DORA e NIS2 stanno rivoluzionando la cyber resilience, spingendo le organizzazioni ad adottare strategie più proattive, oltre a evidenziare l’importanza della gestione della cybersecurity della supply chain
Nel contesto dell’economia globalizzata e interconnessa, la gestione del rischio della supply chain è diventata una priorità fondamentale per far fronte alle interruzioni derivanti da attacchi informatici e guasti operativi. In quest’ottica, l’UE ha implementato la direttiva NIS2 e il regolamento DORA, con l’obiettivo di migliorare la gestione dei rischi cyber e rafforzare la cyber resilience della supply chain.
Sia DORA sia NIS2 adottano un approccio integrato risk-based e resilience-based, focalizzandosi anche sulla sicurezza della supply chain e sullo sviluppo di piani di risposta agli incidenti. Le organizzazioni, per essere conformi, devono concentrarsi su attività sia preventive sia proattive ed essere in grado di gestire anche i rischi associati ai fornitori, considerando che, spesso, hanno visibilità limitata sulle minacce derivanti da terze parti, che sono sempre più bersagli di attacchi informatici.
REQUISITI PER UNA GESTIONE EFFICACE
Di fatto, la conformità alla NIS2 si focalizza sul rafforzamento della sicurezza informatica, sulla segnalazione degli incidenti e sulla gestione del rischio attraverso misure adeguate, includendo analisi del rischio, politiche di cybersecurity, gestione degli incidenti, continuità aziendale e sicurezza della supply chain. La conformità a DORA è più rigorosa, richiedendo requisiti più severi per la gestione del rischio ICT e la segnalazione degli incidenti.
È doveroso evidenziare che sia DORA sia NIS2 offrono un quadro solido per la gestione dei rischi legati alla supply chain ICT, enfatizzando l’importanza di una conoscenza approfondita dei fornitori e l’imposizione di requisiti stringenti in ambito cybersecurity, prevedendo l’inclusione di clausole specifiche nei contratti.
Di fatto, molti fornitori non sono pienamente consapevoli dei requisiti richiesti da DORA e NIS2 e non stanno attuando misure concrete per garantirne la conformità, oltre ad affrontare difficoltà nel garantire standard di sicurezza uniformi, specialmente nei rapporti con i fornitori tecnologici.
Pertanto, si consiglia di includere una serie di requisiti in termini di clausole di sicurezza e resilienza per i fornitori e, precisamente: certificazioni e gestione del rischio; conformità alle normative di sicurezza applicabili; politiche di accesso; aggiornamenti periodici; notifica di vulnerabilità e incidenti; monitoraggio e revisione continua delle misure di sicurezza, compresi audit e test di penetrazione.; gestione degli incidenti; formazione sulla sicurezza; requisiti di terminazione del contratto.
Inoltre, sarà necessario coinvolgere l’ufficio acquisti nella selezione dei fornitori, integrando le valutazioni di conformità a NIS2 e a DORA, oltre a stabilire tavoli di lavoro comuni con i fornitori per condividere informazioni e definire soluzioni comuni.
APPROCCIO INTEGRATO E SVILUPPO
La direttiva NIS2 e il regolamento DORA sono fondamentali per costruire una solida gestione della cyber resilience. Le organizzazioni soggette a tale normativa e direttiva devono essere in grado di: gestire efficacemente i rischi della supply chain, rafforzare la resilienza contro le minacce informatiche in crescita e le sfide operative; garantire la conformità ai requisiti stabiliti. Un processo che contribuirà a migliorare la comprensione del contesto interno ed esterno dell’organizzazione e a proseguire nel continuo sviluppo della cyber resilience, quale intersezione dei principi di risk management, di business continuity e di cybersecurity.
Federica Maria Rita Livelli comitato scientifico CLUSIT
