Torna alle notizie
NIS2Supply ChainVendor ManagementCybersecurityCompliance

NIS2 e supply chain: come gestire la sicurezza dei fornitori

F

Fabio Vantaggiato

Autore

22 aprile 2026

La NIS2 ha messo definitivamente la sicurezza della supply chain al centro della cybersecurity. L'Art. 21 del D.Lgs. 138/2024 obbliga le organizzazioni in perimetro a estendere il controllo di sicurezza ai propri fornitori critici: contratti, due diligence, monitoraggio continuo, clausole specifiche e diritto di audit. Questa guida operativa spiega come strutturare un programma di vendor risk management NIS2-compliant, da quali fornitori partire e quali clausole inserire.

Perché la supply chain è il vero perimetro della NIS2

Le statistiche degli ultimi anni — dalle catene di compromissione SolarWinds e Kaseya fino agli attacchi a fornitori cloud e MSP — hanno reso evidente un dato: la maggior parte degli incidenti significativi nelle grandi organizzazioni non parte dall'interno del perimetro tradizionale, ma da un fornitore. Il legislatore europeo ne ha preso atto: la NIS2 considera la sicurezza della catena di approvvigionamento una delle 10 famiglie di misure obbligatorie dell'Art. 21.

Per le organizzazioni in perimetro NIS2 questo significa due cose. Prima: è necessario sapere chi sono i propri fornitori critici, cosa fanno e quale impatto avrebbe la loro compromissione sui processi essenziali. Seconda: è necessario poter dimostrare ad ACN che la sicurezza dei fornitori è oggetto di un processo strutturato, non di valutazioni informali.

Step 1 — Mappatura dei fornitori critici

Il primo passo è identificare quali fornitori sono "critici" ai fini della NIS2. Un fornitore è critico se la sua compromissione (riservatezza, integrità o disponibilità) può causare un impatto significativo sull'erogazione dei servizi dell'organizzazione. Tipicamente rientrano:

  • Fornitori di servizi cloud (IaaS, PaaS, SaaS) che ospitano dati o servizi critici;
  • Managed Service Provider (MSP) e fornitori di outsourcing IT;
  • Fornitori di servizi di sicurezza gestita (MSSP), SOC esterno, EDR/XDR;
  • Fornitori di software business-critical e dei relativi aggiornamenti;
  • Fornitori di servizi di telecomunicazione e connettività;
  • Fornitori che hanno accesso privilegiato ai sistemi (manutenzione remota, gestione amministrativa).

L'output di questo step è un registro fornitori critici, con classificazione del rischio e mappatura dell'impatto sui processi essenziali. Va aggiornato con cadenza almeno annuale e ogni volta che entra in scena un nuovo fornitore critico o che cambia significativamente lo scope di uno esistente.

Step 2 — Vendor risk assessment e due diligence

Per ciascun fornitore critico va condotta una valutazione del rischio strutturata. Gli strumenti tipici sono:

  • Questionario di due diligence sulla postura di sicurezza (allineato a framework come SIG, CAIQ, ISO/IEC 27036);
  • Verifica delle certificazioni (ISO/IEC 27001, ISO/IEC 27017/27018, SOC 2 Type II, certificazioni di settore);
  • Analisi dei report di sicurezza pubblicati dal fornitore (transparency report, white paper, eventuali penetration test resi disponibili);
  • Background check su eventuali incidenti passati e relativa gestione.

L'esito della due diligence va documentato e diventa parte integrante della decisione di on-boarding del fornitore. Per i fornitori con punteggio di rischio elevato si possono attivare misure compensative (segregazione di rete, riduzione dei privilegi, monitoraggio rafforzato) o, nei casi più gravi, escludere il fornitore.

Step 3 — Clausole contrattuali NIS2-compliant

Il contratto è lo strumento principale di governance della sicurezza dei fornitori. Per i fornitori critici il contratto deve includere — quanto meno — clausole su:

  • Misure di sicurezza minime da rispettare (rinviando a uno standard riconosciuto come ISO/IEC 27001 o ai requisiti dell'Art. 21);
  • Obblighi di notifica degli incidenti: tempistica (idealmente entro 24-48 ore), contenuti minimi della comunicazione, canale di contatto;
  • Diritto di audit: possibilità per l'organizzazione (o per un terzo da essa designato) di condurre verifiche di sicurezza presso il fornitore;
  • Obblighi di trasparenza sulla supply chain di secondo livello (sub-fornitori critici);
  • SLA di sicurezza: tempi di patching delle vulnerabilità critiche, MFA obbligatoria per gli accessi privilegiati, backup e disaster recovery con RPO/RTO definiti;
  • Clausole di reversibilità: in caso di cessazione del rapporto, restituzione e/o cancellazione certificata dei dati;
  • Clausole risolutive espresse in caso di gravi violazioni delle misure di sicurezza.

Step 4 — Monitoraggio continuo

La conformità di un fornitore non è uno stato statico: cambia con l'evoluzione delle minacce, con le riorganizzazioni interne, con la rotazione delle certificazioni. Un programma di vendor risk management NIS2-compliant prevede un monitoraggio continuo, con cadenze diversificate per livello di rischio:

  • Annuale: rinnovo del questionario di due diligence, verifica della validità delle certificazioni, riesame del piano di sicurezza del fornitore;
  • Semestrale o trimestrale: per i fornitori a maggiore criticità, riunioni periodiche di security governance, review di KPI di sicurezza condivisi;
  • Su evento: ogni volta che il fornitore subisce un incidente significativo, cambia tecnologia core, modifica significativamente il proprio scope.

Step 5 — Integrazione con incident response e notifica

Quando un incidente coinvolge la supply chain, scattano due procedure parallele: la gestione interna dell'incidente (Art. 21) e la notifica ad ACN (Art. 25). Il programma di vendor management deve essere integrato con entrambe, in modo che il flusso informativo dal fornitore all'organizzazione e dall'organizzazione all'autorità sia rapido, completo e tracciato.

Le clausole contrattuali sulla notifica del fornitore (idealmente entro 24-48 ore) sono ciò che rende possibile il rispetto della pre-allerta delle 24 ore prevista dall'Art. 25. Senza un obbligo contrattuale di notifica tempestiva da parte del fornitore, il rischio di "scoprire l'incidente con giorni di ritardo" è concreto — e in quel caso l'orologio della NIS2 è già in piena corsa.

Errori frequenti da evitare

  • Limitarsi a chiedere "siete certificati ISO 27001?": la certificazione è importante ma non è sostitutiva di un'analisi del rischio specifica per il proprio uso del servizio;
  • Usare lo stesso questionario per tutti i fornitori: la due diligence va calibrata sul tipo di servizio e sul livello di rischio;
  • Non includere clausole di notifica nel contratto: senza obbligo formale, il fornitore può ritardare la comunicazione;
  • Ignorare la supply chain di secondo livello: il vostro fornitore SaaS può ospitare i dati su un cloud provider che è il vero fornitore critico;
  • Trattare il vendor management come un'attività di Procurement: senza coinvolgimento del CISO e dell'Information Security, il rischio di sottovalutazioni è alto.

Risorse correlate

Per il quadro normativo: NIS2: la guida completa al D.Lgs. 138/2024. Per la checklist completa delle misure tecniche: NIS2: le misure tecniche dell'Art. 21 — la checklist per il CISO. Per la formazione tecnica del proprio team IT sui temi di sicurezza della supply chain: Corso NIS2 per il Tecnico Informatico.

Ti interessa approfondire?

Contattaci per scoprire come le nostre soluzioni possono supportare la tua organizzazione sanitaria.

Parla con un esperto

Parla con noi

Siamo pronti ad ascoltare le esigenze di ogni struttura sanitaria. Compilare il modulo per richiedere una demo o una consulenza specialistica.