Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

sicurezza fornitori

Strategic Sourcing e governance del rischio cyber: una gestione sostenibile delle terze parti digitali

Home Norme e adeguamenti
Indirizzo copiato

I processi di sourcing strategico possono supportare la cyber security e il Third-Party Risk Management: un framework integrato per una gestione sostenibile e responsabile delle terze parti digitali. Ecco i principali riferimenti normativi europei e gli standard internazionali in materia di sicurezza e risk management, per una governance che coniuga efficacia operativa, conformità e sostenibilità

Pubblicato il 22 dic 2025
Marco Toiati

Ingegnere, IT Security Manager

DORA e Data Act catena di fornitura - Third-Party Risk Management (Tprm): come proteggere davvero la supply chain digitale; Strategic Sourcing e governance del rischio cyber: un framework per la gestione sostenibile delle terze parti digitali

La trasformazione digitale, attuata negli ultimi anni, ha modificato in profondità il modo in cui le organizzazioni producono valore, gestiscono i propri processi interni e si relazionano con l’esterno.

L’adozione di infrastrutture cloud, piattaforme digitali e servizi tecnologici in outsourcing ha aumentato la complessità delle catene di fornitura e, di conseguenza, il livello di esposizione ai rischi informatici.

I fornitori non rappresentano soltanto partner economici o operativi, ma nodi critici di un ecosistema interconnesso, in cui un singolo punto di vulnerabilità può compromettere l’intera catena del valore.

In questo scenario, la funzione di Strategic Sourcing assume una rilevanza che va ben oltre la tradizionale logica del risparmio sui costi. Essa diventa un elemento di governance del rischio e di tutela della resilienza digitale dell’organizzazione.

Il modo in cui un’impresa seleziona, qualifica, contrattualizza e monitora i propri fornitori può determinare la sua capacità di resistere ad attacchi informatici, incidenti operativi o interruzioni di servizio.

Ecco un’analisi dei principali riferimenti normativi europei (DORA, GDPR, NIS2) e degli standard internazionali in materia di sicurezza e risk management, delineando un modello di governance che coniuga efficacia operativa, conformità e sostenibilità.

Modello da confrontare con i due principali framework in tema di Security Supply Chain: il NIST C-SCRM e l’Enisa Supply Chain Framework.

Outsourcing della cyber security: limiti, sfide e funzioni che è meglio esternalizzare

Dal procurement tradizionale alla resilienza digitale

Storicamente i processi di approvvigionamento si sono concentrati su obiettivi economici: riduzione dei costi, ottimizzazione delle scorte, negoziazione dei contratti.

Tuttavia, con l’aumento dell’esternalizzazione e la dipendenza da tecnologie gestite da terzi, le aziende hanno compreso che il valore di un fornitore non si misura più soltanto in termini di prezzo o qualità del servizio, ma anche in termini di affidabilità, sicurezza e conformità normativa.

Il concetto di Strategic Sourcing rappresenta questa evoluzione. Si tratta di un approccio sistemico che mira a creare valore di lungo periodo attraverso una relazione di partnership con i fornitori, basata su trasparenza, condivisione degli obiettivi e governance dei rischi comuni.

In questa prospettiva, la funzione acquisti si trasforma in un attore di resilienza digitale, capace di incidere direttamente sulla sicurezza complessiva dell’organizzazione.

Non sorprende, dunque, che le più recenti normative europee abbiano esplicitamente riconosciuto il ruolo strategico della catena di fornitura nella gestione del rischio cyber.

Il Digital Operational Resilience Act (DORA), regolamento Ue che stabilisce requisiti uniformi per la gestione del rischio tecnologico e la resilienza operativa nel settore dei servizi finanziari, impone alle istituzioni finanziarie di monitorare la solidità dei fornitori Ict e di garantirne la conformità ai requisiti di sicurezza operativa.

Analogamente, il GDPR (General Data Protection Regulation), il Regolamento generale sulla protezione dei dati dell’Unione europea, attribuisce al titolare del trattamento una responsabilità condivisa con il responsabile esterno, introducendo un principio di accountability estesa.

In altre parole, la sicurezza non è più confinata all’interno dei perimetri aziendali, ma si estende lungo l’intera supply chain digitale.

Le terze parti come vettori di rischio e di valore

Le ricerche recenti sul Third-Party Risk Management (TPRM) hanno evidenziato che una quota significativa degli incidenti di cyber security nasce da vulnerabilità introdotte dai fornitori o dai subappaltatori.

Secondo il rapporto SecurityScorecard (2024) del team Strike Threat Intelligence, almeno il 35,5% di tutte le violazioni di dati hanno avuto origine da compromissioni di terze parti (fornitori/partner).

Nel report di Hyperproof “2024 IT Risk & Compliance Benchmark Report” si
segnala che il 62% delle organizzazioni ha subito una «supply chain disruption» legata alla cyber security o alle terze parti nell’ultimo anno.

Lo stesso report afferma che l’89% delle organizzazioni ha avuto o si aspetta un «audit finding» relativo alla gestione del rischio di terze parti non risolto prontamente.

Secondo lo studio di mercato di Grand View Research, il mercato globale della gestione del rischio da terze parti (third-party risk management, TPRM) era stimato a 7,42 miliardi di dollari nel 2023 e si prevede che arrivi a circa 20,59 miliardi di dollari entro il 2030, con un CAGR di circa 15,7% tra il 2024 e il 2030.

Da questi dati deriva che una stima prudenziale considera una percentuale compresa tra il 30% e il 50% degli incidenti di sicurezza (a seconda del settore) originati da vulnerabilità nei fornitori o sub-appaltatori.

Diversi attacchi informatici su larga scala hanno dimostrato come le grandi aziende possano essere compromesse attraverso i propri fornitori.

La debolezza nella catena di approvvigionamento informatico (supply chain) è diventata un obiettivo primario per i criminali.

Alcuni eventi significativi verificatisi nel 2025

  • JLR (Jaguar Land Rover): un attacco a OPmobility, un fornitore, avvenuto a settembre 2025, ha causato la sospensione della produzione, con una perdita economica stimata in circa 40 milioni di euro, come riportato da Automoto.it.
  • Dolomiti Energia: un attacco a uno dei suoi fornitori, avvenuto a settembre 2025, ha portato al furto di dati personali dei clienti, che potrebbe agevolare tentativi di phishing.
  • aeroporti europei: un attacco a una catena di fornitura digitale avvenuto a settembre 2025 ha colpito diversi aeroporti, tra cui Heathrow, Bruxelles e Berlino, confermando la fragilità di queste infrastrutture.
  • Discord: un attacco a un fornitore terzo avvenuto in ottobre 2025 avrebbe compromesso i dati di alcuni utenti.

Questi incidenti dimostrano come la catena di fornitura digitale possa trasformarsi in un’arma a doppio taglio: essenziale per l’innovazione, ma potenzialmente pericolosa se non adeguatamente gestita.

Tuttavia, considerare le terze parti soltanto come fonte di rischio sarebbe riduttivo. Esse rappresentano anche fonti di innovazione, di know-how tecnologico e di agilità operativa.

La sfida per le organizzazioni moderne non è eliminare il rischio, ma governarlo in modo sostenibile, integrando sicurezza e collaborazione.

Il ruolo dello Strategic Sourcing diventa, in questo senso, quello di mediatore intelligente tra esigenze economiche e necessità di protezione, capace di bilanciare performance, costo e sicurezza lungo tutto il ciclo di vita del fornitore.

Un framework per la governance del rischio cyber nelle relazioni di fornitura

Per gestire efficacemente il rischio cyber nelle relazioni di fornitura è necessario adottare un approccio strutturato e continuo.

Il framework proposto in questo articolo si basa su cinque fasi fondamentali, coerenti con il ciclo di vita del fornitore e con i principi di gestione del rischio delineati dall’ISO 31000.

Analisi strategica e mappatura del rischio

La prima fase consiste nell’identificare le categorie di fornitura che incidono direttamente sulla sicurezza digitale.

È utile classificare i fornitori in base al livello di criticità, per esempio, distinguendo tra partner Ict strategici, fornitori di servizi cloud, fornitori di dati o subappaltatori operativi.
L’obiettivo è comprendere dove si annidano le interdipendenze più pericolose, valutando l’impatto potenziale di un’interruzione o di una violazione.

Prequalifica e due diligence

Nella seconda fase si integrano i criteri di sicurezza e di compliance all’interno dei processi di selezione.

Le imprese più mature utilizzano questionari strutturati come il SIG (Standardized Information Gathering) o fanno riferimento a framework internazionali come Csa Star per i servizi cloud.

La due diligence deve verificare la presenza di certificazioni di sicurezza (ISO 27001, SOC2), di politiche di gestione incidenti, di piani di formazione del personale e di piani di business continuity.

Contrattualizzazione e governance dei livelli di servizio

I contratti devono diventare strumenti di sicurezza, non semplici documenti commerciali.

È opportuno includere clausole di notifica degli incidenti, diritti di audit, SLA sulla resilienza e indicatori di rischio (KRI) condivisi.

La contrattualizzazione è anche un momento per definire la responsabilità condivisa nella protezione dei dati e nei processi di risposta agli incidenti.

Monitoraggio continuo

Il rischio cyber non è statico. Evolve nel tempo insieme ai fornitori, alle tecnologie e alle minacce.

Le organizzazioni più avanzate adottano soluzioni di Continuous Monitoring, che raccolgono informazioni in tempo reale sullo stato di sicurezza dei fornitori, integrando fonti di threat intelligence e analisi automatizzate.

Il monitoraggio continuo permette di passare da un approccio reattivo a uno proattivo, anticipando le vulnerabilità prima che si trasformino in incidenti.

Governance e cultura organizzativa

Infine, un framework efficace richiede una governance chiara e condivisa. È essenziale creare un Vendor Risk Committee che riunisca rappresentanti di Procurement, IT Security, Compliance e Risk Management, promuovendo un linguaggio comune e decisioni coordinate.

Ma soprattutto, occorre sviluppare una cultura del rischio: formare i buyer, sensibilizzare i manager e diffondere la consapevolezza che ogni scelta di sourcing è anche una scelta di sicurezza.

La dimensione della sostenibilità digitale

Negli ultimi anni la sostenibilità è divenuta un criterio trasversale di valutazione per le imprese.

Tuttavia, accanto alla sostenibilità ambientale e sociale, emerge oggi una nuova dimensione: la sostenibilità digitale. Si fonda sulla capacità delle organizzazioni di mantenere nel tempo la propria integrità informatica, la continuità dei servizi e la fiducia degli stakeholder.

Integrare la cyber resilience nei processi di sourcing significa riconoscere che la sicurezza informatica è un elemento essenziale della sostenibilità d’impresa.

I fornitori che adottano pratiche etiche nella gestione dei dati, che investono nella sicurezza e che dimostrano trasparenza nei processi rappresentano partner sostenibili nel senso più ampio del termine.

Questo approccio contribuisce anche alla reputazione aziendale: in un contesto in cui la fiducia digitale è diventata un vantaggio competitivo, essere percepiti come un’organizzazione che gestisce responsabilmente le proprie terze parti costituisce un valore intangibile, ma cruciale.

Il Framework Nist C-Scrm

La pubblicazione NIST SP 800-161r1 (aprile 2022) rappresenta il riferimento normativo e metodologico più organico in materia di Cybersecurity Supply Chain Risk Management (C-SCRM).

Essa definisce un approccio sistemico per integrare la gestione del rischio lungo la catena di fornitura digitale all’interno del ciclo di vita complessivo dei sistemi informativi, in coerenza con il Risk Management Framework (RMF) delineato nel NIST SP 800-39 e nel SP 800-37.

Finalità e principi di fondo

Il C-SCRM si fonda sull’assunto che la sicurezza di un’organizzazione non dipenda esclusivamente dai controlli tecnici interni, ma anche dall’affidabilità, integrità e trasparenza dei prodotti, servizi e fornitori da cui essa dipende.

La catena di fornitura moderna – caratterizzata da componenti software multi-layer (inclusi open source), fornitori esteri, outsourcing ICT e servizi cloud gestiti – costituisce un ecosistema esposto a vulnerabilità distribuite.

Il documento propone quindi un modello olistico e multilivello che consente di:

  • collegare la gestione del rischio di supply chain al governo aziendale (Level 1);
  • tradurla in piani di missione e obiettivi di business (Level 2);
  • attuarla attraverso controlli tecnici e processuali di sistema (Level 3).

Il ciclo di gestione, mutuato dal RMF, si articola nelle quattro fasi classiche:
Frame → Assess → Respond → Monitor, integrando la “Criticality Analysis” come attività preliminare di identificazione degli asset e dei fornitori critici.

Architettura del modello C-Scrm

Il NIST distingue tre livelli di applicazione integrati e sinergici.

LivelloAmbitoOutput principale
Enterprise (L1)Governance, policy, strategie, ruoliStrategia C-SCRM e risk appetite
Mission/Business (L2)Processi critici e funzioni operativePiani di implementazione, requisiti per
fornitori
System/Operational
(L3)		Applicazione ai singoli sistemi o
servizi		Piani di sistema, controlli SR-* e
monitoraggio

Il modello promuove la trasversalità tra funzioni (Ict, procurement, legale, risk management) e la continuità nel ciclo di vita (dalla pianificazione alla dismissione), garantendo che le decisioni di sourcing e sviluppo tecnologico siano coerenti con la strategia di sicurezza complessiva.

Struttura e contenuti operativi

La norma fornisce un insieme di pratiche fondamentali e avanzate, corredate da template e tabelle operative (Appendici A–D):

  • Appendice A: controlli C-SCRM (SR-1÷SR-13), integrabili nel framework NIST SP 800-53. Esempi: SR-6 “Supplier Assessments”, SR-8 “Notification of Supply Chain Events”, SR-10 “Component Authenticity”.
  • Appendice B: attività di criticality analysis e mappatura delle dipendenze.
  • Appendice C: Risk Exposure Framework, utile per quantificare la probabilità e l’impatto dei rischi lungo la catena di fornitura.
  • Appendice D: modelli per Strategia, Policy, System Plan e Risk Assessment Template.

Il documento incoraggia l’adozione di un C-Scrm Program Management Office (PMO) o struttura dedicata, con mandato formale e capacità di raccordo tra le diverse funzioni aziendali.

Implementazione operativa: dalla teoria alla prassi

Il NIST traduce la teoria in azioni scalabili secondo un percorso temporale realistico:

  • Attivazione (0–30 giorni): definizione del PMO e delle responsabilità; avvio della criticality analysis e inventario di fornitori e componenti Ict critici; redazione della C-SCRM Strategy e della Policy di riferimento.
  • Integrazione (30–90 giorni): inserimento dei requisiti C-SCRM nel procurement: clausole contrattuali su vulnerabilità, incident reporting, subfornitura e autenticità componenti; utilizzo dei controlli SR-* come “baseline” per capitolati e tender.
  • Consolidamento (90–180 giorni): misurazione delle performance tramite KPI e KRI (es. % fornitori con SBOM, tempo medio di patching, MTTD (Mean Time to Detect)/MTTR (Mean Time to Repair/Restore ) su incidenti di supply chain; monitoraggio continuo e revisione del risk appetite e del residual risk.

Questo approccio progressivo consente di adattare il modello anche a organizzazioni come banche o infrastrutture critiche, integrandolo con normative locali (per esempio, Dora, GDPR, ISO 27036, Enisa Supply Chain Security Framework).

Casi applicativi reali

  • attacco ransomware a Managed Service Provider (MSP): in diversi casi (es. Kaseya, 2021), la compromissione di un fornitore di servizi gestiti ha propagato malware ai clienti. Il NIST suggerisce: contratti con obblighi di notifica (SR-8), revisione periodica dei fornitori (SR-6), e piani di continuità condivisi (CP-*);
  • vulnerabilità in componenti open source: eventi come Log4Shell (2021) hanno evidenziato i rischi delle dipendenze software. Applicazione: controlli SR-4 (provenance), SI-2 (patch management), richiesta di SBOM (Software Bill of Materials);
  • contraffazione hardware o supply chain fisica: l’uso di componenti non genuini in dispositivi di rete può introdurre backdoor o instabilità. Controlli raccomandati: SR-9/10/11 (tamper, inspection, authenticity) e procedure di smaltimento sicuro (SR-12).

Questi casi dimostrano l’importanza della trasparenza di filiera e della responsabilizzazione contrattuale di ogni attore coinvolto.

Prospettiva accademica e governance del rischio

Dal punto di vista teorico, il documento si colloca nella linea evolutiva della resilienza sistemica: la supply chain non è più considerata un elemento logistico, ma un sistema cibernetico interdipendente.

La logica sottostante è di tipo cyber-socio-tecnico, in cui ogni componente (umano, tecnologico, organizzativo) contribuisce alla superficie di attacco complessiva.

In termini di governance, il NIST propone una convergenza fra Information security, procurement e Enterprise Risk Management, anticipando concetti oggi ripresi dai regolamenti europei come DORA (Digital Operational Resilience Act) e dagli standard ISO/IEC 27036-1-4.

Il NIST SP 800-161r1 offre un framework pragmatico per la gestione sostenibile del rischio di supply chain digitale.

La sua forza risiede nella integrazione verticale (governance-processo-sistema), nella strumentazione operativa (template e controlli SR-*), e nella scalabilità verso diversi contesti organizzativi.

Per il mondo accademico e professionale, esso costituisce un punto di riferimento per sviluppare modelli di supply chain assurance coerenti con gli standard di sicurezza, privacy e continuità operativa richiesti dall’economia digitale globale.

Enisa supply chain security framework

Il rapporto pubblicato da Enisa nel giugno 2023 rappresenta uno dei documenti europei più completi in materia di cyber security nelle catene di fornitura ICT/OT, in diretto supporto alla Direttiva NIS 2 (UE 2022/2555).

L’obiettivo del documento è offrire un quadro strutturato di buone pratiche per la gestione dei rischi derivanti da fornitori, partner e prestatori di servizi digitali, individuando al contempo le carenze più ricorrenti nelle organizzazioni europee.

Contesto e finalità

La rapida crescita degli incidenti di sicurezza legati a terze parti – che, secondo ENISA, nel 2021 hanno rappresentato il 17% delle intrusioni totali rispetto a meno dell’1% nel 2020 – ha evidenziato come la sicurezza della supply chain sia diventata un tema sistemico.

Il rapporto collega direttamente la gestione del rischio di fornitura alle disposizioni dell’art. 21 della Direttiva NIS 2, che impone agli operatori essenziali e importanti di implementare misure tecniche, organizzative e operative adeguate e proporzionate.

Stato dell’arte in Europa

L’analisi empirica condotta da ENISA su 1.081 organizzazioni europee mostra un livello di maturità ancora disomogeneo:

  • l’86% possiede una policy di supply chain security, ma solo il 47% dispone di un budget dedicato;
  • il 76% non ha ruoli specifici o FTE assegnati alla gestione della sicurezza dei fornitori;
  • il 61% richiede certificazioni di sicurezza ai fornitori, ma solo il 37% effettua valutazioni di rischio sistematiche;
  • il 46% applica le patch critiche entro un mese, ma un ulteriore 46% impiega fino a sei mesi.

Il settore bancario risulta il più maturo, seguito da trasporti e infrastrutture digitali.
In generale, tuttavia, emerge un deficit di governance strutturata e una gestione ancora reattiva e frammentata del rischio di supply chain.

Principali ambiti di buone pratiche individuati

Enisa organizza le proprie raccomandazioni in cinque aree tematiche, che costituiscono il nucleo operativo del framework:

  • approccio strategico e governance aziendale: ogni organizzazione deve dotarsi di una strategia di sicurezza della supply chain integrata a livello corporate, basata su un approccio risk-based e su una chiara attribuzione di responsabilità. È raccomandata la creazione di team interfunzionali che includano funzioni di sicurezza, procurement, legale e risk management, in linea con le indicazioni del NISTIR 8276. Il modello di riferimento suggerito è il ciclo PDCA (Plan–Do–Check–Act), applicato alla gestione continua dei rischi di supply chain.
  • Supply Chain Risk Management: Enisa raccomanda l’applicazione dei principi di ISO 31000:2018 per l’analisi e il trattamento del rischio, integrati con controlli di ISO/IEC 27001 e 27002. Viene richiesta la mappatura delle dipendenze critiche (fornitori diretti, software open-source, componenti di terze parti, punti di vulnerabilità) e l’adozione di clausole di audit e right-to assess nei contratti di fornitura.
  • Supplier Relationship Management: I rapporti contrattuali devono includere requisiti minimi di sicurezza, piani di gestione delle vulnerabilità, procedure di notifica incidenti e meccanismi di formazione congiunta. Le misure operative fanno riferimento diretto ai capitoli 5.19–5.23 di ISO/IEC 27002:2022, che definiscono i controlli per la selezione, qualificazione, monitoraggio e sostituzione dei fornitori. È inoltre consigliata la definizione di contatti di sicurezza dedicati e di politiche per la gestione di subappalti e fornitori di secondo livello.
  • Vulnerability Handling: La gestione delle vulnerabilità è una componente centrale del framework. Enisa raccomanda l’adozione di processi strutturati per: la rilevazione, analisi e comunicazione delle vulnerabilità (in linea con IEC 62443-4-1:2018); la verifica della compatibilità delle patch; la definizione di policy di manutenzione basate sul rischio; la pubblicazione di security advisories e la tracciabilità tramite Software Bill of Materials (SBOM). Il rapporto evidenzia come molte organizzazioni manchino di ambienti di test dedicati e come ciò aumenti il rischio di downtime o incompatibilità in fase di patching.
  • Qualità dei prodotti e dei fornitori: la qualità è trattata come elemento di sicurezza. Enisa promuove l’integrazione tra sistemi di gestione della qualità (ISO 9001), sicurezza informatica (ISO/IEC 27001) e sviluppo sicuro (IEC 62443-4-1 e -4-2). Il fornitore ideale deve poter dimostrare la propria conformità attraverso dichiarazioni di conformità e metriche di miglioramento continuo, come numero di vulnerabilità rilevate, tempi di remediation e audit periodici.

Le principali sfide individuate

Tra le criticità sistemiche emerse nel rapporto, Enisa segnala:

  • confusione terminologica tra ICT/OT supply chain e third-party risk management (TPRM);
  • assenza di visibilità end-to-end sulle catene di fornitura multilivello;
  • mancanza di ruoli dedicati e carenza di personale qualificato;
  • onerosità delle certificazioni per i piccoli fornitori;
  • assenza di criteri univoci per classificare un incidente come “supply chain incident”;
  • carenze nella gestione delle vulnerabilità non patchabili, che richiedono soluzioni
  • alternative (defence-in-depth).

Riferimenti normativi e standard

Il documento integra le principali normative europee e internazionali, tra cui:

  • Direttiva NIS2 – articoli 21 e 22 (risk management e coordinamento delle valutazioni).
  • Cyber Resilience Act – requisiti di sicurezza per prodotti digitali.
  • DORA – per i servizi finanziari e il digital operational resilience.
  • ISO/IEC 27036, ISO 31000, IEC 62443, ISO 9001, NISTIR 8276.

Questa interoperabilità rende il framework Enisa una base operativa per l’allineamento normativo europeo, soprattutto per enti regolati (banche, infrastrutture critiche, operatori energetici, fornitori cloud).

Modalità operative di implementazione

L’applicazione del framework avviene secondo una logica graduale:

  • definizione della governance – istituzione di ruoli e comitati interfunzionali;
  • risk assessment strutturato – mappatura fornitori critici e dipendenze software;
  • contrattualizzazione dei requisiti di sicurezza – inserimento di clausole di audit, reporting e notifica;
  • gestione e comunicazione delle vulnerabilità – con uso di SBOM, CVSS e patch management coordinato;
  • ciclo di miglioramento continuo – con audit periodici, KPI/KRI e reporting al top management.

Il documento suggerisce anche un approccio di collaborazione pubblico-privata, in particolare tramite ISACs e CSIRTs, per favorire la condivisione di informazioni sulle minacce e ridurre la frammentazione degli approcci nazionali.

Il framework Enisa evidenzia la necessità di un passaggio culturale: dalla gestione tecnica del rischio informatico alla gestione strategica della resilienza di filiera.

La sicurezza della supply chain non è più un tema confinato ai reparti IT, ma un elemento di governance aziendale e conformità regolatoria.

La combinazione tra politiche europee (NIS2, DORA, CRA) e buone pratiche operative (ISO, IEC, NIST) costituisce oggi il riferimento imprescindibile per costruire una catena di fornitura digitale sicura, trasparente e sostenibile.

I due framework a confronto

L’Enisa, Agenzia dell’Unione Europea per la Cybersecurity, interpreta la sicurezza della catena di fornitura come un problema sistemico che richiede una risposta cooperativa tra organizzazioni pubbliche e private.

Il suo framework, pubblicato nel 2022, nasce con lo scopo di armonizzare le pratiche europee di supply chain risk management in coerenza con la Direttiva NIS2, il Cybersecurity Act e il Regolamento DORA.

L’idea centrale è che la resilienza non derivi solo da controlli interni, ma dalla fiducia verificabile tra attori interdipendenti.

Il NIST SP 800-161r1, invece, esprime la tradizione americana della governance e della accountability. È un documento tecnico-normativo che estende il Risk Management Framework (RMF) alle catene di fornitura, con l’obiettivo di integrare le misure di sicurezza, le policy e le procedure di procurement in un sistema misurabile e documentato.

La sua architettura multilivello – enterprise, mission/business e system – riflette la necessità di collegare la strategia di sicurezza alle decisioni operative e ai controlli di sistema, creando un continuum di responsabilità verificabile.

In termini sintetici, si può affermare che Enisa costruisce la fiducia attraverso la
collaborazione, mentre NIST la impone attraverso la governance.

La differenza più profonda tra i due modelli risiede nella filosofia del rischio.

L’Enisa considera il rischio di supply chain come una funzione dell’interdipendenza: ogni organizzazione è parte di un ecosistema in cui vulnerabilità e minacce si propagano lungo nodi e sub-nodi della rete di fornitura.

La mitigazione, di conseguenza, passa attraverso la trasparenza, la cooperazione e la standardizzazione delle informazioni: la creazione di fiducia diventa un obiettivo tanto tecnico quanto organizzativo.

Il NIST, invece, mantiene un’impostazione manageriale e quantitativa.

Il rischio è definito come una variabile che deve essere misurata, documentata e gestita.

Il framework introduce controlli specifici per la supply chain e richiede la costituzione di un C-Scrm Program Management Office (PMO), con responsabilità dirette, metriche di performance e cicli di audit interni. La gestione è quindi centralizzata e documentata, finalizzata alla dimostrabilità della conformità.

Sul piano operativo, i due modelli forniscono strumenti complementari

L’Enisa privilegia approcci maturità-based, con checklist, modelli di autovalutazione e un Supply Chain Security Maturity Model articolato in cinque livelli (da “ad hoc” a “optimized”).

Vengono inoltre promosse pratiche di supplier assurance, la condivisione di informazioni tramite ISACs (Information Sharing and Analysis Centres) e l’adozione di standard europei di certificazione (EUCC, EUCS, EUIoT).

Il NIST, invece, fornisce template formali per redigere:

  • la C-Scrm Strategy, che definisce obiettivi e ruoli;
  • la Policy, che stabilisce i requisiti vincolanti;
  • il System-level C-SCRM Plan, che dettaglia controlli e procedure operative;
  • e il Risk Assessment Template, che misura l’esposizione e il rischio residuo.

Tali strumenti sono direttamente integrabili nei processi di procurement e vendor management, e permettono di collegare il rischio di fornitura alle metriche di performance organizzativa.

Nonostante le differenze di impostazione, i due framework convergono su alcuni punti fondamentali. Entrambi considerano la sicurezza della supply chain come parte integrante del risk management aziendale, sottolineano l’importanza della trasparenza e della tracciabilità, e promuovono la valutazione continua dei fornitori e la collaborazione intersettoriale.

Entrambi, inoltre, riconoscono la necessità di un monitoraggio dinamico basato su indicatori di rischio (KRI) e di una stretta integrazione tra funzioni tecniche, legali e di procurement.

Una prospettiva applicativa

La combinazione dei due modelli, la soluzione più efficace per le organizzazioni europee.

L’approccio Enisa fornisce la cornice cooperativa e la coerenza normativa (necessarie per conformarsi a DORA e NIS2), mentre il NIST offre la struttura metodologica e la granularità operativa necessarie per implementare processi misurabili e verificabili.

Insieme, essi consentono di costruire una governance del rischio di supply chain che sia al tempo stesso resiliente, documentata e conforme.

Nel contesto della trasformazione digitale e della crescente esternalizzazione dei servizi Ict, la gestione del rischio di supply chain non può più essere concepita come un processo tecnico isolato.

Deve diventare parte della strategia di resilienza organizzativa, coinvolgendo top management, funzioni di procurement, risk management, compliance e sicurezza informatica.

Il modello Enisa fornisce il linguaggio e la cornice europea di riferimento; il NIST offre il metodo e la disciplina di implementazione.

Il risultato è un ecosistema in cui la sicurezza non è un vincolo burocratico, ma un fattore di sostenibilità e fiducia.

L’integrazione dei due modelli rappresenta quindi una prospettiva concreta per costruire un framework europeo-americano di gestione del rischio di supply chain, capace di coniugare resilienza operativa, accountability e sostenibilità nel lungo periodo.

Lo Strategic Sourcing come leva di efficienza e funzione di fiducia

Secondo questa analisi, i processi di Strategic Sourcing possono rappresentare una leva fondamentale per la governance del rischio cyber e la costruzione di una supply chain digitale sostenibile.

Integrare la sicurezza informatica nella selezione, contrattualizzazione e gestione dei fornitori non significa aggiungere un vincolo burocratico, ma rafforzare la competitività dell’impresa in un mercato sempre più interconnesso e regolamentato.

Il framework proposto offre una guida concreta per rendere coerenti le attività di procurement con gli obiettivi di cyber security e di compliance normativa.

Solo attraverso un approccio integrato – che unisca economia, tecnologia e governance – le organizzazioni potranno affrontare in modo sostenibile le sfide del nuovo scenario digitale.

In definitiva, lo Strategic Sourcing non è più solo una leva di efficienza, ma una funzione di fiducia.

È attraverso la qualità delle relazioni con i propri partner digitali che un’impresa costruisce la propria resilienza e, in senso più ampio, contribuisce alla sicurezza dell’intero ecosistema economico e sociale.

Bibliografia

  • Caramancion, K. M. (2021). Cyber Third-Party Risk Management (C-TPRM). Albany University Press.
  • İlter, C. (2024). Third-Party Risks in the Cyber Supply Chain. DiVA Portal.
  • Kaur, H. (2024). Integrated model to optimise supplier selection and cyber resilience criteria. International Journal of Production Economics, Elsevier.
  • Ilori, N., Nwosu, C., & Naiho, O. (2024). Third-Party Vendor Risks in IT Security: A Comprehensive Audit Review and Mitigation Strategies. ResearchGate.
  • Monczka, R. M., Handfield, R. B., Giunipero, L. C., & Patterson, J. L. (2016). Purchasing and Supply Chain Management. Cengage Learning.
  • ISO (2018). ISO/IEC 27036 – Information Security for Supplier Relationships.
  • European Union (2022). Regulation (EU) 2022/2554 – Digital Operational Resilience Act (DORA).
  • European Union (2016). General Data Protection Regulation (GDPR).
  • Third-party Risk Management Market (2024 – 2030) – Grand View Research
  • Streamlining Third-Party Risk Management: The Top Findings from the 2024 Benchmark Survey Report – HyperProof Team (2025)
  • Good Practices For Supply Chain Cybersecurity- European Union Agency for Cybersecurity (ENISA) -June 2023
  • Cyber security Supply chaing Risk Management Practices for Systems and Organizations – National Institute of Standards and Technology (NIST) Special Publication NIST SP 800 161r1 -November 2024.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

T
Marco Toiati
Ingegnere, IT Security Manager

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Autenticazione via Passkey: cos'è e come funziona

  • Passwordless

    Passkey: cos'è e come funziona

    03 Apr 2025

    di Redazione Cybersecurity360.it

    Condividi
  • Truffa del doppio Spid come difendersi

  • frodi

    Truffa del "doppio SPID": cos'è e come mitigare un bug sistemico nell'identità digitale italiana

    03 Apr 2025

    di Dario Fadda

    Condividi
  • Falla in 7-Zip bypassa gli avvisi di sicurezza di Windows MoTW: dati importanti nella cyber e in informatica forense

  • patch urgenti

    Falla in 7-Zip bypassa gli avvisi di sicurezza di Windows: dati a rischio

    22 Gen 2025

    di Mirella Castigli

    Condividi