Prassi per Infrastrutture Critiche

17/02/2014

Il 16 gennaio 2014 e' stata pubblicata la prassi di riferimento "Infrastrutture Critiche – Sistema di gestione della resilienza – Requisiti" (UNI/PdR 6:2014).

Frutto della collaborazione con AIPSA - Associazione Italiana Professionisti Security Aziendale, il documento specifica i requisiti di un sistema di gestione della resilienza delle Infrastrutture Critiche, per consentire a un’organizzazione, in qualità di proprietario o operatore, di stabilire il contesto di riferimento, definire, pianificare, attuare, eseguire, verificare, riesaminare e migliorare la propria resilienza.

In particolare, con riferimento all’analisi del proprio contesto di riferimento, l’organizzazione deve definire e attuare un processo di raccolta, analisi e condivisione di intelligence: essa ricopre un ruolo chiave nella gestione della resilienza di ogni infrastruttura e, in particolare modo, nel caso delle Infrastrutture Critiche.

Inoltre, con riferimento all’attuazione del sistema di gestione della resilienza, il documento specifica i requisiti del Piano di Sicurezza dell’Operatore (PSO) ai fini di assicurare una pianificazione, un funzionamento e un controllo efficace dei processi relativi ai rischi ai quali l’Infrastruttura Critica è esposta.

L’integrazione della resilienza organizzativa nelle Infrastrutture Critiche diventa cruciale e deve coinvolgere l’organizzazione al suo interno e al suo esterno, comprese le relative parti interessate, poiché un’Infrastruttura Critica sviluppa, produce e fornisce beni e servizi critici ed essenziali per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale della popolazione. 

Il documento è concepito per essere di integrazione alla Direttiva 2008/114/CE (sulla individuazione e designazione delle infrastrutture critiche europee e sulla valutazione della necessità di migliorarne la protezione) e di supporto alle organizzazioni nella gestione della resilienza: esso è applicabile alle organizzazioni titolari o gestori di Infrastrutture Critiche, che operano nel settore dell’energia e nel settore trasporti, ma può essere altresì applicato ad altri settori a cui l’Infrastruttura Critica si riferisce. 

Tali altri settori comprendono:
  • i sistemi di comunicazione e di tecnologia dell’informazione;
  • la finanza;
  • il sistema sanitario;
  • l’approvvigionamento alimentare;
  • l’approvvigionamento idrico;
  • la produzione, l’immagazzinamento e il trasporto di sostanze pericolose;
  • l’amministrazione.
La prassi di riferimento è stata elaborata sia in italiano sia in inglese, con l’obiettivo di far assumere al documento una valenza transnazionale affinché quindi questo possa essere preso come modello di riferimento anche da parte di organizzazioni di altri Paesi. 
A completamento della prassi di riferimento è stata aggiunta una appendice in cui sono riportati i principali riferimenti legislativi nazionali e di regolamentazione comunitaria applicabili a proprietari o operatori di Infrastrutture Critiche.

(by MdL Attilio Rampazzo, CISA CRISC C|CISO CMCInformation Systems Consultant & Auditor)