Sicurezza della supply chain e compliance NIS2

Analisi dei paradigmi di valutazione, accountability e gestione delle asimmetrie contrattuali nel D.Lgs 138/2024

1. L’evoluzione della difesa cibernetica oltre il perimetro aziendale

L'entrata in vigore della Direttiva (UE) 2022/2555, nota come NIS2, e il suo successivo recepimento nell'ordinamento italiano tramite il Decreto Legislativo 4 settembre 2024, n. 138, segna un punto di svolta fondamentale nella dottrina giuridica e operativa della sicurezza delle informazioni. Se la precedente direttiva NIS si concentrava prevalentemente sulla resilienza delle infrastrutture critiche intese come entità singole, la NIS2 introduce una visione olistica e interconnessa del rischio, riconoscendo nella supply chain (catena di approvvigionamento) il vettore di attacco più insidioso e pervasivo dell’ultimo decennio. L'interconnessione digitale, necessaria per l’efficienza operativa nell’Industria digitale, ha creato una superficie di attacco estesa che non termina ai confini fisici o logici dell’organizzazione, ma si ramifica profondamente nelle infrastrutture dei fornitori di servizi gestiti (MSP), dei cloud provider e dei vendor software.

Il presente articolo si propone di analizzare in profondità gli obblighi normativi scaturiti da questo nuovo assetto legislativo, con un focus specifico sulla sicurezza della supply chain. L’analisi non si limita alla mera esposizione dei requisiti di conformità, ma esplora le implicazioni strategiche per la governance aziendale, la necessità di trasformare i processi di acquisto in meccanismi di sicurezza attiva e le complesse dinamiche negoziali che emergono quando le entità soggette alla normativa si interfacciano con fornitori dominanti (Hyperscalers).

Attraverso l’esame incrociato del testo del D.Lgs. 138/2024, delle linee guida dell’Agenzia per la Cybersicurezza Nazionale (ACN) e degli standard internazionali ISO 9001 e ISO 27001, l’articolo cerca di chiarire che la documentazione dei criteri di scelta del fornitore non è più un atto amministrativo, ma una misura di accountability essenziale per proteggere il management da responsabilità civili e amministrative. Inoltre, vengono affrontate le criticità operative legate alla valutazione dinamica del rischio, proponendo metodologie per il monitoraggio continuo che superino i limiti delle verifiche statiche una tantum. Infine, il rapporto delinea strategie concrete per gestire i rapporti di forza sfavorevoli, suggerendo l’adozione di controlli compensativi e architetture resilienti per mitigare i rischi derivanti da fornitori non auditabili.

2. Il D.Lgs 138/2024 e la trasposizione della NIS2

2.1 Genesi e obiettivi del Decreto Legislativo 138/2024

Il Decreto Legislativo n. 138 del 4 settembre 2024 rappresenta l’atto formale di recepimento della Direttiva (UE) 2022/2555 nell’ordinamento italiano. La norma nasce dalla consapevolezza che la frammentazione normativa precedente e la scarsa attenzione alla sicurezza della catena di approvvigionamento avevano lasciato esposti settori vitali dell’economia e della società europea. L’obiettivo primario è garantire un livello comune elevato di cibersicurezza in tutta l’Unione, armonizzando non solo i requisiti tecnici, ma anche i regimi sanzionatori e le responsabilità di governance.

Il decreto amplia significativamente il perimetro di applicazione rispetto alla normativa precedente, distinguendo tra soggetti essenziali e importanti in base alla criticità del settore e alle dimensioni dell’organizzazione. Tuttavia, indipendentemente dalla classificazione, l’obbligo di gestire il rischio di terze parti si applica trasversalmente, riflettendo il principio secondo cui la sicurezza di un ecosistema dipende dall’anello più debole della catena.

2.2 L’articolo 24 e la sicurezza della supply chain

Il cuore della disciplina sulla supply chain è contenuto nell’articolo 24 del D.Lgs 138/2024 (che recepisce l’articolo 21 della NIS2). La norma impone ai soggetti regolati di adottare misure tecniche, operative e organizzative “adeguate e proporzionate” per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete. Tra queste misure, il legislatore italiano ha esplicitamente inserito la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.

Questa formulazione ha implicazioni profonde. Non si richiede semplicemente di avere dei fornitori sicuri, ma di gestire attivamente la relazione di sicurezza. L’obbligo si estende alla valutazione della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei fornitori, incluse le loro procedure di sviluppo sicuro. Ciò significa che un’azienda non può limitarsi a inserire clausole contrattuali generiche; deve entrare nel merito tecnico di come il fornitore sviluppa il software, gestisce le vulnerabilità e protegge i propri sistemi.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha il compito di definire, tramite atti amministrativi e linee guida, le specifiche tecniche e metodologiche per l’attuazione di questi obblighi, creando un quadro normativo dinamico che può evolvere con il mutare delle minacce.

2.3 Responsabilità degli organi di amministrazione e accountability

Una delle innovazioni più dirompenti del D.Lgs. 138/2024 è l’attribuzione di responsabilità diretta agli organi di amministrazione e direzione (Consiglio di Amministrazione, Amministratori Delegati, Direttori Generali). L’articolo 23 del decreto stabilisce che tali organi non solo devono approvare le misure di gestione del rischio, ma devono anche sovraintendere alla loro attuazione e rispondere in caso di inadempimento.

Questo principio di accountability trasforma la sicurezza della supply chain da problema tecnico a questione di governance aziendale. In caso di incidente causato da un fornitore, il management non può più invocare l’ignoranza tecnica o la delega operativa come esimente. La mancata verifica dell’adeguatezza di un fornitore critico può configurare una culpa in vigilando, esponendo l’ente a sanzioni amministrative pecuniarie che possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo globale per i soggetti essenziali, e 7 milioni di euro o l’1,4% per i soggetti importanti.

Inoltre, la norma prevede che i membri degli organi di gestione debbano seguire una formazione specifica in materia di cybersecurity, per acquisire le competenze necessarie a valutare i rischi e comprendere l’impatto delle scelte di outsourcing sulla postura di sicurezza dell’organizzazione. Questo requisito formativo è propedeutico alla capacità di esercitare un controllo effettivo sulla supply chain.

2.4 Il Ruolo dell'ACN e la cooperazione nazionale

L’ACN assume il ruolo di Autorità nazionale competente NIS e punto di contatto unico. Il decreto conferisce all’Agenzia poteri ispettivi e sanzionatori, ma anche un ruolo di supporto e guida. L’ACN è incaricata di facilitare la cooperazione tra i soggetti NIS, il CSIRT Italia (Computer Security Incident Response Team) e le autorità di settore.

Nel contesto della supply chain, l’ACN promuove la condivisione delle informazioni sulle minacce e coordina la risposta agli incidenti che coinvolgono più operatori o fornitori trasversali. Le linee guida dell’ACN sulla gestione degli incidenti e sulla notifica diventano quindi documenti vincolanti per interpretare correttamente gli obblighi di tempestività e trasparenza verso l’autorità.

3. La valutazione iniziale dei fornitori: metodologie e criteri di selezione

La conformità alla NIS2 richiede che la sicurezza sia integrata nel processo di approvvigionamento fin dalle prime fasi. La valutazione iniziale del fornitore (Vendor Risk Assessment) non è più un’opzione, ma un obbligo normativo codificato.

3.1 Due diligence pre-contrattuale

La fase di selezione del fornitore deve essere basata su criteri oggettivi e documentati. L’ente deve condurre una due diligence che vada oltre la verifica della stabilità finanziaria, focalizzandosi sulla maturità cibernetica del potenziale partner.

I criteri di valutazione devono includere:

1. Analisi delle certificazioni: verifica del possesso di certificazioni rilevanti come ISO/IEC 27001, ISO 22301 (Business Continuity), CSA STAR (per il cloud) o SOC 2 Type II. Tuttavia, la NIS2 avverte che le certificazioni non devono essere considerate un lasciapassare automatico, ma solo un indicatore di base.
2. Valutazione dei processi di sviluppo: per i fornitori di software e servizi digitali, è essenziale verificare l’adozione di pratiche di Secure Software Development Life Cycle (S-SDLC), la gestione delle vulnerabilità e la frequenza dei test di sicurezza (Penetration Test).
3. Resilienza e continuità operativa: valutazione dei piani di Disaster Recovery e Business Continuity del fornitore. È fondamentale capire se il fornitore ha ridondanze adeguate e se ha testato i propri piani di ripristino contro scenari di attacco ransomware.
4. Gestione della propria supply chain: verifica di come il fornitore gestisce i propri sub-fornitori (rischio di quarta parte). La NIS2 richiede visibilità sulla catena di fornitura estesa, specialmente per i servizi critici.

3.2 La definizione dei requisiti di sicurezza nei bandi di gara

Per garantire l’accountability, i criteri di sicurezza devono essere esplicitati nei documenti di gara (RFP/RFI). L’ente deve definire requisiti minimi di sicurezza (es. autenticazione a più fattori obbligatoria, crittografia dei dati a riposo, tempi massimi di patching) che agiscano come criteri di esclusione o premialità. Documentare che la selezione è avvenuta premiando il fornitore con le migliori garanzie di sicurezza costituisce una prova fondamentale della diligenza del management in caso di audit o incidente.

3.3 Risk tiering e segmentazione dei fornitori

Non tutti i fornitori presentano lo stesso livello di rischio. Per ottimizzare le risorse e rispettare il principio di proporzionalità sancito dalla NIS2, è necessario segmentare i fornitori in base alla criticità.

• Tier 1 (critici): fornitori che gestiscono processi essenziali o dati sensibili, la cui interruzione bloccherebbe l’operatività dell’ente. Per questi è richiesta una due diligence approfondita, audit in loco e monitoraggio continuo.
• Tier 2 (importanti): fornitori rilevanti ma con alternative disponibili o impatto limitato nel tempo. Verifica documentale e questionari di autovalutazione.
• Tier 3 (commodity): fornitori di servizi non critici. Clausole contrattuali standard e verifiche a campione.

4. La valutazione dinamica e il monitoraggio continuo

Il D.Lgs. 138/2024 introduce il concetto che la sicurezza non è uno stato statico, ma un processo dinamico. Una valutazione positiva al momento della firma del contratto non garantisce che il fornitore rimanga sicuro sei mesi dopo. Pertanto, la normativa impone un passaggio dalla validazione periodica al monitoraggio continuo.

4.1 Limiti della valutazione “point-in-time”

I metodi tradizionali, come i questionari annuali (es. SIG, CAIQ), offrono solo un’istantanea della postura di sicurezza del fornitore in un dato momento. Questi strumenti sono inefficaci nel rilevare un degrado improvviso della sicurezza causato, ad esempio, da una nuova vulnerabilità zero-day non patchata o da un cambiamento nel management del fornitore.

4.2 Strumenti e metodologie per il monitoraggio dinamico

Per conformarsi alla richiesta di misure adeguate allo stato dell’arte, le organizzazioni devono adottare strumenti di Cyber Security Rating e Threat Intelligence applicata alla supply chain. Questi strumenti permettono di effettuare:

• Scansione passiva non intrusiva: monitorare costantemente il perimetro esposto su internet dei fornitori per rilevare porte aperte, certificati scaduti, configurazioni email insicure (SPF/DKIM/DMARC) e presenza in liste di botnet.
• Monitoraggio del dark web: rilevare se credenziali di dipendenti del fornitore o dati riservati sono in vendita sui mercati criminali, segnale precoce di una possibile violazione.
• Alerting in tempo reale: ricevere notifiche immediate se il punteggio di sicurezza di un fornitore critico scende sotto una soglia predefinita, attivando processi di incident response preventivi.

4.3 Gestione del ciclo di vita del fornitore (TPRM Lifecycle)

La valutazione dinamica si inserisce in un ciclo di vita strutturato del Third Party Risk Management (TPRM), che comprende:

1. Onboarding: valutazione iniziale e integrazione tecnica sicura.
2. Ongoing Monitoring: sorveglianza continua tramite KPI di sicurezza e rating automatici.
3. Re-assessment: audit periodici o scatenati da eventi (es. incidente di sicurezza, cambio societario del fornitore).
4. Remediation: richiesta formale al fornitore di correggere le vulnerabilità rilevate, con scadenze precise.
5. Offboarding: fase critica spesso trascurata. Al termine del contratto, è necessario garantire la revoca di tutti gli accessi logici e fisici, la restituzione o cancellazione sicura dei dati e la distruzione di eventuali token o smart card.

5. Accountability e documentazione: integrazione con ISO 9001 e ISO 27001

Il D.Lgs 138/2024 pone un’enfasi estrema sulla documentazione come prova di conformità. In questo contesto, gli standard ISO offrono un framework metodologico robusto per strutturare e documentare i processi di controllo, facilitando la dimostrazione dell’accountability richiesta dalla legge.

5.1 ISO 9001:2015 – La qualità come precursore della sicurezza

Sebbene la ISO 9001 sia uno standard di gestione della qualità, la clausola 8.4 (Controllo dei processi, prodotti e servizi forniti dall'esterno) è perfettamente allineata con gli obiettivi della NIS2.

• Criteri di selezione documentati: la norma richiede esplicitamente che l’organizzazione determini e applichi criteri per la valutazione, la selezione, il monitoraggio delle prestazioni e la ri-valutazione dei fornitori esterni. Documentare questi criteri in una procedura operativa soddisfa direttamente l’obbligo di accountability della NIS2.
• Informazioni ai fornitori: la ISO 9001 obbliga a comunicare chiaramente i requisiti al fornitore prima dell’acquisto. In ottica NIS2, questo significa includere requisiti di sicurezza cibernetica (es. standard crittografici, SLA di disponibilità) negli ordini di acquisto o nei contratti, trasformando la sicurezza in un parametro di qualità contrattuale.
• Verifica dell’impatto: la norma chiede di assicurare che i processi esterni non influenzino negativamente la capacità dell’organizzazione di fornire prodotti conformi. Sotto la NIS2, questo si traduce nell’assicurare che una vulnerabilità del fornitore non comprometta la continuità del servizio essenziale dell'ente.

5.2 ISO/IEC 27001:2022 – I controlli specifici per la supply chain

La revisione 2022 della ISO 27001 ha introdotto e riorganizzato i controlli dell’allegato A, fornendo una guida operativa dettagliata per la sicurezza delle terze parti, che copre quasi interamente i requisiti dell’Art. 21 NIS2.

5.2.1 Controllo 5.19: sicurezza delle informazioni nelle relazioni con i fornitori

Questo controllo organizzativo impone di definire e documentare una politica per gestire i rischi associati all’accesso dei fornitori agli asset dell’organizzazione. Per la NIS2, questo implica la creazione di una Supply Chain Security Policy che definisca le regole di ingaggio, i requisiti minimi e le modalità di verifica per tutte le terze parti.

5.2.2 Controllo 5.20: affrontare la sicurezza negli accordi con i fornitori

Questo controllo è cruciale per la conformità legale. Richiede che i requisiti di sicurezza siano formalizzati in accordi contrattuali. L’ente deve documentare di aver inserito clausole riguardanti:

• Il diritto di audit e ispezione.
• Gli obblighi di notifica tempestiva degli incidenti (allineati alle 24 ore previste dalla NIS2).
• Gli standard minimi di sicurezza tecnica.
• Le responsabilità in caso di violazione dei dati (Data Breach).

5.2.3 Controllo 5.21: gestione della sicurezza nella catena di fornitura ICT

Questo controllo risponde direttamente all’enfasi della NIS2 sulla catena di fornitura tecnologica. Richiede di definire requisiti per i prodotti e servizi ICT, come la provenienza dei componenti (per mitigare rischi geopolitici), la gestione delle patch di sicurezza e la sicurezza del ciclo di sviluppo software. Documentare l’analisi della distinta base software (SBOM) è una pratica emergente raccomandata per soddisfare questo controllo.

5.2.4 Controllo 5.22: monitoraggio, revisione e gestione del cambiamento

Corrisponde all’obbligo NIS2 di valutazione dinamica. Richiede di monitorare regolarmente le prestazioni di sicurezza del fornitore e di gestire i cambiamenti nei servizi forniti. La documentazione dei report di revisione periodica e delle azioni correttive intraprese costituisce prova di monitoraggio attivo da esibire all’autorità di controllo.

5.2.5 Controllo 5.23: sicurezza nell’uso dei servizi cloud

Dato che gran parte della supply chain moderna è basata sul cloud, questo controllo è vitale. Richiede di definire e gestire i rischi specifici del cloud (es. multi-tenancy, isolamento dei dati) e di stabilire procedure per l’acquisizione, l’uso, la gestione e l’uscita dai servizi cloud.

5.3 Il sistema di gestione integrato come strumento di compliance

L’integrazione dei requisiti NIS2 all’interno di un Sistema di Gestione Integrato (ISO 9001 + ISO 27001) permette di evitare duplicazioni e di sfruttare processi già rodati. Utilizzare il processo di qualifica fornitori della Qualità, arricchito con le checklist della Sicurezza delle Informazioni, garantisce che ogni nuovo fornitore venga valutato sotto entrambi i profili prima dell’emissione dell’ordine, creando un meccanismo di controllo preventivo e documentato.

6. Problematiche di forza contrattuale: gestire i giganti tech e i monopoli

Uno dei paradossi più complessi nell’applicazione della NIS2 è il disequilibrio di potere negoziale. Molti soggetti, anche classificati come Essenziali, si trovano a dover accettare contratti standard “take-it-or-leave-it” da parte di grandi fornitori tecnologici globali (Hyperscalers come Amazon AWS, Microsoft Azure, Google Cloud) o fornitori verticali monopolistici. In questi casi, l’ente non ha la forza contrattuale per imporre le proprie clausole di sicurezza o il diritto di audit fisico.

6.1 Il conflitto tra obbligo normativo e realtà di mercato

L’articolo 24 del D.Lgs. 138/2024 impone all’ente di garantire la sicurezza della supply chain, ma i contratti standard dei grandi provider spesso limitano la responsabilità del fornitore e offrono termini di servizio uniformi a livello globale che possono non allinearsi perfettamente con le specificità locali della NIS2. Inoltre, normative extra-UE come il CLOUD Act statunitense possono creare conflitti sulla sovranità dei dati e sull’accesso da parte di autorità straniere.

6.2 Strategie di gestione e mitigazione del rischio

Quando la negoziazione diretta delle clausole contrattuali è impossibile, l’ente deve adottare un approccio basato sulla mitigazione del rischio tramite controlli tecnici e architetturali, documentando che ha fatto “tutto il possibile” per proteggere i dati nonostante i limiti contrattuali.

6.2.1 Adozione di controlli compensativi

Se il fornitore non accetta clausole di ispezione o garanzie specifiche, il cliente deve implementare misure interne per ridurre il rischio residuo:

• Crittografia gestita dal cliente (BYOK/HYOK): utilizzare chiavi di cifratura gestite esclusivamente dal cliente (Bring Your Own Key o Hold Your Own Key). In questo modo, anche se l’infrastruttura del fornitore viene compromessa o se un’autorità estera richiede l’accesso ai dati fisici, i dati rimangono inintelligibili senza la chiave in possesso del cliente.
• Backup esterno e immutabile: non affidarsi esclusivamente ai servizi di backup integrati nella piattaforma del fornitore dominante. Mantenere una copia dei dati immutabile (WORM - Write Once Read Many) su un’infrastruttura diversa o on-premise per garantire la resilienza contro attacchi ransomware che potrebbero colpire il cloud provider o il proprio account amministrativo.
• Monitoraggio avanzato indipendente: implementare strumenti di monitoraggio (CASB - Cloud Access Security Broker, SIEM) che analizzino i log delle attività sul cloud provider in modo indipendente, per rilevare anomalie o configurazioni errate senza dipendere esclusivamente dagli alert del fornitore.

6.2.2 Strategie architetturali anti-lock-in

La normativa NIS2 e le raccomandazioni ENISA sottolineano l’importanza di evitare il vendor lock-in (dipendenza tecnologica vincolante) come misura di resilienza.

• Approccio multi-cloud o ibrido: distribuire i carichi di lavoro critici su più provider o mantenere una componente on-premise per i servizi vitali. Sebbene costoso e complesso, questo approccio garantisce che il fallimento o la compromissione di un fornitore non paralizzi l’intera organizzazione.
• Uso di standard aperti e containerizzazione: sviluppare applicazioni utilizzando tecnologie portabili (es. Kubernetes, Docker) e standard aperti, per facilitare la migrazione dei carichi di lavoro da un cloud all’altro in caso di necessità.
• Exit Strategy documentata: l’ente deve avere un piano di uscita formale (richiesto anche dalla ISO 27001:2022, controllo 5.23) che dettagli come i dati verranno estratti, in quale formato e in quali tempi, in caso di interruzione del rapporto. La mancanza di un piano di uscita è una vulnerabilità critica sanzionabile.

6.2.3 Leva sulle valutazioni coordinate UE

La NIS2 introduce il meccanismo delle Valutazioni Coordinate dei Rischi per la Sicurezza delle Catene di Approvvigionamento Critiche (art. 22 NIS2). La Commissione UE, con il supporto di ENISA, esegue valutazioni di rischio su specifici servizi ICT critici (come il 5G e il Cloud). Il cliente piccolo può e deve utilizzare i risultati pubblici di queste valutazioni coordinate per giustificare la propria analisi del rischio. Inoltre, l’azione regolatoria concertata a livello UE costringe i grandi player ad elevare i propri standard di sicurezza di base, creando un beneficio a cascata per tutti i clienti. Documentare che si sta utilizzando un fornitore che ha superato o si è adeguato a tali valutazioni europee è una forte misura di accountability.

6.2.4 Responsabilità condivisa (shared responsibility model)

Nei contratti con i grandi provider, la sicurezza è una responsabilità condivisa. L’ente deve mappare con precisione millimetrica dove finisce la responsabilità del fornitore (es. sicurezza fisica, host OS) e dove inizia la propria (es. gestione accessi IAM, cifratura dati, configurazione firewall). Molti incidenti su piattaforme come AWS o Azure non sono dovuti a fallimenti del provider, ma a errori di configurazione del cliente. Dimostrare di aver gestito in modo eccellente la propria porzione di responsabilità è la miglior difesa legale in caso di incidente su una piattaforma terza.

7. Conclusioni e criteri ottimali per la selezione dei fornitori

Alla luce dell’analisi normativa e tecnica svolta, è evidente che la selezione dei fornitori nell’era della NIS2 non può più essere guidata esclusivamente da criteri economici o funzionali. La sicurezza diventa un prerequisito di accesso al mercato per i fornitori della pubblica amministrazione e delle aziende critiche.

7.1 Sintesi dei criteri ottimali di selezione

Per garantire la conformità al D.Lgs. 138/2024 e costruire una supply chain resiliente, si propone la seguente matrice di criteri ottimali, da integrare nelle procedure di procurement.

7.2 Raccomandazioni finali

1. Integrazione processuale: non creare un processo parallelo per la sicurezza. Integrare i controlli NIS2 nel flusso standard di qualifica fornitori gestito dall’Ufficio Acquisti, rendendo la sicurezza un parametro bloccante.
2. Approccio basato sul rischio: concentrare le risorse di audit e monitoraggio sui fornitori Tier 1 (Critici). Per i fornitori commodity, automatizzare il controllo tramite rating passivi.
3. Cultura della collaborazione: passare da un approccio punitivo a uno collaborativo. Aiutare i fornitori strategici a migliorare la loro postura di sicurezza aumenta la resilienza dell’intero ecosistema. La NIS2 incoraggia la cooperazione e la condivisione delle informazioni sulle minacce lungo tutta la filiera.
4. Formalizzazione dell’accountability: documentare ogni decisione. Se si accetta un rischio (es. si sceglie un fornitore unico non certificato perché non esistono alternative), tale accettazione deve essere formalizzata, motivata e firmata dal management, dimostrando la consapevolezza del rischio assunto.

In conclusione, la NIS2 richiede un cambio culturale: il fornitore non è più un’entità esterna da cui comprare servizi, ma un’estensione del proprio perimetro di sicurezza da gestire, monitorare e difendere con la stessa diligenza riservata ai propri asset interni. Solo attraverso questo approccio integrato e documentato sarà possibile garantire la resilienza operativa richiesta dal legislatore e necessaria per la sopravvivenza nell’attuale scenario di minaccia globale.