Certificazione ISO 28000: come mettere in sicurezza la supply chain
La ISO 28000 è la norma che certifica come un'organizzazione gestisce la sicurezza della propria catena di fornitura. Qui sicurezza ha un significato preciso: non è la salute dei lavoratori e non è la qualità del prodotto, è la security, cioè la protezione di merci, informazioni e processi logistici dalle minacce intenzionali. Furti durante il trasporto, manomissioni dei carichi, merce contraffatta che si infila nella filiera, container usati per il contrabbando, sabotaggi, accessi non autorizzati ai magazzini: sono questi i rischi che la norma chiede di vedere prima che diventino un danno.
L'edizione in vigore è la ISO 28000:2022, che porta il titolo di sistema di gestione della sicurezza per la catena di fornitura. Riguarda chiunque faccia parte di quella catena e possa influenzarne la sicurezza: produttori, operatori logistici, spedizionieri, gestori di magazzini e terminal, porti, aziende che dipendono da fornitori critici. Il punto non è blindare tutto, ma capire dove la filiera è davvero esposta e mettere le contromisure proporzionate al rischio, senza paralizzare i flussi.
Cosa chiede davvero la norma
Il cuore della ISO 28000 è la valutazione delle minacce alla sicurezza. Si parte mappando la propria catena di fornitura, gli anelli interni e quelli affidati a terzi, e si individuano le minacce concrete a cui ognuno è esposto. Da lì si definiscono le contromisure: controlli fisici sugli accessi e sui carichi, integrità dei sigilli e dei container, verifica dei fornitori e dei vettori, protezione delle informazioni che accompagnano la merce, gestione del personale che ha accesso a punti sensibili.
Intorno a questo nucleo tecnico c'è la logica di gestione tipica delle norme ISO: contesto, impegno della direzione, obiettivi di sicurezza, competenze, e soprattutto la preparazione alle emergenze. Una filiera esposta a minacce intenzionali deve sapere cosa fare quando qualcosa va storto, un carico sparito, un container manomesso, un fornitore compromesso, e deve provare quei piani, non solo scriverli. La norma chiede anche di monitorare se le contromisure funzionano davvero e di migliorarle quando le minacce cambiano, perché chi vuole colpire una filiera cambia metodo in continuazione.
Come ci si certifica, passo dopo passo
- Gap analysis: si confronta come gestisci oggi la sicurezza della filiera con quello che la norma chiede. Chi ha gia procedure logistiche e controlli sugli accessi parte avvantaggiato, ma quasi sempre manca la parte di valutazione strutturata delle minacce.
- Valutazione delle minacce e dei rischi: si mappa la catena di fornitura e si analizzano le minacce di security anello per anello, assegnando una priorita ai punti piu esposti.
- Costruzione delle contromisure e del sistema: si definiscono controlli fisici e procedurali, ruoli, gestione dei fornitori, piani di emergenza e le poche procedure che servono davvero.
- Audit interno e riesame della direzione: un controllo in casa che anticipa quello esterno, seguito dal riesame del vertice sui risultati e sulle minacce emergenti.
- Verifica in due fasi: un organismo di certificazione accreditato conduce lo Stage 1 documentale e lo Stage 2 sul campo, dove osserva i controlli, le evidenze e come reagisce davvero l'organizzazione.
Superata la verifica, il certificato dura tre anni, con sorveglianze annuali e un rinnovo al termine del triennio. Solo un organismo accreditato rilascia un certificato realmente riconosciuto da clienti e committenti.
A chi serve davvero
Pensa a un'azienda che riceve componenti da fornitori esteri e li spedisce ai clienti tramite vettori terzi. Ogni passaggio di mano è un punto in cui la merce può sparire, essere sostituita o manomessa, e ogni anello è una porta che qualcuno potrebbe forzare. La ISO 28000 serve proprio a chi ha una filiera lunga e poco controllabile a vista: operatori logistici e spedizionieri, gestori di magazzini e terminal portuali, produttori che lavorano con molti fornitori, aziende che movimentano beni di valore o sensibili. Per loro la sicurezza della catena non è un dettaglio burocratico, è la differenza tra consegnare quello che hanno promesso e spiegare a un cliente perché il carico è arrivato vuoto.
I vantaggi concreti, oltre al bollino
Il primo motivo è spesso commerciale: committenti grandi e filiere internazionali chiedono garanzie sulla sicurezza della catena di fornitura, e una certificazione accreditata è il modo più semplice per dimostrarle senza un audit cliente per cliente. Ma il valore non si esaurisce nel contratto. Una filiera che ha mappato le proprie minacce subisce meno furti, meno contestazioni, meno blocchi imprevisti, e quando un incidente accade sa contenerlo invece di scoprirlo a danno fatto. È la differenza tra un'azienda che insegue i problemi e una che sa dove possono nascere e ci ha messo un presidio.
Un solo sistema, più certificazioni
La ISO 28000:2022 adotta la struttura di alto livello (Annex SL) comune alle norme di sistema, quindi condivide l'impianto con la ISO 27001 (sicurezza delle informazioni) e la ISO 22301 (continuità operativa), oltre che con la ISO 9001 (qualità). Le sovrapposizioni sono evidenti: la security della filiera tocca le informazioni che viaggiano con la merce e la capacità di reggere un'interruzione. Chi ha già una di queste certificazioni riusa contesto, leadership, gestione del rischio, audit e riesame, e aggiunge la sicurezza della supply chain con un unico audit integrato, quindi meno giornate di verifica rispetto a percorsi separati.
Domande frequenti
La ISO 28000 riguarda la sicurezza sul lavoro? No. Quella è la ISO 45001. La ISO 28000:2022 riguarda la security, cioè la protezione della catena di fornitura dalle minacce intenzionali come furti, manomissioni e contrabbando.
È obbligatoria? No, la certificazione è volontaria. Diventa di fatto necessaria quando un committente o una filiera la richiedono come requisito per lavorare insieme.
Quanto dura il certificato? Tre anni, con sorveglianze annuali e rinnovo al termine del ciclo.
Vale solo per chi trasporta merci? No. Riguarda tutta la catena di fornitura: produzione, stoccaggio, logistica, terminal e chiunque possa influenzare la sicurezza dei beni e delle informazioni che li accompagnano.
Prima di muoverti conviene capire a che punto sei davvero. La checklist di autovalutazione ISO 28000 qui sotto ripercorre i requisiti punto per punto, dalla valutazione delle minacce ai piani di emergenza: spunti ciò che hai già e vedi nero su bianco cosa manca prima di chiamare un organismo.
Ti interessa questo argomento?
Parla con Evidy per approfondire o richiedere un preventivo per le certificazioni.
🔗 Guide alle norme integrabili
Approfondisci gli schemi con cui questa norma si integra: dove condividono la struttura HLS (Annex SL), certificarli insieme significa un solo sistema documentale e un audit integrato — meno giornate e meno costi.
ISO/IEC 27001 — Sistema di gestione per la sicurezza delle informazioni · HLS ISO 22301 — Sistema di gestione della continuità operativa · HLS ISO 9001 — Sistema di gestione per la qualità · HLSArticoli Correlati
Come ottenere la certificazione ISO 22000 per la sicurezza alimentare
Cos'è la ISO 22000:2018, la norma che certifica il sistema di gestione per la sicurezza alimentare lungo tutta la filiera, come ci si certifica passo dopo passo e che rapporto ha con HACCP e con lo schema FSSC 22000 richiesto dalla grande distribuzione.
Come ottenere la certificazione SA8000 per la responsabilità sociale
Cos'è la SA8000:2026, lo standard che certifica condizioni di lavoro dignitose lungo la catena di fornitura, come ci si certifica passo dopo passo e quali sono i nove requisiti sociali che un organismo accreditato va a verificare sul campo.
Certificazione ISO/IEC 27001: come funziona e perché la chiedono tutti
Cos'è la ISO/IEC 27001:2022, come si ottiene la certificazione del SGSI passo dopo passo, quanto tempo serve, i vantaggi concreti e il legame con NIS2 e DORA. Guida evergreen, indipendente e senza markette.