Il Decreto Legislativo 138/24, che recepisce la Direttiva UE 2022/2555 (NIS2), introduce importanti novità in materia di sicurezza informatica anche per il settore ortofrutticolo. Molte aziende del comparto si trovano ora a dover rispettare nuovi obblighi in un ambito tradizionalmente poco considerato per questa tipologia di imprese. La crescente digitalizzazione delle operazioni e l'interconnessione delle filiere, però, espongono le imprese a rischi sempre maggiori, rendendo necessario un adeguamento tecnico e normativo che garantisca la protezione dei sistemi e delle reti e la continuità operativa. Approfondiamo l'argomento con l'Avv. Gualtiero Roveda, consulente di Fruitimprese.
FresPlaza (FP): Cosa cambia la nuova normativa?
Gualtiero Roveda (GR): La nuova normativa estende gli obblighi di sicurezza informatica anche ad aziende ortofrutticole, che fino a poco tempo fa erano considerate al di fuori di questo ambito.
L'avvocato Gualtiero Roveda
FP: Quali sono, nello specifico, le imprese del settore interessate?
GR: Sono quelle che si occupano della distribuzione all'ingrosso, della produzione industriale e della trasformazione, considerate "medie" e "grandi" in base a specifici criteri dimensionali. In particolare, una media impresa è considerata tale se ha tra i 50 e i 249 dipendenti o un fatturato annuo pari o superiore a 10 milioni di euro o un totale di bilancio annuo di almeno 10 milioni di euro. Le grandi imprese, invece, devono avere 250 o più dipendenti o un fatturato annuo superiore a 50 milioni di euro o un totale di bilancio superiore a 43 milioni di euro.
FP: Quali sono i principali obblighi che le aziende coinvolte devono rispettare?
GR: Le imprese interessate devono attuare misure adeguate e proporzionate alla gestione dei rischi informatici che garantiscano continuità operativa e capacità di resilienza. Questo comprende l'implementazione di piani per rilevare tempestivamente gli incidenti, gestire le vulnerabilità e ripristinare le attività in caso di attacco. Devono inoltre eseguire analisi periodiche dei rischi e attuare procedure di monitoraggio continuo delle minacce. La comunicazione degli incidenti rilevanti deve essere effettuata all'autorità competente entro 24 ore dalla rilevazione, con una relazione dettagliata da inviare entro le 72 ore successive.
FP: Tra gli obblighi imposti dalla nuova disciplina alle imprese interessate c'è quello di assicurarsi che anche i fornitori abbiano una postura di cibersicurezza adeguata.
GR: È così. Uno dei principali aspetti della Direttiva è proprio l'estensione degli obblighi di sicurezza ai soggetti indirettamente coinvolti nella catena di fornitura. Questo significa che le aziende ortofrutticole, spesso fornitrici o acquirenti di altre imprese alimentari, devono garantire che i loro partner commerciali rispettino gli stessi requisiti di sicurezza. È quindi necessario adottare un approccio integrato che preveda la valutazione dei rischi dei fornitori, l'inserimento di clausole contrattuali specifiche in termini di sicurezza informatica e un monitoraggio continuo delle misure adottate lungo tutta la filiera.
FP: La Grande Distribuzione Organizzata (GDO) può, quindi, imporre obblighi in tal senso ai propri fornitori?
GR: Sì, la GDO rientra tra i soggetti regolamentati e deve assicurarsi che i fornitori abbiano un'adeguata postura di sicurezza informatica. La conformità alla normativa non è facoltativa, ma obbligatoria per l'intera filiera.
FP: Quali strumenti ha la GDO per chiedere ai fornitori di implementare le misure di protezione necessarie?
GR: Può tutelarsi attraverso la negoziazione di clausole contrattuali specifiche che definiscono obblighi in termini di sicurezza informatica, la previsione di audit periodici, verifiche e richieste di reportistica.
FP: Quali sono le scadenze previste per andare a regime con le nuove disposizioni?
GR: La prima scadenza è fissata per il 31 dicembre 2024, data entro la quale le aziende devono completare un assessment preliminare per verificare se rientrano nel perimetro della normativa. A seguire, tra il 1° gennaio e il 28 febbraio 2025, le imprese che rientrano tra i soggetti obbligati devono registrarsi sulla piattaforma dell'Agenzia per la Cybersicurezza Nazionale (ACN). Tra il 1° aprile e il 15 aprile 2025, l'Agenzia invierà le comunicazioni formali ai soggetti registrati, informandoli dell'inserimento nell'elenco ufficiale. Una volta inserite, dovranno nominare un responsabile della sicurezza informatica entro il 15 aprile 2025 e fornire all'ACN tutte le informazioni richieste. Le scadenze e gli adempimenti correlati richiedono indubbiamente una pianificazione attenta e puntuale da parte delle organizzazioni.
FP: Quali rischi corrono le imprese che non si adeguano a queste disposizioni?
GR: Il Decreto Legislativo prevede sanzioni severe per il mancato rispetto degli obblighi della Direttiva NIS2. Queste possono arrivare fino a 10 milioni di euro o il 2% del fatturato globale annuo. Oltre alle sanzioni economiche, le aziende che non si adeguano rischiano di subire danni reputazionali significativi e di perdere la fiducia dei partner della filiera.