la guida

Supply chain e sovranità digitale: compliance NIS2 e DORA



Indirizzo copiato

NIS2 e DORA rafforzano gli obblighi sulla sicurezza della supply chain, imponendo controlli continui sui fornitori, responsabilità dirette per i vertici aziendali, clausole contrattuali specifiche, registri informativi e verifiche documentabili lungo tutta la catena di approvvigionamento

Pubblicato il 6 lug 2026

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Maria Beatrice Versaci

Analyst, Hermes Bay



sicurezza della supply chain
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • Le direttive NIS2 e DORA spostano la cybersicurezza ai vertici: la catena di approvvigionamento ICT è soggetta a responsabilità personale.
  • Obblighi operativi: due diligence pre e continua, classificazione e audit sui fornitori critici, clausole contrattuali, registro informativo e test di resilienza (TLPT).
  • Le sanzioni possono essere elevate per enti, fornitori e management; le scadenze 2026 attivano ispezioni e richiedono evidenze operative e contrattuali.
Riassunto generato con AI


La direttiva NIS2 e il regolamento DORA hanno spostato il baricentro della cybersicurezza europea: la messa in sicurezza della catena di approvvigionamento ICT è oggi un obbligo che grava direttamente sugli organi di vertice: i loro esponenti sono tenuti ad approvare le misure di sicurezza, a sorvegliarne l’attuazione attraverso verifiche continuative sulla catena dei fornitori e, in caso di inadempienza, sono sanzionati a titolo personale, non soltanto come rappresentanti dell’ente.

Le due normative partono dalla stessa premessa: la sicurezza di un’organizzazione dipende tanto dalla rete di fornitori a cui si affida quanto dai propri sistemi, e la catena di approvvigionamento ICT è diventata il punto più esposto dell’intero sistema. Il che ha conseguenze precise su chi siede ai vertici delle organizzazioni coinvolte, chiamati a rispondere in prima persona di scelte che un tempo restavano confinate al perimetro informatico.

Compliance NIS2 e DORA nella catena di fornitura ICT

La direttiva NIS2, recepita in Italia con il decreto legislativo 138 del 2024, include la sicurezza della catena di fornitura tra le misure di gestione del rischio che i soggetti essenziali e importanti devono adottare, accanto alla gestione degli incidenti.

L’obbligo va oltre la semplice verifica che il fornitore sia sicuro al momento della selezione: l’articolo 24 del decreto impone di valutare la qualità complessiva delle pratiche di cybersicurezza del fornitore, incluse le procedure di sviluppo dei software e la sua capacità di gestire le vulnerabilità nel tempo.

L’articolo 3 del medesimo decreto prevede inoltre che un fornitore il quale rappresenti un elemento sistemico critico nella catena di approvvigionamento di un soggetto essenziale o importante possa a sua volta ricadere nell’ambito di applicazione della normativa, indipendentemente dalle proprie dimensioni.

Il regolamento DORA, applicabile dal gennaio 2025 al settore finanziario, dedica alla gestione del rischio delle terze parti ICT la porzione più estesa dell’intero testo, dagli articoli 28 al 44, e sancisce all’articolo 28 un principio cardine: l’entità finanziaria resta pienamente responsabile del rispetto di tutti i propri obblighi normativi anche quando esternalizza funzioni o servizi a fornitori terzi.

L’esternalizzazione non trasferisce mai la responsabilità legale. In entrambi i casi il fornitore entra di fatto nel perimetro di sicurezza dell’organizzazione.

La responsabilità personale dei vertici aziendali

È su questo terreno che le due normative convergono in modo più netto sulla responsabilità dei vertici. L’articolo 23 del decreto 138 del 2024 affida agli organi di amministrazione e direttivi il compito di approvare le misure di gestione del rischio, vigilare sulla loro attuazione e rispondere delle violazioni commesse dall’organizzazione che rappresentano.

La responsabilità personale scatta anche per chi non ha sorvegliato adeguatamente l’attuazione della misura, pur senza averla disposta in prima persona, richiamando il principio, già presente nel codice civile, per cui gli amministratori devono vigilare con la cura e l’attenzione richieste dal proprio ruolo.

Il regolamento DORA, all’articolo 6, attribuisce un ruolo analogo all’organo di gestione delle entità finanziarie, tenuto a definire e approvare il quadro di gestione del rischio informatico, stabilire i livelli di rischio tollerabili e garantire risorse adeguate alla resilienza operativa digitale.

La cybersicurezza entra così, a tutti gli effetti, tra le responsabilità di governance dei vertici aziendali.

Due diligence sui fornitori ICT prima e dopo il contratto

Sul piano operativo, entrambe le normative chiedono una due diligence che comincia prima ancora della firma del contratto.

Il regolamento DORA, all’articolo 28, impone alle entità finanziarie di valutare i rischi informatici di ogni categoria di fornitura già in fase di qualifica del fornitore, verificandone la capacità operativa e finanziaria, le garanzie in materia di protezione dei dati e l’assenza di conflitti di interesse.

Solo i fornitori che soddisfano questi requisiti preventivi possono essere selezionati; per quelli che gestiscono funzioni essenziali o importanti, il livello di approfondimento richiesto è ulteriormente elevato.

Una verifica condotta una sola volta non garantisce che il fornitore mantenga lo stesso livello di sicurezza negli anni successivi, per cui la due diligence deve proseguire per tutta la durata del rapporto, con la capacità di rilevare cambiamenti rilevanti nella postura di sicurezza del fornitore o nella sua situazione societaria.

Le organizzazioni sono chiamate a classificare i propri fornitori in base alla criticità, riservando controlli approfonditi e audit periodici a chi gestisce processi essenziali o dati sensibili.

Clausole contrattuali, audit e controllo sui subfornitori

Per i contratti che supportano funzioni essenziali o importanti, l’articolo 30 del DORA impone clausole specifiche: il diritto di accesso, ispezione e audit illimitato da parte dell’entità finanziaria e delle autorità di vigilanza, l’obbligo del fornitore di notificare senza ritardo qualsiasi incidente ICT e la predisposizione di piani di uscita documentati e periodicamente testati, per garantire che l’entità possa migrare verso un altro fornitore senza interruzione dei servizi critici.

La catena di controllo si estende anche ai subfornitori: il regolamento obbliga il fornitore primario a imporre ai propri subfornitori gli stessi standard di sicurezza e gli stessi diritti di accesso e ispezione, con l’approvazione scritta e preventiva dell’entità finanziaria prima di qualsiasi subappalto di funzioni critiche.

In questo modo la visibilità dell’organizzazione sulla propria supply chain copre l’intera catena fino ai fornitori dei fornitori.

Fornitore rilevante NIS e registro delle informazioni DORA

In Italia l’Agenzia per la Cybersicurezza Nazionale ha dato forma concreta a questo obbligo con due determinazioni pubblicate il 13 aprile 2026, che introducono la figura del fornitore rilevante NIS5: tra il 15 aprile e il 31 maggio di ogni anno i soggetti NIS devono censire e dichiarare sulla piattaforma dell’Agenzia i propri fornitori critici, indicandone denominazione, codice fiscale, Paese della sede legale e codice di classificazione degli acquisti.

Nel settore finanziario l’obbligo equivalente è il registro delle informazioni previsto dal DORA, che le entità trasmettono ogni anno alle autorità competenti con un livello di dettaglio analogo sulle proprie dipendenze tecnologiche, compresi i subfornitori che supportano funzioni critiche.

Il regolamento dedica inoltre uno dei suoi cinque pilastri ai test di resilienza operativa digitale: le entità finanziarie identificate come critiche dalle autorità nazionali devono sottoporsi, almeno ogni tre anni, a test di penetrazione basati su minacce reali, i cosiddetti TLPT (Threat-Led Penetration Test), avviati concretamente nel corso del 2026.6

Per i fornitori ICT più esposti, a partire dai grandi operatori cloud, questi test possono includerli direttamente attraverso pool di verifica condivisi tra più clienti, per gestire l’impatto di una singola verifica su servizi usati in comune da decine di entità finanziarie.

Sanzioni NIS2 e DORA per enti, fornitori e management

Il mancato rispetto di questi obblighi espone a un quadro sanzionatorio articolato su più livelli.

Per la NIS2 le sanzioni amministrative possono arrivare fino a dieci milioni di euro o al 2% del fatturato globale annuo per i soggetti essenziali, fino a sette milioni o al 1,4% per i soggetti importanti.

A queste si affianca una misura che riguarda le persone fisiche: la sospensione temporanea dalle funzioni dirigenziali, che l’Agenzia può disporre nei confronti degli amministratori ritenuti responsabili fino all’adozione delle misure correttive.

Il regolamento DORA distingue invece due regimi: ai fornitori ICT designati come critici le autorità di vigilanza europee possono imporre penalità, per ogni giorno di violazione persistente, fino al 1% del fatturato medio giornaliero mondiale, mentre per le entità finanziarie le sanzioni restano affidate alle normative nazionali di recepimento, variabili da Stato a Stato.

Il decreto legislativo di recepimento italiano prevede per le violazioni più gravi, tra cui quelle in materia di governance e responsabilità del management, sanzioni fino al 10% del fatturato annuo complessivo, accompagnate da sanzioni pecuniarie personali a carico di chi svolge funzioni di amministrazione, direzione o controllo7.

Supply chain, cloud e sovranità digitale europea

Gli obblighi di mappatura introdotti dalle due normative hanno anche un effetto indiretto: rendono visibile quanto le infrastrutture critiche europee dipendano da fornitori extra UE.

Lo scorso novembre le autorità di vigilanza finanziaria europee hanno pubblicato il primo elenco8 dei fornitori ICT considerati critici ai sensi di DORA: diciannove società, in larga parte filiali europee di gruppi extra UE, per lo più statunitensi, designate come punto di contatto con i supervisori proprio perché il regolamento lo impone.

Gran parte del controllo effettivo resta però fuori dal perimetro europeo. Il dato si inserisce in una tendenza più ampia, quella della progressiva riduzione della quota di mercato dei fornitori cloud europei, scesa dal ventinove al quindici per cento tra il 2017 e il 2024, mentre tre operatori statunitensi coprono ormai circa il settanta per cento della domanda continentale.9

A questo squilibrio si è risposto su più piani: dallo schema di certificazione europeo per i servizi cloud sviluppato da ENISA fino al pacchetto della Commissione sulla sovranità tecnologica presentato nel 2026, che affianca al Cloud and AI Development Act una revisione della normativa sui semiconduttori.10

In questo senso, la compliance NIS2 e DORA diventa anche un termometro dell’autonomia strategica del continente, oltre che uno strumento di gestione del rischio operativo.

Scadenze 2026 e prime ispezioni formali

Le scadenze più ravvicinate fissano già un orizzonte preciso.

Entro ottobre 2026 i soggetti NIS già censiti dovranno completare l’adozione delle misure di sicurezza, inclusa quella sulla catena di fornitura, e nello stesso mese l’Agenzia per la Cybersicurezza Nazionale avvierà le prime ispezioni formali.

Per i soggetti essenziali la vigilanza sarà proattiva, con l’Agenzia che potrà avviare controlli senza attendere una segnalazione; per i soggetti importanti resterà invece reattiva, attivata da incidenti o segnalazioni esterne.11

In entrambi i casi le verifiche andranno oltre le policy scritte, chiedendo di esibire prove concrete: registri degli incidenti, evidenza dell’esecuzione dei backup, verbali della formazione del personale, contratti con i fornitori effettivamente aggiornati con le clausole di sicurezza richieste.12

Per i vertici delle organizzazioni coinvolte, mappare i fornitori critici, rivedere le clausole contrattuali e dimostrare un controllo effettivo sulla catena di approvvigionamento è ormai una componente centrale della responsabilità di governo dell’impresa, prima ancora che un esercizio di conformità.

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Articoli correlati

0
Lascia un commento, la tua opinione conta.x