Direttiva NIS2 e fornitori: la cybersecurity nella supply chain

28/09/2023
di Alessandro Cecchetti

La Direttiva NIS2 non tralascia i fornitori e gli aspetti di cybersecurity che riguardano l’intera supply chain.

Le catene di approvvigionamento (supply chain) rappresentano, infatti, un aspetto fondamentale delle operazioni aziendali, coinvolgendo una rete intricata di fornitori, partner ed intermediari che contribuiscono alla isponibiltà di beni e servizi. Elemento chiave per il funzionamento delle aziende, è anche un potenziale punto di vulnerabilità, quando si tratta di sicurezza informatica.

Vuoi approfondire le tue esigenze in tema di NIS2?

Ti aspettiamo al prossimo Colin Focus Day il 4 ottobre alle 11.00

Un incidente informatico nella supply chain, provocherà perturbazioni nell’intero mercato di riferimento, andando a ripercuotersi nei confronti di quei soggetti che, con i fornitori-vittime, hanno rapporti contrattuali. L’esperienza insegna che subire un incidente informatico comporta, tra le varie conseguenze: l’interruzione della continuità operativa; danni finanziari; danni reputazionali di immagine, con conseguente potenziale perdita della fetta di mercato di riferimento precedentemente acquisita.

Come sempre l’approccio più indicato, che proponiamo non solo in riferimento alla NIS2, prevede una mappatura minuziosa e un’analisi onesta e proattiva per identificare, tra i fornitori, eventuali criticità o punti di attacco. Quando si parla di supply chain, un cenno va fatto, ad esempio, sulle piccole e medie imprese (PMI), che rappresentano un’ampia percentuale del mercato industriale e commerciale. Spesso esse si confrontano con una scarsa consapevolezza informatica o una mancanza di sistemi e di politiche di sicurezza che le portano a diventare sempre di più il bersaglio di attacchi nella catena di approvvigionamento.

Tuttavia anche organizzazioni più strutturate non sembrano investire abbastanza nella sicurezza della loro catena di approvvigionamento. Secondo il Good Practices for Supply Chain Cybersecurity di giugno 2023, pubblicato da ENISA, solo il 47% delle organizzazioni intervistate ha stanziato un budget per la sicurezza informatica della catena di approvvigionamento, mentre la restante parte (53%) non dispone di un budget approvato a tal fine.

Ruolo degli enti NIS2 nei confronti dei loro fornitori

La Direttiva NIS2 introduce un chiaro riferimento per enti essenziali ed importanti (di seguito, anche enti NIS2), al fine di affrontare i rischi informatici nelle catene di approvvigionamento. Lo fa richiedendo – all’articolo 21 – che essi adottino misure tecniche, operative ed organizzative di gestione del rischio informatico, adeguate e proporzionate, seguendo un approccio multirischio (che quindi tenga conto anche dei profili di sicurezza fisica). Tali misure devono riguardare, in generale, la sicurezza della supply chain compresi gli aspetti relativi alla sicurezza delle relazioni tra ciascun ente ed i suoi fornitori. Inoltre, gli enti NIS2 dovranno tener conto: delle vulnerabilità specifiche di ciascun fornitore diretto e della qualità complessiva dei prodotti e dei servizi, delle misure di gestione e delle pratiche di sicurezza informatica di questi ultimi, comprese le loro procedure di sviluppo sicure.

Come operare nella “messa a terra” di tali misure?

Quello che per esperienza diretta consigliamo è, innanzitutto, adottare un approccio strategico al rischio informatico della supply chain, formalizzato attraverso l’adozione di una strategia dedicata. Una buona strategia prevede ruoli, strutture e processi espressamente dedicati alla sicurezza informatica. Implica inoltre lo svolgimento di audit periodici, o altre forme di valutazione tecnica: attività, queste, da programmare e stipulare in fase contrattuale con i fornitori, tramite apposite clausole.

Definita la strategia, le misure di gestione del rischio informatico dovranno istituire meccanismi di gestione dei rischi nella supply chain con un’opportuna loro valutazione, così da comprendere l’impatto potenziale sui clienti/utenti finali. Dovranno definire come gli enti NIS2 andranno a valutare le relazioni con i loro fornitori, monitorando politiche, prassi, procedure degli stessi. Devono gestire i profili di vulnerabilità, comprendenti le politiche di aggiornamento e di divulgazione delle vulnerabilità stesse, dei fornitori. Dovranno istituire meccanismi finalizzati al controllo della qualità dei prodotti e dei servizi, nell’ottica di un miglioramento continuo della qualità stessa.

I profili di rischio dei fornitori cambiano, ovvimente, in base alle nuove informazioni/linee guida delle autorità nazionali, alle informazioni sulle minacce, agli attacchi e alle modifiche del contesto del fornitore.

I fornitori degli enti NIS2

Gli obiettivi che i fornitori dovranno porsi, al fine di tutelare la catena di approvvigionamento e i rapporti con i loro clienti di riferimento, sono: mettere in atto un processo adeguato che fornisca la qualità prevista; applicare un processo di controllo per verificare l’efficienza del processo implementato.

Si torna quindi all’accountability, che si dimostra un vero pilastro del legiferare europeo, con i principi di security by design e by default: sicuri fin dalla progettazione e per impostazione predefinita – in ossequio al Regolamento 2019/881/UE. Il fornitore dovrà disporre dell’infrastruttura e dell’organizzazione necessarie per la progettazione, lo sviluppo, la produzione e la consegna di prodotti e di componenti. Sarà necessario – anche al fine di un miglioramento continuo – implementare un sistema di gestione della qualità.

Alcuni soggetti fornitori (tra i quali quelli che forniscono servizi digitali, come pure i produttori che rientrano nello spettro soggettivo della Direttiva NIS2) potrebbero avere il duplice ruolo di ente essenziale/importante nonché di fornitore di prodotti/servizi, allo stesso tempo.

Inoltre, specifiche catene di approvvigionamento critiche di servizi, sistemi o prodotti ICT, tenendo conto dei fattori di rischio tecnici e, se opportuno, non tecnici, potranno essere oggetto di valutazioni coordinate dei rischi, da parte del Gruppo di cooperazione – insieme alla Commissione europea e all’ENISA. Dette valutazioni coordinate dovrebbero individuare le misure, i piani di attenuazione e le migliori pratiche per contrastare le dipendenze critiche, i potenziali singoli punti di vulnerabilità, le minacce, le vulnerabilità e gli altri rischi associati alla supply chain. Gli enti NIS2 saranno tenuti a prendere in considerazione i risultati delle valutazioni coordinate, se ciò venisse loro imposto dagli Stati membri, al fine di salvaguardare l’intera catena di fornitura.

In conclusione…

In conclusione, la supply chain si rivela cruciale nella gestione della sicurezza informatica degli enti, garantendo la loro continuità operativa e quindi la loro posizione nel mercato di riferimento. Non a caso nel nostro NIS Compliance Program, l’articolato strumento con il quale accompagnamo i nostri clienti nel raggiungimento della compliance, gode di una attenzione specifica, andando essa a salvaguardare il funzionamento dell’intero mercato interno. Scopo della Direttiva NIS2 è infatti questo: migliorare il funzionamento del mercato interno, proteggendolo da perturbazioni informatiche.

Riproduzione riservata ©

ALTRE NEWS

Internet of Things: le compagnie assicurative investono nella digitalizzazione

Alcuni assicuratori stanno già offrendo un nuovo tipo di prodotti basati sull’utilizzo di dispositivi internet of things per monitorare l’attività dei clienti ed offrire nuovi… Leggi Tutto

Lo “stato dell’arte” della sanità digitale

A Roma ne hanno parlato i più importanti  “interpreti” del settore La tavola rotonda “Mobile Health, Telemedicina e Fascicolo Sanitario Elettronico: un triangolo virtuoso per… Leggi Tutto

VIDEO – Internet of Things for Everything: visione strategica con Colin & Partners

25 miliardi di dispositivi connessi entro il 2020, secondo le stime registrate da Gartner, a cui corrisponderà – per Cisco – un mercato per le… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form