NIS2 Articolo 21(2)(d): Sicurezza della Catena di Fornitura

Cosa richiede l'Articolo 21(2)(d) della NIS2

L'articolo 21(2)(d) della Direttiva NIS2 impone alle aziende critiche un obbligo molto specifico: includere clausole di sicurezza contrattuale in TUTTI i contratti con fornitori diretti. Questo non è facoltativo, non è una raccomandazione — è un requisito legale vincolante.

La norma richiede che i contratti definiscano chiaramente le responsabilità di sicurezza del fornitore, le modalità di notifica degli incidenti, i diritti di audit e le modalità di gestione dei dati sensibili. Le aziende devono garantire che i fornitori mantengono un livello di sicurezza almeno equivalente a quello dell'azienda madre.

Non esiste una lista di controllo approvata dall'UE, ma le autorità nazionali (come l'Agenzia per la Cybersicurezza italiana) si aspettano che le clausole siano documentate, proporzionate al rischio e regolarmente riviste.

Chi Conta come 'Fornitore' secondo NIS2

Ecco il punto che sorprende la maggior parte delle aziende: la definizione di 'fornitore' è molto ampia. Non si tratta solo dei grandi vendor software o dei provider cloud.

Software vendors e SaaS providers — ovviamente
Cloud providers (AWS, Azure, Google Cloud, ecc.)
Outsourcer IT e managed service providers
Provider di telecomunicazioni e connettività
Aziende di pulizia e facility management con accesso fisico ai server o alle infrastrutture critiche
Consulenti di sicurezza che accedono ai sistemi
Subappaltatori di subappaltatori — la responsabilità risale a monte

Se un fornitore ha accesso ai vostri dati critici, ai sistemi operativi o alle infrastrutture fisiche, è coperto. Questo significa che anche piccoli fornitori locali o specializzati devono essere inclusi nel vostro programma di gestione della supply chain.

Cosa Deve Contenere un Contratto Fornitore Conforme a NIS2

Ogni contratto con un fornitore deve includere queste clausole di sicurezza obbligatorie:

Standard di sicurezza minimi — definite quali standard (ISO 27001, SOC 2, NIST) il fornitore deve rispettare
Notifica degli incidenti — il fornitore deve notificare qualsiasi incidente di sicurezza entro 24-72 ore
Diritti di audit — la vostra azienda ha il diritto di controllare la conformità del fornitore, o tramite visite dirette o tramite certificazioni di terzi
Gestione dei dati — come il fornitore tratta, protegge e cancella i vostri dati
Gestione dei subappaltatori — il fornitore deve garantire che anche i suoi fornitori rispettano gli stessi requisiti
Durata della relazione — cosa accade alla fine del contratto (cancellazione dati, transizione, ecc.)
Obblighi di conformità — il fornitore deve rispettare tutte le leggi sulla protezione dei dati (GDPR, D.Lgs. 231/2017, ecc.)

Non dovete scrivere contratti da zero: potete usare modelli di clausole tipo o consultare l'Agenzia per la Cybersicurezza italiana.

Come Valutare i Vostri Fornitori: Questionari vs Piattaforme di Valutazione

Esistono due approcci per valutare la sicurezza dei vostri fornitori:

1. Approccio Tradizionale: Questionari di Sicurezza
Inviate un questionario (spesso 50-100 domande) al fornitore. Il fornitore risponde, voi valutate. Vantaggi: economico, semplice. Svantaggi: le risposte sono auto-valutate (e non sempre affidabili), richiedono tempo, non sono aggiornate continuamente.

2. Approccio Moderno: Piattaforme di Valutazione Continua
Piattaforme come SecurityScorecard, BitSight e UpGuard analizzano continuamente la postura di sicurezza dei vostri fornitori monitorando:

Vulnerabilità pubbliche e patch management
Configurazioni cloud errate
Certificazioni di sicurezza
Segnalazioni di data breach pubbliche
Incidenti di sicurezza riportati

Vantaggi: aggiornamento automatico, basato su dati reali, nessuna dipendenza dalle risposte del fornitore. Svantaggi: costo maggiore, non tutte le aziende hanno una 'impronta digitale' misurabile.

La migliore pratica è combinare entrambi gli approcci: usate questionari per le clausole contrattuali, e piattaforme di valutazione per il monitoraggio continuo del rischio.

Implementare un Programma di Sicurezza Supply Chain in 30 Giorni

Ecco un piano pratico per mettere in conformità il vostro programma fornitori in un mese:

Giorni 1-5: Inventario Fornitori
Create una lista COMPLETA di tutti i fornitori diretti. Includete software, cloud, outsourcer, facility management, consulenti, chiunque. Categorizzate per criticità (alto/medio/basso rischio).

Giorni 6-10: Selezione Strumenti
Se non avete ancora un ISMS (Information Security Management System) con moduli di vendor management, considerate soluzioni come Reglyze, che integrano già template di valutazione fornitori conformi a NIS2. Per il monitoraggio continuo, evaluate SecurityScorecard o BitSight.

Giorni 11-20: Valutazione Iniziale
Inviate il questionario di sicurezza (o usate la piattaforma di valutazione) ai fornitori critici (categoria alto/medio rischio). Fissate deadline chiare: 5-7 giorni per la risposta.

Giorni 21-25: Aggiornamento Contratti
Revisionare i contratti esistenti e inserire le clausole NIS2 richieste. Per i nuovi fornitori, usate direttamente i template aggiornati.

Giorni 26-30: Documentazione e Monitoraggio
Documentate tutte le valutazioni, le clausole, gli audit. Impostate il monitoraggio continuo tramite piattaforma (se usate SecurityScorecard o UpGuard) e fissate una revisione trimestrale.

Strumenti Consigliati per la Gestione della Supply Chain

Piattaforme di Valutazione Continua:

SecurityScorecard — assegna un rating di sicurezza (A-F) ai vostri fornitori monitorando continuamente vulnerabilità, certificazioni, data breach pubblici. Ideale per aziende grandi con molti fornitori.
BitSight — simile a SecurityScorecard, con focus su risk quantification e compliance (NIS2, GDPR, ISO 27001).
UpGuard — specializzato in valutazione della postura di sicurezza e gestione del rischio di terze parti.

ISMS con Moduli Vendor Management:

Reglyze — piattaforma italiana di ISMS che include template di valutazione fornitori, tracciamento degli audit, gestione delle clausole contrattuali. Ha moduli pre-configurati per NIS2 articolo 21(2)(d).

Scegliete in base alla dimensione dell'azienda, al numero di fornitori e al budget disponibile. Molte PMI italiane iniziano con Reglyze e aggiungono SecurityScorecard solo per i fornitori più critici.

10 Domande Essenziali da Porre a Ogni Fornitore (Checklist NIS2)

✓ Il fornitore ha una certificazione ISO 27001 o SOC 2 Type II valida? Se no, quando prevede di ottenerla?
✓ Quali sono gli standard di sicurezza applicati ai vostri sistemi (crittografia, autenticazione, backup)?
✓ Come e entro quanto tempo notificate gli incidenti di sicurezza in caso di data breach?
✓ Autorizzate audit di sicurezza sulla vostra infrastruttura (da parte nostra o da terzi indipendenti)?
✓ Come gestite i vostri subappaltatori e fornitori? Richiedete loro gli stessi standard di sicurezza?
✓ Dove sono fisicamente ubicati i nostri dati (geograficamente e in quale data center)? Possono essere trasferiti?
✓ Quali sono i vostri tempi di patch management per vulnerabilità critiche (entro 24 ore, una settimana, altro)?
✓ Come gestite la cancellazione dei nostri dati al termine del contratto? Potete fornire certificato di distruzione?
✓ Avete assicurazione cyber e liability insurance? Quale copertura offre in caso di breach?
✓ Con quale frequenza effettuate penetration test e vulnerability assessment? Potete condividere i risultati?

Domande Frequenti su NIS2 e Supply Chain Security

L'obbligo principale riguarda le aziende critiche (operatori di infrastrutture critiche e grandi aziende in settori strategici). Tuttavia, anche le aziende non critiche devono applicare misure di sicurezza della supply chain se forniscono servizi a operatori critici. In pratica: se siete fornitori di una banca, un ospedale o un operatore energetico, dovete comunque essere conformi ai requisiti NIS2.

Non potete affidare a quel fornitore dati critici o accesso ai sistemi operativi. Avreste una responsabilità legale in caso di incidente. Dovete trovare un fornitore alternativo conforme, oppure negoziare una versione semplificata delle clausole (sempre documentando il rischio residuo). Le autorità nazionali (come l'Agenzia per la Cybersicurezza) si aspettano che documentiate questi rifiuti nei vostri audit di conformità.

Almeno una volta all'anno, proporzionato al rischio. Per fornitori critici (cloud, software di gestione, telecomunicazioni), la migliore pratica è il monitoraggio continuo tramite piattaforme come SecurityScorecard. Per fornitori a basso rischio, un audit annuale tramite questionario è sufficiente. Se usate SecurityScorecard o piattaforme simili, avete il vantaggio di aggiornamenti automatici.

No. L'Agenzia per la Cybersicurezza italiana ha pubblicato linee guida e template di clausole tipo. Inoltre, piattaforme come Reglyze forniscono modelli già conformi a NIS2 pronti all'uso. Potete adattarli al vostro settore e fornitore specifico, riducendo i tempi di redazione da settimane a giorni.

Documentate tutto: (1) l'inventario completo dei fornitori; (2) una copia dei contratti con le clausole NIS2; (3) i risultati degli audit di valutazione (questionari completati o report SecurityScorecard); (4) un registro delle azioni correttive intraprese. Mantenete questa documentazione per almeno 3 anni. In caso di ispezione, dovete dimostrare che avete esercitato 'due diligence' nella selezione e nel monitoraggio dei fornitori.

Sicurezza della Catena di Fornitura secondo NIS2 Articolo 21(2)(d)