Nel nuovo scenario digitale, nessuna azienda opera più in modo isolato: ogni servizio esterno, ogni piattaforma utilizzata, ogni componente software può diventare un potenziale punto di ingresso per un attaccante.

La NIS2 introduce un cambio di prospettiva: la sicurezza non è più confinata
all’organizzazione, ma deve coprire l’intera filiera di servizi e forniture digitali.

Non è più sufficiente proteggere i propri sistemi interni: diventa necessario governare anche il rischio generato da partner, fornitori e soggetti terzi.

Il caso SolarWinds: la lezione sulla filiera digitale

Dicembre 2020. Migliaia di organizzazioni in tutto il mondo scoprono di essere state violate non per una falla interna, ma attraverso un semplice aggiornamento software.

L’attacco a SolarWinds – un fornitore di software di gestione di rete globalmente diffuso – ha mostrato quanto un singolo fornitore compromesso possa mettere a rischio un intero ecosistema.

Gli aggressori non hanno violato i firewall delle vittime: hanno compromesso la catena di fornitura, inserendo una backdoor direttamente nel software legittimo che le aziende utilizzavano per proteggersi.

Il risultato è un effetto domino silenzioso, capace di raggiungere oltre 18.000 clienti in una sola mossa, con agenzie governative, istituti finanziari e società Fortune 500 criticamente compromesse.

La supply chain digitale, fino ad allora considerata un rischio “indiretto”, è diventata improvvisamente il vettore di attacco più pericoloso dell’era moderna.

L’attacco a SolarWinds non ha rivelato un problema nuovo, ha semplicemente mostrato quanto fosse sottovalutata la valutazione e la messa in sicurezza della catena di fornitura.

La risposta europea – di cui la Direttiva NIS2 rappresenta una tappa fondamentale – ha tradotto questa lezione in regole vincolanti sulla gestione dei fornitori che intervengono o possono avere ripercussioni sulla cybersicurezza aziendale.

In Italia, questo principio ha preso forma giuridica con il D.lgs. 138/2024 e con le misure tecniche dell’Agenzia per la Cybersicurezza Nazionale.

Da quel momento, la gestione del rischio di terze parti non è più una raccomandazione o una buona pratica: è un obbligo normativo.

La conformità alla NIS2 richiede non solo di proteggere i propri sistemi, ma di garantire che ogni anello della supply chain digitale (e in alcuni casi anche analogica) sia parte di un ecosistema sicuro e verificabile.

Oltre la compliance della Nis2: la supply chain come asset strategico

La reazione istintiva di molte organizzazioni è leggere le nuove disposizioni come l’ennesimo adempimento normativo: una checklist da completare per evitare sanzioni.

Tuttavia, si tratta di una visione miope. Le misure definite dall’ACN in materia di supply chain possono diventare il motore di una trasformazione ben più profonda: passare dalla gestione reattiva del rischio a un modello di collaborazione strutturata, trasparente e basata su fiducia verificabile sia verso i propri fornitori, ma soprattutto verso i propri clienti a cui verrà garantito un livello di attenzione alla catena di fornitura elevata.

La valutazione del rischio di terze parti costringe le aziende a ottenere una visibilità granulare sulla propria catena di fornitura digitale – visibilità che in molti casi non esisteva affatto.

Questa mappatura diventa un asset strategico: sapere quali fornitori accedono a quali dati, quali sistemi critici dipendono da quali servizi esterni, dove si concentrano i punti di vulnerabilità o dipendenza.

Un patrimonio informativo che non migliora solo la postura di cyber security, ma:

• rafforza la resilienza operativa;
• accelera le decisioni di sourcing;
• riduce il rischio di lock-in tecnologico (quando un’azienda diventa così dipendente da prodotti o servizi proprietari di un singolo fornitore che la migrazione a un altro fornitore risulta estremamente difficile e costosa, a causa degli elevati costi finanziari, tecnici o operativi di transizione, ndr);
• abilita scenari di business continuity basati su alternative già verificate.

C’è poi un secondo effetto spesso sottovalutato: la standardizzazione. Quando le aspettative di sicurezza lungo la filiera sono chiare, misurabili e condivise, diventano accessibili anche per i fornitori più piccoli.

Le Pmi tecnologiche possono investire in controlli, certificazioni e processi, sapendo che quel requisito non sarà “custom” per un singolo cliente, ma riconosciuto dall’intero mercato.

In questo senso, la NIS2 non crea solo obblighi: crea un mercato più equo, in cui la sicurezza informatica non è più un vantaggio riservato ai player con budget illimitati, ma un prerequisito che abilita la competizione.

Il framework operativo: dalla valutazione alla gestione continua

Se la supply chain diventa parte integrante della sicurezza aziendale, non basta più “fidarsi” dei fornitori: serve un vero modello di analisi e governo del rischio.

Il D.lgs. 138/2024 e le misure di base di ACN non si limitano a definire nuovi obblighi, ma descrivono un metodo strutturato per gestire il rischio dei fornitori nel tempo.
Il modello si basa su tre momenti chiave: prima, durante e dopo la firma del contratto.

Prima della collaborazione: la valutazione del fornitore

La fase di selezione non può più limitarsi a verifiche commerciali o reputazionali.
La normativa richiede una valutazione dei livelli di cybersicurezza del fornitore prima dell’accordo, che include:

• le prassi e le regole adottate per la gestione della sicurezza informatica,
• le certificazioni o attestazioni di settore già conseguite,
• l’eventuale presenza di incidenti pregressi e come sono stati gestiti,
• i processi utilizzati per identificare e correggere vulnerabilità,
• il livello di maturità nella capacità di risposta agli incidenti.

Questo significa introdurre strumenti e metodi strutturati: questionari standardizzati, analisi di rischio, audit tecnici quando necessario.

L’ACN definisce anche livelli diversi di controllo: un fornitore che gestisce dati o servizi critici non può essere valutato come uno che fornisce servizi marginali, poiché all’organizzazione è richiesto che venga effettuata una valutazione di rischio fornitura, identificando quanto è strategica, rilevante e impattante l’esternalizzazione del servizio o prodotto.

Durante il contratto: mettere la sicurezza “nero su bianco”

Il contratto diventa il punto in cui la sicurezza si trasforma in responsabilità condivisa. Non si parla più solo di privacy o riservatezza, ma di clausole precise come:

• tempi massimi di notifica in caso di incidente,
• possibilità di audit da parte del cliente,
• obbligo di dichiarare l’uso di sub-fornitori,
• requisiti minimi per la sicurezza di reti e dati,
• obbligo di continuità operativa.

Un elemento centrale introdotto dalla NIS2 è la responsabilità solidale: se un incidente nasce da un fornitore critico, l’azienda committente risponde comunque.

Per questo le clausole contrattuali non sono un formalismo legale, ma una misura di protezione reale.

Dopo la firma: monitoraggio continuo, non controllo una tantum

Il punto più innovativo del modello è che la valutazione del fornitore non finisce con il contratto. Il rischio è dinamico, quindi anche il controllo deve esserlo.

Le organizzazioni devono prevedere attività continue come:

• verifiche periodiche del livello di sicurezza,
• richiesta di report o attestazioni annuali,
• monitoraggio tramite piattaforme di Third Party Risk Management,
• audit periodici in base alla criticità,
• integrazione del fornitore nel processo di gestione incidenti.

In pratica: non esiste più il concetto di “fornitore verificato una volta per tutte”.

Verso un ecosistema di sicurezza distribuita

Il vero cambio di paradigma introdotto dalla NIS2 non è soltanto l’introduzione di nuovi obblighi, ma il riconoscimento esplicito che la sicurezza informatica non è più una proprietà interna alla singola organizzazione. Invece è una caratteristica collettiva dell’intero ecosistema digitale.

Questo sposta il baricentro culturale. I fornitori non possono più essere considerati “entità esterne da controllare”, ma partner con cui condividere responsabilità, rischio e resilienza.

Le logiche basate unicamente su prezzo e tempi lasciano spazio a relazioni di lungo periodo in cui la sicurezza diventa un vero criterio di business.

Per chi si occupa di cyber security, procurement o governance, questo implica la nascita di competenze nuove e ibride: occorre saper leggere una certificazione tecnica, negoziare condizioni contrattuali, valutare un rischio operativo, orchestrare audit e verifiche.

Non a caso, stanno emergendo ruoli prima inesistenti – come il supply chain security manager – destinati a diventare centrali nelle organizzazioni complesse.

La NIS2, in questo senso, non è solo un vincolo normativo: è un acceleratore di maturità. Offre la “spinta obbligata” per trasformare ciò che da anni era noto ma rimandato, mettere sotto controllo il rischio esteso della filiera digitale, adeguandosi ai passi avanti compiuti in questi anni in altri settori – si pensi, per esempio, ai requisiti Esg (Environmental, Social, Governance).

Le aziende che interpreteranno questa fase non come una semplice attività di compliance, ma come un’occasione per ridisegnare strategicamente le proprie dipendenze digitali, saranno quelle che costruiranno un vantaggio competitivo duraturo fondato su resilienza, fiducia e continuità operativa.

In un mercato dove ogni organizzazione è tanto sicura quanto il suo fornitore più debole, la supply chain sicura non è più un’opzione: è il nuovo requisito minimo per operare nel contesto digitale senza essere costantemente esposti al prossimo incidente sistemico.