Nell’ultimo decennio, la sicurezza estesa alla catena di fornitura (Supply Chain Security) è diventata una priorità per molte organizzazioni, ma se fino a ieri questa esigenza si traduceva in buone prassi gestionali, oggi – con la direttiva NIS 2 formalmente in vigore – diventa un obbligo normativo. In questo articolo scopriamo i dettagli di questa evoluzione e cosa fare, concretamente, per essere a norma.
Qualsiasi organizzazione strutturata fa parte di una rete di fornitori, partner e service provider spesso connessi tra di loro non solo a livello relazionale, ma anche digitale. API, piattaforme collaborative, moduli ERP e soluzioni digitali condivise (portali B2B, piattaforme di fatturazione…) creano una vera e propria interdipendenza tecnologica, che se da un lato abilita efficienza e innovazione, dall’altro espone ogni nodo della catena a vulnerabilità che possono creare un effetto domino devastante.
Negli ultimi anni, non sono mancati esempi eclatanti. Uno dei più noti è l’attacco alla piattaforma Orion di SolarWinds, utilizzata in reti governative e aziendali di alto livello: la compromissione di un aggiornamento software ha permesso agli hacker di infiltrarsi nelle reti di migliaia di organizzazioni e di accedere in questo modo a dati sensibili. Più recente è il caso di 3CX, fornitore di software VoIP, compromesso nel 2023 a causa di una vulnerabilità introdotta in un componente software di terze parti che ha consentito ai cybercriminali di diffondere codice malevolo attraverso aggiornamenti legittimi, raggiungendo così l’intera base clienti.
Questi esempi, che potrebbero proseguire, dimostrano che gli attaccanti non puntano più direttamente al loro bersaglio, ma preferiscono sondare la rete in cerca dell’anello debole: una piccola azienda con scarse difese, un partner tecnologico trascurato o un software non aggiornato. Ecco perché proteggere la supply chain è un dovere strategico e, con NIS 2, anche un obbligo di legge.
Il legame tra NIS 2 e sicurezza della supply chain è sancito in modo esplicito dall’articolo 21 della Direttiva, che stabilisce il principio fondamentale alla base del nuovo impianto normativo: “Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi”.
Queste misure, basate su un approccio che il legislatore definisce multirischio, includono esplicitamente, sempre secondo l’articolo 21, anche la “sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”.
Con NIS 2, quindi, la responsabilità della sicurezza informatica non si esaurisce all’interno dei confini aziendali, ma si estende a monte e a valle della filiera. La Direttiva attribuisce un ruolo attivo e centrale ai soggetti essenziali e importanti (operatori pubblici e privati in settori critici), che diventano responsabili anche delle potenziali vulnerabilità introdotte dai propri fornitori.
Questa responsabilità distribuita genera un duplice effetto: obbliga le organizzazioni direttamente soggette alla Direttiva ad attrezzarsi con processi strutturati per valutare e monitorare la postura di sicurezza dei propri partner, nonché (indirettamente) a notificare incidenti che, pur non colpendoli direttamente, hanno un impatto significativo sulla loro capacità di fornire servizi.
Al tempo stesso, la normativa spinge i fornitori – anche di piccole dimensioni – ad elevare il proprio livello di sicurezza, pena l’esclusione da contratti e gare. In altri termini, NIS 2 introduce un meccanismo sistemico in cui anche le PMI, pur non obbligate in prima battuta, si trovano a doversi adeguare per rimanere competitive in un ecosistema digitale sempre più connesso.
Ora ci domandiamo cosa significhi, concretamente, mettere in sicurezza la catena di fornitura per essere compliant alla nuova Direttiva europea. NIS 2 è un atto normativo di alto livello e certamente non prescrive modalità operative o tool, ma fissa i principi, le responsabilità e richiede che le aziende adottino un approccio strutturato e proporzionato al proprio profilo di rischio. Ecco come fare.
Fare un assessment dei fornitori significa analizzare il livello di esposizione al rischio cyber che ciascun partner esterno può rappresentare per l’organizzazione. Le criticità principali in questa fase riguardano la complessità della rete di fornitura, spesso composta da decine o centinaia di soggetti eterogenei distribuiti su scala globale e non soggetti al medesimo impianto normativo, nonché carenze a livello di trasparenza. Per affrontare queste sfide, le organizzazioni possono adottare un mix di strumenti diversi.
Una volta misurato il rischio, è necessario tradurre gli esiti dell’assessment in impegni contrattuali chiari e vincolanti, un passaggio decisivo per rendere la sicurezza una responsabilità condivisa.
In termini pratici, ciò si traduce nel definire, nero su bianco, quali standard debbano essere rispettati, quali siano le aspettative minime in termini di protezione dei dati e continuità operativa, e cosa accada in caso di non conformità. Tra le clausole più efficaci ci sono quelle che impongono l’adozione di specifici framework di sicurezza (come ISO 27001), la notifica obbligatoria di eventuali incidenti o vulnerabilità, e la possibilità per l’azienda cliente di condurre audit periodici o richiedere aggiornamenti sulla postura di sicurezza. Tutto questo contribuisce a mantenere alta l’attenzione lungo l’intero ciclo di vita del rapporto.
Per essere conformi ai principi di NIS 2 è necessario un passo ulteriore: il monitoraggio continuo della sicurezza della catena di fornitura.
Oggi esistono tecnologie in grado di offrire una visibilità dinamica e aggiornata sul rischio cyber dei fornitori, senza dover attendere una nuova tornata di audit o la compilazione di un questionari sempre più specifici. Come sempre accade in questi casi, il panorama delle soluzioni è sterminato: si parte dalle piattaforme di gestione del rischio di terze parti (TPRM), che centralizzano il ciclo di vita del supplier risk, coprendo le fasi che vanno dall'onboarding alla due diligence, fino al monitoraggio continuo. Queste piattaforme facilitano la stesura e la raccolta di questionari di sicurezza, aiutano a identificare le lacune e il follow-up delle azioni correttive, oltre a integrare i flussi di lavoro per la notifica e la gestione degli incidenti.
Da segnalare anche le piattaforme di security rating, che valutano la postura di sicurezza di un fornitore da una prospettiva esterna, analizzando dati pubblicamente disponibili come configurazioni di rete, vulnerabilità note ed eventuali informazioni presenti nel dark e nel deep web. Questi servizi forniscono uno scoring oggettivo e sono complementari a tutte le altre misure atte a identificare i fornitori a rischio e a monitorare i trend nel tempo.
Per essere davvero efficaci, tutte queste attività devono essere integrate in una strategia sistemica di gestione del rischio. Serve un coordinamento tra funzioni legali, procurement, sicurezza IT e compliance: solo così è possibile affrontare in modo corretto la complessità delle filiere e garantire la conformità ai requisiti normativi senza disperdere risorse o generare colli di bottiglia che abbattono la produttività.
Visita il nostro sito per scoprire tutti i servizi Kirey in ambito manufacturing e contattaci per maggiori informazioni.