NIS 2 e supply chain: come gestire i fornitori per garantire sicurezza e privacy

Come individuare i fornitori critici: esempi

Per individuare i fornitori critici, risulta molto utile la definizione data dal D.Lgs.138/2024 all’art. 2, comma 1, lettera iii) «fornitore di servizi gestiti»: un soggetto che fornisce servizi relativi all’installazione, alla gestione, al funzionamento o alla manutenzione di prodotti, reti, infrastrutture, applicazioni TIC o di qualsiasi altro sistema informativo e di rete, tramite assistenza o amministrazione attiva effettuata nei locali dei clienti o a distanza; e alla lettera lll) «fornitore di servizi di sicurezza gestiti»: un fornitore di servizi gestiti che svolge o fornisce assistenza per attività relative alla gestione dei rischi di sicurezza informatica.

Quindi il Decreto NIS ci invita a prestare particolare attenzione ai fornitori che erogano servizi volti a garantire la sicurezza delle informazioni.

Per questa tipologia di fornitori, i criteri di qualifica devono essere ancora più stringenti, considerando il set di informazioni a cui potrebbero avere accesso, specialmente se tali attività fossero svolte da fornitori “malintenzionati”.

Questo tema è ulteriormente ribadito dal Considerando (86) della Direttiva NIS 2 che specifica: “Tra i fornitori di servizi, i fornitori di servizi di sicurezza gestiti in settori quali la risposta agli incidenti, i test di penetrazione, gli audit di sicurezza e la consulenza svolgono un ruolo particolarmente importante nell’assistere i soggetti nei loro sforzi per la prevenzione e il rilevamento degli incidenti, la risposta agli stessi o la ripresa da essi. I fornitori di servizi di sicurezza gestiti sono stati tuttavia essi stessi bersaglio di attacchi informatici e, a causa della loro stretta integrazione nelle attività dei soggetti, presentano un particolare rischio. I soggetti essenziali e importanti dovrebbero pertanto esercitare una maggiore diligenza nella selezione di un fornitore di servizi di sicurezza gestiti”.

Primo caso: il fornitore di servizi di hosting

Un fornitore di servizi di hosting che, presso la sua webfarm, offre esclusivamente spazio e connessioni per l’installazione fisica di server da parte di un’organizzazione e che non ha alcun modo di accedere ai dati, a prima vista, potrebbe non essere considerato un responsabile.

Tuttavia, pur non potendo incidere sulla riservatezza, autenticità e integrità dei dati, può comunque compromettere la loro disponibilità.

Per esempio, a causa di un incendio nella sua sede, di un carrello che urta e danneggia il server e l’armadio rack in cui è alloggiato, della mancanza di connessione al web eccetera.

Secondo caso: lo sviluppatore di un applicativo

Un fornitore che sviluppa un applicativo utilizzando, per le fasi di test, una base dati completamente anonimizzata potrebbe essere escluso dal perimetro dei fornitori critici.

Tuttavia, tale fornitore può compromettere i dati non solo tramite il servizio di assistenza, che potrebbe essere richiesto e monitorato, ma anche attraverso errori nello sviluppo del codice che possono minare le proprietà dei dati e manifestarsi anche a distanza di tempo.

I fornitori del settore della gestione dei servizi TIC

I fornitori appartenenti al settore della Gestione dei servizi TIC (business-to- business), così come quelli operanti nel comparto delle Infrastrutture digitali, rientrano tra i soggetti obbligati all’applicazione della NIS 2, come indicato nell’Allegato 1, “Soggetti ad alta criticità”.

Ciò comporta inevitabilmente un innalzamento delle misure di sicurezza che questi fornitori devono adottare, estendendo tale obbligo anche alla loro catena di fornitura.
È importante sottolineare che i fornitori critici non sono solo quelli che trattano dati in modo diretto, ma anche coloro che contribuiscono indirettamente alla protezione dei dati.

Tra questi si annoverano i fornitori che erogano servizi quali:

• pulizie, guardiania e vigilanza;
• installazione e manutenzione di sistemi di antintrusione, impianti elettrici e climatizzazione;
• smaltimento dei rifiuti;
• trasporto di merci o posta interna.

Non vanno dimenticati, inoltre, quei fornitori che, per diverse ragioni, possono accedere occasionalmente o sistematicamente ai locali aziendali, come per esempio:

• i fornitori di servizi di mensa, vending, catering e organizzazione di eventi;
• i fornitori di materiali d’ufficio;
• i manutentori del verde, degli ascensori e di altre infrastrutture;
• i fornitori di servizi di logistica per l’archiviazione fisica eccetera.

Infine, occorre considerare anche il ruolo dei cosiddetti “terzi” e dei “destinatari” menzionati dal GDPR. Questi soggetti, pur ricevendo dati, non rientrano nel perimetro dei responsabili e richiedono pertanto un’ulteriore analisi per definire le loro responsabilità specifiche.

Tali responsabilità possono essere approfondite facendo riferimento alla definizione 85 della “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”.

Qualifica iniziale: la prima difesa per la sicurezza e la conformità

L’individuazione dei fornitori critici, seppur fondamentale, non è sufficiente. Il Regolamento generale sulla protezione dei dati dell’Unione Europea, e in particolare i pareri dell’EDPB, sottolineano infatti che, nella valutazione della conformità dei titolari del trattamento a questo obbligo e al principio di accountability (articolo 24, paragrafo 1, del GDPR), le autorità di controllo devono verificare che il coinvolgimento dei responsabili non comprometta il livello di protezione dei diritti degli interessati.
Il titolare del trattamento ha il dovere di accertarsi che i responsabili (e i sub responsabili) offrano “garanzie sufficienti” per implementare le misure appropriate stabilite dal titolare stesso.

Questo obbligo si applica indipendentemente dal livello di rischio per i diritti e le libertà degli interessati.

Tuttavia, nella pratica, l’estensione di tale verifica dipende dalla natura delle misure tecniche e organizzative richieste, che possono variare in rigore e complessità in relazione al livello di rischio.

In parallelo, il D.Lgs. 138/2024 richiede che i fornitori dimostrino la capacità di gestire reti e sistemi informativi in modo sicuro, integrando la protezione dei dati con la sicurezza operativa.

A sua volta, la norma ISO/IEC 27001:2022 introduce un ulteriore livello di dettaglio. Il controllo 5.22, intitolato “Monitoraggio, riesame e gestione dei cambiamenti dei servizi dei fornitori”, invita a riconsiderare i criteri di qualificazione dei fornitori in caso di variazioni significative nel perimetro della loro offerta o nella loro struttura.

Questi cambiamenti possono riguardare, per esempio, la struttura organizzativa, la proprietà, i subfornitori, le tecnologie adottate o le sedi operative.

I criteri di qualifica iniziale

La qualifica iniziale di un fornitore rappresenta un passaggio fondamentale per garantire il rispetto dei requisiti di protezione dei dati personali previsti dal GDPR e anche le disposizioni di sicurezza informatica previste dall’art. 24, comma 2, lettera d), del D.Lgs. 138/2024.

Di conseguenza, è essenziale individuare criteri di qualifica iniziale ragionevoli per i fornitori prima di instaurare un rapporto di collaborazione.

L’analisi dei rischi costituisce lo strumento fondamentale per determinare quali criteri debbano essere applicati, tenendo conto del contesto specifico. È altresì necessario considerare eventuali modifiche che potrebbero interessare il fornitore o la sua catena di fornitura, come suggerito dalla norma ISO/IEC 27001:2022.

Ecco i criteri di qualifica:

• affidabilità e reputazione del fornitore;
• conformità normativa;
• analisi dei rischi associati al fornitore;
• politiche e pratiche di sicurezza del fornitore;
• capacità tecniche e organizzative;
• capacità di mitigare rischi futuri;
• comunicazione e trasparenza;
• strumenti per la valutazione iniziale;
• Due Diligence Documentale;
• questionari di Due Diligence;
• audit di qualifica iniziale.

Affidabilità e reputazione del fornitore:

• esperienza e referenze: verificare la storia del fornitore, eventuali casi di violazioni di sicurezza o reclami;
• certificazioni: controllare se il fornitore dispone di certificazioni rilevanti per la sicurezza delle informazioni, come ISO/IEC 27001 (sistemi di gestione della sicurezza delle informazioni) ed eventuali altre norme della famiglia ISO/IEC 27000;
• stabilità finanziaria: raccogliere da fonti autorevoli ed analizzare i dati in quanto una solida situazione economica riduce il rischio di interruzione del servizio o mancanza di risorse;
• reputazione: raccogliere da fonti autorevoli informazioni relative alla reputazione del fornire e comprendere se in passato è stato oggetto di provvedimenti da parte del Garante o di altre autorità.

Conformità normativa:

• conformità alle leggi sulla protezione dei dati: verificare se il fornitore rispetta il GDPR o altre normative anche locali, anche se non tratta direttamente i dati personali; valutare se il fornitore rientra nel perimetro di quelli che devono applicare il D.lgs 138/2024;
• accordi contrattuali: controllare la disponibilità a firmare clausole di riservatezza (NDA) o contratti con specifiche misure di sicurezza richieste tra cui anche la nomina a responsabile del trattamento dei dati personali;
• audit o verifiche di conformità: richiedere la possibilità di audit legislativi periodici per garantire il rispetto delle normative.

Analisi dei rischi associati al fornitore:

• accesso ai locali e alle informazioni: valutare se il fornitore avrà accesso fisico o virtuale a dati sensibili o ambienti critici;
• interconnessione con sistemi aziendali: se il fornitore utilizza strumenti integrati con i sistemi aziendali, analizzare i rischi di compromissione;
• possibili impatti su continuità e sicurezza: considerare scenari di incidenti, come interruzioni di servizio o accessi non autorizzati;
• ambito geografico: considerare l’ambito geografico in cui opera in fornitore, anche in relazione alla proprietà e/o al gruppo a cui appartiene e valutare possibili rischi associati.

Politiche e pratiche di sicurezza del fornitore:

• policy documentate: verificare se il fornitore ha policy scritte in materia di sicurezza delle informazioni, accessi fisici e gestione dei rischi;
• formazione del personale: accertarsi che i dipendenti ed i collaboratori del fornitore siano formati sui principi di sicurezza e riservatezza e che la loro consapevolezza sia regolarmente testata;
• audit sul sistema di gestione richiedere la possibilità di audit sul sistema di gestione della sicurezza delle informazioni periodici per garantire il rispetto delle politiche aziendali compresi i requisiti integrativo posti dall’organizzazione (nel ruolo di cliente – titolare del trattamento);
• gestione degli incidenti: analizzare come il fornitore risponde a eventuali incidenti di sicurezza, incluse le procedure di segnalazione e che le sue procedure tengono conto di quanto richiesto dalle linee guida CISRT in relazione alla segnalazione degli incidenti sulla sicurezza delle informazioni.

Capacità tecniche e organizzative:

• protezione fisica e logica: verificare se il fornitore dispone di adeguati controlli di accesso fisico (per esempio, badge, videosorveglianza) e informatico (per esempio, autenticazione a due fattori, firewall);
• tecnologie e infrastrutture: valutare se le tecnologie utilizzate sono aggiornate e in grado di supportare un elevato livello di sicurezza, valutare piani di aggiornamento delle soluzioni tecnologiche in uso;
• SLA: comprendere in anticipo la capacità del fornitore di monitorare e rispettare gli eventuali SLA che verranno definiti in sede contrattuale;
• subfornitori e filiera: assicurarsi che il fornitore selezioni, valuti e gestisca adeguatamente eventuali subfornitori critici; valutare l’ambito geografico di tali fornitori e la loro reputazione; comprendere la disponibilità del fornitore a condividere i dati dei subfornitori critici

Capacità di mitigare rischi futuri:

• piani di continuità operativa: verificare se il fornitore dispone di un piano per garantire i servizi in caso di emergenze o incidenti, se effettua regolare simulazione ed aggiornamento dei piani;
• aggiornamento delle misure di sicurezza: assicurarsi che il fornitore aggiorni periodicamente le sue infrastrutture e procedure al modificare delle condizioni di contesto ed a seguito di aventi (anche potenziali) che possono minare la sicurezza delle informazioni.

Comunicazione e trasparenza:

• disponibilità a condividere informazioni: valutare la trasparenza del fornitore nel fornire documentazione, rapporti di audit e procedure interne;
• interlocutori dedicati: verificare se c’è un referente per la sicurezza (compresa l’eventuale componente di AI nel caso in cui il rapporto di fornitura di estenda a tale ambito) con cui poter dialogare in modo chiaro e tempestivo.

Strumenti per la valutazione iniziale:

• tra gli strumenti utili per la valutazione si possono considerare quelli di seguito individuati.

Due Diligence Documentale

Individuazione, sulla base del/dei servizi richiesti al fornitore della documentazione tra cui:

• politiche interne di sicurezza e gestione dei dati;
• certificati di conformità (per esempio, ISO/IEC 27001, ISO 9001, ISO 22301);
• analisi dei risultati, laddove applicabili di: vulnerability assesment, penetration test web application penetration test (WAPT), fuzzy testing: analisi del codice open source eccetera;
• elenco dei subfornitori e modalità di gestione della filiera;
• rapporti di audit interni o di terze parti.

Vantaggi:

• consente di avere una visione chiara delle pratiche operative del fornitore;
• garantisce che il fornitore sia allineato alle normative applicabili.

Questionari di Due Diligence

Creazione del questionario: preparare una checklist di domande mirate, suddivise in sezioni rilevanti (per esempio, conformità normativa, sicurezza fisica, sicurezza IT, gestione subfornitori eccetera).

Esempi di domande:

• avete politiche documentate sulla sicurezza delle informazioni?
• quali certificazioni possedete (es. ISO/IEC 27001, ISO 9001)?
• i vostri dipendenti seguono regolarmente corsi di formazione sulla sicurezza?
• disponete di piani di business continuity? Se si, questi sono regolarmente aggiornati e testati?
• gestite subfornitori per i servizi richiesti? Se sì, come li controllate?

Il questionario viene inviato al potenziale fornitore con un termine per la compilazione e la consegna.

Le risposte vengono analizzate per identificare eventuali lacune o rischi. Si verifica in tal modo la coerenza con i requisiti aziendali e si assegna un punteggio o una classificazione al fornitore (per esempio, accettabile, rischioso, da approfondire).

Se necessario, si chiedono chiarimenti o integrazioni su risposte poco chiare o incomplete.

Vantaggi:

• permette di raccogliere informazioni in modo sistematico e senza bisogno di interazione diretta iniziale;
• può essere adattato a specifici settori o tipologie di fornitori;
• le risposte possono essere confrontate facilmente tra più fornitori anche al fine di stilare un’eventuale classifica;
• identifica criticità prima di avviare una relazione commerciale.

Audit di qualifica iniziale

Prima dell’audit, si stabiliscono i criteri e gli aspetti da valutare (per esempio, sicurezza dei locali, protezione fisica dei dati, infrastrutture tecnologiche, competenze del personale eccetera).

Si comunica al fornitore la data, l’orario e lo scopo dell’audit, specificando se verrà condotto in loco o da remoto (per esempio, revisione documentale tramite videoconferenza).

Svolgimento dell’audit:

• osservazione: valutazione diretta delle misure di sicurezza adottate dal fornitore, come accessi controllati, politiche di clean desk, utilizzo di badge eccetera.
• interviste: colloqui con responsabili della sicurezza e personale chiave per comprendere i processi interni;
• documentazione: revisione delle politiche, procedure, piani di continuità operativa, e report di audit interni.

Al termine, viene prodotto un report con le osservazioni, i punti di forza e le aree di miglioramento.

Laddove emergessero delle criticità, si richiede al fornitore di implementare misure correttive prima di avviare il rapporto.

Invece, laddove le criticità risultassero particolarmente critiche o insanabili si bloccherà il processo di qualifica iniziale del fornitore.

Vantaggi:

• permette di verificare sul campo l’effettiva applicazione delle politiche e delle misure di sicurezza dichiarate dal fornitore;
• identifica rischi operativi e organizzativi che potrebbero non emergere attraverso una semplice revisione documentale;
• rafforza la fiducia nei fornitori che superano con successo l’audit e che mettono in atto piani di remedention efficaci nei tempi definiti;
• può essere adattato alle esigenze specifiche della tua azienda o al servizio richiesto.

La valutazione strutturata del rischio associato al fornitore

La qualifica iniziale del fornitore rappresenta un passaggio essenziale ma non sufficiente.

Dopo aver raccolto le informazioni e i documenti necessari, occorre procedere con una valutazione strutturata del rischio associato al fornitore, utilizzando modelli validati che permettano di formulare una decisione consapevole: avviare il rapporto, sospenderlo o subordinarlo all’adozione di misure preventive.

Nei casi in cui il fornitore risulti critico ma indispensabile – per unicità dell’offerta, condizioni imposte da clienti o vincoli di filiera – sarà possibile proseguire solo previa autorizzazione del vertice e con l’impegno formale ad attuare tempestivamente le misure correttive necessarie.

Nel prossimo articolo entreremo nel cuore di questa fase decisionale: analizzeremo gli strumenti per la valutazione del rischio associato al fornitore, illustrando modelli, metodi, criteri e scenari concreti per attribuire livelli di rischio e prendere decisioni difendibili, anche in contesti complessi o vincolati.

Perché ogni fornitore è come una scommessa e per tale motivo il rischio va riconosciuto, misurato e governato.