NIS 2: l’importanza del controllo della supply chain

L'intensificarsi dell'interconnessione tra imprese e fornitori ha reso evidente la necessità di adottare un approccio sistemico nella mitigazione dei rischi, ciò porta al superamento della visione della catena di approvvigionamento come un aggregato di entità autonome per riconoscerlo come un elemento specifico proprio nell'ecosistema integrato e interdipendente della gestione del rischio.

In tale prospettiva, i Considerando 85-91 della Direttiva NIS 2 offrono un quadro interpretativo di primaria importanza che rileva il ruolo strategico del controllo della catena di approvvigionamento nella gestione del rischio. Il Considerando 85 pone l'attenzione sul rilievo dei fornitori di servizi di conservazione ed elaborazione dei dati, di sicurezza gestita e di sviluppo software, il cui contributo si rivela essenziale per garantire la resilienza dei sistemi informatici.

Contestualmente, il Considerando 86 evidenzia il ruolo dei fornitori di servizi di sicurezza, responsabili della gestione delle risposte agli incidenti, dell'esecuzione di test di penetrazione e dello svolgimento di audit di sicurezza. Nell'ottica del Legislatore, e secondo la prassi consolidata in materia di sicurezza informatica, tali soggetti possano costituire bersagli privilegiati di attacchi informatici: ne discende la necessaria attenzione circa il processo di selezione e monitoraggio all'interno del contesto di gestione del rischio. 

In tale prospettiva, il Considerando 88 della Direttiva estende in modo significativo il perimetro di monitoraggio, per comprendere altresì le istituzioni accademiche e centri di ricerca.

A sostegno di questa impostazione, i Considerando 90 e 91 delineano un modello di valutazione del rischio basato su un approccio coordinato, volto a garantire un'analisi sistematica delle criticità lungo l'intera catena di approvvigionamento. In tale contesto, risulta essenziale adottare strategie di mitigazione fondate su un'accurata analisi settoriale e sull'individuazione tempestiva delle vulnerabilità più rilevanti. Tra i principali fattori di rischio emergono le dipendenze tecnologiche, che derivano dall'utilizzo di infrastrutture e componenti sviluppati da un numero limitato di fornitori, l'influenza esercitata da Paesi terzi attraverso operazioni di ingerenza strategica, nonché la presenza di backdoor o vulnerabilità nascoste nei sistemi TIC, che possono essere sfruttate per attività di spionaggio o sabotaggio informatico.

Nella governance del rischio stabilita dalla novella europea il controllo efficace della supply chain richiede l'adozione di un processo strutturato di valutazione dei fornitori, che si delinea come un modello articolato in due fasi principali, finalizzato a garantire gli standard di sicurezza lungo l'intero ciclo di vita del rapporto contrattuale con il fornitore. La prima fase corrisponde alla valutazione iniziale e deve prevedere un'analisi delle capacità tecniche, operative e di conformità del fornitore prima della formalizzazione dell'accordo contrattuale. Tale attività si dovrà basare sull'applicazione di diversi criteri che dovranno seguire un approccio sartoriale, e quindi, corrispondente al rischio specifico del fornitore. Sebbene non sia possibile delineare un modello di analisi uniforme applicabile a tutte le categorie di fornitori, è tuttavia possibile identificare alcuni principi cardine che consentono di strutturare un processo valutativo solido e coerente con le esigenze di sicurezza della supply chain. Tra gli elementi fondamentali da considerare rientrano la verifica delle certificazioni di sicurezza in possesso del fornitore, la solidità delle infrastrutture tecnologiche impiegate, l'adesione a best practice riconosciute a livello internazionale nell'ambito della cybersecurity e la capacità di assicurare un adeguato livello di protezione dei dati e dei sistemi critici. La certificazione della conformità agli standard internazionali costituisce un indicatore essenziale dell'affidabilità di un fornitore, in quanto attesta l'adozione di protocolli di sicurezza riconosciuti e validati da enti di regolamentazione. La valutazione delle infrastrutture tecnologiche consente di rilevare eventuali vulnerabilità strutturali suscettibili di compromettere la resilienza dell'organizzazione committente. Parallelamente, la valutazione delle infrastrutture tecnologiche riveste un ruolo strategico nell'analisi delle potenziali criticità della supply chain, in quanto permette di individuare eventuali vulnerabilità intrinseche ai sistemi adottati dal fornitore. Il D.Lgs. 138/2024 consolida e rafforza l'approccio alla sicurezza della supply chain, imponendo alle organizzazioni l'obbligo di documentare e integrare nei propri processi aziendali criteri strutturati per la valutazione e il controllo dinamico dei fornitori. L'art. 24 della normativa in esame definisce il monitoraggio della supply chain come un requisito minimo di sicurezza, prevedendo che le organizzazioni adottino misure capaci di garantire un controllo continuativo dell'affidabilità dei propri fornitori. Il c. 3 del medesimo articolo specifica inoltre che, nell'individuazione delle misure di sicurezza di cui al c. 2 lett. d) i soggetti obbligati debbano tenere conto delle vulnerabilità specifiche di ciascun fornitore diretto e fornitore di servizi, nonché della qualità complessiva delle soluzioni adottate in termini di sicurezza informatica. 

A completamento di questa impostazione, il legislatore prevede che i soggetti interessati considerino i risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche, condotte dal Gruppo di cooperazione NIS. Tale indicazione testimonia l'intento di promuovere un approccio sistemico e multilivello, fondato su un'analisi condivisa dei fattori di rischio e sulla costante revisione delle misure di protezione. L'integrazione di questi elementi consente di elevare gli standard di sicurezza complessivi, mitigando le minacce derivanti da dipendenze tecnologiche, ingerenze esterne e vulnerabilità intrinseche ai sistemi adottati dai fornitori.

L'impianto normativo delineato dal D.Lgs. 138/2024 attribuisce al monitoraggio della supply chain una funzione strategica, configurandolo non come un'attività occasionale o circoscritta, bensì come un processo iterativo e adattivo, orientato alla costante valutazione del rischio e all'adeguamento delle misure di sicurezza in funzione dell'evoluzione delle minacce informatiche.  

Nell'ambito della sicurezza della supply chain, è opportuno adottare una prospettiva sistemica che comprenda un controllo delle relazioni contrattuali con i fornitori. A tal fine, l'inserimento di clausole contrattuali specifiche si configura come uno strumento per formalizzare requisiti minimi inderogabili, assicurare obblighi di trasparenza e rendicontazione e definire protocolli operativi per la gestione degli incidenti e delle eventuali violazioni. L'integrazione di tali disposizioni all'interno della contrattualistica di settore si configura quale strumento necessario a garantire che le misure di controllo. si traducano in obbligazioni giuridicamente vincolanti, la cui inosservanza possa determinare conseguenze sanzionatorie per il fornitore inadempiente. In tale prospettiva, l'introduzione di meccanismi di enforcement contrattuale rafforza la posizione del committente, attribuendogli la facoltà di far valere pretese risarcitorie a fronte di eventuali inadempimenti suscettibili di compromettere l'integrità, la riservatezza o la disponibilità delle informazioni e dei sistemi oggetto del rapporto negoziale. A tal fine, si rende opportuna la previsione di obblighi di audit periodici in capo al fornitore, con correlativa facoltà per il committente di condurre verifiche ispettive volte ad accertare il rispetto dei livelli di sicurezza concordati.