Obbligo di reporting informatico: «Se nessuno si assume la responsabilità, l'intera azienda ne risente».»
La sfida più grande nei progetti OT risiede nella pianificazione iniziale: analisi chiara dei rischi e minore complessità. Cosa succede se non sono chiaramente definiti e si verifica un incidente informatico?
Quando nessuno è preparato
Questo caso ipotetico ma realistico mostra i punti deboli.
Primavera 2025: in un laboratorio medico con 80 dipendenti si verifica un incidente informatico tramite il sistema di automazione dell'edificio. Un'interfaccia di manutenzione remota non era adeguatamente protetta. Gli aggressori si sono infiltrati nei comandi di controllo. La ventilazione e le zone climatiche sono state modificate in modo incontrollato. Le temperature sono aumentate in diverse stanze del laboratorio, il materiale dei campioni è stato danneggiato e i dispositivi sensibili non hanno più risposto in modo affidabile. Le operazioni si sono fermate. I risultati delle analisi non potevano essere consegnati. I tempi di inattività operativa e i danni alla reputazione che ne sono derivati sono stati enormi.
Ma il vero errore?
L'obbligo di rendicontazione è stato sottovalutato. Le responsabilità non sono state regolamentate e le procedure, i processi e i ruoli non sono stati definiti. «Le strutture e i processi devono essere messi in atto prima che si perda tempo prezioso durante la crisi.», afferma Christoph Steiner.
Chi è interessato? - Legalmente vincolante, organizzativamente sottovalutato
Dal 1° aprile 2025, l'obbligo di segnalazione informatica (ISG art. 74 e segg.) si applica ai gestori di infrastrutture critiche. Non si tratta solo di tecnologia. Si tratta di responsabilità chiare in materia di gestione, IT, FM e comunicazione di crisi.
La preparazione è la migliore pianificazione:
- Analisi effettiva degli obiettivi di protezione
- Workshop con le domande giuste
- Analisi del rischio
- Decisione sulle misure di protezione
- Realizzazione e formazione
«L'organizzazione della crisi fa parte della pianificazione. Lo stesso vale per le prove e le esercitazioni.», sottolinea Christoph Steiner.
Conclusione: la sicurezza deve essere gestita, non solo costruita
Chiunque abbia una responsabilità, che si tratti di pianificazione, operazioni o IT, oggi deve pensare in modo diverso alla sicurezza OT.
L'obbligo di comunicazione previsto dalla legge non è un compito puramente tecnico. Richiede una visione interdisciplinare della sicurezza operativa, dell'organizzazione e della gestione del rischio. Gli operatori, i proprietari degli edifici e i progettisti devono creare strutture che funzionino in caso di emergenza.
Perché il danno non inizia con l'incidente. Inizia con l'ipotesi che qualcun altro sia responsabile.
Conoscete i vostri rischi? Avete bisogno di un piano per le emergenze.
Vi supportiamo dall'analisi del rischio al processo di reporting.
In questo modo la responsabilità è chiaramente regolamentata e la sicurezza funziona.
EPRO SECURE GmbH
Pianificazione completa e integrale della sicurezza
Bahnhofstrasse 4, 3073 Gümligen, Svizzera
Telefono fisso: +41 58 502 73 60
E-mail: info@eprosecure.ch
