Guida NIS2

Guida NIS2 · 7 min

I tuoi fornitori usano l'IA? Il rischio fornitori di NIS2 incontra il regolamento IA dell'UE

Con NIS2 sei responsabile del rischio cyber portato dai tuoi fornitori (articolo 21(2)(d)). Sempre più spesso quel rischio include l'IA: fornitori che integrano l'IA nei servizi da cui dipendi, e i loro fornitori fanno lo stesso. Il regolamento IA dell'UE, ora in applicazione graduale, aggiunge obblighi per le organizzazioni che usano sistemi di IA o vi si affidano, compresi quelli forniti da terzi. La maggior parte delle valutazioni dei fornitori non chiede nulla sull'IA. Questa guida spiega dove l'IA dei fornitori e dell'ennesima parte crea rischio ai sensi di NIS2 e del regolamento IA, cosa valutare e come mantenere la visibilità.

Punti chiave

  • NIS2 rende tua la responsabilità del rischio cyber dei fornitori; l'IA integrata dai fornitori ne fa ora parte.
  • Il regolamento IA aggiunge obblighi quando ti affidi all'IA di terzi, compresi i sistemi ad alto rischio.
  • La maggior parte dei questionari ignora l'IA; l'IA dell'ennesima parte (i fornitori dei tuoi fornitori) è il punto cieco più difficile.

Da dove entra l'IA nella tua catena di fornitura

L'IA ti raggiunge tramite i fornitori in tre modi: un fornitore usa l'IA in un servizio che consumi; un fornitore tratta i tuoi dati con l'IA (addestramento, inferenza, strumenti di supporto); e i fornitori del tuo fornitore fanno lo stesso (ennesima parte). Ognuno amplia la superficie di attacco (esposizione del modello e dei dati, prompt injection, nuove integrazioni) e l'esposizione normativa. L'articolo 21(2)(d) di NIS2 ti rende responsabile della sicurezza di queste relazioni, e il regolamento IA aggiunge doveri di trasparenza e gestione del rischio quando usi sistemi di IA o vi ti affidi, compresi quelli di terzi.

Fonti ufficiali: Direttiva NIS2 su EUR-Lex — articolo 21(2)(d); oltre al regolamento IA dell'UE (regolamento (UE) 2024/1689) per gli obblighi specifici dell'IA.

Cosa valutare sull'IA dei fornitori

Aggiungi questi punti alla valutazione dei fornitori. Corrispondono alle misure sulla catena di fornitura di NIS2 e ai doveri del regolamento IA per chi si affida all'IA.

1

Dove l'IA tocca i tuoi dati

Chiedi quali parti del servizio usano l'IA, se i tuoi dati servono per l'addestramento o l'inferenza, e dove avviene tale trattamento. Questo determina sia la tua esposizione NIS2 sia la tua posizione rispetto al regolamento IA e al GDPR.

2

Se l'IA è ad alto rischio secondo il regolamento IA

Se l'IA di un fornitore rientra in una categoria ad alto rischio del regolamento IA, erediti aspettative di trasparenza, sorveglianza umana e registrazione quando vi ti affidi. Conferma la classificazione e il lavoro di conformità del fornitore.

3

IA dell'ennesima parte (i fornitori del tuo fornitore)

I fornitori rivendono o integrano sempre più l'IA di terzi (modelli fondativi, API di IA). Richiedi la divulgazione di questi sub-fornitori, così che un'interruzione del modello, un incidente sui dati o un cambio di policy non ti colgano di sorpresa.

4

Controlli di sicurezza specifici dell'IA

Protezione da prompt injection e fughe di dati, controllo degli accessi agli endpoint del modello, registrazione e sorveglianza umana delle decisioni automatizzate. È l'estensione all'era dell'IA della base dell'articolo 21(2).

5

Notifica degli incidenti IA

Estendi la clausola di notifica del contratto ai guasti specifici dell'IA (fuga di dati tramite un modello, output dannoso o manipolato), così che un incidente IA di un fornitore ti raggiunga in tempo per la tua notifica.

Scopri come si posizionano davvero i tuoi fornitori

7 giorni gratuiti · senza carta di credito · disdici quando vuoi

Come mantenere la visibilità mentre l'IA si diffonde

L'adozione dell'IA nella tua catena cambia più in fretta di un questionario annuale: un fornitore aggiunge una funzione di IA, cambia fornitore di modello o compare un nuovo sub-responsabile. Abbina il questionario a un monitoraggio esterno continuo e a un inventario vivo della quarta parte, così che le nuove dipendenze dall'IA e i sub-fornitori dietro di esse emergano non appena compaiono, mappati agli obblighi NIS2 e del regolamento IA che attivano, invece che al prossimo ciclo di revisione.

Errori comuni

  • Un questionario fornitori che non chiede mai dell'IA.
  • Valutare il fornitore diretto ma ignorare il modello di terzi o l'API di IA dietro il suo servizio.
  • Trattare l'IA solo come tema di innovazione, non come sicurezza della catena e conformità al regolamento IA.
  • Nessun obbligo contrattuale di dichiarare l'uso dell'IA o di notificare gli incidenti specifici dell'IA.

Guarda come il rischio fornitori e IA si mappa su NIS2

Un report fornitore di esempio (rilievi, mappatura NIS2 ed evidenze) in due minuti.

7 giorni gratuiti · senza carta di credito · disdici quando vuoi

Guide correlate

Come conformarsi a NIS2: una roadmap passo dopo passo

I passi verso la conformità NIS2 in ordine: confermare l'ambito, registrarsi, responsabilità della dirigenza (art. 20), le misure dell'art. 21(2), sicurezza della supply chain, notifica degli incidenti (art. 23) e garanzia continua e dimostrata.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilite se NIS2 vi riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain vi coinvolge anche senza designazione.

NIS2 per i fornitori: non siete designati, ma i vostri clienti sì

La maggior parte delle aziende non viene mai designata ai sensi di NIS2, ma molte devono comunque conformarsi. Come l'obbligo sulla catena di approvvigionamento di un cliente soggetto (articolo 21, paragrafo 2, lettera d) ricade su di voi, cosa chiederà e come rispondere in modo credibile.

NIS2 e il requisito della supply chain: cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

NIS2 Art. 21(2): checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate

Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il vostro obbligo.

NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici

Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.

ISO 27001 e NIS2: cosa copre già il vostro SGSI, e le lacune che restano

Se avete la ISO 27001: cosa si riporta su NIS2 e cosa no (notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua) e come colmare la lacuna.

Sanzioni e multe NIS2: quanto, chi è responsabile e come evitarle

Cosa sono le sanzioni NIS2: i massimali dell'articolo 34 (10 M€ / 2 % per i soggetti essenziali, 7 M€ / 1,4 % per quelli importanti), la responsabilità personale della dirigenza (art. 20, art. 32), le misure non pecuniarie e come evitarle.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.

GDPR vs NIS2: sovrapposizioni, differenze e quando un incidente attiva entrambi

In cosa differiscono e si sovrappongono GDPR e NIS2, quando un incidente attiva entrambi (GDPR art. 33 72 h all'autorità di controllo vs NIS2 art. 23 24 h/72 h/un mese al CSIRT), la cooperazione dell'art. 35 e il divieto di doppia sanzione, e cosa significano entrambi per la due diligence sui fornitori.

Il Cyber Resilience Act dell'UE (CRA): ambito, calendario e cosa significa per la vostra supply chain

Cosa richiede il CRA, le sue date scaglionate (in vigore 2024, notifica set 2026, piena conformità dic 2027), chi rientra nell'ambito e perché il SaaS puro spesso no, come integra NIS2 e cosa significa per gli acquisti e la due diligence sui fornitori.

Il regolamento UE sull'IA: livelli di rischio, calendario e cosa devono fare i deployer (articolo 26)

Cosa richiede il regolamento UE sull'IA: i livelli di rischio, le date scaglionate (in vigore 2024, vietato feb 2025, GPAI ago 2025, alto rischio ago 2026), gli obblighi del deployer dell'art. 26, come si combina con NIS2 e il GDPR, e cosa significa per l'acquisto di IA.

Stato di recepimento di NIS2: in quali Paesi UE è in vigore

Quali dei 27 Stati membri UE hanno recepito NIS2 nella legge nazionale e quali la stanno ancora completando, e perché i divari raggiungono comunque la tua catena di fornitura.

Clausole contrattuali per i fornitori NIS2: cosa pretendere dai tuoi fornitori

Le clausole che rendono azionabile l'obbligo sulla catena di fornitura di NIS2: base di sicurezza, finestra di notifica, diritti di prova e audit, trasferimento ai subappaltatori e verifica continua.

La tua postura di sicurezza esterna sotto NIS2: cosa vedono fornitori e clienti

I segnali pubblicamente visibili che i clienti valutano ai sensi dell'art. 21(2)(d) di NIS2: falsificabilità dell'e-mail (SPF/DMARC), igiene dei certificati, sistemi esposti a internet e credenziali trapelate, perché ciascuno conta e come verificarli e correggerli.

Impersonificazione dei fornitori e frode del CEO (BEC): spoofing dell'e-mail, DMARC e NIS2

Uno degli attacchi alla catena di fornitura più comuni non richiede alcuna violazione: un'e-mail falsificata che devia un pagamento o ruba dati. Come funzionano il BEC e l'impersonificazione dei fornitori, le impostazioni SPF, DKIM e DMARC che li fermano, e come si inserisce nell'art. 21(2)(d) di NIS2.

Ultima revisione: 19 giugno 2026

Questa guida fornisce informazioni generali sul diritto dell'UE, non consulenza legale. NIS2 entra in vigore tramite la legge di recepimento nazionale di ciascuno Stato membro dell'UE, che può differire nei dettagli. Verifica gli obblighi che ti riguardano con la tua autorità competente o un consulente legale.