Le organizzazioni che gestiscono infrastrutture critiche forniscono servizi essenziali da cui dipende il funzionamento stesso della società. Settori come quello idrico, sanitario, dei trasporti e dei servizi finanziari sono sempre più spesso oggetto di attacchi informatici; eppure, a livello manageriale si continua a considerare la cybersecurity come una questione di tecnologia operativa (OT), gestita dal proprio reparto IT come un centro di costo e affrontata seguendo liste di controllo basate sulla conformità. Essa dovrebbe invece essere trattata quale componente fondamentale per soddisfare la fiducia pubblica, da cui dipende la loro stessa legittimità a operare.