La direttiva NIS2 e il regolamento DORA hanno spostato il baricentro della cybersicurezza europea: la messa in sicurezza della catena di approvvigionamento ICT è oggi un obbligo che grava direttamente sugli organi di vertice: i loro esponenti sono tenuti ad approvare le misure di sicurezza, a sorvegliarne l’attuazione attraverso verifiche continuative sulla catena dei fornitori e, in caso di inadempienza, sono sanzionati a titolo personale, non soltanto come rappresentanti dell’ente.
Le due normative partono dalla stessa premessa: la sicurezza di un’organizzazione dipende tanto dalla rete di fornitori a cui si affida quanto dai propri sistemi, e la catena di approvvigionamento ICT è diventata il punto più esposto dell’intero sistema. Il che ha conseguenze precise su chi siede ai vertici delle organizzazioni coinvolte, chiamati a rispondere in prima persona di scelte che un tempo restavano confinate al perimetro informatico.
Indice degli argomenti
Compliance NIS2 e DORA nella catena di fornitura ICT
La direttiva NIS2, recepita in Italia con il decreto legislativo 138 del 2024, include la sicurezza della catena di fornitura tra le misure di gestione del rischio che i soggetti essenziali e importanti devono adottare, accanto alla gestione degli incidenti.
L’obbligo va oltre la semplice verifica che il fornitore sia sicuro al momento della selezione: l’articolo 24 del decreto impone di valutare la qualità complessiva delle pratiche di cybersicurezza del fornitore, incluse le procedure di sviluppo dei software e la sua capacità di gestire le vulnerabilità nel tempo.
L’articolo 3 del medesimo decreto prevede inoltre che un fornitore il quale rappresenti un elemento sistemico critico nella catena di approvvigionamento di un soggetto essenziale o importante possa a sua volta ricadere nell’ambito di applicazione della normativa, indipendentemente dalle proprie dimensioni.
Il regolamento DORA, applicabile dal gennaio 2025 al settore finanziario, dedica alla gestione del rischio delle terze parti ICT la porzione più estesa dell’intero testo, dagli articoli 28 al 44, e sancisce all’articolo 28 un principio cardine: l’entità finanziaria resta pienamente responsabile del rispetto di tutti i propri obblighi normativi anche quando esternalizza funzioni o servizi a fornitori terzi.
L’esternalizzazione non trasferisce mai la responsabilità legale. In entrambi i casi il fornitore entra di fatto nel perimetro di sicurezza dell’organizzazione.
La responsabilità personale dei vertici aziendali
È su questo terreno che le due normative convergono in modo più netto sulla responsabilità dei vertici. L’articolo 23 del decreto 138 del 2024 affida agli organi di amministrazione e direttivi il compito di approvare le misure di gestione del rischio, vigilare sulla loro attuazione e rispondere delle violazioni commesse dall’organizzazione che rappresentano.
La responsabilità personale scatta anche per chi non ha sorvegliato adeguatamente l’attuazione della misura, pur senza averla disposta in prima persona, richiamando il principio, già presente nel codice civile, per cui gli amministratori devono vigilare con la cura e l’attenzione richieste dal proprio ruolo.
Il regolamento DORA, all’articolo 6, attribuisce un ruolo analogo all’organo di gestione delle entità finanziarie, tenuto a definire e approvare il quadro di gestione del rischio informatico, stabilire i livelli di rischio tollerabili e garantire risorse adeguate alla resilienza operativa digitale.
La cybersicurezza entra così, a tutti gli effetti, tra le responsabilità di governance dei vertici aziendali.
Due diligence sui fornitori ICT prima e dopo il contratto
Sul piano operativo, entrambe le normative chiedono una due diligence che comincia prima ancora della firma del contratto.
Il regolamento DORA, all’articolo 28, impone alle entità finanziarie di valutare i rischi informatici di ogni categoria di fornitura già in fase di qualifica del fornitore, verificandone la capacità operativa e finanziaria, le garanzie in materia di protezione dei dati e l’assenza di conflitti di interesse.
Solo i fornitori che soddisfano questi requisiti preventivi possono essere selezionati; per quelli che gestiscono funzioni essenziali o importanti, il livello di approfondimento richiesto è ulteriormente elevato.
Una verifica condotta una sola volta non garantisce che il fornitore mantenga lo stesso livello di sicurezza negli anni successivi, per cui la due diligence deve proseguire per tutta la durata del rapporto, con la capacità di rilevare cambiamenti rilevanti nella postura di sicurezza del fornitore o nella sua situazione societaria.
Le organizzazioni sono chiamate a classificare i propri fornitori in base alla criticità, riservando controlli approfonditi e audit periodici a chi gestisce processi essenziali o dati sensibili.
Clausole contrattuali, audit e controllo sui subfornitori
Per i contratti che supportano funzioni essenziali o importanti, l’articolo 30 del DORA impone clausole specifiche: il diritto di accesso, ispezione e audit illimitato da parte dell’entità finanziaria e delle autorità di vigilanza, l’obbligo del fornitore di notificare senza ritardo qualsiasi incidente ICT e la predisposizione di piani di uscita documentati e periodicamente testati, per garantire che l’entità possa migrare verso un altro fornitore senza interruzione dei servizi critici.
La catena di controllo si estende anche ai subfornitori: il regolamento obbliga il fornitore primario a imporre ai propri subfornitori gli stessi standard di sicurezza e gli stessi diritti di accesso e ispezione, con l’approvazione scritta e preventiva dell’entità finanziaria prima di qualsiasi subappalto di funzioni critiche.
In questo modo la visibilità dell’organizzazione sulla propria supply chain copre l’intera catena fino ai fornitori dei fornitori.
Fornitore rilevante NIS e registro delle informazioni DORA
In Italia l’Agenzia per la Cybersicurezza Nazionale ha dato forma concreta a questo obbligo con due determinazioni pubblicate il 13 aprile 2026, che introducono la figura del fornitore rilevante NIS5: tra il 15 aprile e il 31 maggio di ogni anno i soggetti NIS devono censire e dichiarare sulla piattaforma dell’Agenzia i propri fornitori critici, indicandone denominazione, codice fiscale, Paese della sede legale e codice di classificazione degli acquisti.
Nel settore finanziario l’obbligo equivalente è il registro delle informazioni previsto dal DORA, che le entità trasmettono ogni anno alle autorità competenti con un livello di dettaglio analogo sulle proprie dipendenze tecnologiche, compresi i subfornitori che supportano funzioni critiche.
Il regolamento dedica inoltre uno dei suoi cinque pilastri ai test di resilienza operativa digitale: le entità finanziarie identificate come critiche dalle autorità nazionali devono sottoporsi, almeno ogni tre anni, a test di penetrazione basati su minacce reali, i cosiddetti TLPT (Threat-Led Penetration Test), avviati concretamente nel corso del 2026.6
Per i fornitori ICT più esposti, a partire dai grandi operatori cloud, questi test possono includerli direttamente attraverso pool di verifica condivisi tra più clienti, per gestire l’impatto di una singola verifica su servizi usati in comune da decine di entità finanziarie.
Sanzioni NIS2 e DORA per enti, fornitori e management
Il mancato rispetto di questi obblighi espone a un quadro sanzionatorio articolato su più livelli.
Per la NIS2 le sanzioni amministrative possono arrivare fino a dieci milioni di euro o al 2% del fatturato globale annuo per i soggetti essenziali, fino a sette milioni o al 1,4% per i soggetti importanti.
A queste si affianca una misura che riguarda le persone fisiche: la sospensione temporanea dalle funzioni dirigenziali, che l’Agenzia può disporre nei confronti degli amministratori ritenuti responsabili fino all’adozione delle misure correttive.
Il regolamento DORA distingue invece due regimi: ai fornitori ICT designati come critici le autorità di vigilanza europee possono imporre penalità, per ogni giorno di violazione persistente, fino al 1% del fatturato medio giornaliero mondiale, mentre per le entità finanziarie le sanzioni restano affidate alle normative nazionali di recepimento, variabili da Stato a Stato.
Il decreto legislativo di recepimento italiano prevede per le violazioni più gravi, tra cui quelle in materia di governance e responsabilità del management, sanzioni fino al 10% del fatturato annuo complessivo, accompagnate da sanzioni pecuniarie personali a carico di chi svolge funzioni di amministrazione, direzione o controllo7.
Supply chain, cloud e sovranità digitale europea
Gli obblighi di mappatura introdotti dalle due normative hanno anche un effetto indiretto: rendono visibile quanto le infrastrutture critiche europee dipendano da fornitori extra UE.
Lo scorso novembre le autorità di vigilanza finanziaria europee hanno pubblicato il primo elenco8 dei fornitori ICT considerati critici ai sensi di DORA: diciannove società, in larga parte filiali europee di gruppi extra UE, per lo più statunitensi, designate come punto di contatto con i supervisori proprio perché il regolamento lo impone.
Gran parte del controllo effettivo resta però fuori dal perimetro europeo. Il dato si inserisce in una tendenza più ampia, quella della progressiva riduzione della quota di mercato dei fornitori cloud europei, scesa dal ventinove al quindici per cento tra il 2017 e il 2024, mentre tre operatori statunitensi coprono ormai circa il settanta per cento della domanda continentale.9
A questo squilibrio si è risposto su più piani: dallo schema di certificazione europeo per i servizi cloud sviluppato da ENISA fino al pacchetto della Commissione sulla sovranità tecnologica presentato nel 2026, che affianca al Cloud and AI Development Act una revisione della normativa sui semiconduttori.10
In questo senso, la compliance NIS2 e DORA diventa anche un termometro dell’autonomia strategica del continente, oltre che uno strumento di gestione del rischio operativo.
Scadenze 2026 e prime ispezioni formali
Le scadenze più ravvicinate fissano già un orizzonte preciso.
Entro ottobre 2026 i soggetti NIS già censiti dovranno completare l’adozione delle misure di sicurezza, inclusa quella sulla catena di fornitura, e nello stesso mese l’Agenzia per la Cybersicurezza Nazionale avvierà le prime ispezioni formali.
Per i soggetti essenziali la vigilanza sarà proattiva, con l’Agenzia che potrà avviare controlli senza attendere una segnalazione; per i soggetti importanti resterà invece reattiva, attivata da incidenti o segnalazioni esterne.11
In entrambi i casi le verifiche andranno oltre le policy scritte, chiedendo di esibire prove concrete: registri degli incidenti, evidenza dell’esecuzione dei backup, verbali della formazione del personale, contratti con i fornitori effettivamente aggiornati con le clausole di sicurezza richieste.12
Per i vertici delle organizzazioni coinvolte, mappare i fornitori critici, rivedere le clausole contrattuali e dimostrare un controllo effettivo sulla catena di approvvigionamento è ormai una componente centrale della responsabilità di governo dell’impresa, prima ancora che un esercizio di conformità.















Partecipa alla community