Viaggio nella Normazione Internazionale

Abstract

Siamo abituati a considerare le norme ISO e UNI come manuali statici, prodotti finiti da consultare per conformità o gare d’appalto. Ma chi definisce, concretamente, cosa sia una “migliore prassi”? In questo episodio, Aldo Maugeri, responsabile della rubrica “Oltre gli Standard”, ci conduce direttamente nel cuore della normazione internazionale. Attraverso una duplice prospettiva, quella del normatore ISO e quella del professionista sul campo, il testo svela i meccanismi negoziali, le implicazioni geopolitiche e i riflessi diretti sulla normativa tecnica nazionale come CAD e Linee Guida AgID. Un racconto che svela l’importanza geopolitica della normazione: non manuali statici, ma un’architettura di cooperazione necessaria per difendere la fiducia digitale e garantire che le regole del futuro appartengano a tutti.

 

We often view ISO and UNI standards as mere compliance documents, finished products to be consulted only for tender requirements or regulatory alignment. But who, in practice, defines what constitutes a “best practice”? In this installment, Aldo Maugeri, host and curator of the Beyond the Standards column, takes us into the heart of international standardization. Drawing on the author’s dual perspective as an ISO Technical Expert and a field practitioner, the text reveals the negotiation mechanisms, geopolitical implications, and the direct impact on national technical regulations, such as the CAD and AgID Guidelines. This narrative unveils the strategic importance of standardization: it is not a collection of static manuals, but a cooperative architecture essential for defending digital trust and ensuring that the rules of the future belong to everyone.

   Go to English version

---

 

Per un professionista della Digital Compliance, le norme ISO o UNI sono spesso interpretate come ‘prodotti finiti’: dei manuali tecnici da consultare per risolvere un dubbio operativo o soddisfare un requisito di gara. Ma chi decide, concretamente, cosa costituisca una ‘migliore prassi’?

Questo episodio della rubrica “Oltre gli Standard” è diverso dal normale format: non ospiteremo un esperto internazionale della normazione, ma percorreremo assieme un sentiero che ci porterà oltre il testo della norma, per varcare le porte della ‘sala macchine’ della normazione internazionale.

Vi accompagnerò attraverso una duplice prospettiva: quella del normatore (in qualità di Esperto nazionale, Convenor e Project Leader ISO) e quella del professionista che implementa quegli stessi requisiti sul campo. È una visione maturata applicando i framework internazionali in contesti complessi: dalle infrastrutture della sanità digitale governativa agli atenei, fino alle realtà corporate.

L’obiettivo? Dimostrare che la conformità non è burocrazia, ma una leva strategica per l’organizzazione.

 

L’investimento aziendale: perché esserci?

Perché un’organizzazione dovrebbe investire nel far partecipare un proprio responsabile ai tavoli tecnici internazionali? La risposta non è il lobbismo (il sistema ISO è strutturato per mitigare l’influenza di interessi unilaterali attraverso il principio del consenso tra delegazioni nazionali e l’obbligo per tutti gli esperti di aderire al Codice Etico e di Condotta ISO^[1]), ma il posizionamento strategico e l’acquisizione di competenze di frontiera.

Parlare di “frontiera” significa presidiare il limite dove la tecnologia e il mercato non hanno ancora una regola condivisa. Per un’azienda o un ente, questo si traduce in tre vantaggi concreti:

• Visione anticipatoria: comprendere la ratio di una norma anni prima che diventi obbligatoria, evitando di dover ‘rincorrere’ l’adeguamento tecnologico;
• Interpretazione autentica: chi partecipa alla scrittura conosce i ‘perché’ dietro ogni riga del testo. Questa profondità permette di implementare i requisiti in modo intelligente, ottimizzando i costi;
• Networking d’eccellenza: il confronto costante con i massimi esperti mondiali trasforma il delegato aziendale in un catalizzatore di best practice

 

ISO e WTO: Il linguaggio comune del mercato globale

Se le norme tecniche fossero solo manuali per addetti ai lavori, non avrebbero il peso geopolitico che effettivamente possiedono.

Esiste un legame strategico tra l’ISO e la WTO (World Trade Organization), fondato sulla missione comune di facilitare il commercio mondiale. L’accordo sugli Ostacoli Tecnici al Commercio^[2] (TBT- Technical Barriers to Trade) stabilisce un principio cardine: gli Stati sono incoraggiati ad utilizzare gli standard internazionali come base per le proprie regolazioni tecniche nazionali, riducendo frammentazioni normative e barriere non tariffarie.

In questo contesto, la norma ISO agisce come potente catalizzatore di armonizzazione su base volontaria. Sebbene non sia una legge, la sua adozione diventa de facto una necessità strategica: è lo standard che allinea le prassi operative di tutto il mondo, permettendo al mercato di autoregolamentarsi su livelli di eccellenza condivisi.

Per un’organizzazione, la conformità è il possesso del “passaporto” necessario per operare su scala internazionale. L’adozione di uno standard internazionale facilita il riconoscimento transnazionale, pur restando soggetta ai requisiti regolatori e ai meccanismi di accreditamento locali.

 

La Gerarchia delle Norme: un ecosistema di vasi comunicanti

Per chi osserva dall’esterno, l’attività di normazione può apparire come un’entità monolitica. In realtà, è una struttura a “scatole cinesi” progettata per garantire democrazia e rigore tecnico:

• Livello ISO (Internazionale): Dove nascono standard frutto del consenso tra oltre 160 Paesi.
• Livello EN (Europeo): Sviluppati o recepiti dal CEN; una volta approvati, ogni Paese dell’Unione è obbligato a recepirli.
• Livello UNI (Italiano): Il nostro ente nazionale che recepisce o sviluppa, pubblica e diffonde lo standard in Italia.

Dunque, quando leggiamo la sigla UNI EN ISO, siamo davanti a uno standard nato in ambito Internazionale, adottato in Europa e recepito ufficialmente nel nostro Paese.

Ma CEN ed UNI non si limitano a recepire: hanno la facoltà di agire di propria iniziativa per sviluppare standard autonomi, rispondendo a specifiche esigenze regolatorie o di mercato nazionali o europee.

Grazie ad accordi di cooperazione come l’Accordo di Vienna^[3], CEN e ISO lavorano spesso in coordinamento per armonizzare i requisiti fin dalla loro prima definizione o per decidere quale dei due enti debba guidare lo sviluppo di una nuova norma. Questo evita la creazione di standard contrastanti e garantisce che l’Europa ed il resto del mondo parlino la stessa lingua tecnica.

 

L’anatomia del consenso: ruoli e maratone diplomatiche

Entriamo nel vivo. Il lavoro ISO non è un freddo scambio di e-mail, ma una vera maratona di incontri in cui esperti di ogni continente collaborano per sviluppare un testo condiviso.

All’interno dell’ISO, il lavoro si organizza in Comitati Tecnici (TC), Sottocommissioni (SC) e Working Groups (WG): è qui che avviene la scrittura vera e propria.

Questo lavoro richiede una precisione linguistica estrema. Si negozia in inglese tecnico, dove la differenza tra uno shall (obbligo tassativo) e uno should (raccomandazione) può decidere il destino operativo di migliaia di organizzazioni. La trasformazione di un requisito da “should implement” a “shall implement” comporta un impatto diretto sui requisiti delle audit, sui costi di compliance e sull’architettura dei sistemi informativi.

I ruoli sono definiti dalle direttive ISO/IEC:

• il Convenor: (ruolo che ricopro per il Working Group 21^[4] sulle Digital Legacies) è il responsabile imparziale della conduzione equa dei lavori e della ricerca del consenso. Agisce in un ruolo puramente internazionale;
• il Project Leader (PL): è l’architetto del testo; guida lo sviluppo di una specifica norma coordinandone i contenuti;
• gli Esperti: nominati dagli enti nazionali (come l’UNI), portano il sapere tecnico e l’esperienza sul campo;
• Liaison: sono i ‘ponti’ tra mondi diversi. Nel mio ruolo di Liaison per l’SC 11 verso l’SC 27^[5] su Sicurezza e Privacy, assicuro il coordinamento tra comitati differenti.

 

SC 11 nel suo ruolo di garante del valore digitale

Se all’interno dell’ISO il mondo definisce le sue regole, il sottocomitato ISO SC 11^[6] definisce come memoria e validità probatoria siano interconnesse.

Nell’economia del dato, l’SC 11 è il garante del mantenimento dell’informazione registrata e della sua opponibilità: qui si stabiliscono i criteri affinché un documento non sia solo un insieme di bit, ma un asset il cui valore rimane integro nel tempo, permettendo ai documenti di essere considerati ‘evidence’ (prove) valide e riconosciute ovunque.

In questa sede il legislatore trova i principi tecnici e i framework internazionali a cui ispirarsi per garantire l’interoperabilità e la tenuta giuridica del sistema Paese.

In Italia, il CAD (Codice dell’Amministrazione Digitale, D.Lgs. 82/2005) e le Linee guida AgID recepiscono e rielaborano principi coerenti con la normazione internazionale in materia di gestione documentale^[7].

Standard come ISO 15489 o ISO 30301^[8] definiscono requisiti strutturati per la gestione documentale, mentre modelli come ISO 14721 (OAIS)^[9] forniscono l’architettura concettuale per la normativa nazionale mentre, in ambito europeo, dialogano con il Regolamento eIDAS in materia di validità giuridica e servizi fiduciari.

Senza questo ancoraggio globale, le nostre regole nazionali rischierebbero di diventare un’isola senza collegamenti con il mercato globale.

 

Il mio personale percorso tra Information Governance e Normazione

Probabilmente, a questo punto, il lettore che mi ha già visto nel ruolo di intervistatore per questa rubrica, potrà iniziare a domandarsi: “Ma come sei finito ai tavoli dell’ISO?”

Il mio percorso normativo nasce nel Regno Unito, dove nel 2020, come Information Governance Manager presso la Canterbury Christ Church University, è nata la collaborazione con il BSI^[10] per lo sviluppo del Code of practice sulla gestione documentale (BS 10025:2021). Successivamente, il passaggio al livello internazionale mi ha visto coordinare come Project Leader lo sviluppo dello standard ISO/TS 7538:2024.

Rientrato in Italia nel 2022, ho proseguito il mio impegno nella normazione contribuendo ai lavori della sottocommissione UNI SC 11^[11], integrando le prospettive maturate durante gli anni all’estero.

Oggi, oltre a presiedere il lavoro del WG 21^[12] sulle Eredità Digitali^[13], rappresento la gestione documentale nei tavoli dell’ISO SC 27^[14], dove si definiscono le regole globali per la sicurezza e la privacy.

L’esperienza maturata tra sistemi normativi differenti (UK e Italia) mi ha mostrato in prima persona come la normazione operi come linguaggio tecnico sovranazionale, capace di garantire continuità metodologica tra ordinamenti e culture diverse.

Conclusione: Il valore della collaborazione come bussola globale

Partecipare ai lavori di normazione internazionale non è un esercizio accademico. Significa smettere di essere spettatori delle dinamiche di mercato e iniziare a comprenderne le traiettorie, passando dal ‘leggere il manuale’ al guardare dentro il ‘motore’ dell’innovazione.

Proprio oggi, mentre assistiamo alla spinta di grandi potenze che tentano di scrivere unilateralmente le proprie regole del mondo, l’esistenza di tavoli internazionali acquista un valore civile.

Gli standard, per garantire equità, devono restare il frutto di un consenso corale ed inclusivo tra i paesi. Affinché le regole del gioco di domani non possano essere semplicemente subite, né imposte da pochi: devono essere scritte assieme. Questa è la via affinché la fiducia rimanga, autenticamente, un patrimonio di tutti.

 

---

 

A journey into International Standardization

For a digital compliance professional, ISO and UNI standards are often seen as “finished products”, technical manuals to be consulted only to resolve a functional question or meet a tender requirement. But who, in practice, defines what constitutes a “best practice”?

This installment of Beyond the Standards deviates from our usual format. Rather than hosting an international guest, we will embark on a journey together, moving beyond the technical text to step inside the “engine room” of international standardization.

I will guide you through a dual perspective: that of the expert involved in standard-making — drawing on my experience as a National Expert, ISO Convenor, and Project Leader — and that of the professional implementing those very requirements in the field. This is a practical perspective, forged by the direct application of international frameworks in high-stakes environments, from national digital healthcare systems and academic institutions to the competitive pressures of the corporate world.

The goal? To prove that compliance is not mere bureaucracy, but a strategic lever for any organization.

 

Corporate investment: Why be there?

Why should an organization invest in having a delegate participate in international technical committees? The answer is not lobbying—the ISO system is structured to mitigate the influence of unilateral interests through the principle of consensus among national delegations and the ISO Code of Ethics and Conduct^[15]—but rather strategic positioning and the acquisition of frontier skills.

Operating “at the frontier” means overseeing the boundary where technology and the market have yet to establish shared rules.

For an organization, this translates into three concrete advantages:

• Anticipatory vision: understanding the rationale behind a standard years before it becomes mandatory, preventing the need to “chase” technological adaptation;
• Authentic interpretation: those who participate in the drafting process understand the “whys” behind every line of the text. This depth allows for strategic, rather than merely procedural, implementation of requirements, thereby optimizing costs;
• Expert networking: constant interaction with the world’s leading experts transforms participation into a catalyst for international best practices.

 

ISO and the WTO: The common language of the global market

If technical standards were merely manuals for specialists, they would not possess the geopolitical weight they actually hold.

A strategic alignment exists between ISO and the WTO^[16] (World Trade Organization), founded on a shared mission to facilitate global trade. The Agreement on Technical Barriers to Trade (TBT) establishes a cornerstone principle: States are encouraged to use international standards as the basis for their own national technical regulations, thereby reducing regulatory fragmentation and non-tariff barriers.

In this context, the ISO standard acts as a powerful catalyst for voluntary harmonization. Although it is not a law, its adoption becomes a de facto strategic necessity: it is the benchmark that aligns operational practices worldwide, allowing the market to self-regulate on shared levels of excellence.

For an organization, adherence to these standards represents the “passport” required to operate on an international scale. The adoption of an international standard facilitates transnational recognition, while remaining subject to local regulatory requirements and formal accreditation mechanisms.

 

The hierarchy of Standards: A connected ecosystem

To an outside observer, standardization might appear to be a monolithic entity. In reality, it is a “nested” structure designed to guarantee both democracy and technical rigor:

• ISO Level (International): Where International Standards are born as a result of consensus among over 160 countries.
• EN Level (European): Developed or adopted by CEN; once approved, every EU member state is obligated to adopt them as national standards and withdraw any conflicting local requirements.
• UNI Level (Italian): The Italian national body that transposes, develops, publishes, and disseminates standards in Italy.

Consequently, when we see the acronym UNI EN ISO, we are looking at standards originated in the international arena, adopted in Europe, and officially transposed in Italy.

However, CEN and UNI do not merely transpose: they have the authority to act on their own initiative to develop autonomous standards, responding to specific national or European regulatory or market needs.

Thanks to cooperation agreements such as the Vienna Agreement^[17], CEN and ISO often work in coordination to harmonize requirements from their very first definition, or to decide which of the two bodies should lead the development of a new standard. This prevents the creation of conflicting standards and ensures that Europe and the rest of the world speak the same technical language.

 

The anatomy of consensus: Roles and diplomatic marathons

Let’s now dive into the heart of the matter. ISO work is not a cold exchange of emails, but a true marathon of meetings where experts from every continent collaborate toward a shared text.

Within ISO, work is organized into Technical Committees (TC), Subcommittees (SC), and Working Groups (WG): it is here that the actual drafting takes place.

This work requires extreme linguistic precision. Negotiations are conducted in technical English, where the difference between a “shall” (a mandatory obligation) and a “should” (a recommendation) can determine the operational fate of thousands of organizations. Shifting a requirement from “should” to “shall” has a direct impact on audit criteria, compliance costs, and the very architecture of information systems.

Roles are strictly defined by the ISO/IEC Directives:

• the Convenor: (the role I hold for Working Group 21^[18] on Digital Legacies) is the neutral officer responsible for the fair conduct of the work and the pursuit of consensus. The Convenor acts in a purely international capacity;
• the Project Leader (PL): The architect of the text; they guide the development of a specific standard by coordinating its technical content;
• the Experts: Appointed by national bodies (such as UNI), they bring specialized technical knowledge and field experience to the table;
• Liaisons: These are the “bridges” between different worlds. In my role as Liaison from SC 11 to SC 27^[19] (Security and Privacy), I ensure strategic coordination between these interconnected committees.

 

SC 11: the guardian of digital value

If ISO is where the world defines its rules, the SC 11 subcommittee is where digital memory and evidentiary validity meet.

In the data economy, SC 11 serves as the guarantor for the preservation and enforceability of recorded information. It is here that the criteria are established to ensure a record is not merely a collection of bits, but a strategic asset whose value remains intact over time—allowing digital records to be recognized as valid “evidence” on a global scale.

This forum provides the technical principles and international frameworks that legislators rely on to ensure the interoperability and legal stability of the national system.

In Italy, the CAD (Digital Administration Code, Legislative Decree 82/2005) and the AgID Guidelines adopt and refine these principles, ensuring they remain consistent with international standards for records management.^[20]

Whether through the structured requirements of ISO 15489 and ISO 30301^[21], or the conceptual architecture of ISO 14721 (OAIS)^[22], these models provide the foundation for national regulations and dialogue directly with the European eIDAS Regulation regarding legal validity and trust services.

Without this global anchoring, our national rules would risk becoming an isolated island, disconnected from the global market.

 

My personal journey: from Information Governance to standardization

At this point, readers who have followed my role as an interviewer for this column might naturally ask: “How exactly did you end up at the ISO tables?”

My journey into standardization began in the United Kingdom. In 2020, while serving as Information Governance Manager at Canterbury Christ Church University, I began collaborating with the BSI (British Standards Institution)^[23] on the development of the Code of practice on  records management (BS 10025:2021). This path eventually led to the international level, where I served as Project Leader coordinating the development of the Technical Specification on Functional requirements for records disposition (ISO/TS 7538:2024).

Upon returning to Italy in 2022, I continued this commitment to standardization by contributing to the work of the UNI SC 11 subcommittee^[24], integrating the strategic perspectives I gained during my years abroad.

Today, in addition to acting as Convenor for Working Group 21^[25] on Digital Legacies^[26], I represent the records management field within ISO SC 27^[27], where global standards for security and privacy are defined.

My experience across these different regulatory systems — the UK and Italy — has shown me firsthand how standardization operates as a supranational technical language, capable of ensuring methodological continuity across diverse jurisdictions and cultures.

 

Conclusion: collaboration as a global compass

Participating in international standardization is far from a mere theoretical exercise. It means moving from being a spectator of market dynamics to understanding their trajectories—shifting from simply “reading the manual” to looking inside the very “engine” of innovation.

Today, as we witness the push by major powers attempting to unilaterally write their own rules for the world, the existence of international forums takes on a profound civic value.

For standards to guarantee equity, they must remain the result of a collective and inclusive consensus among nations. The rules of tomorrow’s game cannot be passively accepted , nor can they be dictated by a few; they must be written together. This is the path to ensuring that trust remains, authentically, a heritage shared by all.

 

---

^[1] https://www.iso.org/publication/PUB100011.html

^[2]Technical Barriers to Trade (TBT) Agreement, in particolare l’Allegato 3 – Code of Good Practice, https://www.wto.org/english/tratop_e/tbt_e/tbt_e.htm

^[3] https://www.cencenelec.eu/about-cen/cen-and-iso-cooperation/

^[4] ISO/TC 46/SC 11/WG 21, Disposition

^[5] ISO/IEC JTC 1/SC 27, Information security, cybersecurity and privacy protection

^[6] ISO/TC 46/SC 11, Archives/Records Management

^[7] Vedi Standard e Specifiche tecniche Agid, Allegato 4 al documento “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici”. https://www.agid.gov.it/sites/agid/files/2024-06/allegato_4_standard_e_specifiche_tecniche.pdf

^[8] Entrambi gli standard sono sviluppati da ISO/TC 46/SC 11

^[9] La sottocommissione responsabile per lo sviluppo dello Standard è ISO/TC 20/SC 13

^[10] British Standards Institution (BSI, una società costituita con Royal Charter), svolge l’attività di Ente Nazionale di Normazione, National Standards Body (NSB) nel Regno Unito.

^[11] UNI/CT 014/SC 11, Archivi e gestione documentale

^[12] ISO/TC 46/SC 11/WG 21

^[13] ISO/AWI TR 24086, https://www.iso.org/standard/87683.html

^[14] ISO/IEC JTC 1/SC 27, Information security, cybersecurity and privacy protection

^[15] https://www.iso.org/publication/PUB100011.html

^[16] Technical Barriers to Trade (TBT) Agreement, specifically Annex 3 – Code of Good Practice, https://www.wto.org/english/tratop_e/tbt_e/tbt_e.htm

^[17] https://www.cencenelec.eu/about-cen/cen-and-iso-cooperation/

^[18] ISO/TC 46/SC 11/WG 21, Disposition

^[19] ISO/IEC JTC 1/SC 27, Information security, cybersecurity and privacy protection

^[20] See AgID Standard e Specifiche tecniche, Allegato 4 al documento “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici (Standards and Technical Specifications, Annex 4 to the Guidelines on the creation, management, and preservation of electronic records). https://www.agid.gov.it/sites/agid/files/2024-06/allegato_4_standard_e_specifiche_tecniche.pdf

^[21] Both standards are developed by ISO/TC 46/SC 11.

^[22] The subcommittee responsible for developing the standard is ISO/TC 20/SC 13

^[23] The British Standards Institution (BSI, a company incorporated by Royal Charter), serves as the National Standards Body (NSB) for the United Kingdom.”

^[24] UNI/CT 014/SC 11, Archivi e gestione documentale (archives and management of records)

^[25] ISO/TC 46/SC 11/WG 21

^[26] ISO/AWI TR 24086, https://www.iso.org/standard/87683.html

^[27]  ISO/IEC JTC 1/SC 27, Information security, cybersecurity and privacy protection