Il percorso di adeguamento alla direttiva europea NIS2 sta trasformando la gestione della sicurezza nelle grandi filiere industriali. Durante la presentazione del Rapporto Clusit 2025, Valeria Prosser, Head of Governance, Risk & Compliance di E-phors S.p.A., ha illustrato come la sicurezza della supply chain sia diventata una componente strutturale della compliance, condividendo l’esperienza maturata anche nel contesto di Fincantieri, gruppo manifatturiero globale con oltre 5.400 fornitori qualificati.

La dimensione del rischio: una supply chain da 5.400 fornitori

Il settore navale e manifatturiero opera tradizionalmente con catene di fornitura complesse, distribuite in più Paesi e costituite da migliaia di partner. Prosser spiega che «parliamo di migliaia di fornitori, molti dei quali sono piccole e medie imprese, dislocate non solo in Italia ma in tutto il mondo». Questa struttura rende impossibile una gestione centralizzata della sicurezza: serve una governance in grado di valutare il livello di maturità cyber di ciascun fornitore.

Fincantieri utilizza un modello multilivello: nella fase di qualifica applica questionari di maturità, anche basati su modelli del Clusit, per verificare competenze e consapevolezza; successivamente valuta ogni fornitura in base al suo impatto sul processo produttivo, da cui derivano gli obblighi di sicurezza da inserire nei contratti. Prosser evidenzia che «solo unendo l’analisi della maturità del fornitore e la valutazione del rischio specifico della fornitura possiamo capire il livello di esposizione reale». Questo approccio evita soluzioni standardizzate e permette di concentrare gli sforzi dove il rischio è maggiore.

La compliance NIS2 come relazione: trasferire cultura ai fornitori

Uno degli aspetti più significativi emersi dalle parole di Prosser riguarda la dimensione collaborativa della compliance NIS2. Molti fornitori, soprattutto quelli esteri o di piccole dimensioni, non conoscono la direttiva o non ne comprendono l’impatto. «Le negoziazioni si aprono spesso con una sorta di introduzione alla normativa», spiega. Il ruolo delle grandi aziende diventa quindi duplice: garantire il proprio adeguamento e diffondere conoscenza e consapevolezza lungo la filiera.

Prosser chiarisce un equivoco frequente: «Non chiediamo ai fornitori che non sono direttamente soggetti NIS2 di adeguarsi alla direttiva; condividiamo con loro i requisiti di sicurezza che per noi, in qualità di soggetti impattati, sono indispensabili». La compliance si traduce così in un processo di cooperazione continua, finalizzato a costruire una filiera resiliente e informata.

Contratti e governance: la sicurezza come requisito operativo

Nel percorso di adeguamento, i contratti diventano strumenti fondamentali per garantire la sicurezza. Ogni fornitura è accompagnata da clausole che disciplinano obblighi di protezione dei dati, gestione del rischio e risposta agli incidenti. Fincantieri ha adottato obblighi chiari di notifica tempestiva in caso di violazioni, con tempistiche definite per consentire interventi rapidi. Prosser spiega che «abbiamo stabilito delle tempistiche chiare, non solo per rispettare gli obblighi normativi, ma per poter reagire in modo rapido e ridurre l’impatto operativo».

Le disposizioni contrattuali non sono elementi accessori della compliance NIS2: diventano parte integrante della continuità produttiva, soprattutto in settori in cui un incidente può bloccare cantieri, processi o linee di assemblaggio. Per questo Fincantieri ha avviato una revisione sistematica degli accordi esistenti, inserendo i requisiti previsti dal quadro europeo e dalle linee guida dell’ACN.

Una supply chain globale: armonizzare linguaggi e pratiche

Le sfide aumentano quando la supply chain si estende oltre i confini europei. Molti fornitori operano in Paesi in cui gli standard di cybersecurity non coincidono con quelli comunitari. Prosser osserva che «ci troviamo spesso a collaborare con fornitori che non hanno mai sentito parlare della NIS2». Per colmare il divario, l’azienda ha creato strumenti di formazione e un linguaggio condiviso che permette di allineare aspettative, requisiti e modalità operative.

La complessità deriva dal dovere di trovare un equilibrio tra rigore normativo e flessibilità industriale. Standardizzare le pratiche è necessario per ridurre i rischi, ma occorre anche rispettare le specificità dei diversi mercati in cui operano i fornitori. Una governance efficace deve quindi monitorare continuamente i livelli di conformità e adattare gli strumenti alle evoluzioni del contesto.

La notifica degli incidenti come strumento di resilienza

Tra gli elementi centrali della direttiva, Prosser insiste sull’importanza della notifica degli incidenti. L’obbligo, spesso percepito come formale, rappresenta invece uno dei meccanismi più importanti per garantire la resilienza della supply chain. «Inserire nei contratti clausole che prevedano la notifica entro tempi definiti ci permette di gestire tempestivamente la risposta e il ripristino dei sistemi critici», afferma.

In un settore industriale complesso e distribuito, la tempestività delle comunicazioni può evitare l’estensione di un incidente a più segmenti della produzione. La NIS2, in questa prospettiva, incentiva la trasparenza e la collaborazione, spingendo le imprese a superare la logica della gestione isolata degli eventi.

Oltre la conformità: verso una sicurezza sostenibile e adattiva

L’esperienza illustrata da Prosser mostra come la compliance NIS2 richieda una governance dinamica e un dialogo costante con i partner. Non bastano checklist o verifiche statiche: serve la capacità di rivedere periodicamente i requisiti, valutare il rischio reale, monitorare i cambiamenti del mercato e adattare di conseguenza i processi.

La direttiva promuove un approccio proattivo, in cui la sicurezza diventa componente strutturale della filiera e fattore di affidabilità per clienti, partner e istituzioni. In una supply chain globale e distribuita, la resilienza diventa quindi parte della competitività stessa.