OT CYBER RISK & GOVERNANCE ASSESSMENT QUESTIONNAIRE
Industrial OT Maturity & Risk Positioning Framework
ISTRUZIONI PER LA COMPILAZIONE
Questo questionario valuta la maturità della governance del rischio cyber OT. Non è un audit tecnico: non richiede competenze di sicurezza avanzate e può essere completato dal responsabile di produzione, dall'IT manager o da un consulente con supporto aziendale.
Per ogni domanda, selezionare il punteggio che meglio descrive la situazione attuale. Rispondere sulla base di pratiche effettivamente implementate, non su intenzioni future.
0 = ASSENTE / NON IMPLEMENTATO
1 = INFORMALE / PARZIALMENTE AD HOC
2 = PARZIALMENTE STRUTTURATO / NON SISTEMATICO
3 = STRUTTURATO E FORMALMENTE GOVERNATO
Tempo stimato di compilazione: 25–40 minuti
Le risposte verranno elaborate automaticamente per generare il Report di Maturità OT.
SEZIONE 0 - PROFILO AZIENDALE
Questa sezione raccoglie il contesto organizzativo. Non è oggetto di scoring ma è utilizzata per personalizzare il report e le raccomandazioni.
P1. SETTORE DI APPARTENENZA
*
P1. SETTORE DI APPARTENENZA
P2. DIMENSIONE AZIENDALE
*
P3. FORNITORI ESTERNI CON ACCESSO AGLI IMPIANTI OT?
*
P3. FORNITORI ESTERNI CON ACCESSO AGLI IMPIANTI OT?
P4. L'AZIENDA RITIENE DI POTER RIENTRARE NELL'AMBITO DI APPLICAZIONE DELLA DIRETTIVA NIS2?
*
P4. L'AZIENDA RITIENE DI POTER RIENTRARE NELL'AMBITO DI APPLICAZIONE DELLA DIRETTIVA NIS2?
SEZIONE 1 - Contesto OT e Criticità
1. È presente un inventario aggiornato degli asset OT (PLC, HMI, SCADA, ecc.)?
*
1. È presente un inventario aggiornato degli asset OT (PLC, HMI, SCADA, ecc.)?
2. I sistemi di produzione critici sono formalmente identificati e documentati?
*
2. I sistemi di produzione critici sono formalmente identificati e documentati?
3. L'impatto sul business di un'interruzione dei sistemi OT è formalmente valutato?
*
3. L'impatto sul business di un'interruzione dei sistemi OT è formalmente valutato?
4. Ruoli e responsabilità OT sono chiaramente assegnati (owner, referenti, escalation)?
*
4. Ruoli e responsabilità OT sono chiaramente assegnati (owner, referenti, escalation)?
5. La gestione del rischio OT è formalmente distinta dalla gestione del rischio IT?
Es. esistono processi separati, referenti dedicati o valutazioni specifiche per l'ambiente OT.
*
5. La gestione del rischio OT è formalmente distinta dalla gestione del rischio IT?
Es. esistono processi separati, referenti dedicati o valutazioni specifiche per l'ambiente OT.
SEZIONE 2 - Architettura IT/OT e Connetività
6. Esiste separazione logica tra ambienti IT e OT?
*
6. Esiste separazione logica tra ambienti IT e OT?
7. I flussi di comunicazione tra IT e OT sono documentati (sistemi, scopo, owner)?
*
7. I flussi di comunicazione tra IT e OT sono documentati (sistemi, scopo, owner)?
8. Le comunicazioni consentite tra IT e OT sono governate da regole definite?
Es. whitelist di comunicazione, policy approvata, regole firewall documentate.
*
8. Le comunicazioni consentite tra IT e OT sono governate da regole definite?
Es. whitelist di comunicazione, policy approvata, regole firewall documentate.
9. Le connessioni esterne verso l'ambiente OT (es. fornitori, cloud) sono controllate e giustificate?
*
9. Le connessioni esterne verso l'ambiente OT (es. fornitori, cloud) sono controllate e giustificate?
10. La connettività IT/OT è soggetta a revisione periodica (almeno annuale)?
*
10. La connettività IT/OT è soggetta a revisione periodica (almeno annuale)?
SEZIONE 3 - Accessi e Gestione Fornitori
11. Gli account utente OT sono individuali (nessun account condiviso)?
*
11. Gli account utente OT sono individuali (nessun account condiviso)?
12. L'accesso remoto ai sistemi OT è formalmente governato (policy, autorizzazioni)?
Es. esiste un processo di approvazione, canale dedicato, limiti di orario/durata.
*
12. L'accesso remoto ai sistemi OT è formalmente governato (policy, autorizzazioni)?
Es. esiste un processo di approvazione, canale dedicato, limiti di orario/durata.
13. È disponibile autenticazione rafforzata (MFA o equivalente) per gli accessi remoti OT?
Nota critica: gli accessi remoti non protetti da MFA sono uno dei principali vettori di attacco nelle PMI.
*
13. È disponibile autenticazione rafforzata (MFA o equivalente) per gli accessi remoti OT?
Nota critica: gli accessi remoti non protetti da MFA sono uno dei principali vettori di attacco nelle PMI.
14. Le sessioni di accesso remoto sono registrate o tracciabili (log utente, target, durata)?
*
14. Le sessioni di accesso remoto sono registrate o tracciabili (log utente, target, durata)?
15. L'accesso dei fornitori è limitato nel tempo e soggetto a revisione periodica?
*
15. L'accesso dei fornitori è limitato nel tempo e soggetto a revisione periodica?
16. Esiste un processo formale per revocare gli accessi OT quando non più necessari?
*
16. Esiste un processo formale per revocare gli accessi OT quando non più necessari?
SEZIONE 4 - Continuità Operativa e Ripristino
17. Sono documentate le procedure di risposta agli incidenti cyber che impattano l'OT?
*
17. Sono documentate le procedure di risposta agli incidenti cyber che impattano l'OT?
18. Sono eseguiti backup dei sistemi OT critici (configurazioni, firmware, immagini)?
*
18. Sono eseguiti backup dei sistemi OT critici (configurazioni, firmware, immagini)?
19. I backup OT sono periodicamente testati per verificarne il ripristino effettivo?
Non è sufficiente che i backup esistano: deve essere verificato che il restore funzioni concretamente.
*
19. I backup OT sono periodicamente testati per verificarne il ripristino effettivo?
Non è sufficiente che i backup esistano: deve essere verificato che il restore funzioni concretamente.
20. Sono definiti Recovery Time Objective (RTO) per le linee di produzione critiche?
*
20. Sono definiti Recovery Time Objective (RTO) per le linee di produzione critiche?
21. Esiste un processo di escalation definito in caso di fermo o anomalia grave OT?
Es. chi decide lo stop, chi coordina il ripristino, chi contatta i fornitori.
*
21. Esiste un processo di escalation definito in caso di fermo o anomalia grave OT?
Es. chi decide lo stop, chi coordina il ripristino, chi contatta i fornitori.
Sezione 5 – Change Management e Progetti
22. Le modifiche ai sistemi OT sono formalmente documentate (registro modifiche)?
*
22. Le modifiche ai sistemi OT sono formalmente documentate (registro modifiche)?
23. L'impatto sulla sicurezza cyber è valutato prima di modifiche rilevanti agli impianti OT?
*
23. L'impatto sulla sicurezza cyber è valutato prima di modifiche rilevanti agli impianti OT?
24. La gestione di patch e aggiornamenti firmware OT è governata da un processo definito?
Nota: in ambienti OT, gli aggiornamenti richiedono valutazione di compatibilità e test su ambienti non critici prima del deploy.
*
24. La gestione di patch e aggiornamenti firmware OT è governata da un processo definito?
Nota: in ambienti OT, gli aggiornamenti richiedono valutazione di compatibilità e test su ambienti non critici prima del deploy.
25. La sicurezza OT è considerata nelle fasi iniziali di nuovi progetti di automazione (security-by-design)?
*
25. La sicurezza OT è considerata nelle fasi iniziali di nuovi progetti di automazione (security-by-design)?
26. IT e OT collaborano formalmente su modifiche significative che impattano la connettività o la produzione?
*
26. IT e OT collaborano formalmente su modifiche significative che impattano la connettività o la produzione?
Sezione 6 – Governance, Formazione e Normativa
27. Esistono linee guida o policy documentate sulla cybersecurity OT?
Anche un documento di 1–2 pagine con regole pratiche costituisce un 'minimum standard' adeguato per le PMI.
*
27. Esistono linee guida o policy documentate sulla cybersecurity OT?
Anche un documento di 1–2 pagine con regole pratiche costituisce un 'minimum standard' adeguato per le PMI.
28. Il management rivede periodicamente la postura di rischio cyber OT?
*
28. Il management rivede periodicamente la postura di rischio cyber OT?
29. Esiste un coordinamento strutturato tra IT e Produzione sui temi di rischio OT (es. incontri periodici)?
*
29. Esiste un coordinamento strutturato tra IT e Produzione sui temi di rischio OT (es. incontri periodici)?
30. Il personale con responsabilità OT riceve formazione/indicazioni sui rischi cyber?
*
30. Il personale con responsabilità OT riceve formazione/indicazioni sui rischi cyber?
31. L'organizzazione ha valutato l'applicabilità degli obblighi normativi (es. NIS2, requisiti contrattuali clienti)?
Inclusi eventuali requisiti di cybersecurity posti da clienti enterprise o dalla supply chain.
*
31. L'organizzazione ha valutato l'applicabilità degli obblighi normativi (es. NIS2, requisiti contrattuali clienti)?
Inclusi eventuali requisiti di cybersecurity posti da clienti enterprise o dalla supply chain.