Guida NIS2 · 8 min
Clausole contrattuali per i fornitori NIS2: cosa pretendere dai tuoi fornitori
NIS2 ti rende responsabile del rischio cyber portato dai tuoi fornitori (articolo 21, paragrafo 2, lettera d), e questa responsabilità non puoi esternalizzarla. Il contratto è il luogo in cui l'obbligo diventa reale: è ciò che ti consente di chiedere prove, di essere informato degli incidenti in tempo per rispettare le tue scadenze di notifica, e di vincolare un fornitore a una base di sicurezza. Questa è una checklist pratica delle clausole che contano: perché esiste ciascuna e come renderle azionabili anziché decorative.
Punti chiave
- • L'obbligo sulla catena di fornitura è tuo; il contratto è il modo per trasferirlo lungo la catena.
- • La clausola sui tempi di notifica protegge le tue scadenze ai sensi dell'articolo 23.
- • Una clausola firmata non è una garanzia: abbinala a un modo per verificare il fornitore in continuo.
Perché clausole contrattuali, non solo un questionario
Un questionario cattura le dichiarazioni di un fornitore in un solo giorno. Un contratto crea obblighi su cui puoi agire: una base che deve rispettare, il dovere di avvisarti quando qualcosa si rompe, e il diritto di verificare. L'articolo 21, paragrafo 2, lettera d di NIS2 si aspetta che tu gestisca la sicurezza della relazione con i tuoi fornitori diretti, e l'articolo 23 può rendere l'incidente di un fornitore la tua scadenza di notifica. Nessuno dei due funziona sulla sola buona fede; entrambi vanno messi per iscritto.
Fonte ufficiale: Direttiva NIS2 su EUR-Lex — articolo 21, paragrafo 2, lettera d (misure sulla catena) e articolo 23 (notifica degli incidenti).
Le clausole da includere
Adatta la formulazione al tuo settore e al tuo legale, ma copri ciascuna di queste. Corrispondono direttamente alle misure attese da NIS2 e alle scadenze che impone.
Base di sicurezza mappata sulle misure NIS2
Pretendi che il fornitore mantenga le misure dell'articolo 21, paragrafo 2 rilevanti per il servizio: gestione del rischio, controllo degli accessi, MFA, cifratura, gestione delle vulnerabilità e patching, e backup testati. Richiama le misure esplicitamente perché lo standard sia oggettivo, non una vaga 'buona prassi del settore'.
Finestra di notifica degli incidenti
Fissa una scadenza ferma (di norma 24 ore) entro cui il fornitore deve notificarti un incidente di sicurezza che colpisce il tuo servizio, un contatto nominato reperibile fuori orario, e i dati minimi che la notifica deve contenere. È ciò che ti consente di rispettare il tuo preallarme di 24 ore e la notifica di 72 ore ai sensi dell'articolo 23.
Diritto di richiedere prove e di auditare
Riservati il diritto di chiedere prove dei controlli (certificati, esiti dei test, output di scansione) e, per i fornitori a rischio più elevato, di auditare o commissionare una valutazione indipendente. Senza di esso, 'siamo sicuri' è inverificabile.
Trasferimento ai subappaltatori (quarta parte)
Pretendi che il fornitore imponga obblighi equivalenti di sicurezza e notifica ai propri subappaltatori, e che dichiari quelli che trattano in modo sostanziale i tuoi dati o sostengono il servizio. Il tuo rischio non si ferma al fornitore diretto.
Impegni su vulnerabilità e patching
Definisci i tempi attesi per rimediare alle vulnerabilità attivamente sfruttate e critiche sui sistemi che ti servono, e l'obbligo di informarti se una vulnerabilità rilevante non può essere corretta in tempo.
Localizzazione dei dati e trasparenza dei sub-responsabili
Pretendi la divulgazione di dove i tuoi dati sono trattati e conservati e quali sub-responsabili sono impiegati, con preavviso prima di modifiche sostanziali. Questo sostiene sia la tua visione della catena NIS2 sia i tuoi obblighi GDPR.
Cooperazione, rimedio e diritto di intervento
Obbliga il fornitore a cooperare alla tua risposta agli incidenti e con qualsiasi autorità, a rimediare ai rilievi entro i tempi concordati, e riservati rimedi (piano di rimedio, escalation, in ultima istanza risoluzione) in caso contrario.
Sopravvivenza e restituzione dei dati alla cessazione
Assicura che riservatezza, obblighi di prova e restituzione o cancellazione sicura dei tuoi dati sopravvivano alla risoluzione, così che un fornitore in uscita non diventi un'esposizione non monitorata.
Scopri come si posizionano davvero i tuoi fornitori
7 giorni gratuiti · senza carta di credito · disdici quando vuoi
Firmalo, poi verificalo in continuo
Una clausola contrattuale fissa l'obbligo; non ti dice se il fornitore lo sta rispettando oggi. Il divario tra la firma e la realtà è dove avvengono gli incidenti della catena di fornitura. Abbina le clausole a un monitoraggio esterno e continuo della postura di ciascun fornitore così che, quando qualcosa devia (un certificato in scadenza, credenziali trapelate, un servizio appena esposto), tu lo veda e possa invocare la clausola, anziché apprenderlo dalla notifica dell'incidente.
Errori comuni
- ✕Uno standard vago di 'misure di sicurezza adeguate' senza nulla di oggettivo da far rispettare.
- ✕Nessuna scadenza di notifica, così apprendi dell'incidente di un fornitore quando il tuo orologio è già partito.
- ✕Clausole che si fermano al fornitore diretto e ignorano i subappaltatori.
- ✕Firmare una volta e non verificare mai, trattando il contratto come la fine della due diligence anziché l'inizio.
Guarda un monitoraggio fornitori di livello NIS2
Un report fornitore di esempio (rilievi, mappatura NIS2 ed evidenze) in due minuti.
7 giorni gratuiti · senza carta di credito · disdici quando vuoi
Guide correlate
Come conformarsi a NIS2: una roadmap passo dopo passo
I passi verso la conformità NIS2 in ordine: confermare l'ambito, registrarsi, responsabilità della dirigenza (art. 20), le misure dell'art. 21(2), sicurezza della supply chain, notifica degli incidenti (art. 23) e garanzia continua e dimostrata.
Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali
Stabilite se NIS2 vi riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain vi coinvolge anche senza designazione.
NIS2 per i fornitori: non siete designati, ma i vostri clienti sì
La maggior parte delle aziende non viene mai designata ai sensi di NIS2, ma molte devono comunque conformarsi. Come l'obbligo sulla catena di approvvigionamento di un cliente soggetto (articolo 21, paragrafo 2, lettera d) ricade su di voi, cosa chiederà e come rispondere in modo credibile.
NIS2 e il requisito della supply chain: cosa significa nella pratica
NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.
Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato
Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.
NIS2 Art. 21(2): checklist di sicurezza per fornitori
Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.
Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito
Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.
Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate
Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il vostro obbligo.
NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici
Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.
ISO 27001 e NIS2: cosa copre già il vostro SGSI, e le lacune che restano
Se avete la ISO 27001: cosa si riporta su NIS2 e cosa no (notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua) e come colmare la lacuna.
Sanzioni e multe NIS2: quanto, chi è responsabile e come evitarle
Cosa sono le sanzioni NIS2: i massimali dell'articolo 34 (10 M€ / 2 % per i soggetti essenziali, 7 M€ / 1,4 % per quelli importanti), la responsabilità personale della dirigenza (art. 20, art. 32), le misure non pecuniarie e come evitarle.
NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te
In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.
GDPR vs NIS2: sovrapposizioni, differenze e quando un incidente attiva entrambi
In cosa differiscono e si sovrappongono GDPR e NIS2, quando un incidente attiva entrambi (GDPR art. 33 72 h all'autorità di controllo vs NIS2 art. 23 24 h/72 h/un mese al CSIRT), la cooperazione dell'art. 35 e il divieto di doppia sanzione, e cosa significano entrambi per la due diligence sui fornitori.
Il Cyber Resilience Act dell'UE (CRA): ambito, calendario e cosa significa per la vostra supply chain
Cosa richiede il CRA, le sue date scaglionate (in vigore 2024, notifica set 2026, piena conformità dic 2027), chi rientra nell'ambito e perché il SaaS puro spesso no, come integra NIS2 e cosa significa per gli acquisti e la due diligence sui fornitori.
Il regolamento UE sull'IA: livelli di rischio, calendario e cosa devono fare i deployer (articolo 26)
Cosa richiede il regolamento UE sull'IA: i livelli di rischio, le date scaglionate (in vigore 2024, vietato feb 2025, GPAI ago 2025, alto rischio ago 2026), gli obblighi del deployer dell'art. 26, come si combina con NIS2 e il GDPR, e cosa significa per l'acquisto di IA.
Stato di recepimento di NIS2: in quali Paesi UE è in vigore
Quali dei 27 Stati membri UE hanno recepito NIS2 nella legge nazionale e quali la stanno ancora completando, e perché i divari raggiungono comunque la tua catena di fornitura.
Ultima revisione: 19 giugno 2026
Questa guida fornisce informazioni generali sul diritto dell'UE, non consulenza legale. NIS2 entra in vigore tramite la legge di recepimento nazionale di ciascuno Stato membro dell'UE, che può differire nei dettagli. Verifica gli obblighi che ti riguardano con la tua autorità competente o un consulente legale.