L'Unione europea, con l'introduzione della direttiva NIS2, ha stabilito nuovi standard per proteggere le reti e i sistemi informativi critici, includendo per la prima volta il settore alimentare. Questa evoluzione normativa rappresenta una risposta alla crescente minaccia di attacchi informatici ed è volta a garantire la continuità delle attività produttive e la sicurezza delle catene di approvvigionamento.
Per i produttori e distributori di frutta e verdura, adeguarsi ai requisiti della NIS2 diventerà essenziale per poter rifornire la grande distribuzione organizzata (GDO), che richiede standard elevati di sicurezza. Approfondiamo l'argomento con l'avvocato Gualtiero Roveda, consulente di Fruitimprese.
FreshPlaza (FP): Quale sarà l'impatto della direttiva NIS2, che dovrà essere adottata a partire da ottobre 2024, sul settore ortofrutticolo?
Gualtiero Roveda (GR): La direttiva NIS2 (Network and Information Security Directive 2) è una normativa dell'Unione Europea finalizzata a migliorare la sicurezza delle reti e dei sistemi informativi. Lo scopo principale è proteggere le infrastrutture critiche, comprese quelle del settore alimentare, da attacchi informatici e altre minacce digitali. Di conseguenza, impone alle imprese di implementare misure adeguate e proporzionate per gestire i rischi relativi alla sicurezza dei sistemi di rete.
L'avvocato Gualtiero Roveda
FP: La normativa, però, si applica solo alle medie e grandi imprese alimentari di produzione, trasformazione e distribuzione di alimenti?
GR: Sì, è corretto. Sono escluse le piccole imprese, cioè quelle con meno di 50 dipendenti e un fatturato annuo o un totale di bilancio annuo non superiore a 10 milioni di euro. Tuttavia, poiché la Grande Distribuzione Organizzata (GDO) è tra i soggetti obbligati, anche le piccole imprese dovranno rivedere i propri aspetti di cybersecurity per essere in regola con le richieste dei clienti. Le PMI sono sempre più spesso bersaglio di attacchi informatici nella catena di approvvigionamento, a causa delle loro misure di gestione dei rischi meno rigorose. Questi attacchi possono avere un effetto a cascata sui soggetti critici a cui tali imprese forniscono servizi o prodotti. In un ambiente connesso, un attacco alla rete informatica aziendale può incidere in pochi minuti su un'intera organizzazione o catena di fornitura. Per questa ragione, le imprese soggette alla normativa, come la GDO, devono considerare attentamente le vulnerabilità e le pratiche di sicurezza di ciascun fornitore.
FP: I rilevamenti evidenziano che il settore del retail è sempre più un obiettivo di interesse per i cybercriminali.
GR: Nel comparto rientrano imprese che raccolgono una grande quantità di dati personali e finanziari dei clienti. Questo le rende particolarmente esposte a pericoli informatici come malware, ransomware, attacchi DDoS e frodi con carte di credito.
FP: È corretto affermare che la normativa sollecita, in primo luogo, la direzione aziendale a occuparsi delle misure di cybersecurity?
GR: Assolutamente. È un aspetto significativo della nuova disciplina. La gestione della sicurezza informatica non è più un compito relegato esclusivamente alla funzione IT, ma diventa una responsabilità diretta dell'organo di gestione aziendale, come ad esempio il Consiglio di amministrazione.
FP: Quali sono le sfide principali che le aziende ortofrutticole potrebbero affrontare nel conformarsi a questa direttiva?
GR: Una delle sfide principali sarà l'aggiornamento delle infrastrutture tecnologiche. Molte aziende ortofrutticole utilizzano sistemi informatici che potrebbero non essere compatibili con i nuovi requisiti di sicurezza. Inoltre, la formazione del personale sarà cruciale. Gli operatori dovranno essere addestrati a riconoscere e rispondere alle minacce informatiche, il che richiede tempo e risorse. Infine, il costo dell'implementazione di queste misure di sicurezza potrebbe essere significativo, soprattutto per le piccole e medie imprese.
FP: La Direttiva NIS2 e il GDPR possono essere considerate complementari?
GR: La NIS2 si concentra sulla sicurezza delle reti e dei sistemi informativi essenziali, mentre il GDPR si occupa della protezione dei dati personali. Le due normative si integrano nel senso che una gestione adeguata della sicurezza informatica, come richiesto dalla NIS2, può contribuire a garantire la protezione dei dati personali, come richiesto dal GDPR.
FP: Le violazioni saranno sanzionate severamente?
GR: Gli operatori essenziali possono essere soggetti a sanzioni amministrative che possono arrivare a un massimo di 10 milioni di euro o fino al 2% del totale del fatturato mondiale globale. Gli operatori importanti, invece, possono essere soggetti a sanzioni pari a un massimo di 7 milioni di euro o fino all'1,4% del totale del fatturato mondiale globale.