CyberTotem
Tutti gli articoli
NIS2supply chainfornitoririschio

Supply chain NIS2: il tuo fornitore può essere il tuo punto debole

L'Art. 21d NIS2 impone di valutare la sicurezza dei fornitori. Come identificare i rischi nella supply chain e quali obblighi concreti prevede la direttiva.

Team CyberTotem

Uno degli aspetti meno discussi della NIS2 è quello che riguarda la catena di fornitura. L'Art. 21, punto (d) della direttiva richiede alle organizzazioni soggette di adottare misure per la sicurezza della supply chain, incluse le relazioni con fornitori e prestatori di servizi.

In pratica: non basta mettere in sicurezza la propria organizzazione. Bisogna anche valutare i rischi che provengono da chi lavora con te.

Perché la supply chain è un vettore di attacco

Negli ultimi anni, alcune delle violazioni più significative non hanno colpito l'obiettivo finale direttamente, ma attraverso un fornitore o un subappaltatore con misure di sicurezza più deboli.

Il meccanismo è semplice: un criminale identifica un fornitore di software, servizi IT o altri servizi che ha accesso ai sistemi del bersaglio. Compromette il fornitore — che spesso è una PMI con meno risorse per la sicurezza — e da lì accede all'obiettivo principale.

Questo tipo di attacco è noto come supply chain attack o attacco alla catena di fornitura.

Cosa prevede la NIS2 sulla supply chain

L'Art. 21, punto (d) richiede che le organizzazioni soggette implementino misure di sicurezza relative a:

"sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o prestatori di servizi"

Questo significa che un'organizzazione NIS2 deve:

  1. Identificare i fornitori critici — quelli con accesso a sistemi, dati o infrastrutture sensibili
  2. Valutare il loro livello di sicurezza — attraverso questionari, audit o richiesta di certificazioni
  3. Inserire requisiti di sicurezza nei contratti — con clausole che impongano standard minimi e obblighi di notifica in caso di incidente
  4. Monitorare nel tempo — la valutazione non è un'attività una-tantum

Chi è "fornitore critico"?

Non tutti i fornitori richiedono lo stesso livello di attenzione. Una priorità ragionevole per una PMI:

Priorità alta (accesso diretto a sistemi o dati):

  • Fornitori di software gestionale, ERP, CRM
  • Provider di cloud e infrastruttura
  • Fornitori di servizi IT gestiti (MSP)
  • Consulenti con accesso remoto ai sistemi
  • Fornitori di servizi di sicurezza (antivirus, SOC)

Priorità media (accesso indiretto o limitato):

  • Fornitori con accesso alla rete aziendale
  • Servizi SaaS con integrazione dati
  • Società di manutenzione di impianti connessi

Priorità bassa (nessun accesso ai sistemi):

  • Fornitori di beni fisici senza componente digitale
  • Servizi generali (pulizie, catering)

Come valutare la sicurezza di un fornitore

Per una PMI, un approccio pragmatico è basato su tre livelli:

Livello 1: Questionario di autovalutazione

Per i fornitori di priorità media, un questionario di 10-15 domande è sufficiente come baseline:

  • Hanno una politica di sicurezza informatica documentata?
  • Formano i loro dipendenti in cybersecurity?
  • Hanno un processo per la gestione degli incidenti?
  • Usano l'autenticazione a più fattori per gli accessi ai sistemi?
  • Notificano i clienti in caso di violazione dei dati?

Livello 2: Verifica documentale

Per i fornitori critici, richiedere documentazione:

  • Certificazioni (ISO 27001, SOC 2) — se disponibili
  • Policy di sicurezza
  • Risultati di penetration test recenti
  • Procedure di incident response

Livello 3: Clausole contrattuali

Indipendentemente dal livello, i contratti con fornitori critici dovrebbero includere:

  • Obbligo di rispettare standard minimi di sicurezza
  • Obbligo di notifica entro un termine definito in caso di incidente che coinvolga i tuoi dati
  • Diritto di audit (anche solo documentale)
  • Responsabilità in caso di violazione causata dal fornitore

La posizione delle PMI: obbligato o obbligante?

Una situazione comune per le PMI italiane: non essere direttamente soggette alla NIS2 (per dimensione o settore), ma lavorare con clienti che lo sono.

In questo caso, il cliente — in quanto soggetto NIS2 — ha l'obbligo di valutare la sicurezza della propria supply chain. Il che significa che la tua azienda sarà valutata dai tuoi clienti NIS2. Se non passi la valutazione, rischi di essere escluso come fornitore.

Investire in cybersecurity e formazione non è solo un obbligo normativo: è un vantaggio competitivo nelle trattative commerciali con clienti soggetti NIS2.

Il registro dei fornitori critici

Un buon punto di partenza è creare e mantenere un registro dei fornitori critici, con:

  • Nome del fornitore e servizio fornito
  • Tipo di accesso ai sistemi/dati
  • Data dell'ultima valutazione
  • Esito della valutazione
  • Clausole contrattuali di sicurezza presenti (sì/no)

Questo registro diventa parte della documentazione di compliance NIS2 dell'organizzazione.

Stai valutando la tua posizione NIS2 complessiva? Fai il check gratuito per vedere lo stato della tua supply chain security.

CyberTotem

Porta la formazione cybersecurity in azienda.

10 minuti al mese per dipendente. 12 moduli l'anno. Attestati automatici.

Richiedi una demo