Il 62% degli attacchi informatici in Europa nel 2024 è passato attraverso la catena di fornitura. La direttiva NIS2 ne prende atto e introduce obblighi espliciti sulla gestione del rischio dei fornitori. Per le aziende italiane, ignorare questo aspetto significa esporsi a sanzioni dell'ACN e, soprattutto, a rischi operativi concreti.
Cosa richiede la NIS2 sulla supply chain
L'articolo 21, paragrafo 2, lettera d) della NIS2 impone ai soggetti coinvolti di adottare misure per la sicurezza della catena di approvvigionamento, compresa la sicurezza dei rapporti tra ogni soggetto e i suoi diretti fornitori o prestatori di servizi.
In concreto, dovete:
- Identificare i fornitori critici (chi ha accesso ai vostri sistemi o dati)
- Valutare il livello di sicurezza di ciascun fornitore
- Contrattualizzare gli obblighi di sicurezza
- Monitorare continuamente la conformità dei fornitori
- Gestire gli incidenti che coinvolgono la supply chain
Mappatura dei fornitori critici
Classificazione per livello di rischio
| Livello | Criterio | Esempi | |---------|----------|--------| | Critico | Accesso diretto ai sistemi/dati | Cloud provider, MSP, sviluppatori software | | Alto | Interconnessione con i sistemi | ERP SaaS, servizi di pagamento, email provider | | Medio | Accesso limitato/indiretto | Consulenti occasionali, fornitori hardware | | Basso | Nessun accesso ai sistemi | Fornitori materiali, servizi generici |
Registri fornitori da mantenere
Per ogni fornitore critico, documentate:
- Servizi erogati e dati accessibili
- Livello di accesso ai vostri sistemi
- Certificazioni di sicurezza (ISO 27001, SOC 2)
- Clausole contrattuali di sicurezza in essere
- Ultimo audit di sicurezza e risultati
- Piano di uscita in caso di compromissione
Clausole contrattuali obbligatorie
La NIS2 richiede che i contratti con i fornitori includano requisiti di sicurezza espliciti. Ecco le clausole essenziali:
Clausole di sicurezza minime
CLAUSOLA TIPO — REQUISITI NIS2 FORNITORE
1. MISURE DI SICUREZZA
Il Fornitore si impegna a implementare e mantenere misure
di sicurezza informatica conformi allo stato dell'arte,
proporzionate ai rischi identificati.
2. NOTIFICA INCIDENTI
Il Fornitore notifica al Committente qualsiasi incidente
di sicurezza che possa impattare i servizi erogati
entro 24 ore dalla scoperta.
3. DIRITTO DI AUDIT
Il Committente si riserva il diritto di effettuare o
commissionare audit di sicurezza sui sistemi del Fornitore
con preavviso ragionevole.
4. SUBAPPALTATORI
Il Fornitore comunica preventivamente l'utilizzo di
subappaltatori e garantisce il rispetto degli stessi
requisiti di sicurezza.
5. PIANO DI CONTINUITÀ
Il Fornitore mantiene un piano di continuità operativa
e lo testa almeno annualmente.
Clausole avanzate per fornitori critici
Per i fornitori con accesso diretto ai vostri sistemi:
- SLA di sicurezza con tempi di risposta agli incidenti
- Requisiti di crittografia per dati in transito e a riposo
- Gestione degli accessi con principio del minimo privilegio
- Log e monitoraggio degli accessi ai vostri sistemi
- Clausola di recesso in caso di non conformità
Il processo di valutazione dei fornitori
Questionario di sicurezza
Inviate un questionario strutturato ai vostri fornitori critici. Le aree da coprire:
| Area | Domande chiave | |------|----------------| | Governance | Avete una politica di sicurezza? Un responsabile dedicato? | | Tecnica | Crittografia, backup, patching, firewall? | | Incidenti | Processo di gestione incidenti? Tempo medio di risposta? | | Conformità | Certificazioni? Audit recenti? Conformità GDPR? | | Personale | Formazione sicurezza? Background check? | | Continuità | Piano di continuità? RPO/RTO definiti? Test effettuati? |
Scoring dei fornitori
Assegnate un punteggio a ciascun fornitore:
| Punteggio | Livello | Azione | |-----------|---------|--------| | 80-100 | Eccellente | Monitoraggio annuale | | 60-79 | Adeguato | Piano di miglioramento + audit biennale | | 40-59 | Insufficiente | Piano correttivo obbligatorio entro 6 mesi | | 0-39 | Critico | Sostituzione o remediation immediata |
Gestione degli incidenti supply chain
Il protocollo di risposta
Quando un fornitore subisce un incidente:
- Ricezione notifica dal fornitore (entro 24h secondo clausola contrattuale)
- Valutazione impatto sui vostri servizi e dati
- Contenimento — isolamento dei sistemi interconnessi se necessario
- Notifica ACN se l'incidente è significativo per i vostri servizi
- Coordinamento con il fornitore per la remediation
- Post-mortem — analisi delle cause e aggiornamento del risk assessment
Scenari tipici in Italia
Il vostro cloud provider subisce un ransomware — I vostri servizi sono impattati. Dovete notificare l'ACN entro 24h anche se l'incidente non è "vostro".
Un fornitore SaaS espone dati dei vostri clienti — Scatta sia NIS2 (ACN) che GDPR (Garante). Doppia notifica obbligatoria.
Un MSP che gestisce la vostra infrastruttura è compromesso — Siete direttamente esposti. Il piano di risposta deve prevedere la possibilità di riprendere il controllo dei sistemi.
L'effetto a catena della NIS2
La NIS2 crea un effetto domino virtuoso: i soggetti essenziali devono esigere sicurezza dai loro fornitori, che a loro volta la esigono dai propri. Questo alza il livello di sicurezza dell'intero tessuto imprenditoriale.
Per le PMI italiane, questo significa:
- Se siete fornitori di un soggetto NIS2: aspettatevi richieste di conformità dai vostri clienti
- Se siete soggetti NIS2: i vostri fornitori devono dimostrare un livello di sicurezza adeguato
- In entrambi i casi: la sicurezza diventa un vantaggio competitivo
Conclusione
La sicurezza della catena di fornitura non è un esercizio teorico. È la vostra prima linea di difesa contro il 62% degli attacchi che passano proprio dai fornitori. La NIS2 formalizza un principio semplice: siete forti quanto il vostro anello più debole.
Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.