nis²insights.com

In vigore dal 17 ott 2024·Giorno 565·

Catena di approvvigionamento9 apr. 20257 min

Sicurezza della catena di approvvigionamento NIS2: 5 clausole da richiedere ai fornitori

L’articolo 21(2)(d) della direttiva 2022/2555 impone esplicitamente la sicurezza della catena di approvvigionamento. Ecco 5 clausole contrattuali concrete da inserire in ogni contratto con fornitore critico.

Sicurezza della catena di approvvigionamento NIS2: 5 clausole da richiedere ai fornitoriCatena di approvvigionamento

L'articolo 21 della direttiva (UE) 2022/2555 elenca le misure di gestione del rischio di cybersecurity che i soggetti essenziali e importanti devono adottare. Delle dieci categorie elencate, il paragrafo 2, lettera d) è quella che ha innescato il maggior numero di revisioni retroattive di contratto nei consigli europei nel 2025: la sicurezza della catena di approvvigionamento.

Il testo è breve. L'articolo 21, paragrafo 2, lettera d) impone ai soggetti di mettere in atto misure che coprano «la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o prestatori di servizi». Il considerando 85 esplicita l'intenzione: un soggetto non può esternalizzare la propria via d'uscita dagli obblighi NIS2, e il rischio fornitore deve essere misurato, contrattualizzato e vigilato.

La domanda a livello di consiglio non è se agire — è cosa mettere nei contratti con i fornitori perché la «sicurezza della catena di approvvigionamento» sia dimostrabile a un regolatore. Ecco cinque clausole su cui convergono le linee guida pubblicate dalle autorità nazionali competenti europee e il documento Good Practices for Supply Chain Cybersecurity dell'ENISA.

1. Allineamento a un set di sicurezza di base

La prima clausola obbliga il fornitore ad attuare, come minimo, le misure di cybersecurity elencate all'articolo 21, paragrafo 2 della NIS2 — adattate al suo ruolo e ai dati che tratta.

In pratica, il contratto deve rinviare a un set di base definito. Funzionano tre opzioni:

  • Un rinvio diretto a ISO/IEC 27001 con la dichiarazione di applicabilità (Allegato A) condivisa con il soggetto.
  • Un rinvio a un quadro nazionale riconosciuto nella giurisdizione del fornitore (IT-Grundschutz del BSI in Germania, PSSI di matrice ANSSI in Francia, Esquema Nacional de Seguridad del CCN-CERT in Spagna).
  • Un'enumerazione diretta delle categorie pertinenti dell'articolo 21, paragrafo 2 (MFA sugli accessi critici, crittografia, gestione delle vulnerabilità, risposta agli incidenti, ecc.).

La clausola deve inoltre includere un impegno di gestione del cambiamento: il fornitore notifica per iscritto al soggetto se il set di base si indebolisce sostanzialmente durante il contratto.

2. Catena di notifica degli incidenti

La seconda clausola stringe l'obbligo di notifica di incidente del fornitore perché entri nel cronometro di 72 ore del soggetto ai sensi dell'articolo 23.

La soglia difendibile tratta dalle linee guida regolatorie è:

  • Il fornitore notifica al soggetto entro 24 ore dalla conoscenza di qualunque incidente significativo che colpisca i servizi che presta al soggetto.
  • La notifica contiene come minimo gli stessi elementi che il soggetto stesso deve al proprio CSIRT in fase di preallarme: causa illecita o dolosa sospettata, possibile impatto transfrontaliero, informazioni minime di identificazione.
  • Il fornitore fornisce aggiornamenti almeno ogni 24 ore mentre l'incidente è in corso, e una relazione finale entro un mese dalla risoluzione.

Meno di 24 ore è preferibile per fornitori cloud e di servizi gestiti — la linea ENISA suggerisce una finestra di 6-12 ore per questi —, ma 24 ore è la soglia minima che consente al soggetto di rispettare i propri obblighi NIS2.

3. Trasparenza sui subfornitori e notifica dei cambi di controllo

L'articolo 21, paragrafo 2, lettera d) copre i fornitori diretti, ma la maggior parte degli attacchi alla catena di approvvigionamento passa attraverso un subfornitore del fornitore. La clausola deve:

  • Imporre al fornitore di rivelare, su richiesta, l'elenco dei subfornitori critici che toccano i sistemi o i dati del soggetto, con il loro set di base di sicurezza.
  • Imporre il consenso scritto preventivo prima che il fornitore aggiunga, sostituisca o rimuova un subfornitore critico.
  • Imporre la notifica entro 30 giorni di qualsiasi cambio di controllo del fornitore stesso (acquisizione, fusione, cambio di proprietà), con il diritto del soggetto di recedere senza penali se il nuovo proprietario è incompatibile con il registro dei rischi.

È il punto in cui il team legale e il team sicurezza devono coordinarsi. Le finestre di notifica si negoziano; il principio no.

4. Diritto di audit e prova di certificazione

L'articolo 21 si attende che i soggetti verifichino, non che si fidino soltanto. La clausola deve conferire al soggetto il diritto di auditare le pratiche di sicurezza del fornitore — direttamente o tramite terze parti accreditate — almeno una volta l'anno, e ad hoc dopo qualunque incidente significativo che colpisca i servizi.

Per efficienza operativa, la clausola deve accettare rapporti di audit standard come sostituti degli audit diretti in loco:

  • Un certificato ISO/IEC 27001 in corso di validità, con la dichiarazione di applicabilità (Allegato A).
  • Un rapporto SOC 2 Type II che copra almeno i criteri Sicurezza e Disponibilità.
  • Una valutazione TISAX per le catene di approvvigionamento del settore automotive.
  • Per fornitori cloud, un'attestazione CSA STAR livello 2.

I diritti di audit diretto vengono allora esercitati solo quando i rapporti standard non coprono l'ambito rilevante, oppure dopo un incidente materiale. Ciò protegge i costi del fornitore senza indebolire la vigilanza del soggetto.

5. Assistenza alla reversibilità, restituzione e cancellazione sicura dei dati

L'ultima clausola chiude il cerchio quando il rapporto termina — consensualmente o no. Deve imporre:

  • Assistenza alla continuità per un periodo concordato (tipicamente da 30 a 90 giorni dopo la cessazione) perché il soggetto possa migrare senza interruzione di servizio.
  • Restituzione dei dati in un formato documentato e leggibile dalla macchina, secondo un calendario definito.
  • Cancellazione sicura di tutti i dati del soggetto dai sistemi del fornitore e dei suoi subfornitori, certificata per iscritto entro 30 giorni dal completamento.
  • Un'eccezione esplicita per i backup che il fornitore è legalmente tenuto a conservare, con limiti chiari di accesso e un calendario di fine vita.

Senza questa clausola, il soggetto si carica di un rischio residuo su dati che non vede più, ospitati presso una controparte che non è più sotto contratto — esattamente lo scenario che i regolatori richiamano quando chiedono se la sicurezza della catena di approvvigionamento sia stata davvero attuata o solo dichiarata.

Un contratto fornitore conforme alla NIS2 non è un contratto più lungo. È un contratto più preciso — cinque clausole precise battono ogni volta cinquanta pagine molli di condizioni generali.

Chi è un fornitore «critico»?

Le clausole sopra si applicano ai fornitori critici. La NIS2 non definisce il termine. Il test difendibile, ricavato dalle linee guida pubblicate dalle autorità nazionali competenti europee, ha tre componenti:

  1. Il fornitore tratta, ospita o trasmette dati personali, dati aziendali riservati o dati operativi la cui compromissione attiverebbe la soglia di incidente significativo del soggetto stesso.
  2. Il fornitore eroga un servizio la cui interruzione oltre l'obiettivo di tempo di ripristino del soggetto causerebbe gravi perturbazioni operative.
  3. Il fornitore ha accesso privilegiato (amministratore, root, chiavi di firma) ai sistemi nel perimetro NIS2 del soggetto.

Qualunque fornitore che soddisfi anche solo uno di questi test è critico. Il consiglio non deve discutere il quadro — deve confermare che l'elenco esiste, che è di proprietà a livello esecutivo e che viene rivisto almeno una volta l'anno.

Come si presenta quando è fatto bene

Nelle note post-ispezione dei regolatori tornano sistematicamente tre segnali:

  1. Un registro fornitori datato che classifica critico vs. non critico e annota il riferimento di versione di contratto per ciascuno.
  2. Prova dell'inserimento delle clausole — le stesse cinque clausole, in forma sostanziale, in ogni contratto con fornitore critico stipulato dal recepimento.
  3. Prova dell'esercizio delle clausole — almeno un rapporto di audit, una notifica di incidente correttamente inoltrata entro 24 ore, oppure un fornitore receduto con restituzione di dati documentata, per ciascun ciclo di audit.

Nulla di tutto ciò è esotico. È quello che i team procurement maturi già fanno sui contratti IT critici. L'articolo 21, paragrafo 2, lettera d) lo trasforma in un'aspettativa regolatoria, non più solo una buona prassi.

Fonti

  1. Direttiva (UE) 2022/2555, articolo 21, paragrafo 2, lettera d) (sicurezza della catena di approvvigionamento).
  2. Direttiva (UE) 2022/2555, considerando 85 (intenzione e portata delle misure sulla catena di approvvigionamento).
  3. Direttiva (UE) 2022/2555, articolo 23 (obblighi di segnalazione degli incidenti) — il cronometro delle 72 ore in cui deve incastrarsi la clausola di notifica del fornitore.
  4. ENISA, Good Practices for Supply Chain Cybersecurity.
  5. Gruppo di cooperazione NIS, linee guida pubblicate sulla gestione del rischio di catena di approvvigionamento.
  6. Quadri delle autorità nazionali competenti citati come set di base: BSI IT-Grundschutz (DE), ANSSI PSSI (FR), CCN-CERT Esquema Nacional de Seguridad (ES), linee guida ACN (IT), linee guida NCSC-IE (IE).

Altri articoli

Articolo 20 NIS2: 5 responsabilità del consiglio che gli amministratori non possono delegareGovernance

Articolo 20 NIS2: 5 responsabilità del consiglio che gli amministratori non possono delegare

18 apr. 2025·Leggere · 10 min
Notifica di incidente NIS2: la guida pratica delle 72 oreGestione incidenti

Notifica di incidente NIS2: la guida pratica delle 72 ore

11 apr. 2025·Leggere · 9 min
Un modello pragmatico di registro dei rischi per l’articolo 21 NIS2Gestione del rischio

Un modello pragmatico di registro dei rischi per l’articolo 21 NIS2

2 apr. 2025·Leggere · 6 min