Come la Direttiva NIS2 definisce e affronta la “sicurezza della catena di approvvigionamento”

La Direttiva NIS2 riconosce l’importanza della sicurezza della catena di approvvigionamento nel garantire un elevato livello di cybersecurity.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.

Le fonti forniscono informazioni su come la Direttiva definisca e affronti questo aspetto cruciale:

Definizione della Sicurezza della Catena di Approvvigionamento:

Sebbene la Direttiva NIS2 non fornisca una definizione autonoma di “sicurezza della catena di approvvigionamento,” i suoi requisiti relativi alla gestione del rischio di cybersecurity includono chiaramente la sicurezza delle catene di approvvigionamento.

• L’Articolo 21, Paragrafo 2(d) stabilisce che le entità designate come “essenziali” o “importanti” devono implementare misure di gestione del rischio di cybersecurity, che comprendano anche la “sicurezza della catena di approvvigionamento.”
• Questo paragrafo specifica inoltre che tali misure dovrebbero prendere in considerazione “aspetti relativi alla sicurezza delle relazioni tra ciascuna entità e i suoi fornitori diretti o prestatori di servizi.”
• Questo linguaggio evidenzia come la Direttiva riconosca l’interconnessione dei rischi di cybersecurity all’interno di una catena di approvvigionamento e sottolinei la necessità che le entità gestiscano proattivamente i rischi derivanti dai loro fornitori e prestatori di servizi.

Modalità di Gestione della Sicurezza della Catena di Approvvigionamento:

La Direttiva NIS2 impiega un approccio multifattoriale per migliorare la sicurezza della catena di approvvigionamento:

1. Gestione del Rischio a Livello di Entità:

• Due Diligence sui Fornitori: L’Articolo 21, Paragrafo 3, sottolinea l’importanza della due diligence quando le entità valutano l’adeguatezza delle misure di sicurezza adottate nella catena di approvvigionamento. Le entità devono prendere in considerazione le vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi, tenendo conto di:
  * Vulnerabilità Specifiche del Singolo Fornitore.
  * Pratiche Generali di Cybersecurity dei Fornitori: Incluse le loro procedure di sviluppo sicuro.
  * Risultati delle Valutazioni del Rischio Coordinato: Le entità devono considerare i risultati di eventuali valutazioni del rischio coordinato condotte a livello UE, come indicato nell’Articolo 22, Paragrafo 1.
• Gestione della Non Conformità: Se un’entità rileva una non conformità con le misure di sicurezza richieste, inclusi gli aspetti relativi alla sicurezza della catena di approvvigionamento, l’Articolo 21, Paragrafo 4, impone l’obbligo di attuare tempestivamente azioni correttive appropriate. Ciò evidenzia la natura continua della gestione del rischio nella catena di approvvigionamento e la necessità di monitoraggio e miglioramento costanti.

1. Valutazioni del Rischio Coordinato:

• Valutazioni a Livello UE: L’Articolo 22, Paragrafo 1, consente al NIS Cooperation Group, in collaborazione con la Commissione e l’ENISA, di intraprendere “valutazioni del rischio coordinate per la sicurezza di specifiche catene di approvvigionamento critiche di servizi ICT, sistemi ICT o prodotti ICT.”
• Focalizzazione sulle Catene di Approvvigionamento Critiche: Questa disposizione conferisce all’UE la capacità di identificare e valutare proattivamente le vulnerabilità nelle catene di approvvigionamento che sono cruciali per la cybersecurity dell’Unione.
• Considerazione di Fattori Tecnici e Non Tecnici: Queste valutazioni del rischio coordinato devono prendere in considerazione sia fattori tecnici che non tecnici, sottolineando l’importanza di un approccio olistico alla sicurezza della catena di approvvigionamento.
• Identificazione dei Prodotti e Servizi ICT Critici: L’Articolo 22, Paragrafo 2, chiarisce che la Commissione, in consultazione con i relativi stakeholder, determinerà quali servizi, sistemi o prodotti ICT siano considerati critici a tal punto da giustificare una valutazione del rischio coordinata per la loro sicurezza.

1. Promozione di Pratiche di Sviluppo Sicuro:

• Secure by Design e Default: Pur non menzionato esplicitamente nel contesto della sicurezza della catena di approvvigionamento, l’Articolo 21, Paragrafo 2(e) fa riferimento alla sicurezza nell’“acquisizione, sviluppo e manutenzione” dei sistemi ICT. Questo indirettamente promuove l’adozione dei principi di “sicurezza by design e by default” lungo l’intera catena di approvvigionamento.
• Incoraggiamento all’Uso di Certificazioni: L’Articolo 24 promuove l’utilizzo degli schemi di certificazione della cybersecurity stabiliti dal Cybersecurity Act (Regolamento (UE) 2019/881). Promuovendo l’uso di prodotti, servizi e processi certificati in materia di cybersecurity, la Direttiva incentiva indirettamente l’adozione di pratiche di sicurezza più solide tra i fornitori all’interno della catena di approvvigionamento.

In conclusione, la Direttiva NIS2 integra la sicurezza della catena di approvvigionamento come elemento fondamentale del suo quadro di gestione del rischio di cybersecurity. Sottolinea un approccio proattivo e continuo, richiedendo alle entità di valutare e affrontare i rischi derivanti dai propri fornitori e prestatori di servizi. La Direttiva, inoltre, conferisce all’UE la capacità di effettuare valutazioni del rischio coordinate delle catene di approvvigionamento critiche, contribuendo a una postura di cybersecurity più resiliente e completa in tutta l’Unione.

🚀 Con ISGroup, hai la certezza di un’implementazione NIS2 totalmente conforme e allineata alle normative. Affida a noi ogni fase del processo, dalla valutazione alla messa in opera.