L’entrata in vigore del D.Lgs. 4 settembre 2024, n. 138, di attuazione della Direttiva (UE) 2022/2555 (NIS2), impone ai soggetti essenziali e importanti un ripensamento strutturale della gestione del rischio lungo la supply chain digitale. La sicurezza non è più confinata ai sistemi interni dell’organizzazione, ma si estende ai fornitori ICT, ai prestatori di servizi cloud, ai partner tecnologici e, più in generale, a tutti gli attori che contribuiscono all’erogazione dei servizi critici.
Il decreto, in linea con l’impostazione europea, richiede l’adozione di misure adeguate anche in relazione ai rischi derivanti dai fornitori e dalle dipendenze esterne, imponendo un approccio documentato e proporzionato alla gestione della catena di fornitura. Tale impostazione trova un significativo punto di intersezione con il GDPR – Regolamento (UE) 2016/679, che già all’art. 28 disciplina la figura del responsabile del trattamento e impone al titolare di selezionare esclusivamente soggetti che presentino “garanzie sufficienti” in termini di misure tecniche e organizzative.
Indice degli argomenti
Third Party Risk Management nella governance del rischio digitale
L’evoluzione normativa europea conduce dunque verso un modello di responsabilità integrata della supply chain digitale, nel quale cybersecurity e protezione dei dati personali convergono in un’unica architettura di governance del rischio. In questo scenario, il Third Party Risk Management non può più essere concepito come attività meramente contrattuale o come checklist documentale, ma deve essere ricondotto a un quadro sistemico che tenga insieme resilienza operativa, sicurezza delle informazioni e tutela dei diritti fondamentali.
Il ruolo della Business Impact Analysis nella qualificazione dei fornitori critici
Nel modello di governance imposto dal D.Lgs. 138/2024 – attuativo della Direttiva (UE) 2022/2555 (NIS2) – l’organizzazione è chiamata non solo a proteggere i propri sistemi interni, ma anche a gestire in modo documentato ed efficace i rischi derivanti dalle dipendenze esterne e dalla catena di fornitura digitale. L’articolo 21 della NIS2 indica infatti la sicurezza della “supply chain” come elemento costitutivo dell’obbligo di gestione del rischio, richiedendo misure adeguate per valutare, monitorare e trattare i rischi legati ai fornitori diretti o indiretti di prodotti e servizi ICT, che possano impattare sulla resilienza operativa del soggetto regolato.
In questo contesto, la Business Impact Analysis (BIA) assume un ruolo fondamentale nel Third Party Risk Management (TPRM), poiché fornisce la base informativa necessaria per qualificare, classificare e prioritizzare i fornitori in funzione del loro impatto potenziale sui processi critici. Attraverso un’analisi sistemica dei processi aziendali, la BIA permette di identificare quali servizi, sistemi e dati dipendono da soggetti terzi e di quantificare il livello di esposizione del business a un’eventuale compromissione di tali fornitori.
Qualificazione giuridica e criteri oggettivi di valutazione
Dal punto di vista sistemico-giuridico, la qualificazione dei fornitori critici mediante la BIA non è un mero esercizio tecnico, ma un passaggio richiesto implicitamente dall’ordinamento. La NIS2, recepita dal decreto, impone ai soggetti essenziali e importanti di integrare la gestione del rischio lungo tutta la catena di approvvigionamento, includendo la valutazione delle prestazioni di sicurezza dei fornitori e la definizione di requisiti di sicurezza da inserire nei contratti. Parallelamente, l’art. 28 GDPR impone al titolare del trattamento di selezionare responsabili del trattamento che offrano “garanzie sufficienti” in termini di misure tecniche e organizzative, proporzionate al rischio del trattamento stesso. La BIA, mappando processi e sistemi critici, fornisce elementi oggettivi per valutare se un fornitore è in grado di garantire tali garanzie anche in termini di sicurezza e continuità operativa.
Controlli rafforzati e obblighi contrattuali differenziati
L’integrazione tra NIS2 e art. 28 GDPR diventa evidente nella pratica del TPRM: i fornitori qualificati come critici in base alla BIA richiedono un livello di valutazione più approfondito, con controlli che non si limitino alle dichiarazioni contrattuali ma includano audit, evidenze tecniche, test di sicurezza e monitoraggio continuo. Inoltre, la classificazione dei fornitori in funzione dell’impatto potenziale supporta la definizione di obblighi contrattuali differenziati, che integrino requisiti di cybersecurity (continuity management, gestione delle vulnerabilità, risposta agli incidenti, reporting tempestivo) e requisiti di protezione dei dati (confidenzialità, istruzioni documentate, audit privacy).
Third Party Risk Management tra compliance e resilienza operativa
Un approccio strutturato alla qualificazione dei fornitori critici tramite Business Impact Analysis consente quindi di superare un modello frammentato di procurement e compliance con misure coerenti e documentate, riducendo il rischio di incoerenze tra sicurezza tecnica e tutela dei dati personali. Tale modello risponde alla logica integrata di gestione del rischio evidenziata dalla normativa europea, nella quale la resilienza operativa e la protezione dei diritti fondamentali non sono linee di adempimento distinte, ma aspetti complementari di un’unica architettura di governance del rischio digitale.
Analisi comparata tra obblighi supply chain NIS2 e art. 28 GDPR
L’evoluzione normativa europea impone una lettura coordinata degli obblighi in materia di sicurezza della supply chain previsti dalla Direttiva (UE) 2022/2555, come recepita dal D.Lgs. 138/2024, e delle disposizioni dell’art. 28 del Regolamento (UE) 2016/679. Le due normative, pur muovendosi su piani formalmente distinti – la resilienza delle reti e dei sistemi informativi da un lato, la protezione dei dati personali dall’altro – convergono su un medesimo presupposto: la responsabilità dell’organizzazione per i rischi generati dai propri fornitori.
Il D.Lgs. 138/2024, in attuazione dell’art. 21 della NIS2, richiede ai soggetti essenziali e importanti di adottare misure adeguate alla gestione dei rischi derivanti dalla supply chain, includendo la valutazione delle vulnerabilità dei fornitori, l’integrazione di requisiti di sicurezza nei contratti e il monitoraggio continuo delle prestazioni di sicurezza. L’attenzione non è limitata alla fase di selezione, ma si estende all’intero ciclo di vita del rapporto contrattuale, con un approccio dinamico e proporzionato al livello di criticità del servizio fornito.
Le garanzie richieste al responsabile del trattamento
Parallelamente, l’art. 28 GDPR impone al titolare del trattamento di ricorrere esclusivamente a responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, tali da assicurare la conformità al regolamento e la tutela dei diritti degli interessati. Il contratto o altro atto giuridico che disciplina il rapporto deve prevedere, tra l’altro, obblighi di riservatezza, misure di sicurezza adeguate ai sensi dell’art. 32, condizioni per il ricorso a sub-responsabili, cooperazione con il titolare e supporto nella gestione di data breach e richieste degli interessati.
Convergenze, limiti del DPA standard e rafforzamento del management
La comparazione evidenzia una convergenza sostanziale: entrambi i regimi impongono una valutazione preventiva del fornitore, l’integrazione di requisiti di sicurezza nel contratto e la possibilità di esercitare poteri di controllo e verifica. Tuttavia, mentre l’art. 28 GDPR è tradizionalmente declinato in chiave privacy, il framework NIS2 amplia la prospettiva includendo aspetti quali la continuità operativa, la gestione delle vulnerabilità, la sicurezza delle reti, la resilienza dei servizi ICT e la tempestiva notifica degli incidenti.
Ne deriva l’esigenza di superare la prassi diffusa del Data Processing Agreement standardizzato, spesso limitato alla riproduzione formale delle clausole minime previste dal GDPR. In un contesto NIS2, tale approccio appare insufficiente. Il contratto con un fornitore qualificato come critico in base alla Business Impact Analysis deve incorporare un set integrato di requisiti che includa, oltre alle garanzie privacy, obblighi specifici in materia di gestione degli incidenti di sicurezza, continuità del servizio, patch management, vulnerability disclosure, audit tecnico e cooperazione con le autorità competenti.
Dal punto di vista sistemico, ciò comporta un rafforzamento della responsabilità del management. Il D.Lgs. 138/2024 attribuisce agli organi di amministrazione e direzione un ruolo diretto nella supervisione delle misure di gestione del rischio; analogamente, il GDPR fonda la responsabilità del titolare su un obbligo generale di accountability. La definizione delle clausole contrattuali relative alla supply chain non può dunque essere relegata a un’attività meramente legale o di procurement, ma deve essere ricondotta a una scelta di governance consapevole e documentata.
Third Party Risk Management e architettura europea della responsabilità digitale
L’analisi comparata mostra quindi che la gestione della supply chain rappresenta uno dei principali punti di intersezione tra NIS2 e GDPR. La convergenza normativa non determina una sovrapposizione meccanica di obblighi, ma impone la costruzione di un modello integrato di Third Party Risk Management capace di tenere insieme resilienza operativa, sicurezza tecnica e protezione dei dati personali. In tale prospettiva, il contratto non è soltanto uno strumento giuridico, ma il veicolo attraverso cui si traduce in pratica l’architettura europea della responsabilità digitale.
Conclusioni
L’interazione tra D.Lgs. 138/2024 e Regolamento (UE) 2016/679 evidenzia una trasformazione profonda del paradigma di gestione della supply chain digitale. La sicurezza dei fornitori non è più un profilo tecnico accessorio né una clausola standardizzata inserita nei contratti per mera cautela, ma diventa elemento strutturale della responsabilità organizzativa.
La Direttiva NIS2, recepita nell’ordinamento italiano, impone una gestione documentata e proporzionata dei rischi lungo l’intera catena di approvvigionamento ICT. Il GDPR, dal canto suo, già da tempo attribuisce al titolare del trattamento l’onere di selezionare responsabili che offrano garanzie adeguate e di vigilare sulla conformità delle misure adottate. La convergenza tra i due regimi non genera una duplicazione di obblighi, ma rafforza un principio unitario: l’organizzazione risponde anche dei rischi che derivano dalle proprie interdipendenze tecnologiche.
La Business Impact Analysis assume un valore centrale quale strumento di qualificazione dei fornitori critici e di graduazione delle misure contrattuali e organizzative. Essa consente di fondare il Third Party Risk Management su criteri oggettivi di impatto e priorità, superando modelli uniformi e indifferenziati di gestione dei fornitori.
Le imprese soggette a NIS2 si trovano così di fronte a una sfida che è al contempo giuridica e strategica: integrare la sicurezza della supply chain nella propria architettura di governance, coordinando obblighi di resilienza operativa e tutela dei dati personali. La capacità di costruire clausole contrattuali coerenti, sistemi di monitoraggio continuo e flussi informativi condivisi tra funzioni IT, legale, risk management e DPO diventa indice di maturità organizzativa.
La prospettiva europea, ulteriormente rafforzata da strumenti quali il Regolamento DORA, il Cyber Resilience Act e l’AI Act, conferma una tendenza verso una regolazione integrata del rischio tecnologico. In questo contesto, la gestione della supply chain rappresenta uno dei banchi di prova più significativi per dimostrare un’effettiva accountability digitale.
La compliance, dunque, non si esaurisce nell’adeguamento formale a singole disposizioni, ma si traduce nella capacità dell’organizzazione di governare in modo consapevole e documentato le proprie dipendenze tecnologiche. È in tale capacità che si misura oggi la solidità della governance digitale e la credibilità dell’impresa nel nuovo ecosistema regolatorio europeo.
