A livello globale, normative e direttive stanno trasformando profondamente l’approccio delle organizzazioni alla cyber resilience, evidenziando l’importanza di adottare strategie più proattive. Questo è particolarmente evidente nel regolamento DORA e nella direttiva NIS2, introdotti dagli enti regolatori dell’UE, che mettono in primo piano la gestione della cybersecurity nella supply chain.

Introduzione

la gestione del rischio della supply chain, nell’economia moderna sempre più globalizzata e interconnessa, è emersa come una preoccupazione primaria. Inoltre, la probabilità di subire interruzioni, attacchi informatici e guasti operativi è aumentata in modo significativo a causa della crescente dipendenza dalle tecnologie digitali e dai fornitori di servizi terzi. In risposta a queste sfide, l’UE ha introdotto la direttiva NIS2 ed il regolamento DORA per garantire una migliore gestione dei rischi, oltre a mirare a rafforzare la cyber resilience della supply chain.

DORA e NIS2 –un approccio risk-based e resilience based

Sia DORA sia NIS2 si caratterizzano per un approccio risk-based e resilience-based che mira ad enfatizzare l’importanza della gestione del rischio, della sicurezza della supply chain e dello sviluppo e mantenimento di solidi piani di risposta agli incidenti. Di fatto, le organizzazioni per essere compliant devono concentrarsi su alcune aree chiave, quali:

Implementazione di processi sia proattivi sia reattivi per mitigare il rischio – L’implementazione di processi sia proattivi sia reattivi per mitigare il rischio è fondamentale per una vera cyber resilience. Di fatto, i processi proattivi includono: valutazioni regolari del rischio, scansioni delle vulnerabilità e implementazione di controlli di sicurezza. Ciò consente di prevenire potenziali minacce e rafforzare la resilienza organizzativa contro attacchi sempre più sofisticati. Mentre i processi reattivi comprendono i piani di risposta agli incidenti, il monitoraggio in tempo reale e le indagini forensi, essenziali per limitare l’impatto degli incidenti una volta avvenuti.

I fornitori terzi come parte della superficie di attacco dell’organizzazione – I fornitori terzi sono una componente critica per il business moderno di oggi. Purtroppo, le organizzazioni hanno una conoscenza limitata e specifica, o addirittura nulla, dei rischi di terze e quarte parti.  

È doveroso evidenziare che gli attacchi cyber sferrati contro le terze parti e le supply chain diventano sempre più frequenti, poiché la compromissione di una terza parte è un probabile punto di ingresso per più vittime finali. MoveIT è un esempio lampante di questa dinamica. Inoltre, poiché le organizzazioni più grandi e mature hanno continuato a rafforzare le proprie difese, le organizzazioni e i provider di terze parti con difese meno sviluppate diventano sempre più praticabili come punto di partenza di una compromissione o di un attacco importante.

Conformità alla sicurezza informatica – La conformità NIS2 si concentra sul rafforzamento dei requisiti generali di sicurezza informatica e segnalazione degli incidenti e sulla gestione del rischio informatico utilizzando “misure tecniche e organizzative appropriate e proporzionate”. Essa copre aspetti quali analisi del rischio, policy di sicurezza delle informazioni, gestione approfondita degli incidenti, continuità aziendale e sicurezza della supply chain.

La conformità DORA, invece, è più prescrittiva della NIS2, in quanto il suo scopo è introdurre requisiti più rigorosi in merito alla gestione del rischio ICT e alla segnalazione degli incidenti correlati all’ICT rispetto a quelli concordati in NIS2.

Inoltre, per conformarsi a DORA, le organizzazioni sono tenute a dimostrare di condurre un set appropriato di test di sicurezza su sistemi e applicazioni “critici” almeno una volta all’anno e di affrontare completamente tutte le vulnerabilità identificate dal processo di test. 

Ancora, mentre i requisiti di test per la conformità a NIS2 sono stabiliti a livello paese, DORA richiede test di penetrazione guidati dalle minacce ogni tre anni e una serie di valutazioni e test annuali, inclusi test di penetrazione annuali per applicazioni e sistemi critici.

La gestione del rischio della supply chain con NIS2 e DORA

DORA e NIS2 delineano un quadro strutturato per una gestione efficace dei rischi connessi alla supply chain ITC, evidenziando l’importanza di avere una conoscenza approfondita dei propri fornitori e di imporre loro requisiti rigorosi in materia di cybersecurity. Obblighi che, di fatto, rappresentano delle best practice che ogni organizzazione, con un approccio responsabile, dovrebbe adottare nella gestione dei fornitori, in particolare quelli legati all’ICT. Ecco un elenco dei principali requisiti.

Valutazione dei rischi: identificazione, analisi e valutazione dei rischi associati alle tecnologie dell’informazione e della comunicazione.

Mitigazione dei rischi: implementazione di misure preventive e correttive per mitigare i rischi identificati.

Monitoraggio continuo: sorveglianza costante delle infrastrutture tecnologiche per individuare tempestivamente eventuali anomalie o minacce.

Procedure per gli incidenti: procedure per la rilevazione, gestione e segnalazione degli incidenti, assicurando una risposta tempestiva ed efficace attraverso

Piani di continuità operativa: sviluppare piani di continuità operativa ICT che includano piani di risposta e recupero, oltre a prevedere attività di testing.

Riservatezza ed integrità dei dati e delle comunicazioni: procedure e tecnologie adeguate a garantire la sicurezza dei dati «in transit» e «at rest»

E’ doveroso ricordare che le organizzazioni, per garantire la sicurezza della supply chain nei contratti con fornitori ICT, secondo DORA e NIS2, devono includere clausole specifiche che stabiliscano requisiti fondamentali. Di seguito i principali requisiti che i fornitori devono soddisfare in termini di sicurezza e resilienza:

• Certificazioni e gestione del rischio: il possesso di certificazioni riconosciute e l’adozione di pratiche strutturate per la gestione del rischio.
• Conformità normativa: adeguamento alle normative di sicurezza applicabili.
• Politiche di accesso: regole precise per l’accesso ai sistemi e ai dati.
• Aggiornamenti periodici: obbligo di mantenere i sistemi aggiornati per ridurre i rischi legati a vulnerabilità note.
• Notifica di vulnerabilità e di incidenti: comunicazione tempestiva di eventuali falle di sicurezza o attacchi subiti.
• Audit e monitoraggio: pianificazione di audit regolari per verificare le pratiche di sicurezza adottate.
• Gestione degli incidenti: piani dettagliati per affrontare rapidamente incidenti di sicurezza, collaborando con l’organizzazione per minimizzare i danni.
• Formazione sulla sicurezza: partecipazione a programmi di formazione per aumentare la consapevolezza delle minacce e delle best practice.
• Requisiti per la terminazione del contratto: disposizioni specifiche per la risoluzione del contratto in particolari circostanze legate alla sicurezza.

Conclusione

La direttiva NIS2 ed il regolamento DORA sono destinate a gettare le basi per una gestione solida e sicura in termini di cybersecurity. Di fatto, le organizzazioni che rientrano nel loro perimetro dovranno essere in grado di: gestire efficacemente i rischi di supply chain; rafforzare la loro resilienza complessiva di fronte alle crescenti minacce informatiche e alle sfide operative; essere conformi ai requisiti e agli obiettivi della direttiva e del regolamento. Ciò contribuirà a: aumentare la conoscenza del proprio contesto interno ed esterno; essere in grado di rilevare i propri punti di cedimento e di non conformità; proseguire nel cammino verso la cyber resilience, quale intersezione dei principi di gestione del rischio, della continuità operativa e della cybersecurity.