NIS2 e DORA: la gestione delle terze parti in sicurezza, fra conformità e buone pratiche

“Le terze parti che vorrei, sono quelle cyber sicure”: è stato questo il mood della tavola rotonda organizzata dal Clusit durante il Security Summit 2025 edizione romana dedicata proprio alla gestione delle terze parti e alla loro postura di sicurezza.

I rappresentanti C-level di entità finanziarie e aziende industriali sono alle prese con la conformità agli obblighi della direttiva NIS2 e del Digital Operational Resilience Act (DORA) e sul tema delle terze parti: in particolare, sono chiamati a instaurare un’appropriata serie di azioni verso i fornitori affinché questi ultimi abbiano una postura di sicurezza (persone, processi, tecnologie/asset) appropriata al servizio svolto per la committente e, allo stesso tempo, si facciano parte attiva di un ecosistema sicuro con i loro subfornitori.

L’obiettivo è chiaro: arrivare ad un tale livello di immunità di gregge per ogni ecosistema di mercato, così da garantire la sicurezza di intere filiere produttive.

Misure NIS per la sicurezza delle terze parti

Per gli adempimenti relativi alle terze parti è il Prefetto Milena Antonella Rizzi, Capo Servizio Regolazione dell’Agenzia per la Cybersicurezza Nazionale che spiega come “fra le misure di sicurezza di base da approntare secondo la NIS2 per coloro che vi sono soggetti ci sono anche le misure di supply chain security ovvero di sicurezza della catena di fornitura, da mettere sotto controllo. A tali attività è correlato il relativo processo di procurement per i contratti da stipulare fra il soggetto NIS e i suoi fornitori”.

Le misure di sicurezza sui fornitori sono cinque: inventario dei fornitori, verifiche e audit periodici, monitoraggio delle attività, adozione di misure di sicurezza per l’accesso di terze parti o per l’interazione di tali terze parti, formazione e sensibilizzazione.

“I principi fondanti di questi approcci di messa in sicurezza”, evidenzia il prefetto Rizzi, “sono la modalità basata suk rischio e l’attenzione alle forniture per verificare il contesto di impiego. Entrambe sono stati il risultato di una azione di concertazione fra più parti per recepire esigenze e acquisire informazioni, così da far crescere una abitudine al confronto senza timore dell’autorità”.

Gli obblighi del settore finanziario

Sul fronte del settore finanziario è il DORA il riferimento normativo principale anche se è bene ricordare che NIS2 e DORA sono complementari come approcci, ma vi sono alcune differenze illustrate da Massimo D’alesio, ICT Compliance, Mediocredito Centrale, che ha chiarito come “nonostante le banche rappresentino servizi altamente critici in ottica NIS,2 gli adempimenti DORA sostituiscono quelli della NIS2 anche se restano alcuni obblighi: iscrizione al portale ACN, la definizione di un soggetto ‘punto di contatto’, la notifica incidenti gravi di sicurezza che vanno comunicati al CSIRT nazionale e al CERT di Banca d’Italia”.

Si ricorda che l’intero settore finanziario è obbligato ai dettami del DORA (ovvero tutti gli enti bancari, assicurativi e tutte le entità ben definite dal decreto di recepimento della DORA Decreto Legislativo 10 marzo 2025, n. 23) che richiede la resilienza operativa digitale di fronte a qualsiasi problema potenziale.

E poiché molto servizi finanziari o operativi sono regolati da terze parti proprio il DORA dedica il capo 5 a fornitori di terze parti e ai fornitori critici.

È richiesto il censimento dei fornitori, dei contratti per ogni fornitore, la gestione del cambiamento, ed eventualmente della fuoriuscita di quel fornitore senza intaccare l’operatività dell’entità finanziaria.

Le informazioni sui fornitori posso anche dare evidenza di situazioni da “vendor lock in” (che si verifica quando un’organizzazione è fortemente dipendente da uno specifico fornitore per un prodotto o un servizio, rendendo difficile o costoso passare a un concorrente).

La stipula dei contratti può avvenire se e solo se i fornitori si dimostrano sicuri sul profilo della cyber sicurezza rispondendo ad alcune caratteristiche che sebbene contenute nelle clausole contrattuali sono anche da monitorare e verificare periodicamente a mezzo audit. Massimo d’Alesio spiega che “verso i fornitori il modello ‘set and forget’ non funziona. Anzi oltre a monitorare il fornitore relativamente a quanto ha dichiarato in termini di sicurezza è utile effettuare anche un asset inventory”.

Se si tiene conto che DORA classifica 19 tipologie di servizi e per ciascuno è necessario avere la tenuta sotto controllo del contratto o dei fornitori coinvolti, è facile calcolare la complessità di questa azione dedicata all’ecosistema di fornitura.

Gianvincenzo Fedele, Responsabile IT Strategy & Governance, Banca CF+ aggiunge un elemento ulteriore alla complessità di tenuta sotto controllo dei fornitori in base ai servizi che erogano alla banca: “le difficoltà maggiori” spiega, “sono nel dialogo. A volte si fa fatica a farsi capire. Invece nella sicurezza bisognerebbe la stessa lingua. In questo momento però gli obblighi di conformità ci aiutano in questo processo”.

Spunti di miglioramento nella gestione delle terze parti

Dove invece si procede con difficoltà e dove forse il regolatore potrebbe essere maggiormente incisivo è nel rapporto con i big vendor, le big tech, che solitamente sono restie ad adattarsi ai dettami dei singoli paesi tanto da garantire la loro postura in base alla loro baseline di security e limitando la disponibilità ad adeguarsi ai singoli recepimenti normativi di ogni paese.

In questi casi, testimonia Gianvincenzo Fedele, “si è costretti a fare un’analisi del rischio per il servizio imposto da quel vendor alle sue condizioni. L’esito può portare a introdurre misure compensative del rischio, oppure a dover cercare altrove perché purtroppo fino ad oggi i big vendor non si adeguano”.

Un ulteriore punto di stimolo verso il legislatore lo fornisce Letizia Macri, Corporate e compliance manager AVIO, che, oltre all’introduzione di clausole contrattuali formali, controlli, monitoraggi, audit e formazione, sottolinea come “si renda necessario accompagnare i fornitori verso la compliancy. Le aziende più grandi possono contribuire ad alfabetizzare ma i fornitori specie i più piccoli non hanno risorse da investire e allora forse una misura di detassazione per considerare il vantaggio degli investimenti in cyber security e compliance normativa in proposito, potrebbe essere un sostegno concreto e una azione non solo formale, ma anche sostanziale”.