La Direttiva NIS 2, in vigore anche in Italia, impone ai soggetti destinatari un percorso di adeguamento finalizzato a potenziare la propria resilienza informatica.
Un capitolo molto interessante della normativa è quello che esplora la relazione tra NIS 2 e supply chain security.
La relazione tra NIS 2 e supply chain security
Uno degli aspetti più significativi di NIS 2 è l’ambito di applicazione. La direttiva europea, parte core del framework continentale di cybersecurity, si rivolge ad aziende – suddivise nelle due categorie delle essenziali e importanti – su cui poggia il tessuto economico nazionale e i principali servizi forniti ai cittadini. Soggette alla norma sono quindi principalmente aziende di medie e grandi dimensioni, mentre resta fuori tutto l’universo delle PMI, che com’è noto è il cuore pulsante di molti tessuti economici, compreso quello italiano.
Tra le numerose disposizioni introdotte dalla Direttiva NIS 2, tuttavia, alcune si concentrano in modo specifico sulla sicurezza della catena di fornitura, dimostrando lo stretto legame tra NIS 2 e supply chain security. Questo significa che le aziende non devono solo garantire la protezione dei propri sistemi informatici, ma anche valutare e mitigare i rischi derivanti dai fornitori e dai partner con cui queste collaborano quotidianamente, spesso all’interno di catene di fornitura molto estese e distribuite.
Lo scopo della normativa e l’ecosistema dei fornitori
Lo scopo di NIS 2 è assicurarsi che l’intera catena di forniture segua adeguati standard di sicurezza, riducendo così il rischio di vulnerabilità esterne che potrebbero compromettere la continuità operativa o la protezione dei dati.
L’articolo 21 della Direttiva, dopo aver sancito l’obbligo generale di adozione di “misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete”, stabilisce che le misure da adottare coprano svariati ambiti, tra cui la “sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”.
In questo modo, NIS 2 mette sotto pressione non solo le aziende destinatarie della normativa, ma indirettamente tutto l’ecosistema di piccole e medie imprese di cui esse si circondano, obbligandole di fatto a potenziare la propria security posture. Tutto ciò appare quanto mai proporzionato, visto che negli ultimi anni molti attacchi informatici non hanno colpito il bersaglio principale, ma hanno sfruttato vulnerabilità nei sistemi dei fornitori, spesso caratterizzati da un livello di sicurezza inferiore.
Cosa fare per essere conformi alla NIS 2
Per le grandi imprese, direttamente soggette alla normativa, la compliance non si limita all’adozione di misure di sicurezza interne, ma implica anche il rispetto di standard riconosciuti a livello internazionale nell’ambito della supply chain security. In quest’ambito, le certificazioni giocano un ruolo chiave, poiché attestano l’adozione di pratiche e controlli adeguati alla protezione di ecosistemi informativi molto esteri. Per esempio:
- Gli standard ISO 27036 e ISO 28000 forniscono linee guida per la gestione della sicurezza nella supply chain. Il primo si concentra sulla protezione delle informazioni nelle relazioni con i fornitori, delineando processi sicuri per la condivisione dei dati e l'integrazione dei sistemi IT, mentre ISO 28000 è uno standard più ampio sulla sicurezza della supply chain nel suo complesso, coprendo aspetti che vanno dalla gestione del rischio alla continuità operativa.
- NIST Special Publication 800-161 offre un framework dettagliato e comprensivo di best practice per proteggere le supply chain delle minacce informatiche moderne e dai relativi rischi.
Per valutare la sicurezza dei fornitori, ci si può avvalere di strumenti quali le analisi dei rischio e di audit periodici, che sono essenziali non soltanto per evidenziare eventuali lacune e vulnerabilità, ma anche per definirne la gravità. Tutto questo però può non bastare.
Se guardiamo all’ecosistema dei fornitori, risulta strategico adottare un insieme di processi, best practice e strumenti tecnologici per rafforzare la propria sicurezza informatica. In particolare, risultano quanto mai benefici:
- Piani strutturati di gestione del rischio, ovvero modelli che consentano di valutare in modo sistematico le vulnerabilità della propria infrastruttura IT, identificare le minacce e implementare contromisure adeguate.
- Certificazioni di sicurezza, come ISO 27001, lo standard internazionale per la gestione della sicurezza delle informazioni.
- Strumenti tecnologici avanzati che permettano una protezione e una prevenzione proattiva e continua. Per esempio,servizi di continuous theat exposure management , attack surface management, cyber threat intelligence, soluzioni di monitoraggio continuo, come i servizi SOC H24 (Security Operations Center) per ottenere una sorveglianza in tempo reale, ma anche processi di incident response, determinanti per garantire una risposta rapida e coordinata in caso di attacco, riducendo al minimo l'impatto sull'azienda.
