Da ottobre 2024 , in tutta l'Unione europea entra in vigore la direttiva NIS2 "
L'Unione europea, con l'introduzione della direttiva NIS2, ha stabilito nuovi standard per proteggere le reti e i sistemi informativi critici, includendo per la prima volta il settore alimentare. Questa evoluzione normativa rappresenta una risposta alla crescente minaccia di attacchi informatici ed è volta a garantire la continuità delle attività produttive e la sicurezza delle catene di approvvigionamento.
Per i produttori e distributori di frutta e verdura, adeguarsi ai requisiti della NIS2 diventerà essenziale per poter rifornire la grande distribuzione organizzata (GDO), che richiede standard elevati di sicurezza.
La direttiva NIS2 (Network and Information Security Directive 2) è una normativa dell'Unione Europea finalizzata a migliorare la sicurezza delle reti e dei sistemi informativi. Lo scopo principale è proteggere le infrastrutture critiche, comprese quelle del settore alimentare, da attacchi informatici e altre minacce digitali. Di conseguenza, impone alle imprese di implementare misure adeguate e proporzionate per gestire i rischi relativi alla sicurezza dei sistemi di rete.Sono escluse dalla normativa le piccole imprese, cioè quelle con meno di 50 dipendenti e un fatturato annuo o un totale di bilancio annuo non superiore a 10 milioni di euro. Tuttavia, poiché la Grande Distribuzione Organizzata (GDO) è tra i soggetti obbligati, anche le piccole imprese dovranno rivedere i propri aspetti di cybersecurity per essere in regola con le richieste dei clienti. Le PMI sono sempre più spesso bersaglio di attacchi informatici nella catena di approvvigionamento, a causa delle loro misure di gestione dei rischi meno rigorose. Questi attacchi possono avere un effetto a cascata sui soggetti critici a cui tali imprese forniscono servizi o prodotti. In un ambiente connesso, un attacco alla rete informatica aziendale può incidere in pochi minuti su un'intera organizzazione o catena di fornitura. Per questa ragione, le imprese soggette alla normativa, come la GDO, devono considerare attentamente le vulnerabilità e le pratiche di sicurezza di ciascun fornitore.
Con l'entrata in vigore della nuova normativa la gestione della sicurezza informatica non è più un compito relegato esclusivamente alla funzione IT, ma diventa una responsabilità diretta dell'organo di gestione aziendale, come ad esempio il Consiglio di amministrazione.
La NIS2 si concentra sulla sicurezza delle reti e dei sistemi informativi essenziali, mentre il GDPR si occupa della protezione dei dati personali. Le due normative si integrano nel senso che una gestione adeguata della sicurezza informatica, come richiesto dalla NIS2, può contribuire a garantire la protezione dei dati personali, come richiesto dal GDPR.
Gli operatori essenziali possono essere soggetti a sanzioni amministrative che possono arrivare a un massimo di 10 milioni di euro o fino al 2% del totale del fatturato mondiale globale. Gli operatori importanti, invece, possono essere soggetti a sanzioni pari a un massimo di 7 milioni di euro o fino all'1,4% del totale del fatturato mondiale globale.
Il processo di responsabilizzazione viene esteso anche al corpo dirigente di controllo delle società con l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto.
Da ciò si evince che anche se la norma riguarda le grandi aziende saranno tante le PMI che per poter lavorare dovranno essere conformi alla normativa.
Noi di Ptotos data protection vogliamo accompagnare le aziende in questo percorso di adeguamento per la protezione dei dati contattateci per una consulenza gratuita