Sicurezza della supply chain: adempiere agli obblighi NIS 2 con le terze parti

NIS 2 fa della sicurezza delle terze parti un obbligo legale, non una «best practice». Ecco l'approccio pragmatico e testato sul campo per soddisfare i requisiti NIS 2 sulla supply chain senza sovraccaricare l'organizzazione.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min di lettura
Supply Chain Security: Meeting NIS2 Obligations with Third Parties

La maggior parte delle organizzazioni crede di gestire la sicurezza dei fornitori. Non è così. Hanno fogli di calcolo, questionari obsoleti e fiducia cieca nei provider cloud.

NIS2 cambia tutto. Con il nuovo regime, il rischio di terze parti non è più facoltativo ; è regolamentato, verificabile e sanzionabile. Se uno dei vostri fornitori viene compromesso, voi siete responsabili.

Ecco come gestire correttamente la sicurezza della supply chain in ambito NIS2.

NIS2 non si preoccupa delle dimensioni del vostro fornitore, del suo logo o del fatto che sia "certificato ISO". Ai regolatori interessa se:

  • avete identificato le vostre dipendenze critiche
  • le avete valutate
  • le monitorate
  • le controllate contrattualmente
  • siete in grado di uscirne in caso di fallimento
  • potete continuare a operare senza di esse

Non si tratta di vendor management ; è resilienza operativa attraverso il vostro ecosistema digitale.

Vediamo nel dettaglio cosa dovete fare.

1. Iniziate con la mappatura delle dipendenze (il vero punto cieco)

Non è possibile valutare ciò che non si vede. La prima responsabilità ai sensi di NIS2 è mappare le dipendenze da terze parti.

Dovete mappare:

  • i vostri provider SaaS diretti
  • i vostri MSP e provider IT
  • le vostre piattaforme cloud
  • i vostri provider di pagamento
  • i vostri provider OT e IoT (se pertinenti)
  • i vostri ambienti di hosting
  • i vostri subappaltatori
  • i subprocessori utilizzati dai vostri fornitori

Non fermatevi al Tier 1. Un vendor SaaS che dipende da un altro vendor SaaS è comunque una vostra dipendenza.

Aneddoto: Un'azienda ha superato un audit pilota NIS2 esclusivamente perché era in grado di mostrare una mappa completa delle dipendenze ; ancora prima di disporre di controlli di sicurezza completi.

La visibilità è il vostro primo deliverable.

2. Classificate i fornitori (Critici, Importanti, Non Critici)

NIS2 richiede una prioritizzazione basata sul rischio.

Utilizzate un modello a tre livelli semplice e difendibile:

Critico

Se questo fornitore viene meno, le operazioni si fermano. Esempi: hosting cloud, SaaS core, identity provider, MSP.

Importante

Un'interruzione impatta su efficienza, sicurezza o obblighi legali. Esempi: piattaforme HR, CRM, payroll, pagamenti.

Non Critico

Il fallimento è gestibile. Esempi: strumenti di marketing, analytics non sensibili.

Suggerimento: La classificazione si basa sull'impatto sul vostro business ; non sulle dimensioni o sulla reputazione del fornitore.

3. Eseguite valutazioni del rischio strutturate (obbligatorie ai sensi di NIS2)

Per i fornitori critici e importanti dovete produrre una valutazione del rischio documentata e verificabile.

Valutate:

  • il livello di sicurezza (controlli)
  • la resilienza (BC/DR)
  • la storia degli incidenti
  • la sensibilità dei dati
  • l'esposizione normativa
  • le catene di subappalto
  • i rischi legati alla regione cloud
  • il rischio di concentrazione
  • la fattibilità dell'uscita

Deliverable:

Una valutazione chiara, datata e collegata alle evidenze.

Strumenti utili:

  • Eramba (miglior rapporto qualità-prezzo)
  • CISO Assistant (leggero)
  • OneTrust (enterprise)
  • Vanta/Drata (automation-driven, mid-market)

Suggerimento: Iniziate dai primi 10 fornitori ; poi ampliate.

4. Inserite le clausole contrattuali obbligatorie previste da NIS2

Questo è uno dei cambiamenti più significativi. NIS2 richiede di imporre obblighi di cybersecurity contrattualmente.

I vostri contratti devono includere:

  • requisiti di sicurezza
  • aspettative in materia di logging e monitoraggio
  • tempistiche per la segnalazione degli incidenti
  • trasparenza sui subprocessori
  • diritto di audit o verifica
  • aspettative in materia di BC/DR
  • trasparenza sulla localizzazione dei dati
  • piani di uscita e transizione

Aneddoto: Un'entità finanziaria ha rifiutato un provider SaaS perché non era in grado di comunicare i propri subprocessori ; i regolatori avrebbero comunque rigettato il rapporto.

Se un vendor rifiuta gli obblighi contrattuali, non è NIS2-compliant per voi.

5. Valutate i provider cloud e MSP con rigore aggiuntivo

Cloud e MSP sono trattati come dipendenze ad alto rischio ai sensi di NIS2.

Dovete valutare:

  • ridondanza regionale
  • capacità di DR
  • storico delle interruzioni
  • impegni di escalation
  • integrazione SOC/SIEM
  • modello di accesso privilegiato
  • subappaltatori (es. hosting DB di terze parti)
  • strategia di uscita
  • localizzazione dei dati

NIS2 richiede garanzie approfondite per cloud e MSP ; non questionari di tipo checkbox.

6. Implementate il monitoraggio continuo (i survey annuali non bastano)

Il rischio dei fornitori non è più gestibile con un questionario annuale. NIS2 richiede una supervisione continuativa.

Approcci di monitoraggio continuo:

  • revisioni trimestrali
  • monitoraggio dei trust centre cloud e delle pagine di stato
  • osservazione degli avvisi di sicurezza CIS
  • scoring di sicurezza automatizzato (limitato ma utile)
  • rivalutazione dopo ogni incidente significativo
  • monitoraggio delle variazioni nei subappaltatori
  • revisione continua degli SLA

Se rivalutate i fornitori una volta all'anno, non siete NIS2-ready.

7. Costruite una strategia di uscita per i provider critici

NIS2 spinge verso la resilienza operativa ; il che significa che dovete essere in grado di continuare a operare anche se un provider viene meno.

Un piano di uscita include:

  • come esportare i vostri dati
  • come ricostruire il servizio
  • alternative disponibili sul mercato
  • effort di migrazione
  • tempistiche
  • blocchi tecnici
  • supporto contrattuale all'offboarding

L'uscita dal cloud è obbligatoria.L'uscita dal SaaS è attesa per gli strumenti critici.

Se non potete lasciare un fornitore, quel fornitore è un rischio normativo.

8. Integrate il rischio di terze parti nel vostro piano di risposta agli incidenti

Quando un fornitore subisce un incidente, voi avete un incidente.

Il vostro IRP deve includere:

  • contatti di escalation per gli incidenti dei fornitori
  • flussi di lavoro per la segnalazione entro 24h/72h
  • mappatura della criticità delle dipendenze
  • scenari di incidente cloud
  • scenari di violazione MSP
  • piano di comunicazione
  • procedure di gestione delle evidenze

Un regolatore chiederà: "Come gestite una violazione presso un fornitore che non controllate direttamente?"

Dovete avere la risposta documentata.

9. Documentate tutto: le evidenze sono ciò che dimostra la conformità

Conformità a NIS2 = capacità di mostrare:

  • valutazioni
  • contratti
  • log di monitoraggio
  • verbali delle riunioni
  • azioni correttive
  • piani di uscita
  • aggiornamenti all'IRP
  • classificazione dei fornitori
  • mappe delle dipendenze

Se non è versionato e archiviato nella vostra libreria delle evidenze, non esiste.

Considerazione finale

NIS2 trasforma la sicurezza della supply chain da "programma auspicabile" in obbligo normativo con conseguenze concrete.

La conformità richiede:

  • visibilità delle dipendenze
  • prioritizzazione dei fornitori
  • valutazioni strutturate
  • controlli contrattuali
  • monitoraggio continuo
  • prontezza agli incidenti
  • strategie di uscita
  • evidenze

Se gestite bene la vostra supply chain, NIS2 diventa un asset. Se non lo fate, diventa la principale superficie d'attacco della vostra organizzazione ; e la prima preoccupazione del regolatore.

La sicurezza della supply chain è ora parte della vostra identità operativa. Trattatela come tale.

Se volete un playbook completo e pratico per la governance dei vendor in ambito NIS2 ; dalla classificazione ai piani di uscita ; è esattamente ciò che insegniamo nel Cyber Academy Lead Implementer. Partecipate alla prossima sessione e proteggete il vostro ecosistema digitale.

Vuoi la prossima nota dal campo nella tua casella di posta?

La newsletter The GRC Brief. Cinque link e un breve commento, ogni lunedì alle 8:00 CET. Tre minuti di lettura.