La ISO 39001 “Road traffic safety (RTS) management systems — Requirements with guidance for use” è uno standard internazionale ancora poco noto al grande pubblico, eppure l’Italia vanta una delle prime posizioni nella classificazione mondiale delle organizzazioni certificate.
Le aziende certificate da Accredia risultano, ad aprile 2026, circa 2280 certificati validi e l’ISO Survey del 2024 accreditata l’Italia, con 924 certificati validi, il primato nel settore a livello mondiale. Ciò a conferma di un interesse crescente soprattutto nel settore del trasporto merci, della logistica e delle pubbliche amministrazioni con rilevante impatto sul traffico stradale. In Italia lo standard è stato recepito dalla UNI come “Sistemi di gestione della sicurezza del traffico stradale (RTS) – Requisiti e guida all’utilizzo”.
Indice degli argomenti
A chi è destinata la norma
La norma è destinata a un ampio spettro di organizzazioni: gestori di infrastrutture stradali, aziende di trasporto pubblico e privato, flotte aziendali, enti locali con competenze sulla viabilità, fornitori di servizi di mobilità, progettisti di sistemi ITS (Intelligent Transport Systems) e qualsiasi organizzazione la cui attività interagisca significativamente con il sistema del traffico stradale.
Laddove la componente tecnologica nei sistemi di gestione del traffico è sempre più pervasiva — dai veicoli connessi ai semafori intelligenti, dai sistemi di gestione delle flotte ai portali di pagamento dei pedaggi — emerge con crescente evidenza la necessità di analizzare le intersezioni tra la ISO 39001 e la ISO/IEC 27001 “Sistema di gestione della sicurezza delle informazioni — Requisiti”. Questo articolo mette in luce le sinergie operative e strategiche tra le due norme, superando una prima impressione di distanza tematica.
A prima vista l’accostamento potrebbe sembrare azzardato. Ma à sufficiente leggere con attenzione le norme per scoprire molti più punti di contatto di quanto ci si aspetti. Il tema è di interesse sia per chi applica la ISO 39001 sia per chi opera nella progettazione, produzione ed erogazione di servizi afferenti alla mobilità stradale con un sistema di gestione basato sulla ISO/IEC 27001, o più in generale per chi intende proteggere in modo rigoroso le proprie informazioni in contesti ad alta criticità per la sicurezza pubblica.
Struttura comune e integrazione dei sistemi di gestione
Il primo e più rilevante elemento di comunanza è strutturale. Entrambe le norme adottano la High Level Structure (HLS), il framework comune che ISO impone a tutti i nuovi standard di sistema di gestione per facilitarne l’integrazione. Ciò significa che condividono la medesima architettura logica articolata nei 10 capitoli previsti dalla HLS.
Questa struttura comune produce un vantaggio concreto e misurabile. Un’organizzazione che ha già implementato una delle due norme può riutilizzare larga parte del sistema di gestione — policy, procedure, moduli, cicli di audit, riesame della direzione — per estenderlo all’altra in un sistema integrato. In termini pratici, questo riduce significativamente i costi e i tempi di implementazione di un sistema integrato.
Il ciclo PDCA come base del miglioramento continuo
Le norme si fondano sul ciclo Plan–Do–Check–Act come motore del miglioramento continuo. L’appendice A della ISO 39001 “GUIDA ALL’UTILIZZO DELLA PRESENTE NORMA INTERNAZIONALE” bene evidenzia questo aspetto. Che si tratti di ridurre incidenti stradali gravi o di prevenire violazioni alla sicurezza delle informazioni, la logica sottostante è identica e prevede di pianificare obiettivi misurabili, attuare i controlli, verificarne l’efficacia, agire per il miglioramento. Questo significa che le competenze metodologiche di un auditor o di un responsabile del sistema di gestione formato su una delle due norme sono immediatamente valorizzabili anche sull’altra.
Risk management e ruolo del top management
Sia la ISO 39001 che la ISO/IEC 27001 richiedono di identificare, valutare e trattare i rischi specifici del proprio dominio. Si tratta dei rischi per la sicurezza stradale l’una, rischi per la riservatezza, integrità e disponibilità delle informazioni l’altra. In entrambi i casi le norme non prescrivono una metodologia specifica, lasciando libertà all’organizzazione nella scelta dell’approccio, purché documentato, sistematico e proporzionato al contesto. Questa flessibilità condivisa consente di adottare un unico framework di risk management aziendale che copra entrambi i domini.
L’impegno del top management
Le norme in esame richiedono un coinvolgimento esplicito e dimostrabile della direzione nella definizione della politica, assegnazione di ruoli e responsabilità, garanzia delle risorse necessarie. Nelle organizzazioni che implementano sia la ISO 39001 che la ISO/IEC 27001, il commitment del vertice può essere espresso in un’unica politica integrata per la sicurezza — stradale e delle informazioni — ed eventualmente altre politiche per sistemi di gestione integrati – rafforzando la coerenza del messaggio organizzativo verso tutti i livelli aziendali.
Certificabilità di terza parte
Le norme sono certificabili da organismi di certificazione accreditati, seguendo un processo di audit di terza parte con sorveglianza periodica (tipicamente annuale) e ricertificazione triennale. Questa caratteristica comune consente di organizzare audit integrati, riducendo i costi e l’impatto operativo per l’organizzazione.
Le sinergie operative tra ISO 39001 e ISO/IEC 27001
Al di là della struttura comune, gli elementi da considerare più significativi ed interessanti sono quelli operativi. Sono, infatti facilmente identificabili i punti in cui i processi delle due norme si intrecciano, si alimentano reciprocamente e generano valore aggiunto quando gestiti in modo integrato.
Flotte aziendali, telematica e dati dei conducenti
Per comprendere le applicazioni operative è necessario basarsi su un caso reale come quello dell’applicazione alla gestione della flotta azienale
Le organizzazioni con flotte di veicoli — soggette per eccellenza alla ISO 39001 — utilizzano sistemi digitali sempre più sofisticati (telematica di bordo, GPS, app di fleet management, tachigrafi digitali, sistemi ADAS – Advanced Driver Assistance Systems, ecc.). Qui la ISO/IEC 27001 entra in gioco in modo diretto fornendo strumenti per gestire in sicurezza fattori come ad esempio:
- i dati di localizzazione e comportamento dei conducenti (velocità, frenate brusche, ore di guida, ecc.) sono dati personali che richiedono protezione adeguata ai sensi del GDPR e della ISO/IEC 27001;
- un attacco informatico ai sistemi di bordo o di fleet management può compromettere direttamente la sicurezza stradale; la ISO/IEC 27001 protegge l’integrità dei sistemi che la ISO 39001 presuppone affidabili;
- la business continuity dei sistemi di gestione del traffico è contemporaneamente un tema cyber e di sicurezza stradale. Un’interruzione del sistema di monitoraggio delle flotte è un rischio implicito delle norme in esame;
- i tachigrafi digitali di nuova generazione (smart tachograph v2 obbligatori da agosto 2023 sulle nuove immatricolazioni) comunicano dati in modalità wireless; la loro protezione è un requisito esplicito sia normativo (Regolamento UE 165/2014 relativo ai tachigrafi nel settore dei trasporti su strada) che gestionale (ISO/IEC 27001).
Valutazione del rischio integrata
Sia la ISO 39001 che la ISO/IEC 27001 richiedono una valutazione del rischio, con metodologie diverse ma compatibili. I punti in comune includono, tra gli altri:
- un incidente informatico su sistemi ITS (semafori intelligenti, varchi ZTL, pannelli a messaggio variabile, sistemi di gestione del traffico urbano) è contemporaneamente un rischio ISO/IEC 27001 e un rischio ISO 39001;
- la metodologia di risk assessment può essere unificata, con un unico registro dei rischi che copre entrambi i domini, evitando duplicazioni e garantendo coerenza;
- i rischi residui di una norma diventano input per l’analisi dell’altra ad esempio un rischio informatico non mitigato completamente può generare un rischio stradale residuo e viceversa;
- scenari di cyber-physical attack — attacchi informatici che producono conseguenze fisiche sul sistema di traffico come ad esempio la manipolazione dei semafori intelligenti — richiedono una valutazione del rischio che impatta obbligatoriamente le norme considerate.
Incident management e risposta coordinata
Le norme prevedono processi strutturati di incident management. I punto in comune sono particolarmente evidenti anche in questo ambito:
- un incidente stradale causato da un guasto o manipolazione software (es. sistema ADAS -Advanced Driver Assistance Systems – tecnologie avanzate di assistenza alla guida, navigazione di bordo, frenata automatica) è un evento da gestire su entrambi i fronti tramite indagine tecnica (ISO 39001) e incident response informatico (ISO/IEC 27001);
- le procedure di risposta agli incidenti possono essere integrate in un unico processo aziendale, con una catena di notifica che copre sia la segnalazione alle autorità competenti per la sicurezza stradale sia quella all’Autorità Garante per i dati personali (in caso di data breach);
- la reportistica post-incidente alimenta il miglioramento continuo di entrambi i sistemi. Le lesson learned di un incidente stradale correlato a un guasto informatico sono un patrimonio per entrambi i sistemi di gestione.
Supply chain, fornitori e clausole contrattuali
La gestione dei fornitori è un tema centrale e le sovrapposizioni sono frequenti:
- la ISO/IEC 27001 richiede di valutare i fornitori ICT che trattano informazioni per conto dell’organizzazione (es. chi gestisce le piattaforme di fleet management o i dati dei veicoli);
- la ISO 39001 richiede di valutare i fornitori legati alla sicurezza stradale (manutentori dei veicoli, gestori di infrastrutture, fornitori di sistemi ITS – Sistemi di Trasporto Intelligenti);
- in molti casi si tratta di fornitori in comune tra i due sistemi fornitori. Un fornitore di telematica di bordo è al tempo stesso un fornitore ICT (ISO/IEC 27001) e un fornitore safety-critical (ISO 39001) e la sua qualifica può e deve essere integrata;
- le clausole contrattuali di sicurezza possono essere unificate, con requisiti che coprono sia la cyber security sia la road safety dei sistemi forniti, così come la gestione degli incidenti.
Formazione, comunicazione e cultura della sicurezza
Le norme investono significativamente sulla dimensione umana e culturale:
- puntano a costruire una cultura della sicurezza nell’organizzazione sia informatica che stradale. I programmi di consapevolezza possono essere erogati in modo integrato, con risparmio di risorse e maggiore efficacia del messaggio;
- il concetto di comportamento sicuro — alla guida o nell’uso dei sistemi informativi — è culturalmente contiguo e può essere comunicato con un’unica campagna di sensibilizzazione sia verso l’interno dell’organizzazione che verso i principali stakeholder;
- la comunicazione e formazione sui rischi del phishing (ISO/IEC 27001) e quella sulla distrazione alla guida da dispositivi digitali (ISO 39001) condividono lo stesso messaggio di fondo “l’uso inconsapevole della tecnologia genera rischi reali”.
Audit e riesame della direzione
Dal punto di vista operativo, audit e riesame della direzione sono le attività, che tramite l’integrazione dei sistemi, si traducono immediatamente in risparmio di tempo e risorse:
- gli audit interni possono essere condotti da team integrati o in sessioni combinate, riducendo i tempi e il disturbo operativo per le aree auditate;
- il riesame della direzione può essere un unico momento in cui si analizzano i vari elementi in ingresso tra cui i KPI con una visione integrata delle performance di sicurezza dell’organizzazione;
- le non conformità rilevate in un sistema possono essere segnali di debolezza anche nell’altro. Ad esempio un sistema di controllo degli accessi fisici ai sistemi di sicurezza del traffico carente (ISO 39001) è anche un potenziale gap di sicurezza informatica (ISO/IEC 27001); analogamente le azioni correttive, preventive e di miglioramento possono incidere su entrambi i sistemi.
Il quadro normativo che collega sicurezza stradale e cyber security
Un ulteriore livello di sinergia, spesso sottovalutato, riguarda il quadro normativo e regolatorio in cui le due norme si inseriscono. In Europa, diversi strumenti legislativi creano ponti espliciti tra sicurezza stradale e sicurezza delle informazioni:
- Il Regolamento General Safety Regulation (2019/2144) impone requisiti di cyber security per i veicoli omologati nell’UE dal 2022, richiedendo ai costruttori di implementare sistemi di gestione della cyber security (CSMS) conformi alla UNECE WP.29 — che a sua volta si sovrappone ai principi della ISO/IEC 27001
- La Direttiva NIS2 (2022/2555) include i trasporti e le macchine tra i settori critici soggetti a obblighi di sicurezza informatica. Le organizzazioni già certificate ISO/IEC 27001 hanno un vantaggio significativo nell’adeguamento alla NIS2;
- Il GDPR (2016/679)si applica ai dati trattati in ambito di gestione del traffico (localizzazione, comportamento di guida, sistemi di videosorveglianza stradale, GPS); la ISO/IEC 27001 fornisce un framework strutturato per la conformità;
- L’ISO/SAE 21434 (Road vehicles — Cybersecurity engineering) crea un ponte esplicito tra automotive e cyber security, rappresentando il punto di convergenza tecnica più avanzato tra i mondi della ISO 39001 e della ISO/IEC 27001
- La ISA/IEC 62443 (Security technologies for industrial automation and control systems) è ua famiglia di standard che definisce i requisiti ed i processi per l’implementazione e la manutenzione di sistemi di automazione e controllo industriale (sistemi OT) sicuri dal punto di vista elettronico).
- Il Regolamento AI ACT (2024/1689) la prima normativa al mondo sull’intelligenza artificiale che adotta un approccio basato sul rischio dei sistemi AI o con una componete di AI.
- Il Regolamento Cyber Resilience Act CRA (2024/2847) introduce i requisiti obbligatori di cybersecurity per i prodotti con elementi digitali durante tutto il loro ciclo di vita.
Il futuro tra mobilità connessa e convergenza inevitabile
La convergenza tra sicurezza stradale e sicurezza informatica non è una tendenza futura, è già una realtà operativa per molte organizzazioni. I veicoli connessi (V2X, Vehicle-to-Everything), le infrastrutture stradali intelligenti (smart roads), i sistemi di guida assistita e autonoma (Livelli SAE 3-5) e le piattaforme di Mobility-as-a-Service (MaaS) sono sistemi cyber-fisici in cui la frontiera tra sicurezza informatica e sicurezza stradale è strutturalmente indefinita.
In questo scenario, implementare la ISO 39001 ignorando la ISO/IEC 27001 — o viceversa — significa gestire in modo incompleto i rischi della propria organizzazione e trascurare l’impatto normativo. Le entità più avanzate stanno già costruendo sistemi di gestione integrati (SGI) che coprono entrambe le norme, insieme alla ISO 9001 (qualità) e, quando applicabile, alla ISO 45001 (salute e sicurezza sul lavoro), realizzando un unico framework di governance che massimizza i punto di integrazione e minimizza le duplicazioni.
La ISO/IEC 27001:2022, con i suoi controlli esplicitamente orientati alla sicurezza dei sistemi cyber-fisici e alla gestione delle minacce emergenti, rende questa convergenza ancora più strutturata e funzionale alle esigenze di monitoraggio come richiesto dalla ISO 39001.
Integrare ISO 39001 e ISO/IEC 27001 per gestire rischi complessi
Le sinergie tra la ISO 39001 e la ISO/IEC 27001 sono reali, operative e crescenti propriamente alla crescita della componente tecnologia a supporto della sicurezza del traffico stradale. Tale aspetto emerge con maggiore forza laddove la tecnologia digitale incontra la sicurezza fisica delle persone — esattamente la direzione in cui sta andando la mobilità.
Le organizzazioni che gestiscono questa convergenza trovano nelle due norme strumenti complementari, non alternativi. Implementarle in modo integrato non è solo un’opportunità di efficienza gestionale ma anche una risposta coerente alla complessità dei sistemi in cui la sicurezza non può essere gestita per comparti stagni. Per chi si occupa di sicurezza stradale, acquisire competenze sulla ISO/IEC 27001 significa ampliare la propria capacità di valutare e gestire i rischi nei sistemi sempre più digitalizzati del traffico, d’altra parte per i responsabili della sicurezza delle informazioni, conoscere la ISO 39001 significa comprendere le implicazioni fisiche e sociali dei sistemi informativi che pre













Partecipa alla community