norppa.io
Tutte le guide

Guida · 12 min di lettura

NIS2 e il requisito della supply chain — cosa significa nella pratica

La direttiva NIS2 ha ridefinito gli obblighi di cybersicurezza in tutta Europa. Uno dei requisiti più concreti riguarda la supply chain: è necessario gestire i rischi informatici dei propri fornitori, non solo i propri. Questo non significa un questionario inviato una volta all'anno. Il termine di recepimento (17 ottobre 2024) è scaduto e gli obblighi si applicano ora; gli Stati membri stanno recependo NIS2 nel diritto nazionale a ritmi diversi e la vigilanza è iniziata.

A chi si applica il requisito?

NIS2 divide i soggetti in due categorie in base al settore e alle dimensioni:

Soggetti essenziali

Energia, trasporti, mercati bancari e finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, TIC governative e spazio.

Soggetti importanti

Servizi postali e di corriere, gestione dei rifiuti, prodotti chimici, produzione alimentare, manifattura, servizi digitali e organizzazioni di ricerca.

La soglia dimensionale è generalmente di 50 dipendenti o 10 milioni di euro di fatturato annuo. Le aziende che superano questa soglia rientrano automaticamente nell'ambito di applicazione di NIS2.

È importante notare che anche le aziende più piccole possono essere soggette ai requisiti per via contrattuale — se si forniscono servizi critici a un cliente obbligato da NIS2, questi probabilmente imporrà requisiti di conformità nel contratto.

Fonte ufficiale: Direttiva NIS2 su EUR-Lex — si vedano in particolare i considerando 80–90 e l'art. 21.

Cosa richiede concretamente l'art. 21(2)(d)?

L'articolo 21(2)(d) impone misure per la sicurezza della supply chain e i rapporti con i fornitori. Sulla base delle linee guida dell'ENISA e delle interpretazioni delle autorità di supervisione nazionali, il requisito ha quattro elementi fondamentali:

1

Valutazione del rischio del fornitore prima della contrattazione

Prima di integrare un nuovo fornitore, è necessario valutarne la postura di cybersicurezza. Non si tratta solo di un questionario — implica una valutazione verificabile: il fornitore ha subito una violazione, presenta vulnerabilità note nella propria infrastruttura, i suoi certificati sono validi? La valutazione dovrebbe coprire l'intera impronta esposta su Internet del fornitore — non solo il dominio principale, ma anche gli indirizzi IP e l'infrastruttura esterni ad esso (ad es. gateway VPN, relay di posta, host dedicati).

2

Clausole contrattuali e obblighi di notifica

I contratti devono includere una clausola che obblighi i fornitori a segnalare gli incidenti di sicurezza senza ingiustificato ritardo. Senza questa clausola non è possibile adempiere al proprio obbligo di notifica iniziale entro 24 ore all'autorità di supervisione se un incidente del fornitore colpisce i propri servizi.

3

Monitoraggio continuo per tutta la durata del contratto

È su questo punto che la maggior parte delle organizzazioni è ancora indietro. Lo standard delle 'misure adeguate' di NIS2 richiede in pratica un monitoraggio continuo — non solo una verifica annuale. La situazione di un fornitore può cambiare radicalmente in un giorno: ransomware, una violazione, una vulnerabilità critica. Una valutazione annuale difficilmente rileva questi cambiamenti in tempo.

4

Prove documentate per l'audit

L'autorità di supervisione può richiedere prove di come si sono gestiti i rischi dei fornitori. «Abbiamo monitorato la situazione» non è sufficiente — è necessaria una documentazione con timestamp dei rilievi, delle misure adottate e dei rischi accettati.

Perché le valutazioni annuali da sole non bastano

Un audit tradizionale dei fornitori — un questionario una volta all'anno, forse un certificato — soddisfa l'intenzione di base di NIS2, ma non rispetta l'obbligo di monitoraggio continuo. Si considerino questi scenari reali:

!

Il vostro fornitore viene colpito da ransomware a gennaio. La revisione annuale era stata completata a marzo. Lo si scopre a giugno quando un progetto subisce un ritardo.

!

Le credenziali dei dipendenti del vostro fornitore vengono divulgate su mercati del dark web. Non se ne sa nulla finché un attaccante non le utilizza per accedere a sistemi cui il fornitore ha accesso.

!

Il certificato TLS del vostro fornitore scade e il servizio smette di funzionare. Lo si scopre attraverso reclami dei clienti.

Tutti e tre sono scenari riconoscibili — modalità tipiche in cui il rischio del fornitore si concretizza. Il monitoraggio continuo significa rilevare questi cambiamenti in giorni, non mesi.

Classificazione dei fornitori: come stabilire le priorità

Non tutti i fornitori devono essere monitorati con la stessa intensità. La classificazione basata sul rischio è pratica e coerente con lo spirito della direttiva:

Livello 1 — Fornitori critici

Accesso diretto ai sistemi, ai dati o agli ambienti di produzione. Livello di monitoraggio più elevato, SAQ completo, monitoraggio tecnico continuo. Esempi: fornitori cloud, fornitori ERP, servizi di sicurezza gestiti.

Livello 2 — Fornitori importanti

Ruolo significativo nelle operazioni ma accesso diretto limitato ai sistemi critici. Monitoraggio tecnico regolare, SAQ semplificato. Esempi: software HR, strumenti di marketing, partner logistici.

Livello 3 — Fornitori a basso rischio

Accesso diretto limitato o nullo ai dati critici. La revisione annuale è sufficiente. Esempi: forniture per ufficio, servizi di pulizia, catering.

Rischio di quarta parte — lo strato spesso trascurato

NIS2 non si limita ai fornitori diretti. I propri fornitori dei fornitori possono rappresentare un rischio. Se il fornitore cloud utilizza un subappaltatore per i servizi del data center e quel subappaltatore subisce un attacco, l'impatto può propagarsi a tutta la catena.

Per questo la valutazione dei fornitori dovrebbe includere la domanda: il fornitore conosce i propri subappaltatori critici e li valuta a loro volta?

Art. 23: notifica degli incidenti da parte dei fornitori

Se un incidente di sicurezza di un fornitore causa una perturbazione significativa dei propri servizi, sussiste l'obbligo di notifica iniziale all'autorità di supervisione nazionale entro 24 ore, seguita da una notifica completa entro 72 ore e da un rapporto finale entro un mese.

Il problema pratico: per essere informati in tempo di un incidente del fornitore, è necessaria una visibilità in tempo reale sul suo stato. I fornitori non sempre segnalano gli incidenti in modo proattivo — o lo fanno troppo tardi. Il monitoraggio continuo colma questo divario.

Linee guida ENISA: Risorse di implementazione NIS2 dell'ENISA — linee guida sulla notifica degli incidenti e sulle misure di sicurezza.

Cosa cercano le autorità di supervisione?

Le autorità di supervisione nazionali valutano la conformità tramite prove pratiche, non dichiarazioni. I documenti utili in un audit includono:

  • Registro dei fornitori con classificazione per livello e rischio
  • Risposte SAQ con date
  • Registri di monitoraggio tecnico — cosa è stato verificato, quando, cosa è stato rilevato
  • Documentazione dei rischi accettati — una decisione scritta per i rischi che sono stati identificati e accettati
  • Storico delle risposte — come si è agito sui rilievi e entro quando

Questi documenti devono poter essere prodotti su richiesta. La documentazione raccolta retroattivamente dopo un'ispezione è raramente sufficiente nella pratica.

Come aiuta norppa.io

norppa.io è progettato per affrontare esattamente queste sfide. Ogni dominio fornitore monitorato viene verificato su oltre 100 punti di controllo al giorno, gli eventi critici ogni sei ore — automaticamente, senza sforzo manuale. I rilievi vengono mappati automaticamente agli articoli NIS2, il rapporto PDF mensile è in formato adatto alla direzione, e la cronologia completa può essere esportata come CSV per i revisori.

Il questionario di autovalutazione (SAQ) viene inviato ai fornitori direttamente da norppa.io, e le risposte si combinano con il profilo di rischio tecnico — una visione unificata dei livelli tecnico e di processo.

Vuole vedere come si presenta il rapporto nella pratica?

norppa.io automatizza il monitoraggio tecnico e produce prove di audit NIS2. Consulti il rapporto di esempio — formato reale, dati fittizi.

Vedi rapporto di esempio

Guide correlate

NIS2 Art. 21(2) — checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.