Gestire il rischio cyber nella catena di fornitura e con i terzi sotto NIS2

Perché il rischio nella catena di fornitura è ora una questione di consiglio di amministrazione

Non molto tempo fa, il rischio cyber nella catena di fornitura era trattato come una preoccupazione informatica specializzata — qualcosa da affrontare nei contratti con i fornitori e largamente delegato ai team di approvvigionamento. Quell'era è finita. L'ondata di incidenti in cui gli aggressori hanno compromesso le organizzazioni non sfondando il proprio perimetro, ma infiltrando un fornitore fidato, un produttore di software o un managed service provider, ha imposto un ripensamento fondamentale. I regolatori hanno preso nota, e NIS2 è la risposta legislativa.

Il modello è ben consolidato: una larga quota degli incidenti significativi che colpiscono le entità essenziali e importanti non proviene da attacchi diretti all'organizzazione vittima, ma tramite terzi che hanno accesso privilegiato, infrastrutture condivise o un componente software incorporato. Non si tratta di congetture — è il ragionamento citato nei considerando di NIS2 stessi, e spiega perché l'Articolo 21 tratta la sicurezza della catena di fornitura come una misura di gestione del rischio non opzionale, piuttosto che come una best practice.

Per le organizzazioni lussemburghesi, le poste in gioco sono amplificate dalla struttura dell'economia locale. I servizi finanziari, la logistica, i servizi ICT gestiti e le infrastrutture digitali sono tutti profondamente interconnessi. Un provider cloud, un SOC in outsourcing, un fornitore di software per la gestione delle paghe o una società di gestione degli impianti con accesso alla rete possono ciascuno rappresentare un punto di ingresso significativo. NIS2 obbliga gli organi di gestione — non solo i team IT — ad assumersi questa responsabilità.

Il segnale regolatorio: Ai sensi dell'Articolo 20 di NIS2, gli organi di gestione devono approvare le misure di gestione del rischio per la cybersicurezza e possono essere ritenuti personalmente responsabili in caso di inadempienze. Il rischio della catena di fornitura rientra pienamente in tale perimetro di responsabilità.

Cosa richiede concretamente NIS2 sulla sicurezza della catena di fornitura

L'obbligo di sicurezza della catena di fornitura in NIS2 si trova all'Articolo 21(2)(d), che elenca «la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o prestatori di servizi» tra le misure minime di gestione del rischio che le entità essenziali e importanti devono attuare.

Non si tratta di un'aspirazione vaga. Letto insieme agli altri requisiti dell'Articolo 21 e ai considerando della direttiva, l'obbligo ha dimensioni concrete:

Ambito del requisito

L'obbligo riguarda i fornitori diretti e i prestatori di servizi. In pratica, tuttavia, non si ferma lì. Quando un fornitore dipende a sua volta da un subappaltatore o da un componente software critico, e una compromissione a quel livello potrebbe propagarsi nel vostro ambiente, un programma proporzionato estende la visibilità alle pratiche di sicurezza della catena di fornitura almeno dei fornitori critici di primo livello. Il requisito è basato sul rischio e non è meccanicamente limitato al livello contrattuale immediato.

Responsabilità dell'organo di gestione

L'Articolo 20 è inequivocabile: l'organo di gestione deve approvare le misure di gestione del rischio per la cybersicurezza dell'organizzazione. La gestione del rischio della catena di fornitura fa parte di tali misure. Ciò significa che il consiglio di amministrazione o la direzione esecutiva non può delegare la responsabilità del framework di rischio dei fornitori all'IT o agli acquisti. Devono comprenderlo, approvarlo e rivederlo periodicamente. Quando si verificano incidenti significativi nella catena di fornitura e la direzione non ha istituito né finanziato adeguatamente un programma adeguato, emerge un'esposizione a responsabilità personale per i singoli membri dell'organo di gestione.

Proporzionalità e criticità

NIS2 applica un principio di proporzionalità in tutta la sua estensione. La profondità del vostro programma di sicurezza della catena di fornitura deve rispecchiare le dimensioni dell'organizzazione, la sensibilità degli asset coinvolti e l'accesso e l'influenza che ciascun fornitore esercita sulle vostre operazioni. Un fornitore con accesso amministrativo al vostro ambiente di produzione merita una valutazione molto più rigorosa rispetto a un fornitore di articoli per ufficio. Il framework deve essere progettato per distinguere sistematicamente tra questi casi.

Coordinamento delle notifiche di incidenti

Quando si verifica un incidente significativo — che provenga dall'interno o da un fornitore — i termini di segnalazione di NIS2 si applicano a voi come entità regolamentata. Dovete presentare un preallarme all'autorità competente entro 24 ore dal momento in cui venite a conoscenza di un incidente significativo, una notifica completa entro 72 ore e una relazione finale dettagliata entro un mese. Se l'incidente proviene da un fornitore, la vostra capacità di rispettare questi termini dipende interamente dal fatto di avere diritti contrattuali a una notifica tempestiva da parte di quel fornitore e dal fatto di avere il monitoraggio necessario per rilevare il problema in modo indipendente.

In Lussemburgo, l'Institut Luxembourgeois de Régulation (ILR) è l'autorità nazionale competente responsabile della supervisione NIS2. Il CIRCL (Computer Incident Response Center Luxembourg) fornisce supporto pratico nella risposta agli incidenti e gestisce piattaforme di condivisione di informazioni sulle minacce che possono assistere nel rilevamento delle compromissioni della catena di fornitura.

Costruire un programma di gestione del rischio terzi

Un programma di gestione del rischio terzi (TPRM) conforme a NIS2 non richiede di inventare qualcosa di completamente nuovo. Standard come ISO 27001 (in particolare il controllo dell'Allegato A da 5.19 a 5.22 sulle relazioni con i fornitori) e ISO 27036 (dedicato alla sicurezza delle informazioni per le relazioni con i fornitori) forniscono framework ben consolidati. ENISA ha pubblicato linee guida dedicate alla sicurezza della catena di fornitura per le entità NIS2. Il compito consiste nell'implementare questi principi in modo sistematico e nel produrre le prove di conformità che i regolatori si aspetteranno.

Fase 1: Costruire l'inventario dei fornitori

Non si può gestire ciò che non è stato identificato. Iniziate compilando un inventario completo di tutti i terzi che hanno qualsiasi forma di accesso ai vostri sistemi, dati o reti, o i cui servizi sono critici per le vostre operazioni. Ciò include:

• Fornitori di servizi IT e cloud (IaaS, PaaS, SaaS)
• Managed service provider e managed security service provider
• Fornitori di software, compresi quelli che forniscono software incorporato nei vostri prodotti
• Processi aziendali esternalizzati (HR, finanza, paghe, legale)
• Fornitori di gestione degli impianti e di sicurezza fisica con accesso alla rete
• Fornitori di telecomunicazioni e connettività
• Consulenti e appaltatori con accesso ai sistemi

Assegnate un proprietario aziendale a ogni relazione. Si tratta solitamente del responsabile di dipartimento che gestisce l'interazione quotidiana con il fornitore.

Fase 2: Classificare i fornitori per rischio

Applicare lo stesso livello di scrutinio a ogni fornitore non è né pratico né proporzionato. Un modello di classificazione per livelli consente di concentrare lo sforzo dove conta di più. Un semplice modello a tre livelli funziona bene in pratica:

• Livello 1 — Critico: Fornitori con accesso privilegiato o amministrativo ai vostri sistemi core, fornitori che trattano dati personali o aziendali sensibili su larga scala, fornitori il cui fallimento interromperebbe direttamente le vostre operazioni essenziali e fornitori incorporati nei vostri prodotti o servizi. Questi richiedono una due diligence approfondita, diritti contrattuali di audit e una rivalutazione periodica.
• Livello 2 — Importante: Fornitori che erogano servizi significativi ma con accesso più limitato o con alternative praticabili. Questi giustificano un questionario di sicurezza standard, clausole contrattuali di sicurezza e un ciclo di revisione annuale.
• Livello 3 — Standard: Fornitori con accesso minimo o nullo ai vostri sistemi o dati, che erogano servizi di commodità. Questi richiedono clausole contrattuali di base per il trattamento dei dati e verifiche a campione.

Riclassificate i fornitori ogni volta che cambia la natura del rapporto — ad esempio, quando un fornitore di software ottiene un accesso amministrativo che in precedenza non aveva, o quando un fornitore di livello 2 diventa il solo erogatore di una funzione critica.

Fase 3: Due diligence in materia di sicurezza e questionari

Prima di integrare un fornitore di livello 1 o 2, e periodicamente in seguito, effettuate una due diligence strutturata in materia di sicurezza. Ciò include tipicamente:

• Un questionario di sicurezza allineato a framework riconosciuti (ISO 27001, NIST CSF o un modello personalizzato allineato a NIS2). Iniziative di settore come il questionario Standardised Information Gathering (SIG) forniscono una base pronta all'uso.
• Revisione delle certificazioni di sicurezza del fornitore — la certificazione ISO 27001 da parte di un organismo accreditato offre un'assicurazione ragionevole, anche se non sostituisce la vostra valutazione dei controlli rilevanti per la vostra relazione specifica.
• Revisione dei riepiloghi recenti di test di penetrazione o dei rapporti di valutazione delle vulnerabilità (sotto NDA).
• Prova delle capacità di risposta agli incidenti e delle procedure di notifica proprie del fornitore.
• Per i fornitori di livello 1: valutazione in loco o virtuale dei controlli, o revisione di un rapporto SOC 2 Tipo II ove applicabile.

Documentate i risultati di ogni valutazione e monitorate la remediation delle lacune identificate. Se un fornitore non può o non vuole fornire prove di controlli adeguati, questo è di per sé un rilievo di rischio che deve essere segnalato alla direzione e considerato nella decisione di avviare o proseguire il rapporto.

Fase 4: Clausole contrattuali di sicurezza e diritti di audit

La due diligence al momento dell'integrazione è duratura solo quanto gli obblighi contrattuali che applicano gli standard per tutta la durata del rapporto. I contratti con i fornitori di livello 1 e 2 devono includere, come minimo:

• Obbligo di standard di sicurezza: Il fornitore deve mantenere misure di sicurezza delle informazioni almeno equivalenti a uno standard concordato (come ISO 27001 o i requisiti dell'Articolo 21 di NIS2 laddove si applicano al fornitore come entità a sé stante).
• Notifica degli incidenti: Il fornitore deve notificarvi qualsiasi incidente di sicurezza che riguardi i vostri dati o sistemi entro un periodo definito — tipicamente 24 ore dal momento in cui il fornitore ne viene a conoscenza. Ciò è essenziale per consentirvi di rispettare i vostri termini di notifica NIS2.
• Diritti di audit: Dovete mantenere il diritto contrattuale di verificare i controlli di sicurezza del fornitore, direttamente o tramite un terzo nominato, con un ragionevole preavviso. Per i fornitori critici, valutate di specificare una frequenza minima (ad es., annualmente o a seguito di un incidente significativo).
• Restrizioni al subappalto: Il fornitore deve richiedere la vostra approvazione prima di subappaltare funzioni che comportano l'accesso ai vostri sistemi o dati, e deve trasferire requisiti di sicurezza equivalenti a qualsiasi subappaltatore approvato.
• Diritto di recesso: In caso di violazione sostanziale degli obblighi di sicurezza o di una vulnerabilità significativa non mitigata, dovreste mantenere il diritto di risolvere il contratto senza penalità.
• Restituzione e cancellazione dei dati: Alla risoluzione, il fornitore deve restituire o distruggere in modo sicuro i vostri dati entro un periodo definito e fornire una certificazione di distruzione.

In Lussemburgo, molti contratti con i fornitori sono disciplinati dal diritto locale o lussemburghese applicabile. Assicuratevi che il vostro team legale verifichi se le clausole standard devono essere adattate al contesto contrattuale lussemburghese, in particolare per i fornitori di servizi transfrontalieri.

Fase 5: Monitoraggio continuo

Il panorama delle minacce nella catena di fornitura cambia continuamente. Un fornitore sicuro al momento dell'integrazione potrebbe subire una violazione, cambiare proprietà o essere acquisito da una parte con una postura di sicurezza più debole. Il monitoraggio continuo è essenziale e deve includere:

• Rivalutazione periodica: I fornitori di livello 1 annualmente; i fornitori di livello 2 secondo un ciclo definito (tipicamente ogni uno o due anni, o al verificarsi di un cambiamento sostanziale nel rapporto).
• Informazioni continue sulle minacce: Iscrivetevi a feed di informazioni sulle minacce che evidenzino indicatori di compromissione, fughe dal dark web o violazioni segnalate che riguardino i vostri fornitori. La piattaforma MISP di CIRCL è una risorsa pratica per le organizzazioni lussemburghesi.
• Monitoraggio della conformità contrattuale: Verificate se i fornitori rispettano i loro obblighi di sicurezza — rinnovi delle certificazioni, programmi di test di penetrazione e registri delle notifiche di incidenti.
• Notifiche di cambiamenti: Richiedete ai fornitori di notificarvi cambiamenti significativi alla loro infrastruttura, personale, proprietà o postura di sicurezza che potrebbero incidere sulla vostra esposizione al rischio.
• Monitoraggio tecnico: Ove fattibile, monitorate l'accesso dei fornitori ai vostri sistemi tramite i log di gestione degli accessi privilegiati e impostate avvisi per comportamenti anomali.

Fase 6: Coordinamento degli incidenti e delle notifiche

Quando si verifica un incidente nella catena di fornitura, il conto alla rovescia inizia immediatamente. Il vostro piano di risposta agli incidenti deve affrontare esplicitamente lo scenario in cui l'evento scatenante proviene da un terzo. Elementi chiave da preparare in anticipo:

• Un percorso di escalation documentato per quando un fornitore vi notifica un incidente, che specifichi chi internamente riceve la notifica e chi è responsabile di valutare se si tratta di un «incidente significativo» che fa scattare gli obblighi di notifica NIS2.
• Modelli di notifica pre-redatti per ILR, in modo che il preallarme di 24 ore possa essere inviato tempestivamente anche quando i dettagli sono ancora incompleti.
• Disposizioni contrattuali (vedi Fase 4) che garantiscano che i vostri fornitori vi forniscano tempestivamente le informazioni da includere nelle vostre notifiche.
• Un collegamento definito con CIRCL per l'assistenza tecnica durante gli incidenti attivi.
• Esercitazioni periodiche che includano scenari legati alla catena di fornitura — ad esempio, simulando uno scenario in cui il vostro principale provider cloud segnala una violazione che colpisce il vostro ambiente di produzione.

Lista di controllo TPRM per iniziare con NIS2

Se state costruendo o formalizzando un programma di gestione del rischio terzi per la prima volta, date priorità a queste azioni:

1. Completate l'inventario dei fornitori. Elencate ogni terzo con accesso a sistemi, dati o reti. Assegnate i proprietari aziendali. Questa è la base di tutto ciò che segue.
2. Applicate una classificazione per livelli. Identificate i vostri fornitori critici di livello 1. Anche una classificazione iniziale approssimativa — «chi potrebbe causare il danno maggiore se compromesso?» — è meglio che trattare ogni fornitore in modo identico.
3. Esaminate i contratti esistenti. Verificate i vostri principali contratti di livello 1 e 2 per clausole di sicurezza e requisiti di notifica degli incidenti. Annotate le lacune per la remediation al prossimo rinnovo o rinegoziazione.
4. Inviate questionari di sicurezza ai fornitori di livello 1. Utilizzate un modello consolidato (SIG, allineato ISO 27001 o linee guida ENISA sulla catena di fornitura). Documentate le risposte e fate il follow-up sulle lacune.
5. Redigete le vostre clausole contrattuali standard. Collaborate con il team legale per produrre un insieme standard di clausole di sicurezza e un modello di NDA adatto al vostro settore e alla legge applicabile.
6. Aggiornate il vostro piano di risposta agli incidenti. Aggiungete uno scenario di incidente nella catena di fornitura e documentate chi è responsabile internamente degli incidenti originati dai fornitori. Pre-redigete il vostro modello di preallarme per ILR.
7. Informate l'organo di gestione. Presentate il programma TPRM — ambito, razionale della classificazione per livelli, lacune attuali e piano di remediation — per l'approvazione formale. Registrate ciò nei verbali del consiglio o del comitato esecutivo.
8. Stabilite un calendario di monitoraggio. Pianificate le rivalutazioni dei fornitori di livello 1 annualmente. Iscrivetevi ai servizi di informazione sulle minacce di CIRCL. Impostate promemoria per il rinnovo delle certificazioni dei fornitori.
9. Conducete un'esercitazione. Simulate un incidente significativo nella catena di fornitura e percorrete il vostro processo di rilevamento, escalation, notifica e remediation. Identificate le lacune prima che un evento reale le esponga.
10. Documentate tutto. I regolatori si aspetteranno prove che il vostro programma TPRM esiste e funziona come descritto. Le risposte ai questionari, le decisioni sul rischio, le revisioni contrattuali, i rapporti di valutazione e le approvazioni del consiglio formano tutti la vostra evidenza di conformità.

Il contesto di applicazione di NIS2: cosa è in gioco

Le conseguenze finanziarie e reputazionali di una sicurezza inadeguata della catena di fornitura sotto NIS2 sono significative. Per le entità essenziali, le sanzioni amministrative possono raggiungere 10 milioni di EUR o il 2% del fatturato annuo mondiale totale, a seconda di quale importo sia più elevato. Per le entità importanti, il massimale è di 7 milioni di EUR o l'1,4% del fatturato annuo mondiale. Oltre alle sanzioni, ILR può emettere istruzioni vincolanti, sospendere servizi o — nel caso delle entità essenziali — vietare temporaneamente a persone fisiche di esercitare responsabilità gestionali.

Non si tratta di cifre ipotetiche. Le disposizioni sulla responsabilità personale dell'Articolo 20 significano che le inadempienze nella gestione del rischio della catena di fornitura possono comportare responsabilità individuale per i dirigenti, non solo sanzioni aziendali. Per le aziende lussemburghesi dove i membri del consiglio sono spesso direttamente coinvolti nelle decisioni operative, questa dimensione merita seria attenzione.

ISO 27001 e ISO 27036 supportano entrambe i requisiti: le organizzazioni con una certificazione ISO 27001 che copre i controlli di gestione dei fornitori (Allegato A 5.19–5.22) dispongono di una base documentata e verificata da cui partire. Le linee guida di ENISA sulla sicurezza della catena di fornitura e il lavoro di CIRCL in Lussemburgo forniscono ulteriori punti di riferimento.

Come ObsidianCorps può aiutare

La gestione del rischio nella catena di fornitura è uno degli aspetti operativamente più impegnativi della conformità NIS2. Richiede il coordinamento tra approvvigionamento, legale, IT e organo di gestione, e di mantenere il programma in modo continuativo piuttosto che trattarlo come un progetto una tantum.

ObsidianCorps assiste le organizzazioni lussemburghesi in ogni fase: dalla costruzione dell'inventario iniziale dei fornitori e dall'applicazione di un modello di classificazione per livelli difendibile, alla conduzione di valutazioni della sicurezza dei fornitori e alla redazione di clausole di sicurezza contrattuali, fino all'integrazione di scenari della catena di fornitura nei piani di risposta agli incidenti e nelle esercitazioni. Aiutiamo anche gli organi di gestione a comprendere i loro obblighi di responsabilità e a costruire il percorso di evidenze che i regolatori si aspetteranno di esaminare.

Un programma TPRM ben progettato non riduce solo l'esposizione regolamentare — rafforza genuinamente la vostra resilienza operativa in un ambiente in cui le dipendenze da terzi sono inevitabili. Le organizzazioni che trattano i requisiti NIS2 sulla catena di fornitura come un framework per un reale miglioramento della sicurezza, piuttosto che come una formalità di conformità, saranno meglio posizionate quando l'incidente inevitabile si verificherà.