Direttiva NIS 2, la cibersicurezza della catena di approvvigionamento

La direttiva NIS 2 stabilisce un quadro normativo volto a migliorare il livello di cibersicurezza dell'Unione europea.

La Direttiva si applica principalmente agli organismi di medie e grandi dimensioni che operano nei settori elencati nell'allegato I ("Settori ad alta criticità", tra cui l'energia, i trasporti e il settore bancario) e nell'allegato II ("Altri settori critici", tra cui i servizi postali, la gestione dei rifiuti e la produzione di alimenti).

I soggetti che rientrano nell'ambito di applicazione della direttiva sono classificati in due categorie, essenziali e importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché delle loro dimensioni.

I rischi della catena di approvvigionamento

L'art. 21 della NIS 2 richiede agli Stati membri di assicurare che i soggetti essenziali e importanti adottino misure adeguate e proporzionate per gestire i rischi relativi alla sicurezza dei sistemi informatici e di rete. La sicurezza della catena di approvvigionamento rientra tra i minimi requisiti di sicurezza stabiliti dalla norma.

In tale ambito, il legislatore ha evidenziato le criticità delle PMI, le quali stanno diventando sempre di più il bersaglio di attacchi informatici nella catena di approvvigionamento a causa delle loro misure meno rigorose di gestione del rischio di cibersicurezza. Tali attacchi non hanno conseguenze limitate alle PMI, ma possono avere un effetto a cascata su soggetti essenziali e importanti, di cui tali PMI sono fornitori.

Considerando che le PMI affrontano sfide specifiche in materia di cibersicurezza, come la scarsa consapevolezza informatica, l'elevato costo delle soluzioni di cibersicurezza e l'aumento del livello di minaccia, dovuto ad esempio ai ransomware, la Commissione ritiene che esse necessitino di linee guida e assistenza su tali aspetti.

Ai sensi del considerando 59 della NIS 2, la Commissione, l'ENISA e gli Stati membri dovrebbero continuare a promuovere gli allineamenti agli standard internazionali e alle migliori prassi industriali esistenti nel settore della gestione dei rischi, tra cui le valutazioni della sicurezza della catena di approvvigionamento.

Il report dell'ENISA

Il 13 giugno 2023 l'ENISA ha pubblicato il report "Good Practices for Supply Chain Cybersecurity", che fornisce una panoramica delle attuali pratiche di sicurezza informatica della catena di approvvigionamento, adottate dai soggetti essenziali e importanti dell'Unione europea. L'attenzione è principalmente rivolta alla catena di approvvigionamento di Information and Communications Technology (ICT) o di "Operational Technology" (OT). Dai dati raccolti, emerge il seguente quadro:

1. Nonostante le organizzazioni comprendano l'importanza della sicurezza della catena di approvvigionamento, non allocano le risorse necessarie per la relativa cibersicurezza.

2. Anche quando investono in progetti di cibersicurezza della catena di approvvigionamento ICT/OT, nella maggior parte dei casi ciò avviene senza una struttura di governance aziendale chiara, che consideri i costi e i benefici dell'implementazione delle pratiche e dei controlli.

3. Le organizzazioni con procedure aziendali relative alla cibersicurezza della catena di approvvigionamento ICT/OT sono la minoranza.

4 .Il settore bancario è il settore con le politiche di cibersicurezza della catena di approvvigionamento ICT/OT più consolidate.

5 .La classificazione di un incidente della catena di approvvigionamento è complicata a causa della mancanza di criteri concreti.

6. Le certificazioni sono il modo preferito dalle organizzazioni per seguire le pratiche di cibersicurezza dei fornitori; i costi sono però elevati.

7. Le organizzazioni intervistate concordano sul fatto che requisiti di cibersicurezza comuni per prodotti e servizi sarebbero vantaggiosi per il mercato.

8. È possibile migliorare la competenza delle organizzazioni sui propri asset informativi.

9. La maggioranza delle organizzazioni intervistate non dispone di un sistema di gestione delle vulnerabilità che copra tutti gli asset organizzativi.

10. La gestione delle vulnerabilità e i test dei prodotti contribuiscono a migliorare il livello di cibersicurezza della catena di approvvigionamento ICT/OT.

L'ENISA indica poi delle buone pratiche, che possono essere implementate dai clienti o dai loro fornitori, distinte nelle seguenti aree:

• approccio strategico aziendale;

• gestione del rischio della catena di fornitura;

• gestione delle relazioni con i fornitori;

• gestione delle vulnerabilità;

• qualità dei prodotti e delle pratiche per fornitori e prestatori di servizi.

Conclusioni

Infine, con l'obiettivo di indirizzare lo sviluppo della cibersicurezza della catena di approvvigionamento ICT/OT, il report individua le seguenti problematiche e buone pratiche:

• Terminologia. Una significativa sfida deriva dalla terminologia, posto che, in tutti i documenti esaminati sono state identificate, definizioni non univoche nell'ambito della cibersicurezza della catena di approvvigionamento. Ciò crea confusione, rende difficile il confronto tra i diversi approcci, e può rappresentare una sfida per l'attuazione della direttiva NIS2. Pertanto, dovrebbero compiersi sforzi per creare una terminologia comune.

• Limiti delle buone pratiche/standard. Le buone pratiche descritte nel report possono contribuire a un miglioramento della cibersicurezza della catena di approvvigionamento, ma non tutti i rischi possono essere mitigati attraverso la sola implementazione delle buone pratiche. In particolare, le funzioni nascoste e le capacità di accesso non documentate (backdoor) nei componenti hardware non possono essere identificate esaustivamente tramite le certificazioni più comuni o i test di penetrazione standard.

• Rischi a livello di Stato membro. Gli attacchi sovvenzionati a livello statale utilizzano mezzi sofisticati con risorse estese. Tali rischi richiedono capacità avanzate di gestione del rischio, che una organizzazione difficilmente può acquisire. Può essere quindi necessaria la gestione da parte dello Stato membro, ad esempio coinvolgendo i servizi di intelligence.

• Condivisione delle informazioni. Per affrontare le vulnerabilità zero-day, i.e. le vulnerabilità per cui non vi è ancora una soluzione, è opportuno sviluppare la condivisione delle informazioni tra gli Stati membri.

• Testing. Poiché i soggetti essenziali e importanti forniscono servizi critici per il funzionamento della società, il testing degli asset critici dovrebbe essere parte integrante delle procedure di acquisto.

• Piattaforme di testing condivise. È fondamentale creare piattaforme condivise di testing della sicurezza nell'ambito ICT/OT tramite finanziamenti pubblici e privati.

*a cura dell'Avv. Giovanni Ciano