La gestione del rischio di terze parti è diventata un’esigenza fondamentale nel panorama aziendale odierno. Il ricorso a fornitori esterni consente alle imprese di concentrarsi sulle loro attività principali e di ridurre i costi affidando servizi come la gestione dei sistemi informatici a partner specializzati.
Tuttavia, con il rafforzamento della relazione tra azienda e fornitori, aumentano anche le dipendenze e, di conseguenza, i rischi legati alla sicurezza dei dati e dei sistemi condivisi.
Esaminiamo, quindi, il ruolo delle aziende nella gestione del rischio di terze parti alla luce degli obblighi e delle responsabilità introdotte dalla direttiva NIS 2.
Indice degli argomenti
Aziende e clienti parte di un sistema interdipendente
Gli attacchi informatici sono da anni in costante aumento e sfruttano sempre più spesso vulnerabilità presenti nelle catene di approvvigionamento.
Gli attacchi possono generare effetti a cascata, danneggiando non solo le organizzazioni direttamente colpite ma anche chi utilizza i loro servizi.
Questo effetto domino è particolarmente pericoloso in un contesto in cui ogni anello della catena è strettamente interconnesso con gli altri e dove le vulnerabilità di un singolo soggetto possono rappresentare una minaccia per l’intera rete.
Un esempio recente è il malfunzionamento che, a luglio 2024, ha coinvolto il fornitore di soluzioni di cyber sicurezza CrowdStrike, provocando disagi a clienti e utenti su scala internazionale.
Sebbene il problema sia stato attribuito a un aggiornamento difettoso di un prodotto e non a un’azione malevola, l’episodio dimostra quanto rapidamente un disservizio possa propagarsi attraverso diversi livelli di fornitori e clienti.
La direttiva NIS 2, recepita in Italia con il Decreto Legislativo n.138 del 4 settembre 2024, impone obblighi stringenti in materia di cyber sicurezza a organizzazioni di numerosi settori, con l’obiettivo di proteggere sia loro stesse sia il tessuto socio-economico di cui fanno parte.
I soggetti in perimetro NIS 2 devono adottare un approccio basato sul rischio, che preveda misure idonee a garantire la sicurezza della catena di approvvigionamento, inclusa la gestione dei rapporti con i propri fornitori, al fine di assicurare la continuità dei loro servizi e la resilienza dell’intera filiera.
Aziende clienti e i loro fornitori devono, quindi, considerarsi parte di un sistema interdipendente, dove la caduta di un componente può compromettere l’integrità dell’intera catena.
Diligenza nella selezione dei fornitori di servizi gestiti
Entrando nel merito degli obblighi previsti dalla direttiva, i soggetti in perimetro NIS 2 sono chiamati a valutare attentamente la qualità, la sicurezza e la resilienza dei servizi e dei prodotti dei loro fornitori, tenendo conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi.
Particolare diligenza è richiesta nella selezione dei fornitori di servizi di sicurezza gestiti, come servizi di protezione degli endpoint (es. antivirus), di gestione delle vulnerabilità (es. VA-PT) e di monitoraggio e risposta agli incidenti (es. SOC), per via della loro rischiosità.
Tale aspetto può trasformarsi in un vantaggio competitivo per le aziende che offrono questo tipo di servizi e sono in grado di dimostrare la propria conformità agli standard di sicurezza più elevati.
Requisiti di gestione dei rischi negli accordi contrattuali
Ai soggetti in perimetro NIS2 è richiesto, inoltre, di integrare requisiti di gestione dei rischi di cyber sicurezza all’interno degli accordi contrattuali con i fornitori, al fine di garantire l’adeguatezza delle misure da essi adottate.
Tali clausole dovrebbero riguardare, per esempio, la verifica delle pratiche di sicurezza adottate dai fornitori e il rispetto di requisiti di sviluppo sicuro del software.
La revisione degli accordi contrattuali può rappresentare un’attività complessa e onerosa per le imprese; è quindi consigliabile avviarla fin da subito, sfruttando i rinnovi come opportunità per negoziare clausole più tutelanti e conformi ai nuovi obblighi di legge.
Nel gestire i rapporti con i propri fornitori, la direttiva invita, inoltre, a prendere in considerazione anche potenziali fattori di rischio non tecnici, come l’influenza indebita da parte di paesi terzi. Questo tipo di minaccia può manifestarsi attraverso l’introduzione di vulnerabilità nascoste, come backdoor nei prodotti e nei servizi forniti che potrebbe compromettere la sicurezza dell’intera infrastruttura IT dell’azienda stessa.
Gestire il rischio del lock-in tecnologico
Un ulteriore fattore di rischio citato nella direttiva è quello di lock-in tecnologico, in cui l’azienda diventi eccessivamente dipendente da un singolo fornitore al punto da rendere difficile e costoso cambiare fornitore o tecnologie.
La NIS 2 riconosce la rilevanza di questi rischi per la sicurezza delle catene di approvvigionamento e incoraggia le imprese a tenere presenti tali aspetti nella valutazione dei propri fornitori.
Conclusioni
Con l’avvento della NIS 2, ai fornitori viene riconosciuto un ruolo che va oltre la semplice erogazione di un servizio ma implica una responsabilità nel garantire la sicurezza e la resilienza dell’intera catena di approvvigionamento.
Per i fornitori, il rispetto di standard di cyber sicurezza sempre più rigorosi rappresenta non solo un obbligo, ma anche un’opportunità di migliorare la propria competitività sul mercato.
Essere in grado di dimostrare un elevato livello di sicurezza e conformità può diventare un valore aggiunto, in grado di rafforzare la fiducia dei partner commerciali e dei clienti finali.
Al tempo stesso, le aziende dovranno continuare a evolversi e potenziare i loro presidi di gestione del rischio di terze parti, adottando un approccio olistico e collaborativo che includa un maggior coinvolgimento e controllo dei propri fornitori.
La capacità di prevenire incidenti e di garantire la propria continuità operativa non si baseranno più soltanto sulla resilienza interna delle organizzazioni, ma anche sulla loro abilità nel selezionare e gestire in modo efficace i propri fornitori.
