La normativa denominata NIS 2 definisce gli obblighi di sicurezza informatica ed estende la platea dei soggetti pubblici e privati obbligati. Le imprese del settore sono chiamate a una nuova serie di adempimenti.

La normativa, attiva dalla fine del 2024 (D.Lgs. 138/2024 di recepimento della Direttiva UE 2022/2555, la cosiddetta NIS 2 che ha abrogato e sostituito la NIS 1, effettua la seguente distinzione:

• soggetti importanti (grado più basso) e
• soggetti essenziali (grado più alto). A questi ultimi sono richiesti oneri maggiori in termini di sicurezza e sono soggetti a sanzioni più severe.

Essa è importante per il settore alimentare in quanto nell’allegato II 4 del D.Lgs. 138/2024 (“Altri settori critici”) sono incluse, nell’ambito del Produzione, trasformazione e distribuzione di alimenti, le imprese alimentari di cui all’art. 3, punto 2), Reg. (CE) n. 178/2002, che si occupano della distribuzione all’ingrosso e della produzione industriale e trasformazione.

Per “impresa alimentare”, come noto, si intende ogni soggetto pubblico o privato, con o senza fini di lucro, che svolge una qualsiasi delle attività connesse a una delle fasi di produzione, trasformazione e distribuzione degli alimenti.

All’interno delle imprese appartenenti ai settori “altri settori critici” di cui all’allegato II (servizi postali e di corriere, gestione dei rifiuti, fabbricazione/produzione/distribuzione di sostanze chimiche, produzione/trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitali, ricerca), gli operatori:

• se piccole imprese, non sono soggette all’applicazione della normativa;
• se medie o grandi imprese, sono soggetti importanti.

Si ricorda che, in base alla Raccomandazione 2003/361/CE la categoria delle microimprese, delle piccole imprese e delle medie imprese (PMI) è costituita da imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di euro oppure il cui totale di bilancio annuo non supera i 43 milioni di euro. Nella categoria delle PMI si definisce:

• piccola impresa: un’impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di euro;
• media impresa: un’impresa che occupa tra 50 e 250 persone (escluso) e che realizza un fatturato annuo compreso tra 10 e 50 milioni di euro e/o un totale di bilancio annuo compreso tra 10 e 43 milioni di euro;
• grande impresa: un’impresa che non soddisfa i requisiti della PMI e, pertanto con 250 o più effettivi, un fatturato superiore a 50 milioni di euro e/o un bilancio superiore ai 43 milioni di euro.

L’Autorità di settore NIS, ossia l’Agenzia per la cybersicurezza nazionale, per il settore produzione, trasformazione e distribuzione di alimenti, di cui al numero 4 dell’allegato II, è il Ministero dell’agricoltura, della sovranità alimentare e delle foreste.

Scadenze

I soggetti interessati dalla nuova normativa si sono registrati o hanno aggiornato la propria registrazione sulla piattaforma digitale resa disponibile Agenzia per la Cybersicurezza nazionale (ACN).

Questi hanno dovuto fornire o aggiornare almeno le informazioni seguenti:

a) la ragione sociale;

b) l’indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;

c) la designazione di un punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;

d) ove applicabile, i pertinenti settori, sottosettori e tipologie di soggetto di cui agli allegati I, II, III e IV del decreto.

Entro il 31 marzo di ogni anno successivo alla data di entrata in vigore del presente decreto, l’Autorità nazionale competente NIS redige l’elenco dei soggetti essenziali e dei soggetti importanti, sulla base delle registrazioni e delle decisioni adottate.

Tramite la piattaforma l’Autorità nazionale competente NIS comunica ai soggetti interessati il loro status di essenziale o importante.

Dal 15 aprile al 31 maggio di ogni anno successivo alla data di entrata in vigore del presente decreto, tramite la piattaforma digitale i soggetti che sono stati qualificati essenziali e importanti sopra forniscono o aggiornano le informazioni pertinenti. 

Adempimenti

Ciò posto, la nuova normativa in materia di cybersicurezza prescrive in capo ai soggetti critici (a prescindere che siano importanti o essenziali) le seguenti tipologie di obblighi:

Incidenti informatici

I soggetti obbligati devono notificare gli incidenti informatici significativi. I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia) ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi, secondo le modalità e i termini di cui agli articoli 30, 31 e 32 (entro 24 ore dall’incidente è necessaria una pre-notifica, entro 72 ore una notifica con una valutazione iniziale dello stesso ed entro un mese una relazione finale sulla gestione dello stesso).

Un incidente è considerato significativo se:

• ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
• ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Entro un mese dalla trasmissione della notifica dell’incidente i soggetti interessati trasmettono al CSIRT Italia una relazione finale che comprende:

• una descrizione dettagliata dell’incidente, ivi inclusi la sua gravità e il suo impatto;
• il tipo di minaccia o la causa originale (root cause) che ha probabilmente innescato l’incidente;
• le misure di attenuazione adottate e in corso;
• ove noto, l’impatto transfrontaliero dell’incidente;
• in caso di incidente in corso al momento della trasmissione della relazione finale, una relazione mensile sui progressi e una relazione finale entro un mese dalla conclusione della gestione dell’incidente.

Il CSIRT Italia può altresì richiedere relazione intermedie.

Senza ingiustificato ritardo e ove possibile entro 24 ore dal ricevimento della pre-notifica il CSIRT Italia fornisce una risposta al soggetto notificante, comprensiva di un riscontro iniziale sull’incidente significativo e, su richiesta del soggetto, orientamenti o consulenza sull’attuazione di possibili misure tecniche di mitigazione. Su richiesta del soggetto notificante, il CSIRT Italia fornisce ulteriore supporto tecnico.

Il decreto prevede anche la possibilità di effettuare notifiche volontarie per:

• incidenti non significativi;
• minacce informatiche potenziali;
• “quasi-incidenti”.

Gestione dei rischi

L’ulteriore obbligo, in capo agli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti, è di adottare adeguate misure di gestione dei rischi di sicurezza informatica. Tra le misure minime elencate all’art. 24, comma 2, si citano, a titolo esemplificativo:

• approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate;
• seguire una formazione in materia di sicurezza informatica;
• promuovere l’offerta periodica di una formazione coerente ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.

Tali soggetti apicali sono altresì responsabili delle eventuali violazioni della nuova normativa.

Misure organizzative

I soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. Tali misure:

• assicurano un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione;
• sono proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico.

Le suddette misure sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti e comprendono almeno i seguenti elementi:

1. politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
2. gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche;
3. continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi;
4. sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
5. sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
6. politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
7. pratiche di igiene di base e di formazione in materia di sicurezza informatica;
8. politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura;
9. sicurezza e affidabilità del personale, politiche di controllo dell'accesso e gestione dei beni e degli assetti;
10. uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.

Periodo transitorio

In fase di prima applicazione i tempi per alcuni ampliamenti sono dilatati:

• gli obblighi di notifica degli incidenti informatici è dilatato sino a 9 nove mesi dalla ricezione della comunicazione circa l’appartenenza alle liste di applicabilità del Decreto Legislativo (quindi indicativamente a gennaio 2026);
• gli obblighi degli organi di amministrazione e direttivi e gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatici è dilatato sino a 18 mesi dalla comunicazione di cui sopra (quindi indicativamente ottobre 2026).

Aspetti sanzionatori

Importanti le sanzioni previste. In caso di mancato adeguamento agli obblighi cybersecurity, il D.Lgs. 138/2024 prevede per i trasgressori “essenziali” sanzioni amministrative pecuniarie fino a un massimo di € 10.000.000 o il 2% del fatturato mondiale annuo mentre per i trasgressori “importanti” sanzioni amministrative pecuniarie fino a un massimo di € 7.000.000 o dell’1,4% del fatturato mondiale annuo. Una novità introdotta dal Decreto Legislativo è la previsione di un minimo edittale delle sanzioni che è un ventesimo o di un trentesimo del massimo edittale rispettivamente per i soggetti essenziali e quelli importanti

Conclusioni

Con la NIS 2 le imprese alimentari sono chiamate a una serie di adempimenti per la cybersicurezza. Partendo dalla registrazione alla piattaforma digitale resa disponibile Agenzia per la Cybersicurezza nazionale (ACN) nel corso dei prossimi due anni si articoleranno una serie di obblighi che comporteranno nuove sfide e una nuova organizzazione interna per assicurare la compliance alla normativa.

Avv. Chiara Marinuzzi Studio Legale Gaetano Forte