La gestione della cybersecurity della Supply Chain

Verso la Conformità con NIS2 e DORA

Negli ultimi anni, la crescente digitalizzazione e interconnessione delle attività aziendali ha esposto le organizzazioni a minacce informatiche sempre più complesse. In questo contesto, la gestione della supply chain è diventata cruciale per garantire la resilienza e la sicurezza dei sistemi. Le normative europee NIS2 (Network and Information Security Directive 2) e DORA (Digital Operational Resilience Act) forniscono un quadro regolamentare dettagliato per affrontare queste sfide, ponendo particolare enfasi sulla protezione della cybersecurity lungo le catene di approvvigionamento.

Minacce alla Supply Chain

Gli attacchi alla supply chain, come quelli occorsi a SolarWinds nel 2020 e a Kaseya nel 2021, hanno evidenziato come una vulnerabilità di un fornitore possa propagarsi rapidamente, compromettendo decine o persino migliaia di organizzazioni lungo la catena. Questi attacchi sfruttano spesso lacune nei processi di sicurezza adottati dai fornitori di servizi ICT, sottolineando la necessità di implementare misure di gestione dei rischi robuste e coerenti lungo l’intera catena di fornitura. Pratiche come DevSecOps, audit costanti sui fornitori e una gestione rigorosa dei rischi ICT sono essenziali per prevenire compromissioni simili.

La complessità delle catene di approvvigionamento

La complessità intrinseca delle catene di approvvigionamento, caratterizzate da molteplici livelli di subfornitori e partner, rende difficile ottenere una visione complessiva e dettagliata dei rischi. Questo contesto ha stimolato l’Unione Europea a introdurre le normative NIS2 e DORA, che definiscono requisiti stringenti per la gestione dei rischi associati alla supply chain, con l’obiettivo di rafforzare la resilienza digitale delle organizzazioni.

NIS2: Sicurezza nei Settori Critici

La Direttiva NIS2 amplia l’ambito di applicazione della normativa precedente, includendo nuovi settori critici come energia, trasporti e sanità. Uno dei suoi pilastri fondanti è la gestione dei rischi derivanti dalla supply chain. In particolare, le organizzazioni devono:

• Identificare e valutare i rischi associati ai fornitori e subfornitori di servizi e prodotti ICT
• Monitorare e gestire i rapporti con i partner per garantire l’applicazione di misure di sicurezza coerenti lungo tutta la catena
• Notificare alle autorità competenti eventuali incidenti rilevanti che coinvolgano la supply chain

DORA: Resilienza Operativa nel Settore Finanziario

Il Regolamento DORA si applica principalmente al settore finanziario, interessando banche, compagnie assicurative e altre entità chiave. Tra gli obblighi principali in materia di gestione dei rischi associati ai fornitori ICT figurano:

• Valutazioni preventive sui rischi correlati ai fornitori considerati critici
• Integrazione di clausole contrattuali specifiche relative a sicurezza, continuità operativa e audit
• Mantenimento di un registro sempre aggiornato dei contratti con fornitori ICT

DORA istituisce inoltre un meccanismo di vigilanza a livello europeo, volto a monitorare i fornitori ICT critici e a garantire un controllo coordinato e uniforme.

Approccio Proattivo e Strutturato

Per garantire la conformità alle normative NIS2 e DORA, le organizzazioni devono implementare un approccio strutturato articolato in diverse fasi

• Mappatura della Supply Chain: identificare tutti i fornitori e i partner critici, valutandone l’importanza rispetto ai processi aziendali.
• Valutazione dei rischi: analizzare i rischi associati ai fornitori, considerando sia la sicurezza dei loro sistemi sia le potenziali conseguenze di eventuali vulnerabilità.
• Contrattualizzazione della sicurezza: integrare nei contratti clausole specifiche relative a notifiche di incidenti, audit, continuità operativa e gestione del rischio
• Monitoraggio continuo: effettuare audit periodici, test di sicurezza e monitoraggio costante dei fornitori.
• Gestione degli incidenti: predisporre procedure per la notifica e la risposta ad attacchi informatici, includendo i fornitori nei piani di continuità operativa.