NIS2 & Supply Chain Cyber Security: come cambia il rapporto cliente-fornitore.

Il dipendere da terze parti rappresenta ormai una realtà per qualsiasi azienda, grande o piccola. I fornitori di servizi digitali, software di terze parti, plugin, e i consulenti: tutti questi elementi costituiscono la supply chain digitale e possono diventare facili punti di vulnerabilità. La direttiva europea NIS2 e regolamenti settoriali come il DORA (per il fintech) spingono oggi le aziende a sviluppare una maggiore consapevolezza e capacità di governance per arginare questi rischi.

Vediamo degli esempi di rischi concreti

• Abbiamo un fornitore esterno compromesso:
  Se un fornitore di servizi digitali subisce un attacco cyber, i suoi sistemi possono cessare di funzionare. Per esempio, se il CRM in cloud si blocca, l’azienda cliente non può più gestire clienti e vendite: il business si ferma e subisce danni di diversa natura.

  
  

• Siamo dipendenti dal browser e plugin: in molte organizzazioni, il browser è lo spazio dove si svolgono la maggior parte delle transazioni (pensiamo anche semplici azioni quotidiane) e si usano applicazioni e workflow aziendali. La verità è che ogni plugin installato rappresenta un potenziale fattore di rischio: se vulnerabile, può esporre dati sensibili o compromettere processi critici.
  
  

Cosa ci ricorda la storia: Il caso “CrowdStrike / Windows” — luglio 2024: l’aggiornamento che ha provocato un blackout globale

A proposito di come gli obblighi di governance e gestione del rischio riducano la probabilità di incidenti devastanti e, soprattutto, i loro “nefasti” eventi, riportiamo il caso famoso di un aggiornamento di Windows. 

Era la mattina del 19 luglio 2024. Per milioni di persone, sembrava un giorno qualunque: uffici che si aprivano regolarmente, frenetici check-in negli aeroporti, bancomat in funzione, ospedali pronti a gestire le urgenze.
Poi, improvvisamente, i computer hanno iniziato a spegnersi. Schermate blu, riavvii infiniti, sistemi che non ripartivano più. Immaginate il panico generale.

La causa? Non era stato un attacco hacker, non si trattava di un blackout elettrico, ma di un aggiornamento difettoso.

CrowdStrike, uno dei principali fornitori di sicurezza informatica al mondo, aveva appena distribuito un update al suo software Falcon Sensor per Windows. In meno di due ore, l'aggiornamento ha portato al repentino collasso di 8,5 milioni di dispositivi Windows in tutto il mondo.

Gli effetti sono stati immediati e devastanti:

• Aeroporti paralizzati: Delta Air Lines ha cancellato più di 7.000 voli in cinque giorni. Migliaia di passeggeri sono rimasti bloccati a terra, presumibilmente scontenti e si sono registrate perdite per oltre 500 milioni di dollari.

• Servizi bancari e pubblici totalmente in tilt: sportelli chiusi, transazioni interrotte.

• Ospedali e servizi sanitari rallentati da sistemi che non si avviavano più, creando panico a tutti i livelli.

• Cloud provider globali come Azure e Google Compute hanno iniziato a mostrare i segni del crash a catena.

Un aggiornamento di sicurezza, creato per proteggere, si era trasformato in un tragico evento domino a livello mondiale.

La lezione della storia: il caso “CrowdStrike / Windows”

Quel giorno ha messo in evidenza una verità davvero scomoda: anche i giganti della sicurezza possono diventare un punto di vulnerabilità. Non serve un cyberattacco sofisticato: basta un errore di configurazione per fermare il mondo. Eppure, un quadro normativo come quello definito dalla direttiva NIS2 avrebbe potuto dare un lieto fine alla storia.

Se fosse stato pienamente applicato:

• le aziende avrebbero avuto piani di continuità per garantire i servizi essenziali,

• i fornitori sarebbero stati monitorati in modo più stringente,

• la comunicazione sugli incidenti sarebbe stata più rapida e coordinata,

• i vertici aziendali, il top management avrebbe considerato il cyberrisk come un vero e proprio rischio per il business, non come un trascurabile dettaglio tecnico.

Ora ipotizziamo la possibilità di aver potuto applicare a CrowdStrike la direttiva NIS2

La NIS2 non avrebbe impedito le problematiche tecniche, ma:

• avrebbe obbligato CrowdStrike e i suoi clienti ad avere piani strutturati di mitigazione del rischio,

• avrebbe reso più veloce ed efficace la comunicazione e la gestione dell’incidente,

• avrebbe ridotto l’effetto a catena sulle infrastrutture critiche, grazie a misure preventive di resilienza e diversificazione.
  
  

Come abbiamo imparato per affrontare il problema?

1. Visibilità e governance

La regola è molto semplice: se non conosci non puoi misurare, se non puoi misurare non puoi governare.
Le aziende devono:

• Mappare i fornitori (es. cloud provider, data center, software house, consulenti collegati in rete).

• Classificarli per impatto (es. chi fornisce ore di lavoro non ha lo stesso peso di chi gestisce i sistemi ERP o di booking).

• Centralizzare il governo: i dipartimenti di procurement e IT devono collaborare per creare regole, monitoraggio e processi di qualificazione dei fornitori coerenti.
  
  

2. Framework e certificazioni

Le best practice europee indicano come punti di partenza framework consolidati come ISO 27001.
Per le PMI, anche un primo passo verso certificazioni o adeguamento normativo (NIS2, DORA) rappresenta un rafforzamento importante, pur senza illudersi di arrivare alla sicurezza completa.

3. Automazione e tecnologia

I fornitori possono essere molti (come può fare un’azienda che ne ha 200?) e quindi è impossibile gestire tutto manualmente.
La tecnologia può aiutare a:

• Automatizzare questionari e raccolta di dati.

• Condurre audit continui (es. verificare se un fornitore che 10 anni fa aveva 100 vulnerabilità ora ne ha 200 e non riesce a risolverle).

• Monitorare variazioni nelle performance di sicurezza.

• Integrare i controlli nei processi già esistenti, riducendo il carico per l’IT interno.
  
  

Cosa valutare in un fornitore di servizi?

Gli elementi minimi da analizzare includono:

• Procedure interne: gestione degli accessi, test periodici sul codice, analisi di vulnerabilità.

• Aspetti legali e documentali: contratti, disaster recovery plan (che spesso esiste solo come documento, non come procedura operativa).

• Tecnologie adottate: ad esempio, un fornitore di gestionale deve dimostrare di avere processi di backup e continuità del servizio.

  
  

Il ruolo chiave del procurement

Il miglior alleato della cybersecurity è quindi il procurement.
Chi gestisce i fornitori ha una lunga esperienza nel selezionarli e monitorarli, e può integrare le logiche del rischio digitale nei processi di qualificazione. L’IT deve supportare, senza essere sovraccaricato del lavoro quotidiano di controllo.

Conclusione

Il tema del rischio di terze parti non è più opzionale e da trascurare, come un problema remoto. La supply chain digitale si configura oggi come uno dei punti più fragili delle aziende.
La sfida è trasformare la visibilità in governance, partendo da piccoli passi (framework, certificazioni, audit mirati) e sfruttando la tecnologia per rendere il monitoraggio agile, possibile e sostenibile.
La cybersecurity, alla fine, è un lavoro di team: non solo IT, ma anche procurement, top management e fornitori stessi.

Registrati al nostro webinar per ottenere delle informazioni, 30 minuti del tuo tempo possono aiutarti a evitare sanzioni o rischi gravi per la sicurezza strutturale. Cosa devi sapere e come agire subito, un dialogo con esperti e protagonisti.