La cybersecurity è ormai parte integrante della sicurezza aziendale, soprattutto nei contesti in cui impianti, macchinari, dispositivi connessi e sistemi di gestione digitale incidono direttamente sull’organizzazione del lavoro. Il riferimento principale resta il Dlgs 81/2008, che impone al datore di lavoro la valutazione di tutti i rischi per la salute e la sicurezza dei lavoratori, attraverso il DVR e le misure di prevenzione e protezione più adeguate.
A questo quadro si affiancano norme sempre più rilevanti in materia di sicurezza informatica, come il Dlgs 138/2024 di recepimento della direttiva NIS2 e il regolamento UE 2024/2847, noto come Cyber Resilience Act, dedicato alla sicurezza dei prodotti con elementi digitali. Il punto centrale è che il rischio cyber non riguarda più soltanto la protezione dei dati o la continuità informatica, ma può incidere anche sulla sicurezza fisica delle persone, sul funzionamento degli impianti e sulla gestione delle emergenze.
La cybersecurity modifica la valutazione dei rischi aziendali
La crescente digitalizzazione dei processi produttivi rende necessario superare una lettura separata tra sicurezza sul lavoro e sicurezza informatica. Nelle imprese moderne, un attacco cyber può alterare il funzionamento di un macchinario, bloccare un sistema di controllo, compromettere un impianto automatizzato o rendere indisponibili informazioni essenziali per la gestione della sicurezza. Questo significa che la cybersecurity deve essere considerata anche in rapporto ai rischi operativi, soprattutto quando l’azienda utilizza tecnologie connesse, sistemi di supervisione da remoto, dispositivi intelligenti, software gestionali, infrastrutture cloud o impianti integrati.
La valutazione non può quindi limitarsi alla protezione delle reti informatiche, ma deve verificare se un malfunzionamento digitale possa generare conseguenze concrete per lavoratori, manutentori, operatori e soggetti presenti nei luoghi di lavoro. Diventa importante analizzare le vulnerabilità dei sistemi, la possibilità di accessi non autorizzati, la gestione degli aggiornamenti, la protezione delle credenziali e le procedure da adottare in caso di blocco o compromissione dei sistemi digitali. In questa prospettiva, safety e cybersecurity diventano due ambiti collegati, perché la prevenzione efficace richiede un approccio integrato.
Le imprese devono integrare procedure, formazione e prevenzione
Le ricadute pratiche per le imprese sono significative. L’azienda deve innanzitutto comprendere quali processi dipendono da sistemi digitali e quali conseguenze potrebbero derivare da un guasto, da un attacco informatico o da una perdita di controllo. Questo lavoro richiede collaborazione tra datore di lavoro, RSPP, responsabili IT, preposti, manutentori e consulenti tecnici, in modo da costruire una valutazione coerente con la realtà operativa.
Anche la formazione dei lavoratori assume un valore nuovo: non basta conoscere le procedure di sicurezza tradizionali, ma occorre saper riconoscere comportamenti digitali rischiosi, accessi anomali, dispositivi non autorizzati, email sospette e situazioni che possono compromettere la continuità delle attività.
Per i lavoratori, questo significa maggiore consapevolezza e più tutela. Per le imprese, invece, significa ridurre il rischio di incidenti, fermi produttivi, responsabilità organizzative e danni reputazionali. La prevenzione deve quindi evolvere insieme alla tecnologia, trasformando la cybersecurity in una componente concreta del sistema di gestione della salute e sicurezza sul lavoro.