In quanto rete di organizzazioni e di processi, le supply chain sono la spina dorsale dell’economia di qualsiasi settore e Paese. La complessità delle filiere e l’interconnessione (digitale) sempre più fitta tra gli attori che vi fanno parte rendono necessario ragionare in ottica sistemica, ovvero di resilienza e di sicurezza della supply chain, in aggiunta a quella del singolo organismo che vi fa parte. L’avvento di NIS2 è determinante in tal senso.
I rischi (cyber) della catena di fornitura
Se oggi parliamo di Supply Chain Security è perché le catene di fornitura sono sempre più connesse e digitali, quindi vulnerabili agli attacchi informatici. Sono sempre di più, per esempio, i fornitori che accedono ai sistemi del cliente, e una compromissione di qualsiasi anello della catena, anche derivante da un errore, può innescare una reazione capace di arrestare l’operatività, di compromettere i prodotti, i servizi e anche i dati aziendali, con tutte le conseguenze del caso.
Nelle Supply Chain, inoltre, coesistono organizzazioni molto eterogenee sotto il profilo della cultura e della postura di sicurezza. Questo rappresenta un’opportunità straordinaria per gli attaccanti, che invece di colpire direttamente la grande azienda tutelata da processi, tecnologie e consapevolezza allo stato dell’arte, può attaccare un fornitore meno protetto e poi muoversi verso il proprio obiettivo principale.
Non è quindi un caso che le grandi aziende siano solite prevedere requisiti di cybersecurity per i loro fornitori, al fine di garantire che l’intera catena sia protetta da potenziali attacchi.
I requisiti in questione possono includere protocolli di sicurezza avanzati, la conformità a standard internazionali (es, ISO 27001), l’implementazione di sistemi di monitoraggio delle minacce, e l’obbligo di formazione continua del personale. Tuttavia, fino ad oggi, si è trattato semplicemente di una prassi. Ora, sta per diventare un obbligo.
NIS2 e l’estensione del perimetro di sicurezza
La Direttiva NIS2, che avrà efficacia a partire da metà ottobre, interviene direttamente sul tema della Supply Chain Security. L’articolo 21, che definisce le misure da adottare per essere compliant con la stessa, cita esplicitamente la “sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”.
Da mesi, i commentatori sottolineano come la Direttiva NIS2 abbia un perimetro di applicazione più esteso rispetto a NIS, e quanto sopra lo conferma. Oltre ad aver esteso il raggio d’azione a molti più settori (suddivisi tra quelli ad alta criticità e altri settori critici) e ad aver portato il criterio dimensionale a 10 milioni di euro di fatturato e 50 dipendenti, NIS2 ora vincola le aziende a valutare, monitorare (anche tramite audit specifici) e gestire i rischi della propria catena di fornitura. Tradotto, questo significa obbligare a una postura di sicurezza elevata anche aziende che non sono soggette alla norma (di solito, PMI), ma che sono fornitrici di grandi organizzazioni vincolate a NIS2. Ecco perché la Direttiva europea ha un impatto molto pervasivo e incisivo.
Supply Chain Security: linee guida e standard internazionali
In cosa si sostanzia la conformità a NIS2 per quanto concerne la Supply Chain Security? La normativa europea richiede che i soggetti adottino misure tecniche e organizzative adeguate a garantire la sicurezza della catena di fornitura, ma ovviamente non specifica nel dettaglio le misure concrete, i processi, i framework o le tecnologie da utilizzare.
Ponendoci dal punto di vista delle aziende che, direttamente o indirettamente, sono soggette a NIS2, un elemento chiave sono le certificazioni. L’International Organization for Standardization (ISO) vanta uno standard dedicato alla Supply Chain Security, ISO 28000, che indirizza le aziende verso la progettazione e l’implementazione di un sistema di gestione della sicurezza della supply chain. L’adozione dello standard aiuta le aziende a implementare pratiche di sicurezza proattive e a migliorare la conformità ai requisiti normativi, come quelli previsti da NIS2.
Nell’ambito dei framework di rilevanza mondiale, non si può non citare quello del NIST specifico per la Supply Chain Security, ovvero NIST Special Publication 800-161.
Qui vengono fornite le linee guida e le best practice per l’implementazione di un sistema di cybersecurity supply chain risk management, identificando aree chiave come l’assessment della sicurezza dei fornitori, l’awareness, il monitoraggio e la mitigazione dei rischi.
A livello di controlli, la norma pone l’accento (richiamando un altro framework NIST, l’SP 800-53) su tematiche di configuration management, audit e accountability, access control, incident response e molte altre.
Per valutare la sicurezza dei fornitori esistono inoltre diversi strumenti. Gli audit di sicurezza e le analisi del rischio sono i più utilizzati, in quanto permettono di identificare in modo dettagliato eventuali punti deboli dei fornitori. Questi strumenti possono essere integrati da checklist standardizzate, come quella proposta dal Clusit, per ottenere un quadro di alto livello della security posture aziendale.
Dopo aver completato la valutazione e classificato i fornitori in base al loro livello di rischio, è fondamentale includere dei requisiti di sicurezza specifici (certificazioni, pratiche di gestione del rischio…) all’interno dei contratti, garantendo così un approccio proattivo alla gestione della sicurezza della supply chain.
