NIS2 e Supply Chain: cosa fare in pratica

La Direttiva NIS2, al fine di garantire la scurezza informatica delle infrastrutture critiche, introduce nuove norme anche in materia di supply chain e rapporto con i fornitori.

Il legame tra NIS2 e Supply Chain è messo in evidenza nelle linee guida ENISA (l'Agenzia dell'Unione Europea per la Cybersecurity) come necessario alla corretta compliance alla direttiva e lo troviamo all’art. 24, comma 2, lettera d) Sicurezza della supply chain del decreto legislativo.

La misura si articola in due elementi:

• politica di sicurezza della catena di approvvigionamento;

• elenco dei fornitori e dei fornitori di servizi.

Politica di sicurezza della catena di approvvigionamento

Le aziende interessate dalla NIS2 devono stabilire, attuare e applicare una politica di sicurezza della catena di approvvigionamento, che disciplini le relazioni sia con i diretti fornitori, sia con i fornitori di servizi, al fine di attenuare i rischi per la sicurezza dei sistemi informativi e di rete. Nel definire la politica di sicurezza della supply chain è, poi, importante tener conto dei risultati delle valutazioni del piano dei rischi in merito alle terze parti.

Ma da dove si parte?

Innanzitutto, bisogna individuare il ruolo delle entità coinvolte nella catena di approvvigionamento e comunicarlo ai diretti interessati.

Alcuni esempi dei ruoli che le entità coinvolte possono avere sono:

• fornitore ICT (o, in italiano, TIC - Tecnologie dell'Informazione e della Comunicazione);
• produttore;
• fornitore software;
• fornitore hardware;
• fornitore di servizi gestiti (MSP);
• fornitore di servizi di sicurezza gestiti (MSSP);
• utente.

I soggetti pertinenti devono stabilire i criteri per selezionare e concedere appalti ai fornitori, che devono includere:

• le pratiche in materia di cybersicurezza, comprese le loro procedure di sviluppo sicuro;
• la capacità di soddisfare le specifiche di cybersicurezza stabilite dall’azienda;
• la qualità e la resilienza dei prodotti e dei servizi TIC, insieme alle misure di gestione dei rischi di cybersicurezza integrate, compresi i rischi e il livello di classificazione dei prodotti e dei servizi TIC;
• la capacità di diversificare le fonti di approvvigionamento e di limitare la dipendenza da un unico fornitore, se applicabile.

I contratti con i fornitori devono, inoltre, specificare:

• i requisiti di cybersecurity per i fornitori, compresi i requisiti relativi alla sicurezza nell'acquisizione di servizi TIC o prodotti TIC dettagliatamente espressi alla lettera e) “Sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete” dell’articolo 24;
• i requisiti in materia di sensibilizzazione, competenze e formazione e, se opportuno, certificazioni adeguate, imposti ai dipendenti dei fornitori;
• i requisiti relativi alla verifica dei precedenti personali dei dipendenti dei fornitori;
• l'obbligo per i fornitori di notificare senza indebito ritardo ai soggetti pertinenti gli incidenti che presentano un rischio per la sicurezza dei sistemi informativi e di rete;
• il diritto a effettuare audit o il diritto a ricevere relazioni di audit;
• l'obbligo per i fornitori di gestire le vulnerabilità, che presentano un rischio per la sicurezza dei sistemi informativi e di rete dei soggetti pertinenti;
• i requisiti in materia di appalto e, se i soggetti pertinenti consentono il subappalto, i requisiti di cybersecurity per i subappaltatori, in modo conforme ai requisiti di cybersecurity stabiliti per i fornitori;
• gli obblighi per i fornitori e i fornitori di servizi al momento della risoluzione del contratto, quali il recupero e lo smaltimento delle informazioni ottenute dai fornitori e dai fornitori di servizi nell'esercizio dei loro compiti.

Tali obblighi e requisiti, se lo si ritiene opportuno, possono essere stabiliti mediante SLA.

Una nota specifica meritano le PMI. Può capitare che aziende di piccole dimensioni abbiano un potere contrattuale limitato nel rapporto con grandi fornitori e prestatori di servizi, in tal caso si suggerisce di prendere in considerazione una o più delle seguenti misure:

• contrattazione collettiva o acquisto di prodotti o servizi;
• rappresentanza da un'associazione di cui l'entità è membro;
• consulenza legale per la revisione e la negoziazione di un contratto;
• negoziazione di clausole specifiche come l'uscita, i prezzi e gli accordi sul livello di servizio.

In ogni caso, indipendentemente dalle dimensioni aziendali, le entità coinvolte dalla NIS2 hanno l’obbligo di riesaminare la politica di sicurezza della catena di approvvigionamento, monitorare e valutare le modifiche delle pratiche di cybersecurity dei fornitori e dei fornitori di servizi.

Sono, inoltre, chiamate a intervenire a intervalli pianificati (almeno annuali) e quando si verificano cambiamenti importanti delle operazioni o dei rischi oppure incidenti significativi connessi alla fornitura di servizi TIC o che incidono sulla sicurezza dei prodotti TIC forniti dai fornitori.

Le aziende devono, dunque:

• monitorare periodicamente le relazioni sull'attuazione degli accordi sul livello dei servizi, se applicabile;
• esaminare gli incidenti relativi ai prodotti TIC e ai servizi TIC di fornitori e fornitori di servizi;
• valutare la necessità di riesami non programmati e documentare i risultati in modo comprensibile; 
• analizzare i rischi presentati dalle modifiche relative ai prodotti TIC e ai servizi TIC dei fornitori e dei fornitori di servizi e, se opportuno, adottare tempestivamente misure di attenuazione.

Elenco dei fornitori e dei fornitori di servizi

La seconda parte della misura dedicata alla sicurezza della supply chain prevede l’aggiornamento del registro dei fornitori, che deve includere:

• punti di contatto per ciascun diretto fornitore e fornitore di servizi;
• un elenco di prodotti, servizi e processi TIC forniti dal diretto fornitore in questione.

Attualmente ci sono linee guida generali e obblighi di conformità, che influenzano la gestione delle terze parti, ma non è ancora stata elaborata dalle autorità competenti (ENISA, ACN, ecc.), una struttura per il registro delle terze parti come quella proposta dell’EBA per DORA.

In attesa di indicazioni più specifiche, però, è comunque utile classificare i fornitori di servizi includendo una o più caratteristiche, quali ad esempio:

• criticità delle risorse acquistate;
• volume delle risorse acquistate;
• requisiti di disponibilità;
• normative applicabili;
• rischio intrinseco e rischio mitigato.

Esempi di classificazione sono:

• critici: quelli con un impatto significativo sulle operazioni dell'entità;
• strategici: partner di alto valore, che contribuiscono alle risorse informative, ad esempio provider cloud, provider di analisi dati, sviluppatori software, provider di telecomunicazioni ecc.;
• routine: quelli con un impatto minimo sull'entità.

La direttiva NIS2, in questo modo, rappresenta un passo significativo verso la sicurezza informatica delle infrastrutture critiche, estendendo il campo l'applicazione a cascata ai fornitori dei soggetti essenziali e importanti, indipendentemente dalle dimensioni del fornitore.

Ogni anello della catena di approvvigionamento dovrà essere soggetto a rigorosi standard di cybersecurity, creando un effetto domino destinato a rafforzare la resilienza complessiva del sistema.

Questo amplia enormemente la platea dei soggetti che dovranno essere conformi alla NIS2, andando a includere anche soggetti che ne sarebbero esclusi, ma che dovranno conformarsi (spesso in tutta fretta) per ragioni di mercato.

I soggetti essenziali e importanti, dal canto loro, devono monitorare e valutare continuamente le pratiche di cybersecurity dei fornitori e intervenire tempestivamente in caso di cambiamenti significativi o incidenti.
In questo modo, la direttiva NIS2 non solo protegge le infrastrutture critiche, ma promuove una cultura di sicurezza informatica che permea l'intera supply chain.