Premessa

Negli ultimi anni, la sicurezza informatica è diventata una priorità per governi, aziende e cittadini. La crescente dipendenza dalle tecnologie digitali ha reso indispensabile proteggere dati, reti e sistemi da minacce sempre più sofisticate. Per affrontare queste sfide, l’Unione Europea ha introdotto la Direttiva UE 2022/2555, nota come NIS2, che rappresenta un passo avanti significativo rispetto alla precedente Direttiva NIS (2016/1148). Questa normativa ha un impatto diretto su diversi settori economici, tra cui la filiera agroalimentare.

Un nuovo scenario per la Cybersecurity

La Direttiva NIS2 amplia il perimetro di applicazione, includendo settori prima esclusi, come la produzione, trasformazione e distribuzione alimentare. Tra gli obiettivi principali vi sono:

• Rafforzare la prevenzione e la gestione dei rischi informatici.
• Migliorare la cooperazione tra pubblico e privato.
• Implementare un sistema di segnalazione efficace per gli incidenti.
• Introdurre sanzioni per chi non rispetta gli obblighi.

Entro il 18 ottobre, i Paesi membri devono rendere operative le misure nazionali per adeguarsi alla direttiva. In Italia, il recepimento è avvenuto con la Legge n. 90/2024 e il Decreto 138/2024, che delineano gli obblighi per le imprese interessate.

L’importanza della Cybersecurity

La cybersicurezza non riguarda solo la protezione dei sistemi, ma anche la fiducia degli utenti, la continuità operativa e la conformità normativa. Dati recenti del Ministero dell’Interno evidenziano che, tra gennaio 2023 e luglio 2024, l’Italia ha registrato 19.364 attacchi informatici, una media di 33 al giorno. Questo posiziona il nostro Paese tra i più esposti in Europa.

Le imprese devono dunque affrontare questa realtà con un approccio proattivo, investendo nella sicurezza digitale e promuovendo una cultura aziendale attenta alla gestione dei rischi informatici.

Per maggiori info: https://www.itgovernance.eu/it-it/what-is-cyber-security-it

La Direttiva NIS2 e le imprese alimentari

La Dir NIS2 amplia il perimetro di applicazione, comprendendo nuovi settori produttivi, tra i quali rientra la “produzione, trasformazione e distribuzione di alimenti”.

Per comprendere meglio quali aziende saranno interessate e quali obblighi dovranno assolvere occorre considerare 3 criteri:

1. dimensione: rientrano nell’ambito di applicazione le imprese qualificate come medie imprese o quelle che superano i massimali delle medie imprese (la Raccomandazione 2003/361/CE, definisce come medie imprese quelle che soddisfano questi 2 requisiti: 1) occupano almeno 50 persone 2)hanno un fatturato o un attivo di bilancio superiore a 10 M di €) 
2. settore merceologico: i settori interessati sono definiti negli allegati I e II della direttiva. La produzione, trasformazione e distribuzione di alimenti è presente nell’allegato II (altri settori critici), mentre l’allegato I definisce i settori ad alta criticità (es. energia, trasporti, banche e finanza
3. territorio: rientrano nell’ambito applicazione della Dir NIS2 i soggetti che operano in ambito comunitario

Obblighi per le imprese alimentari

Dal momento che la produzione, trasformazione e distribuzione di alimenti rientra tra “altri settori critici”, la Dir NIS2 attribuisce alle imprese alimentari tenute all’applicazione la qualifica di “soggetti importanti” (diversamente le imprese che operano in settori ad alta criticità sono definite “soggetti essenziali” e sono tenute a soddisfare prescrizioni di maggior specificità, quali definite ad esempio dalla Dir UE 2023/2557).

L’art 21 della Dir NIS2 pone in capo agli stati membri la responsabilità di provvedere a che i soggetti essenziali ed importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete.

Nel medesimo articolo si stabilisce che tali misure siano basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendano almeno gli elementi seguenti:

• apolitiche di analisi dei rischi e di sicurezza dei sistemi informatici;
• gestione degli incidenti;
• continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
• sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
• strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity;
• pratiche di igiene informatica di base e formazione in materia di cybersecurity;
• politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura; i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
• uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Recepimento italiano della direttiva

In Italia, il recepimento della NIS2 è avvenuto con due strumenti legislativi principali:

1. Legge n. 90/2024: pone le basi per la cybersicurezza in settori strategici, compresa la pubblica amministrazione.
2. Decreto 138/2024: stabilisce gli obblighi per le imprese alimentari e altre categorie, tra cui:
   • Registrazione: dal 1° gennaio al 28 febbraio 2025, le aziende dovranno registrarsi sulla piattaforma gestita dall’Autorità per la Cybersicurezza Nazionale (ACN), indicando attività, servizi e rischi.
   • Notifica degli incidenti: pre-notifica entro 24 ore dall’evento e relazione finale entro un mese.
   • Adozione di misure specifiche: tecniche, operative e organizzative proporzionate ai rischi.

La NIS2 interesserà circa 50.000 nuovi soggetti in Italia, oltre a quelli già coinvolti dalla precedente direttiva.

Come prepararsi

Per adeguarsi alla normativa, le imprese alimentari devono intraprendere un percorso strutturato:

1. Formazione e sensibilizzazione: promuovere una “cyber igiene” aziendale, ovvero comportamenti e regole di base per prevenire incidenti.
2. Analisi dei rischi: condurre una GAP analysis per identificare i punti deboli e definire un piano di adeguamento.
3. Gestione della filiera: valutare i fornitori per garantire che non rappresentino un rischio per la sicurezza.
4. Integrazione normativa: coordinare le misure richieste dalla NIS2 con altre normative, come il GDPR e le regolamentazioni sulla sicurezza alimentare.

Le possibili certificazioni

L’art 27 del Decreto 138 prevede la possibilità che AN prescriva ai soggetti coinvolti l’utilizzo di servizi o tecnologie certificati secondo schemi riconosciuti a livello EU.  Le aziende potrebbero inoltre adottare sistemi di certificazione volontaria, ad esempio secondo la norma ISO/IEC 27001:2022 “Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazione”, uno standard internazionale che definisce i requisiti per pianificare, attuare, operare, monitorare, riesaminare, mantenere e migliorare il sistema di gestione per la sicurezza delle informazioni delle aziende. Lo standard BRC Food affronta il tema della sicurezza informatica nell’ambito di potenziali incidenti/minacce che potrebbero compromettere la continuità produttiva, la garanzia di qualità e sicurezza degli alimenti

Conclusioni

La Cybersecurity è ormai un elemento imprescindibile per le imprese, soprattutto in settori strategici come quello alimentare. Adeguarsi alla Direttiva NIS2 non è solo un obbligo legale, ma un’opportunità per rafforzare la resilienza aziendale e proteggere il proprio valore sul mercato. Con un approccio strutturato e una visione a lungo termine, le aziende possono trasformare le sfide della cybersicurezza in un vantaggio competitivo.

---