Gli obblighi previsti dalla Direttiva NIS2 e dal Decreto Legislativo 4 settembre 2024, n. 138 per quanto riguarda la supply chain (catena di fornitura) sono significativi e mirano a garantire che, anche i fornitori di servizi e partner commerciali che supportano i soggetti essenziali o importanti, adottino misure adeguate per la gestione della sicurezza informatica. Ecco i principali obblighi relativi alla supply chain:

1. Responsabilità condivisa con i fornitori
   Le aziende essenziali e importanti sono responsabili della sicurezza informatica non solo delle proprie operazioni, ma anche della sicurezza delle terze parti e fornitori con cui collaborano. Ciò implica la necessità di valutare attentamente la cyber-maturità dei partner della supply chain e garantire che siano conformi agli standard di sicurezza previsti dalla normativa.

2. Obbligo di garantire misure di sicurezza lungo tutta la catena
   I soggetti regolati dalla NIS2 devono implementare misure organizzative e tecniche adeguate per proteggere i sistemi informatici e le reti, estendendo queste misure ai loro fornitori e partner. Le aziende sono quindi tenute a integrare le politiche di sicurezza informatica nei contratti con i fornitori, assicurando che i partner rispettino le stesse regole e standard di sicurezza.

3. Monitoraggio e gestione dei rischi della supply chain
   Le aziende devono includere nella loro strategia di gestione del rischio informatico, un monitoraggio costante della supply chain. Questo include:
   • Valutazioni dei rischi posti dai fornitori.
   • Audit periodici sui sistemi e processi di sicurezza adottati dai fornitori.
   • Garanzie che i fornitori adottino politiche di cybersecurity coerenti con quelle del soggetto essenziale o importante.

4. Notifica degli incidenti di sicurezza relativi alla supply chain
   Se un incidente informatico che coinvolge un fornitore critico ha un impatto significativo sui servizi del soggetto essenziale o importante, questo incidente deve essere notificato alle autorità competenti, come il CSIRT Italia e l’ACN (Agenzia per la Cybersicurezza Nazionale). Gli obblighi di notifica degli incidenti si estendono dunque anche agli attacchi che coinvolgono terze parti e possono influenzare il servizio offerto dai soggetti essenziali o importanti.

5. Impatto sulla valutazione dei fornitori e delle terze parti
   Le aziende devono effettuare una valutazione del livello di esposizione al rischio dei fornitori di terze parti, specialmente se queste terze parti gestiscono sistemi critici o dati sensibili. Il livello di rischio deve essere tenuto in considerazione nei rapporti con i fornitori, e potrebbero essere richieste misure correttive o l’adozione di standard più elevati per partner con cyber-maturità insufficiente.

6. Ruolo dell’ACN nella supervisione della supply chain
   L’ACN sarà coinvolta nel monitoraggio e nella supervisione delle politiche di sicurezza della supply chain delle aziende regolamentate. L’Agenzia può richiedere informazioni dettagliate sulle misure adottate dalle aziende per garantire la sicurezza informatica lungo tutta la catena di fornitura.

In sintesi, il Decreto Legislativo 138/2024 rafforza il ruolo della supply chain nella sicurezza informatica, imponendo agli operatori essenziali e importanti di monitorare e garantire che i fornitori rispettino standard di sicurezza informatica adeguati. Gli obblighi di gestione del rischio, notifica degli incidenti e audit periodici si estendono anche alle terze parti coinvolte nel servizio. Questo rende necessario per le aziende italiane regolamentate adottare una visione olistica della sicurezza informatica che comprenda l’intera catena di fornitura.