L’attuazione della direttiva NIS2 è entrata pienamente in vigore e avrà un forte impatto sul modo in cui le aziende dovranno gestire il rischio dei fornitori nei prossimi anni.
La direttiva è in lavorazione dal 2016, quando è stata proposta per la prima volta dal vicepresidente della Commissione Europea Andrus Ansip e dalla commissaria per il Mercato Unico Digitale Mariya Gabriel nel corso di un intervento a un evento ospitato dal European Economic and Social Committee (EESC). Nella loro presentazione, Ansip e Gabriel hanno delineato la loro visione di una versione aggiornata della Network Information Security Directive (NISD), che era stata attuata nel 2010 ma non era particolarmente efficace perché mancava di un meccanismo di conformità.
Gli impatti della NIS2 sulle piccole e medie imprese
La Direttiva NIS2 mira a migliorare la sicurezza dei sistemi informativi e delle reti dell’UE.
Richiede alle aziende che forniscono servizi essenziali di implementare un “sistema completo” per la gestione del rischio, che comprenda:
- Persone (dipendenti)
- Asset fisici (computer, server, ecc.)
- Sistemi e dati
Inoltre, richiede che tutte le aziende stabiliscano un processo di gestione del rischio della propria catena di approvvigionamento.
Ciò significa che ogni azienda che opera nell’UE deve avere una strategia chiara per lavorare con fornitori terzi.
La Direttiva si applica a tutte le aziende (comprese le banche) che utilizzano prodotti o servizi di terzi nell’ambito delle loro attività quotidiane.
L’esempio più comune è l’acquisto di sistemi informatici da un’altra azienda, ma gli esempi sono molti di più. Oltre ai computer, potreste utilizzare anche software o servizi cloud forniti da altre aziende: tutto ciò che viene acquistato direttamente da queste ultime viene classificato come parte della vostra catena di fornitura ai fini della NIS2.
Le implicazioni saranno di vasta portata per migliaia di organizzazioni: si stima che interesserà oltre 30 milioni di aziende in tutta Europa.
NIS2 e la gestione dei fornitori
Oltre a ciò, una delle componenti chiave di questa direttiva è l’enfasi sulla gestione del rischio cyber per quanto riguarda i fornitori terzi.
E’ importante capire cosa la NIS2 intenda per “fornitore terzo” e come sia diverso da altri tipi di rapporti commerciali.
Il termine “fornitore terzo” si riferisce a qualsiasi azienda a cui ci si affida per ottenere beni o servizi (esclusi i subappaltatori o i dipendenti).
Quindi una azienda con cui collaborate è definibile “fornitore terzo” se acquistate un prodotto o servizio da loro.
I fornitori sono causa di attacchi
Secondo un recente rapporto di Ponemon Institute, Deloitte e Shared Assessments Program, il 61% di tutte le violazioni informatiche degli ultimi due anni sono state causate direttamente da fornitori terzi.
In altre parole, i fornitori esterni hanno più del doppio delle probabilità di causare violazioni di dati rispetto agli utenti interni. Inoltre, queste violazioni sono spesso causate da problemi di sicurezza che erano stati precedentemente trascurati durante un audit.
Secondo un’indagine di Forrester Consulting Inc. solo il 27% delle organizzazioni effettua valutazioni del rischio dei fornitori e quasi la metà (48%) non ha alcun processo formale per la gestione del rischio di terzi.
Ciò significa che molte aziende operano senza protezioni contro i cyberattacchi provenienti dai propri fornitori, o addirittura senza essere consapevoli che tali attacchi potrebbero verificarsi!
Per questo motivo la Direttiva NIS2 pone un’attenzione particolare all’identificazione e alla mitigazione dei rischi associati a questi fornitori.
Come per qualsiasi altro aspetto della gestione della catena di fornitura, è importante garantire che le terze parti siano gestite correttamente. Spesso, infatti, le terze parti forniscono servizi fondamentali come il magazzino, la logistica e il trasporto.
As with any other aspect of supply chain management, it is important to ensure that third parties are properly managed. This is because third parties often provide key services such as warehousing, logistics, and transportation.
Questi servizi possono essere utilizzati da un’azienda per adempiere agli obblighi previsti dalla Direttiva NIS2, ma possono anche essere utilizzati da criminali informatici che desiderano sfruttare le vulnerabilità della vostra catena di fornitura o rubare i vostri dati.
Per questo motivo la Direttiva NIS2 pone grande attenzione all’identificazione e alla mitigazione dei rischi associati a questi fornitori.
Come iniziare a gestire il rischio informatico dei fornitori
Ma come possono le aziende gestire efficacemente il rischio informatico dei loro fornitori?
Una soluzione è l’utilizzo di una piattaforma di gestione del rischio dei fornitori.
In generale, una piattaforma di gestione del rischio per i fornitori consente alle aziende di stabilire e applicare i requisiti delle policy, di condurre una due diligence sui fornitori, di monitorare la loro conformità a tali policy e standard e di fornire un unico punto di responsabilità per tutte le informazioni pertinenti.
Per lo specifico rischio cyber, le aziende possono utilizzare la piattaforma per valutare e gestire il rischio informatico dei propri fornitori raccogliendo, analizzando e condividendo in modo sicuro i dati provenienti da più fonti.
Ciò consente di ottenere una visione olistica della loro catena di fornitura, compresa l’identificazione delle vulnerabilità a ogni livello.
Conclusioni
La direttiva NIS2 è un passo importante nella lotta contro la criminalità informatica e le violazioni dei dati.
Anche se all’inizio può sembrare opprimente, seguire alcuni semplici passi può aiutare la vostra organizzazione a rimanere al passo con i suoi obblighi e a mitigare i rischi futuri.
Implementando una piattaforma di gestione dei rischi per i fornitori, le aziende possono non solo conformarsi alla direttiva NIS2, ma anche migliorare la sicurezza generale della propria organizzazione. Si tratta di una situazione vantaggiosa per tutti: conformità alle normative e maggiore sicurezza.
Puoi iniziare oggi a valutare il rischio cyber associato ai tuoi fornitori richiedendo l’accesso gratuito alla nostra nuova soluzione: Cyberangels’ Supplier Risk Portal.
