norppa.io
Tutte le guide

Guida · 9 min di lettura

NIS2 Art. 21(2) — checklist di sicurezza per i fornitori

Una checklist pratica per i team di approvvigionamento e sicurezza. Da usare sia per l'integrazione di nuovi fornitori che per le revisioni annuali — cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti.

NIS2 Art. 21(2)(d) obbliga a valutare la postura di cybersicurezza dei propri fornitori come parte della propria gestione del rischio della supply chain. Il requisito riguarda sia i nuovi fornitori che le relazioni esistenti — una revisione annuale è il minimo.

Questa checklist copre le sei sottoclausole dell'art. 21(2) più rilevanti per la sicurezza della supply chain. Ogni sezione include tre domande, una breve spiegazione dell'importanza e un documento di prova suggerito.

Nota: Questa checklist è orientativa — l'autorità competente o il revisore potrebbe richiedere misure aggiuntive in base al settore o alle dimensioni dell'organizzazione. Per i requisiti contrattuali, consultare un legale.

Art. 21(2)(a)Gestione del rischio

NIS2 richiede che i fornitori gestiscano i rischi di cybersicurezza in modo sistematico — non solo annualmente, ma continuamente. Chiedere prove del processo, non solo una risposta sì/no.

  • Il fornitore ha un processo documentato di gestione del rischio di cybersicurezza (es. ISMS o certificazione ISO 27001)
  • La gestione del rischio viene revisionata regolarmente dalla direzione generale o dal consiglio di amministrazione — data dell'ultima revisione nota
  • I sistemi informativi critici e le responsabilità di trattamento dei dati sono censiti e classificati

Documenti di prova suggeriti:

  • · Politica di gestione del rischio o documentazione ISMS
  • · Certificato ISO 27001 o rapporto di audit equivalente

Art. 21(2)(b)Gestione degli incidenti

NIS2 Art. 23 richiede che gli incidenti significativi vengano segnalati all'autorità di supervisione entro 24 ore. In pratica ciò è possibile solo se il fornitore notifica tempestivamente — motivo per cui l'obbligo di notifica dovrebbe essere scritto nel contratto.

  • Il fornitore dispone di un processo documentato di risposta agli incidenti con un piano IR testato
  • Il fornitore si impegna contrattualmente a notificare entro 24 ore dal rilevamento di un incidente significativo
  • Un referente per gli incidenti designato (liaison CSIRT) è nominato e raggiungibile 24 ore su 24

Documenti di prova suggeriti:

  • · Sintesi del piano di risposta agli incidenti
  • · Impegno scritto di notifica in 24 ore nel contratto

Art. 21(2)(d)Supply chain

NIS2 si estende ai fornitori dei fornitori — il cosiddetto rischio di quarta parte. È necessario sapere chi accede ai propri dati o sistemi, anche indirettamente tramite subappaltatori.

  • Il fornitore conosce i propri subappaltatori critici che hanno accesso a dati o sistemi
  • Il fornitore ha un processo per valutare la sicurezza dei propri subappaltatori almeno annualmente
  • I requisiti di sicurezza sono scritti nei propri contratti del fornitore — non solo un riferimento generale

Documenti di prova suggeriti:

  • · Registro dei subappaltatori o sintesi delle 4e parti critiche
  • · Descrizione del processo di valutazione delle 4e parti

Art. 21(2)(e)Approvvigionamento e sviluppo

Le vulnerabilità note e il software in fine vita sono tra i vettori di attacco più comuni. Il fornitore deve dimostrare una gestione attiva delle vulnerabilità.

  • Nessuna versione software in fine vita o fine supporto è in esecuzione nell'ambiente di produzione
  • Le vulnerabilità critiche (CVSS ≥ 9,0) vengono risolte entro 30 giorni dalla divulgazione pubblica
  • Le vulnerabilità elencate nella CISA KEV vengono remediate entro 48 ore dall'inserimento nella lista

Documenti di prova suggeriti:

  • · Descrizione del processo di gestione delle vulnerabilità
  • · Rapporto di patch più recente o snapshot dello stato delle vulnerabilità

Art. 21(2)(h)Crittografia

Certificati TLS scaduti, reindirizzamenti HTTPS mancanti e sicurezza e-mail mal configurata sono lacune tecniche che norppa.io controlla automaticamente ogni giorno.

  • Tutti i servizi pubblici utilizzano un certificato TLS valido e non scaduto — nessun certificato auto-firmato o scaduto
  • Il reindirizzamento HTTPS è applicato su tutte le proprietà web e gli endpoint API
  • La sicurezza e-mail è correttamente configurata: SPF (hardfail), DKIM (firmato) e DMARC (almeno policy di quarantena)

Documenti di prova suggeriti:

  • · Descrizione del processo di gestione dei certificati TLS
  • · Rapporto DMARC o stampa della configurazione DNS

Art. 21(2)(i)Controllo degli accessi

Le credenziali rubate sono il punto di partenza più comune degli attacchi informatici. Il fornitore deve dimostrare sia la prevenzione degli abusi di credenziali che un rilevamento rapido.

  • L'MFA è obbligatorio su tutti i sistemi critici e account amministratori — nessuna eccezione consentita
  • Il monitoraggio delle fughe di credenziali è in atto (fonti dark web, HIBP o servizio equivalente)
  • Le credenziali compromesse vengono cambiate immediatamente al momento del rilevamento e l'incidente è documentato

Documenti di prova suggeriti:

  • · Screenshot della configurazione di applicazione MFA o policy
  • · Fornitore di monitoraggio fughe credenziali o descrizione del processo

Cosa fare quando un fornitore non supera la checklist?

Una singola lacuna non significa automaticamente la fine del rapporto con il fornitore. Ciò che conta è rispondere sistematicamente e documentare le misure adottate.

1–2 lacune: documentare e accettare

Registrare le lacune nel registro dei fornitori, chiedere al fornitore di fornire un piano di rimedio entro 90 giorni e fare un follow-up alla prossima revisione annuale.

3–5 lacune o una lacuna in Art. 21(2)(b): monitoraggio rafforzato

Elevare il fornitore a un livello di rischio superiore. Richiedere un piano di rimedio scritto con scadenze. Valutare di limitare l'accesso ai sistemi più critici fino alla risoluzione delle lacune.

6+ lacune o una vulnerabilità tecnica critica: escalation

Escalare al CISO o alla direzione generale. Valutare l'utilizzo di rimedi contrattuali. Se il fornitore ha accesso a dati o sistemi di produzione, valutare la sospensione dell'accesso fino alla risoluzione della situazione.

Quali elementi possono essere automatizzati?

Sei elementi di questa checklist sono di natura tecnica — cambiano nel tempo senza che il fornitore necessariamente informi. La valutazione manuale annuale difficilmente soddisfa lo standard delle 'misure adeguate' di NIS2 per il monitoraggio continuo.

norppa.io controlla questi elementi automaticamente ogni giorno per tutti i fornitori:

  • Art. 21(2)(h): validità dei certificati TLS e reindirizzamenti HTTPS, configurazione SPF/DKIM/DMARC, DNSSEC
  • Art. 21(2)(i): fughe di credenziali da fonti dark web e database di violazioni HIBP
  • Art. 21(2)(e): monitoraggio delle liste CISA KEV, rilievi di vulnerabilità basati su punteggio CVE/EPSS
  • Art. 21(2)(b): liste di vittime di ransomware — allerta immediata se un fornitore compare in una lista

Gli elementi di livello processuale (Art. 21(2)(a), (b), (d)) sono coperti dal questionario di autovalutazione SAQ di norppa.io, che è possibile inviare ai fornitori direttamente dal portale.

Fonti ufficiali

Automatizzate i controlli tecnici con norppa.io

norppa.io controlla automaticamente gli elementi tecnici di questa checklist ogni giorno — per tutti i fornitori contemporaneamente. I rilievi vengono mappati automaticamente alle sottoclausole NIS2 Art. 21(2).

Vedi rapporto di esempioCompila SAQ

Guide correlate

NIS2 e il requisito della supply chain — cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.