Come noto, la Direttiva NIS 2 (2555/2022/UE) rappresenta una tappa fondamentale nella regolamentazione della sicurezza informatica a livello europeo. Con l’emanazione del Decreto Legislativo n. 138/2024, l’Italia ha recepito le disposizioni comunitarie, ampliando notevolmente l’ambito di applicazione rispetto alla normativa precedente.

Gli operatori economici che rientrano nell’ambito soggettivo di applicazione della NIS 2 sono chiamati a rispettare precisi obblighi informativi e di gestione dei rischi, nonché ad assicurare l’adozione di misure adeguate e l’obbligo di notificare tempestivamente eventuali incidenti informatici che possano compromettere la sicurezza delle reti.

I soggetti inseriti nell’elenco, predisposto dall’Autorità Nazionale per la Cybersicurezza (ACN), dovranno adempiere agli obblighi previsti dalla normativa entro precise scadenze, come già approfondito in un precedente articolo pubblicato sul nostro sito, al quale facciamo rinvio.

Per quel che qui interessa, la normativa NIS 2 impone una particolare attenzione alla sicurezza della catena di approvvigionamento, con un impatto non trascurabile per i fornitori dei soggetti NIS. Cosa cambierà nei rapporti tra clienti NIS e fornitori?

A ben vedere, la Direttiva NIS 2 e il Decreto Legislativo di attuazione possiedono un perimetro di applicazione più ampio di quanto possa sembrare a prima vista. Sebbene gli obblighi diretti ricadano sui soggetti definiti essenziali e importanti, il meccanismo normativo ha un impatto considerevole anche sui fornitori di tali soggetti.

Il legislatore europeo, consapevole dei rischi che la catena di approvvigionamento può comportare per la sicurezza informatica, ha introdotto l’obbligo per i soggetti NIS di tenere in considerazione la resilienza dei propri fornitori e la qualità delle pratiche di cybersicurezza adottate da questi ultimi. La sicurezza informatica, dunque, non si limita a una dimensione interna, ma si estende lungo tutta la filiera, creando un vero e proprio “effetto a cascata” che investe anche i fornitori a valle.

Questo significa che i fornitori di soggetti critici, pur non essendo direttamente destinatari della Direttiva NIS 2, dovranno comunque adottare misure adeguate per dimostrare di essere conformi agli standard di sicurezza richiesti dai propri clienti.

In sostanza, le imprese fornitrici saranno tenute a integrare nei propri processi di gestione del rischio misure di mitigazione del rischio informatico, al fine di tutelare i propri clienti e, in definitiva, garantire la continuità delle relazioni commerciali. Questo scenario rende la cybersicurezza non solo un obbligo normativo, ma anche un driver di competitività sul mercato. La capacità di un’azienda di dimostrare ai propri clienti di essere compliant con le normative in materia di sicurezza informatica diventa un fattore determinante per mantenere il proprio status di fornitore.

Dal lato dei soggetti inclusi nell’elenco NIS 2, vi è la necessità di integrare la verifica della sicurezza dei fornitori nei processi aziendali. Questo processo dovrà prevedere non solo una valutazione puntuale dei rischi legati ai fornitori diretti, ma anche l’adozione di accordi contrattuali che definiscano con precisione le responsabilità reciproche in materia di gestione dei rischi di cybersicurezza. Le imprese dovranno quindi adottare misure per garantire la protezione delle loro infrastrutture digitali, sviluppando un sistema integrato di sicurezza informatica che coinvolga tutti i soggetti che operano lungo la catena di approvvigionamento.

Catena di approvvigionamento e rapporti con i fornitori nella normativa NIS 2

Per comprendere l’importanza di una corretta governance della sicurezza informatica lungo la catena di approvvigionamento, è indispensabile dare uno sguardo alle disposizioni della Direttiva NIS 2 (2555/2022/UE) e alle previsioni del D. Lgs. 138/2024.

In particolare, già il considerandum n. 85 sottolinea l’importanza di «affrontare i rischi derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori, ad esempio i fornitori di servizi di conservazione ed elaborazione dei dati o di servizi di sicurezza gestiti e gli editori di software». Tale necessità deriva dal fatto che la prevalenza di incidenti, in cui i cybercriminali sono stati in grado di compromettere la sicurezza dei sistemi informatici e di rete, interessano prodotti e servizi di terzi fornitori dei soggetti NIS.

I soggetti essenziali e importanti dovrebbero pertanto valutare e tenere in considerazione «la qualità e la resilienza complessive dei prodotti e dei servizi, delle misure di gestione dei rischi di cibersicurezza in essi integrate e delle pratiche di cibersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro».

In particolare, i soggetti essenziali e importanti dovrebbero essere incoraggiati a integrare misure di gestione dei rischi di cibersicurezza negli accordi contrattuali con i loro fornitori e fornitori di servizi diretti. Tali soggetti potrebbero, inoltre, prendere in considerazione i rischi derivanti da altri livelli di fornitori e fornitori di servizi.

Inoltre, l’art. 21 della Direttiva NIS 2, dopo aver stabilito che i soggetti essenziali e importanti devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività, pone un preciso obbligo relativo alla sicurezza della catena di approvvigionamento.

Nel dettaglio, il secondo comma dell’art. 21 della Direttiva NIS 2 dispone che le misure debbano aver riguardo alla «sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi».

Al terzo comma si precisa ulteriormente che, nel valutare quali misure siano adeguate, i soggetti tengano conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.

Le indicazioni del Legislatore europeo sono state recepite nel nostro ordinamento con l’adozione del Decreto NIS 2 (D. Lgs. 138/2024).

Occorre in primis considerare che il possesso della qualifica di fornitore di un soggetto NIS può comportare, per determinati soggetti, l’inserimento nell’elenco dei destinatari della disciplina. Conviene al riguardo osservare che, ai sensi dell’art. 3, comma 9 del Decreto NIS 2, la normativa si applica anche ai soggetti dei settori o delle tipologie di cui agli allegati I, II, III e IV, indipendentemente dalle loro dimensioni, qualora «il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti».

Vieppiù, ai sensi dell’art. 24, comma 2 del Decreto NIS, le misure di sicurezza sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete, nonché il loro ambiente fisico da incidenti, che comprendono – tra l’altro – anche la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.

Infine, l’art. 24, comma 3 dispone che, nel valutare quali misure siano adeguate, i soggetti tengono conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Per la medesima finalità i soggetti tengono altresì conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.

NIS 2 e supply chain. Adempimenti per clienti e fornitori.

In conclusione, è chiaro che l’estensione degli obblighi di cybersicurezza lungo la catena di approvvigionamento ha generato un effetto moltiplicatore che amplia significativamente il perimetro di applicazione della normativa NIS 2. Questo effetto si traduce in una maggiore responsabilità non solo per i soggetti essenziali e importanti, ma anche per i loro fornitori, i quali devono essere consapevoli delle implicazioni normative.

Già lo status di fornitore di un soggetto critico può comportare l’inclusione tra i destinatari diretti della disciplina, come previsto dall’art. 3, comma 9, del D. Lgs. 138/2024. Ma al di là di tale profilo, i soggetti essenziali e importanti sono tenuti a rivedere attentamente i propri processi di approvvigionamento, mantenendo nell’albo fornitori solo coloro che sono in grado di assicurare standard elevati di sicurezza informatica.

Più precisamente, dal punto di vista dei soggetti NIS 2, la crescente attenzione alla sicurezza richiede non solo una valutazione continua dei fornitori già presenti, ma anche l’introduzione di nuove procedure di selezione e mantenimento, che tengano conto delle vulnerabilità dei fornitori lungo tutta la catena di approvvigionamento.

A questo riguardo, è fondamentale che la documentazione contrattuale venga aggiornata e revisionata. Sarà opportuno prevedere clausole specifiche che disciplinino la gestione della cybersicurezza e la ripartizione delle responsabilità nella gestione dei rischi informatici. L’elaborazione di modelli contrattuali ad hoc, specialmente per i fornitori di beni e servizi ICT critici, diventa una pratica essenziale per garantire la compliance normativa.

Parimenti, la modulistica per l’iscrizione o la permanenza nell’albo fornitori dovrà essere aggiornata per dimostrare una piena accountability rispetto agli obblighi previsti dalla normativa, facilitando così i controlli e garantendo trasparenza nelle relazioni commerciali.

Dal punto di vista dei fornitori, il supporto legale è cruciale per affrontare questa sfida in modo strategico. La comprensione dettagliata degli obblighi imposti dalla NIS 2 è necessaria per mantenere la propria competitività sul mercato. In particolare, sarà opportuno adottare modelli e codici di condotta per garantire una gestione efficace non solo della sicurezza tecnologica, ma anche del fattore umano, che rappresenta una componente essenziale nella protezione dai rischi di cybersicurezza.

In tale contesto, anche la formazione del personale diventa un elemento fondamentale per dimostrare che la gestione dei rischi è effettuata in modo adeguato e consapevole.

Il sostegno di un professionista legale con esperienza in cybersicurezza non solo garantisce la corretta applicazione delle normative, ma consente anche di predisporre una strategia a lungo termine per prevenire rischi e gestire le relazioni con i fornitori. Per questo motivo, il nostro Studio Legale ha predisposto una checklist specifica per fornitori e soggetti essenziali/importanti, così da agevolare l’adeguamento alle disposizioni della NIS 2 relative alla catena di approvvigionamento.