Compliance NIS2: requisiti e procedure per la Supply Chain Security. Guida per il 2025

***

Il nuovo paradigma della supply chain security

Sono prossime le scadenze previste dal D.L. 138/2024 in relazione alla normativa NIS2: entro il 28 febbraio 2025, tutte le organizzazioni rientranti nel perimetro NIS2 devono registrarsi nella piattaforma disponibile sul sito dell’Agenzia per la cybersicurezza nazionale, così da consentire all’ACN la creazione dell’elenco dei soggetti importanti ed essenziali. Pertanto, è urgente per le organizzazioni condurre una riflessione relativamente all’adozione dei sistemi di compliance richiesti dalla normativa.

L’adozione di un sistema di compliance con riferimento al diritto interno non può che ragionare sulla visione di insieme della Direttiva, a cui la normativa dà attuazione.

È fondamentale comprendere, in particolare, che la Direttiva NIS2 ha posto un'enfasi senza precedenti sulla sicurezza della catena di approvvigionamento: occorre, pertanto, una riflessione articolata e approfondita circa le nuove responsabilità e gli obblighi specifici in materia di supply chain security.

La Direttiva NIS2 riconosce che la vulnerabilità di un singolo fornitore può compromettere l'intera catena del valore digitale. Per questo motivo, introduce un approccio olistico alla sicurezza della supply chain, richiedendo alle organizzazioni di valutare non solo la propria postura di sicurezza, ma anche quella dei propri fornitori, partner e prestatori di servizi.

La normativa impone alle organizzazioni di implementare procedure rigorose per la valutazione e il monitoraggio dei fornitori, secondo una visione dinamica della compliance.

È, quindi, richiesta l'implementazione di un framework strutturato per la gestione del rischio nella supply chain che includa la mappatura dei fornitori, la valutazione continuativa del rischio, nonché l’adozione e implementazione di misure di mitigazione specifiche.

Mappatura della supply chain: valutazione preliminare dei nuovi soggetti

Nella fase di mappatura della propria security supply chain, le organizzazioni devono classificare i fornitori in base al loro livello di criticità per così potere identificare tutti i fornitori critici e documentare le dipendenze e le interconnessioni tra fornitori.

Inoltre, nel momento in cui entrano in contatto con nuovi soggetti, le organizzazioni devono condurre una due diligence approfondita dei potenziali fornitori, considerando:

• la loro postura di sicurezza informatica;
• la qualità dei loro processi di gestione del rischio;
• le certificazioni di sicurezza possedute;
• la loro conformità alle normative vigenti.

Al momento dell’inizio di un percorso commerciale, la compliance di sistema richiede che gli specifici obblighi siano previsti in clausole contrattuali.

Monitoraggio continuo

Quando si riflette in chiave dinamica e continuativa, ovviamente si pone la necessità di adottare un sistema che preveda un monitoraggio continuo, tramite:

• verifiche periodiche della conformità dei fornitori;
• audit di sicurezza programmati;
• valutazioni del rischio aggiornate;
• analisi delle performance di sicurezza.

Quanto alla valutazione del rischio, quindi, è necessario condurre stime periodiche che considerino i rischi diretti provenienti dai fornitori, gli impatti potenziali sulla continuità operativa e le vulnerabilità nella catena di approvvigionamento digitale.

Misure di mitigazione specifiche

La normativa richiede l'adozione e l’implementazione di misure concrete per mitigare i rischi nella supply chain, che ricomprendano controlli tecnologici, procedure operative, documentazione e reporting. Vediamo per ciascuno di tali elementi quali sono gli adempimenti richiesti.

Controlli tecnologici

Occorre che le organizzazioni si adeguino mediante alcune misure di controllo tecnologico:

• implementazione di sistemi di monitoraggio delle attività dei fornitori;
• utilizzo di tecnologie per la segregazione degli accessi;
• adozione di strumenti per la gestione degli asset digitali;
• implementazione di sistemi di early warning per le minacce alla supply chain.

Procedure operative

In termini di procedure operative, le organizzazioni devono procedere a molteplici azioni. Occorre, in primo luogo, una definizione dei processi di onboarding e offboarding dei fornitori. È poi necessario prevedere lo sviluppo di piani di risposta agli incidenti specifici per la supply chain e la creazione di procedure di escalation in caso di violazioni.

Serve infine definire le procedure di segnalazione all’autorità in caso di incidenti e implementare i protocolli di comunicazione sicura con i fornitori.

Requisiti documentali

Oltre agli interventi finalizzati a prevenire, o risolvere problematiche, o in ogni caso a mitigarne gli effetti negativi, vi è poi ovviamente la necessità di adempimenti documentali che possano dare evidenze di tali percorsi. La Direttiva pone particolare enfasi sulla documentazione delle misure di sicurezza della supply chain. In concreto, le organizzazioni devono mantenere:

• un registro aggiornato di tutti i fornitori critici;
• documentazione delle valutazioni del rischio effettuate;
• evidenza delle verifiche di conformità condotte;
• registri degli incidenti di sicurezza relativi alla supply chain.

Obblighi di reporting

Inoltre, l’effettiva adozione, come per ogni sistema di compliance, non può non passare che per una articolata attività di reporting successiva.

È necessario stabilire protocolli che disciplinino comunicazioni periodiche interne riguardanti:

1. le notifiche effettuate alle autorità competenti in caso di incidenti;
2. lo stato della sicurezza della supply chain con evidenza delle verifiche periodiche svolte;
3. le comunicazioni intercorse con i fornitori sugli incidenti di sicurezza.

Formazione

Infine, ancora una volta così come accade per ogni altro profilo di compliance, anche in relazione agli obblighi derivanti dalla NIS2, un elemento fondamentale è quello della cultura interna all’organizzazione. È necessario quindi strutturare un percorso formativo articolato, che porti l’intera popolazione aziendale a un livello conoscitivo elevato del sistema di compliance adottato.

Raccomandazioni operative e conclusioni

Per una gestione efficace della supply chain security secondo la NIS2, si raccomanda di:

1. istituire un team dedicato alla gestione della sicurezza della supply chain;
2. sviluppare un programma strutturato di vendor risk management;
3. implementare tecnologie specifiche per il monitoraggio della supply chain;
4. stabilire procedure di revisione periodica dei controlli implementati;
5. formare il personale sulle specifiche procedure di gestione dei fornitori.

La gestione della supply chain security rappresenta uno degli aspetti più innovativi e complessi della Direttiva NIS2. Le organizzazioni devono comprendere che la sicurezza della propria catena di approvvigionamento è fondamentale quanto la sicurezza dei propri sistemi interni.

Un approccio strutturato e proattivo alla supply chain security non solo garantisce la conformità normativa, ma contribuisce significativamente alla resilienza complessiva dell'organizzazione.