Nel settore ortofrutticolo la digitalizzazione si sovrappone ai flussi fisici della merce: ordini, listini, tracciabilità, magazzini e logistica sono parte di sistemi informativi strutturati. Basta un attacco o un errore su un account per fermare conferimenti, spedizioni e fatturazione. Per le imprese nel perimetro NIS2 la disciplina è articolata e richiede adempimenti puntuali. Tra questi, uno è imminente: 28 febbraio 2026. Sul punto abbiamo chiesto chiarimenti all'avvocato Gualtiero Roveda, autore di libri e articoli sulla disciplina della sicurezza informatica.
© Cristiano Riciputi | FreshPlaza.itGualtiero Roveda
Freshplaza (FP): Quali imprese del settore sono direttamente coinvolte dalla disciplina NIS2?
Gualtiero Roveda (GR): In linea generale rientrano le imprese che non sono "piccole" secondo la Raccomandazione 2003/361/CE: in pratica, almeno 50 dipendenti oppure, se sotto tale soglia, fatturato e attivo di bilancio entrambi superiori a 10 milioni. Attenzione però: nel calcolo rilevano anche i dati delle imprese associate e collegate.
FP: Quelle che sono sotto a tali parametri non sono coinvolte?
GR: Anche se non rientrano direttamente nel perimetro, spesso sono coinvolte "di riflesso". Come fornitori di soggetti NIS e di grandi committenti, ad esempio la GDO, ricevono o riceveranno richieste contrattuali di sicurezza, con audit, clausole e standard minimi. Inoltre, molte misure stanno diventando requisiti di mercato: adeguarsi conviene, per non diventare l'anello debole della filiera.
FP: Quali sono le prossime scadenze riguardo ai flussi comunicativi con ACN?
GR: La scadenza immediata è il 28 febbraio 2026, termine della finestra annuale sul Portale ACN. Occorre verificare l'invio effettivo, l'aggiornamento e la coerenza dei dati, e la corretta archiviazione delle evidenze. Restano poi gli obblighi continuativi di aggiornamento delle informazioni rilevanti e di gestione degli eventi di sicurezza secondo le procedure applicabili.
FP: Le sanzioni previste dalla normativa sono molto severe.
GR: La mancata registrazione o l'aggiornamento tardivo delle informazioni può comportare sanzioni amministrative significative. L'articolo 38 del decreto NIS prevede, per i soggetti importanti, importi fino a 7 milioni di euro o all'1,4% del fatturato annuo.
FP: Ma in concreto come viene determinata la sanzione?
GR: Caso per caso, seguendo un principio chiave: deve essere efficace, proporzionata e dissuasiva, quindi capace di incidere senza pregiudicare la sostenibilità dell'impresa. Nel calcolo pesano la gravità e la durata della violazione, il grado di responsabilità dell'organizzazione, le misure adottate per prevenire o limitare le conseguenze, l'eventuale recidiva e la collaborazione con l'autorità. Per questo contano molto la tracciabilità, i controlli interni e la tempestività nel rimediare.
