Gli attacchi alla supply chain prendono di mira le vulnerabilità all’interno della supply chain di un’azienda, sfruttando i punti deboli di fornitori di terze parti, fornitori di servizi o software utilizzati dall’organizzazione. I criminali informatici, anziché attaccare direttamente un’azienda, si infiltrano in partner o fornitori fidati, compromettendo i loro sistemi per ottenere accessi non autorizzati, distribuire malware o rubare dati sensibili. Tali attacchi sono particolarmente efficaci perché sfruttano la fiducia e l’interconnessione intrinseche delle moderne supply chain, consentendo agli aggressori di aggirare le misure di sicurezza tradizionali.
Negli ultimi anni, gli attacchi alla supply chain sono diventati sempre più diffusi e di grande impatto, colpendo numerose organizzazioni e causando interruzioni significative. L’Unione europea, per far fronte al continuo aumento degli attacchi cyber ai nostri ecosistemi e rafforzare la resilienza informatica, ha introdotto il regolamento DORA e la direttiva NIS2 che hanno reso la gestione del rischio della catena di approvvigionamento un’attività obbligatoria cercano di rendere le organizzazioni maggiormente “accountable” (i.e. responsabili – n.d.r.) delle loro pratiche di cybersecurity.
Di fatto, le organizzazioni soggette alla legislazione, non solo devono verificare i rischi prima di selezionare un nuovo fornitore, ma devono assicurare che la gestione dei rischi della supply chain si converta in un ‘attività continuativa.
Vediamo sommariamente a cosa mirano DORA e NIS2.
DORA – Si applica a banche, compagnie assicurative, società di investimento e altri fornitori di servizi finanziari che devono implementare misure adeguate a proteggersi dagli attacchi informatici e rafforzare i requisiti per la prevenzione dei rischi ICT nei settori finanziario e assicurativo, includendo anche le terze parti che forniscono servizi ICT essenziali al settore.
Entro il 17 gennaio 2025, le aziende interessate dovevano implementare protocolli avanzati di governance, monitoraggio delle minacce, resilienza operativa e gestione del rischio delle terze parti.
Il regolamento DORA richiede un approccio molto prescrittivo che offre alle organizzazioni finanziarie e ai loro fornitori un percorso chiaro verso la conformità, ponendo l’accento sulla comprensione dei rischi di terze parti come parte di sforzi più ampi per salvaguardare la continuità operativa.
NIS2 – È progettata per potenziare la sicurezza informatica nell’area europea, assicurando non solo la preparazione dei singoli stati membri, ma anche la collaborazione tra di essi, oltre a promuovere una cultura della sicurezza in tutti i settori/ecosistemi che si affidano alle tecnologie ICT e sono cruciali per la società e l’economia. Il suo raggio d’azione è quindi più vasto rispetto al DORA e include una vasta gamma di organizzazioni e settori, suddivisi in “Soggetti Essenziali” e “Soggetti Importanti”.
Le aziende italiane coinvolte devono registrarsi al portale dell’ACN (Agenzia per la Cybersicurezza Nazionale). In particolare, i fornitori di cloud, data center, servizi gestiti e mercati online si sono già registrati entro il 17 gennaio 2025, mentre gli altri soggetti avevano tempo fino al 28 febbraio 2025. Entro aprile 2025, l’ACN notificherà l’inserimento nell’elenco ufficiale dei soggetti NIS.
La direttiva NIS2 sottolinea il rischio della supply chain per le infrastrutture critiche e prevede politiche rigorose in termini di requisiti di gestione del rischio di sicurezza della supply chain, sebbene sia meno specifico di DORA. Anche in questo caso, la resilienza operativa è l’obiettivo principale, in quanto garantisce che i servizi critici possano continuare a funzionare anche sotto attacco.
Gestione del rischio della supply chain: cosa fare per essere compliance a DORA e NIS2
È fondamentale sottolineare che DORA e NIS2 adottano un approccio risk-based e resilience-based che enfatizza l’importanza della gestione del rischio, della sicurezza della supply chain e dello sviluppo e mantenimento di solidi piani di risposta agli incidenti.
Come sappiamo, i fornitori terzi sono essenziali per il business moderno. Tuttavia, le organizzazioni spesso hanno una conoscenza limitata dei rischi associati a terze e quarte parti. In quest’ottica, DORA e NIS2 delineano un quadro per la gestione efficace dei rischi della supply chain ICT, sottolineando l’importanza di avere una conoscenza approfondita dei propri fornitori e di imporre loro requisiti rigorosi di cybersecurity. Tali obblighi rappresentano delle best practice che ogni organizzazione dovrebbe adottare nella gestione dei fornitori ICT in termini di:
La valutazione dei rischi – Si tratta effettuare l’identificazione, l’analisi e la valutazione dei rischi ICT.
La mitigazione dei rischi – Si tratta di attuare misure preventive e correttive per mitigare i rischi.
Il monitoraggio continuo – È necessaria lasorveglianza costante per individuare anomalie o minacce.
Le procedure per gli incidenti – Si tratta di predisporre procedute strutturate per larilevazione, la gestione e la segnalazione degli incidenti.
I piani di continuità operativa – Si tratta di sviluppare piani di risposta e di recupero ICT.
La riservatezza e l’integrità dei dati – Si tratta di implementareprocedure per garantire la sicurezza dei dati.
Inoltre, le organizzazioni che rientrano nel perimetro di DORA e NIS2, per essere conformi, devono includere nei contratti con fornitori ICT clausole specifiche in conformità alle due legislazioni e, precisamente:
Certificazioni e gestione del rischio – I fornitori devono dimostrare di possedere certificazioni riconosciute e di aver implementato sistemi di gestione del rischio cyber.
Conformità normativa – I fornitori devono dimostrare di essere conformialle normative di sicurezza.
Politiche di accesso. I fornitori devono adottareregole per l’accesso ai sistemi e ai dati.
Aggiornamenti periodici – Si tratta di garantire continui aggiornamenti dei sistemi.
Notifica di vulnerabilità e di incidenti – Si tratta di garantire una comunicazione tempestiva in termini di falle di sicurezza.
Audit e monitoraggio – I fornitori devono accettare di sottoporsi ad audit regolari atti a verificare le loro pratiche di sicurezza.
Gestione degli incidenti – È necessario dimostrare di avere in esserepiani per affrontare rapidamente incidenti di sicurezza.
Formazione sulla sicurezza – Devono dimostrare di sottoporsi periodicamente aprogrammi di formazione per aumentare la consapevolezza.
Requisiti per la terminazione del contratto – Si tratta di specificare ledisposizioni per la risoluzione del contratto in caso di problemi di sicurezza.
Questionario CLUSIT per la sicurezza dei fornitori ICT
CLUSIT, l’associazione Italiana per la Sicurezza Informatica, ha creato un questionario di riferimento per affrontare le problematiche e inefficienze nel campo della sicurezza. Questo strumento è destinato a fornire un supporto universale alle organizzazioni nella selezione di fornitori ICT, sia per prodotti che per servizi. L’obiettivo è consentire una verifica agevole del loro grado di sicurezza delle informazioni, sicurezza ICT, e cybersecurity, dimostrando la conformità ai requisiti applicabili e allineandosi alle best practice di settore e alla strategia organizzativa.
Il questionario, disponibile in formato Excel, si compone di 47 temi con domande a risposta chiusa e multipla, progettate per verificare i requisiti principali di ISO/IEC 27001 e FNCS per servizi e prodotti ICT (come software e hardware). Dopo aver selezionato i temi da proporre ai fornitori, l’organizzazione può individuare punti di debolezza o non conformità e, di conseguenza, richiedere azioni correttive ai fornitori per garantire la propria cybersecurity.
Il foglio dei risultati utilizza un calcolo a doppia pesatura per valutare le risposte. La versione aggiornata del questionario include miglioramenti come domande a risposta chiusa e un algoritmo di calcolo dei risultati.
Il questionario è disponibile sotto licenza Creative Commons CC BY-SA 4.0, permettendo l’uso e l’evoluzione del prodotto con l’obbligo di citare gli autori originali e mantenere la stessa licenza
Di seguito il link per scaricare il questionario Questionario per la sicurezza dei fornitori – Versione 2 – Clusit
Conclusioni
La direttiva NIS2 e il regolamento DORA sono progettati per stabilire una base solida e sicura in termini di cybersecurity. Di fatto, le organizzazioni incluse nel loro ambito dovranno essere capaci sia di gestire efficacemente i rischi di supply chain sia rafforzare la loro resilienza complessiva di fronte alle crescenti minacce informatiche e sfide operative, oltre ad essere conformi ai requisiti e obiettivi della direttiva e del regolamento. Questo approccio contribuirà a: aumentare la conoscenza del proprio contesto interno ed esterno; individuare i punti di cedimento e di non conformità; e progredire verso la cyber resilience, che rappresenta l’intersezione dei principi di gestione del rischio, continuità operativa e cybersecurity.
Cybsec-news.it vi invita alla seconda edizione della CYBSEC EXPO, in programma a Piacenza dal 21 al 23 Maggio 2025.
