Dalla sicurezza alla resilienza, fino all’antifragilità: come le norme ISO 28000, ISO 28022 e ISO 56000 guidano le organizzazioni nel XXI secolo

di *Oliviero Casale e **Paola Rinaldi

Nel contesto attuale, caratterizzato da incertezza, complessità e interconnessione crescente tra sistemi economici, sociali e tecnologici, la sicurezza organizzativa non può più limitarsi alla sola protezione dagli eventi avversi. Le organizzazioni sono chiamate non solo a prevenire e rispondere, ma a prepararsi, adattarsi e addirittura rafforzarsi nei momenti di crisi. In questo scenario, le norme ISO 28000 e ISO 28022 rappresentano un riferimento essenziale per costruire un sistema di gestione integrato, capace di evolvere dalla sicurezza alla resilienza, fino a percorrere le prime tappe verso l’antifragilità, come delineata dalla ISO 56000 sull’innovazione.

La ISO 28000, con il suo approccio sistemico alla gestione della sicurezza, stabilisce una cornice metodologica basata sulla valutazione del contesto, sulla comprensione delle esigenze delle parti interessate, sulla definizione di obiettivi di sicurezza e sulla gestione dei rischi e delle opportunità. È un impianto che si fonda sulla Struttura Armonizzata (HS) adottata da tutte le norme ISO a partire dal 2021, il che ne facilita l’integrazione con altri sistemi di gestione come quelli per la qualità (ISO 9001), l’ambiente (ISO 14001), la salute e sicurezza (ISO 45001), la gestione dell’innovazione (ISO 56001) e l’intelligenza artificiale (ISO/IEC 42001). Questo rende la norma non solo uno strumento operativo, ma un elemento strategico di governance trasversale.

Il valore della ISO 28000 non risiede solo nella sua funzione difensiva, ma nella sua struttura gestionale profonda, che guida l’organizzazione nel comprendere il proprio ecosistema, pianificare in modo strategico, agire con consapevolezza e migliorarsi nel tempo. L’approccio richiesto parte da una valutazione rigorosa del contesto, coinvolgendo anche aspetti sociali, culturali, tecnologici, climatici e di dipendenza da infrastrutture fisiche e digitali — molte delle quali ricadono nella sfera delle infrastrutture critiche, sempre più rilevanti per la continuità e la sicurezza di beni e servizi essenziali.

Uno degli elementi più avanzati è l’inclusione esplicita di opportunità come parte integrante dell’analisi e pianificazione. La norma non si limita alla gestione del rischio in senso classico, ma invita l’organizzazione a cogliere e generare valore anche in condizioni di vulnerabilità, allineandosi così al concetto di antifragilità: la capacità non solo di resistere, ma di apprendere dagli eventi, adattarsi, evolvere e rafforzarsi nel tempo. Questa visione è resa esplicita nelle clausole dedicate alla pianificazione e al miglioramento, dove si chiede di considerare sistematicamente i cambiamenti, di anticipare nuovi scenari e di valutare l’efficacia delle misure adottate. L’organizzazione è stimolata a porsi domande nuove: quali opportunità emergono da una minaccia? Quali insegnamenti possiamo trarre da un errore? Come possiamo trasformare la crisi in innovazione?

Questa prospettiva viene ulteriormente arricchita dalla ISO 28022, che si pone come linea guida per una gestione della sicurezza più articolata e contestualizzata. Essa non introduce nuovi requisiti, ma fornisce strumenti interpretativi e indicazioni operative per attuare in modo efficace i principi della ISO 28000, mettendo in luce aspetti come il coinvolgimento delle persone, l’analisi culturale, l’uso delle informazioni, la comunicazione e la gestione delle conoscenze. Qui emerge chiaramente l’idea che la sicurezza sia una funzione diffusa e dinamica, che attraversa tutti i livelli dell’organizzazione, richiede competenza e consapevolezza, e si alimenta di partecipazione, apprendimento continuo e capacità di anticipazione.

Accanto alla governance, particolare rilievo è dato anche al supporto operativo e alle infrastrutture. Le organizzazioni devono disporre di risorse adeguate — materiali, umane, tecnologiche e finanziarie — e garantirne la disponibilità e l’efficienza nel tempo. La norma sottolinea l’importanza della competenza del personale, della sua formazione e della consapevolezza del proprio ruolo. È chiaro che senza una cultura della sicurezza, radicata nelle persone e nei processi, ogni sistema rimane fragile. Per questo la ISO 28000 insiste sulla necessità di valutare e rafforzare la cultura organizzativa, con l’obiettivo di renderla parte integrante della strategia, capace di permeare decisioni, comportamenti, priorità.

Nella logica della resilienza organizzativa, entrambe le norme riconoscono l’importanza di costruire un sistema non solo capace di reagire agli eventi, ma anche di monitorare, imparare, adattarsi e rinnovarsi. La presenza esplicita del ciclo di Deming (Plan-Do-Check-Act) non è solo una formalità metodologica: è un richiamo concreto alla necessità di pensare per processi, di apprendere dall’esperienza e di promuovere il miglioramento continuo come fondamento della propria sicurezza. La capacità di evolvere in contesti incerti, reagire in modo rapido e appropriato, assorbire l’impatto degli eventi e trasformarlo in crescita è ciò che distingue un’organizzazione resiliente da una antifragile.

In definitiva, ISO 28000 e ISO 28022 non sono solo standard per gestire la sicurezza: sono strumenti per rafforzare la capacità delle organizzazioni di affrontare le sfide del XXI secolo, trasformando i vincoli in risorse, le minacce in opportunità e gli eventi critici in momenti di apprendimento e rinnovamento. Costituiscono una base solida per intraprendere un percorso verso l’antifragilità, come indicato dalla ISO 56000, contribuendo a costruire organizzazioni più intelligenti, più flessibili e più capaci di produrre valore in un mondo incerto.

Bibliografia

ISO 22300:2021, Security and resilience — Vocabulary, International Organization for Standardization (ISO), Ginevra.

ISO 28000:2022+A1:2024, Security and resilience — Security management systems — Requirements with guidance for use, International Organization for Standardization (ISO), Ginevra.

ISO/DIS 28022:2025, Security and resilience — Security management systems — Guidelines for the application of ISO 28000, Ginevra.

ISO 56000:2025, Innovation management — Fundamentals and vocabulary, International Organization for Standardization (ISO), Ginevra.

ISO/IEC Directives, Part 1 — Consolidated ISO Supplement — Annex SL Appendix 2, Harmonized structure for MSS (management system standards), 2024. International Organization for Standardization (ISO), Ginevra.
Casale, O., & Rinaldi, P. (2024). PARADIGMA 5.0. Il nuovo paradigma, oltre Society 5.0 e Industry 5.0. Come affrontarlo? Attigliano (TR): Gambini Editore. ISBN‑13: 979‑12‑80787‑86‑6.

Autori

Autori:

*Oliviero Casale: Innovation Manager certificato su norma UNI 11814 e Circular Economy Advisor certificato. Attualmente è General Manager di UniProfessioni. Svolge attività associativa come Segretario di AICQ Emilia Romagna e Presidente di Confassociazioni Emilia Romagna. Da anni è impegnato nell’ambito della normazione tecnica come componente del WG1 ISO/TC279 Innovation Management, del WG7 CEN/389 Innovation Management Professionals e dell’UNI/CT016 GL89 Gestione dell’Innovazione. Ha partecipato ai lavori per la redazione di diverse norme e prassi di riferimento, tra cui la ISO 56001 per i sistemi di gestione dell’innovazione e l’UNI/PdR 155:2023 “Gestione dell’innovazione sostenibile nelle imprese attraverso l’Open Innovation”.

**Paola Rimaldi: Laureata in Fisica e Dottore di Ricerca in Ingegneria Elettrotecnica presso l’Università di Bologna, è titolare del corso di Affidabilità, Controllo Qualità e Certificazione di Processo e di Prodotto. La sua attività di ricerca si concentra sulla sostenibilità ambientale, l’economia circolare e i sistemi di gestione dell’innovazione, con l’obiettivo di promuovere una trasformazione industriale sostenibile e resiliente. Per AICQ, è attualmente Vicepresidente di AICQ Emilia Romagna.

Chi siamo

L’Associazione Italiana Cultura Qualità – AICQ è un’Associazione, senza fini di lucro, che si propone di diffondere in Italia la Cultura della Qualità ed i metodi per pianificare, costruire, controllare e certificare la Qualità. L’AICQ è articolata, verticalmente, in Associazioni Territoriali e, orizzontalmente, in Comitati (Gruppi di lavoro dedicati a specifiche metodologie della Qualità) e Settori Tecnologici (Gruppi di studio che promuovono la qualità in uno specifico campo tecnologico o merceologico). L’Associazione AICQ Emilia-Romagna è una delle otto Territoriali Federate alla AICQ nazionale.