OT CYBER RISK & GOVERNANCE ASSESSMENT QUESTIONNAIRE
Industrial OT Maturity & Risk Positioning Framework
ISTRUZIONI PER LA COMPILAZIONE
Questo questionario valuta la maturità della governance del rischio cyber OT. Non è un audit tecnico: non richiede competenze di sicurezza avanzate e può essere completato dal responsabile di produzione, dall'IT manager o da un consulente con supporto aziendale.
Per ogni domanda, selezionare il punteggio che meglio descrive la situazione attuale. Rispondere sulla base di pratiche effettivamente implementate, non su intenzioni future.
0 = ASSENTE / NON IMPLEMENTATO
1 = INFORMALE / PARZIALMENTE AD HOC
2 = PARZIALMENTE STRUTTURATO / NON SISTEMATICO
3 = STRUTTURATO E FORMALMENTE GOVERNATO
Tempo stimato di compilazione: 25–40 minuti
Le risposte verranno elaborate automaticamente per generare il Report di Maturità OT.
SEZIONE 0 - PROFILO AZIENDALE
Questa sezione raccoglie il contesto organizzativo. Non è oggetto di scoring ma è utilizzata per personalizzare il report e le raccomandazioni.
P1. SETTORE DI APPARTENENZA
*
P1. SETTORE DI APPARTENENZA
P2. DIMENSIONE AZIENDALE
*
P3. FORNITORI ESTERNI CON ACCESSO AGLI IMPIANTI OT?
*
P3. FORNITORI ESTERNI CON ACCESSO AGLI IMPIANTI OT?
P4. L'AZIENDA RITIENE DI POTER RIENTRARE NELL'AMBITO DI APPLICAZIONE DELLA DIRETTIVA NIS2?
*
P4. L'AZIENDA RITIENE DI POTER RIENTRARE NELL'AMBITO DI APPLICAZIONE DELLA DIRETTIVA NIS2?
SEZIONE 1 - Contesto OT e Criticità
1. È presente un inventario aggiornato degli asset OT (PLC, HMI, SCADA, ecc.)?
*
1. È presente un inventario aggiornato degli asset OT (PLC, HMI, SCADA, ecc.)?
2. I sistemi di produzione critici sono formalmente identificati e documentati?
*
2. I sistemi di produzione critici sono formalmente identificati e documentati?
3. L'impatto sul business di un'interruzione dei sistemi OT è formalmente valutato?
*
3. L'impatto sul business di un'interruzione dei sistemi OT è formalmente valutato?
4. Ruoli e responsabilità OT sono chiaramente assegnati (owner, referenti, escalation)?
*
4. Ruoli e responsabilità OT sono chiaramente assegnati (owner, referenti, escalation)?
5. La gestione del rischio OT è formalmente distinta dalla gestione del rischio IT?
*
5. La gestione del rischio OT è formalmente distinta dalla gestione del rischio IT?
SEZIONE 2 - Architettura IT/OT e Connetività
6. Esiste separazione logica tra ambienti IT e OT?
*
6. Esiste separazione logica tra ambienti IT e OT?
7. I flussi di comunicazione tra IT e OT sono documentati (sistemi, scopo, owner)?
*
7. I flussi di comunicazione tra IT e OT sono documentati (sistemi, scopo, owner)?
8. Le comunicazioni consentite tra IT e OT sono governate da regole definite?
*
8. Le comunicazioni consentite tra IT e OT sono governate da regole definite?
9. Le connessioni esterne verso l'ambiente OT (es. fornitori, cloud) sono controllate e giustificate?
*
9. Le connessioni esterne verso l'ambiente OT (es. fornitori, cloud) sono controllate e giustificate?
10. La connettività IT/OT è soggetta a revisione periodica (almeno annuale)?
*
10. La connettività IT/OT è soggetta a revisione periodica (almeno annuale)?
SEZIONE 3 - Accessi e Gestione Fornitori
11. Gli account utente OT sono individuali (nessun account condiviso)?
*
11. Gli account utente OT sono individuali (nessun account condiviso)?
12. L'accesso remoto ai sistemi OT è formalmente governato (policy, autorizzazioni)?
*
12. L'accesso remoto ai sistemi OT è formalmente governato (policy, autorizzazioni)?
13. È disponibile autenticazione rafforzata (MFA o equivalente) per gli accessi remoti OT?
*
13. È disponibile autenticazione rafforzata (MFA o equivalente) per gli accessi remoti OT?
14. Le sessioni di accesso remoto sono registrate o tracciabili (log utente, target, durata)?
*
14. Le sessioni di accesso remoto sono registrate o tracciabili (log utente, target, durata)?
15. L'accesso dei fornitori è limitato nel tempo e soggetto a revisione periodica?
*
15. L'accesso dei fornitori è limitato nel tempo e soggetto a revisione periodica?
16. Esiste un processo formale per revocare gli accessi OT quando non più necessari?
*
16. Esiste un processo formale per revocare gli accessi OT quando non più necessari?
SEZIONE 4 - Continuità Operativa e Ripristino
17. Sono documentate le procedure di risposta agli incidenti cyber che impattano l'OT?
*
17. Sono documentate le procedure di risposta agli incidenti cyber che impattano l'OT?
18. Sono eseguiti backup dei sistemi OT critici (configurazioni, firmware, immagini)?
*
18. Sono eseguiti backup dei sistemi OT critici (configurazioni, firmware, immagini)?
19. I backup OT sono periodicamente testati per verificarne il ripristino effettivo?
*
19. I backup OT sono periodicamente testati per verificarne il ripristino effettivo?
20. Sono definiti Recovery Time Objective (RTO) per le linee di produzione critiche?
*
20. Sono definiti Recovery Time Objective (RTO) per le linee di produzione critiche?
21. Esiste un processo di escalation definito in caso di fermo o anomalia grave OT?
*
21. Esiste un processo di escalation definito in caso di fermo o anomalia grave OT?
Sezione 5 – Change Management e Progetti
22. Le modifiche ai sistemi OT sono formalmente documentate (registro modifiche)?
*
22. Le modifiche ai sistemi OT sono formalmente documentate (registro modifiche)?
23. L'impatto sulla sicurezza cyber è valutato prima di modifiche rilevanti agli impianti OT?
*
23. L'impatto sulla sicurezza cyber è valutato prima di modifiche rilevanti agli impianti OT?
24. La gestione di patch e aggiornamenti firmware OT è governata da un processo definito?
*
24. La gestione di patch e aggiornamenti firmware OT è governata da un processo definito?
25. La sicurezza OT è considerata nelle fasi iniziali di nuovi progetti di automazione (security-by-design)?
*
25. La sicurezza OT è considerata nelle fasi iniziali di nuovi progetti di automazione (security-by-design)?
26. IT e OT collaborano formalmente su modifiche significative che impattano la connettività o la produzione?
*
26. IT e OT collaborano formalmente su modifiche significative che impattano la connettività o la produzione?
Sezione 6 – Governance, Formazione e Normativa
27. Esistono linee guida o policy documentate sulla cybersecurity OT?
*
27. Esistono linee guida o policy documentate sulla cybersecurity OT?
28. Il management rivede periodicamente la postura di rischio cyber OT?
*
28. Il management rivede periodicamente la postura di rischio cyber OT?
29. Esiste un coordinamento strutturato tra IT e Produzione sui temi di rischio OT (es. incontri periodici)?
*
29. Esiste un coordinamento strutturato tra IT e Produzione sui temi di rischio OT (es. incontri periodici)?
30. Il personale con responsabilità OT riceve formazione/indicazioni sui rischi cyber?
*
30. Il personale con responsabilità OT riceve formazione/indicazioni sui rischi cyber?
31. L'organizzazione ha valutato l'applicabilità degli obblighi normativi (es. NIS2, requisiti contrattuali clienti)?
*
31. L'organizzazione ha valutato l'applicabilità degli obblighi normativi (es. NIS2, requisiti contrattuali clienti)?