L’entrata in vigore della NIS 2 (ottobre 2024) e la piena efficacia di DORA (gennaio 2025), a pochi mesi di distanza l’una dall’altra ha, fra le conseguenze, un coinvolgimento diretto dei fornitori e fornitori ICT delle aziende che devono adeguarsi a tali normative.
Al riguardo, sono molte le aziende che, in quanto fornitori di soggetti che devono adeguarsi a DORA e NIS 2, stanno ricevendo questionari sul loro livello di sicurezza.
Indice degli argomenti
Questionari sul livello di sicurezza dei fornitori
La compilazione di tali questionari non è un esercizio puramente formale, in quanto la richiesta è propedeutica a una valutazione tesa a confermare o meno il proseguimento del rapporto cliente-fornitore, essendo il presidio del livello di sicurezza della catena di fornitura uno degli adempimenti previsti da entrambe le normative.
Tuttavia, una indiscriminata e non mirata campagna di verifica effettuata sui propri fornitori da parte delle entità finanziarie e delle altre aziende soggette a DORA o alla NIS 2 non è una buona idea, e può comportare per le aziende interessate, in particolar modo per le entità finanziarie (soggette, teoricamente, ad entrambe le normative), conseguenze difficili da gestire.
Vediamo perché.
Il caso concreto di una banca italiana
Prendiamo in considerazione un caso concreto di cui ho avuto notizia.
Una banca italiana ha inoltrato a un proprio fornitore, una società che organizza eventi, un questionario, nel quale chiedeva la presenza di un SIEM (Security Information and Event Management) presso il fornitore.
Analizziamo la questione da due diversi punti di vista.
Perché la banca ha fatto ora una simile richiesta?
Si dovrebbe supporre che, considerando le premesse dei paragrafi precedenti, stia agendo per adeguarsi a NIS 2 o DORA e non già a normative preesistenti, quali quelle emesse da EBA o del GDPR, ormai in vigore da anni, per le quali una simile richiesta parrebbe fuori tempo massimo.
Considerando le due normative citate, tuttavia, una simile richiesta non ha ragione di essere.
Per DORA il fornitore in questione è fuori perimetro; non è un fornitore ICT e quindi non interessa la catena di fornitura presidiata dal Regolamento.
Per quanto attiene la NIS 2 sarebbe sicuramente in perimetro, ma come abbiamo visto in un precedente articolo sulle prime scadenze della Direttiva europea, la Commissione ha valutato che le banche non devono applicare la NIS 2, essendo già soggette a DORA.
Quindi nessuna di queste due normative richiede alla banca di attivarsi per un’azione di questo tipo.
È evidente che la banca è libera di fare questa ricognizione sui propri fornitori indipendentemente dall’esistenza di un obbligo normativo, ma le conseguenze di tale azione devono essere attentamente valutate.
L’esistenza di una normativa può infatti costituire un elemento molto importante a livello contrattuale, in quanto, in funzione di come è formulato il contratto in essere con il fornitore, gli adeguamenti conseguenti all’emanazione di una nuova normativa potrebbero comportare degli oneri economici più limitati per la banca.
Conseguenze di una massiva e indiscriminata indagine sui fornitori
Passiamo infatti ora ad analizzare il secondo aspetto della questione.
Quali sono le conseguenze per la banca derivanti da questa massiva ed indiscriminata indagine sui propri fornitori?
Appare chiaro che la banca non ha differenziato i questionari che ha inoltrato ai propri fornitori, altrimenti non avrebbe chiesto ad un fornitore di eventi, se avesse un SIEM.
Per quale motivo tale fornitore, che probabilmente tratta per conto della banca i soli dati di contatto dei partecipanti agli eventi, dati che per la maggior parte sono probabilmente facilmente reperibili on line, dovrebbe dotarsi di un SIEM e chissà di quali altre misure di sicurezza non proporzionali al rischio?
La tendenza a standardizzare e a semplificare non è una buona cosa, e può avere delle conseguenze molto spiacevoli per chi agisce senza le opportune valutazioni.
Se un’azienda soggetta a DORA e/o NIS 2 invia un questionario con una serie di requisiti a un fornitore, sta implicitamente dichiarando che ha valuto preventivamente che tali requisiti debbano essere necessariamente implementati presso quel fornitore.
Viceversa, non avrebbe fatto una simile richiesta.
Cosa succede se il fornitore risponde dichiarando che alcuni dei requisiti non sono soddisfatti?
Questo può essere un problema: l’azienda ha valutato che tali requisiti sono indispensabili per il mantenimento del rapporto e quindi, in loro assenza, non può fare altro che revocare il contratto con il fornitore, salvo il caso che, lo stesso non decida di aderire alle richieste del cliente.
Ma questa seconda fattispecie può verificarsi solo se il rapporto costi/benefici per il fornitore è positivo.
Una revoca del contratto comporterebbe inoltre, da parte dell’azienda cliente, l’attivazione di un exit plan e la presenza di un fornitore alternativo o una reinternalizzazione della lavorazione esternalizzata.
Ma quanti sono i fornitori di eventi che hanno un SIEM e dispongono degli altri requisiti di sicurezza che sono stati richiesti?
Il pericolo che molti fornitori, ai quali siano stati richiesti irragionevoli requisiti di sicurezza (non proporzionali al reale rischio della loro fornitura), non siano in realtà in grado di adeguarsi è alto, e questo potrebbe comportare la perdita di un rilevante numero di essi.
Conclusioni
Evidenzio che la banca in questione non ha molte alternative rispetto alla revoca del contratto, in quanto una eventuale prosecuzione del rapporto in assenza dei requisiti di sicurezza richiesti al fornitore comporterebbe un’assunzione di rischio che la banca deve giustificare in sede di visita ispettiva.
Questo potrebbe essere accettabile se la questione riguarda un fornitore, ma non se la pratica è diffusa.
Inoltre, la banca potrebbe permettersi una sostituzione dei fornitori solo se, oltre ad avere individuato preventivamente una serie di fornitori alternativi, ha altresì valutato positivamente la loro postura di sicurezza.
La banca, quindi, si è messa in una posizione difficilmente gestibile e la scarsa attenzione dimostrata nell’attivare il processo di rivalutazione dei fornitori può trasformarsi in un boomerang per la stessa.
Attenzione, quindi: il processo di valutazione di un fornitore è un’attività da non sottovalutare e non può essere standardizzata o semplificata.
In caso contrario, il rischio di dover gestire innumerevoli situazioni come quella precedentemente descritta è molto alto.
