L’entrata in vigore dei regolamenti europei DORA (Digital Operational Resilience Act) e NIS 2 (Network and Information Security Directive) non si limita a introdurre obblighi tecnici o documentali: vanno a ridefinire in modo profondo l’approccio alla gestione del rischio, alla sicurezza operativa e alla governance della supply chain digitale.
DORA e NIS 2: un nuovo paradigma di sicurezza ICT
DORA e NIS 2 si inseriscono in un contesto europeo sempre più attento alla resilienza operativa e alla protezione delle infrastrutture critiche. Se da un lato DORA si concentra in particolare sul settore finanziario e assicurativo, NIS 2 estende l’ambito di applicazione a un vastissimo insieme di settori considerati essenziali, come energia, trasporti, sanità, telecomunicazioni e pubblica amministrazione.
Il comune denominatore di entrambi i regolamenti è la consapevolezza che la sicurezza non è più solo una questione interna all’azienda, ma coinvolge l’intero ecosistema di partner, fornitori e service provider. La catena di fornitura ICT (supply chain) diventa così uno degli elementi più delicati e complessi da governare.
Supply chain ICT: opportunità e rischi in un ecosistema esteso
Affidarsi a fornitori specializzati è una scelta strategica: permette alle aziende di concentrarsi sul proprio core business, delegando attività specifiche a chi possiede competenze verticali, processi certificati e strutture dedicate.
Tuttavia, proprio questa estensione del perimetro operativo introduce nuove criticità. I fornitori, infatti, diventano a tutti gli effetti un’estensione dell’infrastruttura aziendale e, in molti casi, trattano dati sensibili, gestiscono applicazioni mission-critical o supportano direttamente i servizi rivolti ai clienti finali.
DORA e NIS 2 chiedono alle aziende di aumentare la capacità di controllo, monitoraggio e verifica lungo tutta la catena del valore. Non è più sufficiente avere una buona sicurezza interna: è fondamentale che anche i partner e i fornitori rispettino determinati standard di sicurezza, siano essi tecnologici, organizzativi o procedurali.
Governance della supply chain: le principali criticità da affrontare
Governare efficacemente una supply chain ICT in linea con i requisiti di DORA e NIS 2 significa affrontare alcune sfide cruciali:
1. Verifica delle certificazioni e delle garanzie contrattuali
Sebbene le certificazioni (ISO 27001, SOC 2, PCI DSS, ecc.) non rappresentino da sole una garanzia assoluta, costituiscono un elemento importante nella selezione dei fornitori. Dimostrano infatti l’esistenza di processi strutturati, verificati da enti terzi, e un livello di maturità adeguato.
2. Definizione chiara delle responsabilità
Un fornitore qualificato, con SLA e obblighi contrattuali ben definiti, consente una gestione delle responsabilità più trasparente rispetto a risorse interne non sempre formalizzate. Questo è particolarmente rilevante nei modelli as-a-service, dove la suddivisione dei compiti tra cliente e fornitore deve essere esplicitata in modo inequivocabile.
3. Gestione del rischio lungo tutta la catena
Un approccio maturo alla sicurezza prevede la valutazione dei rischi non solo a livello di fornitore diretto, ma anche dei sub-fornitori (supply chain di secondo o terzo livello). È fondamentale comprendere come i fornitori gestiscono a loro volta i propri partner e quali controlli applicano.
4. Supervisione continua e auditing
L’attività di due diligence iniziale non è sufficiente. DORA e NIS 2 richiedono di adottare pratiche di auditing periodico, assessment di sicurezza, vulnerability scan e, se necessario, penetration test per verificare l’efficacia delle misure adottate dai fornitori nel tempo.
SaaS, cloud e sviluppo custom: approcci diversi, responsabilità diverse
Un esempio emblematico riguarda la differenza tra l’utilizzo di un software SaaS standardizzato e lo sviluppo di una soluzione customizzata. Nel primo caso, il provider del servizio garantisce sicurezza, conformità e aggiornamenti continui, riducendo il carico operativo per l’azienda cliente. Nel secondo scenario, invece, l’impresa è chiamata a gestire direttamente molti aspetti della sicurezza: gestione degli accessi, protezione dei dati, controllo degli ambienti di sviluppo e pre-produzione.
Entrambe le soluzioni sono valide, ma richiedono consapevolezza del livello di complessità e dei presidi di sicurezza necessari.
Cloud e security: alleati strategici per l’adeguamento normativo
Per le aziende enterprise, le soluzioni cloud e i servizi di cybersecurity gestiti rappresentano oggi un’opportunità concreta per semplificare la governance della supply chain ICT e accelerare l’allineamento ai requisiti di DORA e NIS 2.
Le piattaforme cloud più avanzate integrano controlli di sicurezza, gestione centralizzata dei log, crittografia dei dati, identity management e strumenti di compliance che riducono sensibilmente il rischio operativo. Affidarsi a partner qualificati, con competenze certificate e capacità di gestione end-to-end, consente di migliorare la postura di sicurezza complessiva, anche in contesti normativi sempre più stringenti.
DORA e NIS 2 richiedono un nuovo modello di gestione ICT
L’approccio tradizionale alla sicurezza, centrato esclusivamente sull’infrastruttura interna, non è più sufficiente. La compliance a DORA e NIS 2 impone alle aziende di ripensare modelli di governance, strumenti di controllo e strategie di gestione dei fornitori.
Affidarsi a soluzioni cloud sicure, a servizi di cybersecurity gestiti e a partner in grado di garantire trasparenza e qualità operativa lungo tutta la supply chain diventa un elemento imprescindibile per costruire un ecosistema digitale resiliente, efficiente e conforme alle nuove direttive europee.
Per approfondire il tema,
rivedi il webinar on demand.
Per capire quali gap colmare e quali azioni correttive intraprendere, effettua il test di autovalutazione di conformità per il
regolamento DORA e la
direttiva NIS 2.