Supply chain e Nis2, come valutare i rischi ed essere compliant

Un aspetto innovativo della NIS 2 è l’attenzione alla catena di approvvigionamento o supply chain. I fornitori devono valutare la sicurezza dei propri subfornitori e partner, integrando criteri di cybersicurezza nei contratti e nei processi di procurement.

L’art. 21 della Direttiva NIS “ riporta: “Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi”, comprendendo quindi alla lettera d) del comma 2 “sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”.

Obiettivi della valutazione del rischio

Gli obiettivi della valutazione del rischio includono:

• Identificazione e classificazione degli asset: consiste nel riconoscere tutte le risorse rilevanti per l’organizzazione, suddividendole per tipologia e criticità, così da determinare quali elementi risultano essenziali per la continuità e la sicurezza operativa. Gli asset da valutare includono: asset Fisici (server, storage, UPS, sistemi HVAC), asset logici (software, API, DNS), informativi (dati sensibili, configurazioni), umani (personale, fornitori), servizi (cloud, edge computing)
• Analisi delle minacce e vulnerabilità: prevede l’individuazione dei potenziali rischi, minacce esterne e interne, e delle debolezze nei sistemi, processi o persone che potrebbero essere sfruttate per compromettere la sicurezza. Le minacce includono attacchi, ransomware, vulnerabilità zero-day, errori umani, eventi fisici come incendi e blackout. Una vulnerabilità zero day è una falla di sicurezza presente in un software, in un sistema operativo, in un hardware o in qualsiasi componente tecnologico, che è sconosciuta al produttore o agli sviluppatori e, di conseguenza, non ha ancora una correzione o una patch disponibile. Il termine “zero day” si riferisce al fatto che, dal momento in cui la vulnerabilità viene scoperta da attori malevoli (cybercriminali, hacker, gruppi di attacco avanzati), l’organizzazione e il produttore hanno zero giorni di tempo per risolvere il problema prima che possa essere sfruttato.
• Stima degli impatti e delle probabilità: si tratta di valutare quali sarebbero le conseguenze di un evento avverso e con quale frequenza o probabilità esso potrebbe verificarsi, così da stabilire le priorità di intervento.
• Definizione di misure di mitigazione: include la scelta e l’implementazione delle contromisure più adatte a ridurre o eliminare i rischi identificati, sia di natura tecnica, organizzativa che procedurale.
• Documentazione e aggiornamento continuo: riguarda la registrazione accurata delle analisi svolte e delle decisioni prese, insieme alla revisione periodica del processo per garantire che resti efficace nel tempo e risponda alle nuove minacce.

Criteri ISO per la gestione del rischio e asset da valutare

La valutazione del rischio deve seguire standard internazionali:

• ISO/IEC 27005: fornisce linee guida per la gestione del rischio di sicurezza delle informazioni
• ISO 31000: definisce principi e framework per la gestione del rischio in generale

Questi criteri ISO svolgono un ruolo fondamentale nel fornire una struttura riconosciuta a livello internazionale per la gestione del rischio. La norma ISO/IEC 27005, in particolare, rappresenta un riferimento specifico per la sicurezza delle informazioni: essa guida le organizzazioni nell’identificazione, valutazione e trattamento dei rischi che possono minacciare la riservatezza, l’integrità e la disponibilità dei dati. La norma offre un processo metodico che parte dalla definizione del contesto fino alla selezione delle misure di controllo più adeguate, favorendo l’adozione di un approccio dinamico, basato sull’analisi costante dei cambiamenti nei sistemi informativi e nelle minacce emergenti.

Dall’altra parte, la ISO 31000 si occupa della gestione del rischio in senso più ampio, fornendo principi generali e un framework adattabile a qualsiasi tipologia di organizzazione o settore. Essa promuove una cultura del rischio, incoraggiando l’integrazione della gestione del rischio in tutti i processi aziendali, dal decision making strategico fino alle attività operative quotidiane. La norma sottolinea l’importanza della leadership, della comunicazione efficace e dell’impegno di tutte le parti interessate, affinché la gestione del rischio diventi parte integrante della governance e contribuisca al raggiungimento degli obiettivi aziendali.

Grazie a queste norme, le organizzazioni possono strutturare il loro processo di valutazione e trattamento del rischio in modo sistematico, trasparente e documentato, garantendo la conformità alle migliori pratiche internazionali e facilitando l’allineamento con le richieste della NIS 2 e delle altre normative di settore.

Gestione della supply chain secondo Nis2

La NIS 2 impone:

• Valutazione della resilienza dei fornitori: consiste nell’analizzare la capacità dei fornitori di garantire la continuità operativa e il ripristino dei servizi in caso di attacchi o incidenti di sicurezza. Questa valutazione prende in esame elementi come i piani di disaster recovery, la ridondanza delle infrastrutture, la gestione delle emergenze e la risposta agli incidenti, assicurandosi che i fornitori dispongano di processi solidi per affrontare eventi inattesi.
• Integrazione di criteri di sicurezza nei contratti: richiede che tutte le condizioni e i requisiti di sicurezza siano formalmente inclusi nei contratti stipulati con i fornitori. Ciò comprende la definizione di SLA specifici per la sicurezza, le modalità di gestione degli accessi, i vincoli sul trattamento dei dati, le clausole di responsabilità in caso di violazione e le misure minime che il fornitore deve garantire lungo tutta la catena di fornitura.
• Monitoraggio continuo delle terze parti: implica il controllo regolare e sistematico delle attività dei fornitori durante tutta la durata del rapporto contrattuale. Questo monitoraggio può includere audit periodici, analisi di indicatori di performance e sicurezza, verifiche di conformità e uso di strumenti automatizzati per rilevare tempestivamente eventuali anomalie, vulnerabilità o comportamenti non conformi agli standard di sicurezza aziendali.
• Notifica degli incidenti causati da fornitori: prevede che i fornitori abbiano l’obbligo di segnalare tempestivamente qualsiasi incidente di sicurezza che possa avere impatti sui servizi o dati dell’organizzazione. La notifica deve essere dettagliata, contenere informazioni sulle cause, sulle azioni correttive adottate e sulle tempistiche previste per il ripristino, consentendo così all’organizzazione di attivare le proprie procedure di gestione degli incidenti e di limitare eventuali danni.

Il processo di qualificazione e due diligence richiede una serie di verifiche puntuali: dalla raccolta e controllo della documentazione, come certificazioni e risultati di audit, fino alla compilazione di dettagliati questionari di conformità e, laddove necessario, all’effettuazione di audit in presenza o da remoto. A ciò si affianca una valutazione del rischio associato al fornitore, per comprendere l’effettivo livello di esposizione dell’organizzazione.

Il ruolo di ENISA

ENISA, l’Agenzia dell’Unione europea per la sicurezza informatica, è un organismo che fornisce supporto tecnico, raccomandazioni e buone pratiche agli Stati membri e alle organizzazioni europee in materia di cyber security. Le linee guida di ENISA ribadiscono con forza l’importanza di una policy strutturata per la sicurezza della supply chain. Suggeriscono criteri rigorosi sia nella selezione sia nella fase di monitoraggio, sottolineando il valore della valutazione della resilienza dei prodotti TIC scelti e raccomandando l’integrazione di processi di gestione del rischio direttamente nei contratti stipulati con i partner strategici. Così, la protezione dell’ecosistema digitale non si limita al perimetro interno, ma si estende in modo consapevole e controllato a tutta la  filiera.

 Integrazione tra risk management e supply chain

Questa tabella, per concludere, rappresenta in modo efficace la correlazione tra i principali aspetti del risk management e la gestione della supply chain. L’interconnessione tra le due dimensioni è cruciale: identificare e classificare correttamente gli asset, così come mappare i fornitori critici, permette di avere una visione chiara delle vulnerabilità potenziali e delle dipendenze. L’analisi delle minacce, sia interne che esterne, trova la sua completudine nell’approfondimento dei rischi provenienti dai terzi, rafforzando la consapevolezza che una gestione olistica non può prescindere da una visione allargata dell’intero ecosistema. Solo un’integrazione strutturata fra valutazione del rischio e gestione della supply chain consente di attuare strategie di mitigazione realmente efficaci e di tutelare la resilienza organizzativa nel tempo.