Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

fornitori

La Direttiva NIS2 e la gestione della sicurezza nella supply chain

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

La gestione sicura della catena di approvvigionamento e del ciclo di vita della fornitura nell’ambito della Direttiva NIS2 e del D.lgs. 138/2024 e suoi provvedimenti attuativi: un sistema normativo integrato, organico e strutturato

Pubblicato il 5 mar 2026
Giuseppina Baglieri

IT & Cyber Security Sourcing & Governance Manager

NIS2; La Direttiva NIS2 e la gestione della sicurezza nella supply chain

In sintesi

  • La NIS2 e il D.lgs. 138/2024 impongono un sistema integrato di gestione del rischio per la supply chain, con l’ACN e la Determina/Allegato 2 che definiscono requisiti tecnici e metodologici.
  • Obblighi pratici lungo il ciclo di approvvigionamento: identificare e classificare i fornitori, eseguire Risk Assessment e TPRM, inserire clausole contrattuali con SLA e prevedere la way out.
  • Misure operative richieste: mantenere un inventario aggiornato dei fornitori, impostare KPI/KRI, effettuare audit indipendenti, gestire vulnerabilità, continuità e regole di subappalto e protezione dei dati.
Riassunto generato con AI

La crescita esponenziale dell’affidamento di servizi ICT a fornitori terzi nel corso degli ultimi anni ha reso più vulnerabile l’infrastruttura organizzativa e tecnologica delle aziende alle minacce informatiche.

Ciò ha determinato la necessità di definire meccanismi consolidati a livello europeo per la gestione del rischio in materia di esternalizzazione di servizi ICT e di resilienza delle catene di fornitura.

La NIS2 impone l’adozione di un sistema di gestione del rischio nell’ambito della supply chain.

Direttiva NIS 2: impatto sui fornitori critici sul fronte cyber e su chi si credeva fuori perimetro

NIS2 e gestione della sicurezza nella supply chain

La Direttiva europea 2024/2555 (NIS2) e il D.lgs. 138/2024, che recepisce la Direttiva NIS2 nell’ordinamento italiano, hanno introdotto obblighi specifici in materia di cybersicurezza al fine di garantire un livello elevato di sicurezza informatica nell’ambito dell’Unione Europea per soggetti pubblici e privati operanti in settori ritenuti essenziali o importanti.

La NIS2, all’Articolo 21 – Gestione del rischio di sicurezza informatica – cui corrisponde l’Art. 24 del D.lgs. 138/2024 e suoi provvedimenti attuativi, prevede l’obbligo per gli enti soggetti alla direttiva, di adottare un approccio integrato di gestione del rischio che “include la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi ai rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”.

La normativa introduce quindi un principio chiaro: i rischi di cybersicurezza derivanti dai fornitori sono rischi propri dell’organizzazione e gli enti devono adottare, come sancito dall’ Art. 21, par. 1: “misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativi”.

Si tratta di un obbligo strutturale, che impone l’adozione di un sistema organico di risk management nell’ambito della supply chain.

I soggetti, per garantire una gestione sicura della catena di approvvigionamento, hanno la responsabilità di:

  • identificare i fornitori con impatto sui sistemi informativi;
  • valutarne il livello di criticità;
  • integrare requisiti di sicurezza nei contratti;
  • monitorare nel tempo l’affidabilità e il rischio residuo.

Per rispondere agli obblighi imposti dalla normativa, i soggetti devono quindi, implementare una serie di misure, tra cui:

  • la definizione di un registro e un inventario dei fornitori con impatto sulla sicurezza dei sistemi informativi e di rete;
  • la definizione di una metodologia e di una procedura per l’analisi dei rischi dei fornitori;
  • la definizione di clausole contrattuali e requisiti di sicurezza per tipologia di fornitura e di rischio.

Processo di approvvigionamento: dalla fase di on-boarding alla fase di uscita dei fornitori

Con la NIS2 e il suo recepimento nella normativa nazionale attraverso il D.lgs. 138/2024, la gestione della Supply Chain diviene parte integrante e strutturale del sistema di governance della cyber security dei soggetti coinvolti.

Ciò prevede la definizione di un processo di approvvigionamento sicuro e resiliente, che va dalla valutazione, alla gestione, al monitoraggio continuativo della catena di fornitura, dalla fase Precontrattuale (attraverso Risk Assessment e implementazione di metodologie di Third Party Risk Management (TPRM); qualifica dei fornitori attraverso la valutazione di certificazioni; storico di incidenti e livelli di sicurezza), alla fase di Uscita (Exit Strategy).

Nella Fase precontrattuale, la normativa richiede l’esecuzione di un Risk Assessment e una Due diligence “ex ante” sulle tipologie di fornitura e i fornitori, per la valutazione di una serie di rischi:

  • intrinseci alla fornitura;
  • informatici;
  • connessi alla Business Continuity;
  • relativi a integrità, autenticità e riservatezza delle informazioni;
  • associati al subappalto;
  • derivanti dal subappalto di servizi o allocazione di dati in paesi terzi (rischio geopolitico);
  • rischi di concentrazione e lock in;
  • reputazionali;
  • rischi ESG.

Fase contrattuale

Per la Fase Contrattuale, si richiede una descrizione chiara completa ed esaustiva delle attività oggetto del contratto e l’inserimento nel contratto, o in altri tipi di accordi con i fornitori, di clausole che garantiscano il soggetto essenziale o importante dall’esposizione al rischio nel corso di vita della fornitura, per esempio:

  • capacità di garantire l’approvvigionamento, l’assistenza e la manutenzione nel tempo;
  • affidabilità delle risorse umane impiegate nell’erogazione del servizio;
  • fissazione di timeline (in caso di progetti) o di SLA (in caso di servizi), accompagnati da meccanismi di penalizzazione in caso di mancato rispetto dei livelli di servizio concordati;
  • misure di sicurezza dettagliate in ambito ICT e di sicurezza fisica, es. gestione dell’autenticazione, delle identità digitali e del controllo accessi;
  • gestione delle vulnerabilità;
  • gestione della Continuità operativa e ripristino in caso di disastro;
  • dettagliata disciplina del subappalto;
  • meccanismi di reportistica e di comunicazione,
  • disciplina delle variazioni contrattuali;
  • clausole di responsabilità e manleva;
  • clausole e documentazione di data protection, compresa la disciplina dei luoghi del trattamento, della conservazione e dell’eventuale trasferimento dei dati in ambito extra-UE).
  • clausole di way out.

Fase di monitoraggio

Per la gestione della Fase di Monitoraggio della fornitura vengono definiti una serie di presidi da formalizzare all’interno del contratto o in altri documenti allegati allo stesso, per esempio:

  • KPI, SLA, KRI;
  • indicatori di conformità ai requisiti di Riservatezza, Integrità, Disponibilità, eccetera;
  • audit e assessment indipendenti
  • autocertificazioni
  • meccanismi di notifica degli incidenti
  • penali e meccanismi di intervento previsti in caso di violazione degli SLA concordati o di rilievi dalle attività di monitoraggio.

Fase di uscita

Per la gestione sicura della Fase di uscita viene richiesto l’inserimento nei contratti di clausole di way out, cancellazione sicura del dato e restituzione dei dati al soggetto essenziale e importante, secondo tempistiche e modalità certe.

Il recepimento italiano della NIS2 e il ruolo della Determina dell’ACN

Con il recepimento nell’ordinamento giuridico nazionale della Direttiva (UE) 2022/2555 -NIS2-, l’Italia ha rafforzato notevolmente il proprio quadro regolatorio in materia di cybersicurezza, attribuendo un ruolo centrale all’Agenzia per la Cybersicurezza Nazionale (ACN) quale autorità competente NIS.

A livello europeo, l’art. 21 della Direttiva NIS2 introduce l’obbligo di gestione della sicurezza della Supply Chain, ma è attraverso il recepimento italiano della stessa e i provvedimenti attuativi dell’ACN (Determine), che tali principi assumono concreta operatività e divengono norme cogenti nell’ordinamento nazionale per i soggetti coinvolti.

Il decreto 138/2024 di recepimento italiano

Il recepimento della NIS2 nell’ordinamento italiano è avvenuto tramite il decreto legislativo 138 adottato nel 2024, che:

  • individua l’ACN quale autorità nazionale competente;
  • disciplina i poteri di vigilanza e sanzionatori;
  • specifica obblighi organizzativi e procedurali per soggetti essenziali e importanti;
  • rafforza le responsabilità dell’organo di amministrazione.

Il decreto conferma che la gestione del rischio deve includere espressamente i rischi derivanti dai fornitori e dalle terze parti, in coerenza con l’art. 21, par. 2, lett. d) della Direttiva NIS2.

La Determina ACN n. 38565 del 26 novembre 2024: requisiti tecnici e metodologici

Un ruolo particolarmente rilevante è rappresentato dalla Determina adottata dall’ACN nel 2024, che definisce i requisiti tecnici e metodologici delle misure di sicurezza.

La Determina:

  • dettaglia le misure minime attese;
  • introduce criteri di proporzionalità;
  • fornisce indicazioni operative sulla gestione del rischio;
  • esplicita l’attenzione alla sicurezza della supply chain.

In particolare, si richiede che i soggetti NIS:

  • identifichino i fornitori con impatto sui sistemi informativi critici;
  • valutino il rischio associato alle dipendenze tecnologiche;
  • definiscano requisiti di sicurezza nei contratti;
  • prevedano meccanismi di verifica e monitoraggio periodico.

L’Allegato 2 alla Determina dell’ACN

L’Allegato 2 alla Determina dell’ACN n. 164179 del 14 aprile 2025, è parte della fase di attuazione della Direttiva NIS2 in Italia, ed ha la finalità di rendere operativi gli obblighi di sicurezza per i soggetti pubblici e privati che forniscono servizi ICT.

Esso costituisce la parte tecnica/operativa dedicata alla definizione delle misure di sicurezza di base per i “soggetti essenziali” (mentre l’Allegato 1 riguarda i soggetti “importanti”), ed impone una serie dettagliata di adempimenti, formali, organizzativi e di valutazione del rischio.

In primo luogo, al punto 1.5 (GV.SC), l’Allegato 2 sancisce che i processi di gestione del rischio di cyber security della catena di approvvigionamento sono identificati, stabiliti, gestiti, monitorati e migliorati dagli stakeholder dell’organizzazione.

Definisce quindi, una gestione proattiva, consapevole e dinamica del rischio.
In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, sono, fra l’altro, previsti:

  • il coinvolgimento della struttura interna che si occupa della sicurezza informatica (di cui alla misura GV.RR-02) per la definizione dei processi di approvvigionamento (a partire dalla fase di identificazione e progettazione della fornitura);
  • come da risultanze della valutazione del rischio associato alla fornitura (di cui alla misura GV.SC-07), la definizione dei requisiti di sicurezza sulla fornitura coerente con le misure di sicurezza applicate dal soggetto NIS ai sistemi informativi e di rete (specifica da inserire nelle richieste di offerta, bandi di gara, contratti, accordi e convenzioni), almeno con riferimento a:
    • (i) affidabilità dei fornitori (tenendo conto almeno delle loro eventuali vulnerabilità specifiche, della qualità complessiva dei loro prodotti e delle pratiche di sicurezza informatica specifiche in relazione alla fornitura, della capacità di garantire l’approvvigionamento, nonché l’assistenza e la manutenzione nel tempo);
    • (ii) ruoli e responsabilità nell’ambito della fornitura;
    • (iii) affidabilità delle risorse umane;
    • (iv) conformità e audit di sicurezza;
    • (v) gestione delle vulnerabilità;
    • (vi) continuità operativa e ripristino in caso di incidente;
    • (vii) gestione dell’autenticazione, delle identità digitali e del controllo accessi;
    • (viii) sicurezza fisica;
    • (ix) formazione del personale e consapevolezza;
    • (x) sicurezza dei dati;
    • (xi) protezione delle reti e delle comunicazioni;
    • (xii) monitoraggio degli eventi di sicurezza, ivi inclusi gli accessi e le attività effettuate;
    • (xiii) gestione e segnalazione degli incidenti;
    • (xiv) sviluppo sicuro del codice e sicurezza (fin dalla progettazione e per impostazione predefinita);
    • (xv) manutenzione ordinaria ed evolutiva (ivi inclusi gli aggiornamenti di sicurezza);
    • (xvi) cessazione della fornitura (ivi compresa la restituzione e la cancellazione dei dati);
    • (xvii) e subappalto, subfornitura o relativi potenziali requisiti di sicurezza lungo la catena di fornitura.

Inventario aggiornato dei fornitori

Al punto 1.5.3. GV.SC-04 viene richiesto, altresì, la tenuta di un inventario aggiornato dei fornitori che abbiano un potenziale impatto sulla sicurezza dei sistemi informativi e di rete, con indicazione degli estremi di contatto del referente della fornitura, la tipologia di fornitura, nonché della relativa criticità.

Si richiede, inoltre, che i rischi derivanti da un fornitore (dai suoi prodotti e servizi e da altre terze parti) siano “compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione” (punto 1.5.5).

In particolare, il rischio associato alle forniture è valutato almeno con riferimento a:

  • il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS;
  • l’accesso del fornitore alla proprietà intellettuale e ai dati, anche sulla base della loro criticità;
  • l’impatto di una grave interruzione della fornitura;
  • i tempi e i costi di ripristino in caso di indisponibilità dei servizi;
  • i ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.

NIS2 e gestione sicura di supply chain: da pratica raccomandata a requisito regolatorio cogente

La conformità delle forniture alle procedure adottate ai sensi della normativa e ai requisiti di cui alla misura GV.SC-05 deve essere verificata periodicamente e documentata nel corso del tempo.

Il recepimento italiano della Direttiva NIS2, integrato dalle determinazioni dell’ACN, trasforma quindi la gestione sicura della supply chain da pratica raccomandata a requisito regolatorio cogente.

La cybersicurezza diventa così un elemento di accountability aziendale, con un impatto diretto su IT, contrattualistica, procurement, risk management e governance.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Giuseppina Baglieri
IT & Cyber Security Sourcing & Governance Manager
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • cyber-mafie

  • l'approfondimento

    Cyber-mafie, la nuova frontiera criminale: dalla coppola al clic

    11 Nov 2025

    di Fabrizio Saviano

    Condividi
  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi; Il GDPR come sistema di governo del potere informativo

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • DORA e Data Act catena di fornitura - Third-Party Risk Management (Tprm): come proteggere davvero la supply chain digitale; Strategic Sourcing e governance del rischio cyber: un framework per la gestione sostenibile delle terze parti digitali; I pilastri del TPRM con DORA: come trasformare il rischio terze parti in vantaggio competitivo

  • sicurezza fornitori

    Strategic Sourcing e governance del rischio cyber: una gestione sostenibile delle terze parti digitali

    22 Dic 2025

    di Marco Toiati

    Condividi
  • NordVPN

  • LA SOLUZIONE

    NordVPN, proteggere la connessione a Internet e la privacy in Rete: gli strumenti

    08 Nov 2025

    di redazione affiliazioni Nextwork360

    Condividi
0
Lascia un commento, la tua opinione conta.x