1. Infrastrutture Critiche
Sistema di gestione della resilienza - Requisiti
Critical Infrastructures - Resilience management system - Requirements
La prassi di riferimento specifica i requisiti di un sistema di gestione della resilienza delle
Infrastrutture Critiche, per consentire a un’organizzazione, quale proprietario o operatore di
Infrastruttura Critica, di stabilire il contesto, definire, pianificare, attuare, eseguire, verificare,
riesaminare e migliorare la propria resilienza.
This document specifies requirements for a resilience management system in Critical
Infrastructures, to enable an organisation, both owner or operator of a Critical Infrastructure, in
establishing the context, defining, planning, implementing, operating, checking, reviewing, and
improving its resilience.
ICS 03.100.01Pubblicata il 16 gennaio 2014
PRASSI DI RIFERIMENTO UNI/PdR 6:2014

2. © UNI – Ente Nazionale Italiano di Unificazione
Via Sannio 2 – 20137 Milano
Telefono 02 700241
www.uni.com – uni@uni.com
Tutti i diritti sono riservati.
I contenuti possono essere riprodotti o diffusi (anche integralmente) a condizione che ne venga data
comunicazione all’editore e sia citata la fonte.
Documento distribuito gratuitamente da UNI.
© UNI – Italian Organization for Standardization
Via Sannio 2 – 20137 Milan
Phone +39 02 700241
www.uni.com – uni@uni.com
All rights reserved.
The contents of the document (also the full version) may be duplicated or distributed provided that UNI is
informed and quoted.
This document is distributed by UNI free of charge.

3. La presente prassi di riferimento UNI/PdR 6:2014 è pubblicata con testo inglese e italiano.

4. UNI/PdR 6:2014
© UNI 1
FOREWORD
The UNI/PdR 6:2014 does not have the status of a UNI technical standard, nor of a technical
specification UNI/TS or technical report UNI/TR it is, instead, a document developed under the
authority of UNI and adopting the requirements related to practices shared by the following proposer
who has signed an agreement of collaboration with UNI:
AIPSA - Associazione Italiana Professionisti Security Aziendale
Piazzale Rodolfo Morandi, 2
20121 Milano
This UNI/PdR has been developed by the working group “Tutela delle Infrastrutture Critiche”, led by
UNI and constituted by the following experts:
ROGER WARWICK - Project Leader (ASIS International - Chapter Italy)
ALESSANDRO LEGA (ASIS International - Chapter Italy)
IVANO ROVEDA (AIPROS - Associazione Italiana Professionisti della Sicurezza)
UMBERTO SACCONE (ENI/AIAS - Associazione professionale Italiana Ambiente e Sicurezza)
DAMIANO TOSELLI (TELECOM ITALIA/AIPSA)
MANUELE VITALI (AMSA/AIPSA)
This UNI/PdR has been ratified by the Chairmanship of UNI on 14 January 2014.
UNI/PdRs are documents introducing technical requirements that are developed through a fast track process
reflecting the consensus of the participants only, under the operational direction of UNI.
UNI/PdRs are valid for a limited duration of 5 years or until its transformation into another deliverable (UNI,
UNI/TS, UNI/TR) whichever is the sooner. When 5 years have passed, the UNI/PdR shall be withdrawn if it is
not transformed into another deliverable.
Further to the application of this UNI/PdR, anyone interested in providing suggestions for its improvement is
requested to send their own contributions to UNI, Italian Organization for Standardization, which shall take
them into account.

5. UNI/PdR 6:2014
© UNI 2
PREMESSA
La presente prassi di riferimento UNI/PdR 6:2014 non è una norma tecnica UNI, una specifica
tecnica UNI/TS o un rapporto tecnico UNI/TR, ma è un documento elaborato da UNI che raccoglie
prescrizioni relative a prassi condivise dai seguenti soggetti firmatari di un accordo di collaborazione
con UNI:
AIPSA - Associazione Italiana Professionisti Security Aziendale
Piazzale Rodolfo Morandi, 2
20121 Milano
La presente prassi di riferimento è stata elaborata dal Tavolo “Tutela delle Infrastrutture Critiche”,
condotto da UNI, costituito dai seguenti esperti:
ROGER WARWICK - Project Leader (ASIS International - Chapter Italy)
ALESSANDRO LEGA (ASIS International - Chapter Italy)
IVANO ROVEDA (AIPROS - Associazione Italiana Professionisti della Sicurezza)
UMBERTO SACCONE (ENI/AIAS - Associazione professionale Italiana Ambiente e Sicurezza)
DAMIANO TOSELLI (TELECOM ITALIA/AIPSA)
MANUELE VITALI (AMSA/AIPSA)
La presente prassi di riferimento è stata ratificata dal Presidente dell’UNI il 14 gennaio 2014.
Le prassi di riferimento UNI sono documenti che introducono prescrizioni tecniche, elaborati sulla base di un
rapido processo di condivisione ristretta ai soli autori, sotto la conduzione operativa di UNI.
Le prassi di riferimento sono disponibili per un periodo non superiore a 5 anni, tempo massimo dalla loro
pubblicazione entro il quale possono essere trasformata in un documento normativo (UNI, UNI/TS, UNI/TR)
oppure devono essere ritirate.
Chiunque ritenesse, a seguito dell’applicazione della presente prassi di riferimento, di poter fornire
suggerimenti per un suo miglioramento è pregato di inviare i propri contributi all’UNI, Ente Nazionale Italiano
di Unificazione, che li terrà in considerazione.

6. UNI/PdR 6:2014
© UNI 3
CONTENTS
INTRODUCTION ..........................................................................................................................................................7
1 SCOPE ...........................................................................................................................................................19
2 NORMATIVE AND LEGISLATIVE REFERENCES.......................................................................................19
3 TERMS AND DEFINITIONS ..........................................................................................................................21
4 PRINCIPLE.....................................................................................................................................................25
5 REQUIREMENTS OF RESILIENCE MANAGEMENT SYSTEM...................................................................27
5.1 GENERAL ......................................................................................................................................................27
5.2 ANALYSIS OF THE ORGANISATION AND ITS OPERATIONAL ENVIRONMENT....................................31
5.2.1 SELECT AND IMPLEMENT A MANAGEMENT SYSTEM........................................................................31
5.2.2 ESTABLISH THE CONTEXT.....................................................................................................................31
5.2.3 MANAGEMENT COMMITMENT................................................................................................................33
5.2.4 SET SCOPE AND OBJECTIVES FOR RESILIENCE MANAGEMENT SYSTEM....................................35
5.2.5 DESIGNATE THE SECURITY LIAISON OFFICER (SLO)........................................................................37
5.2.6 ESTABLISH AND IMPLEMENT AN INTELLIGENCE GATHERING AND SHARING PROCESS ..........37
5.3 RESILIENCE POLICY....................................................................................................................................39
5.4 PLANNING .....................................................................................................................................................43
5.4.1 STRATEGIC PLANS AND PROGRAMMES .............................................................................................43
5.4.2 RISK ASSESSMENT AND PROCESS MONITORING .............................................................................45
5.4.3 INTERNAL AND EXTERNAL COMMUNICATIONS AND CONSULTATION...........................................47
5.4.4 LEGAL AND OTHER REQUIREMENTS...................................................................................................47
5.4.5 OBJECTIVES AND TARGETS FOR RISK MANAGEMENT ....................................................................47
5.5 IMPLEMENTATION AND OPERATION........................................................................................................49
5.5.1 RESOURCES, ROLES, RESPONSIBILITIES AND AUTHORITY............................................................49
5.5.2 COMPETENCE, TRAINING AND AWARENESS......................................................................................53
5.5.3 COMMUNICATION AND WARNING.........................................................................................................53
5.5.4 DOCUMENTATION: THE OPERATOR SECURITY PLAN.......................................................................55
5.5.5 CONTROL OF DOCUMENTS....................................................................................................................59
5.5.6 OPERATIONAL CONTROL.......................................................................................................................59
5.5.7 PROCEDURE FOR INCIDENT PREVENTION, RESPONSE AND CONTINUITY ...................................63
5.6 CHECKING AND CORRECTIVE ACTION ....................................................................................................67

7. UNI/PdR 6:2014
© UNI 4
5.6.1 MONITORING AND MEASUREMENT ......................................................................................................67
5.6.2 EVALUATION OF COMPLIANCE.............................................................................................................69
5.6.3 EXERCISES AND TESTING......................................................................................................................69
5.6.4 NON CONFORMITY, CORRECTIVE AND PREVENTIVE ACTION .........................................................69
5.6.5 RECORDS..................................................................................................................................................71
5.6.6 INTERNAL AUDITS ...................................................................................................................................71
5.7 MANAGEMENT REVIEW ..............................................................................................................................73
5.7.1 ADEQUACY AND EFFECTIVENESS ASSESSMENT..............................................................................73
5.7.2 MAINTENANCE .........................................................................................................................................75
5.7.3 CONTINUAL IMPROVEMENT...................................................................................................................75
ANNEX A – MAIN NATIONAL LEGISLATIVE AND EU REGULATORY REFERENCES APPLICABLE TO
OWNERS/OPERATORS OF CRITICAL INFRASTRUCTURES...............................................................................77
BIBLIOGRAPHY ........................................................................................................................................................85

8. UNI/PdR 6:2014
© UNI 5
SOMMARIO
INTRODUZIONE ..........................................................................................................................................................8
1 SCOPO E CAMPO DI APPLICAZIONE ........................................................................................................20
2 RIFERIMENTI NORMATIVI E LEGISLATIVI.................................................................................................20
3 TERMINI E DEFINIZIONI ...............................................................................................................................22
4 PRINCIPIO .....................................................................................................................................................26
5 REQUISITI DEL SISTEMA DI GESTIONE DELLA RESILIENZA.................................................................28
5.1 GENERALITÀ ................................................................................................................................................28
5.2 ANALISI DELL’ORGANIZZAZIONE E DEL PROPRIO AMBIENTE DI OPERATIVITÀ ..............................32
5.2.1 SELEZIONE E ATTUAZIONE DI UN SISTEMA DI GESTIONE ...............................................................32
5.2.2 DEFINIZIONE DEL CONTESTO................................................................................................................32
5.2.3 IMPEGNO DELLA DIREZIONE .................................................................................................................34
5.2.4 DEFINIZIONE DEL CAMPO DI APPLICAZIONE E DEGLI OBIETTIVI DEL SISTEMA DI
GESTIONE DELLA RESILIENZA............................................................................................................................36
5.2.5 DESIGNAZIONE DEL SECURITY LIAISON OFFICER (SLO) .................................................................38
5.2.6 DEFINIZIONE E ATTUAZIONE DI UN PROCESSO DI RACCOLTA E CONDIVISIONE DI
INTELLIGENCE .......................................................................................................................................................38
5.3 POLITICA PER LA RESILIENZA ..................................................................................................................40
5.4 PIANIFICAZIONE...........................................................................................................................................44
5.4.1 PIANI E PROGRAMMI STRATEGICI........................................................................................................44
5.4.2 VALUTAZIONE DEL RISCHIO E MONITORAGGIO DEL PROCESSO ..................................................46
5.4.3 COMUNICAZIONE E CONSULTAZIONE INTERNA ED ESTERNA........................................................48
5.4.4 PRESCRIZIONI LEGALI E ALTRE PRESCRIZIONI.................................................................................48
5.4.5 OBIETTIVI E RISULTATI PER LA GESTIONE DEL RISCHIO.................................................................48
5.5 ATTUAZIONE E FUNZIONAMENTO ............................................................................................................50
5.5.1 RISORSE, RUOLI, RESPONSABILITÀ E AUTORITÀ .............................................................................50
5.5.2 COMPETENZA, FORMAZIONE-ADDESTRAMENTO E CONSAPEVOLEZZA.......................................54
5.5.3 COMUNICAZIONE E ALLERTA................................................................................................................54
5.5.4 DOCUMENTAZIONE: IL PIANO DI SICUREZZA DELL’OPERATORE...................................................56
5.5.5 TENUTA SOTTO CONTROLLO DEI DOCUMENTI..................................................................................60
5.5.6 CONTROLLO OPERATIVO.......................................................................................................................60
5.5.7 PROCEDURA PER LA PREVENZIONE, RISPOSTA E CONTINUITÀ A UN INCIDENTE......................64

9. UNI/PdR 6:2014
© UNI 6
5.6 AZIONE DI VERIFICA E AZIONE CORRETTIVA .........................................................................................68
5.6.1 MONITORAGGIO E MISURAZIONE.........................................................................................................68
5.6.2 VALUTAZIONE DEL RISPETTO DELLE PRESCRIZIONI .......................................................................70
5.6.3 ESERCITAZIONI E PROVE.......................................................................................................................70
5.6.4 NON CONFORMITÀ, AZIONI CORRETTIVE E PREVENTIVE ................................................................70
5.6.5 GESTIONE DOCUMENTI DI ARCHIVIO...................................................................................................72
5.6.6 AUDIT INTERNI .........................................................................................................................................72
5.7 RIESAME DI DIREZIONE ..............................................................................................................................74
5.7.1 VALUTAZIONE DI ADEGUATEZZA ED EFFICACIA...............................................................................74
5.7.2 MANTENIMENTO ......................................................................................................................................76
5.7.3 MIGLIORAMENTO CONTINUO ................................................................................................................76
APPENDICE A – PRINCIPALI RIFERIMENTI LEGISLATIVI NAZIONALI E DI REGOLAMENTAZIONE
COMUNITARIA APPLICABILI A PROPRIETARI/OPERATORI DI INFRASTRUTTURE CRITICHE......................78
BIBLIOGRAFIA..........................................................................................................................................................86

10. UNI/PdR 6:2014
© UNI 7
INTRODUCTION
The Member States of the EU are in the process of applying the Council Directive 2008/114/EC,
which establishes the procedures for the identification and designation of European Critical
Infrastructures, and a common approach to the assessment of the need to improve the
protection of such infrastructures in order to contribute to the protection of people and relevant
assets.
The Directive, as part of the European Programme for European Critical Infrastructure
Protection1
, has presented a number of actions to be implemented and adhered to.
This document is designed to be applied to owners or operators that is to say those
organisations owning or managing Critical Infrastructures in the energy sector and its subsectors
(electricity, oil, gas) and the transport sector and its subsectors (road transport, rail transport, air
transport, inland waterways transport, ocean and short-sea shipping and ports), as listed in the
Council Directive, but it can also be applied to other sectors which a Critical Infrastructure might
operate in. These other sectors include:
 communications and information technology;
 finance (banking, securities and investment);
 health care;
 food;
 water (dams, storage, treatment and networks);
 production, storage and transport of dangerous goods (e.g. chemical, biological,
radiological and nuclear materials);
 government (e.g. critical services, facilities, information networks, assets and key
national sites and monuments).
This document is designed to be integral to the Directive 2008/114/EC in supporting a resilience
management system that will assist national authorities, Critical Infrastructure sectors and sub
sectors and individual owners or operators in responding to the requirements of the Directive for
both European Critical Infrastructures and Critical Infrastructures, in general.
1
The European Commission DG Home Affairs developed the working document SWD (2013) 318 of 28
August 2013, by which it proposes a new approach to the European Programme for Critical Infrastructure
Protection. This document emphasizes the need to ensure a high degree of protection of Critical
Infrastructures and increasing their resilience as a mean to minimize the consequences of any incidents and
loss of services in order to protect society as a whole.

11. UNI/PdR 6:2014
© UNI 8
INTRODUZIONE
Gli Stati Membri della UE si trovano impegnati nel processo di applicazione della Direttiva
2008/114/CE del Consiglio Europeo, recante le procedure per l’individuazione e la designazione
delle Infrastrutture Critiche Europee, e di un comune approccio alla valutazione della necessità
di migliorarne la protezione al fine di contribuire alla tutela delle persone e dei beni rilevanti.
La Direttiva, come parte del Programma Europeo per la Protezione delle Infrastrutture Critiche
Europee1
, ha presentato una serie di azioni da mettere in atto e alle quali fare riferimento.
Il presente documento è strutturato per essere applicato a proprietari o operatori ossia quelle
organizzazioni titolari o gestori di Infrastrutture Critiche, che operano nel settore dell’energia e
dei suoi sottosettori (elettricità, petrolio, gas) e nel settore trasporti e nei suoi sottosettori
(stradale, ferroviario, aereo, vie di navigazione interna, trasporto oceanico, marittimo a corto
raggio e porti), così come indicati nella Direttiva del Consiglio Europeo, ma può essere altresì
applicato ad altri settori in cui l’Infrastruttura Critica potrebbe trovarsi a operare. Tali altri settori
comprendono:
 i sistemi di comunicazione e di tecnologia dell’informazione;
 la finanza (banche, strumenti finanziari e investimenti);
 il sistema sanitario;
 l’approvvigionamento alimentare;
 l’approvvigionamento idrico (i bacini, l’immagazzinamento, il trattamento, gli acquedotti);
 la produzione, l’immagazzinamento e il trasporto di sostanze pericolose (per esempio,
materiali chimici, biologici, radiologici e nucleari);
 l’amministrazione (per esempio, servizi cruciali, strutture, reti di informazione, beni e
patrimonio architettonico e naturale).
Il presente documento è concepito per essere di integrazione alla Direttiva 2008/114/CE nel
sostenere un sistema di gestione della resilienza che assisterà le autorità nazionali, i settori e i
sottosettori, così come i singoli proprietari o operatori di Infrastrutture Critiche nel rispondere alle
prescrizioni della Direttiva per le Infrastrutture Critiche Europee e per le Infrastrutture Critiche in
generale.
1
La DG Affari Interni della Commissione Europea ha elaborato il documento di lavoro SWD(2013) 318 del 28
agosto 2013, con il quale propone un nuovo approccio al Programma Europeo per la Protezione delle
Infrastrutture Critiche. Il documento enfatizza la necessità di assicurare un elevato grado di tutela delle
Infrastrutture Critiche e di rafforzarne la resilienza come strumento per minimizzare le conseguenze di
eventuali incidenti e interruzioni di servizi al fine di proteggere la società nel suo insieme.

12. UNI/PdR 6:2014
© UNI 9
This document does not differentiate between European Critical Infrastructures and other Critical
Infrastructures nor does it provide indications for their classification. This is the responsibility of
the EU Member State.
Therefore, this document could constitute a useful point of reference for EU Member States, in
adopting acts or other legal regulation, intended to define resilience management systems for
their own Critical Infrastructures.
Critical Infrastructures, by definition, provide essential products and services to their
stakeholders who can be private and public organisations, people and society in general.
The survivability of Critical Infrastructures can impact the survivability of organisations, people
and society in general. The potential effects of an incident, involving Critical Infrastructures, can
produce a direct and/or indirect consequence on people and society in general. Any process for
the protection of critical assets must take this into account.
Seeing that not all Critical Infrastructures can be fully protected at all times, and not all risks can
be eliminated, the resilience factor assumes particular importance in assisting the Critical
Infrastructure to return to normal activities the quickest possible following an incident. Resilience
is composed of the following elements: the robustness of the system/structure to be protected;
the presence of adequate back up procedures and material; the capacity to respond and to
activate necessary recovery actions; the speed with which the recovery actions are activated;
the capability of the organisation to manage a crisis situation.
Incorporating organisational resilience in Critical Infrastructures must be focused both within the
organisation and externally upon relevant stakeholders since a Critical Infrastructure procures,
develops and supplies goods and services that are critical to society and citizens in general. The
criticality of the goods/services is determined by:
a) the nature/quality of the goods/services;
b) the quantity supplied;
c) the timeliness of supply.
To these ends the organisation’s supply chain, both upstream and downstream, is a vital
component of the organisational resilience of the Critical Infrastructure resilience management
system.
This document has applicability in the private sector, including not-for-profit, non-governmental
organisations, and public sector environments. It is a management framework for action
planning and decision making used to anticipate, prevent, prepare for and respond to an
incident (emergency, crisis, or disaster).
When implemented within a management system, this document enhances an organisation's
capacity to manage and survive the incident, and take all appropriate actions to help ensure the
organisation's continued viability and provision of essential services. The leadership of a Critical

13. UNI/PdR 6:2014
© UNI 10
Il presente documento non distingue tra Infrastrutture Critiche Europee e altre Infrastrutture
Critiche, né fornisce indicazioni per la loro classificazione. Questa responsabilità rimane in capo
a ciascun Stato Membro della UE.
Pertanto, tale documento può rappresentare un utile riferimento per gli Stati Membri della UE
nell’adottare leggi o altri provvedimenti legislativi intesi a definire sistemi di gestione della
resilienza per le proprie Infrastrutture Critiche.
Le Infrastrutture Critiche, per definizione, forniscono prodotti e servizi essenziali per le loro parti
interessate che possono essere le organizzazioni private e pubbliche, la popolazione e la
società in generale.
La sopravvivenza delle Infrastrutture Critiche può incidere su quella delle organizzazioni, della
popolazione e della società in generale. I potenziali effetti di incidenti, che coinvolgono le
Infrastrutture Critiche, possono produrre conseguenze dirette e/o indirette sulla popolazione e la
società in generale. Qualsiasi processo per la protezione di beni critici deve tenere conto di tale
aspetto.
Dato che non è possibile proteggere permanentemente tutte le Infrastrutture Critiche e non è
possibile eliminare tutti i rischi, il fattore resilienza assume particolare importanza nell’agevolare
le Infrastrutture Critiche a ritornare il più rapidamente possibile alla normale attività a seguito di
un incidente. La resilienza si compone dei seguenti elementi: la robustezza del sistema/struttura
da proteggere; la presenza di adeguate procedure e materiali da usarsi in caso di necessità; la
capacità di rispondere e attivare i necessari interventi per il ripristino; la rapidità con cui gli
interventi di ripristino sono attivati; la capacità dell’organizzazione di gestire una situazione di
crisi.
L’integrazione della resilienza organizzativa nelle Infrastrutture Critiche deve coinvolgere
l’organizzazione al suo interno e al suo esterno, comprese le relative parti interessate, poiché
un’Infrastruttura Critica procura, sviluppa e fornisce beni e servizi critici per i cittadini e la
società, in generale. La criticità di beni/servizi è determinata da:
a) natura/qualità dei beni/servizi;
b) quantità fornita;
c) tempestività della fornitura.
Pertanto, la catena di approvvigionamento, a monte e a valle dell’organizzazione, è una
componente vitale della resilienza organizzativa nel sistema di gestione della resilienza
dell’Infrastruttura Critica.
Il presente documento trova applicabilità nel settore privato, comprese le organizzazioni senza
fini di lucro e non governative, e nel settore pubblico. Fornisce un quadro strutturale per la
pianificazione e il processo decisionale utilizzato per anticipare, prevenire, preparare e
rispondere a un incidente (emergenza, crisi o disastro).
Quando attuato all’interno di un sistema di gestione, il presente documento permette di
rafforzare la capacità di un’organizzazione di gestire e sopravvivere a un incidente, e di

14. UNI/PdR 6:2014
© UNI 11
Infrastructure has a duty to stakeholders to plan for its survival. The body of this document
provides requirements to establish, define, plan, implement, operate, check, review, and
improve the resilience management system when implemented by an organisation in order to
enhance prevention, preparedness, mitigation, response, continuity, and recovery from an
incident.
This document is aimed at designing a resilience management system adopting the “Plan-Do-
Check-Act” (PDCA) model. Figure 1 illustrates how a resilience management system takes as
input the resilience requirements and expectations of the stakeholders and through the
appropriate actions and processes produces risk management outcomes that meet those
requirements and expectations.
This document may possibly be integrated into other management systems, within an
organisation, that follow the PDCA model or other model based on a continuous improvement
approach.
Figure 1 – “Plan - Do - Check – Act” model

15. UNI/PdR 6:2014
© UNI 12
intraprendere le opportune azioni per aiutare a garantire la continuità della sua capacità di
sopravvivenza e fornitura di servizi essenziali. I vertici a capo di un’Infrastruttura Critica hanno
l’obbligo verso le parti interessate di pianificare le attività per la sua sopravvivenza. Il presente
documento fornisce requisiti per stabilire, definire, pianificare, attuare, eseguire, verificare,
riesaminare e migliorare il sistema di gestione della resilienza, adottato da un’organizzazione
per migliorare le attività di prevenzione, preparazione, mitigazione, risposta, continuità e
ripristino a seguito di un incidente.
Il presente documento è finalizzato alla progettazione di un sistema di gestione della resilienza
che adotta il modello “Plan-Do-Check-Act” (PDCA). La Figura 1 illustra come un sistema di
gestione della resilienza acquisisca come input i requisiti e le aspettative delle parti interessate
e, attraverso le azioni e i processi appropriati, produca elementi di gestione del rischio che
soddisfino quei requisiti e quelle aspettative.
Il presente documento può essere integrato in altri sistemi di gestione, all’interno di
un’organizzazione, che seguono il modello PDCA o altro modello basato su un approccio al
miglioramento continuo.
Figura 1 – Modello “Plan - Do - Check - Act”

16. UNI/PdR 6:2014
© UNI 13
It is a 4-step methodology for organisational process improvement. The stages are:
Plan
(establish the
management system)
Establish management system policy, objectives, processes, and
procedures relevant to managing risk and improving security, incident
preparedness, response, continuity, and recovery and to deliver
results in accordance with an organisation’s overall policies and
objectives.
Do
(implement and
operate the
management system)
Implement and operate the management system policy, controls,
processes, and procedures.
Check
(monitor and review
the management
system)
Assess and measure process performance against management
system policy, objectives, and practical experience and report the
results to management for review.
Act
(maintain and
improve the
management system)
Take corrective and preventive actions, based on the results of the
internal management system audit and management review, to
achieve continual improvement of the management system.
Intelligence plays a key role in the resilience management of any infrastructure. and, in
particular, in the case of Critical Infrastructures.
Intelligence plays a crucial role in the survival of the organisation itself, the protection of its
assets and stakeholders. Just as important in this context, it contributes to management’s
knowledge of the status of availability of necessary components upstream and the needs
downstream to be catered for.
The intelligence process enables the collection and subsequent analysis of information and data
processing from which the organisation can extract useful information for its resilience
management system, the prevention and management of incidents of any nature. This process
includes intelligence gatherers and preliminary analysers, assembling information from both
outside the organisation and within it, and exchanging all relevant information and intelligence
with the organisation. The aim of such a process is the collection, evaluation, and sharing of
intelligence both within the organisation and with relevant stakeholders, as opportune and
appropriate to the scope of this document, to assist the organisational resilience policymakers in
making decisions referring to Critical Infrastructure protection.
This process is shown in the intelligence management model in Figure 2.

17. UNI/PdR 6:2014
© UNI 14
PDCA è una metodologia a 4 fasi per il miglioramento dei processi organizzativi. Le fasi sono:
Plan
(stabilire il sistema di
gestione)
Stabilire la politica del sistema di gestione, gli obiettivi, i processi e le
procedure rilevanti ai fini della gestione del rischio e del
miglioramento della sicurezza, oltre che la preparazione, risposta,
continuità e ripristino da incidente e dell’ottenimento di risultati nel
rispetto di politiche e obiettivi generali dell’organizzazione.
Do
(attuare e rendere
operativo il sistema
di gestione)
Attuare e rendere operativi la politica del sistema di gestione, i
controlli, i processi e le procedure.
Check
(monitorare e
riesaminare il sistema
di gestione)
Valutare e misurare le prestazioni del processo rispetto alla politica
del sistema di gestione, agli obiettivi e alla esperienza concreta,
riportando i risultati alla direzione per il riesame.
Act
(mantenere e
migliorare il sistema
di gestione)
Intraprendere misure correttive e preventive, fondate sui risultati
dell’audit interno del sistema di gestione e del riesame di direzione,
per conseguire un miglioramento continuo del sistema di gestione.
L’intelligence ha un ruolo chiave nella gestione della resilienza di ogni infrastruttura e, in
particolare modo, nel caso delle Infrastrutture Critiche.
L’intelligence ha un ruolo cruciale nella sopravvivenza dell’organizzazione, nella protezione dei
suoi beni e delle parti interessate. Di particolare importanza in tale contesto, essa contribuisce
alla conoscenza da parte della direzione dello stato di disponibilità, a monte e a valle, dei
necessari componenti ed esigenze da soddisfare.
Il processo di intelligence consente la raccolta e la successiva analisi ed elaborazione-dati da
cui l’organizzazione può trarre informazioni utili al sistema di gestione della resilienza, alla
prevenzione e gestione di incidenti di qualsiasi natura. Tale processo coinvolge ricettori e
analisti preliminari di intelligence, che raccolgono informazioni, provenienti dall’interno e
dall’esterno dell’organizzazione, e scambiano intelligence e informazioni rilevanti con
l’organizzazione. Il fine di tale processo è quello di assicurare che la raccolta, la valutazione e la
condivisione di intelligence, all'interno dell'organizzazione e delle parti interessate, avvenga in
modo appropriato e adeguato al campo di applicazione del presente documento, per assistere i
decisori della politica di gestione della resilienza nel prendere le necessarie decisioni per la
tutela delle Infrastrutture Critiche.
Tale processo è illustrato nel modello di gestione dell’intelligence in Figura 2.

18. UNI/PdR 6:2014
© UNI 15
Figure 2 – Intelligence management model
Each activity in an organisation has certain elements of risk that it has to identify and develop
risk mitigation plans for. The continuous gathering of intelligence, over as wide an area as is
feasible and opportune, is essential for achieving an appropriate level of knowledge.
The intelligence model includes the following levels:
 strategic: the intelligence / information that can contribute to the development,
updating, and modifying, when opportune, of the overall strategic plan to safeguard the
organisation’s interests, relevant to this document, and those of its stakeholders;
 tactical: the intelligence / information that can contribute to the development of
appropriate and adequate tactics that can ensure the correct implementation of the
overall strategic plan;
 operational: the intelligence / information that can contribute to the action plan. It
contains the tactics and satisfies the scope of the overall strategic plan.
The integrated flexible, proactive, and reactive resilience approach can leverage the
perspectives, knowledge, and capabilities of divisions and individuals within an organisation.
Because of the relatively low probability and yet potentially high consequence nature of many
natural, intentional, including terroristic, or unintentional threats and hazards that an organisation
may face, an integrated approach allows an organisation to establish priorities that address its

19. UNI/PdR 6:2014
© UNI 16
Figura 2 – Modello di gestione dell’intelligence
Ciascuna attività in un'organizzazione ha elementi di rischio che devono essere identificati e per
i quali si devono sviluppare piani di mitigazione del rischio. La continua raccolta di intelligence
su di un’area la più ampia possibile, per quanto sia fattibile e opportuna, è essenziale per il
conseguimento di un adeguato livello di conoscenza.
Il modello di intelligence include i seguenti livelli:
 strategico: intelligence / informazione che può contribuire allo sviluppo, aggiornamento
e modifica, qualora opportuno, del piano strategico complessivo per la salvaguardia
degli interessi dell’organizzazione, pertinenti ai fini del presente documento, e delle
proprie parti interessate;
 tattico: intelligence / informazione che può contribuire allo sviluppo di tattica adeguata
e congrua per poter garantire la corretta attuazione del piano strategico complessivo;
 operativo: intelligence / informazione che può contribuire al piano di azione; include la
tattica e risponde alle esigenze di applicazione del piano strategico complessivo.
L’approccio integrato alla resilienza di tipo flessibile, proattivo e reattivo può influenzare
prospettive, conoscenza e capacità delle strutture e degli individui di un’organizzazione. A causa
della bassa probabilità di rischi e minacce di carattere naturali, intenzionali, inclusi atti terroristici,
e non intenzionali, ma tuttavia di grave natura per le loro potenziali conseguenze, l'adozione di
un approccio integrato permette all'organizzazione di stabilire le adeguate priorità

20. UNI/PdR 6:2014
© UNI 17
individual needs for risk management, and potential consequences for stakeholders, within an
economically sound context.
This document is the foundation for the protection of Critical Infrastructures. It presents the
measures to be taken and defines the processes for their governance and resilience
management framework.

21. UNI/PdR 6:2014
© UNI 18
per affrontare le sue particolari necessità di gestione del rischio e le potenziali conseguenze per
le parti interessate, all'interno di un sistema economicamente sostenibile.
Il presente documento costituisce la base per la protezione delle Infrastrutture Critiche. Illustra le
misure da adottare e definisce i processi per la loro governance e il quadro strutturale per la
gestione della resilienza.

22. UNI/PdR 6:2014
© UNI 19
1 SCOPE
This document specifies requirements for a resilience management system in Critical
Infrastructures, to enable an organisation, both owner or operator of a Critical Infrastructure, in
establishing the context, defining, planning, implementing, operating, checking, reviewing, and
improving its resilience, taking into account:
 legal, regulatory and other requirements to which the organisation subscribes;
 significant risks, hazards and threats that may have consequences to the organisation;
 its stakeholders and other relevant organisations, people and society in general;
 protection of its assets and processes;
 pre-planning and management of incidents.
This document applies to risks that the organisation identifies as those it can control, influence, or
reduce, as well as those it cannot anticipate. It does not itself state specific performance criteria.
This document may be applied to all types of organisations or parts thereof regardless the size and
function in the Critical Infrastructure chain.
This document provides guidance for organisations, enabling them to shape and implement a
resilience management system within their management system, appropriate to its needs and those
of its stakeholders.
2 NORMATIVE AND LEGISLATIVE REFERENCES
The following referenced documents are supportive to the application of this document2
. For dated
references, only the edition cited applies. For undated references, the latest edition of the
referenced document (including any amendments) applies.
Council Directive 2008/114/EC on the identification and designation of European critical
infrastructures and the assessment of the need to improve their protection3
UNI ISO 22300:2013 Societal security - Terminology
UNI ISO 31000 Risk management - Principles and guidelines
2
Annex A reports main national legislative and EU regulatory references applicable to owners/operators of
Critical Infrastructures in Italy.
3
The Council Directive 2008/114/EC has entered into force in the Italian legislation through the adoption of
the Legislative Decree of 11 April 2011, No 61.

23. UNI/PdR 6:2014
© UNI 20
1 SCOPO E CAMPO DI APPLICAZIONE
Il presente documento specifica i requisiti di un sistema di gestione della resilienza delle
Infrastrutture Critiche, per consentire a un’organizzazione, quale proprietario o operatore di
Infrastruttura Critica, di stabilire il contesto, definire, pianificare, attuare, eseguire, verificare,
riesaminare e migliorare la propria resilienza, tendendo in considerazione:
 prescrizioni di legge, di norme e altre prescrizioni cui l’organizzazione deve fare
riferimento;
 rischi, vulnerabilità e minacce rilevanti che possono avere conseguenze per
l’organizzazione;
 le sue parti interessate e altre organizzazioni rilevanti, la popolazione e la società, in
generale;
 la protezione dei propri beni e processi;
 la pre-pianificazione e la gestione di incidenti.
Il presente documento si applica ai rischi che l’organizzazione identifica come quelli che può
controllare, influenzare o ridurre, così come quelli che non può anticipare. Il documento non
fornisce, di per se, specifici criteri di prestazione.
Il presente documento può essere applicato a qualsiasi tipo di organizzazione o parti di questa a
prescindere dalla sua dimensione e funzione nell’ambito dell’Infrastruttura Critica. Il presente
documento fornisce una guida alle organizzazioni, permettendo loro di progettare e attuare un
sistema di gestione della resilienza all’interno del suo sistema di gestione, adeguato alle proprie
esigenze e a quelle delle parti interessate.
2 RIFERIMENTI NORMATIVI E LEGISLATIVI
I documenti richiamati di seguito sono di supporto per l’applicazione del presente documento2
. Per
quanto riguarda i riferimenti datati, si applica esclusivamente l’edizione citata. Per i riferimenti non
datati vale l’ultima edizione del documento a cui si fa riferimento (compresi gli aggiornamenti).
Direttiva 2008/114/CE del Consiglio relativa all’individuazione e alla designazione delle
infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione3
UNI ISO 22300:2013 Sicurezza della società - Terminologia
UNI ISO 31000 Gestione del rischio - Principi e linee guida
2
L’Appendice A riporta i principali riferimenti legislativi nazionali e di regolamentazione comunitaria applicabili
a proprietari/operatori di Infrastrutture Critiche in Italia.
3
La Direttiva 2008/114/CE del Consiglio è stata recepita dalla legislazione nazionale con l’adozione del
Decreto Legislativo 11 aprile 2011, n. 61.

24. UNI/PdR 6:2014
© UNI 21
ISO 28002:2011 Security management systems for the supply chain - Development of
resilience in the supply chain - Requirements with guidance for use
ISO Guide 73:2009 Risk management - Vocabulary
ANSI/ASIS SPC.1 Organizational Resilience: Security, Preparedness, and Continuity
Management Systems - Requirements with Guidance for Use
3 TERMS AND DEFINITIONS
For the purpose of this document the following terms and definitions apply.
3.1 Critical Infrastructure: An asset, system or part thereof which is essential for the maintenance
of vital societal functions, health, safety, security, economic or social well-being of people, and the
disruption or destruction of which would have a significant impact in a country as a result of the
failure to maintain those functions.
[Adapted from Council Directive 2008/114/EC]
3.2 incident: Event that has the capacity to lead to human, intangible or physical loss, or a
disruption of an organisation’s operations, services, or functions – which, if not managed, can
escalate into an emergency, crisis, or disaster.
[ISO 28002:2011, definition 3.26]
3.3 intelligence: Information which, if developed and treated efficiently and effectively, may
contribute to the success of the aims and scope of the Critical Infrastructure organisational
resilience system.
3.4 management system: Set of interrelated or interacting elements of an organisation to establish
policies and objectives, and processes to achieve those objectives.
NOTE 1 A management system can address a single discipline or several disciplines.
NOTE 2 The system elements include the organisation’s structure, roles and responsibilities,
planning, operation, etc.
NOTE 3 The scope of a management system can include the whole of the organisation,
specific and identified functions of the organisation, specific and identified sections of the
organisation, or one or more functions across a group of organisations.
[UNI ISO 22300:2013, definition 2.2.5]
3.5 Operator Security Plan (OSP): Measures comprising identification of a Critical Infrastructure's
assets, risk assessment, and identification of which security solutions exist or are being
implemented for the protection of a Critical Infrastructure.
3.6 organisation: Person or group of people that has its own functions with responsibilities,
authorities and relationships to achieve its objectives.

25. UNI/PdR 6:2014
© UNI 22
ISO 28002:2011 Security management systems for the supply chain - Development of
resilience in the supply chain - Requirements with guidance for use
ISO Guide 73:2009 Risk management - Vocabulary
ANSI/ASIS SPC.1 Organizational Resilience: Security, Preparedness, and Continuity
Management Systems - Requirements with Guidance for Use
3 TERMINI E DEFINIZIONI
Ai fini del presente documento si applicano i seguenti termini e definizioni.
3.1 Infrastruttura Critica: Un elemento, un sistema o parte di questo che è essenziale per il
mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere
economico o sociale della popolazione e il cui danneggiamento o la cui distruzione avrebbe un
impatto significativo in uno Stato, a causa della impossibilità di mantenere tali funzioni.
[Adattata da Direttiva 2008/114/CE]
3.2 incidente: Evento che ha la capacità di causare una perdita umana, immateriale o materiale, o
un’interruzione delle operazioni, dei servizi o delle funzioni di un’organizzazione che, se non gestito,
può sfociare in una emergenza, una crisi o un disastro.
[ISO 28002:2011, definizione 3.26]
3.3 intelligence: Informazione che, se efficientemente ed efficacemente elaborata e trattata, può
contribuire al raggiungimento di scopi e campo di applicazione del sistema di resilienza
organizzativa dell’Infrastruttura Critica.
3.4 sistema di gestione: Insieme di elementi correlati o interagenti di un’organizzazione finalizzato
a stabilire politiche, obiettivi e processi per conseguire tali obiettivi.
NOTA 1 Un sistema di gestione può riguardare una o più discipline.
NOTA 2 Gli elementi del sistema comprendono la struttura, i ruoli e le responsabilità, la
pianificazione, il funzionamento dell’organizzazione, ecc.
NOTA 3 Il campo di applicazione di un sistema di gestione può comprendere l’intera
organizzazione, funzioni specifiche e identificate dell’organizzazione, sezioni specifiche e
identificate dell’organizzazione, oppure una o più funzioni nell’ambito di un gruppo di organizzazioni.
[UNI ISO 22300:2013, definizione 2.2.5]
3.5 Piano di Sicurezza dell’Operatore (PSO): Misure che includono l’identificazione degli elementi
che compongono l’Infrastruttura Critica, la valutazione dei rischi e l’identificazione delle soluzioni di
sicurezza esistenti ovvero quelle che sono in via di applicazione per la protezione di un’Infrastruttura
Critica.
3.6 organizzazione: Persona o gruppo di persone avente le proprie funzioni con responsabilità,
autorità e interrelazioni per conseguire i propri obiettivi.

26. UNI/PdR 6:2014
© UNI 23
NOTE The concept of organisation includes, but is not limited to sole-trader, company,
corporation, firm, enterprise, authority, partnership, charity or institution, or part or combination
thereof, whether incorporated or not, public or private.
[UNI ISO 22300:2013, definition 2.2.9]
3.7 owner/operator of Critical Infrastructure: Organisation responsible for investments in, and/or
day-to-day operation of, a particular asset, system or part thereof designated as a Critical
Infrastructure.
[Adapted from Council Directive 2008/114/EC]
3.8 protection: All activities aimed at ensuring the functionality, continuity and integrity of Critical
Infrastructures in order to deter, mitigate and neutralise a threat, risk or vulnerability.
[Council Directive 2008/114/EC, definition e]
3.9 resilience: Adaptive capacity of an organisation in a complex and changing environment
allowing the organisation to prevent or resist being affected by an incident or to return to an
acceptable level of performance in an acceptable period of time after being affected by an incident.
[Adapted from ISO 28002:2011]
3.10 risk: Effect of uncertainty on objectives.
NOTE 1 Risk is the function of threats x vulnerability x impacts x likelihood.
NOTE 2 An effect is a deviation from the expected - positive and/or negative.
NOTE 3 Objectives can have different aspects (such as financial, health and safety, security,
and environmental goals) and can apply at different levels (such as strategic, organisation-wide,
project, product and process).
NOTE 4 Uncertainty is the state, even partial, of deficiency of information related to,
understanding or knowledge of, an event, its consequence, or likelihood.
[Adapted from ISO 28002:2011]
3.11 risk analysis: Consideration of relevant threat scenarios, in order to assess the vulnerability
and the potential impact of disruption or destruction of Critical Infrastructure.
[Council Directive 2008/114/EC, definition c]
3.12 Security Liaison Officer (SLO): Officer liaising between the owner/operator of a Critical
Infrastructure and the national authority responsible for Critical Infrastructure protection.

27. UNI/PdR 6:2014
© UNI 24
NOTA Il concetto di organizzazione comprende, in termini non esaustivi, singoli operatori,
aziende, corporation, società, imprese, autorità, partenariato, istituti di carità o istituzioni, o parti o
combinazioni di queste, facenti parte di altre organizzazioni o meno, pubbliche o private.
[UNI ISO 22300:2013, definizione 2.2.9]
3.7 proprietario/operatore di Infrastruttura Critica: Organizzazione responsabile degli
investimenti e/o del funzionamento quotidiano relativi ad a un elemento o a un sistema specifico, o
parte di questo, designato Infrastruttura Critica.
[Adattata da Direttiva 2008/114/CE]
3.8 protezione: Tutte le attività volte ad assicurare funzionalità, continuità e integrità delle
Infrastrutture Critiche per evitare, mitigare e neutralizzare una minaccia, un rischio o una
vulnerabilità.
[Direttiva 2008/114/CE, definizione e]
3.9 resilienza: Capacità adattativa di un’organizzazione in un ambiente complesso e mutevole che
permette all’organizzazione di prevenire un incidente o di resistere dopo esserne stata colpita o la
capacità di ritornare a un livello di prestazione accettabile in un periodo di tempo congruo
all’incidente avvenuto.
[Adattata da ISO 28002:2011]
3.10 rischio: Effetto di incertezza sugli obiettivi.
NOTA 1 Il rischio è funzione di minaccia x vulnerabilità x impatto x probabilità.
NOTA 2 Un effetto è una deviazione da quanto atteso, positiva e/o negativa.
NOTA 3 Gli obiettivi possono riguardare differenti aspetti (come quello finanziario, della
salute e sicurezza, e obiettivi ambientali) e possono essere applicati a vari livelli (come quello
strategico, riguardante l’intera organizzazione, di progetto, di prodotto e di processo).
NOTA 4 L’incertezza è lo stato, anche parziale, di mancanza di informazione relativa alla
comprensione o alla conoscenza di un evento, alle sue conseguenze e alla sua probabilità.
[Adattata da ISO 28002:2011]
3.11 analisi dei rischi: Considerazione degli scenari di minaccia pertinenti, al fine di valutare la
vulnerabilità e il potenziale impatto del danneggiamento o della distruzione dell’Infrastruttura Critica.
[Direttiva 2008/114/CE, definizione c]
3.12 Security Liaison Officer (SLO): Funzionario che funge da collegamento tra il
proprietario/l’operatore dell’Infrastruttura Critica e l’autorità nazionale responsabile della protezione
dell’Infrastruttura Critica.

28. UNI/PdR 6:2014
© UNI 25
3.13 security management: The organisation's security system based on a management
approach and aimed at preventing, facing and overcoming security events that may occur and
expose the organization to potential harmful effects.
3.14 stakeholder: Person or organisation that can affect, be affected by, or perceive themselves to
be affected by a decision or activity.
[ISO Guide 73:2009, definition 3.2.1.1]
4 PRINCIPLE
This document adopts a process approach for establishing the context, defining, planning,
implementing, operating, checking, reviewing, and improving an organisation's resilience to
incidents.
The process approach encourages organisations to analyse Critical Infrastructure and stakeholder
needs in order to define appropriate processes. A resilience management system can provide the
framework for continual improvement to increase the likelihood of enhancing security,
preparedness, response, continuity, and resilience. It provides confidence to the organisation and its
stakeholders that the organisation is able to provide a safe and secure environment which fulfills
Critical Infrastructure and stakeholder requirements.
An organisation needs to identify and manage many activities in order to operate effectively. The
activities adopted must be appropriate and adequate to the assessment of risk and the assets to be
protected. There must be an appropriate and adequate balance between costs, level of protection
and security. The liberty of action and rights to privacy of citizens must be taken into adequate
consideration.
Any activity using resources and managed in order to enable the transformation of inputs into
outputs can be considered to be a process. Often the output from one process directly forms the
input to the next process.
The application of a system of processes within an organisation, together with the identification and
interactions of these processes and their management, can be referred to as a “process approach”.
Figure 3 depicts the process approach for resilience management in Critical Infrastructures
presented in this document.

29. UNI/PdR 6:2014
© UNI 26
3.13 gestione della sicurezza: Il sistema di sicurezza dell’organizzazione, basato su un modello
gestionale volto a prevenire, affrontare e superare eventi di sicurezza che possono verificarsi ed
esporre l’organizzazione a potenziali effetti dannosi.
3.14 parte interessata: Persona o organizzazione che può interessare, essere interessata, o
sentirsi interessata da una decisione o un’attività.
[ISO Guide 73:2009, definizione 3.2.1.1]
4 PRINCIPIO
La presente prassi di riferimento adotta un approccio per processi per stabilire il contesto, definire,
pianificare, attuare, eseguire, verificare, riesaminare e migliorare la resilienza di un’organizzazione
agli incidenti.
L’approccio per processi induce le organizzazioni ad analizzare le necessità delle Infrastrutture
Critiche e delle parti interessate al fine di definire gli opportuni processi. Un sistema di gestione
della resilienza è in grado di fornire il quadro strutturale per un miglioramento continuo per
accrescere la sicurezza, la preparazione, la risposta, la continuità e la resilienza. Fornisce
all’organizzazione e alle sue parti interessate l’aspettativa che l’organizzazione sia in grado di offrire
un ambiente sicuro e protetto che soddisfi i requisiti dell’Infrastruttura Critica e delle parti
interessate.
Un’organizzazione ha la necessità di identificare e gestire molte attività affinché funzioni
efficacemente. Le attività adottate devono essere pertinenti e congrue alla valutazione del rischio e
dei beni da proteggere. Deve essere raggiunto un opportuno e adeguato equilibrio tra costi, livello di
protezione e sicurezza. Devono essere tenuti in adeguata considerazione la libertà di azione e i
diritti alla privacy dei cittadini.
Un’attività che impiega risorse ed è gestita per consentire la trasformazione di input in output può
considerarsi un processo. Spesso l’output di un processo costituisce direttamente l’input del
processo successivo.
L’applicazione di un sistema di processi all’interno di un’organizzazione, unitamente alla
identificazione e alle interazioni di tali processi, nonché alla loro gestione, può essere definita
“approccio per processi”.
La Figura 3 mostra l’approccio per processi per la gestione della resilienza nelle Infrastrutture
Critiche illustrato dal presente documento.

30. UNI/PdR 6:2014
© UNI 27
Figure 3 – Process approach for resilience management in a Critical Infrastructure
This approach is based on continual reassessment and encourages its users to emphasize the
importance of:
a) understanding an organisation's risk, security, preparedness, response, continuity, and
recovery requirements;
b) establishing a policy and objectives to manage risk;
c) implementing and operating controls to manage an organisation's risk within the
context of the organisation's objectives;
d) monitoring and reviewing the performance and effectiveness of the resilience management
system;
e) continual improvement based on objective measurement.
5 REQUIREMENTS OF RESILIENCE MANAGEMENT SYSTEM
5.1 GENERAL
The organisation shall establish the context, define, plan, implement, operate, check, review, and
improve a resilience management system in accordance with the requirements of this document.
The resilience management system for Critical Infrastructure is defined by this document in
accordance with the requirements of the ISO standard 28002:2011 and the ANSI/ASIS SPC.1
standard.
Figure 4 is the flow diagram of the resilience management system.

31. UNI/PdR 6:2014
© UNI 28
Figura 3 – Approccio per processi per la gestione della resilienza in una Infrastruttura Critica
Tale approccio si fonda sulla rivalutazione continua e induce chi lo adotta a enfatizzare l’importanza
di:
a) comprendere i rischi di un’organizzazione e i requisiti di sicurezza, preparazione, risposta,
continuità e ripristino;
b) stabilire una politica di gestione del rischio e i suoi obiettivi;
c) attuare e rendere operativi i controlli per la gestione del rischio di un’organizzazione con
riferimento agli obiettivi dell’organizzazione;
d) monitorare e riesaminare la prestazione e l’efficacia del sistema di gestione della resilienza;
e) un miglioramento continuo basato sulla misurazione oggettiva.
5 REQUISITI DEL SISTEMA DI GESTIONE DELLA RESILIENZA
5.1 GENERALITÀ
L’organizzazione deve stabilire il contesto, definire, pianificare, attuare, eseguire, verificare,
riesaminare e migliorare il sistema di gestione della resilienza in conformità ai requisiti del presente
documento. Il sistema di gestione della resilienza per le Infrastrutture Critiche è definito dal presente
documento coerentemente con i requisiti stabiliti dalla norma ISO 28002:2011 e ANSI/ASIS SPC.1.
La Figura 4 rappresenta il diagramma di flusso del sistema di gestione della resilienza.

32. UNI/PdR 6:2014
© UNI 29
Figure 4 – Resilience management system flow diagram

33. UNI/PdR 6:2014
© UNI 30
Figura 4 – Diagramma di flusso del sistema di gestione della resilienza

34. UNI/PdR 6:2014
© UNI 31
5.2 ANALYSIS OF THE ORGANISATION AND ITS OPERATIONAL ENVIRONMENT
5.2.1 SELECT AND IMPLEMENT A MANAGEMENT SYSTEM
The organisation shall establish its resilience management system in accordance with the
requirements set out in this document. Where requirements, identical to these requirements, have
been previously addressed during the adoption of the existing management system, those
requirements do not need to be repeated separately.
5.2.2 ESTABLISH THE CONTEXT
The organisation shall define and document its internal and external context. The organisation shall:
a) determine the aspects of the organisation's external context, including:
- the cultural, political, social, legal, regulatory, financial, technological, climate,
economic, natural and competitive environment, whether international, national, regional or
local;
- key drivers and trends having an impact on the objectives and capabilities of the
organisation in providing critical goods and services;
- threshold needs of stakeholders, the public and society in general;
- perceptions and values of external stakeholders;
b) determine the aspects of the organisation's internal context, including:
- important assets, activities, functions, services, products, partnerships, supply chain,
and stakeholder relationships;
- the capabilities, understood in terms of resources and knowledge (e.g. capital, time,
people, processes, systems and technologies);
- information systems, information flows, and decision making processes (both formal and
informal);
- internal stakeholders;
- policies, objectives, and the strategies that are in place to achieve them;
- perceptions, values and culture;
- standards and reference models adopted by the organisation;
- structures (e.g. governance, roles and accountabilities).

35. UNI/PdR 6:2014
© UNI 32
5.2 ANALISI DELL’ORGANIZZAZIONE E DEL PROPRIO AMBIENTE DI OPERATIVITÀ
5.2.1 SELEZIONE E ATTUAZIONE DI UN SISTEMA DI GESTIONE
L’organizzazione deve stabilire il proprio sistema di gestione della resilienza in conformità ai requisiti
esposti nel presente documento. Qualora requisiti identici a quelli qui esposti siano già stati presi in
considerazione durante l’adozione del sistema di gestione in essere, non è necessario che tali
requisiti siano nuovamente considerati.
5.2.2 DEFINIZIONE DEL CONTESTO
L’organizzazione deve definire e documentare il proprio contesto esterno e interno.
L’organizzazione deve:
a) determinare gli elementi che caratterizzano il suo contesto esterno, inclusi:
- l’ambiente culturale, politico, sociale, legislativo, normativo, finanziario, tecnologico,
climatico, economico, naturale e competitivo, a livello internazionale, nazionale, regionale o
locale;
- fattori chiave e tendenze che hanno un impatto su obiettivi e capacità dell’organizzazione di
fornire beni e servizi critici;
- limiti dei bisogni delle parti interessate, del pubblico e della società in generale;
- percezioni e valori delle parti interessate esterne;
b) determinare gli elementi che caratterizzano il suo contesto interno, compresi:
- beni rilevanti, attività, funzioni, servizi, prodotti, partenariati, catena di approvvigionamento e
relazioni con le parti interessate;
- capacità, intesa in termini di risorse e conoscenza (per esempio capitale, tempo, persone,
processi, sistemi e tecnologie);
- sistemi informativi, flussi di informazione, processi decisionali (sia formali sia informali);
- parti interessate interne;
- politiche, obiettivi e strategie in corso di realizzazione;
- percezioni, valori e cultura;
- norme e modelli di riferimento adottati dall’organizzazione;
- strutture (per esempio governance, ruoli e responsabilità di rendere conto).

36. UNI/PdR 6:2014
© UNI 33
The organisation shall identify and document the following in defining the context for the
management system and its commitment to the management of risk and resilience within specific
internal and external contexts of the organisation:
a) the organisation's critical activities, functions, services, products, partnerships, supply chain,
stakeholder relationships, and the potential impact related to an incident either natural or
manmade for the organisation and its stakeholders;
b) the identification of important assets;
c) the components of end-to-end product or service supply chain flow, showing how they are
configured or linked to deliver critical products and/or services;
d) links between the resilience management policy and the organisation's objectives and other
policies;
e) the organisation's rationale for managing risk and resilience;
f) accountabilities and responsibilities for managing risk and resilience4
;
g) the organisation's tolerable level of risk;
h) resources available to assist those accountable or responsible for managing risk and
resilience;
i) commitment to the periodic review and verification of the resilience management system and
framework;
j) continual improvement.
5.2.3 MANAGEMENT COMMITMENT
Management shall provide evidence of its commitment to the establishment, implementation,
operation, monitoring, review, maintenance, and improvement of the resilience management system
by:
a) establishing a resilience management policy;
b) ensuring that resilience management policy objectives and plans are established;
c) establishing roles, responsibilities, and competencies for resilience management functions;
4
For the purpose of this document, it should be noted and properly taken into consideration the value of the
difference between being accountable and being responsible. Accountability is to be understood as the state
of being responsible to someone or an organisation for some action, or lack of action. Responsibility is the
state of having the task (duty) of doing something. Not necessarily is the duty to carry out the action
(responsibility) and the accountability (being answerable) that it is done, held by the same person.

37. UNI/PdR 6:2014
© UNI 34
Nel definire il contesto per il sistema di gestione e il suo impegno alla gestione del rischio e della
resilienza, in riferimento al suo specifico contesto interno ed esterno, l’organizzazione deve
identificare e documentare:
a) attività, funzioni, servizi, prodotti, partenariati, catena di approvvigionamento, relazioni con le
parti interessate, critici per l’organizzazione, e il potenziale impatto di un incidente sia
naturale sia indotto da attività umana a danno dell’organizzazione e le parti interessate;
b) l’identificazione dei beni rilevanti;
c) gli elementi che compongono il flusso della catena di approvvigionamento di prodotti o
servizi, mostrando come siano configurati o collegati per fornire prodotti e/o servizi critici;
d) le relazioni della politica di gestione della resilienza con gli obiettivi e le altre politiche
dell’organizzazione;
e) il fondamento logico dell’organizzazione nella gestione del rischio e della resilienza;
f) le responsabilità di rendere conto e le responsabilità nella gestione del rischio e della
resilienza4
;
g) il livello tollerabile di rischio per l’organizzazione;
h) le risorse disponibili a supporto di coloro che sono responsabili di rendere conto o
responsabili della gestione di rischio e resilienza;
i) l’impegno a un riesame e una verifica periodica del sistema di gestione della resilienza e del
suo quadro strutturale;
j) il miglioramento continuo.
5.2.3 IMPEGNO DELLA DIREZIONE
La direzione deve fornire evidenza del suo impegno a stabilire, attuare, eseguire, monitorare,
riesaminare, mantenere e migliorare il sistema di gestione della resilienza:
a) stabilendo una politica di gestione della resilienza;
b) assicurando che siano fissati gli obiettivi e i piani per la politica di gestione della resilienza;
c) stabilendo ruoli, responsabilità e competenze per le funzioni di gestione della resilienza;
4
Ai fini del presente documento è opportuno sottolineare e tenere in adeguata considerazione il valore della
distinzione tra l’essere responsabili di rendere conto (accountable) e l’essere responsabili (responsible). La
responsabilità di rendere conto (accountability) è da intendersi come responsabilità di rispondere a qualcuno o
a un'organizzazione, rendendo conto di un'azione o una mancata azione. La responsabilità (responsibility) è
da intendersi come la condizione di avere il compito di fare qualcosa. Non necessariamente l'onere di portare
a termine un'azione (responsibility) e la responsabilità di rendere conto che ciò venga fatto (accountability),
sono in capo alla stessa persona.

38. UNI/PdR 6:2014
© UNI 35
d) appointing the Security Liaison Officer (SLO), as well as one or more persons, as
appropriate, coordinated by the SLO, to be accountable to management for the resilience
management policy with the appropriate authority and competencies to be accountable for
the implementation and maintenance of the management system;
e) communicating to the organisation the importance of meeting resilience management
objectives and conforming to resilience management policy, its responsibilities under the
law, and the need for continual improvement;
f) providing sufficient resources to establish the context, define, plan, implement, operate,
check, review, and improve the resilience management system;
g) adopting a metrics concept to measure the performance versus objectives, as defined by the
standard UNI ISO 31000;
h) deciding the criteria for accepting risk and the acceptable levels of risk;
i) ensuring that internal resilience management system audits are conducted;
j) conducting management reviews of the resilience management system;
k) demonstrating its commitment to continual improvement.
Continual improvement is of fundamental importance in the achievement of resilience management.
Therefore management shall provide evidence of its commitment to continually improve the
effectiveness of the resilience management system, providing appropriate and adequate resources
to this regard.
5.2.4 SET SCOPE AND OBJECTIVES FOR RESILIENCE MANAGEMENT SYSTEM
The organisation shall define and document the scope and objectives of its resilience management
system within specific internal and external contexts of the organisation.
In defining the scope, the organisation shall:
a) define the boundaries of the organisation to be included in the scope of its resilience
management system. The boundaries shall encompass all and every activity and location
that play a fundamental role in the provision of critical goods and services to stakeholders;
b) establish the requirements for resilience management, considering the organisation's
objectives, goals, internal and external obligations, in particular those related to
stakeholders, and legal responsibilities;
c) consider critical operational objectives, assets, activities, functions, services, and products;
d) determine risk, based both on potential internal and external disruptions, that could
adversely affect the operations and functions of the organisation within the context of their
potential likelihood and impact;

39. UNI/PdR 6:2014
© UNI 36
d) incaricando il Security Liaison Officer (SLO), così come una o più persone, come più
opportuno, coordinate da SLO, di essere responsabile di rendere conto alla direzione della
politica di gestione della resilienza, con l’autorità e le competenze adeguate per essere
responsabile di rendere conto dell’attuazione e del mantenimento del sistema di gestione;
e) comunicando all’organizzazione l’importanza di raggiungere gli obiettivi di gestione della
resilienza e di conformarsi alla politica di gestione della resilienza, agli obblighi di legge
applicabili e della necessità di miglioramento continuo;
f) fornendo sufficienti risorse per stabilire il contesto, definire, pianificare, attuare, eseguire,
verificare, riesaminare e migliorare il sistema di gestione della resilienza;
g) adottando, come previsto dalla norma UNI ISO 31000, un sistema di misura per valutare la
prestazione rispetto all’obiettivo;
h) decidendo i criteri di tollerabilità del rischio e i livelli accettabili di rischio;
i) assicurando che siano condotti audit interni del sistema di gestione della resilienza;
j) effettuando riesami da parte della direzione del sistema di gestione della resilienza;
k) dimostrando il proprio impegno a sostegno del miglioramento continuo.
Il miglioramento continuo è di fondamentale importanza nella realizzazione della gestione della
resilienza. Pertanto, la direzione deve fornire evidenza del suo impegno a migliorare in modo
continuo l’efficacia del sistema di gestione della resilienza, fornendo risorse appropriate e adeguate
a tale riguardo.
5.2.4 DEFINIZIONE DEL CAMPO DI APPLICAZIONE E DEGLI OBIETTIVI DEL SISTEMA DI
GESTIONE DELLA RESILIENZA
L’organizzazione deve definire e documentare il campo di applicazione e gli obiettivi del proprio
sistema di gestione della resilienza in riferimento al suo specifico contesto interno ed esterno.
Nel definire il campo di applicazione l’organizzazione deve:
a) definire i confini dell’organizzazione entro cui applicare il proprio sistema di gestione della
resilienza. I confini devono ricomprendere ogni attività e luogo aventi un ruolo fondamentale
nella fornitura di beni e servizi critici per le parti interessate;
b) stabilire i requisiti per la gestione della resilienza, considerando gli obiettivi e gli scopi
dell’organizzazione, gli obblighi di carattere interno ed esterno, in particolare quelli inerenti le
parti interessate, e le responsabilità legali;
c) considerare gli obiettivi operativi, i beni, le attività, le funzioni, i servizi e i prodotti critici;
d) determinare il rischio, basato su potenziali interruzioni sia interne sia esterne, che
potrebbero ripercuotersi negativamente sulle operazioni e funzioni dell’organizzazione con
riferimento alla loro probabilità e impatto potenziale;

40. UNI/PdR 6:2014
© UNI 37
e) define scope of the resilience management system in terms of and appropriate to the size,
nature, and complexity of the organisation from a perspective of continual improvement.
The organisation shall define the scope consistent with protecting and preserving the integrity of the
organisation and its capability to supply critical goods and services, including relationships with
stakeholders, interactions with key suppliers, outsourcing partners, and other stakeholders (for
example, the organisation's supply chain partners and suppliers, customers, stakeholders, the
community in which it operates, etc.).
The outcome of the resilience management system will play a fundamental and determining role in
the protection of a Critical Infrastructure, and its capability to provide critical goods and services for
the well-being of citizens and, more in general, the effective functioning of society.
The organisation shall also assign strategic relevance to security management, preparedness,
mitigation, crisis management; emergency management, business continuity management, disaster
management, and recovery management in developing its resilience management system, based
on the risk assessment (see 5.4.2).
5.2.5 DESIGNATE THE SECURITY LIAISON OFFICER (SLO)
Appropriately authorised management shall define, document, and provide resources for the
organisation's management system into which the resilience management system has been
incorporated, reflecting a commitment to the protection of human, environmental, and physical
assets; anticipating and preparing for potential incidents; and business and operational resilience.
Management shall designate a SLO, as required by the Council Directive 2008/114/EC (see 5.5.1).
Management shall ensure the availability of adequate and appropriate resources essential for the
implementation and control of the resilience management system and the reaching of its objectives.
Resources include human resources and specialized skills, equipment, internal infrastructure,
technology, information, intelligence, and financial resources.
Management shall ensure that all resources are adequately and appropriately utilized for the
efficient and efficacious implementation of the resilience system.
5.2.6 ESTABLISH AND IMPLEMENT AN INTELLIGENCE GATHERING AND SHARING
PROCESS
The organisation shall establish and implement an intelligence process for the gathering, analysing,
managing and, as opportune, sharing of intelligence.
This shall be done both inside and outside the organisation as appropriate. The intelligence process
shall be designed in such a way as to ensure that the organisation possesses knowledge, and is
capable of acting upon it, that is beneficial for it to be able to develop and supply critical services
and products to stakeholders continuously at an acceptable level.
This shall include, but not be limited to, the gathering of information regarding the present and,
foreseeable future, status of direct and indirect suppliers and their capability to supply what is
needed by the organisation for this scope.

41. UNI/PdR 6:2014
© UNI 38
e) definire il campo di applicazione del sistema di gestione della resilienza in termini adeguati
a dimensione, natura e complessità dell’organizzazione in un’ottica di miglioramento
continuo.
L’organizzazione deve definire il campo di applicazione in coerenza con la protezione e la
conservazione della sua integrità e capacità di fornire beni e servizi critici, compresi i rapporti con le
parti interessate, le interazioni con i fornitori chiave, i fornitori di servizi esternalizzati e altre parti
interessate (per esempio fornitori e partner della catena di approvvigionamento dell’organizzazione,
clienti, altre parti interessate, la comunità in cui opera, ecc.).
L’attività del sistema di gestione della resilienza svolgerà un ruolo fondamentale e determinante
nella tutela di una Infrastruttura Critica e della sua capacità di fornire beni e servizi critici per il
benessere dei cittadini e, più in generale, l’efficace funzionamento della società.
Nello sviluppo del suo sistema di gestione della resilienza, l’organizzazione deve altresì attribuire
rilevanza strategica alla gestione della sicurezza, alla preparazione, mitigazione e gestione delle
crisi; alla gestione delle emergenze; alla gestione della continuità operativa alla gestione di disastri
e alla gestione del ripristino, basandosi sulla valutazione del rischio (vedere 5.4.2).
5.2.5 DESIGNAZIONE DEL SECURITY LIAISON OFFICER (SLO)
La direzione designata deve definire, documentare e fornire le risorse per il sistema di gestione
dell’organizzazione in cui è inserito il sistema di gestione della resilienza, riflettendo un impegno alla
tutela di beni umani, ambientali e materiali, anticipando e preparandosi a potenziali incidenti al fine
di provvedere alla resilienza di business e operativa.
La direzione deve designare un SLO, come disposto dalla Direttiva 2008/114/CE (vedere 5.5.1). La
direzione deve assicurare la disponibilità di risorse adeguate e appropriate, essenziali per attuare e
controllare il sistema di gestione della resilienza e il raggiungimento dei suoi obiettivi. Sono
comprese risorse umane, competenze specialistiche, attrezzature, infrastrutture interne, tecnologia,
informazione, intelligence e risorse finanziarie.
La direzione deve assicurare che tutte le risorse siano adeguatamente e conformemente impiegate
ai fini di un’efficiente ed efficace attuazione del sistema di gestione della resilienza.
5.2.6 DEFINIZIONE E ATTUAZIONE DI UN PROCESSO DI RACCOLTA E CONDIVISIONE DI
INTELLIGENCE
L’organizzazione deve stabilire e attuare un processo di intelligence per la raccolta, analisi,
gestione e condivisione di intelligence, per quanto opportuno.
Ciò deve essere eseguito all’interno e all’esterno dell’organizzazione, nel modo opportuno. Il
processo di intelligence deve essere progettato per assicurare che l’organizzazione possegga
conoscenza e sia capace di agire sulla base di questa, a beneficio della sua capacità di sviluppare
ed erogare beni e servizi critici alle parti interessate in modo continuo a un livello accettabile.
Ciò deve prevedere ma non limitarsi solo alla raccolta di informazioni riguardanti il presente e il
prevedibile futuro stato di fornitori diretti e indiretti e della loro capacità di fornire quanto è
necessario all’organizzazione a tale scopo.

42. UNI/PdR 6:2014
© UNI 39
The organisation shall keep up to date with the general status of other Critical Infrastructures,
whose failing could have a direct, or indirect, effect upon the organisation’s capability to develop
and/or supply, critical services and/or products.
The organisation shall share information with other Critical Infrastructures, stakeholders and
appropriate authorities as is opportune.
5.3 RESILIENCE POLICY
The protection of Critical Infrastructures is realized through the implementation of all embracing
protection plans which contain indications of targets, measures and operational plans. The
protection measures are based on the full scope of risks and keep in mind the aspects of the whole
risk management cycle. Thus the organisation adopting this Critical Infrastructure resilience
management system shall produce a resilience policy statement to be incorporated into its
management system. The resilience policy statement shall be appropriate to the nature and scale of
potential risks to the organisation's activities, functions, products, services, and capability of
supplying critical goods and services to stakeholders.
The policy shall:
a) include a commitment to employee and community life safety as the first priority;
b) include a commitment to continual improvement;
c) include a commitment to enhanced organisational sustainability and resilience;
d) include a commitment to flexible and proactive risk minimization;
e) include a commitment to implement a procedure for ensuring that pertinent security
management information is communicated to and from relevant employees, suppliers and
other stakeholders;
NOTE Because of the sensitive nature of certain security related information, due consideration
shall be given to the sensitivity of information prior to their sharing; the organisation shall have a
specific procedure in place for the management of communications of classified information.
f) include a procedure for the gathering and sharing of information including intelligence
regarding potential direct and indirect threats to the organisation that could impact security
management operations and activities and have negative effects upon the organisation’s
capability to produce and/or supply goods or provide services that are vital to stakeholders
and the population and society in general. The intelligence operations shall be structured on
three levels, strategic, tactical and operational. This shall include:
I. the establishing and managing of two way communications with the national secretariat
for Critical Infrastructure, as is appropriate and adequate;

43. UNI/PdR 6:2014
© UNI 40
L’organizzazione deve tenersi al corrente dello stato generale delle altre Infrastrutture Critiche dal
cui malfunzionamento potrebbe derivare un effetto diretto o indiretto sulla sua capacità di sviluppare
e/o erogare beni e/o servizi critici.
L’organizzazione deve condividere l’informazione con altre Infrastrutture Critiche, le parti interessate
e le autorità competenti, come opportuno.
5.3 POLITICA PER LA RESILIENZA
La tutela delle Infrastrutture Critiche si realizza attraverso l’attuazione di piani di protezione
onnicomprensivi che contengono indicazioni in termini di obiettivi, misure e piani operativi. Le
misure di tutela si basano sull’intero spettro di rischi e tengono in considerazione gli aspetti
dell’intero ciclo di gestione del rischio. Pertanto, l’organizzazione che adotta questo sistema di
gestione per la resilienza per le Infrastrutture Critiche deve produrre una dichiarazione della politica
per la resilienza da integrarsi nel suo sistema di gestione. Tale dichiarazione deve essere adeguata
alla natura ed entità di potenziali rischi per attività, funzioni, prodotti e servizi dell’organizzazione e
la sua capacità di fornire prodotti o servizi critici alle parti interessate.
La politica deve:
a) come prima priorità includere un impegno alla sicurezza della vita dei dipendenti e della
comunità;
b) includere un impegno a sostegno del miglioramento continuo;
c) includere un impegno a sostegno di una rafforzata sostenibilità e resilienza organizzativa;
d) includere un impegno a sostegno di una minimizzazione del rischio preventiva e proattiva;
e) includere un impegno a sostegno dell’attuazione di procedure per assicurare che una
coerente informazione relativa alla gestione della sicurezza sia comunicata da e verso i
pertinenti dipendenti, fornitori e altre parti interessate;
NOTA A causa della natura sensibile di certe informazioni relative alla sicurezza, è necessaria
considerare la delicatezza di tali informazioni, prima della loro condivisione; l’organizzazione deve
avere una specifica procedura di gestione della comunicazione di informazioni riservate.
f) includere una procedura per la raccolta e condivisione di informazione, compresa
l’intelligence riguardante potenziali minacce dirette e indirette all’organizzazione, che
potrebbero impattare su operazioni e attività di gestione della sicurezza e avere effetti
negativi sulla capacità dell’organizzazione di produrre e/o fornire beni o erogare servizi vitali
per le parti interessate, la popolazione e la società in generale. Le operazioni di intelligence
devono essere strutturate su tre livelli, strategico, tattico e operativo. Ciò deve includere:
I. la costituzione e la gestione, in modo corretto e adeguato, di un sistema di
comunicazione bidirezionale con l’autorità nazionale per le Infrastrutture Critiche;

44. UNI/PdR 6:2014
© UNI 41
II. the establishing and managing of opportune two way communications with other
relevant organisations;
III. the promotion of co-operation between the organisation and relevant public institutions
and agencies in order to exchange relevant intelligence and co-operate in the protection
of Critical Infrastructures;
g) include a commitment to comply with applicable legal requirements and with other
requirements to which the organisation subscribes, this includes compliance with the cross-
cutting criteria referred to in the Council Directive 2008/114/EC:
I. casualties criterion, assessed in terms of the potential number of fatalities or injuries;
II. economic effects criterion, assessed in terms of the significance of economic loss and/or
degradation of products or services; including potential environmental effects;
III. public effects criterion, assessed in terms of the impact on public confidence, physical
suffering and disruption of daily life; including the loss of essential services.
NOTE The cross-cutting criteria thresholds shall be based on the severity of the impact of the
disruption or destruction of a particular infrastructure. The precise thresholds applicable to the
cross-cutting criteria shall be determined on a case-by-case basis by the relevant EU Member State
concerned by a particular Critical Infrastructure.
h) determine and document the risk tolerance in relation to the scope of the management policy
and address and specify where in the management system, adopted by the organisation, the
following elements related to resilience management are addressed:
 a framework for setting and reviewing resilience management policy objectives and
targets:
 references to limitations and exclusions;
 a designated policy owner and/or responsible point of contact;
 the SLO or person designated on his/her behalf;
 how the policy is documented, implemented and maintained, communicated to all
appropriate persons working for or on behalf of the organisation, and is made available
to relevant stakeholders;
NOTE An organisation can choose to make public a non-confidential version of its resilience policy,
not including sensitive security-related information.
 how the policy is reviewed at planned intervals and when significant changes occur;

45. UNI/PdR 6:2014
© UNI 42
II. la costituzione e la gestione di un opportuno sistema di comunicazione bidirezionale con
altre organizzazioni pertinenti;
III. la promozione di cooperazione tra l’organizzazione e le istituzioni e le agenzie pubbliche
rilevanti al fine di uno scambio di intelligence pertinente e di una collaborazione nella
tutela di Infrastrutture Critiche;
g) includere un impegno per il rispetto delle prescrizioni di legge e altre prescrizioni cui
l’organizzazione fa riferimento, incluso il rispetto dei criteri di valutazione intersettoriali di cui
alla Direttiva 2008/114/CE del Consiglio Europeo:
I. il criterio del numero di vittime valutato in termini di numero potenziale di morti o feriti;
II. il criterio delle conseguenze economiche valutate in termini di entità delle perdite
economiche e/o del deterioramento di prodotti o servizi, comprese le potenziali
conseguenze ambientali;
III. il criterio delle conseguenze per i cittadini valutate in termini di impatto sulla fiducia dei
cittadini, sofferenze fisiche e perturbazione della vita quotidiana, compresa la perdita di
servizi essenziali.
NOTA Le soglie dei criteri intersettoriali devono basarsi sulla gravità delle conseguenze del
danneggiamento o della distruzione di una determinata infrastruttura. Le soglie puntuali applicabili ai
criteri intersettoriali devono essere determinate caso per caso dal pertinente Stato Membro UE,
interessato da una determinata Infrastruttura Critica.
h) determinare e documentare la tollerabilità del rischio in relazione al campo di applicazione
della politica di gestione, specificando dove nel sistema di gestione adottato
dall’organizzazione sono affrontati i seguenti elementi relativi alla gestione della resilienza:
 un quadro strutturale per definire e riesaminare gli obiettivi e i risultati della politica di
gestione della resilienza;
 i riferimenti ai limiti e alle eccezioni;
 il titolare designato alla politica di gestione e/o il punto di contatto responsabile;
 SLO o persona designata per suo conto;
 come la politica è documentata, attuata e mantenuta, come è comunicata a tutte le
persone coinvolte che lavorano per l’organizzazione o per suo conto, e come è resa
disponibile alle parti interessate rilevanti;
NOTA Un’organizzazione può decidere di rendere pubblica una versione non riservata della sua
politica per la resilienza, omettendo informazioni sensibili relative alla sicurezza.
 come la politica è riesaminata a intervalli pianificati e in caso di cambiamenti significativi;

46. UNI/PdR 6:2014
© UNI 43
 how the policy visibly endorsed by appropriately authorised management;
 how the policy interacts and the effects of interaction with other Critical Infrastructure
sectors in the case of interruption of production, service and supply.
5.4 PLANNING
5.4.1 STRATEGIC PLANS AND PROGRAMMES
The organisation shall establish and maintain one or more strategic plans and programmes for:
a) prevention and protection in order to avoid, eliminate, deter, protect from or prevent the
likelihood of an incident and its consequence, including removal of human or physical assets
at risk;
b) mitigation in order to minimize the impact of an incident;
c) response, taking into account the initial response to an incident involving the protection of
people and property from immediate harm. An initial reaction by management may form part
of the organisation's first response;
d) continuity, ensuring that processes, controls, and resources are made available to ensure
that the organisation continues to meet its critical business and operational objectives;
e) recovery, ensuring that processes, resources, and capabilities of the organisation are re-
established to meet ongoing operational requirements within the time period specified in the
objectives.
The organisation shall establish, implement and maintain one or more strategic programmes for
achieving its objectives and targets. The programmes shall be optimized and prioritized in order to
control and treat risk associated with the likelihood and impact of disruptions to the organisation and
its supply chain. The programmes shall include:
a) designation of responsibility and resources for achieving objectives and targets at relevant
functions and levels of the organisation;
b) consideration of its activities, functions, regulatory or legal requirements, contractual and
supply chain obligations, stakeholders' needs and the environment;
c) the means, time-frame and resource allocation by which the resilience management
objectives and targets are to be achieved.
The organisation shall evaluate its strategic programmes to determine if these measures have
introduced new risks. The resilience management programmes shall be reviewed periodically to
ensure that they remain effective and consistent with the objectives and targets. Where necessary,
the programmes shall be amended accordingly.

47. UNI/PdR 6:2014
© UNI 44
 come la politica è apertamente sostenuta da parte della direzione designata;
 come la politica interagisce e gli effetti di tale interazione con altri settori di Infrastrutture
Critiche in caso di interruzione della produzione, erogazione o fornitura.
5.4 PIANIFICAZIONE
5.4.1 PIANI E PROGRAMMI STRATEGICI
L’organizzazione deve stabilire e mantenere uno o più piani e programmi strategici per:
a) la prevenzione e la protezione al fine di evitare, eliminare, dissuadere, prevenire e
proteggersi dalla probabilità di incidente e della sua conseguenza, compreso
l’allontanamento di risorse umane o la rimozione di strutture fisiche a rischio;
b) la mitigazione al fine di minimizzare l’impatto di un incidente;
c) la risposta, tenendo in considerazione la risposta iniziale a un incidente che riguarda la
tutela di persone e immobili da danno immediato. Un’iniziale reazione da parte della
direzione può formare parte della prima risposta dell’organizzazione;
d) la continuità, assicurando che i processi, i controlli e le risorse siano resi disponibili per
garantire che l’organizzazione continui a soddisfare i suoi obiettivi di continuità operativa
critici;
e) il ripristino, assicurando che i processi, le risorse e le capacità dell’organizzazione siano
ristabiliti per soddisfare i requisiti di continuità operativa entro il termine di tempo specificato
negli obiettivi.
L’organizzazione deve stabilire, attuare e mantenere uno o più programmi strategici per conseguire
i suoi obiettivi e risultati. I programmi devono essere ottimizzati e definiti per priorità per controllare e
trattare il rischio associato alla probabilità e all’impatto di interruzioni sull’organizzazione e la sua
catena di approvvigionamento. I programmi devono:
a) includere la designazione di responsabilità e le risorse per il raggiungimento di obiettivi e
risultati correlati alle funzioni e ai livelli pertinenti dell’organizzazione;
b) considerare le attività e le funzioni, le prescrizioni, normative e legali, gli obblighi contrattuali
e la catena di approvvigionamento, le esigenze delle parti interessate e l’ambiente;
c) includere gli strumenti, la tempistica di riferimento e le risorse allocate con cui devono
essere conseguiti gli obiettivi e i risultati previsti per la gestione della resilienza.
L’organizzazione deve valutare i propri programmi strategici per determinare se tali misure abbiano
introdotto nuovi rischi. I programmi per la gestione della resilienza devono essere riesaminati
periodicamente per assicurare che continuino a essere efficaci e coerenti con gli obiettivi e i risultati.
Qualora necessario, i programmi devono essere coerentemente corretti.

48. UNI/PdR 6:2014
© UNI 45
5.4.2 RISK ASSESSMENT AND PROCESS MONITORING
The organisation shall establish, implement, and maintain an ongoing formal and documented risk
assessment process to:
a) identify risk due to intentional, unintentional, and naturally-caused hazards and threats that
have a potential for direct or indirect impact on the organisation's activities, operations,
functions and supply chain; human, intangible, and physical assets; the environment; and its
stakeholders;
b) systematically analyse risk, including likelihood, vulnerability, criticality, and
impact/consequence;
c) determine those risks that have a significant consequence on activities, functions, services,
products, supply chain, stakeholder relationships, and the environment;
d) systematically evaluate and prioritize risk control and treatment and their related costs.
The organisation shall:
a) document and keep this information up to date and confidential, as is appropriate;
b) periodically review whether the resilience management scope, policy, and risk assessment
are still appropriate given the organisation's internal and external context;
c) ensure that prioritised risks are taken into account in establishing, implementing, and
operating its resilience management system;
d) re-evaluate risk within the context of relevant changes within and outside the organisation or
made to the organisation's operating environment, procedures, functions, services,
partnerships, and supply chain;
e) develop risk criteria that are used to evaluate the significance of risk. The risk criteria reflect
the internal and external context of the organisation, including its values, objectives and
resources;
f) establish criteria for maximum allowable downtime, recovery time objectives, as well as
acceptable levels of loss associated with the organisation and its supply chain's products,
services and functions;
g) establish a prioritized timeframe for recovery of activities and functions within the
organisation and throughout the supply chain;
h) evaluate the direct and indirect benefits and costs of options to reduce risk and enhance
sustainability and resilience.