norppa.io
Guide

Guida NIS2 · 11 min

NIS2 per i fornitori: non sei designato, ma i tuoi clienti lo sono

La maggior parte delle aziende non viene mai designata formalmente come soggetto essenziale o importante ai sensi di NIS2. Molte devono comunque rispettarla. Se i tuoi clienti rientrano in NIS2, la direttiva li rende responsabili della sicurezza della loro supply chain, e quella responsabilità ti raggiunge tramite contratti, questionari e monitoraggio continuo. Questa guida spiega come l'obbligo si trasferisce a un fornitore non designato, cosa ti chiederanno i clienti e come rispondere in modo credibile trasformandolo in un vantaggio commerciale.

Punti chiave

  • NIS2 non deve nominarti. Se i tuoi clienti rientrano nell'ambito, il loro obbligo di sicurezza della supply chain (articolo 21, paragrafo 2, lettera d) diventa la tua realtà contrattuale.
  • Aspettati questionari di sicurezza, prove delle misure dell'articolo 21, paragrafo 2, una clausola di notifica degli incidenti e, sempre più, l'accettazione di un monitoraggio continuo.
  • I fornitori che sanno dimostrare la propria sicurezza su richiesta mantengono i contratti e ne vincono di nuovi; chi non ci riesce viene sostituito in silenzio.

Come NIS2 raggiunge un fornitore mai designato

NIS2 si applica direttamente solo alle organizzazioni che classifica come soggetti essenziali o importanti, per settore e dimensione. Se non sei tra questi, nessuna autorità nazionale ti invierà un'ingiunzione. È qui che molti fornitori smettono di leggere, ed è qui che nasce l'equivoco.

La direttiva non regola direttamente i fornitori dei tuoi fornitori. Rende invece ciascun soggetto rientrante responsabile del rischio di cybersicurezza nella propria supply chain (articolo 21, paragrafo 2, lettera d). Per adempiere a tale obbligo, i tuoi clienti devono valutare, imporre requisiti e monitorare la sicurezza dei fornitori da cui dipendono. Se sei uno di questi, il loro obbligo giuridico diventa il tuo obbligo commerciale. Vieni coinvolto in modo indiretto, attraverso la relazione e non attraverso una designazione.

Cosa deve fare il tuo cliente rientrante, e perché ricade su di te

L'articolo 21, paragrafo 2, lettera d impone ai soggetti essenziali e importanti di gestire la sicurezza della supply chain, compresi gli aspetti di sicurezza del rapporto tra ciascun soggetto e i suoi fornitori o prestatori di servizi diretti. In pratica, il tuo cliente deve:

  • Individuare quali fornitori sono critici per i suoi servizi e valutare il rischio informatico che ciascuno introduce.
  • Fissare requisiti di sicurezza per quei fornitori e inserirli nei contratti e negli accordi sul trattamento dei dati.
  • Verificare che i requisiti siano soddisfatti, non una volta in fase di onboarding ma in modo continuativo.
  • Rispondere degli incidenti che hanno origine presso un fornitore, perché secondo NIS2 una interruzione causata da un fornitore resta l'incidente che il cliente deve gestire e notificare.
  • Dimostrare alla propria autorità di vigilanza che questa supervisione dei fornitori avviene davvero.

Cosa ti chiederanno i clienti

Man mano che questa supervisione matura, le richieste che arrivano ai fornitori convergono verso un insieme riconoscibile:

  • Un questionario di sicurezza o un'autovalutazione, spesso mappata sulle misure dell'articolo 21, paragrafo 2 o su uno standard come la ISO 27001.
  • Prove a sostegno delle risposte: politiche, certificati e risultati recenti di test o scansioni, anziché affermazioni non documentate.
  • Una clausola di notifica degli incidenti che ti impegni ad avvisare rapidamente il cliente quando qualcosa lo riguarda, così che rispetti le proprie scadenze di notifica.
  • Requisiti di sicurezza contrattuali e, per i fornitori critici, un diritto di audit o di richiedere una garanzia indipendente.
  • L'accettazione di un monitoraggio esterno continuo, perché un questionario puntuale compilato l'anno scorso non soddisfa più un obbligo di natura continuativa.

Le misure dell'articolo 21, paragrafo 2 che i clienti si aspettano da te

Anche se l'articolo 21, paragrafo 2 vincola il tuo cliente e non te, le sue dieci misure sono il modello che la maggior parte degli acquirenti riutilizza nel fissare requisiti ai fornitori. Conviene poter dimostrare, nella tua misura proporzionata, di affrontare ciascuna:

Gestione del rischio e politiche

Un approccio documentato e rivisto regolarmente al rischio di sicurezza delle informazioni, di competenza del vertice. (art. 21.2.a)

Gestione degli incidenti

Un processo definito per rilevare gli incidenti di sicurezza, rispondervi e trarne lezioni. (art. 21.2.b)

Continuità operativa e backup

Backup, piani di ripristino e gestione delle crisi affinché il servizio sopravviva a un'interruzione. (art. 21.2.c)

Sicurezza della supply chain

La tua supervisione sui subfornitori e prestatori da cui dipendi; l'obbligo si propaga lungo la catena. (art. 21.2.d)

Acquisizione, sviluppo e manutenzione sicuri

Sicurezza integrata nel modo in cui acquisti, costruisci e applichi patch ai sistemi, inclusa la gestione e divulgazione delle vulnerabilità. (art. 21.2.e)

Valutazione dell'efficacia

Test e revisioni periodiche per confermare che le misure funzionino davvero. (art. 21.2.f)

Igiene informatica e formazione

Pratiche di base e consapevolezza del personale, tenute aggiornate. (art. 21.2.g)

Crittografia e cifratura

Uso appropriato della crittografia per proteggere i dati in transito e a riposo. (art. 21.2.h)

Controllo degli accessi e gestione degli asset

Conoscere i tuoi asset e controllare chi accede a cosa. (art. 21.2.i)

Autenticazione a più fattori e comunicazioni sicure

MFA e comunicazioni vocali, video, di testo e di emergenza sicure ove pertinente. (art. 21.2.j)

La notifica degli incidenti scorre in entrambe le direzioni

NIS2 impone ai soggetti rientranti tempi stretti: un preallarme entro 24 ore, una notifica più completa entro 72 ore e una relazione finale entro un mese (articolo 23). Non possono rispettarli se un fornitore tiene per sé una cattiva notizia. Per questo i loro contratti richiedono sempre più spesso che tu li avvisi senza indugio quando un incidente riguarda, o potrebbe riguardare, i servizi che fornisci loro.

Per un fornitore non designato la conseguenza pratica è semplice: ti serve un tuo processo per gli incidenti, con una chiara escalation interna e un modo definito di informare i clienti coinvolti, così che un problema dalla tua parte non diventi una scadenza mancata dalla loro. Un fornitore che rileva, contiene e comunica bene è molto più facile da mantenere di uno che tace.

Un requisito da trattare come un vantaggio

È facile leggere tutto questo come un peso imposto dalla regolamentazione di qualcun altro. I fornitori che riescono meglio lo leggono al contrario. Man mano che più acquirenti rientrano in NIS2 e stringono i controlli sulla supply chain, la capacità di rispondere in fretta e con prove a un questionario di sicurezza diventa un motivo per vincere e mantenere contratti, non un ostacolo da superare.

È vero anche il contrario, e in modo più silenzioso: i fornitori che non sanno dimostrare la propria posizione vengono sempre più spesso esclusi in fase di acquisto, spesso senza che venga detto loro il perché. Anticipare le domande, prima che un cliente le ponga, trasforma NIS2 da costo di conformità in leva di vendita.

Come rispondere in modo credibile

Non devi diventare un soggetto essenziale da un giorno all'altro. Devi essere pronto alle domande e in grado di sostenere le tue risposte. Un percorso proporzionato:

  • Conosci prima la tua posizione esterna: domini, certificati, autenticazione della posta, servizi esposti e vulnerabilità note, cioè proprio ciò che esaminerà la valutazione di un cliente.
  • Colma le lacune comuni che questionari e scansioni segnalano: imponi TLS 1.2+, pubblica SPF, DKIM e DMARC, applica le patch rapidamente, richiedi la MFA e rimuovi le interfacce di amministrazione esposte.
  • Metti per iscritto le basi: una breve politica di sicurezza delle informazioni, un processo per gli incidenti e l'indicazione di chi è responsabile della sicurezza. La prova batte l'affermazione.
  • Tieni aggiornate le tue risposte. Tratta la garanzia come continua, perché è sempre più così che la trattano i tuoi clienti.
  • Se servi acquirenti più grandi o regolamentati, valuta la ISO 27001 o equivalente come scorciatoia riconosciuta, ma non aspettarla per cominciare.

Fonte: Direttiva (UE) 2022/2555 (NIS2), articolo 21, paragrafo 2 Gli Stati membri recepiscono NIS2 con la legge nazionale, quindi conferma le esatte aspettative verso i fornitori con i tuoi clienti e, se necessario, con la tua autorità competente.

Come aiuta norppa.io

norppa.io offre a un fornitore non designato la stessa visione continua e basata su prove della propria sicurezza che un cliente NIS2 ora si aspetta di vedere. I tuoi domini vengono controllati su più di cento punti di controllo ogni giorno, quelli sensibili al tempo ogni sei ore, e ogni risultato è mappato all'articolo NIS2 cui si riferisce, così da poter rispondere a un questionario con prove attuali anziché affermazioni.

Il questionario di autovalutazione raccoglie i tuoi controlli di processo e contrattuali, e ogni risposta è confrontata con il profilo tecnico in tempo reale, così che quando l'ufficio acquisti di un cliente chiede prove tu possa consegnare un quadro chiaro e corroborato invece di un foglio di calcolo che era vero la primavera scorsa.

Sii pronto prima che i clienti chiedano

Guarda un report fornitore di esempio (risultati, mappatura degli articoli NIS2 e prove) in circa due minuti.

Guarda il report di esempio
Guarda la dashboard di esempio

Ultima revisione: 19 giugno 2026

Questa guida fornisce informazioni generali sul diritto dell'UE, non consulenza legale. NIS2 entra in vigore tramite la legge di recepimento nazionale di ciascuno Stato membro dell'UE, che può differire nei dettagli. Verifica gli obblighi che ti riguardano con la tua autorità competente o un consulente legale.

Guide correlate

Come conformarsi a NIS2: una roadmap passo dopo passo

I passi verso la conformità NIS2 in ordine: confermare l'ambito, registrarsi, responsabilità della dirigenza (art. 20), le misure dell'art. 21(2), sicurezza della supply chain, notifica degli incidenti (art. 23) e garanzia continua e dimostrata.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

NIS2 e il requisito della supply chain: cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

NIS2 Art. 21(2): checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate

Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il tuo obbligo.

NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici

Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.

ISO 27001 e NIS2: cosa copre già il tuo SGSI, e le lacune che restano

Se hai la ISO 27001: cosa si riporta su NIS2 e cosa no (notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua) e come colmare la lacuna.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.

GDPR vs NIS2: sovrapposizioni, differenze e quando un incidente attiva entrambi

In cosa differiscono e si sovrappongono GDPR e NIS2, quando un incidente attiva entrambi (GDPR art. 33 72 h all'autorità di controllo vs NIS2 art. 23 24 h/72 h/un mese al CSIRT), la cooperazione dell'art. 35 e il divieto di doppia sanzione, e cosa significano entrambi per la due diligence sui fornitori.

Il Cyber Resilience Act dell'UE (CRA): ambito, calendario e cosa significa per la vostra supply chain

Cosa richiede il CRA, le sue date scaglionate (in vigore 2024, notifica set 2026, piena conformità dic 2027), chi rientra nell'ambito e perché il SaaS puro spesso no, come integra NIS2 e cosa significa per gli acquisti e la due diligence sui fornitori.

Il regolamento UE sull'IA: livelli di rischio, calendario e cosa devono fare i deployer (articolo 26)

Cosa richiede il regolamento UE sull'IA: i livelli di rischio, le date scaglionate (in vigore 2024, vietato feb 2025, GPAI ago 2025, alto rischio ago 2026), gli obblighi del deployer dell'art. 26, come si combina con NIS2 e il GDPR, e cosa significa per l'acquisto di IA.