Cosa cambia con NIS2 e come approcciare il tema della compliance?
In un recente approfondimento sul tema NIS2 (https://www.newcomm.it/cyber-security/nis2-direttiva-sicurezza-reti-e-informazioni/), abbiamo affrontato l’argomento sui settori critici e sui soggetti ”importanti” e “essenziali” (definiti in funzione delle dimensioni aziendali), obbligati agli adempimenti di sicurezza informatica previsti dalla normativa europea.
Oltre ai soggetti obbligati, importanti ed essenziali, occorre però evidenziare che molte PMI saranno obbligate a potenziare la sicurezza della propria infrastruttura IT, non perché direttamente coinvolte, ma in quanto fornitori di soggetti obbligati. La normativa introduce infatti un’attenzione particolare alla Supply Chain, obbligando le organizzazioni “critiche” a garantire standard di sicurezza elevati sull’intera catena di fornitura.
I rischi di sicurezza della catena di fornitura
La complessità delle filiere di produzione e l’interconnessione digitale sempre più fitta tra le organizzazioni che vi fanno parte, rendono necessario approcciare il tema in ottica sistemica, ovvero di resilienza e di sicurezza informatica di tutta la Supply Chain e non solo del singolo soggetto che vi fa parte. Con l’introduzione della NIS2 questo approccio sistemico diventa dunque prioritario.
Con la transizione digitale degli ultimi anni, l’operatività di qualsiasi azienda è divenuta sempre più interconnessa con fornitori e clienti, al punto che si assiste sempre più spesso ad aziende che accedono ai sistemi informatici del cliente o del fornitore. Una compromissione di un qualsiasi anello della catena, anche derivante da un errore umano, può quindi innescare una reazione capace di bloccare l’operatività, compromettendo servizi e dati aziendali dell’intera catena, con tutte le conseguenze in termini di disservizi e violazioni della privacy che ne possono derivare.
C’è inoltre un altro tema fondamentale che riguarda la cyber security delle medie e grandi imprese: nelle Supply Chain, infatti, coesistono organizzazioni molto differenti sotto il profilo dimensionale, della cultura e della possibilità di adottare strumenti avanzati di sicurezza. Questo rappresenta un’opportunità straordinaria per il crimine informatico, che invece di colpire direttamente la grande azienda, tutelata da processi, tecnologie e consapevolezza, che dovrebbero essere estremamente elevati, può attaccare un fornitore meno protetto, costruendo un ponte per poi muoversi verso il proprio obiettivo principale.
Inoltre, nel caso in cui il fornitore venisse attaccato e ci fosse un data breach, potrebbe essere un problema rilevante, non solo per il fornitore ma anche per l’azienda cliente, obbligata a rispettare la NIS2. Anche qualora il fornitore non fosse in condizioni di rispettare i tempi di consegna previsti e di garantire le forniture a causa di un attacco informatico, ci sarebbero gravi conseguenze per il cliente, che si vedrebbe rallentata la produttività.
L’estensione del perimetro di sicurezza della NIS2
Quella che dovrebbe essere una prassi abbastanza consolidata delle grandi aziende, ossia prevedere requisiti di cybersecurity per i loro fornitori, al fine di garantire che l’intera catena fosse protetta da potenziali attacchi (ad esempio richiedendo protocolli di sicurezza avanzati, la conformità a standard internazionali come ISO 27001, l’implementazione di sistemi di monitoraggio delle minacce e l’obbligo di formazione continua del personale), con la NIS2 è divenuta un obbligo.
Purtroppo nella realtà sono pochissime le grosse aziende (almeno in Italia) che richiedono requisiti di cybersecurity o di certificazione ai fornitori, ed è anche questo uno dei motivi per cui il legislatore della NIS2 ha previsto misure di controllo della catena di fornitura.
In definitiva, le catene di fornitura sono sempre più connesse e digitali, quindi maggiormente vulnerabili agli attacchi, di qui l’interesse del legislatore europeo a garantirne la protezione e la resilienza informatica. La Direttiva NIS2 interviene così direttamente sul tema della Supply Chain Security. L’articolo 21, che definisce le misure da adottare per essere compliant con la stessa, cita esplicitamente la “sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”. Ecco perché la Direttiva europea ha un impatto molto pervasivo e incisivo sul sistema economico a livello comunitario.
Sicurezza della Supply Chain: linee guida e standard internazionali
Ma in cosa si concretizza la compliance alla NIS 2 per quanto concerne la Supply Chain Security?
La normativa europea richiede che i soggetti obbligati adottino misure tecniche e organizzative adeguate a garantire la sicurezza della catena di fornitura, non specificando però nel dettaglio le misure concrete, i processi, le best practice o le tecnologie da utilizzare.
Per valutare la sicurezza dei fornitori esistono allora diversi strumenti che possono essere utilizzati: gli Audit di sicurezza e le Analisi del Rischio sono tra i più diffusi, in quanto permettono di identificare in modo dettagliato eventuali punti deboli dei soggetti che compongono la Supply Chain. Una volta completata l’analisi e classificato i fornitori in base al loro livello di rischio, è fondamentale includere i requisiti di sicurezza specifici (quali certificazioni, pratiche di gestione del rischio, …) all’interno dei contratti, garantendo così un approccio proattivo alla gestione della sicurezza della supply chain.
Le aziende fornitrici devono quindi dimostrare conformità a specifici requisiti di sicurezza per poter continuare a far parte della supply chain di soggetti obbligati, seguendo le best practice di cybersecurity:
- Implementando controlli di accesso e sistemi di monitoraggio delle reti.
- Garantendo la protezione dei dati trattati per conto del cliente.
- Implementando soluzioni di backup dati sicure ed efficaci per evitare perdita dati e data beach.
- Implementando sistemi di disaster recovery che garantiscano resilienza dell’infrastruttura informatica.
- Mantendo aggiornati i sistemi informatici e le applicazioni con attività di manutenzione periodica e gestione centralizzata delle patch.
- Mantenendo controlli rigorosi sui database attraverso il monitoraggio delle attività, la gestione degli accesi e delle vulnerabilità e l’uso degli strumenti di crittografia.
- Proteggendo gli endpoint con tecnologie quali antivirus, antispam, crittografia del disco, gestione della configurazione, firewall/IPS e autenticazione avanzata.
Conclusioni
Questa estensione dei controlli rappresenta un cambiamento significativo perché anche le aziende non direttamente coinvolte dalla NIS 2 devono adottare misure per evitare di essere l’anello debole della catena, aumentando il livello di sicurezza complessivo della supply chain. Con la NIS 2 diventa evidente come la cybersecurity non sia più un’opzione solo per le grandi e medie imprese, ma una responsabilità condivisa lungo tutta la filiera. Le aziende coinvolte nella supply chain dei soggetti critici, per evitare di essere escluse devono agire SUBITO, implementando sistemi di sicurezza adeguati e contribuendo a garantire la resilienza delle infrastrutture di tutta la supply chain.
