Con l’adozione di NIS2 e DORA, il quadro normativo europeo cambia il modo in cui le aziende devono guardare alla sicurezza informatica, che sempre più deve essere improntata a una gestione più proattiva e attenta alla cybersecurity all’interno della supply chain. L’UE ha implementato la Direttiva NIS2 e il Regolamento DORA per rispondere alle sfide poste in termini di sicurezza informatica e resilienza in un contesto industriale sempre più interconnesso e globalizzato. Entrambe le normative puntano a rafforzare la cyber resilience delle catene di fornitura, e la conformità a DORA impone in particolare requisiti ancora più stringenti in termini di gestione del rischio ICT e nella segnalazione di incidenti informatici.
DORA, come NIS2, comporta l’adozione di un particolare concetto di cyber resilienza ed è dedicato agli operatori che forniscono soluzioni e servizi a banche, istituti di credito e organizzazioni del comparto finance. Le due normative nel loro insieme impongo a questi ultimi di dedicare grande attenzione alla corretta identificazione dei loro fornitori, e quindi alla geolocalizzazione di questi supplier. In particolar modo, è quanto mai raccomandabile che la supply chain di un ente soggetto a NIS2 e DORA sia facilmente localizzabile e identificabile, sia dal punto di vista contrattuale sia dal punto di vista formale.
Occorre infatti ricordare che in Italia i fornitori di servizi sono direttamente responsabili del servizio erogato, pertanto anche della sicurezza informatica, della resilienza e della business continuity. Ciò non vale invece ad esempio per gli Stati Uniti, o anche semplicemente in Svizzera, dove il fornitore di servizi può manlevarsi da qualsiasi responsabilità mediante una clausola contrattuale, che in Italia non è accettabile per la reciprocità del peso di una clausola all’interno di un contratto. Per fare un esempio, Microsoft nelle condizioni di utilizzo di un prodotto o di un servizio si manleva da qualsiasi danno diretto o indiretto occasionato all’utente, anche qualora il danno comporti una perdita di dati.
Questo è fondamentale e va sottolineato e stigmatizzato nel contestualizzare un servizio: le informazioni di base, le certificazioni e la chiara identificazione del soggetto ultimo, e del vero riferimento presente in azienda, sono strumenti fondamentali per poter paragonare tra loro diversi servizi e fornitori, onde garantire la qualità e la tracciabilità del servizio stesso che viene erogato.
Una gestione del rischio informatico estesa alla catena dei fornitori è condizione fondamentale per garantire la continuità delle operazioni e la resilienza in caso di attacchi informatici. Dalle due normative europee discende la necessità di conoscere in maniera approfondita le terze parti, che spesso accade non siano ben consapevoli dei requisiti imposti da DORA e NIS2. E’ bene allora che le organizzazioni integrino opportune valutazioni di conformità a DORA e NIS2 nella scelta dei loro fornitori di soluzioni e servizi ICT e di cybersecurity.
Includendo ad esempio una serie di clausole di sicurezza informatica e di resilienza per i fornitori, che possono ad esempio comprendere certificazioni e gestione del rischio, conformità alle normative di sicurezza applicabili, politiche di accesso, aggiornamenti periodici, notifica di vulnerabilità e degli eventuali incidenti, monitoraggio e revisione continua delle misure di sicurezza, compresi audit e test di penetrazione, gestione degli incidenti, formazione sulla sicurezza e, infine, requisiti per la terminazione del contratto di fornitura del servizio.
Commenti recenti