Due scadenze importanti si avvicinano per le imprese agroalimentari soggette alla direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024: entro il 31 dicembre 2025 dovrà essere nominato e registrato il referente CSIRT sulla piattaforma dell'Agenzia per la Cybersicurezza Nazionale (ACN); per chi è già stato inserito negli elenchi NIS, scatterà il termine dei nove mesi per essere pienamente operativi nella segnalazione degli incidenti significativi.
© Cristiano Riciputi | FreshPlaza.itL'avvocato Gualtiero Roveda
Scadenze che impongono di muoversi subito, anche nel settore ortofrutticolo, dove la digitalizzazione di magazzini, trasporti e tracciabilità espone le aziende a rischi crescenti.
Sul tema interviene Gualtiero Roveda, avvocato, giornalista e consulente in diritto agroalimentare e cybersecurity.
Freshplaza (FP): Perché la NIS2 riguarda anche le imprese ortofrutticole?
Gualtiero Roveda (GR): Perché la filiera ortofrutticola è ormai completamente digitale: gestione dei magazzini automatizzati, sensori climatici, piattaforme logistiche e dati di tracciabilità. La NIS2 considera questo comparto un "settore importante", quindi soggetto agli obblighi di sicurezza e di notifica previsti dal decreto. Un ransomware o un blocco dei sistemi di spedizione possono interrompere la catena di fornitura, con danni economici immediati.
FP: Quali imprese del settore rientrano nella disciplina NIS2?
GR: Le imprese che hanno più di 50 dipendenti oppure che possiedono contemporaneamente un fatturato annuo superiore a 10 milioni di euro e un attivo di bilancio superiore a 10 milioni di euro. Attenzione: per il calcolo dei parametri si devono considerare anche i dati delle imprese associate e collegate, secondo quanto stabilito dalla Raccomandazione UE 2003/361/CE.
FP: Cosa deve fare un'impresa che rientra nel perimetro NIS2 per rispettare la scadenza di dicembre 2025?
GR: Designare e registrare un referente CSIRT — cioè la persona che gestirà le comunicazioni tecniche con il CSIRT Italia, l'unità nazionale per la gestione degli incidenti informatici. La finestra di nomina, tramite la piattaforma ACN, va dal 20 novembre al 31 dicembre 2025. Chi non effettua la registrazione nei termini non potrà notificare incidenti significativi, esponendosi a sanzioni. È quindi una scadenza che le imprese regolate non possono ignorare.
FP: Chi può rivestire tale ruolo?
GR: Il referente deve essere una persona fisica con competenze specifiche in sicurezza informatica; fungerà da punto di contatto con lo CSIRT Italia per la gestione degli incidenti informatici.
FP: E il termine dei "nove mesi" cosa comporta?
GR: È il tempo concesso dall'ACN per portare il sistema di gestione alla piena operatività.
Dal momento in cui un soggetto riceve la comunicazione di iscrizione all'elenco nazionale NIS, dispone di nove mesi per completare la formazione del personale, approvare il Piano di Gestione Incidenti, aggiornare il Registro Incidenti e testare le procedure di segnalazione (prenotifica a 24 ore, aggiornamento a 72 ore, relazione finale a un mese). Scaduto quel termine, l'obbligo di segnalazione è pienamente vincolante.
FP: Nel caso di inadempimento, quali sono le conseguenze?
GR: Le conseguenze sono di rilievo. Il Decreto NIS prevede sanzioni amministrative fino a diversi milioni di euro. Oltre al piano amministrativo, vi è anche un profilo di responsabilità civile: se la disorganizzazione interna impedisce di gestire o segnalare un incidente e ciò provoca un danno alla filiera — per esempio la perdita di merce deperibile o la sospensione delle forniture — l'impresa può essere chiamata a risponderne nei confronti dei partner commerciali e degli operatori economici danneggiati. Questo rende la conformità non solo un obbligo, ma una tutela preventiva della reputazione e dei rapporti di filiera.
FP. Qual è il primo passo per le imprese ortofrutticole?
GR: Verificare subito se si rientra tra i soggetti NIS2, poi deliberare la nomina del Referente CSIRT con atto del Consiglio di Amministrazione o del Direttore Generale. Serve anche coordinarsi con il Punto di Contatto NIS, il referente Privacy e la funzione IT per predisporre un piano di notifica condiviso. Non bisogna aspettare dicembre: la parte più impegnativa è l'organizzazione interna e la formazione. Essere pronti in anticipo non è solo compliance, ma un segnale di affidabilità per clienti, GDO e partner di filiera. La Direttiva NIS2 segna l'inizio di una fase in cui la sicurezza informatica entra stabilmente tra i fattori di competitività e sostenibilità del sistema ortofrutticolo italiano.
