Chiusa la recente scadenza di febbraio, le imprese ortofrutticole che ricadono nel perimetro NIS devono già prepararsi ai prossimi due snodi: l'aggiornamento annuale sul portale ACN (finestra 15 aprile–31 maggio) che, nel 2026, si intreccia con il nuovo tema della categorizzazione; e, a seguire, l'adeguamento alle misure di sicurezza di base entro ottobre 2026, quando la responsabilità dei vertici aziendali entra "a pieno regime" in termini di decisioni, priorità ed evidenze di attuazione. Ne parliamo con Gualtiero Roveda, avvocato cesenate e consulente in cybersecurity, protezione dei dati e compliance normativa.
Freshplaza (FP): Perché la NIS2 riguarda in modo così diretto il settore ortofrutticolo?
Gualtiero Roveda (GR): La normativa si applica a una platea di soggetti definiti essenziali e importanti, che erogano servizi o forniscono prodotti rilevanti per il sistema Paese e la cui indisponibilità può generare impatti economici e sociali significativi. Le imprese ortofrutticole che operano all'ingrosso, se non qualificabili come piccole imprese, rientrano a pieno titolo tra i soggetti importanti.
© Cristiano Riciputi | FreshPlaza.itL'avvocato Gualtiero Roveda
FP: Quella ortofrutticola è una filiera "a tempo" e spesso "a temperatura": se si blocca un servizio digitale, si blocca la merce e i danni sono enormi.
GR: È così. Un fermo su ERP, posta elettronica, WMS, etichettatura o tracciabilità significa: ordini GDO che non partono, DDT e fatture bloccati, picking rallentato, baie di carico congestionate, rischio contestazioni e prodotto che perde valore. La NIS2 prende atto che questo è rischio d'impresa, non solo un "tema IT".
FP: Cosa dovrebbe fare un'impresa ortofrutticola per gestire il rischio in modo efficace e sostenibile?
GR: Tre passi, molto concreti: primo, trattare aggiornamento annuale e categorizzazione come attività trasversale (direzione, compliance, IT, operations), non come incombenza "solo informatica". Secondo, individuare subito l'IT delegato e avviare l'implementazione delle misure di base, raccogliendo fin dall'inizio le relative evidenze. Terzo, portare al vertice le scelte e i trade-off inevitabili (ad esempio fermi programmati vs rischio) perché siano assunti, deliberati e tracciati. In ortofrutta, il rischio digitale finisce sempre per diventare rischio di prodotto e, rapidamente, anche reputazionale.
FP: Si parla di "responsabilità degli apicali". Tradotto per una Direzione: cosa cambia?
GR: Cambia il baricentro: non basta "avere l'informatico" o acquistare un tool. Il vertice deve decidere (e poter dimostrare di aver deciso) quali servizi sono critici, quali scenari sono intollerabili (ad esempio stop confezionamento/etichette, indisponibilità EDI, compromissione della mail con frodi sui pagamenti), quali priorità e quali risorse allocare. È la logica per cui la normativa attribuisce obblighi specifici agli organi di amministrazione e direttivi.
FP: È un impegno costante, continuo, in capo ai vertici aziendali?
GR: Sì. Il modo più chiaro per inquadrarlo è il ciclo di Deming (PDCA):
• Plan: perimetro, ruoli, policy e piani;
• Do: implementazione delle misure (soprattutto "di base") e messa a terra delle procedure;
• Check: test ed evidenze (restore backup, simulazioni, KPI minimi);
• Act: correzioni e aggiornamenti periodici.
È un'impostazione "di gestione" che si misura nel tempo, non un fascicolo statico.
FP: In un suo recente articolo su Consulenza Agricola trattava della Matrice RACI: perché è così importante?
GR: Per le fasi critiche, adottare una matrice RACI è il modo più efficace per evitare zone grigie e ritardi: chiarisce chi esegue (R – Responsible), chi approva e risponde del risultato (A – Accountable, uno solo), chi va consultato (C) e chi va informato (I). In filiere complesse come l'ortofrutta, dove IT, operations, qualità/tracciabilità, acquisti e HR si intrecciano ogni giorno, la RACI traduce la compliance in operatività: responsabilità attribuite, decisioni chiare, evidenze tracciabili.
FP: Qual è il prossimo appuntamento "di calendario"?
GR: L'aggiornamento annuale sul portale ACN: la finestra indicata è 15 aprile–31 maggio. Nel 2026 questo passaggio è particolarmente rilevante perché si collega anche al tema della categorizzazione, che ACN ha indicato come elemento strutturale del percorso (modello/criteri e conseguenti adempimenti).
FP: Un aspetto spesso sottovalutato riguarda la supply chain: che cosa cambia nella filiera ortofrutticola?
GR: Le imprese ortofrutticole NIS dovranno chiedere garanzie di sicurezza a fornitori e partner operativi: trasporti e logistica, packaging, manutentori, software house, cloud e servizi IT. Ne deriverà un effetto domino: anche le realtà più piccole, pur non rientrando nel perimetro NIS2 per dimensioni, saranno sempre più spesso chiamate ad adeguarsi (misure minime, procedure, requisiti contrattuali) per non rischiare esclusioni o penalizzazioni nei rapporti con i grandi player.
FP: E dopo l'aggiornamento, qual è l'obiettivo successivo?
GR: L'adeguamento alle misure di sicurezza di base entro ottobre 2026: qui la responsabilità degli apicali diventa sostanziale, perché non basta dire "abbiamo un piano", bisogna dimostrare implementazione, verifiche e miglioramento su misure e processi
