Accedi

Condividi
Condividi

L’importanza della gestione dei rischi cyber dei fornitori nell’era della NIS2

L’attuazione della direttiva NIS2 è entrata pienamente in vigore e avrà un forte impatto sul modo in cui le aziende dovranno gestire il rischio dei fornitori nei prossimi anni.

La direttiva è in lavorazione dal 2016, quando è stata proposta per la prima volta dal vicepresidente della Commissione Europea Andrus Ansip e dalla commissaria per il Mercato Unico Digitale Mariya Gabriel nel corso di un intervento a un evento ospitato dal European Economic and Social Committee (EESC). Nella loro presentazione, Ansip e Gabriel hanno delineato la loro visione di una versione aggiornata della Network Information Security Directive (NISD), che era stata attuata nel 2010 ma non era particolarmente efficace perché mancava di un meccanismo di conformità.

Gli impatti della NIS2 sulle piccole e medie imprese

La Direttiva NIS2 mira a migliorare la sicurezza dei sistemi informativi e delle reti dell’UE.

Richiede alle aziende che forniscono servizi essenziali di implementare un “sistema completo” per la gestione del rischio, che comprenda:

  • Persone (dipendenti)
  • Asset fisici (computer, server, ecc.)
  • Sistemi e dati

Inoltre, richiede che tutte le aziende stabiliscano un processo di gestione del rischio della propria catena di approvvigionamento.

Ciò significa che ogni azienda che opera nell’UE deve avere una strategia chiara per lavorare con fornitori terzi.

La Direttiva si applica a tutte le aziende (comprese le banche) che utilizzano prodotti o servizi di terzi nell’ambito delle loro attività quotidiane.

L’esempio più comune è l’acquisto di sistemi informatici da un’altra azienda, ma gli esempi sono molti di più. Oltre ai computer, potreste utilizzare anche software o servizi cloud forniti da altre aziende: tutto ciò che viene acquistato direttamente da queste ultime viene classificato come parte della vostra catena di fornitura ai fini della NIS2.

Le implicazioni saranno di vasta portata per migliaia di organizzazioni: si stima che interesserà oltre 30 milioni di aziende in tutta Europa.

NIS2 e la gestione dei fornitori

Oltre a ciò, una delle componenti chiave di questa direttiva è l’enfasi sulla gestione del rischio cyber per quanto riguarda i fornitori terzi.

E’ importante capire cosa la NIS2 intenda per “fornitore terzo” e come sia diverso da altri tipi di rapporti commerciali.

Il termine “fornitore terzo” si riferisce a qualsiasi azienda a cui ci si affida per ottenere beni o servizi (esclusi i subappaltatori o i dipendenti).

Quindi una azienda con cui collaborate è definibile “fornitore terzo” se acquistate un prodotto o servizio da loro.

I fornitori sono causa di attacchi

Secondo un recente rapporto di Ponemon Institute, Deloitte e Shared Assessments Program, il 61% di tutte le violazioni informatiche degli ultimi due anni sono state causate direttamente da fornitori terzi.

In altre parole, i fornitori esterni hanno più del doppio delle probabilità di causare violazioni di dati rispetto agli utenti interni. Inoltre, queste violazioni sono spesso causate da problemi di sicurezza che erano stati precedentemente trascurati durante un audit.

Secondo un’indagine di Forrester Consulting Inc. solo il 27% delle organizzazioni effettua valutazioni del rischio dei fornitori e quasi la metà (48%) non ha alcun processo formale per la gestione del rischio di terzi.

Ciò significa che molte aziende operano senza protezioni contro i cyberattacchi provenienti dai propri fornitori, o addirittura senza essere consapevoli che tali attacchi potrebbero verificarsi!

Per questo motivo la Direttiva NIS2 pone un’attenzione particolare all’identificazione e alla mitigazione dei rischi associati a questi fornitori.

Come per qualsiasi altro aspetto della gestione della catena di fornitura, è importante garantire che le terze parti siano gestite correttamente. Spesso, infatti, le terze parti forniscono servizi fondamentali come il magazzino, la logistica e il trasporto.

As with any other aspect of supply chain management, it is important to ensure that third parties are properly managed. This is because third parties often provide key services such as warehousing, logistics, and transportation.

Questi servizi possono essere utilizzati da un’azienda per adempiere agli obblighi previsti dalla Direttiva NIS2, ma possono anche essere utilizzati da criminali informatici che desiderano sfruttare le vulnerabilità della vostra catena di fornitura o rubare i vostri dati.

Per questo motivo la Direttiva NIS2 pone grande attenzione all’identificazione e alla mitigazione dei rischi associati a questi fornitori.

Come iniziare a gestire il rischio informatico dei fornitori

Ma come possono le aziende gestire efficacemente il rischio informatico dei loro fornitori?

Una soluzione è l’utilizzo di una piattaforma di gestione del rischio dei fornitori.

In generale, una piattaforma di gestione del rischio per i fornitori consente alle aziende di stabilire e applicare i requisiti delle policy, di condurre una due diligence sui fornitori, di monitorare la loro conformità a tali policy e standard e di fornire un unico punto di responsabilità per tutte le informazioni pertinenti.

Per lo specifico rischio cyber, le aziende possono utilizzare la piattaforma per valutare e gestire il rischio informatico dei propri fornitori raccogliendo, analizzando e condividendo in modo sicuro i dati provenienti da più fonti.

Ciò consente di ottenere una visione olistica della loro catena di fornitura, compresa l’identificazione delle vulnerabilità a ogni livello.

Conclusioni

La direttiva NIS2 è un passo importante nella lotta contro la criminalità informatica e le violazioni dei dati.

Anche se all’inizio può sembrare opprimente, seguire alcuni semplici passi può aiutare la vostra organizzazione a rimanere al passo con i suoi obblighi e a mitigare i rischi futuri.

Implementando una piattaforma di gestione dei rischi per i fornitori, le aziende possono non solo conformarsi alla direttiva NIS2, ma anche migliorare la sicurezza generale della propria organizzazione. Si tratta di una situazione vantaggiosa per tutti: conformità alle normative e maggiore sicurezza.

Puoi iniziare oggi a valutare il rischio cyber associato ai tuoi fornitori richiedendo l’accesso gratuito alla nostra nuova soluzione: Cyberangels’ Supplier Risk Portal.

RISORSE PER TE

Scarica la Guida Omaggio

Nella nostra guida imparerai come mettere in sicurezza una piccola o media impresa, dal punto di vista informatico e come proteggerti dagli attacchi su internet.

Articoli correlati

Poste Italiane e Cyberangels: Una Collaborazione per il Futuro Digitale dell’italia

L’Eroe contro il Cattivo: come le PMI possono evitare errori di sicurezza informatica nello sviluppo di applicazioni Web

E' la storia di un nostro cliente, una piccola società di consulenza del settore farmaceutico, e di come si è trovata in difficoltà dopo aver sviluppato un'applicazione web per fornire servizi tecnici ai propri clienti

L’importanza della gestione dei rischi cyber dei fornitori nell’era della NIS2

The implementation of the NIS2 Directive is now live —and it will have a strong impact on how companies manage supplier risk in the coming years.

La tua azienda finalmente protetta e sicura.

Offriamo protezione e assicurazione personalizzata sulla tua azienda e sul tuo livello di rischio.
Registrazione gratuita.

Contattaci per maggiori informazioni