NIS2 e supply chain: perché i fornitori sono un rischio cyber da governare

Risposta rapida

La NIS2 rende la supply chain un elemento centrale della cybersecurity. Un'organizzazione non può limitarsi a proteggere i propri sistemi interni: deve conoscere e governare i fornitori che incidono su servizi, dati, infrastrutture, continuità e incident response. Cloud provider, MSP, software house, manutentori, consulenti IT e subfornitori possono diventare punti di ingresso o di blocco operativo.

Questa guida si collega al modulo GAPOFF NIS2, al modulo Vendor Risk, alla guida su come valutare i fornitori secondo la NIS2, al questionario NIS2 fornitori e alle clausole contrattuali NIS2.

Perché il rischio fornitore è aumentato

Le aziende dipendono sempre più da servizi esterni: cloud, SaaS, manutenzione remota, outsourcing IT, payroll, CRM, ERP, SOC, connettività, data center, consulenti e piattaforme verticali. Questa efficienza crea anche dipendenza. Un incidente su un fornitore può bloccare processi interni o esporre dati e servizi critici.

La NIS2 spinge a guardare la sicurezza come ecosistema. Il perimetro tecnico dell'azienda non coincide più con il perimetro del rischio.

Tipologie di fornitori da censire

Non tutti i fornitori hanno lo stesso peso. Bisogna partire da una classificazione:

• fornitori cloud e hosting;
• MSP e assistenza IT;
• software house e SaaS provider;
• consulenti con accessi amministrativi;
• manutentori OT o impiantistici con accesso remoto;
• fornitori che trattano dati personali;
• fornitori collegati a processi produttivi o logistici;
• subfornitori critici dei fornitori principali.

Il registro fornitori deve indicare servizio, criticità, dati coinvolti, accessi, dipendenze, contratti, evidenze e stato di valutazione.

Criticità, non solo dimensione

Un piccolo fornitore può essere più critico di un grande vendor se ha accesso privilegiato o controlla un processo essenziale. La valutazione deve quindi considerare:

• impatto sulla continuità;
• accesso a sistemi;
• accesso a dati;
• sostituibilità;
• tempo di ripristino;
• esposizione internet;
• subfornitori;
• precedenti incidenti o carenze documentali.

Monitoraggio continuo

La valutazione una tantum non basta. Un fornitore può cambiare infrastruttura, subfornitori, livello di servizio o postura di sicurezza. Serve un ciclo:

1. onboarding;
2. classificazione rischio;
3. questionario;
4. raccolta evidenze;
5. scoring;
6. remediation;
7. monitoraggio;
8. riesame periodico;
9. exit.

Collegamento con contratti e incidenti

Il vendor risk non è solo un questionario. Deve entrare nei contratti e negli SLA:

• tempi di comunicazione incidenti;
• obbligo di collaborazione;
• requisiti minimi di sicurezza;
• audit rights;
• gestione subfornitori;
• continuità e backup;
• exit plan;
• evidenze periodiche.

In caso di incidente, l'azienda deve sapere quale fornitore coinvolgere, con quali contatti, entro quali tempi e con quali prove.

Come GAPOFF aiuta

GAPOFF può collegare la supply chain al percorso NIS2: registro fornitori, scoring, questionari, evidenze, contratti, incidenti e report. Il valore è avere una vista unica: quali fornitori sono critici, quali sono scoperti, quali documenti mancano e quali attività di remediation sono aperte.

Il modulo Vendor Risk deve essere integrato con GAPOFF NIS2, Incident Management e Business Continuity, perché il rischio fornitore impatta anche notifiche e ripristino.

Errori comuni da evitare

• Censire solo i fornitori IT evidenti.
• Valutare il fornitore solo in fase di acquisto.
• Non chiedere evidenze.
• Non collegare contratti, incidenti e continuità.
• Non considerare subfornitori.
• Usare lo stesso questionario per fornitori a rischio diverso.

FAQ

Tutti i fornitori devono essere valutati allo stesso modo?

No. Serve una classificazione per criticità. I fornitori ad alto impatto richiedono evidenze e controlli più approfonditi.

Un fornitore piccolo può essere critico?

Sì. La criticità dipende da accessi, dati, continuità e sostituibilità, non solo dalla dimensione del fornitore.

La supply chain NIS2 riguarda anche fornitori non IT?

Sì, se incidono su processi critici, continuità, dati o sistemi. Anche logistica, manutenzione e servizi operativi possono essere rilevanti.

GAPOFF può creare un registro fornitori NIS2?

Sì, il modello operativo prevede registro, scoring, questionari, evidenze, remediation e collegamenti con NIS2 e altri framework.

Fonti ufficiali e riferimenti utili

• ACN - Portale NIS
• ACN - La normativa NIS
• ACN - Misure di sicurezza e notifica incidenti
• Direttiva UE 2022/2555 - EUR-Lex
• D.Lgs. 138/2024 - Gazzetta Ufficiale
• ENISA - NIS2 Technical Implementation Guidance
• GAPOFF - Modulo NIS2

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, fiscale, organizzativa o tecnica personalizzata, né una valutazione definitiva di conformità NIS2. Per determinare obblighi, responsabilità, perimetro e misure applicabili alla singola organizzazione, è necessario svolgere una valutazione specifica con professionisti qualificati e consultare le fonti ufficiali aggiornate.

FAQ

Tutti i fornitori devono essere valutati allo stesso modo?

No. Serve una classificazione per criticità. I fornitori ad alto impatto richiedono evidenze e controlli più approfonditi.

Un fornitore piccolo può essere critico?

Sì. La criticità dipende da accessi, dati, continuità e sostituibilità, non solo dalla dimensione del fornitore.

La supply chain NIS2 riguarda anche fornitori non IT?

Sì, se incidono su processi critici, continuità, dati o sistemi. Anche logistica, manutenzione e servizi operativi possono essere rilevanti.

GAPOFF può creare un registro fornitori NIS2?

Sì, il modello operativo prevede registro, scoring, questionari, evidenze, remediation e collegamenti con NIS2 e altri framework.