L’anello debole: il manuale operativo del CISO per costruire un programma di gestione del rischio della catena di fornitura conforme a NIS2
L’allerta sembrava innocua: un segnale minore proveniente da un servizio di monitoraggio di terza parte. Per Anya, CISO di una società logistica di medie dimensioni, era la terza notifica dello stesso tipo in un mese dallo stesso fornitore: “Rilevata anomalia di accesso”. Il fornitore, un piccolo ma critico fornitore di software per la gestione delle flotte, la rassicurò che non si trattava di nulla. Un falso positivo. Ma Anya sapeva che non era così. Non erano semplici anomalie tecniche; erano scosse, segnali di instabilità più profonda in una parte critica della catena di fornitura. Con la sua azienda ormai classificata come “entità importante” ai sensi della Direttiva NIS2, quelle scosse sembravano il preludio a un terremoto.
Il vecchio modo di gestire i fornitori, basato su una stretta di mano e su un contratto formulato in modo generico, è definitivamente superato. NIS2 chiarisce in modo inequivocabile che il livello di sicurezza informatica di un’organizzazione è solido solo quanto il suo anello più debole. L’anello debole non è più “là fuori”: è dentro la catena di fornitura. Ai sensi di NIS2, non gestire il rischio dei fornitori non è soltanto una carenza tecnica. È una minaccia normativa a livello di consiglio di amministrazione, con ricadute operative, reputazionali e finanziarie. Il problema di Anya non era un singolo fornitore instabile. Era una vulnerabilità sistemica incorporata nei processi operativi dell’azienda, e gli auditor l’avrebbero cercata. Non le serviva una correzione rapida; le serviva un manuale operativo.
Questa guida fornisce quel manuale operativo. Esamineremo un approccio strutturato per CISO, responsabili della conformità e auditor, finalizzato a costruire un programma di gestione del rischio della catena di fornitura difendibile e trasversale alle normative. Utilizzando un quadro di riferimento solido come ISO/IEC 27001:2022 e i kit specialistici di Clarysec, è possibile collegare i rischi urgenti della catena di fornitura a metodi operativi in grado di soddisfare NIS2, DORA, GDPR e altri requisiti.
Il mandato sul rischio: come NIS2 ridefinisce la sicurezza della catena di fornitura
La Direttiva NIS2 trasforma la sicurezza della catena di fornitura da semplice buona pratica a obbligo normativo vincolante. Richiede un approccio continuo e basato sul rischio alla protezione delle catene di fornitura ICT e OT, estende il proprio ambito a numerosi settori e attribuisce agli organi di gestione una responsabilità diretta per le carenze di conformità. Questo significa:
- Ambito ampliato: ogni fornitore, subfornitore, fornitore di servizi cloud e soggetto in outsourcing che interagisce con l’ambiente ICT rientra nell’ambito di applicazione.
- Miglioramento continuo: NIS2 impone un processo vivo di valutazione del rischio, monitoraggio e adattamento, non un riesame una tantum. Questo processo deve essere guidato sia da eventi interni, come incidenti e violazioni, sia da cambiamenti esterni, come nuove norme o aggiornamenti dei servizi dei fornitori.
- Controlli obbligatori: risposta agli incidenti, gestione delle vulnerabilità, test di sicurezza periodici e cifratura robusta sono ora richiesti lungo la catena di fornitura, non solo all’interno del perimetro aziendale.
Questo rende meno netti i confini tra sicurezza interna e rischio di terze parti. Un incidente cyber del fornitore diventa una crisi normativa per l’organizzazione. Un quadro di riferimento strutturato come ISO/IEC 27001:2022 diventa indispensabile, perché fornisce i controlli e i processi necessari per costruire un programma resiliente e verificabile in sede di audit, in grado di soddisfare i requisiti di NIS2. Il percorso non inizia dalla tecnologia, ma da una strategia concentrata su tre controlli fondamentali:
- 5.19 - Sicurezza delle informazioni nei rapporti con i fornitori: definire il quadro strategico per la gestione del rischio dei fornitori.
- 5.20 - Gestione della sicurezza delle informazioni negli accordi con i fornitori: formalizzare le aspettative di sicurezza in contratti giuridicamente vincolanti.
- 5.22 - Monitoraggio, riesame e gestione delle modifiche dei servizi dei fornitori: garantire supervisione continua e adattamento lungo tutto il ciclo di vita dei fornitori.
Padroneggiare queste tre aree consente di trasformare la catena di fornitura da fonte di incertezza in una risorsa gestita, conforme e resiliente.
Passaggio 1: costruire le basi di governance con il controllo 5.19
La prima consapevolezza di Anya fu che non poteva trattare tutti i fornitori allo stesso modo. Il fornitore della cancelleria d’ufficio non era equiparabile al fornitore del software critico per la gestione delle flotte. Il primo passo per costruire un programma conforme a NIS2 consiste nel comprendere e classificare l’ecosistema dei fornitori in base al rischio.
Il controllo 5.19, Sicurezza delle informazioni nei rapporti con i fornitori, è la pietra angolare strategica. Impone di superare un semplice elenco di fornitori e di creare un sistema di governance articolato per livelli. Questo processo deve essere guidato da una politica chiara, approvata dal consiglio di amministrazione. La Politica di sicurezza delle terze parti e dei fornitori di Clarysec collega direttamente questa attività al più ampio quadro di gestione del rischio dell’organizzazione:
“P6 – Politica di gestione del rischio. Guida l’identificazione, la valutazione e la mitigazione dei rischi associati ai rapporti con terze parti, compresi i rischi ereditati o sistemici derivanti dagli ecosistemi dei fornitori.” Dalla sezione “Politiche correlate e collegamenti”, clausola della politica 10.2.
Questa integrazione assicura che i rischi derivanti da dipendenze a valle, o esposizioni da “quarte parti”, siano gestiti come parte del proprio SGSI. Anche il processo di classificazione deve essere metodico. Nel passaggio 23 della fase “Audit e miglioramento”, la Zenith Blueprint: piano operativo in 30 passaggi per l’auditor guida le organizzazioni nella classificazione dei fornitori sulla base di domande critiche:
- Il fornitore gestisce o tratta informazioni sensibili o regolamentate dell’organizzazione?
- Fornisce infrastrutture o piattaforme da cui dipendono operazioni critiche?
- Gestisce o mantiene sistemi per conto dell’organizzazione?
- Una sua compromissione potrebbe incidere direttamente sugli obiettivi di riservatezza, integrità o disponibilità?
Anya utilizzò questa logica per rivalutare il fornitore del software di gestione delle flotte. Il fornitore trattava dati di localizzazione in tempo reale, quindi sensibili; la sua piattaforma era parte integrante delle operazioni quotidiane, quindi infrastruttura critica; e una compromissione avrebbe potuto bloccare le consegne, con un impatto elevato sulla disponibilità. Di conseguenza, fu riclassificato da “fornitore standard” a “fornitore critico ad alto rischio”.
Questa classificazione basata sul rischio determina il livello di due diligence, rigore contrattuale e monitoraggio continuo richiesto. Come chiarisce la nostra Zenith Controls: guida alla conformità trasversale, questo approccio è direttamente allineato alle aspettative delle principali normative.
| Normativa | Requisito | In che modo il controllo 5.19 lo soddisfa |
|---|---|---|
| NIS2 | Article 21(2)(d) obbliga alla gestione del rischio per le catene di fornitura. | Fornisce il quadro di riferimento per identificare e classificare il rischio dei fornitori per livelli. |
| DORA | Articles 28-30 impongono la classificazione dei fornitori critici di servizi IT e finanziari. | Stabilisce il processo per classificare i fornitori ICT in base alla criticità. |
| GDPR | Article 28 richiede ai titolari del trattamento di ricorrere solo a responsabili del trattamento che forniscano garanzie. | Costituisce la base della due diligence necessaria per valutare tali garanzie. |
Questo passaggio di base non è solo un esercizio interno; è il fondamento su cui viene costruito l’intero programma difendibile di sicurezza della catena di fornitura.
Passaggio 2: definire accordi solidi con il controllo 5.20
Dopo aver identificato il fornitore ad alto rischio, Anya recuperò il contratto. Era un modello standard di acquisto, con una clausola di riservatezza generica e poco altro in materia di cybersecurity. Non conteneva controlli di sicurezza specifici, nessun termine per la notifica delle violazioni e nessun diritto di audit. Agli occhi di un auditor NIS2, era privo di valore.
È qui che il controllo 5.20, Gestione della sicurezza delle informazioni negli accordi con i fornitori, diventa essenziale. È il meccanismo che traduce i rischi identificati nel 5.19 in obblighi applicabili e giuridicamente vincolanti. Un contratto non è solo un documento commerciale; è un controllo di sicurezza primario.
Le politiche devono guidare questa trasformazione. La Politica di sicurezza delle terze parti e dei fornitori lo stabilisce come obiettivo fondamentale:
“Allineare i controlli di sicurezza delle terze parti agli obblighi normativi e contrattuali applicabili, inclusi GDPR, NIS2, DORA e gli standard ISO/IEC 27001.” Dalla sezione “Obiettivi”, clausola della politica 3.6.
Questa clausola trasforma la politica da linea guida a mandato diretto per i team acquisti e legale. Per Anya, ciò significò tornare dal fornitore per rinegoziare. Il nuovo addendum contrattuale includeva clausole specifiche e non negoziabili:
- Notifica della violazione: il fornitore deve segnalare qualsiasi sospetto incidente di sicurezza che interessi dati o servizi dell’azienda entro 24 ore, non “entro un termine ragionevole”.
- Diritto di audit: l’azienda si riserva il diritto di svolgere valutazioni di sicurezza o richiedere rapporti di audit di terze parti, come un SOC 2 Type II, con frequenza annuale.
- Standard di sicurezza: il fornitore deve rispettare controlli di sicurezza specifici, come l’autenticazione a più fattori per tutti gli accessi amministrativi e scansioni periodiche delle vulnerabilità della piattaforma.
- Gestione dei subfornitori: il fornitore deve comunicare e ottenere preventiva approvazione scritta per qualsiasi proprio subappaltatore che tratti dati dell’azienda.
- Strategia di uscita: il contratto deve definire procedure per la restituzione o distruzione sicura dei dati alla cessazione, assicurando un processo di offboarding ordinato.
Come evidenzia Zenith Controls, questa pratica è centrale in più quadri di riferimento. Article 28(3) del GDPR impone accordi dettagliati sul trattamento dei dati. Article 30 di DORA prescrive un elenco esteso di disposizioni contrattuali per i fornitori ICT critici. Applicando un controllo 5.20 robusto, Anya non stava solo soddisfacendo ISO/IEC 27001:2022; stava costruendo simultaneamente una posizione difendibile per audit NIS2, DORA e GDPR.
Passaggio 3: la torre di guardia: monitoraggio continuo con il controllo 5.22
Il problema iniziale di Anya, le allerte di sicurezza ricorrenti, derivava da un errore classico: “firma e dimentica”. Un contratto solido è inutile se viene archiviato e non viene mai più richiamato. L’ultimo elemento del quadro è il controllo 5.22, Monitoraggio, riesame e gestione delle modifiche dei servizi dei fornitori. È il controllo operativo che assicura il rispetto degli impegni assunti nel contratto.
Questo controllo trasforma la gestione dei fornitori da attività statica di onboarding a processo dinamico e continuo. Secondo Zenith Controls, ciò comprende diverse attività interconnesse:
- Riesami delle prestazioni: riunioni pianificate periodicamente, ad esempio trimestrali per i fornitori ad alto rischio, per discutere le prestazioni rispetto agli SLA di sicurezza, esaminare i rapporti sugli incidenti e pianificare le modifiche imminenti.
- Riesame delle evidenze di audit: richiesta e analisi proattiva di rapporti di audit, certificazioni e risultati dei test di penetrazione del fornitore. Un auditor verificherà non solo che tali rapporti siano raccolti, ma anche che eventuali eccezioni in essi contenute siano tracciate e gestite attivamente.
- Gestione delle modifiche: quando un fornitore modifica il proprio servizio, ad esempio migrando verso un nuovo fornitore di servizi cloud o introducendo una nuova API, questo deve attivare un riesame di sicurezza da parte dell’organizzazione. Ciò impedisce ai fornitori di introdurre inconsapevolmente nuovi rischi nell’ambiente aziendale.
- Monitoraggio continuo: utilizzo di strumenti e fonti di intelligence per restare informati sul livello di sicurezza esterno del fornitore. Un improvviso peggioramento del punteggio di sicurezza o la notizia di una violazione deve attivare una risposta immediata.
Questo ciclo continuo di monitoraggio, riesame e adattamento è l’essenza del “processo continuo di gestione del rischio” richiesto da NIS2. Assicura che la fiducia non sia mai presunta, ma verificata in modo continuo.
Un esempio operativo: la checklist per il riesame dei fornitori
Per rendere il processo concreto, il team di Anya creò una checklist per i nuovi riesami trimestrali con il fornitore della gestione flotte, basata sulle metodologie di audit delineate in Zenith Controls.
| Area di riesame | Evidenze da raccogliere e discutere | Esito atteso |
|---|---|---|
| SLA e prestazioni | Report di disponibilità operativa, log degli incidenti, tempi di risoluzione dei ticket di supporto. | Verificare la conformità agli impegni contrattuali di disponibilità e supporto. |
| Incidenti di sicurezza | Rapporto dettagliato su tutte le allerte di sicurezza, inclusi i “falsi positivi”, analisi della causa radice e azioni correttive. | Confermare una segnalazione trasparente e una gestione efficace degli incidenti. |
| Conformità e audit | Ultimo rapporto SOC 2 o sintesi del test di penetrazione. | Esaminare le risultanze e monitorare il piano di rimedio del fornitore per eventuali vulnerabilità identificate. |
| Gestione delle vulnerabilità | Report sulla cadenza di applicazione delle patch per i sistemi critici. | Assicurare che il fornitore rispetti l’obbligo di applicare tempestivamente le patch alle vulnerabilità critiche. |
| Modifiche imminenti | Discussione sul piano evolutivo di prodotto del fornitore, sulle modifiche infrastrutturali o sui nuovi subfornitori. | Valutare proattivamente le implicazioni di sicurezza delle modifiche future prima della loro applicazione. |
Questo semplice strumento trasformò la conversazione da un aggiornamento generico a una riunione di governance della sicurezza focalizzata e basata su evidenze, creando una registrazione verificabile in sede di audit della supervisione continua.
Definire la linea da non superare: accettazione del rischio nel contesto NIS2
L’incidente iniziale con il fornitore costrinse Anya ad affrontare una domanda fondamentale: quale livello di rischio è accettabile? Anche con i migliori contratti e il miglior monitoraggio, una quota di rischio residuo rimarrà sempre. Per questo è indispensabile una definizione chiara, approvata dalla direzione, dei criteri di accettazione del rischio.
Nel passaggio 10 della fase “Rischio e attuazione”, Zenith Blueprint fornisce indicazioni decisive su questo punto. Non basta affermare “accettiamo rischi bassi”. È necessario definire che cosa significhi nel contesto degli obblighi legali e normativi dell’organizzazione.
“Considerare anche gli obblighi legali/normativi nei criteri di accettazione. Alcuni rischi possono essere inaccettabili indipendentemente dalla probabilità, per effetto della legge… Analogamente, NIS2 e DORA impongono determinati requisiti minimi di sicurezza: il mancato rispetto di tali requisiti, anche se la probabilità di incidente è bassa, può comportare un rischio di conformità inaccettabile. Integrare queste prospettive, ad esempio: “Qualsiasi rischio che possa comportare non conformità alle leggi applicabili (GDPR, ecc.) non è accettabile e deve essere mitigato.””
Per Anya fu un punto di svolta. Collaborò con i team legale e acquisti per aggiornare la politica di gestione del rischio. I nuovi criteri stabilivano esplicitamente che qualsiasi fornitore critico non conforme ai requisiti minimi di sicurezza imposti da NIS2 avrebbe rappresentato un rischio inaccettabile, attivando immediatamente un piano di trattamento del rischio. Questo eliminò l’ambiguità dal processo decisionale e creò un trigger di governance chiaro. Come indicato nella Politica di sicurezza delle terze parti e dei fornitori:
“Le eccezioni ad alto rischio, ad esempio fornitori che trattano dati regolamentati o supportano sistemi critici, devono essere approvate dal CISO, dalla funzione legale e dai responsabili acquisti, e inserite nel registro delle eccezioni del SGSI.” Dalla sezione “Trattamento del rischio ed eccezioni”, clausola della politica 7.3.
L’auditor è arrivato: affrontare il controllo da più prospettive
Sei mesi dopo, quando gli auditor interni arrivarono per svolgere una valutazione della preparazione a NIS2, Anya era pronta. Sapeva che avrebbero esaminato il programma di gestione della catena di fornitura da più prospettive.
L’auditor ISO/IEC 27001:2022: questo auditor si concentrò su processo ed evidenze. Richiese l’inventario dei fornitori, verificò la categorizzazione del rischio, campionò i contratti alla ricerca di clausole di sicurezza specifiche ed esaminò i verbali delle riunioni trimestrali di riesame. L’approccio strutturato di Anya, costruito sui controlli 5.19, 5.20 e 5.22, fornì una traccia di audit chiara.
L’auditor COBIT 2019: con un’impostazione orientata alla governance, questo auditor volle verificare il collegamento con gli obiettivi aziendali. Chiese in che modo il rischio dei fornitori venisse comunicato al comitato esecutivo rischi. Anya presentò il registro dei rischi, mostrando come fosse stato determinato il livello di rischio del fornitore e come fosse stato mappato alla propensione al rischio complessiva dell’azienda.
Il valutatore NIS2: questa figura era concentrata sul rischio sistemico per i servizi essenziali. Non era interessata solo al contratto; voleva sapere cosa sarebbe accaduto se il fornitore fosse andato completamente offline. Anya illustrò il piano di continuità operativa, che ora includeva una sezione sul fallimento dei fornitori critici, sviluppata in linea con i principi di ISO/IEC 22301:2019.
L’auditor GDPR: rilevando che il fornitore trattava dati di localizzazione, questo auditor si concentrò immediatamente sulla protezione dei dati. Richiese l’Accordo sul trattamento dei dati (DPA) e le evidenze della due diligence svolta per assicurare che il fornitore offrisse “garanzie sufficienti” come richiesto da Article 28. Poiché il processo integrava la privacy fin dall’inizio, il DPA risultava solido.
Questa prospettiva di audit multi-prospettiva mostra che un SGSI ben attuato, basato su ISO/IEC 27001:2022, non soddisfa un solo standard. Crea una posizione resiliente e difendibile sull’intero panorama normativo. La tabella seguente riepiloga come questi passaggi generano evidenze verificabili in sede di audit per qualsiasi ispezione.
| Passaggio | Riferimento politica/controllo | Mappatura NIS2 | Mappatura GDPR | Mappatura DORA | Evidenza dell’azione |
|---|---|---|---|---|---|
| Classificare i fornitori per livelli | 5.19, Blueprint S10/S23 | Article 21 | Article 28 | Art. 28-30 | Inventario dei fornitori classificato per rischio nel SGSI. |
| Clausole contrattuali di sicurezza | 5.20, ISO/IEC 27036-2 | Article 22 | Article 28(3) | Art. 30 | Contratti campione con addendum di sicurezza, SLA. |
| Riesame continuativo | 5.22, ISO/IEC 22301 | Article 21 | Article 32 | Art. 31 | Verbali di riunione, cruscotti delle prestazioni, log di audit. |
| Condizioni di protezione dei dati | 5.20, ISO/IEC 27701 | Considerando 54 | Arts. 28, 32 | Art. 30 | Accordi sul trattamento dei dati (DPA) formalizzati. |
| Notifica degli incidenti | 5.22, ISO/IEC 27036-2 | Article 23 | Arts. 33, 34 | Art. 31 | Log degli incidenti dei fornitori, registrazioni delle comunicazioni. |
| Uscita/cessazione | 5.20, ISO/IEC 27001:2022 A.5.11 | Rilevante per la resilienza | Article 28(3) | Art. 30 | Certificati di distruzione dei dati, checklist di offboarding. |
Il manuale operativo
La storia di Anya non è un caso isolato. I CISO e i responsabili della conformità in tutta l’UE affrontano la stessa sfida. La minaccia di sanzioni normative e la responsabilità personale imposta da NIS2 rendono il rischio della catena di fornitura una priorità aziendale di primo livello. La buona notizia è che il percorso è chiaro. Utilizzando l’approccio strutturato e basato sul rischio di ISO/IEC 27001:2022, è possibile costruire un programma conforme e realmente resiliente.
Non attendere che sia un incidente a imporre l’azione. Inizia oggi a costruire il tuo quadro di riferimento per la catena di fornitura conforme a NIS2:
- Definire la governance: utilizza la Politica di sicurezza delle terze parti e dei fornitori - PMI di Clarysec o i modelli per grandi organizzazioni per definire le regole di ingaggio.
- Conoscere l’ecosistema: applica i criteri di classificazione di Zenith Blueprint per identificare e classificare per livelli i fornitori critici e ad alto rischio.
- Rafforzare i contratti: sottoponi ad audit gli accordi esistenti con i fornitori rispetto ai requisiti del controllo 5.20 di ISO/IEC 27001:2022, utilizzando le indicazioni di conformità trasversale di Zenith Controls per soddisfare le aspettative di NIS2, DORA e GDPR.
- Applicare il monitoraggio continuo: pianifica il primo riesame trimestrale di sicurezza con il fornitore più critico e utilizza la checklist come guida. Documenta tutte le risultanze nel SGSI.
- Preparare le evidenze di audit: raccogli contratti campione, verbali di riesame, log degli incidenti e valutazioni del rischio mappati ai controlli principali per ogni fornitore critico.
La catena di fornitura non deve essere l’anello debole. Con il giusto quadro di riferimento, processi adeguati e strumenti efficaci, può diventare una fonte di forza e un pilastro della strategia di cybersecurity.
Vuoi costruire una catena di fornitura che soddisfi autorità di regolamentazione e consiglio di amministrazione? Scarica Clarysec Zenith Blueprint e accelera oggi il percorso verso conformità e resilienza.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
