
rischio e di minaccia.
Pertanto, il PSO deve stabilire, attuare e mantenere un processo di valutazione formale e
documentato allo scopo di:
a) condurre sistematicamente l’identificazione e la valutazione di beni per individuare attività
critiche, funzioni, servizi, prodotti, partenariati, catena di approvvigionamento, relazioni con
le parti interessate e il potenziale impatto di un incidente, basato sugli scenari di rischio;
b) identificare i pericoli, intenzionali e non, e di origine naturale e le minacce che hanno un
potenziale impatto diretto o indiretto sulle operazioni, sulle funzioni dell’organizzazione e su
beni umani, immateriali e materiali; sull’ambiente e sulle parti interessate;
c) analizzare sistematicamente rischio, vulnerabilità, criticità e impatto (conseguenza);
d) analizzare sistematicamente e definire le priorità per controlli e trattamenti del rischio e i loro
costi associati;
e) determinare quei rischi che hanno un significativo impatto su attività, funzioni, servizi,
prodotti relazioni con le parti interessate e sull’ambiente (ossia, rischio e impatto
significativo).
L’organizzazione deve:
a) documentare e mantenere aggiornate e riservate le relative informazioni, come più
opportuno;
b) rivalutare il rischio e l’impatto in riferimento ai cambiamenti all’interno dell’organizzazione o
apportati all’ambiente operativo dell’organizzazione, a procedure funzioni, servizi,
partenariati e alla catena di approvvigionamento;
c) stabilire gli obiettivi in termini di tempo di ripristino e priorità;
d) valutare benefici e costi, diretti e indiretti, delle opzioni per ridurre il rischio e rafforzare la
sostenibilità e la resilienza;
e) garantire che i rischi e gli impatti significativi siano tenuti in considerazione nello stabilire,
attuare ed eseguire il sistema di gestione della resilienza dell’Infrastruttura Critica.
© UNI
58
UNI/PdR 6:2014
5.5.5 CONTROL OF DOCUMENTS
Documents required by the resilience management system shall be controlled. The organisation
shall establish, implement, and maintain a procedure to:
a) comply with legal and regulatory requirements;
b) approve documents for adequacy prior to their issue;
c) review, update and re-approve documents as necessary;
d) ensure that changes and the current revision status of documents are identified;
e) ensure that relevant versions of applicable documents are available at points of use;
f)
establish document retention, archival, and destruction parameters;
g) ensure that documents remain legible and readily identifiable;
h) ensure that documents of external origin, determined by the organisation to be necessary for
the planning and operation of the resilience management system, are identified and their
distribution controlled;
i)
identify as obsolete all out-of-date documents that the organisation is required to retain;
j)
ensure the integrity of the documents by ensuring they are tamperproof, securely backed-up,
accessible only to authorised personnel, and protected from damage, deterioration, or loss.
5.5.6 OPERATIONAL CONTROL
The organisation shall identify those operations and activities that are necessary for achieving:
a) the resilience management policy;
b) the control of activities identified as having significant risk;
c) compliance with legal and regulatory requirements;
d) its resilience management policy objectives;
e) the delivery of its resilience management policy programmes;
f)
the required level of supply chain resilience.
The organisation shall establish, implement, and maintain a flexible and proactive plan and
procedure for those operations that are associated with the identified significant risk, consistent with
its resilience management policy, risk assessment, supply chain requirements, objectives, and
© UNI
59
UNI/PdR 6:2014
5.5.5
TENUTA SOTTO CONTROLLO DEI DOCUMENTI
I documenti richiesti dal sistema di gestione della resilienza devono essere tenuti sotto controllo.
L’organizzazione deve stabilire, attuare e mantenere una procedura per:
a) essere conforme alle prescrizioni legali e normative;
b) approvare l’adeguatezza dei documenti prima della loro emissione;
c) riesaminare, aggiornare e riapprovare i documenti quando necessario;
d) assicurare che le modifiche e lo stato di revisione vigente dei documenti siano identificati;
e) assicurare che le versioni pertinenti dei documenti applicabili siano disponibili nelle sedi
d’uso;
f)
stabilire i parametri per la conservazione e l’archivio dei documenti e per la loro distruzione;
g) garantire che i documenti rimangano leggibili e prontamente identificabili;
h) assicurare che i documenti di origine esterna, ritenuti dall’organizzazione necessari per la
pianificazione e il funzionamento del sistema di gestione della resilienza, siano identificati e
la loro distribuzione sia controllata;
i)
identificare come obsoleti i documenti superati che l’organizzazione è obbligata a
conservare;
j)
assicurare l’integrità dei documenti assicurando che siano a prova di manomissione, con
copie di riserva, accessibili solo da personale autorizzato e al sicuro da danni,
deterioramento o perdita.
5.5.6
CONTROLLO OPERATIVO
L’organizzazione deve identificare quelle operazioni e attività necessarie a conseguire:
a) la politica di gestione della resilienza;
b) il controllo delle attività che hanno un rischio significativo;
c) il rispetto delle prescrizioni legali e normative;
d) i suoi obiettivi di politica di gestione della resilienza;
e) l’emissione dei suoi programmi di politica di gestione della resilienza;
f)
il livello di resilienza richiesto alla catena di approvvigionamento.
L’organizzazione deve stabilire, attuare e mantenere un piano e una procedura di tipo preventivo e
proattivo per quelle operazioni associate a rischi significativi, coerenti con la sua politica di gestione
della resilienza, la valutazione del rischio, i requisiti della catena di approvvigionamento, gli obiettivi
© UNI
60
UNI/PdR 6:2014
targets, in order to ensure that they are carried out under specified conditions minimizing the risk,
by:
a) establishing, implementing, and maintaining a procedure related to the identified hazards,
threats and risks to activities, functions, products and services of the organisation, and
communicating applicable procedures and requirements to its supply chain and suppliers;
b) establishing, implementing, and maintaining a documented procedure to control situations
where their absence could lead to deviation from the resilience management policy,
objectives, and targets;
c) evaluating any risk in upstream and downstream supply chain activities to establish,
implement, and maintain documented procedure for minimizing the likelihood and/or
mitigating the consequence of an incident;
d) establishing and maintaining the requirements for goods and services which impact on
resilience and communicating these to suppliers.
e) stipulating the operating criteria in the documented procedure.
The procedure shall include controls for the design, installation, operation, refurbishment of
resilience related items of equipment, logistical flow, instrumentation, etc., as appropriate. Where
existing arrangements are revised and new arrangements introduced that could impact on the
resilience management of operations and activities, the organisation shall consider the associated
risk before their implementation. The new or revised arrangements to be considered shall include:
a) revised organisational structure, roles or responsibilities;
b) revised resilience policy, objectives, targets and programmes;
c) revised process and procedures;
d) the introduction of new infrastructure, equipment or technology, which may include hardware
or software;
e) the introduction of new suppliers, supply chain partners, or personnel.
The operational control procedure shall:
a) address reliability and resilience, the safety and health of people, and the protection of
property and the environment potentially impacted by an incident;
b) establish ownership of risk treatment and control measures (both internally and externally);
c) ensure premonitory signals are comprehended in capacity planning;
© UNI
61
UNI/PdR 6:2014
e i risultati per assicurarsi che siano conseguiti secondo determinate condizioni per la riduzione del
rischio:
a) stabilendo, attuando e mantenendo una procedura relativa a difficoltà, minacce e rischi
identificati per attività, funzioni, prodotti e servizi dell’organizzazione e comunicando
procedure e requisiti applicabili alla sua catena di approvvigionamento e ai suoi fornitori;
b) stabilendo, attuando e mantenendo una procedura documentata per controllare le varie
situazioni, la cui assenza potrebbe portare a una deviazione dalla politica di gestione della
resilienza, dagli obiettivi e dai risultati;
c) valutando ogni rischio nelle attività a monte e a valle della catena di approvvigionamento per
stabilire, attuare e mantenere una procedura documentata per minimizzare la probabilità e/o
mitigare la conseguenza di un incidente;
d) stabilendo e mantenendo dei requisiti per i beni e i servizi che impattano sulla resilienza e
comunicandoli ai fornitori.
e) stabilendo i criteri operativi da inserire nella procedura documentata.
La procedura deve includere controlli per la progettazione, l’installazione, il funzionamento, il
rinnovamento di attrezzature collegate alla resilienza, flusso logistico, strumentazione, ecc., come è
opportuno. Qualora le disposizioni in essere siano revisionate e siano introdotte nuove disposizioni
che potrebbero impattare sulla gestione della resilienza di operazioni e attività, l’organizzazione
deve valutare il rischio associato prima della loro attuazione. Le nuove disposizioni e quelle
revisionate devono comprendere:
a) revisioni della struttura organizzativa, dei ruoli e delle responsabilità;
b) revisioni della politica di resilienza, degli obiettivi, dei risultati e dei programmi;
c) revisioni dei processi e delle procedure;
d) l’introduzione di nuove infrastrutture, attrezzature e tecnologie, che possono comprendere la
componente hardware o software;
e) l’introduzione di nuovi fornitori, partner della catena di approvvigionamento o di nuovo
personale.
La procedura di controllo operativo deve:
a) affrontare l’affidabilità e la resilienza, la sicurezza e il benessere della popolazione, e la
protezione delle proprietà e dell’ambiente sui quali un incidente può avere impatto;
b) stabilire la titolarità del trattamento del rischio e delle misure di controllo (sia internamente
sia esternamente);
c) assicurare che i segnali premonitori siano compresi in termini di pianificazione delle capacità
di risposta;
© UNI
62
UNI/PdR 6:2014
d) ensure processes are in place
site/process/product time to recover);
to
validate
supplier
responses
(e.g.
validate
e) be commensurate with the Critical Infrastructure resilience objectives and fit for purpose;
f)
provide a feedback loop to know if past risk control strategies are changing as part of the
routine engineering or process changes or a supplier's decision.
5.5.7 PROCEDURE FOR INCIDENT PREVENTION, RESPONSE AND CONTINUITY
The organisation shall establish, implement, and maintain a procedure to manage an incident that
can have an impact on the organisation, its activities, functions, services, supply chain,
stakeholders, and the environment.
The procedure shall document how the organisation will prevent, protect from, prepare for, mitigate,
respond to and recover from an incident.
The organisation shall prepare for and respond to actual incidents to prevent or mitigate associated
adverse consequences. When establishing, implementing, and maintaining a procedure to prevent,
prepare for and respond to an incident expeditiously, the organisation shall consider each of the
following actions:
a) preserve life safety;
b) protect assets;
c) prevent further escalation of the incident;
d) reduce the length of the disruption to operations;
e) restore critical operational continuity;
f)
recover normal operations including evaluating improvements;
g) protect image and reputation including media coverage and stakeholder relationships.
The organisation shall periodically review and, where necessary, revise its incident prevention,
preparedness, response, and recovery procedure – in particular, after exercises or the occurrence
of an accident or an incident that can escalate into an emergency, crisis, or disaster.
The organisation shall ensure that any persons performing incident prevention, protection,
preparedness, mitigation, and response, and recovery measures on its behalf are competent on the
basis of appropriate education, training, or experience, and retain associated records.
The organisation shall document this information and update it at regular intervals or as changes
occur.
© UNI
63
UNI/PdR 6:2014
d) assicurare che vi siano processi per la verifica e convalida delle capacità di risposta dei
fornitori (per esempio, per convalidare i tempi di ripristino relativi a siti/processi/prodotti)
e) essere commisurata agli obiettivi di resilienza dell’Infrastruttura Critica e adatta allo scopo;
f)
fornire un ritorno di informazione continuo per sapere se le esistenti strategie di controllo del
rischio stiano cambiando come parte di una manovra di routine, di un cambiamento dei
processi o una decisione di un fornitore.
5.5.7 PROCEDURA PER LA PREVENZIONE, RISPOSTA E CONTINUITÀ A UN INCIDENTE
L’organizzazione deve stabilire, attuare e mantenere una procedura per gestire un incidente che
possa avere impatto sull’organizzazione e sulle sue attività, funzioni, servizi, catena di
approvvigionamento, parti interessate e ambiente.
La procedura deve documentare come l’organizzazione previene, si protegge, si prepara, mitiga,
risponde e ripristina la sua operatività a seguito di un incidente. L’organizzazione deve essere
preparata e rispondere a un reale incidente in modo da prevenire o mitigare le associate
conseguenze negative.
L’organizzazione, nella fase di definizione, attuazione e mantenimento della procedura di
prevenzione, deve prepararsi e rispondere in modo sollecito a un incidente, e deve considerare
ognuna delle seguenti azioni:
a) salvaguardare la vita delle persone;
b) proteggere i beni;
c) prevenire l’ulteriore aggravarsi di un incidente;
d) ridurre la durata dell’interruzione delle operazioni;
e) ripristinare la continuità operativa critica;
f)
recuperare la normale operatività compreso il processo di valutazione dei miglioramenti;
g) proteggere l’immagine e la reputazione considerando l’impatto mediatico e le relazioni con le
parti interessate.
L’organizzazione deve riesaminare periodicamente e, se necessario, rivedere la sua procedura di
prevenzione, preparazione, risposta e ripristino; in particolare, dopo le esercitazioni o il verificarsi di
un evento o un incidente che possa aggravarsi e sfociare in emergenza, crisi o disastro.
L’organizzazione deve garantire che ogni persona che, per suo conto, mette in atto le misure di
prevenzione, protezione, preparazione, mitigazione, risposta e ripristino a seguito di incidente sia
competente secondo un’adeguata educazione, formazione-addestramento o esperienza, e deve
conservare i documenti che li comprova.
L’organizzazione deve documentare tale informazione e aggiornarla a intervalli regolari o in caso di
cambiamenti.
© UNI
64
UNI/PdR 6:2014
5.5.7.1
PROCEDURE FOR INCIDENT PREVENTION
The organisation shall establish, implement, and maintain a procedure to prevent, protect from and
mitigate an incident and continue its activities based on resilience objectives developed through the
risk assessment process. The procedure shall be based on a hierarchy of control measures in
priority order that can be used to select and manage risk exposure, including a procedure to:
a) eliminate the risk by complete removal of the risk exposure;
b) reduce the risk by modifying activities, processes, equipment or materials;
c) isolate or separate the assets from risk.
It shall:
a) include engineering controls to deter, detect and delay a potential hazard or threat agent;
b) include administrative controls such as work practices or procedures that reduce risk;
c) protect the asset if the risk cannot be eliminated or reduced.
5.5.7.2
PROCEDURE FOR INCIDENT RESPONSE
The organisation shall establish, implement, and maintain a procedure to manage an incident and
continue its activities based on recovery objectives developed through the risk assessment process.
The organisation shall document a procedure to ensure continuity of activities and management of
an incident. The procedure shall:
a) be specific regarding the immediate steps that shall be taken during a disruption;
b) be flexible to respond to unanticipated incidents and changing internal and external
conditions;
c) be focused on the impact of various hazards and threats that could potentially disrupt
operations rather than specific events;
d) be developed based on valid assumptions and an analysis of interdependencies;
e) be effective in minimizing consequences through implementation of appropriate mitigation
plans;
f)
consider the transition of post-incident management from the immediate crisis situation to
the longer-term resumption and recovery of operations.
© UNI
65
UNI/PdR 6:2014
5.5.7.1 PROCEDURA PER LA PREVENZIONE DI INCIDENTI
L’organizzazione deve stabilire, attuare e mantenere una procedura per prevenire, proteggersi e
mitigare un incidente e continuare le proprie attività sulla base degli obiettivi di resilienza sviluppati
attraverso il processo di valutazione del rischio. La procedura deve basarsi su una gerarchia di
misure di controllo, ordinate per priorità, per identificare e gestire l’esposizione al rischio, compresa
una procedura per:
a) eliminare il rischio eliminandone completamente l’esposizione;
b) ridurre il rischio modificando le attività, i processi, le attrezzature e i materiali;
c) isolare o separare i beni dal rischio.
Essa deve:
a) includere la progettazione di controlli tecnologici per dissuadere, individuare e ritardare un
potenziale pericolo o fattore di minaccia;
b) includere procedure gestionali per la riduzione del rischio;
c) proteggere i beni nel caso in cui il rischio non possa essere eliminato o ridotto.
5.5.7.2 PROCEDURA PER LA RISPOSTA A INCIDENTI
L’organizzazione deve istituire, attuare e mantenere una procedura per gestire un incidente e
continuare le proprie attività sulla base degli obiettivi di ripristino sviluppati attraverso il processo di
valutazione del rischio.
L’organizzazione deve documentare una procedura che permetta la continuità operativa e la
gestione di un incidente. La procedura deve:
a) essere specifica
un’interruzione;
nei
confronti
delle
azioni
immediate
da
intraprendere
durante
b) essere flessibile per rispondere a incidenti imprevisti e far fronte ai cambiamenti delle
condizioni interne ed esterne;
c) essere focalizzata sull’impatto di diversi pericoli e minacce che potrebbero portare a
un’interruzione delle operazioni, piuttosto che su specifici eventi;
d) essere sviluppata sulla base di valide supposizioni e su un’analisi delle interrelazioni;
e) essere efficace nel minimizzare le conseguenze attraverso l’attuazione di adeguati piani di
mitigazione;
f)
considerare gli accadimenti che avvengono nel periodo successivo alla gestione
dell'incidente a partire dall'immediata situazione di crisi fino al completo ripristino e recupero
delle operazioni.
© UNI
66
UNI/PdR 6:2014
5.5.7.3
PROCEDURE FOR INCIDENT CONTINUITY AND RECOVERY PLAN
The organisation shall establish a documented procedure that details how the organisation will
manage an incident and how it will recover or maintain its activities to a predetermined level, based
on management-approved recovery objectives. Each plan shall define:
a) purpose and scope;
b) objectives and measures of success;
c) implementation procedure;
d) roles, responsibilities and authorities;
e) communication requirements and procedure;
f)
internal and external interdependencies and interactions;
g) resource requirements;
h) information flow and documentation processes.
The organisation shall periodically test, review and, where necessary, revise its continuity and
recovery plan, in particular, after the occurrence of an incident and its associated post-event
review.
5.6
CHECKING AND CORRECTIVE ACTION
The organisation shall evaluate resilience management plans, procedures, and capabilities through
periodic assessments, testing, post-incident reports, lessons learned, performance evaluations, and
exercises. Significant changes in these factors shall be reflected immediately in the procedure.
The organisation shall keep records of the results of the periodic evaluations
5.6.1 MONITORING AND MEASUREMENT
The organisation shall establish, implement, and maintain performance metrics and a procedure to
monitor and measure, on a regular basis, those characteristics of its operations that have material
impact on its performance. The procedure shall include the documenting of information to monitor
performance, applicable operational controls, and conformity with the organisation's resilience
management objectives and targets.
The organisation shall evaluate and document the performance of the systems which protect its
assets, as well as its communications and information systems.
© UNI
67
UNI/PdR 6:2014
5.5.7.3 PROCEDURA PER LA CONTINUITÀ E PIANO DI RIPRISTINO DA INCIDENTE
L’organizzazione deve stabilire una documentata procedura che dettagli come l’organizzazione
intende gestire un incidente e ripristinare le proprie attività o mantenerle a un predeterminato livello,
basandosi sugli obiettivi di ripristino approvati dalla direzione. Ogni piano deve definire:
a) scopo e campo di applicazione;
b) obiettivi e indici di misura del successo;
c) procedura di attuazione;
d) ruoli, livelli di responsabilità e autorità;
e) requisiti di comunicazione e relative procedure;
f)
interrelazioni e interazioni interne ed esterne;
g) requisiti delle risorse;
h) flusso informativo e processi di documentazione.
L’organizzazione deve periodicamente testare, riesaminare e, qualora necessario, revisionare il
proprio piano di continuità e ripristino, in particolare dopo il verificarsi di un incidente e il relativo
riesame post-evento.
5.6
AZIONE DI VERIFICA E AZIONE CORRETTIVA
L’organizzazione deve valutare piani di gestione della resilienza, procedure e capacità mediante
valutazioni periodiche, test, report post-incidente, apprendimento organizzativo, valutazioni di
prestazione ed esercitazioni. Cambiamenti significativi riscontrati in tali attività devono
immediatamente riflettersi nella procedura.
L’organizzazione deve tenere un archivio dei risultati delle valutazioni periodiche.
5.6.1
MONITORAGGIO E MISURAZIONE
L’organizzazione deve stabilire, attuare e mantenere un sistema di misurazione della prestazione e
una procedura per monitorare e misurare, su base regolare, le caratteristiche delle sue operazioni
che hanno un impatto materiale sulla sua prestazione. La procedura deve includere la
documentazione delle informazioni per monitorare la prestazione, i controlli operativi applicabili e la
conformità agli obiettivi e ai risultati di gestione della resilienza dell’organizzazione.
L’organizzazione deve valutare e documentare la prestazione dei sistemi che proteggono i beni,
così come, i sistemi di comunicazione e i sistemi informativi.
© UNI
68
UNI/PdR 6:2014
5.6.2 EVALUATION OF COMPLIANCE
Consistent with its commitment to compliance, the organisation shall establish, implement, and
maintain a procedure for periodically evaluating compliance with applicable legal and regulatory
requirements.
The organisation shall evaluate compliance with other requirements to which it subscribes, including
industry best practices. The organisation may wish to combine this evaluation with the evaluation of
legal compliance referred to above or to establish a separate procedure.
The organisation shall keep records of the results of the periodic evaluations.
5.6.3 EXERCISES AND TESTING
The organisation shall test and evaluate the appropriateness and efficacy of its resilience
management system, its programmes, processes, and procedures (including partnership and supply
chain relationships).
The organisation shall validate its resilience management system using exercises and testing that:
a) are consistent with the scope of the resilience management system and objectives of the
organisation;
b) are based on the risk assessment and are well planned with clearly defined aims and
objectives;
c) minimize the risk of disruption to operations and the potential to cause risk to operations and
assets;
d) produce a formalized post-exercise report that contains outcomes, recommendations, and
arrangements to implement improvements in a timely fashion;
e) are reviewed by appropriately authorised management within the context of promoting
continual improvement;
f)
are conducted at planned intervals, and from time to time on a non-periodic basis, as
determined by the management of the organisation, as well as when significant changes
occur within the organisation and the environment it operates in.
5.6.4 NON CONFORMITY, CORRECTIVE AND PREVENTIVE ACTION
The organisation shall establish, implement, and maintain a procedure for dealing with actual and
potential nonconformity and for taking corrective action and preventive action. The procedure shall
define requirements for:
© UNI
69
UNI/PdR 6:2014
5.6.2
VALUTAZIONE DEL RISPETTO DELLE PRESCRIZIONI
Coerentemente al suo impegno per il rispetto delle prescrizioni, l’organizzazione deve stabilire,
attuare e mantenere una procedura per valutare periodicamente il rispetto delle prescrizioni di legge
e di normative applicabili.
L’organizzazione deve valutare il rispetto di altre prescrizioni cui fa riferimento, comprese le migliori
prassi dell’industria di riferimento. L’organizzazione può decidere di combinare le valutazioni
precedenti con altri adempimenti di legge riferiti a quanto sopra, oppure stabilire procedure
separate.
L’organizzazione deve tenere archiviati i risultati delle periodiche valutazioni che effettua.
5.6.3
ESERCITAZIONI E PROVE
L’organizzazione deve testare e valutare l’adeguatezza e l’efficacia del suo sistema di gestione
della resilienza, dei suoi programmi e processi e delle sue procedure (compresi partenariati e
relazioni con la catena di approvvigionamento).
L’organizzazione deve convalidare il suo sistema di gestione della resilienza ricorrendo a
esercitazioni e prove che:
a) siano coerenti con il campo di applicazione del sistema di gestione della resilienza e gli
obiettivi dell’organizzazione;
b) siano basate sulla valutazione del rischio e ben pianificate, con fini e obiettivi chiaramente
definiti;
c) minimizzino il rischio di interruzione delle operazioni e il potenziale per determinare un
rischio per le operazioni e i beni;
d) producano un report formale post-esercitazione contenente gli esiti, le raccomandazioni e le
disposizioni per mettere in atto miglioramenti in maniera puntuale per lo scopo;
e) siano riesaminate dalla direzione designata, nell’ottica di promuovere il miglioramento
continuo;
f)
5.6.4
siano condotte a intervalli pianificati e, di tanto in tanto su base non periodica, per decisione
della direzione dell’organizzazione, ma anche quando intervengono cambiamenti significativi
nell’organizzazione e nell’ambiente in cui opera.
NON CONFORMITÀ, AZIONI CORRETTIVE E PREVENTIVE
L’organizzazione deve stabilire, attuare e mantenere una procedura per gestire effettive e potenziali
non conformità e per adottare azioni correttive e preventive. La procedura deve definire i requisiti
per:
© UNI
70
UNI/PdR 6:2014
a) identifying and correcting nonconformity and taking action to mitigate its impact;
b) investigating nonconformity, determining its cause, and taking action in order to avoid its
recurrence;
c) evaluating the need for action to prevent nonconformity and implementing appropriate action
designed to avoid their occurrence;
d) implement corrective action and preventive action;
e) recording the results of corrective action and preventive action taken;
f)
reviewing the effectiveness of corrective action and preventive action taken.
Actions taken shall be appropriate to the impact of the potential problems, and conducted in an
expedited fashion.
The organisation shall identify changed risk, and identify preventive action requirements focusing
attention on significantly changed risk.
The priority of preventive actions shall be determined based on the results of the risk assessment.
The organisation shall make any necessary change to the resilience management system
documentation for the improvement of efficiency.
5.6.5 RECORDS
The organisation shall establish and maintain records to demonstrate conformity to the
requirements of its resilience management system and the results achieved.
The organisation shall establish, implement, and maintain a procedure to protect the integrity of
records, including access to, identification, storage, protection, retrieval, retention, and disposal of
records.
Records shall be and remain legible, identifiable, and traceable.
5.6.6 INTERNAL AUDITS
The organisation shall conduct internal resilience management system audits at planned intervals,
and from time to time on a non-periodic basis, as determined by the management of the
organisation, to determine whether the control objectives, controls, processes, and procedures of its
resilience management system:
a) conform to the requirements of this document and relevant legislation or regulations;
b) conform to the organisation's risk management requirements;
c) are effectively implemented and maintained;
© UNI
71
UNI/PdR 6:2014
a) identificare e correggere le non conformità e adottare azioni per mitigarne l’impatto;
b) analizzare le non conformità, determinandone la causa e intervenendo per evitare che si
ripresentino;
c) valutare la necessità di azioni per evitare non conformità e attuare le opportune azioni per
evitare che si ripetano;
d) attuare azioni preventive e azioni correttive;
e) tenere archiviati i risultati delle azioni preventive e correttive effettuate;
f)
riesaminare l’efficacia delle azioni preventive e correttive effettuate.
Le azioni adottate devono essere adeguate rispetto all’impatto del potenziale problema e devono
essere condotte in maniera tempestiva.
L’organizzazione deve identificare i rischi che si sono modificati e individuare i requisiti di azione
preventiva, focalizzando l’attenzione sui rischi che hanno subito modifiche significative.
La priorità di azioni preventive deve essere determinata sulla base dei risultati di valutazione del
rischio.
L’organizzazione deve apportare le dovute modifiche alla documentazione del sistema di gestione
della resilienza al fine di un miglioramento dell’efficienza.
5.6.5
GESTIONE DOCUMENTI DI ARCHIVIO
L’organizzazione deve stabilire e mantenere dei documenti d’archivio che dimostrino la conformità
ai requisiti del suo sistema di gestione della resilienza e i risultati conseguiti.
L’organizzazione deve stabilire, attuare e mantenere una procedura per tutelare l’integrità dei
documenti d’archivio, compresi l’accesso, l’identificazione, l’archiviazione, la protezione, il recupero,
la conservazione e l’eliminazione dei documenti.
I documenti archiviati devono rimanere leggibili, identificabili e tracciabili.
5.6.6
AUDIT INTERNI
L’organizzazione deve condurre audit interni sul sistema di gestione della resilienza a intervalli
pianificati, e di tanto in tanto su base non periodica, per decisione della direzione
dell’organizzazione, per determinare se gli obiettivi del controllo, i controlli, i processi e le procedure
del sistema di gestione della resilienza:
a) siano conformi ai requisiti del presente documento, della legislazione o delle normative
applicabili;
b) siano conformi ai requisiti di gestione del rischio dell’organizzazione;
c) siano efficacemente messi in atto e mantenuti attivi;
© UNI
72
UNI/PdR 6:2014
d) perform as expected;
An audit programme shall be planned, taking into consideration the status and importance of the
processes and areas to be audited, as well as the results of previous audits. The audit criteria,
scope, frequency, and methods shall be defined. The selection of auditors and conduct of audits
shall ensure objectivity and impartiality of the audit process. Auditors shall not audit their own work.
The responsibilities and requirements for planning and conducting audits, and for reporting results
and maintaining records (see 5.6.5), shall be defined in a documented procedure. The management
responsible for the area being audited shall ensure that actions are taken without undue delay to
eliminate detected nonconformities and their causes. Follow-up activities shall include the
verification of the actions taken and the reporting of verification results.
Management shall be held accountable for the efficiency and correctness of the audit procedure.
5.7
MANAGEMENT REVIEW
5.7.1 ADEQUACY AND EFFECTIVENESS ASSESSMENT
Appropriately authorised management shall review the organisation's overall resilience
management system at planned intervals to ensure its continuing suitability, adequacy, and
effectiveness. This review shall include assessing opportunities for improvement and the need for
changes to the management system, including the resilience management system policy and
objectives.
The result of the review shall be clearly documented and records shall be maintained (see 5.6.5).
The input to a management review shall include:
a) results of resilience management system audit and review;
b) feedback from stakeholders;
c) techniques, products, or procedures that could be used in the organisation to improve the
resilience management system performance and effectiveness;
d) status of preventive and corrective action;
e) results of exercises and testing;
f)
vulnerabilities or threats not adequately addressed in the previous risk assessment;
g) results from effectiveness measurements;
h) follow-up actions from previous management reviews;
© UNI
73
UNI/PdR 6:2014
d) abbiano una prestazione come da previsione.
Un programma di audit deve essere pianificato considerando lo stato e l’importanza dei processi e
delle aree da sottoporre ad audit, così come i risultati dei precedenti audit. Devono essere definiti
criteri, campo di applicazione, frequenza e metodi di audit. La selezione degli auditor e la
conduzione di audit devono garantire obiettività e imparzialità del processo di audit. Gli auditor non
devono revisionare il proprio operato.
Le responsabilità e i requisiti per la pianificazione e la conduzione di audit, e per riportarne i risultati
e mantenerne i relativi documenti d’archivio (vedere 5.6.5), devono essere definiti in una
documentata procedura. La direzione responsabile dell’area oggetto di audit deve garantire che le
azioni per eliminare le non conformità rilevate e le loro cause siano prese senza ingiustificato
ritardo. Le attività di follow-up devono includere la verifica delle azioni adottate e l’elaborazione dei
rapporti con i risultati della verifica.
La direzione deve essere tenuta responsabile di rendere conto dell’efficienza e correttezza della
procedura di audit.
5.7
RIESAME DI DIREZIONE
5.7.1
VALUTAZIONE DI ADEGUATEZZA ED EFFICACIA
La direzione designata deve riesaminare il sistema di gestione della resilienza dell’organizzazione
nel suo complesso, a intervalli pianificati, per assicurarne la continua idoneità, adeguatezza ed
efficacia. Tale riesame deve comprendere la valutazione delle opportunità di miglioramento e
dell’esigenza di modifiche al sistema di gestione, compresi politica e obiettivi del sistema di gestione
della resilienza.
Il risultato del riesame dev’essere chiaramente documentato e devono essere conservati i relativi
documenti archiviali (vedere 5.6.5).
Gli input per il riesame di direzione devono comprendere:
a) risultati degli audit e del riesame del sistema di gestione della resilienza;
b) ritorno di informazioni dalle parti interessate;
c) tecniche, prodotti o procedure che potrebbero essere usati dall’organizzazione per
migliorare la prestazione del sistema di gestione della resilienza e la sua efficacia;
d) stato delle azioni preventive e correttive;
e) risultati di esercitazioni e prove;
f)
vulnerabilità o minacce non adeguatamente affrontate in precedenti valutazioni del rischio;
g) risultati di misurazioni dell’efficacia;
h) azioni di follow-up da precedenti riesami di direzione;
© UNI
74
UNI/PdR 6:2014
i)
any changes that could affect the resilience management system;
j)
adequacy of policy and objectives;
k) recommendations for improvement.
The output from the management review shall include any decisions and actions related to the
following:
a) improvement of the effectiveness of the resilience management system;
b) update of the risk assessment, and incident preparedness and response plans;
c) modification of procedures and controls that effect risk, as necessary, to respond to internal
or external events that may affect the resilience management system, including changes to:
- business and operational requirements;
- risk reduction and security requirements;
- operational conditions processes effecting the existing operational requirements;
- regulatory or legal requirements;
- contractual obligations;
- levels of risk and/or criteria for accepting risk;
d) resource needs;
e) improvement of how the effectiveness of controls is being measured.
5.7.2 MAINTENANCE
Appropriately authorised management shall establish a defined and documented resilience
management system maintenance programme to ensure that any internal or external changes that
impact the organisation are reviewed in relation to the resilience management policy. It shall identify
any new critical activities that need to be included in the resilience management system
maintenance programme.
5.7.3 CONTINUAL IMPROVEMENT
The organisation shall continually improve the effectiveness of the resilience management system
through the use of the resilience management policy, objectives, audit results, analysis of monitored
events, corrective and preventive actions, and management review.
© UNI
75
UNI/PdR 6:2014
i)
modifiche che potrebbero avere effetti sul sistema di gestione della resilienza;
j)
adeguatezza della politica e dei suoi obiettivi;
k) raccomandazioni per il miglioramento.
L’output del riesame di direzione deve includere ogni decisione e azione riguardanti:
a) il miglioramento dell’efficacia del sistema di gestione della resilienza;
b) l’aggiornamento della valutazione del rischio e dei piani di preparazione e risposta a un
incidente;
c) la modifica di procedure e controlli correlati ai rischi, quando necessario, per rispondere a
eventi interni ed esterni che possano incidere sul sistema di gestione della resilienza,
compresi i cambiamenti a:

requisiti commerciali e operativi;

requisiti di riduzione del rischio e requisiti di sicurezza;

condizioni operative di processi che hanno effetti sui requisiti operativi esistenti;

requisiti normativi o di legge;

obblighi contrattuali;

livelli di rischio e/o criteri di accettazione del rischio;
d) le esigenze in termini di risorse;
e) il miglioramento del modo in cui viene misurata l’efficacia dei controlli.
5.7.2
MANTENIMENTO
La direzione designata deve istituire uno specifico e documentato programma di mantenimento del
sistema di gestione della resilienza per garantire che ogni cambiamento interno ed esterno, che
abbia impatto sull’organizzazione, sia esaminato in relazione alla politica di gestione della
resilienza. Deve identificare tutte le nuove attività critiche che devono essere incluse nel programma
di mantenimento del sistema di gestione della resilienza.
5.7.3
MIGLIORAMENTO CONTINUO
L’organizzazione deve migliorare continuamente l’efficacia del sistema di gestione della resilienza
utilizzando la politica di gestione della resilienza, gli obiettivi, i risultati degli audit, l’analisi degli
eventi monitorati, le azioni correttive e preventive e il riesame di direzione.
© UNI
76
UNI/PdR 6:2014
ANNEX A – MAIN NATIONAL LEGISLATIVE AND EU REGULATORY
REFERENCES APPLICABLE TO OWNERS/OPERATORS OF CRITICAL
INFRASTRUCTURES
EU REGULATIONS
Regulation (EC) No 1221/2009
of the European Parliament and of the Council
of 25 November 2009 on the voluntary participation by organisations in a Community ecomanagement and audit scheme (EMAS), repealing Regulation (EC) No 761/2001 and Commission
Decisions 2001/681/EC and 2006/193/EC
Regulation (EC) No 1013/2006
of the European Parliament and of the Council
of 14 June 2006
on shipments of waste
Regulation (EC) No 725/2004
of the European Parliament and of the Council
of 31 March 2004
on enhancing ship and port facility security
DIRECTIVES
Council Directive 2009/119/EC
of 14 September 2009
imposing an obligation on Member States to maintain minimum stocks of crude oil and/or petroleum
products
Directive 2009/140/EC
of the European Parliament and of the Council
of 25 November 2009
amending Directives 2002/21/EC on a common regulatory framework for electronic communications
networks and services, 2002/19/EC on access to, and interconnection of, electronic
communications networks and associated facilities, and 2002/20/EC on the authorisation of
electronic communications networks and services
Directive 2008/68/EC
of the European Parliament and of the Council
of 24 September 2008
on the inland transport of dangerous goods
Directive 2008/98/EC
of the European Parliament and of the Council
of 19 November 2008
on waste and repealing certain Directives
Directive 2008/99/EC
of the European Parliament and of the Council
of 19 November 2008
on the protection of the environment through criminal law
© UNI
77
UNI/PdR 6:2014
APPENDICE A – PRINCIPALI RIFERIMENTI LEGISLATIVI NAZIONALI E DI
REGOLAMENTAZIONE COMUNITARIA APPLICABILI A PROPRIETARI/OPERATORI DI
INFRASTRUTTURE CRITICHE
REGOLAMENTI COMUNITARI
Regolamento (CE) n. 1221/2009
del Parlamento europeo e del Consiglio
del 25 novembre 2009
sull’adesione volontaria delle organizzazioni a un sistema comunitario di ecogestione e audit
(EMAS), che abroga il regolamento (CE) n. 761/2001 e le decisioni della Commissione
2001/681/CE e 2006/193/CE
Regolamento (CE) n. 1013/2006
del Parlamento europeo e del Consiglio
del 14 giugno 2006
relativo alle spedizioni di rifiuti
Regolamento (CE) n. 725/2004
del Parlamento europeo e del Consiglio
del 31 marzo 2004
relativo al miglioramento della sicurezza delle navi e degli impianti portuali
DIRETTIVE E DECRETI DI ATTUAZIONE
Direttiva 2009/119/CE
Decreto Legislativo 31 dicembre 2012, n. 249
Attuazione della direttiva 2009/119/CE che stabilisce l'obbligo per gli Stati membri di mantenere un
livello minimo di scorte di petrolio greggio e/o di prodotti petroliferi
Direttiva 2009/140/CE
Decreto Legislativo 28 maggio 2012, n. 70
Modifiche al decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni
elettroniche in attuazione delle direttive 2009/140/CE, in materia di reti e servizi di comunicazione
elettronica, e 2009/136/CE in materia di trattamento dei dati personali e tutela della vita privata
Direttiva 2008/68/CE
Decreto Legislativo 27 gennaio 2010, n. 35
Attuazione della direttiva 2008/68/CE, relativa al trasporto interno di merci pericolose
Direttiva 2008/98/CE
Decreto Legislativo 3 dicembre 2010, n. 205
Disposizioni di attuazione della direttiva 2008/98/CE del Parlamento europeo e del Consiglio del 19
novembre 2008 relativa ai rifiuti e che abroga alcune direttive
Direttiva 2008/99/CE
Decreto Legislativo 7 luglio 2011, n. 121
Attuazione della direttiva 2008/99/CE sulla tutela penale dell'ambiente, nonché della direttiva
2009/123/CE che modifica la direttiva 2005/35/CE relativa all'inquinamento provocato dalle navi e
all'introduzione di sanzioni per violazioni
© UNI
78
UNI/PdR 6:2014
Directive 2006/21/EC
of the European Parliament and of the Council
of 15 March 2006
on the management of waste from extractive industries and amending Directive 2004/35/EC
Directive 2006/24/EC
of the European Parliament and of the Council
of 15 March 2006
on the retention of data generated or processed in connection with the provision of publicly available
electronic communications services or of public communications networks and amending Directive
2002/58/EC
Directive 2005/65/EC
of the European Parliament and of the Council
of 26 October 2005
on enhancing port security
Directive 2003/105/EC
of the European Parliament and of the Council
of 16 December 2003
amending Council Directive 96/82/EC on the control of major-accident hazards involving dangerous
substances
Council Directive 96/82/EC (“Seveso II”)
of 9 December 1996
on the control of major-accident hazards involving dangerous substances
OTHER EU ACTS
SWD(2013) 318
of 28 August 2013
Commission Staff Working Document on a new approach to the European Programme for Critical
Infrastructure Protection Making European Critical Infrastructures more secure
2007/124/EC, Euratom
Council Decision of 12 February 2007 establishing for the period 2007 to 2013, as part of General
Programme on Security and Safeguarding Liberties, the Specific Programme Prevention,
Preparedness and Consequence Management of Terrorism and other Security related risk
COM(2006) 786
of 12 December 2006
Communication from the Commission on a European Programme for Critical Infrastructure
protection
COM(2004) 702
of 20 October 2004
Communication from the Commission to the Council and the European Parliament.
Critical Infrastructure Protection in the fight against terrorism
LAWS AND LEGISLATIVE DECREES
T.U.L.P.S. - Testo Unico delle leggi di Pubblica Sicurezza
© UNI
79
UNI/PdR 6:2014
Direttiva 2006/21/CE
Decreto legislativo 30 maggio 2008, n. 117
Attuazione della direttiva 2006/21/CE relativa alla gestione dei rifiuti delle industrie e che modifica la
direttiva 2004/35/CE
Direttiva 2006/24/CE
Decreto legislativo 30 maggio 2008, n. 109
Attuazione della direttiva 2006/24/CE riguardante la conservazione dei dati generati o trattati
nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti
pubbliche di comunicazione e che modifica la direttiva 2002/58/CE
Direttiva 2005/65/CE
Decreto Legislativo 6 novembre 2007, n. 203
Attuazione della direttiva 2005/65/CE relativa al miglioramento della sicurezza nei porti
Direttiva 2003/105/CE
Decreto Legislativo 21 settembre 2005, n. 238
Attuazione della Direttiva 2003/105/CE che modifica la direttiva 96/82/CE sul controllo dei pericoli di
incidenti rilevanti connessi con determinate sostanze pericolose
Direttiva 96/82/CE (“Seveso II”)
Decreto Legislativo 17 agosto 1999, n. 334
Attuazione della Direttiva 96/82/CE relativa al controllo dei pericoli di incidenti rilevanti connessi con
determinate sostanze pericolose
ALTRI ATTI COMUNITARI
SWD(2013) 318
del 28 agosto 2013
Commission Staff Working Document on a new approach to the European Programme for Critical
Infrastructure Protection Making European Critical Infrastructures more secure
2007/124/CE, Euratom
Decisione del Consiglio del 12 febbraio 2007 che istituisce per il periodo 2007-2013 il programma
specifico «Prevenzione, preparazione e gestione delle conseguenze in materia di terrorismo e di
altri rischi correlati alla sicurezza», quale parte del programma generale sulla sicurezza e la tutela
delle libertà
COM(2006) 786
del 12 dicembre 2006
Comunicazione della Commissione relativa a un programma europeo per la protezione delle
infrastrutture critiche
COM(2004) 702
del 20 ottobre 2004
Comunicazione della Commissione al Consiglio e al Parlamento Europeo. La protezione delle
infrastrutture critiche nella lotta contro il terrorismo
LEGGI E DECRETI LEGISLATIVI
T.U.L.P.S. - Testo Unico delle leggi di Pubblica Sicurezza
© UNI
80
UNI/PdR 6:2014
Decreto legislativo 9 aprile 2008, n. 81
Attuazione dell'articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della
sicurezza nei luoghi di lavoro
Legge 31 luglio 2005, n.155
Conversione in legge, con modificazioni, del decreto-legge 27 luglio 2005, n. 144, recante misure
urgenti per il contrasto del terrorismo internazionale
Decreto legislativo 30 giugno 2003, n. 196
Codice in materia di protezione dei dati personali (privacy)
Legge 27 dicembre 2002, n. 286
Conversione in legge, con modificazioni, del D.L. 4 novembre 2002, n. 245, recante interventi
urgenti a favore delle popolazioni colpite dalle calamità naturali nelle regioni Molise e Sicilia, nonché
ulteriori disposizioni in materia di protezione civile
Legge 9 novembre 2001, n. 401
Disposizioni urgenti per assicurare il coordinamento operativo delle strutture preposte alle attività di
protezione civile e per migliorare le strutture logistiche nel settore della difesa civile
Legge 11 aprile 2000, n. 83
Modifiche ed integrazioni della legge 12 giugno 1990, n. 146, in materia di esercizio del diritto di
sciopero nei servizi pubblici essenziali e di salvaguardia dei diritti della persona costituzionalmente
tutelati
Legge 12 giugno 1990, n. 146
Norme sull'esercizio del diritto di sciopero nei servizi pubblici essenziali e sulla salvaguardia dei
diritti della persona costituzionalmente tutelati
COUNCIL OF MINISTERS DECREES, MINISTERIAL DECREES AND DIRECTIVES
Decreto del Presidente del Consiglio dei Ministri 22 luglio 2011
Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate (G.U. 1
settembre 2011, n. 203)
Decreto del Presidente del Consiglio dei Ministri 5 maggio 2010
Organizzazione nazionale per la gestione di crisi (G.U. 17 giugno 2010, n. 139)
Decreto del Ministero dell’Interno 1 dicembre 2010, n. 269
Regolamento recante disciplina delle caratteristiche minime del progetto organizzativo e dei requisiti
minimi di qualità degli istituti e dei servizi di cui agli articoli 256-bis e 257-bis del Regolamento di
esecuzione del Testo Unico delle leggi di Pubblica Sicurezza, nonché dei requisiti professionali e di
capacità tecnica richiesti per la direzione dei medesimi istituti e per lo svolgimento di incarichi
organizzativi nell'ambito degli stessi istituti (G.U. 14 febbraio 2011, n. 36)
Decreto del Ministero dell'Interno 9 gennaio 2008
Individuazione delle infrastrutture critiche informatiche di interesse nazionale (G.U. 30 aprile 2008,
n. 101)
Decreto del Presidente del Consiglio dei Ministri 8 aprile 2008
Criteri per l'individuazione delle notizie, delle informazioni, dei documenti, degli atti, delle attività,
delle cose e dei luoghi suscettibili di essere oggetto di segreto di Stato (G.U. 16 aprile 2008, n.90)
© UNI
81
UNI/PdR 6:2014
Decreto legislativo 9 aprile 2008, n. 81
Attuazione dell'articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della
sicurezza nei luoghi di lavoro
Legge 31 luglio 2005, n.155
Conversione in legge, con modificazioni, del decreto-legge 27 luglio 2005, n. 144, recante misure
urgenti per il contrasto del terrorismo internazionale
Decreto legislativo 30 giugno 2003, n. 196
Codice in materia di protezione dei dati personali (privacy)
Legge 27 dicembre 2002, n. 286
Conversione in legge, con modificazioni, del D.L. 4 novembre 2002, n. 245, recante interventi
urgenti a favore delle popolazioni colpite dalle calamità naturali nelle regioni Molise e Sicilia, nonché
ulteriori disposizioni in materia di protezione civile
Legge 9 novembre 2001, n. 401
Disposizioni urgenti per assicurare il coordinamento operativo delle strutture preposte alle attività di
protezione civile e per migliorare le strutture logistiche nel settore della difesa civile
Legge 11 aprile 2000, n. 83
Modifiche ed integrazioni della legge 12 giugno 1990, n. 146, in materia di esercizio del diritto di
sciopero nei servizi pubblici essenziali e di salvaguardia dei diritti della persona costituzionalmente
tutelati
Legge 12 giugno 1990, n. 146
Norme sull'esercizio del diritto di sciopero nei servizi pubblici essenziali e sulla salvaguardia dei
diritti della persona costituzionalmente tutelati
DECRETI PRESIDENZA DEL CONSIGLIO, DECRETI E DIRETTIVE MINISTERIALI
Decreto del Presidente del Consiglio dei Ministri 22 luglio 2011
Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate (G.U. 1
settembre 2011, n. 203)
Decreto del Presidente del Consiglio dei Ministri 5 maggio 2010
Organizzazione nazionale per la gestione di crisi (G.U. 17 giugno 2010, n. 139)
Decreto del Ministero dell’Interno 1 dicembre 2010, n. 269
Regolamento recante disciplina delle caratteristiche minime del progetto organizzativo e dei requisiti
minimi di qualità degli istituti e dei servizi di cui agli articoli 256-bis e 257-bis del Regolamento di
esecuzione del Testo Unico delle leggi di Pubblica Sicurezza, nonché dei requisiti professionali e di
capacità tecnica richiesti per la direzione dei medesimi istituti e per lo svolgimento di incarichi
organizzativi nell'ambito degli stessi istituti (G.U. 14 febbraio 2011, n. 36)
Decreto del Ministero dell'Interno 9 gennaio 2008
Individuazione delle infrastrutture critiche informatiche di interesse nazionale (G.U. 30 aprile 2008,
n. 101)
Decreto del Presidente del Consiglio dei Ministri 8 aprile 2008
Criteri per l'individuazione delle notizie, delle informazioni, dei documenti, degli atti, delle attività,
delle cose e dei luoghi suscettibili di essere oggetto di segreto di Stato (G.U. 16 aprile 2008, n. 90)
© UNI
82
UNI/PdR 6:2014
Direttiva del Presidente del Consiglio dei Ministri 3 dicembre 2008
Indirizzi operativi per la gestione delle emergenze (G.U. 13 febbraio 2009, n. 36)
© UNI
83
UNI/PdR 6:2014
Direttiva del Presidente del Consiglio dei Ministri 3 dicembre 2008
Indirizzi operativi per la gestione delle emergenze (G.U. 13 febbraio 2009, n. 36)
© UNI
84
UNI/PdR 6:2014
BIBLIOGRAPHY
[1]
UNI EN ISO 9001 Quality management systems - Requirements
[2]
ISO 22301 Societal security - Business continuity management systems - Requirements
[3]
ISO 22320 Societal security - Emergency management - Requirements for incident
response
[4]
ISO/IEC 27001 Information technology - Security techniques - Information security
management systems - Requirements
[5]
ISO 28000 Specification for security management systems for the supply chain
[6]
ISO/IEC 31010 Risk management - Risk assessment techniques
© UNI
85
UNI/PdR 6:2014
BIBLIOGRAFIA
[1]
UNI EN ISO 9001 Sistemi di gestione per la qualità - Requisiti
[2]
ISO 22301 Societal security - Business continuity management systems - Requirements
[3]
ISO 22320 Societal security - Emergency management - Requirements for incident
response
[4]
ISO/IEC 27001 Information technology - Security techniques - Information security
management systems - Requirements
[5]
ISO 28000 Specification for security management systems for the supply chain
[6]
ISO/IEC 31010 Risk management - Risk assessment techniques
© UNI
86
Ente Nazionale Italiano di Unificazione
Membro italiano ISO e CEN
www.uni.com
www.youtube.com/normeUNI
www.twitter.com/normeUNI
www.twitter.com/formazioneUNI
Sede di Milano
Via Sannio, 2 - 20137 Milano
tel +39 02700241, Fax +39 0270024375, [email protected]
Sede di Roma
Via del Collegio Capranica, 4 - 00186 Roma
tel +39 0669923074, Fax +39 066991604, [email protected]