La Direttiva NIS2 amplia l’attenzione sulla sicurezza della supply chain. Per le PMI, adeguarsi sia alla NIS2 che al GDPR rappresenta un’opportunità per migliorare la sicurezza e ottenere un vantaggio competitivo, rafforzando la fiducia dei partner e dei clienti.
La Direttiva Nis2 in breve
La direttiva Nis2, aggiorna la precedente NIS del 2016, con l’obiettivo di migliorare la sicurezza delle reti e dei sistemi informatici in settori critici come energia, trasporti, sanità e alimentazione. È stata recepita in Italia con il Decreto Legislativo n. 138/2024.
Gli obiettivi principali sono:
- rafforzare la sicurezza informatica in settori chiave;
- promuovere la cooperazione tra gli Stati membri dell’UE;
- garantire un livello uniforme di sicurezza informatica nell’Unione Europea.
Per approfondire > L’Italia ha recepito la NIS2: quali tempistiche per enti e aziende?
La NIS2 amplia significativamente l’ambito di applicazione della normativa sulla sicurezza informatica, coinvolgendo nuovi settori come l’industria alimentare, la chimica e i servizi cloud. Le aziende vengono ora classificate come “essenziali” o “importanti”, a seconda dell’impatto che un malfunzionamento potrebbe avere sulla società e sulla sicurezza.
Uno degli aspetti chiave della direttiva è il rafforzamento della protezione lungo tutta la filiera: non basta più garantire la sicurezza interna, ma è necessario valutare e gestire i rischi informatici dei fornitori e partner. La NIS2 introduce inoltre misure più stringenti, come la crittografia avanzata e il controllo della supply chain, e prevede sanzioni più severe per le imprese non conformi.
In che modo la Direttiva impatta sulla supply chain?
Come evidenziato nell’Art. 21 della Direttiva NIS2, le aziende devono tenere in considerazione anche la
“sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”.
La protezione dei dati non può più limitarsi ai soli sistemi interni di un’azienda: ogni anello della supply chain deve essere monitorato e reso sicuro per evitare compromissioni. Sebbene non sia facile esercitare un controllo completo sulla catena di approvvigionamento, la direttiva NIS2 impone una stretta regolamentazione sui controlli della supply chain e obbliga le aziende a identificare, valutare e mitigare i rischi legati ai fornitori.
Per questo motivo, la conformità alla direttiva NIS2 richiede che le aziende coinvolgano anche i loro fornitori, comprese le PMI, in un processo di rafforzamento della sicurezza informatica.
In pratica la NIS2 obbliga alla sicurezza informatica, alla data protection e al GDPR anche quelle aziende che non ne sono direttamente riguardate pena l’essere esclusi dalle filiere di molte grandi aziende.
I principali punti vulnerabili della supply chain includono accessi non sicuri, malware e attacchi alla logistica, che non solo espongono a rischi di compromissione, ma possono anche causare ritardi e tempi di inattività con impatti operativi ed economici significativi.
Attacchi alla supply chain: esempi e conseguenze
Gli attacchi alla supply chain rappresentano una minaccia particolarmente grave per le imprese, che possono compromettere la sicurezza dei prodotti e dei servizi forniti ai clienti. Hanno dimostrato di essere minacce sofisticate e devastanti, con conseguenze significative per le aziende colpite.
Nel 2020 e 2021, due importanti attacchi alla supply chain hanno scosso il mondo della cybersecurity, evidenziando vulnerabilità critiche nelle infrastrutture tecnologiche globali. Il primo, l’attacco a SolarWinds, ha visto un gruppo di hacker infiltrarsi nella rete della società, compromettendo una libreria del software Orion e distribuendo una backdoor tramite aggiornamenti legittimi. Questo ha permesso agli attaccanti di spiare enti governativi USA e rubare informazioni sensibili.
Nel 2021, l’attacco a Kaseya, eseguito dal gruppo REvil, ha sfruttato una vulnerabilità zero-day per diffondere un ransomware attraverso pacchetti di aggiornamento del software. Entrambi gli attacchi, che hanno sfruttato la fiducia nelle supply chain tecnologiche, hanno avuto gravi ripercussioni sulla reputazione delle aziende coinvolte e hanno sollevato preoccupazioni sulla sicurezza dei sistemi IT gestiti da terzi.
Per approfondire > La gestione della catena esterna delle Data Protection
Non a caso, le linee guida tecniche sulla direttiva NIS2, sviluppate da ENISA in collaborazione con la Commissione Europea e gli Stati membri nel contesto del gruppo di cooperazione NIS, offrono indicazioni pratiche non solo per una gestione efficace degli incidenti, ma anche per garantire la sicurezza della catena di approvvigionamento.
Cosa possono fare le PMI per adeguarsi alla NIS2 e diventare partner affidabili
Per le PMI, l’adeguamento alla NIS2 non comporta obblighi legali, ma offre significativi vantaggi competitivi. Dimostrare impegno verso la sicurezza, rispettando standard elevati di cybersecurity, può attrarre clienti che cercano partner sicuri e affidabili. Al contrario, una PMI non conforme rischia di essere esclusa da filiere strategiche, perdendo importanti opportunità di mercato.
Tra le principali misure che possono implementare le PMI troviamo:
- rapporto sulla situazione iniziale: è importante rilevare le vulnerabilità della propria azienda, eseguendo una valutazione del rischio;
- implementazione di misure di sicurezza (che permettono di rafforzare la propria infrastruttura e di proteggersi da attacchi informatici): ad esempio creare backup sicuri o sistemi di recupero dati, oppure aggiornare le politiche aziendali in tema di cybersecurity e GDPR;
- formazione del personale: le persone sono la prima linea di difesa contro le minacce online. Per questo è importante che tutto il personale sappia come comportarsi per prevenire comportamenti a rischio;
- gestione e notifica degli incidenti informatici: ridurre i tempi di risposta e limitare i danni in caso di attacco è indispensabile per proteggere la propria reputazione e business. Per questo è importante che le PMI sappiano come notificare gli incidenti informatici nei tempi previsti.
Adeguamento al GDPR per le PMI
Ricordiamo inoltre che per presentarsi come partner affidabili le PMI devono garantire una piena conformità al GDPR. Nello specifico, devono garantire la protezione dei dati personali trattati, adottando misure di sicurezza adeguate. Tra queste:
- protezione dei dati personali: le PMI devono garantire la sicurezza dei dati trattati, adottando misure adeguate come la minimizzazione dei dati e la protezione da accessi non autorizzati.
- raccolta del consenso: è fondamentale raccogliere il consenso esplicito degli interessati per ogni trattamento di dati personali.
- trasparenza e informative chiare: le PMI devono fornire informazioni chiare agli utenti riguardo al trattamento dei loro dati, tramite informative sulla privacy dettagliate.
Per approfondire > Informativa privacy? L’ultima cosa da fare (e non con copia e incolla); - diritti degli utenti: le PMI devono rispettare i diritti degli utenti, tra cui l’accesso, la rettifica, la cancellazione (diritto all’oblio) e la portabilità dei dati;
- notifica delle violazioni: in caso di violazione dei dati, le PMI devono notificare l’incidente alle autorità competenti entro 72 ore. Per saperne di più > Data breach: guida pratica per la notifica al Garante privacy;
La direttiva NIS2 e l’adeguamento al GDPR rappresentano una sfida, ma anche un’opportunità per le PMI di migliorare le difese informatiche e consolidare il proprio ruolo nella supply chain. In un panorama digitale sempre più complesso, è essenziale che le PMI si preparino a fronteggiare le sfide future, contribuendo alla sicurezza dell’intero ecosistema.
Vuoi dimostrare la tua affidabilità aziendale e rafforzare la tua posizione nella supply chain? Abbiamo un suggerimento! Oppure hai bisogno di aiuto nella conformità al GDPR? Siamo esperti di sicurezza informatica, di privacy e GDPR. I nostri consulenti sono a tua disposizione.
