Home » News » Attualità

Saccone: CISO, SECURITY MANAGER e RSPP, un Ruolo Unico per la Sicurezza Integrata

di Umberto Saccone - 25 Febbraio 2025
Umberto Saccone

Il 12 gennaio 2025 è entrata in vigore la Legge n. 203/2024, pubblicata il 28 dicembre 2024, che apporta significative modifiche al D.lgs. 81/2008. Queste modifiche riguardano vari aspetti della sicurezza sul lavoro, tra cui:

  • Sorveglianza sanitaria: Aggiornamenti sulle procedure e responsabilità relative alla salute dei lavoratori.
  • Gestione della prevenzione: Nuove disposizioni per migliorare l’efficacia delle misure preventive nei luoghi di lavoro.
  • Formazione dei lavoratori: Requisiti aggiornati per garantire una formazione adeguata in materia di sicurezza.

Pur non avendo un collegamento esplicito con le prescrizioni della Direttiva NIS, alcune disposizioni (come quelle sul lavoro agile, la sicurezza dei sistemi e la formazione) potrebbero essere influenzate o allinearsi agli obblighi previsti dalla direttiva europea. Quindi le aziende che operano in settori regolati dalla NIS dovrebbero considerare l’impatto di entrambe le normative, combinando la protezione fisica dei lavoratori con la sicurezza informatica.

Direttiva NIS2 e Decreto Legislativo 81/2008

A fronte di ciò possiamo dire che la Direttiva NIS2 (2022/2555) e il Decreto Legislativo 81/2008 (Testo Unico sulla Sicurezza sul Lavoro) operano in ambiti diversi ma complementari:

  • la prima riguarda la sicurezza informatica e la protezione delle reti e dei sistemi informativi per settori critici (energia, sanità, trasporti, digitale, finanza, ecc.);
  • il Testo Unico Sicurezza si occupa della sicurezza fisica e della salute dei lavoratori nei luoghi di lavoro.

Sappiamo oramai che molti luoghi di lavoro (aziende industriali, ospedali, trasporti) dipendono da sistemi digitali critici. Queste infrastrutture devono garantire alti standards di sicurezza cyber. Quindi entriamo in un perimetro di responsabilità che obbliga i datori di lavoro a valutare tutti i rischi, incluso quello cibernetico, in particolare se collegato alla salute e sicurezza dei lavoratori (ad esempio, in caso di un attacco informatico a macchinari industriali o sistemi IoT di controllo sanitario) atteso che, se il datore di lavoro non adotta misure adeguate per prevenire attacchi informatici che possano mettere a rischio la sicurezza dei lavoratori, potrebbe essere ritenuto responsabile per negligenza. La mancata adozione di misure di sicurezza adeguate può dunque comportare sanzioni amministrative o penali, oltre che responsabilità in caso di danni a persone o cose prevedendo:

  • Responsabilità civile: se un attacco informatico provoca danni materiali (ad esempio, malfunzionamento di un macchinario che causa un incidente), il datore di lavoro potrebbe essere chiamato a rispondere civilmente per risarcire i danni, specialmente se è dimostrabile che non sono state adottate misure di sicurezza adeguate;
  • Responsabilità penale: in caso di infortuni o morti derivanti da negligenza nella protezione dei sistemi, il datore di lavoro può essere perseguito penalmente ai sensi dell’art. 589 (omicidio colposo) o art. 590 (lesioni personali colpose) del Codice Penale.

Come ridurre il rischio e la responsabilità?

Per ridurre il rischio e la responsabilità, il datore di lavoro deve:

  • effettuare regolarmente la valutazione dei rischi di sicurezza informatica ovvero dotarsi di sistemi di monitoraggio adeguati;
  • implementare soluzioni di protezione per i macchinari connessi a Internet, ovvero quel mondo digitale conosciuto come Internet of Things (IoT), Industrial Internet of Things (IIoT), Smart Devices, Edge Devices, Cyber-Physical Systems (CPS), Connected Machines, Smart Manufacturing Machines;
  • aggiornare costantemente i sistemi e i software industriali;
  • formare il personale sulla sicurezza informatica;
  • predisporre un piano di risposta agli incidenti.

Pertanto, la valutazione dei rischi prevista dal D.lgs. 81/2008 potrebbe dover considerare, indirettamente, il rischio informatico introdotto dalla NIS2.

Con questa ultima direttiva, i responsabili delle aziende che rientrano nei settori critici devono garantire la protezione delle infrastrutture digitali, pena sanzioni significative. Questo potrebbe comportare una revisione anche delle politiche di sicurezza sul lavoro, integrando la protezione cibernetica nei piani di gestione dei rischi.

Sicurezza fisica e digitale sono oggi interconnesse

Quindi possiamo affermare che la NIS2 e il D.lgs. 81/2008 operano su piani distinti, ma sempre più tra loro coesi, dato che la sicurezza fisica e quella digitale sono ormai interconnesse. Le organizzazioni devono pertanto adottare un approccio integrato, considerando i rischi cibernetici come parte della sicurezza generale del lavoro.

Questo influenza, senza ombra di dubbio, la valutazione dei rischi (obbligo giuridico per il datore di lavoro), come, per esempio, nel caso di:

  • fabbriche automatizzate, dove un attacco ransomware potrebbe bloccare macchinari, causando potenziali pericoli fisici per i lavoratori;
  • settore ospedaliero, dove la sicurezza dei sistemi digitali che controllano ventilatori o dispositivi medici è fondamentale per proteggere pazienti e operatori sanitari;
  • trasporti,  dove un guasto nei sistemi informatici di controllo dei mezzi (ferrovie, aerei) potrebbe mettere a rischio la sicurezza dei dipendenti e degli utenti.

Pertanto, appare necessario inserire il rischio cibernetico come parte integrante del Documento di Valutazione dei Rischi (DVR), analizzando possibili impatti sulla sicurezza fisica e prevedendo misure preventive. Tra queste la formazione e l’informazione.

L’importanza della formazione

Sia la NIS2 che il D.lgs. 81/2008 enfatizzano l’importanza della formazione. In contesti in cui la sicurezza informatica ha un impatto sulla sicurezza sul lavoro troviamo che:

  • i lavoratori devono essere formati a riconoscere minacce digitali che potrebbero compromettere macchinari o dispositivi;
  • il personale IT deve collaborare con i responsabili della sicurezza sul lavoro per prevenire rischi legati alla compromissione di sistemi critici;
  • managers e dirigenti devono essere sensibilizzati sull’integrazione di misure di sicurezza cibernetica e fisica per garantire la continuità operativa.

Ragionamenti che, con l’adozione della robotica nelle pratiche lavorative quotidiane, evidenziando l’insorgere di nuove tipologie di rischi legati alla sicurezza sul lavoro. Eccone alcuni.

a. Rischi fisici

  • collisioni e incidenti: i robot industriali, se non correttamente programmati o gestiti, possono entrare in collisione con i lavoratori;
  • guasti tecnici: un malfunzionamento del robot potrebbe causare movimenti imprevedibili o pericolosi;
  • interazioni uomo-robot: durante la manutenzione o l’interazione manuale, i lavoratori possono essere esposti a pericoli non prevedibili;

b. Rischi psicologici

  • stress e ansia: lavorare accanto a robot avanzati può creare tensione, soprattutto se il lavoratore percepisce la tecnologia come complessa o una minaccia per il proprio lavoro;
  • sovraccarico mentale: monitorare macchinari sofisticati o gestire situazioni di emergenza può aumentare il carico cognitivo;

c. Rischi informatici

  • attacchi hacker: i robot connessi a Internet possono essere vulnerabili a cyber attacchi che ne compromettono la sicurezza;
  • errore umano: una programmazione errata o un’errata configurazione possono provocare situazioni pericolose;
  • integrare i piani di gestione delle emergenze fisiche con i piani di risposta agli incidenti informatici, includendo simulazioni che considerino scenari combinati.

Le ulteriori responsabilità dei datori di lavoro

In questo quadro il ruolo dei datori di lavoro si carica di ulteriori responsabilità:  

  • i dirigenti devono garantire che le infrastrutture digitali non rappresentino un rischio per la sicurezza fisica;
  • la mancata protezione dei sistemi potrebbe configurare una violazione sia della NIS2 sia delle norme sulla sicurezza sul lavoro.

È necessaria una nuova figura, responsabile della sicurezza integrata (fisica e digitale)

Ecco che la sicurezza assume valenza globale e integrata, che impone la necessità di mettere insieme saperi diversi per affrontare sfide complesse, promuovendo una visione interdisciplinare e collaborativa orientata alla prevenzione, alla resilienza e all’innovazione. È ora necessario dotarsi di una figura, responsabile della sicurezza integrata (fisica e digitale), capace di coniugare le diverse esigenze, come quelle sino ad oggi svolte dal Security Manager, dal Responsabile del Servizio di Prevenzione e Protezione (RSPP) e dal Chief Information Security Officer (CISO). Questa figura, con competenze trasversali, potrà adottare un sistema unico di monitoraggio e gestione dei rischi, che tenga conto sia delle normative sulla sicurezza fisica (D.lgs. 81/2008) sia di quelle sulla sicurezza digitale (NIS2) in grado di:

  • identificare e classificare i rischi sia fisici che digitali che possono impattare sulla sicurezza dei lavoratori e delle operazioni aziendali;
  • effettuare audit congiunti  RSPP per i rischi fisici, CISO (Chief Information Security Officer) per i rischi digitali e Security Manager per i rischi cosiddetti esogeni;
  • integrare la valutazione dei rischi fisici e digitali nel Documento di Valutazione dei Rischi (DVR);
  • identificare scenari combinati, ad esempio attacchi ransomware che bloccano sistemi operativi critici;
  • malfunzionamenti nei dispositivi di sicurezza fisica (es. telecamere, allarmi) causati da attacchi informatici;
  • creare idonee procedure per il monitoraggio continuo degli assets critici, sia fisici che digitali;
  • sviluppare protocolli di comunicazione chiara tra team IT, sicurezza fisica e responsabili della sicurezza sul lavoro;
  • realizzare corsi di formazione per i lavoratori su  sicurezza fisica, gestione delle emergenze, cybersecurity;
  • erogare corsi specifici per Managers e dirigenti su responsabilità legali e gestione integrata dei rischi;
  • organizzare simulazioni congiunte di incidenti fisici e digitali (es. attacco informatico e malfunzionamento del sistema di sicurezza);
  • installare strumenti di monitoraggio in tempo reale per rilevare anomalie (fisiche e digitali);
  • implementare sistemi di backup e ridondanza sia per le infrastrutture fisiche che per i sistemi IT;
  • applicare procedure di aggiornamento regolare per tutti i software e dispositivi critici;
  • definire un piano di Business Continuity che includa scenari misti (interruzioni fisiche e digitali);
  • stabilire un protocollo di comunicazione d’emergenza per coinvolgere rapidamente tutti i dipendenti;
  • effettuare audit regolari (almeno annuali) per verificare la conformità alle normative e l’efficacia delle misure;
  • monitorare costantemente le infrastrutture critiche, sia fisiche che digitali, per individuare potenziali vulnerabilità;
  • effettuare report annuali su conformità e miglioramenti necessari;
  • dotarsi di software di gestione della sicurezza integrata (es. piattaforme per la gestione del DVR e della cybersecurity);
  • avvalersi di piattaforme di formazione online per erogare corsi su misura;
  • operare con sistemi SIEM (Security Information and Event Management) per monitorare minacce digitali in tempo reale.

Conclusione

Nel panorama moderno, caratterizzato da una crescente interconnessione tra sicurezza fisica e digitale, la frammentazione delle responsabilità rappresenta un limite significativo per garantire la protezione delle infrastrutture critiche e delle persone. La figura unificata del CISO, Security Manager e RSPP emerge come una soluzione strategica per affrontare sfide sempre più complesse e interconnesse.

Questa non è solo un’evoluzione auspicabile, ma una necessità per affrontare il futuro con resilienza, efficienza e innovazione. Le aziende che sapranno adottare questa visione saranno meglio preparate a proteggere i loro lavoratori, le loro infrastrutture e la continuità operativa.

Il professor Umberto Saccone (nella foto), Direttore del Corso Executive “Security Risk Management” alla LUISS Business School, è Partner di Mead.

#Cybersecurity#Normative#Scenari#Security Management#Sicurezza Pubblica
Condividi questo articolo su:
Articoli correlati
CEI ROMA
Attualità

CEI: all’Istituto Superiore Antincendi di Roma, la terza tappa del Tour

Plateale la risposta da parte dei progettisti e dei professionisti alla tappa di Roma del Tour di Convegni Istituzionali CEI di Formazione Gratuita 2025, tenutasi giovedì 20 marzo presso l’Istituto Superiore Antincendi della...
20 Marzo 2025 - Redazione
Paola Barzaghi Ben-essere al lavoro
Attualità

Perché fai il lavoro che fai?

Per la rubrica di S News Ben-Essere al Lavoro Paola Barzaghi, psicologa, esperta di psicologia del lavoro, counselling e coaching, si cimenta su un tema e su un quesito significativo...
20 Marzo 2025 - Redazione
CISO - Dora
Cybersecurity

86% dei CISO italiani: l’implementazione di DORA impatto sulla salute mentale

Implementare DORA è costato ad oltre il 70% delle aziende italiane più di 500 mila euro e al 37% oltre 1 milione di euro ma il prezzo della compliance non...
18 Marzo 2025 - Redazione
Altre news da: Attualità
Manifesto dell'Economia dei servizi
Attualità

Manifesto dell’Economia dei Servizi: le imprese chiedono al Governo equità negli appalti pubblici

Sedici Associazioni di rappresentanza hanno sottoscritto il Manifesto dell’Economia dei Servizi, il documento che denuncia le gravi disparità normative tra il settore dei servizi e forniture e quello dei lavori...
18 Marzo 2025 - Redazione
Edoardo Barzasi Comelit
Attualità

L’impegno di Comelit: sicurezza e innovazione su misura per le persone

Innovazione e sicurezza accessibili a tutti è la cifra di Comelit, sin dalla sua fondazione. Per approfondire questi ed ulteriori temi, S News incontra Edoardo Barzasi, CEO di Comelit. Tanta...
14 Marzo 2025 - Monica Bertolo
Urmet con d'Elicio 2025
Attualità

Urmet partecipa a “Just the woman I am 2025” al fianco delle donne

Urmet si conferma nuovamente “azienda in rosa” al fianco delle donne e della ricerca, partecipando anche quest’anno con entusiasmo e passione alla corsa solidale “Jtwia – Just the woman I...
14 Marzo 2025 - Redazione

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.