Direttiva NIS2 e fornitori: la cybersecurity nella supply chain
La Direttiva NIS2 non tralascia i fornitori e gli aspetti di cybersecurity che riguardano l’intera supply chain.
Le catene di approvvigionamento (supply chain) rappresentano, infatti, un aspetto fondamentale delle operazioni aziendali, coinvolgendo una rete intricata di fornitori, partner ed intermediari che contribuiscono alla isponibiltà di beni e servizi. Elemento chiave per il funzionamento delle aziende, è anche un potenziale punto di vulnerabilità, quando si tratta di sicurezza informatica.
Vuoi approfondire le tue esigenze in tema di NIS2?
Ti aspettiamo al prossimo Colin Focus Day il 4 ottobre alle 11.00
Un incidente informatico nella supply chain, provocherà perturbazioni nell’intero mercato di riferimento, andando a ripercuotersi nei confronti di quei soggetti che, con i fornitori-vittime, hanno rapporti contrattuali. L’esperienza insegna che subire un incidente informatico comporta, tra le varie conseguenze: l’interruzione della continuità operativa; danni finanziari; danni reputazionali di immagine, con conseguente potenziale perdita della fetta di mercato di riferimento precedentemente acquisita.
Come sempre l’approccio più indicato, che proponiamo non solo in riferimento alla NIS2, prevede una mappatura minuziosa e un’analisi onesta e proattiva per identificare, tra i fornitori, eventuali criticità o punti di attacco. Quando si parla di supply chain, un cenno va fatto, ad esempio, sulle piccole e medie imprese (PMI), che rappresentano un’ampia percentuale del mercato industriale e commerciale. Spesso esse si confrontano con una scarsa consapevolezza informatica o una mancanza di sistemi e di politiche di sicurezza che le portano a diventare sempre di più il bersaglio di attacchi nella catena di approvvigionamento.
Tuttavia anche organizzazioni più strutturate non sembrano investire abbastanza nella sicurezza della loro catena di approvvigionamento. Secondo il Good Practices for Supply Chain Cybersecurity di giugno 2023, pubblicato da ENISA, solo il 47% delle organizzazioni intervistate ha stanziato un budget per la sicurezza informatica della catena di approvvigionamento, mentre la restante parte (53%) non dispone di un budget approvato a tal fine.
Ruolo degli enti NIS2 nei confronti dei loro fornitori
La Direttiva NIS2 introduce un chiaro riferimento per enti essenziali ed importanti (di seguito, anche enti NIS2), al fine di affrontare i rischi informatici nelle catene di approvvigionamento. Lo fa richiedendo – all’articolo 21 – che essi adottino misure tecniche, operative ed organizzative di gestione del rischio informatico, adeguate e proporzionate, seguendo un approccio multirischio (che quindi tenga conto anche dei profili di sicurezza fisica). Tali misure devono riguardare, in generale, la sicurezza della supply chain compresi gli aspetti relativi alla sicurezza delle relazioni tra ciascun ente ed i suoi fornitori. Inoltre, gli enti NIS2 dovranno tener conto: delle vulnerabilità specifiche di ciascun fornitore diretto e della qualità complessiva dei prodotti e dei servizi, delle misure di gestione e delle pratiche di sicurezza informatica di questi ultimi, comprese le loro procedure di sviluppo sicure.
Come operare nella “messa a terra” di tali misure?
Quello che per esperienza diretta consigliamo è, innanzitutto, adottare un approccio strategico al rischio informatico della supply chain, formalizzato attraverso l’adozione di una strategia dedicata. Una buona strategia prevede ruoli, strutture e processi espressamente dedicati alla sicurezza informatica. Implica inoltre lo svolgimento di audit periodici, o altre forme di valutazione tecnica: attività, queste, da programmare e stipulare in fase contrattuale con i fornitori, tramite apposite clausole.
Definita la strategia, le misure di gestione del rischio informatico dovranno istituire meccanismi di gestione dei rischi nella supply chain con un’opportuna loro valutazione, così da comprendere l’impatto potenziale sui clienti/utenti finali. Dovranno definire come gli enti NIS2 andranno a valutare le relazioni con i loro fornitori, monitorando politiche, prassi, procedure degli stessi. Devono gestire i profili di vulnerabilità, comprendenti le politiche di aggiornamento e di divulgazione delle vulnerabilità stesse, dei fornitori. Dovranno istituire meccanismi finalizzati al controllo della qualità dei prodotti e dei servizi, nell’ottica di un miglioramento continuo della qualità stessa.
I profili di rischio dei fornitori cambiano, ovvimente, in base alle nuove informazioni/linee guida delle autorità nazionali, alle informazioni sulle minacce, agli attacchi e alle modifiche del contesto del fornitore.
I fornitori degli enti NIS2
Gli obiettivi che i fornitori dovranno porsi, al fine di tutelare la catena di approvvigionamento e i rapporti con i loro clienti di riferimento, sono: mettere in atto un processo adeguato che fornisca la qualità prevista; applicare un processo di controllo per verificare l’efficienza del processo implementato.
Si torna quindi all’accountability, che si dimostra un vero pilastro del legiferare europeo, con i principi di security by design e by default: sicuri fin dalla progettazione e per impostazione predefinita – in ossequio al Regolamento 2019/881/UE. Il fornitore dovrà disporre dell’infrastruttura e dell’organizzazione necessarie per la progettazione, lo sviluppo, la produzione e la consegna di prodotti e di componenti. Sarà necessario – anche al fine di un miglioramento continuo – implementare un sistema di gestione della qualità.
Alcuni soggetti fornitori (tra i quali quelli che forniscono servizi digitali, come pure i produttori che rientrano nello spettro soggettivo della Direttiva NIS2) potrebbero avere il duplice ruolo di ente essenziale/importante nonché di fornitore di prodotti/servizi, allo stesso tempo.
Inoltre, specifiche catene di approvvigionamento critiche di servizi, sistemi o prodotti ICT, tenendo conto dei fattori di rischio tecnici e, se opportuno, non tecnici, potranno essere oggetto di valutazioni coordinate dei rischi, da parte del Gruppo di cooperazione – insieme alla Commissione europea e all’ENISA. Dette valutazioni coordinate dovrebbero individuare le misure, i piani di attenuazione e le migliori pratiche per contrastare le dipendenze critiche, i potenziali singoli punti di vulnerabilità, le minacce, le vulnerabilità e gli altri rischi associati alla supply chain. Gli enti NIS2 saranno tenuti a prendere in considerazione i risultati delle valutazioni coordinate, se ciò venisse loro imposto dagli Stati membri, al fine di salvaguardare l’intera catena di fornitura.
In conclusione…
In conclusione, la supply chain si rivela cruciale nella gestione della sicurezza informatica degli enti, garantendo la loro continuità operativa e quindi la loro posizione nel mercato di riferimento. Non a caso nel nostro NIS Compliance Program, l’articolato strumento con il quale accompagnamo i nostri clienti nel raggiungimento della compliance, gode di una attenzione specifica, andando essa a salvaguardare il funzionamento dell’intero mercato interno. Scopo della Direttiva NIS2 è infatti questo: migliorare il funzionamento del mercato interno, proteggendolo da perturbazioni informatiche.
