NIS2.it.com
Torna al blog
Catena di fornitura
NIS2 e la catena di fornitura: 5 clausole da richiedere ai fornitori

NIS2 e la catena di fornitura: 5 clausole da richiedere ai fornitori

7 min di lettura
SM

Sophie Martin

Analista legale — Diritto digitale europeo

All'inizio del 2024, un'azienda manifatturiera europea ha subito una violazione significativa. L'aggressore non ha attaccato direttamente l'azienda — ha sfruttato le credenziali VPN di un fornitore di servizi di manutenzione. L'azienda era conforme a NIS2 sui propri sistemi. Il fornitore non lo era. Il risultato: 18 giorni di fermo produzione, 3,5 milioni di euro di danni e un'indagine formale dell'ACN.

È esattamente questo scenario che l'articolo 21(2)(d) della direttiva 2022/2555 mira a prevenire.

Cosa richiede NIS2 per la sicurezza della catena di approvvigionamento

L'articolo 21 della direttiva 2022/2555 impone ai soggetti essenziali e importanti di adottare misure di gestione del rischio che coprano esplicitamente la sicurezza della catena di approvvigionamento. Questo include fornitori diretti e prestatori di servizi — non solo i sistemi interni.

Quattro obblighi concreti derivano da questo articolo. Primo: valutare i rischi provenienti da fornitori diretti e prestatori di servizi, con particolare attenzione ai fornitori di servizi ICT (MSP, cloud, SaaS). Secondo: incorporare clausole di cybersicurezza nei contratti con i fornitori. Terzo: monitorare continuamente la postura di sicurezza dei fornitori critici. Quarto: mantenere prove documentate di queste valutazioni per le ispezioni (articolo 21, direttiva 2022/2555).

L'ACN specifica nelle sue linee guida che le entità devono costituire un registro dei rischi di terze parti e essere in grado di presentarlo durante un controllo.

Perché i vostri fornitori sono la vostra maggiore superficie di attacco

Secondo l'ENISA, il 62% degli incidenti di sicurezza significativi nel 2023 ha coinvolto l'accesso di terze parti. MSP e fornitori di servizi cloud rappresentano la maggior parte di questi vettori di attacco. Un fornitore senza autenticazione a più fattori (MFA) obbligatoria per gli accessi condivisi è una porta aperta. Un subappaltatore che archivia i vostri dati al di fuori dell'UE senza garanzie contrattuali crea simultaneamente una responsabilità NIS2 e GDPR.

Il rischio normativo è considerevole: un incidente originato da un fornitore non protetto sarà trattato come vostro fallimento di conformità.

5 clausole contrattuali concrete

Clausola 1: Diritto di audit della sicurezza

Il contratto deve riconoscere alla vostra organizzazione (o a un revisore terzo incaricato) il diritto di condurre audit di sicurezza presso il fornitore, con un preavviso massimo di 30 giorni. Il fornitore deve cooperare pienamente e fornire accesso a sistemi, documentazioni e registri degli eventi pertinenti. Senza questa clausola, non potete verificare che gli impegni contrattuali di sicurezza vengano rispettati.

Clausola 2: Obbligo di notifica degli incidenti — 24 ore

Il fornitore deve notificarvi qualsiasi incidente di sicurezza che possa influire sui vostri sistemi o dati entro 24 ore dalla rilevazione. Questo riflette direttamente l'articolo 23 della direttiva 2022/2555. Avete voi stessi 24 ore per allertare l'ACN — questa scadenza è impossibile da rispettare se il vostro fornitore aspetta 72 ore prima di informarvi.

Clausola 3: Standard minimi di sicurezza

Definite requisiti tecnici precisi: MFA obbligatoria per tutti gli accessi ai vostri sistemi, crittografia dei dati in transito (minimo TLS 1.2) e a riposo (AES-256), patch di sicurezza critiche applicate entro 72 ore dal rilascio, e una policy documentata di gestione degli accessi privilegiati. Questi standard devono essere verificabili — il fornitore deve poter fornire prove quali la certificazione ISO 27001, report SOC 2 Tipo II o risultati di scansioni indipendenti delle vulnerabilità.

Clausola 4: Localizzazione dei dati e sovranità

Specificate contrattualmente dove i vostri dati vengono archiviati e trattati. I trasferimenti al di fuori dell'UE devono rispettare i meccanismi di trasferimento del GDPR (clausole contrattuali tipo, decisioni di adeguatezza). Vietate esplicitamente il sub-trattamento dei vostri dati senza previo consenso scritto. Per settori sensibili (sanità, finanza, infrastrutture critiche), considerate di richiedere la residenza dei dati esclusivamente nell'UE.

Clausola 5: Responsabilità e penali

Definite penali contrattuali per le violazioni degli obblighi di sicurezza: una penale forfettaria per ogni incidente non notificato nei tempi previsti, il risarcimento dei danni diretti derivanti dal fallimento della sicurezza del fornitore, e il diritto di rescindere senza penali in caso di violazione grave degli obblighi di sicurezza. Queste penali devono essere proporzionate — sufficienti a incentivare la conformità, ma non così elevate da impedire la firma del contratto.

Come l'ACN verificherà la gestione dei fornitori

Durante un'ispezione o un'indagine, i revisori dell'ACN possono richiedere i contratti con i fornitori, il registro dei rischi di terze parti e le prove di valutazioni periodiche dei fornitori. L'ACN si aspetta che i soggetti essenziali dispongano di un processo formalizzato di valutazione dei fornitori — almeno annualmente per i fornitori ICT critici.

Il registro dei rischi di terze parti deve documentare ogni fornitore con accesso ai sistemi: la classificazione del rischio associata, le misure di mitigazione attive e la data dell'ultima valutazione formale.

Da dove cominciare

Identificate i vostri 10 fornitori più critici — quelli con accesso ai vostri sistemi informativi, che trattano dati sensibili o la cui indisponibilità bloccherebbe la vostra attività. Per ciascuno, verificate se il contratto attuale contiene le 5 clausole sopra descritte.

Incorporate queste clausole al prossimo rinnovo contrattuale. Per i contratti con più di 12 mesi di durata residua, considerate un'integrazione contrattuale.

La direttiva NIS2 (articolo 21, direttiva 2022/2555) non richiede di certificare tutti i fornitori dall'oggi al domani. Richiede di dimostrare una gestione attiva del rischio — attraverso contratti, valutazioni documentate e un registro aggiornato.

*Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per domande specifiche alla vostra situazione, consultate un professionista legale qualificato.*

Questo articolo è fornito a solo scopo informativo e non costituisce una consulenza legale.