Dalla concentrazione del rischio al rischio tecnico-operativo, servizi cloud compresi. Le nuove sfide nella gestione della catena di fornitura ICT. Certificazioni, contratti, valutazioni, verifiche e checklist per garantire sicurezza, continuità e resilienza
A cura di Giancarlo Butti
Il rischio della catena di fornitura è un elemento critico per ogni organizzazione, principalmente per quelle che operano in settori strategici quali la finanza o l’approvvigionamento energetico. I casi di esfiltrazione di dati aziendali ottenuti attaccando gli anelli più deboli della catena sono all’ordine del giorno e i vari enti normatori da tempo cercano di regolamentare la materia proponendo complessi meccanismi di valutazione preliminare dell’idoneità dei fornitori, vincoli contrattuali stringenti e monitoraggio nel continuo dell’operato dei fornitori. La gestione del rischio della catena di fornitura riviste un ruolo sempre più rilevante per le aziende di qualunque tipo e dimensione, le quali spesso si trovano da entrambe le facce della medaglia essendo parte integrante di tale catena in quanto fornitori di determinati soggetti e clienti di altri. I rischi legati alla supply chain sono molteplici e rappresentano una sfida complessa per le aziende che operano a livello globale.
Tra questi rischi, alcuni dei più significativi includono il rischio politico, che vede le imprese confrontarsi con l’instabilità di regimi politici, chiusure di frontiere e cambiamenti nelle tariffe doganali, che possono influenzare drasticamente le operazioni commerciali. Regimi instabili e decisioni governative improvvise possono bloccare l’accesso ai mercati e aumentare i costi operativi. Il rischio ambientale, con disastri naturali come inondazioni e incendi, nonché epidemie, può colpire le aree in cui operano i fornitori, interrompendo la logistica e riducendo la disponibilità della forza lavoro. La vulnerabilità a eventi naturali estremi evidenzia l’importanza di piani di emergenza efficaci Il rischio sociale, che include azioni sindacali, scioperi, sabotaggi e attività criminali, può interferire con le operazioni dei fornitori e dei partner Le agitazioni sociali non solo ritardano le consegne, ma possono anche danneggiare le infrastrutture e compromettere la sicurezza dei lavoratori.
Il rischio tecnico-operativo, con guasti alle macchine o alle apparecchiature, difetti di qualità e problemi con i fornitori ICT, può compromettere i progetti aziendali. La perdita di personale competente accentua ulteriormente queste problematiche, rallentando la produzione e riducendo l’efficienza operativa. Il rischio di conformità legale e normativo è altrettanto rilevante, poiché i fornitori che non rispettano i requisiti legali e normativi possono essere soggetti a ingiunzioni e sequestri, interrompendo il lavoro e provocando ritardi significativi nelle operazioni. La non conformità può portare anche a sanzioni finanziarie e danni alla reputazione aziendale. Il rischio economico è un altro fattore critico, in quanto l’instabilità finanziaria e la mancanza di flusso di cassa possono paralizzare le operazioni quotidiane dei fornitori. Una solida salute finanziaria dei partner è essenziale per garantire la continuità delle forniture.
Il rischio di concentrazione – DORA ha specificatamente normato questo rischio – è presente quando le aziende si affidano a un unico fornitore per tutte le esigenze di servizi e prodotti. In molti settori, un singolo fornitore o venditore di nicchia può fornire servizi o infrastrutture fondamentali, aumentando il rischio di interruzione se quel fornitore dovesse affrontare problemi. Il rischio finanziario riguarda decisioni di investimento inadeguate da parte della direzione che possono portare a instabilità finanziaria. La mancanza di strategie finanziarie prudenti mette a repentaglio l’intera catena di fornitura. Il rischio geopolitico, infine, comprende eventi politici globali che possono interrompere la catena di fornitura. Tensioni internazionali, guerre commerciali e sanzioni possono bloccare le rotte commerciali e alterare le dinamiche del mercato.
Ne è un esempio la guerra in Ucraina, che ha messo in difficoltà diverse aziende che avevano fornitori strategici in quello Stato. Questi rischi richiedono una gestione attenta e proattiva, con strategie di mitigazione che includano diversificazione dei fornitori, monitoraggio continuo delle condizioni politiche ed economiche e piani di emergenza per affrontare le crisi in modo efficace La resilienza della supply chain è fondamentale per il successo a lungo termine delle aziende nel panorama globale.
I settori strategici, come quello finanziario o delle infrastrutture critiche, hanno affrontato da tempo la problematica, attraverso l’emanazione di una serie di normative, dapprima da parte di autorità di settore (nel mondo finanziario EBA, ESMA, EIOPA) e successivamente da parte del parlamento UE, che nel corso degli ultimi anni ha emesso il Regolamento sulla resilienza operativa digitale (DORA) per il settore finanziario e la Direttiva 2022/2555 (NIS2) nell’ambito delle infrastrutture critiche. I due atti normativi sono stati emessi nello stesso giorno e, a dire il vero, il perimetro della NIS2 è molto più ampio e comprende numerosi settori che la normativa definisce critici, fra essi compare per esempio lo stesso mondo della finanza, oltre a trasporti, energia, sanità. Vi è però una grossa differenza fra questi due atti legislativi (oltre al più ovvio e cioè al fatto che essendo DORA un regolamento, questo è direttamente applicabile negli Stati membri, mentre essendo la NIS2 una direttiva, questa deve essere recepito dai singoli Stati con uno specifico atto normativo). A differenza di DORA, la direttiva NIS2 dedica uno spazio molto limitato alla definizione delle azioni che le entità nel suo perimetro di applicazione devono intraprendere. Dei 37 articoli che compongono la direttiva, solo il Capo IV – Misure di gestione del rischio cyber e obblighi di segnalazione, ne tratta.
In questo contesto, gli adempimenti della NIS2 riguardanti la catena di fornitura sono riassunti in un singolo passaggio: “Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informativi e di rete, e il loro ambiente fisico, da incidenti”, e comprendono, come si legge alla lettera d) “la sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”. Questo lascia alle entità soggette alla NIS2 un ampio margine interpretativo e, come spesso accade in tali situazioni, l’onere di definire i criteri più idonei per garantire la conformità.
Di tutt’altro tenore è il regolamento DORA, che introduce un approccio molto diverso. Prima di tutto, DORA si applica non solo alle entità finanziarie (definizione che comprende circa 20 categorie diversi di soggetti, che includono banche, assicurazioni e così via), ma anche ai loro fornitori ICT. Per la prima volta una normativa, dedicata in prevalenza alla sicurezza informatica, pone degli obblighi non solo verso una serie di soggetti che rientrano nel suo perimetro, ma anche ai loro fornitori. In realtà, i fornitori non hanno un obbligo diretto di adeguarsi ai requisiti di sicurezza imposti da DORA, in quanto un solo articolo di DORA è a loro dedicato (salvo lo specifico punto dedicato ai fornitori critici, soggetti specificatamente individuati dalla normativa fra i fornitori sistemici più significativi), ma tale articolo impone a entità finanziarie e fornitori di regolare il loro rapporto mediante la formalizzazione di un contratto scritto. Le entità finanziarie dispongono quindi di una leva nei confronti dei loro fornitori non presente nelle normative precedenti. Inoltre, hanno a disposizione una serie di indicazioni sui requisiti specifici di sicurezza (e non solo) che devono obbligatoriamente richiedere ai loro fornitori.
Il costante riferimento alle normative e in particolare a DORA, è legato al fatto che la normativa emessa nell’ambito finanziario può costituire un punto di riferimento e di buone pratiche per qualunque settore e DORA ne rappresenta un valido esempio. Proprio per tale motivo, nel seguito dell’articolo, il termine entità finanziaria verrà sostituito con il più generico termine “organizzazione”, al fine di evidenziare come il regolamento DORA costituisca attualmente una delle migliori pratiche esistenti nella relazione fra clienti e fornitori, utilizzabile come punto di riferimento in qualunque settore e da aziende di qualunque dimensione. Una specifica sezione di DORA regolamenta la gestione del rischio delle terze parti, ma in realtà quasi ogni adempimento in termini di misure di sicurezza che DORA richiede alle organizzazioni di implementare, si traduce in un requisito che queste devono girare ai loro fornitori ICT (e questi a loro volta ai propri sub fornitori). Questo fa sì che il numero dei soggetti coinvolti nel rispetto della normativa DORA cresca in modo esponenziale e riguardi centinaia di migliaia di fornitori in ambito ICT.
Ma vi è un altro aspetto altrettanto significativo di DORA. Oltre a un livello di analiticità estremamente più elevato rispetto alla NIS2 (oltre 20 articoli indirizzano le misure di sicurezza che le organizzazioni devono sviluppare oltre a una specifica sezione dedicata al rapporto con i fornitori), DORA è accompagnato da numerosi documenti tecnici (16 per la precisione), fra RTS (Regulatory technical standards), ITS (Implementing technical standards) e Linee guida, realizzate dalle autorità di vigilanza in collaborazione con l’Agenzia dell’Unione europea per la cibersicurezza (ENISA). Nel momento in cui questo testo viene redatto, alcuni di questi documenti, il cui iter legislativo ha previsto anche una consultazione pubblica, sono stati emessi in forma definitiva sotto forma di regolamenti delegati. Il corpus normativo di DORA specificatamente dedicato alla gestione della supply chain comprende, oltre al testo del regolamento, due specifici RTS (uno dedicato ai fornitori ed uno dedicato ai subfornitori) e l’ITS dedicato al Registro delle informazioni nel quale le entità finanziarie dovranno mappare tutti i loro fornitori e subfornitori ICT.
LA RELAZIONE CON LE TERZE PARTI
Quello che DORA evidenzia in modo analitico è che in realtà la gestione della catena di fornitura è un processo molto complesso che va ben al di là di qualche indicazione, più o meno analitica, sulle misure di sicurezza e di resilienza che deve essere contrattualizzata con il fornitore. Un processo che parte con una attenta valutazione iniziale e una due diligence del fornitore che comprende, oltre alla verifica della presenza di standard appropriati in materia di sicurezza delle informazioni, una serie di parametri quali la collocazione geografica (necessaria per valutare la normativa in essere in merito, per esempio, al trattamento di dati personali, diritto fallimentare, disposizioni contrattuali…) o il numero di forniture che fanno capo, direttamente o indirettamente allo stesso fornitore, al fine di valutare il rischio di concentrazione e quindi la sua rilevanza.
Secondo il regolamento DORA, la relazione con il fornitore comprende quattro passaggi fondamentali. Primo passo, la fase di valutazione iniziale, propedeutica a valutare se le caratteristiche di un potenziale fornitore siano tali da renderlo idoneo alla fornitura del prodotto/servizio desiderato. La seconda fase è quella della contrattualizzazione, che comprende la necessità di formalizzare non solo elementi molto specifici relativi alle misure di sicurezza da implementare, ma anche tutti quegli aspetti che consentono all’organizzazione di operare anche in caso di crisi del fornitore stesso, come l’implementazione di soluzioni di continuità operativa da parte del fornitore; il diritto di revoca del contratto da parte dell’organizzazione; e la definizione da parte dell’organizzazione di una exit strategy e di un exit plan, che vede coinvolto il fornitore nel garantire l’erogazione del servizio ai livelli concordati durante tutto il periodo di transizione. Un aspetto questo in genere trascurato da chi si rivolge ad un fornitore, in particolare nel caso di esternalizzazione di un processo o servizio. La predisposizione di una strategia di uscita (quando è opportuno sostituire un fornitore con un altro o con una reinternalizzazione del servizio) e di un piano di uscita permette all’organizzazione di garantire la propria resilienza anche in situazioni particolarmente critiche come quelle che negli ultimi anni si stanno susseguendo. La terza fase è quella di erogazione del servizio, durante la quale il fornitore deve rendere disponibili informazioni, quali/quantitative, utili per valutare la qualità del servizio erogato tramite un monitoraggio nel continuo dei livelli di servizio concordato, al fine di consentire un intervento immediato in caso di problemi. Per finire, la quarta fase di revisione periodica, tramite l’esecuzione di audit. Al riguardo DORA stabilisce che già nella fase contrattuale vengano definite sia la frequenza sia l’ambito degli stessi.
LA FASE DI VALUTAZIONE
Questa fase merita un approfondimento specifico, in quanto la scelta di avvalersi di uno specifico fornitore dovrà avvenire considerando molteplici aspetti che, in realtà, molto spesso sono trascurati dalle organizzazioni, che basano la loro scelta fra una rosa di candidati, quasi esclusivamente sui fattori economici. Fra gli elementi da considerare per valutare un fornitore (Manuale di resilienza – ITER 2023), è necessario esaminare la capacità di garantire un livello adeguato di sicurezza, resilienza e ripristino. Inoltre, è essenziale valutare la facilità con cui il fornitore può essere sostituito in caso non si dimostri all’altezza delle aspettative sotto vari aspetti, o non sia in grado di continuare a erogare il servizio a causa di eventi interni o esterni all’azienda, come attacchi informatici, guasti, errori o fallimenti. La reale sostituibilità di un fornitore è determinata da diversi fattori. Tra questi, il numero di fornitori che erogano quel prodotto o servizio, dato che alcuni servizi sono offerti solo da pochi o da un unico fornitore.
Un altro elemento decisivo è il numero di fornitori che, pur erogando lo stesso servizio, possiedono caratteristiche compatibili con i requisiti dell’organizzazione. Ad esempio, possono esistere fornitori alternativi, ma trattano i dati personali nei loro data center situati negli USA. La capacità dell’organizzazione di gestire autonomamente il servizio o prodotto è un ulteriore aspetto rilevante, così come la facilità con cui è possibile sostituire un fornitore in caso di necessità sia optando per un altro fornitore sia ricorrendo alla internalizzazione. Infine, va considerata anche l’economicità dell’attività di sostituzione. Se la strategia di uscita prevede il passaggio a un altro fornitore, va verificato se tale attività sia realmente fattibile. Alcuni fornitori operano infatti in regime di monopolio e non è possibile ipotizzare oggettivamente una loro sostituzione. In altri casi, pur essendo in teoria presenti altri fornitori, il costo della sostituzione o altri parametri, quali per esempio i tempi richiesti, non sono compatibili con le esigenze dell’organizzazione.
Per valutare un fornitore, è utile considerare anche le certificazioni, in particolare quelle relative alla sicurezza e alla continuità operativa, nonché gli audit condotti da terze parti. Tali strumenti sono considerati un valido strumento che consente, con un impegno limitato, di raccogliere una serie di informazioni qualificate, che sono già state valutate da altri, facilitando l’attività di due diligence, purché siano utilizzati con “intelligenza” e conoscendone i limiti. Le certificazioni riguardano ambiti molto specifici. È molto raro che una certificazione ricomprenda un’azienda nella sua interezza. Solitamente quello che viene certificato è uno specifico servizio e quindi è importante verificare se il perimetro di certificazione abbia attinenza rispetto al servizio che il fornitore eroga nei confronti nell’organizzazione. Viceversa tale certificazione non ha nessuna valenza.
Sulla base della mia esperienza personale, considero le certificazioni poco significative. Questo perché le verifiche condotte dagli enti certificatori sono spesso limitate sia nel tempo che nel perimetro di analisi, a causa di vincoli oggettivi di tempo e costo. Una verifica di questo tipo viene effettuata in genere nel giro di un paio di giorni, mentre un audit svolto da un auditor interno, solitamente dura mesi. Il tempo dedicato a una verifica da parte di un internal auditor può facilmente essere di decine di volte superiore a quello di un ente di certificazione. Analogo discorso riguarda gli audit di terze parti, che hanno una reale valenza solo se riguardano il servizio/prodotto che viene utilizzato dall’ organizzazione cliente.
La normativa DORA consente l’utilizzo delle certificazioni e degli audit di terze parti quali strumento utile ad un’attività di due diligence, ma pone una serie di limitazioni e non possono avere un valore assoluto. L’organizzazione deve effettuare un’attività di audit diretta sul fornitore, un compito che può risultare particolarmente complesso, soprattutto quando si tratta di fornitori di grandi dimensioni o di grande rilevanza. Proprio per questo motivo, DORA ha introdotto, per la prima volta al mondo, il monitoraggio dei fornitori più significativi a livello sistemico (definiti critici dalla normativa) direttamente da parte delle Autorità di Vigilanza. Al momento della chiusura di questo articolo, non è ancora chiaro come saranno utilizzati i risultati di queste verifiche. In particolare, resta da determinare se gli esiti degli audit saranno accessibili esclusivamente alle Autorità competenti (ogni fornitore critico sarà assegnato a una specifica Autorità di Vigilanza tra ESMA, EBA e EIOPA) o – come sarebbe auspicabile – se saranno resi pubblici, almeno per quanto riguarda i risultati finali.
LA FASE CONTRATTUALE
DORA regolamenta direttamente solo un numero limitato di ambiti da formalizzare nei contratti con i fornitori. Tra questi, rientrano disposizioni sulla disponibilità, autenticità, integrità e riservatezza per la protezione dei dati, compresi quelli personali. Vengono inoltre regolate le garanzie di accesso, ripristino e restituzione, in un formato facilmente accessibile, dei dati trattati dall’entità finanziaria in caso di insolvenza, risoluzione o interruzione delle operazioni commerciali del fornitore ICT, o di risoluzione degli accordi commerciali.
La normativa stabilisce anche le descrizioni dei livelli di servizio, inclusi aggiornamenti e revisioni, e le condizioni per la partecipazione dei fornitori ICT ai programmi di sensibilizzazione sulla sicurezza ICT e alle attività di formazione sulla resilienza operativa digitale delle entità finanziarie. Un altro obbligo prevede che il fornitore ICT presti assistenza all’organizzazione senza costi aggiuntivi, o a un costo stabilito in precedenza in modo trasparente, in caso di incidente relativo ai servizi forniti. Inoltre, i fornitori ICT sono tenuti a implementare e testare piani operativi d’emergenza, predisporre misure, strumenti e politiche per la sicurezza, partecipando e collaborando attivamente ai test di penetrazione TLPT per valutare la capacità di un’organizzazione di prevenire, rilevare e rispondere a minacce informatiche avanzate. Nonostante DORA sia molto dettagliata, regola principalmente cosa chiedere ai fornitori, senza specificare come i vari adempimenti devono essere realizzati. Questo lascia ampio margine di trattativa tra clienti e fornitori. Tuttavia, molti requisiti richiesti dalla normativa alle organizzazioni si riflettono indirettamente anche sui loro fornitori e subfornitori.
CONTROLLO E VIGILANZA
Il controllo diretto da parte delle Autorità di Vigilanza introdotto da DORA trova una formulazione più leggera anche nella NIS2. L’articolo 22 della NIS2 prevede che “il gruppo di cooperazione, in collaborazione con la Commissione e l’ENISA, può effettuare valutazioni coordinate dei rischi per la sicurezza di specifiche catene di approvvigionamento critiche di servizi, sistemi o prodotti ICT, tenendo conto dei fattori di rischio tecnici e, se opportuno, non tecnici”. Dal punto di vista pratico, questo controllo diretto sui fornitori critici permette alle Autorità di Vigilanza di svolgere audit sia in loco sia da remoto. Le conseguenze per i fornitori in caso di esito negativo della verifica possono essere significative. Le Autorità possono imporre azioni correttive che devono essere attuate entro scadenze precise. Il mancato rispetto di queste scadenze può comportare sanzioni, pubblica diffusione delle inadempienze del fornitore e, in casi estremi, anche la richiesta alle organizzazioni clienti di sospendere o revocare i loro contratti con il fornitore incriminato. DORA definisce sommariamente l’elenco delle richieste che le Autorità possono rivolgere a un fornitore critico. Questo rappresenta un valido strumento per ogni fornitore per comprendere le aspettative del legislatore. Le implicazioni di queste regolamentazioni sottolineano l’importanza di una stretta conformità e vigilanza continua, con l’obbiettivo di assicurare che i fornitori critici mantengano elevati standard di sicurezza e resilienza operativa.
I SUBFORNITORI
Tutto quanto discusso finora sulla relazione tra cliente e fornitore deve essere applicato anche dai fornitori ai propri subfornitori. Un documento tecnico di DORA può offrire spunti su come gestire al meglio questa situazione complessa. DORA, per esempio, impone alle organizzazioni di monitorare l’intera catena di fornitura, svolgendo, se necessario, audit diretti su ogni anello della catena.
Questa prescrizione normativa facilita la formalizzazione contrattuale di tali obblighi, ma al di fuori dell’ambito di applicazione di DORA, risulta molto difficile attuare una simile azione, poiché non esiste un rapporto diretto tra l’organizzazione e i subfornitori. Questo limite influisce anche su molti altri aspetti del controllo reale che si può avere sulla propria catena di fornitura, oltre i fornitori diretti. È per questo motivo che è necessario imporre contrattualmente ai propri fornitori l’obbligo di informare preventivamente l’organizzazione sulla volontà di ricorrere a un terzo o sulla presenza di un subfornitore al momento della formalizzazione di un contratto. Questo requisito dovrebbe essere formalizzato anche nei contratti tra un fornitore e il suo subfornitore, a qualsiasi livello della catena. In questo modo, l’organizzazione può valutare adeguatamente il subfornitore.
L’organizzazione dovrebbe inoltre riservarsi il diritto di non accettare un subfornitore non gradito nella propria catena di fornitura. A tal riguardo, il GDPR può essere di aiuto, imponendo una valutazione dei sub-responsabili del trattamento dei dati. Avvalendosi di questo obbligo normativo, è possibile effettuare una valutazione adeguata che altrimenti sarebbe molto più difficile da formalizzare e attuare. Tuttavia, le organizzazioni vedono questo vincolo normativo più come una costrizione che come un’opportunità di tutela, evidenziando la scarsa attenzione verso un controllo effettivo della propria supply chain.
IL MONDO CLOUD
Particolare attenzione è sempre stata rivolta ai servizi erogati in cloud, poiché la loro valutazione richiede competenze specifiche che vanno oltre le tradizionali conoscenze in ambito ICT e sicurezza. A questo proposito, un valido supporto può derivare dall’uso di strumenti messi a disposizione da varie istituzioni nel corso del tempo. La Cloud Security Alliance, per esempio, offre specifiche checklist che hanno una doppia utilità: da un lato, possono essere utilizzate dalle aziende per verificare i propri fornitori cloud; dall’altro, aiutano i fornitori stessi a qualificarsi.
Analogamente, nel contesto della qualificazione dei fornitori della pubblica amministrazione, esistono due esempi estremamente utili: le checklist predisposte dall’Agenzia per la cybersicurezza nazionale italiana e dal programma FedRAMP (Federal risk and authorization management program) del governo degli Stati Uniti. Questi strumenti rappresentano risorse preziose per garantire la sicurezza e l’affidabilità dei servizi cloud, facilitando al contempo la conformità a standard rigorosi.
Il controllo della catena di fornitura rappresenta una delle sfide più complesse per le organizzazioni moderne, in particolare in un contesto tecnologico in rapida evoluzione e sempre più interconnesso. Grazie alle recenti normative e ai dettagliati strumenti messi a disposizione da enti come la Cloud Security Alliance, l’Agenzia per la cybersicurezza nazionale italiana e FedRAMP, le aziende possono adottare misure efficaci per gestire e monitorare i propri fornitori di servizi cloud. Le liste di fornitori qualificati disponibili sui siti web di questi enti offrono un punto di partenza solido per le organizzazioni che cercano di garantire la sicurezza e la conformità dei servizi che utilizzano. Questi elenchi aiutano a identificare fornitori che hanno superato rigorosi controlli di sicurezza e che possono quindi essere considerati partner affidabili. Inoltre, le checklist e le linee guida fornite da queste istituzioni non solo facilitano la valutazione dei fornitori, ma anche la gestione continua della sicurezza e della resilienza operativa. Adottare tali strumenti e approcci consente alle aziende di implementare una strategia di gestione dei rischi più robusta e di garantire una maggiore trasparenza e responsabilità lungo l’intera catena di fornitura.
Per concludere, mentre il compito di monitorare la catena di fornitura è intrinsecamente complesso, le normative recenti e gli strumenti disponibili offrono alle aziende di qualsiasi settore e dimensione preziose risorse per affrontare questa sfida. Con una gestione attenta e informata, le organizzazioni possono non solo conformarsi alle normative, ma anche costruire una rete di fornitura più sicura e resiliente, proteggendo meglio i propri dati e garantendo la continuità operativa.
