L'attacco a SolarWinds del 2020 ha cambiato le regole del gioco. Migliaia di organizzazioni compromesse attraverso un aggiornamento software legittimo del proprio fornitore. In Italia, nel 2024, un attacco alla supply chain di un provider IT ha colpito a cascata decine di ASL e ospedali. Il messaggio e chiaro: la tua sicurezza e forte quanto il piu debole dei tuoi fornitori.
La NIS2 l'ha capito e ha incluso la sicurezza della supply chain tra gli obblighi espliciti. L'articolo 21 del D.Lgs. 138/2024 richiede ai soggetti obbligati di gestire i rischi derivanti dalla catena di approvvigionamento, inclusi gli aspetti di sicurezza dei rapporti con i fornitori diretti.
Perche la supply chain e il tallone d'Achille
Puoi investire milioni nella tua sicurezza interna, ma se il tuo fornitore di servizi IT ha password deboli, tutto diventa inutile. I fornitori sono il vettore di attacco preferito dai cybercriminali sofisticati perche permettono di colpire molti bersagli attraverso un unico punto di ingresso.
Il problema e particolarmente acuto in Italia, dove il tessuto industriale e fatto di catene di fornitura lunghe e frammentate. Una grande azienda manifatturiera puo avere centinaia di fornitori, molti dei quali sono PMI senza alcuna postura di cybersicurezza strutturata.
Gli obblighi NIS2 sulla supply chain
- Mappare i fornitori critici — identificare chi ha accesso ai tuoi sistemi, dati o processi critici
- Valutare il rischio — analizzare la postura di sicurezza di ciascun fornitore critico
- Clausole contrattuali — inserire obblighi di cybersicurezza, notifica incidenti e diritto di audit nei contratti
- Monitoraggio continuo — verificare periodicamente che i fornitori mantengano standard adeguati
- Piani di contingenza — prepararsi alla possibilita che un fornitore critico venga compromesso
Come valutare i fornitori
Non puoi fare un penetration test a tutti i tuoi fornitori. Serve un approccio graduato basato sulla criticita del fornitore:
| Livello criticita | Tipo fornitore | Valutazione richiesta |
|---|---|---|
| Alto | Accesso diretto ai sistemi, dati sensibili, servizi core | Audit approfondito, questionario dettagliato, verifica certificazioni, diritto di ispezione |
| Medio | Servizi IT non core, dati non sensibili, servizi operativi | Questionario di sicurezza, verifica policy, SLA con clausole cyber |
| Basso | Servizi non IT, nessun accesso a sistemi o dati | Clausole contrattuali standard, verifica periodica |
Le clausole contrattuali indispensabili
I contratti con i fornitori critici devono includere clausole specifiche sulla cybersicurezza. Ecco le piu importanti:
- Obbligo di notifica incidenti — il fornitore deve notificarti gli incidenti che possono impattare i tuoi servizi, con tempistiche definite
- Diritto di audit — puoi verificare la postura di sicurezza del fornitore, direttamente o tramite terzi
- Standard minimi di sicurezza — MFA, cifratura, backup, patch management come requisiti contrattuali
- Gestione sub-fornitori — il fornitore deve applicare criteri analoghi ai propri sub-fornitori
- Clausola di recesso — possibilita di recedere se il fornitore non rispetta gli standard di sicurezza
La cascata lungo la filiera
Un aspetto spesso sottovalutato: gli obblighi NIS2 si propagano lungo la filiera. Se sei un soggetto NIS2 e chiedi garanzie ai tuoi fornitori, questi a loro volta le chiederanno ai loro sub-fornitori. Questo crea un effetto cascata che, nel tempo, dovrebbe alzare il livello di sicurezza dell'intero ecosistema economico.
Per le PMI che non sono direttamente soggette alla NIS2 ma sono fornitori di soggetti obbligati, questo significa che la cybersicurezza diventa un prerequisito commerciale. Chi non si adegua, rischia di perdere clienti importanti.
Strumenti per il monitoraggio continuo
Il monitoraggio dei fornitori non si esaurisce nella valutazione iniziale. Servono strumenti per verificare continuamente la postura di sicurezza: piattaforme di security rating (BitSight, SecurityScorecard), questionari periodici, alert su data breach che coinvolgono i fornitori. Per le PMI, un questionario annuale ai fornitori critici e un monitoraggio delle vulnerabilita pubbliche sono un buon punto di partenza.