Con NIS2, la sicurezza della catena di fornitura ICT cessa di essere solo una questione tecnica e diventa una questione di governance, di responsabilità gestionale e di resilienza complessiva dell’organizzazione. Il regolamento richiede misure di gestione del rischio che includano esplicitamente la catena di fornitura e i rapporti con i fornitori diretti e indiretti.
Questo aspetto è direttamente collegato al GDPR: L’articolo 28 impone al titolare del trattamento di selezionare solo responsabili del trattamento che offrano garanzie sufficienti, mentre l’articolo 32 richiede misure tecniche e organizzative adeguate al rischio. Ne consegue che la gestione dei fornitori ICT non può limitarsi a contratti standard o a una due diligence meramente formale, ma richiede una valutazione concreta della criticità del fornitore, delle dipendenze operative, dei dati trattati, delle misure di sicurezza adottate, dell’uso di subappaltatori, dei tempi di risposta agli incidenti e dei diritti di audit.
Il rischio della catena di approvvigionamento deve essere gestito ex ante attraverso la selezione, la classificazione, la verifica e il monitoraggio continuo dei fornitori critici. Dal punto di vista operativo, ciò comporta una due diligence strutturata, questionari sulla sicurezza, raccolta di prove documentali, audit periodici, verifica dei subappaltatori e clausole specifiche riguardanti le notifiche, le vulnerabilità, i tempi di risposta e la cooperazione in caso di incidente. A ciò si aggiunge la contrattualizzazione del rischio: per i fornitori di ICT che hanno un impatto sui servizi o sulle operazioni di trattamento rilevanti, le clausole generiche non sono sufficienti; sono necessarie disposizioni chiare in merito alle misure tecniche e organizzative, alla segnalazione degli incidenti, al supporto per il ripristino, alla gestione delle vulnerabilità, alla tracciabilità dei subappaltatori e alla restituzione o cancellazione dei dati.
Dal punto di vista del NIS2, queste clausole regolano il rischio della catena di fornitura; dal punto di vista del GDPR, forniscono un’attuazione concreta degli articoli 28 e 32, poiché la sicurezza della catena di fornitura dipende da obblighi definiti, verificabili ed effettivamente applicabili.