L’agenzia della UE per la cibersicurezza, ENISA, registra un preoccupante aumento degli attacchi informatici in tutto il territorio europeo. Il rischio è sempre più incalzante e rappresenta un pericolo concreto per il tessuto imprenditoriale dell’Unione. La crescente dipendenza dalle tecnologie digitali, seppur vantaggiosa, espone le imprese ad attacchi criminali sempre più sofisticati. Non sfugge a questo problema il settore agroalimentare, particolarmente vulnerabile a causa della necessaria coordinazione delle catene di approvvigionamento, della tracciabilità dei prodotti e della conformità alla legislazione alimentare. Tutte queste attività richiedono l’uso di avanzati sistemi informatici e rendono la minaccia particolarmente insidiosa.

Per contrastare il fenomeno, il legislatore sovranazionale ha introdotto la Direttiva NIS 2 (Network and Information Systems Directive), che rafforza il quadro normativo per migliorare il livello di cibersicurezza attraverso una serie di obblighi specifici per i settori più critici. Tra questi è inclusa anche la grande distribuzione organizzata (GDO), a causa della sua importanza nella catena di approvvigionamento alimentare e del ruolo centrale nell’economia e nella società. 

La direttiva dovrà essere recepita da tutti gli Stati membri entro il 17 ottobre 2024. Il provvedimento unionale ha esteso il campo di applicazione dei settori interessati e richiesto una maggiore attenzione alla sicurezza della supply chain. Questo implica che le aziende devono garantire non solo la protezione delle proprie reti e sistemi informativi, ma anche quella dei loro fornitori. Diviene, così, cruciale una gestione della catena di approvvigionamento che includa controlli di sicurezza rigorosi. Le aziende individuate dalla direttiva devono, pertanto, assicurarsi che tutti i fornitori e i partner con cui collaborano rispettino standard di sicurezza adeguati.

Questo coinvolgimento esteso comporta alcune azioni chiave: la valutazione dei rischi dei fornitori, includendo la verifica delle misure di sicurezza implementate e l’identificazione delle potenziali vulnerabilità; l’inclusione nei contratti di specifici accordi sul livello di servizio (SLA) che dettaglino gli obblighi in termini di sicurezza informatica e le misure da adottare in caso di incidenti; l’implementazione di sistemi di monitoraggio continuo per garantire che i fornitori mantengano gli standard concordati, attraverso audit periodici e richieste di reportistica; lo sviluppo di piani di resilienza e continuità operativa.

In conclusione, la normativa sulla cibersicurezza, pur essendo esplicitamente rivolta alle imprese incluse nel perimetro della nuova disciplina, coinvolge di fatto tutte le aziende del settore agroalimentare che desiderano mantenere relazioni con la GDO. Di conseguenza, tutte le imprese del comparto ortofrutticolo, che non vogliono essere escluse dalla lista dei fornitori, devono prontamente allinearsi alle nuove disposizioni. L’adeguamento comporterà oneri economici e organizzativi non trascurabili, ma con benefici in termini di sicurezza e resilienza superiori. Adottare misure di protezione avanzate e garantire la conformità normativa nell’attuale contesto è una strada obbligata. Ciò contribuirà a rafforzare l’intera filiera agroalimentare, salvaguardandone la sostenibilità nel suo complesso.

Gualtiero Roveda

*avvocato, giornalista pubblicista