Guida NIS2 · 7 min
La tua postura di sicurezza esterna sotto NIS2: cosa vedono fornitori e clienti
Con NIS2 i tuoi clienti sono responsabili della sicurezza dei loro fornitori (articolo 21(2)(d)) e valutano sempre più questo rischio dall'esterno, usando solo ciò che è pubblicamente visibile: la tua autenticazione e-mail, i tuoi certificati e ciò che della tua infrastruttura è esposto a internet. Sono gli stessi segnali che un attaccante vede per primi. Questa guida spiega i segnali esterni che determinano come sei giudicato come fornitore, perché ciascuno conta e come verificarli e correggerli.
Punti chiave
- • NIS2 spinge la valutazione dei fornitori lungo la catena; gran parte inizia dalla tua postura pubblicamente visibile.
- • I segnali più forti: falsificabilità dell'e-mail (SPF/DMARC), igiene dei certificati e sistemi esposti a internet.
- • Puoi vedere e correggere la maggior parte da solo in pochi minuti, prima di un cliente o un attaccante.
Perché la vista esterna conta sotto NIS2
L'articolo 21(2)(d) di NIS2 rende un'azienda nell'ambito responsabile del rischio cyber dei suoi fornitori diretti. Poiché un acquirente non può verificare a fondo ogni fornitore, il primo passo pratico è la vista esterna: segnali visibili senza alcun accesso ai tuoi sistemi. Un segnale debole non prova insicurezza, ma è ciò che un cliente nota, con cui si confronta un questionario e ciò che un attaccante sonda per primo. Farlo bene è economico e molto indicativo.
Fonte ufficiale: Direttiva NIS2 su EUR-Lex — articolo 21(2) (misure di sicurezza) e 21(2)(d) (sicurezza della catena di approvvigionamento).
I segnali esterni che formano la tua valutazione
Nessuno richiede accesso ai tuoi sistemi; tutti sono visibili da internet pubblico. Corrispondono alle misure attese da NIS2 e a come operano realmente gli attaccanti.
Falsificabilità dell'e-mail (SPF e DMARC)
Se il tuo dominio non pubblica SPF o DMARC, o DMARC è su p=none, chiunque può inviare e-mail che sembrano provenire da te. È il meccanismo dietro phishing e frode del CEO (BEC), banalmente verificabile nel tuo DNS pubblico.
Igiene dei certificati (TLS)
Certificati scaduti o in scadenza sui tuoi servizi principali segnalano un debole controllo operativo e possono rompere fiducia e disponibilità. I log di certificate transparency rendono pubblica anche la tua cronologia dei certificati.
Sistemi non di produzione e di amministrazione esposti
Host di sviluppo, staging o amministrazione raggiungibili da internet ampliano la tua superficie di attacco e spesso mancano di hardening di livello produzione. Compaiono spesso nei log pubblici di certificate transparency.
Credenziali trapelate ed esposizione a violazioni
Credenziali dei dipendenti esposte in dataset pubblici di violazioni e infostealer sono una via d'accesso diretta. È informazione esterna e pubblica su cui un attaccante può agire prima che tu te ne accorga.
Hardening del trasporto web (HSTS e header)
L'assenza di HSTS e header correlati è minore singolarmente, ma insieme indicano quanto coerentemente sono applicate le basi. I valutatori li leggono come indicatore di maturità operativa.
Scopri come si posizionano davvero i tuoi fornitori
7 giorni gratuiti · senza carta di credito · disdici quando vuoi
Come verificarlo e mantenerlo
Puoi verificare la maggior parte da solo in pochi minuti, con strumenti pubblici e il tuo DNS. Più difficile è mantenerlo nel tempo: un certificato scade, un nuovo sottodominio si espone, credenziali trapelano. Il monitoraggio esterno continuo sorveglia questi segnali per il tuo dominio e i tuoi fornitori e associa ogni rilievo all'articolo NIS2 pertinente, così vedi e correggi prima della valutazione di un cliente o di un attaccante.
Errori comuni
- ✕Considerare conclusa l'autenticazione e-mail appena esiste SPF, mentre DMARC resta su p=none e non blocca nulla.
- ✕Correggere il sito principale ma lasciare host di dev, staging o amministrazione esposti e non irrobustiti.
- ✕Presumere che 'abbiamo superato il questionario' significhi che la realtà esterna coincida ancora mesi dopo.
- ✕Non verificare mai cosa i dati pubblici di violazioni già espongono sui vostri account.
Guarda come la tua postura esterna si mappa su NIS2
Un report fornitore di esempio (rilievi, mappatura NIS2 ed evidenze) in due minuti.
7 giorni gratuiti · senza carta di credito · disdici quando vuoi
Guide correlate
Come conformarsi a NIS2: una roadmap passo dopo passo
I passi verso la conformità NIS2 in ordine: confermare l'ambito, registrarsi, responsabilità della dirigenza (art. 20), le misure dell'art. 21(2), sicurezza della supply chain, notifica degli incidenti (art. 23) e garanzia continua e dimostrata.
Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali
Stabilite se NIS2 vi riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain vi coinvolge anche senza designazione.
NIS2 per i fornitori: non siete designati, ma i vostri clienti sì
La maggior parte delle aziende non viene mai designata ai sensi di NIS2, ma molte devono comunque conformarsi. Come l'obbligo sulla catena di approvvigionamento di un cliente soggetto (articolo 21, paragrafo 2, lettera d) ricade su di voi, cosa chiederà e come rispondere in modo credibile.
NIS2 e il requisito della supply chain: cosa significa nella pratica
NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.
Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato
Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.
NIS2 Art. 21(2): checklist di sicurezza per fornitori
Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.
Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito
Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.
Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate
Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il vostro obbligo.
NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici
Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.
ISO 27001 e NIS2: cosa copre già il vostro SGSI, e le lacune che restano
Se avete la ISO 27001: cosa si riporta su NIS2 e cosa no (notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua) e come colmare la lacuna.
Sanzioni e multe NIS2: quanto, chi è responsabile e come evitarle
Cosa sono le sanzioni NIS2: i massimali dell'articolo 34 (10 M€ / 2 % per i soggetti essenziali, 7 M€ / 1,4 % per quelli importanti), la responsabilità personale della dirigenza (art. 20, art. 32), le misure non pecuniarie e come evitarle.
NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te
In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.
GDPR vs NIS2: sovrapposizioni, differenze e quando un incidente attiva entrambi
In cosa differiscono e si sovrappongono GDPR e NIS2, quando un incidente attiva entrambi (GDPR art. 33 72 h all'autorità di controllo vs NIS2 art. 23 24 h/72 h/un mese al CSIRT), la cooperazione dell'art. 35 e il divieto di doppia sanzione, e cosa significano entrambi per la due diligence sui fornitori.
Il Cyber Resilience Act dell'UE (CRA): ambito, calendario e cosa significa per la vostra supply chain
Cosa richiede il CRA, le sue date scaglionate (in vigore 2024, notifica set 2026, piena conformità dic 2027), chi rientra nell'ambito e perché il SaaS puro spesso no, come integra NIS2 e cosa significa per gli acquisti e la due diligence sui fornitori.
Il regolamento UE sull'IA: livelli di rischio, calendario e cosa devono fare i deployer (articolo 26)
Cosa richiede il regolamento UE sull'IA: i livelli di rischio, le date scaglionate (in vigore 2024, vietato feb 2025, GPAI ago 2025, alto rischio ago 2026), gli obblighi del deployer dell'art. 26, come si combina con NIS2 e il GDPR, e cosa significa per l'acquisto di IA.
Stato di recepimento di NIS2: in quali Paesi UE è in vigore
Quali dei 27 Stati membri UE hanno recepito NIS2 nella legge nazionale e quali la stanno ancora completando, e perché i divari raggiungono comunque la tua catena di fornitura.
Clausole contrattuali per i fornitori NIS2: cosa pretendere dai tuoi fornitori
Le clausole che rendono azionabile l'obbligo sulla catena di fornitura di NIS2: base di sicurezza, finestra di notifica, diritti di prova e audit, trasferimento ai subappaltatori e verifica continua.
I tuoi fornitori usano l'IA? Il rischio fornitori di NIS2 incontra il regolamento IA dell'UE
I fornitori integrano sempre più l'IA nei servizi da cui dipendi, e così i loro fornitori. Dove l'IA dei fornitori e dell'ennesima parte crea rischio ai sensi dell'art. 21(2)(d) di NIS2 e del regolamento IA, cosa valutare e come mantenere la visibilità.
Impersonificazione dei fornitori e frode del CEO (BEC): spoofing dell'e-mail, DMARC e NIS2
Uno degli attacchi alla catena di fornitura più comuni non richiede alcuna violazione: un'e-mail falsificata che devia un pagamento o ruba dati. Come funzionano il BEC e l'impersonificazione dei fornitori, le impostazioni SPF, DKIM e DMARC che li fermano, e come si inserisce nell'art. 21(2)(d) di NIS2.
Ultima revisione: 19 giugno 2026
Questa guida fornisce informazioni generali sul diritto dell'UE, non consulenza legale. NIS2 entra in vigore tramite la legge di recepimento nazionale di ciascuno Stato membro dell'UE, che può differire nei dettagli. Verifica gli obblighi che ti riguardano con la tua autorità competente o un consulente legale.