La Direttiva NIS2 estende i controlli di cybersecurity alla Supply Chain
In un precedente articolo (https://gbgroup.srl/sicurezza-informatica/direttiva-europea-nis2/), abbiamo affrontato l’argomento sui settori critici e sui soggetti ”importanti” e “essenziali” (definiti in funzione delle dimensioni aziendali), obbligati agli adempimenti di sicurezza informatica previsti dalla normativa europea NIS2. In questo articolo vogliamo invece affrontare il tema di come la normativa NIS2 estende gli obblighi di sicurezza anche ai soggetti coinvolti nella catena di fornitura (supplu chain)
La complessità delle filiere di produzione e l’interconnessione digitale sempre più fitta tra le organizzazioni che vi fanno parte, rendono infatti necessario approcciare il tema in ottica sistemica, ovvero di resilienza e di sicurezza informatica di tutta la Supply Chain e non solo del singolo soggetto che vi fa parte.
Oltre ai soggetti obbligati, molte PMI saranno obbligate a potenziare la sicurezza della propria infrastruttura IT, non perché direttamente coinvolte dalla NIS 2, ma in quanto fornitori di soggetti obbligati. La normativa introduce infatti un’attenzione particolare alla Supply Chain, obbligando le organizzazioni “critiche” a garantire standard di sicurezza elevati sull’intera catena di fornitura.
I rischi di cyber sicurezza connessi alla filiera di produzione (supply chain)
Con la transizione digitale degli ultimi anni, l’operatività di qualsiasi azienda è divenuta sempre più interconnessa con fornitori e clienti, al punto che si assiste sempre più spesso ad aziende che accedono ai sistemi informatici del cliente o del fornitore. Una compromissione di qualsiasi anello della catena, anche derivante da un errore umano, può quindi innescare una reazione capace di bloccare l’operatività, compromettendo servizi e dati aziendali dell’intera catena, con tutte le conseguenze in termini di disservizi e violazioni della privacy che ne possono derivare.
C’è inoltre un altro tema fondamentale che riguarda la cyber security delle medie e grandi imprese: nelle Supply Chain, infatti, coesistono organizzazioni molto differenti sotto il profilo dimensionale, della cultura e della possibilità di adottare strumenti avanzati di sicurezza. Questo rappresenta un’opportunità straordinaria per il crimine informatico, che invece di colpire direttamente la grande azienda, tutelata da processi, tecnologie e consapevolezza estremamente elevati, può attaccare un fornitore meno protetto, costruendo un ponte per poi muoversi verso il proprio obiettivo principale.
Quella che era una prassi abbastanza consolidata delle grandi aziende, ossia prevedere requisiti di cybersecurity per i loro fornitori, al fine di garantire che l’intera catena fosse protetta da potenziali attacchi (ad esempio richiedendo protocolli di sicurezza avanzati, la conformità a standard internazionali come ISO 27001, l’implementazione di sistemi di monitoraggio delle minacce e l’obbligo di formazione continua del personale), con la NIS 2 è divenuta un obbligo.
In definitiva, le catene di fornitura sono sempre più connesse e digitali, quindi maggiormente vulnerabili agli attacchi, di qui l’interesse del legislatore europeo a garantirne la protezione e la resilienza informatica. La Direttiva NIS 2 interviene così direttamente sul tema della Supply Chain Security. L’articolo 21, che definisce le misure da adottare per essere compliant con la stessa, cita esplicitamente la “sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”. Ecco perché la Direttiva europea ha un impatto molto pervasivo e incisivo sul sistema economico a livello comunitario.
NIS 2 e Supply Chain Security
La normativa europea richiede che i soggetti obbligati adottino misure tecniche e organizzative adeguate a garantire la sicurezza della catena di fornitura, non specificando però nel dettaglio le misure concrete, i processi, le best practice o le tecnologie da utilizzare.
Per le aziende che, direttamente o indirettamente, sono soggette a NIS 2, un elemento chiave sono senz’altro le certificazioni. L’International Organization for Standardization (ISO) prevede uno standard specifico dedicato alla Supply Chain Security (ISO 28000), che indirizza le aziende verso la progettazione e l’implementazione di un sistema di gestione della sicurezza della Supply Chain. L’adozione di questo standard aiuta le aziende a implementare pratiche di sicurezza proattive e a migliorare la conformità ai requisiti normativi previsti da NIS 2 in merito alla sicurezza della catena di fornitura.
Non si può non citare il contesto delle best practice del NIST (National Institute of Standards and Technology, agenzia che promuove l’innovazione attraverso il progresso della scienza, degli standard e della tecnologia delle misurazioni), specifico per la Supply Chain Security, ovvero il NIST Special Publication 800-161. In questo framework vengono fornite le linee guida e le best practice per l’implementazione di un sistema di cybersecurity supply chain risk management, identificando aree chiave come l’Assessment della sicurezza dei fornitori, il Monitoraggio e la Mitigazione dei Rischi.
Per valutare la sicurezza dei fornitori esistono quindi diversi strumenti: gli audit di sicurezza e le analisi del rischio sono i più utilizzati, in quanto permettono di identificare in modo dettagliato eventuali punti deboli dei soggetti che compongono la Supply Chain. Dopo aver completato la valutazione e classificato i fornitori in base al loro livello di rischio, è fondamentale includere dei requisiti di sicurezza specifici (certificazioni, pratiche di gestione del rischio…) all’interno dei contratti, garantendo così un approccio proattivo alla gestione della sicurezza della supply chain.
Le aziende fornitrici devono quindi dimostrare conformità a specifici requisiti di sicurezza:
- Implementando controlli di accesso e sistemi di monitoraggio delle reti.
- Garantendo la protezione dei dati trattati per conto del cliente.
- Adottando un piano di gestione del rischio che includa protocolli per la gestione e la notifica degli incidenti.
Conclusioni
Questa estensione dei controlli rappresenta un cambiamento significativo perché anche le aziende non direttamente coinvolte dalla NIS 2 devono adottare misure per evitare di essere l’anello debole della catena, aumentando il livello di sicurezza complessivo della catena di fornitura. Con la NIS 2 diventa evidente come la cybersecurity non sia più un’opzione solo per le grandi e medie imprese, ma una responsabilità condivisa lungo tutta la filiera. Le aziende coinvolte nella supply chain dei soggetti critici, per evitare di essere escluse devono agire SUBITO, implementando sistemi di sicurezza adeguati e contribuendo a garantire la resilienza delle infrastrutture di tutta la supply chain.
Grazie a soluzioni e tecnologie all’avanguardia, che rispondono ai più stringenti requisiti di sicurezza imposti dalla normativa NIS2 siamo in grado di accompagnare le organizzazioni coinvolte, nell’adozione di tutti i requisiti previsti, garantendo protezione e compliance in tutta la catena del valore.
Articolo a cura di Pier Ogliari
CTO G&B Group