Direttiva NIS 2: le implicazioni sulla sicurezza della supply chain

Direttiva NIS2: le implicazioni sulla sicurezza della supply chain in un'epoca di digitalizzazione accelerata

L'era contemporanea, caratterizzata da una digitalizzazione senza precedenti e da un'adozione sempre più massiccia delle tecnologie cloud, ha subito un'accelerazione inaspettata a causa della pandemia di COVID-19. Tale rapida evoluzione ha portato con sé una serie di sfide inedite nel campo della sicurezza cibernetica, mettendo spesso in evidenza criticità e vulnerabilità diffuse nel contesto delle strutture informatiche delle Organizzazioni. Una delle minacce emergenti più preoccupanti per le imprese moderne è rappresentata, in particolar modo, dagli attacchi alla c.d. supply chain. Infatti, nonostante un'Organizzazione possa avere protocolli di sicurezza interna di alto livello, la presenza di un fornitore terzo con standard di sicurezza meno rigorosi può rappresentare un potenziale varco per gli attaccanti. Tali considerazioni, del resto, hanno trovato puntuale concretizzazione in episodi di attacchi informatici verificatesi nel recente passato. A titolo esemplificativo, si fa riferimento all'incidente di sicurezza occorso a SolarWinds, azienda fornitrice di soluzioni per la gestione di reti di terze parti, in cui l'attacco è conseguito ad una compromissione del software proprietario Orion. L'attaccante – utilizzando un malware denominato SUNBURST come componente malevolo all'interno di un aggiornamento del suddetto software – è riuscito ad accedere all'interno delle reti e infrastrutture delle vittime, esfiltrando dati, aumentando i privilegi e, come ogni kill chain che si rispetti, attuando lateral movements funzionali alla propagazione dell'infezione e garantendosi persistenza attraverso l'utilizzo della tecnica c.d. Golden SAML, del tutto inedita. Come sottolineato dall'azienda di cybersicurezza russa Kaspersky, SUNBURST non agiva da solo, ma le sue funzionalità beneficiavano del contributo di una backdoor già identificata e conosciuta come KAZUAR, nonché di altri due malware denominati SUNSPOT e TEARDROP.

Nel contesto europeo, la risposta alle suddette sfide legate alla catena di fornitura si è concretizzata, tra l'altro, con l'emanazione della recente Direttiva 2022/2555 sulla sicurezza delle reti e delle informazioni (NIS2). Tale norma, concepita per affrontare le minacce emergenti e garantire una maggiore resilienza delle infrastrutture critiche, rappresenta un avanzamento significativo nella normativa europea sulla sicurezza cibernetica. Analogamente al noto Regolamento Generale sulla Protezione dei Dati (GDPR), la NIS2 ha una portata che va oltre i confini dell'Unione Europea. Infatti, ogni impresa che svolge attività nell'UE, indipendentemente dalla sua sede legale, dovrà adeguarsi ai nuovi standard e requisiti stabiliti dalla direttiva.

Ebbene, la NIS2 pone un'enfasi particolare sulla gestione dei rischi associati alla supply chain. Le Organizzazioni sono infatti chiamate a monitorare costantemente la loro catena di fornitura, identificando e affrontando problemi critici come sistemi non aggiornati o carenze nell'igiene informatica. Questo approccio proattivo è essenziale per garantire che le Organizzazioni possano rispondere prontamente e in modo efficace alle minacce emergenti, riducendo al contempo il rischio di compromissioni gravi e potenzialmente dannose.

Normativa e ripercussioni sulla sicurezza della supply chain

La Direttiva 2022/2555 (NIS2) rappresenta dunque un'evoluzione normativa significativa nell'ambito della sicurezza cibernetica all'interno dell'Unione Europea. In aggiunta a quanto già accennato in precedenza, tale norma si innesta in un set normativo che il Legislatore europeo ha inteso produrre negli ultimi anni in risposta alle sfide emergenti nel panorama digitale e introduce una serie di obblighi rinnovati e misure di gestione del rischio, mirando a garantire una maggiore resilienza delle infrastrutture critiche e una protezione efficace dei dati. Di fatti, ad oggi, oltre alla NIS2, l'elenco delle normative europee rilevanti comprende, e.g., il c.d. Cybersecurity Act (Regulation (EU) 2019/881), il Regolamento DORA (Regulation (EU) 2022/2554) e la proposal c.d. Cyber Resilience Act.

Uno degli aspetti distintivi della NIS2 è costituito dall'ampliamento del suo campo di applicazione. Mentre in precedenza spettava agli Stati membri determinare le specifiche Organizzazioni e settori rientranti nell'ambito della direttiva, la NIS2 estende la sua copertura a settori ritenuti fondamentali per la stabilità e il funzionamento dell'Unione. Questi includono settori come l'energia, i trasporti, la finanza, la salute, l'infrastruttura digitale e l'amministrazione pubblica. Questa espansione riflette la crescente interdipendenza e complessità delle reti digitali e la necessità di garantire una protezione omogenea e coerente in tutta l'UE.

Oltre a ciò, uno degli aspetti più rilevanti e innovativi della NIS2 riguarda proprio la gestione dei rischi legati alla supply chain . Si è già evidenziato che incidenti come quello di SolarWinds e altri eventi simili risultano essere la prova che consente di qualificare la supply chain come “l'anello più debole” nella catena di sicurezza di un'Organizzazione. Ciò premesso, la NIS2 risulta essere sensibile alle conseguenti esigenze di protezione in ottica cybersecurity, imponendo alle Organizzazioni l'obbligo di monitorare proattivamente la loro catena di fornitura. Tale monitoraggio, per di più, non può e non deve limitarsi alla semplice identificazione di potenziali rischi, ma richiede un'analisi approfondita per prioritizzare e affrontare problemi critici, come sistemi obsoleti o mancanza di protocolli di sicurezza adeguati.

In caso di identificazione di lacune o vulnerabilità, la NIS2 sottolinea l'importanza di un intervento tempestivo. Le Organizzazioni sono tenute a contattare direttamente il fornitore terzo interessato, collaborando strettamente con quest'ultimo per porre in essere le azioni di mitigazione e contenimento che garantiscano una risoluzione efficace del problema. Questo approccio collaborativo è essenziale per garantire che le misure di sicurezza siano implementate in modo omogeneo lungo l'intera catena di fornitura, riducendo il rischio di potenziali compromissioni.

NIS2 e la connessione con la sicurezza della supply chain

Una delle peculiarità distintive della Direttiva NIS2 è costituita dalla rilevante importanza conferita alla salvaguardia della supply chain. Risulta difatti ormai chiaro che, nel panorama moderno, caratterizzato da un'economia globalizzata e da un ecosistema digitale sempre più integrato, le Organizzazioni si trovano spesso in una situazione di interdipendenza nei confronti dei loro fornitori. Questa interdipendenza non si manifesta solo in termini di prodotti fisici, ma anche in relazione a servizi, piattaforme digitali e flussi di dati. Di conseguenza, una compromissione informatica o un'interruzione in qualsiasi punto della catena di fornitura può avere ripercussioni immediate e profonde sulla continuità operativa e sul valore dell'Organizzazione principale.

L'approccio prescritto dalla NIS2 per affrontare tale problematica si distingue per la sua architettura multi-livello nell'analisi del rischio. Questa struttura stratificata, pur essendo complessa, rappresenta un equilibrio tra la necessità di una valutazione rigorosa e la flessibilità operativa.

Al vertice di questa struttura, l'analisi transnazionale mira a fornire un quadro omogeneo dei rischi emergenti a livello dell'intera Unione Europea. Tale visione armonizzata delle potenziali minacce e vulnerabilità ha l'obiettivo di facilitare la definizione di linee guida e strategie comuni, assicurando che gli Stati membri procedano con un approccio concertato e sinergico nella mitigazione dei rischi.

Tuttavia, pur nella sua aspirazione all'uniformità, la NIS2 mostra saggezza nel riconoscere che ogni Stato membro presenta un contesto unico, con sfide e vulnerabilità specifiche. Di conseguenza, viene data discrezionalità agli Stati nell'interpretazione e nell'applicazione della direttiva, permettendo un adattamento alle singolarità nazionali e regionali.

Alla base di questa struttura, il terzo e ultimo livello dell'analisi pone l'attenzione sull'entità organizzativa. Come stipulato nell'art. 21(2)(d) della NIS2, si esige dalle Organizzazioni un esame meticoloso dei rischi associati alla propria catena di fornitura. Questa valutazione microscopica esplora ogni fornitore, sondando la robustezza, la preparazione e la resilienza delle sue misure di sicurezza cibernetica.

In sostegno di una gestione ottimale dei rischi, la NIS2 formula raccomandazioni chiare per le Organizzazioni. Si promuove, ad esempio, l'adozione di una serie di procedure rigorose: dal compiere valutazioni dettagliate dei fornitori, al condurre processi di due diligence, fino alla stipulazione di accordi SLA con requisiti di sicurezza ben delineati. Inoltre, enfatizza la necessità di educare e sensibilizzare i dipendenti, affinché possano riconoscere, prevenire e rispondere efficacemente ai rischi associati alla supply chain.

Conclusioni

A conclusione di questa breve disamina, è indubbia la considerazione secondo cui la Direttiva NIS2 rappresenta indubbiamente un'evoluzione significativa nella promozione della sicurezza cibernetica all'interno dell'Unione. La suddetta normativa non solo rafforza le misure esistenti, ma introduce anche nuovi obblighi e responsabilità per le Organizzazioni, con un'enfasi particolare sulla gestione dei rischi associati alla supply chain.

Occorre prendere coscienza della circostanza secondo cui le minacce alla sicurezza cibernetica sono in continua evoluzione, e gli attacchi alla supply chain sono diventati una delle principali preoccupazioni per le Organizzazioni moderne. Come evidenziato dall'incidente di SolarWinds e da altri attacchi simili, anche le Organizzazioni con solide misure di sicurezza interne possono infatti essere vulnerabili se uno dei loro fornitori terzi viene compromesso.

La NIS2 riconosce questa realtà e, pertanto, ha introdotto specifiche disposizioni relative alla sicurezza della supply chain. Si sottolinea nuovamente l'art. 21(2)(d) NIS2, secondo cui i soggetti che rientrano nell'ambito soggettivo di applicazione della norma sono tenuti a implementare misure appropriate per garantire la sicurezza della catena di fornitura. Questo include la valutazione delle vulnerabilità specifiche di ciascun fornitore e la qualità complessiva delle loro pratiche di sicurezza cibernetica.

Per completezza di analisi, va da ultimo sottolineato che la NIS2 introduce sanzioni significative per le Organizzazioni che non rispettano i suoi requisiti. La mancata conformità può portare a multe sostanziali fino a €10 milioni o al 2% del fatturato totale dell'entità a livello mondiale, a seconda di quale importo sia maggiore.

Diventa dunque essenziale che le Organizzazioni riconoscano l'importanza di una collaborazione stretta e continua con i loro fornitori terzi. La sicurezza cibernetica non può essere vista come una responsabilità isolata di un'Organizzazione, ma configurarsi piuttosto come una responsabilità condivisa che si estende attraverso l'intera catena di fornitura.

In conclusione, se da un lato la NIS2 rappresenta un passo avanti significativo nella promozione della sicurezza cibernetica, le Organizzazioni non devono esimersi dal porre in essere un atteggiamento proattivo, adottando le misure necessarie per garantire la conformità e, soprattutto, proteggendo i loro asset e dati da potenziali minacce. La sicurezza cibernetica, in questi termini, non è solo una questione di conformità normativa, ma si configura quale necessità fondamentale per garantire la resilienza e la continuità delle operazioni in un mondo sempre più digitalizzato.