Il Dlgs. 138/2024, che ha attuato in Italia la direttiva 2022/2555 NIS2, prevede che i soggetti NIS adottino misure di gestione dei rischi per la sicurezza informatica ricomprendenti anche la “sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativa alla sicurezza riguardanti i rapporti tra ciascun soggetto ei suoi diretti fornitori o fornitori di servizi” (art. 24, secondo comma, lett. d)).
Indice degli argomenti
La sicurezza della supply chain nelle clausole contrattuali NIS2
Una buona postura di cybersicurezza potrebbe, infatti, rivelarsi un esercizio lacunoso laddove l’esternalizzazione di alcune funzioni, l’acquisto e/o la manutenzione di sistemi informatici e di rete siano affidati a terzi che non sono o non rendono, a loro volta, servizi in regola con la normativa.
Spesso si tratta di imprese che non sono sottoposte alla NIS2 (anche solo per limiti dimensionali) e sono, quindi, di per sé rispettose della disciplina loro applicabile: semplicemente non hanno un’organizzazione idonea a fornire servizi ICT secondo la nuova normativa.
La NIS2, quindi, obbliga, di fatto, tutta la filiera del soggetto NIS ad uniformare la propria organizzazione e i propri servizi a tali previsioni, ampliando così la propria portata.
Clausole contrattuali NIS2 per la qualificazione dei fornitori
Cosa fare? Di certo comprare servizi “non compliant” non sembra una soluzione consigliabile, soprattutto per l’organo amministrativo del soggetto NIS che, come noto, “risponde delle violazioni” di cui al Dlgs. 138/2024 (art. 23, primo comma, lett. c)) e corre il rischio di inserire una “vulnerabilità” nel proprio sistema di sicurezza in difformità dalle procedure e policies interne.
La disciplina richiede, in pratica, che i fornitori siano rispettosi della NIS2 e del profilo di sicurezza che si è dato il singolo soggetto NIS. Di conseguenza, appare necessario documentare e poter dimostrare (non solo ove richiesto dalle autorità e/o in caso di incidente), fra l’altro, di:
- aver qualificato e verificato preliminarmente il fornitore, secondo proprie procedure interne specifiche, per testare la postura cyber del fornitore in generale e, poi, a livello di ogni singolo acquisto, la specifica fornitura, mediante audit effettuati con check-list/documentali e/o audit “on-site” (tale verifica potrebbe servire sia per abilitare il fornitore a partecipare alla selezione, sia come punteggio premiante) e aver richiesto “referenze” (ad esempio, il “track record” di “data breach” e/o “incidenti di cybersicurezza” e la loro risoluzione);
- aver operato la valutazione del rischio sia propria (in relazione al fornitore) che del servizio (critico o meno) oggetto della fornitura e avere operato le relative valutazioni (positive);
- aver inserito apposite clausole nel contratto di fornitura anche in tema di:
- effettuazione di audit periodici e sopportazione delle relative spese;
- “exit” e passaggio di consegne;
- esame delle procedure interne del fornitore in tema di sicurezza, gestione dei rischi, vulnerabilità e incidenti;
- localizzazione dei server del fornitore e dei suoi sub-fornitori;
- responsabilità e coperture assicurative;
- obblighi di segnalazione e cooperazione in caso di incidente o “near missed”;
- limitazioni al subappalto;
- livelli di servizio anche relativi alle misure di sicurezza;
- obblighi informativi, e
- certificazioni (loro ambiti, aggiornamenti e tempi di “remediation”).
Per i fornitori di servizi di sicurezza “gestiti” (quali la risposta agli incidenti, i test di penetrazione e gli audit di sicurezza) che svolgono un ruolo particolarmente importante nell’assistere i soggetti NIS, la direttiva NIS2, dopo aver ricordato che anche tali fornitori sono bersaglio di attacchi informatici, raccomanda di “esercitare una maggiore diligenza nella selezione” a causa della loro stretta integrazione nelle attività dei soggetti NIS (Considerando 86). Di conseguenza, per tali soggetti la preventiva “qualificazione” e le clausole contrattuali dovranno risultare più stringenti.
Le misure “di base” in fase di prima applicazione
Restando sempre (e solo) in tema di NIS2, il Dlgs. 138/2024 prevede che l’ACN possa imporre ai soggetti NIS di utilizzare categorie di prodotti TIC, servizi TIC e prodotti TIC (come ivi definiti), anche acquistati da terze parti, che siano certificati nell’ambito dei sistemi europei di certificazione della cybersicurezza (ex art. 49 del regolamento (UE) 2019/881 – attuato in Italia con Dlgs. 123/2022 e DPCM 15 giugno 2021 quanto al Perimetro di sicurezza nazionale cibernetica) o, nel mentre, di schemi di certificazione riconosciuti a livello nazionale o europeo (art. 27).
Nel frattempo, con la determina dell’ACN n. 164179 del 14 aprile 2025, sono state definite le misure “di base” dei rischi di sicurezza informatica che gli organi amministrativi devono adottare in fase di prima applicazione entro “diciotto mesi dalla ricezione, da parte del soggetto NIS, della comunicazione di inserimento nell’elenco dei soggetti NIS” (art. 2). Quindi, in line adi massima, entro ottobre 2026.
Quanto alla gestione del rischio di cybersecurity della catena di approvvigionamento, l’Allegato 2 alla Determina (punto 1.5) sopra riferita per i soggetti NIS “essenziali[1]” impone una serie piuttosto dettagliata di adempimenti, formali, organizzativi e di valutazione del rischio.
In primo luogo, i processi di gestione di tale rischio devono essere “identificati, stabiliti, gestiti, monitorati e migliorati dagli stakeholder dell’organizzazione”. Quindi, una gestione proattiva, consapevole e dinamica del rischio, con un coinvolgimento degli “stakeholders” (dizione, verosimilmente, volutamente generica per comprendere un ampio spettro di soggetti).
Requisiti di sicurezza nelle clausole contrattuali NIS2
In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete[2], sono, fra l’altro, previsti:
a) il coinvolgimento della struttura interna che si occupa della sicurezza informatica[3] per la definizione dei processi di approvvigionamento (a partire dalla fase di identificazione e progettazione della fornitura);
b) come da risultanze della valutazione del rischio associato alla fornitura (di cui infra), la definizione dei requisiti di sicurezza sulla fornitura coerente con le misure di sicurezza applicate dal soggetto NIS ai sistemi informativi e di rete (specifica da inserire nelle richieste di offerta, bandi di gara, contratti, accordi e convenzioni), almeno con riferimento a:
(i) affidabilità dei fornitori (tenendo conto almeno delle loro eventuali vulnerabilità specifiche, della qualità complessiva dei loro prodotti e delle pratiche di sicurezza informatica specifiche in relazione alla fornitura, della capacità di garantire l’approvvigionamento, nonché l’assistenza e la manutenzione nel tempo);
(ii) ruoli e responsabilità nell’ambito della fornitura;
(iii) affidabilità delle risorse umane;
(iv) conformità e audit di sicurezza;
(v) gestione delle vulnerabilità;
(vi) continuità operativa e ripristino in caso di incidente;
(vii) gestione dell’autenticazione, delle identità digitali e del controllo accessi;
(viii) sicurezza fisica;
(ix) formazione del personale e consapevolezza;
(x) sicurezza dei dati;
(xi) protezione delle reti e delle comunicazioni;
(xii) monitoraggio degli eventi di sicurezza, ivi inclusi gli accessi e le attività effettuate;
(xiii) gestione e segnalazione degli incidenti;
(xix) sviluppo sicuro del codice e sicurezza (fin dalla progettazione e per impostazione predefinita);
(xx) manutenzione ordinaria ed evolutiva (ivi inclusi gli aggiornamenti di sicurezza);
(xxi) cessazione della fornitura (ivi compresa la restituzione e la cancellazione dei dati), e
(xxii) subappalto, subfornitura o relativi potenziali requisiti di sicurezza lungo la catena di fornitura.
Si prevede, altresì, la tenuta di un inventario aggiornato dei fornitori che abbiano un potenziale impatto sulla sicurezza dei sistemi informativi e di rete, con indicazione degli estremi di contatto del referente della fornitura, la tipologia di fornitura, nonché della relativa criticità.
Infine, si richiede che i rischi posti da un fornitore (dai suoi prodotti e servizi e da altre terze parti) siano “compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione” (punto 1.5.5).
Clausole contrattuali NIS2 per la valutazione dei rischi
In particolare, il rischio associato alle forniture è valutato almeno con riferimento a:
a) il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS;
b) l’accesso del fornitore alla proprietà intellettuale e ai dati, anche sulla base della loro criticità;
c) l’impatto di una grave interruzione della fornitura;
d) i tempi e i costi di ripristino in caso di indisponibilità dei servizi;
e) i ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.
Tutte queste procedure e questi dati sono aggiornati periodicamente.
L’importanza delle clausole contrattuali nella normativa NIS2
Con la Determina 164179 l’ACN ha voluto dare una preziosa indicazione ai soggetti NIS su come operare nelle more della definizione degli ulteriori provvedimenti di regolamentazione secondaria previsti dal Dlgs. 138/2024.
Si tratta di previsioni particolarmente specifiche, utili ad una corretta impostazione della gestione del rischio, che molto spesso si avvicinano ai requisiti di cui al Regolamento DORA (UE, 2022/2556) per la cybersicurezza del settore finanziario che, senza dubbio, rappresentanza la “best practice” in materia, sia pure orientata e ritagliata per un mondo di operatori assai meno variegato e sfaccettato rispetto a quello eterogeneo dei soggetti NIS.
La cybersicurezza ormai fa parte di tutte le agende dei Consigli di Amministrazione.
Note
[1] L’Allegato 1 si riferisce, invece, ai soggetti “importanti”.
[2] Anche mediante ricorso agli strumenti delle centrali di committenza di cui all’allegato I.1, articolo 1, comma 1, lettera i), del decreto legislativo 31 marzo 2023, n. 36.
[3] Si veda il punto 1.3.1.1. della Determina ACN 164179.
