Nonostante la NIS2 sia un argomento assai diffuso su riviste di settore, giornali e podcast, si continua a trascurare fortemente una delle parti più critiche, quella afferente alla catena di fornitura. Vediamo cosa impone la norma ai soggetti essenziali ed importanti.
Di cosa parliamo
Monitorare e gestire la catena di fornitura non è un vezzo, è un’attività critica perché esiste una dipendenza tra la fornitura ed il servizio erogato da un’organizzazione. Si pensi, banalmente, alla mancata erogazione di energia elettrica per un periodo molto prolungato: cosa accadrebbe? Eppure, nonostante la centralità di questo argomento, sono molto poche le organizzazioni che si sono orientate a rispondere prontamente a questa necessità. In questo portale sono stati analizzati alcuni casi, sopra tutti quello di Jaguar-Land Rover che ha bloccato una filiera di fornitura così ingente da costringere l’intervento del governo inglese. In Italia si è parlato del caso ASST Rhodense e non solo, perché colpire la filiera di fornitura produce un danno proporzionato a due elementi:
- Complessità di gestione. Più la catena di fornitura è complessa, maggiori saranno i danni e le ripercussioni sull’oggetto di produzione (sia esso un prodotto o un servizio).
- Costi di gestione. Più la complessità è elevata e più tempo è richiesto per la gestione del danno. All’aumentare del tempo aumentano i costi di gestione che non hanno sempre una crescita “lineare” ma talvolta possono averla esponenziale ai danni arrecati agli utenti finali.
Si sta parlando, quindi, di uno degli aspetti più difficili da gestire che, come vedremo, richiede una preparazione adeguata che parte sin dalle prime fasi contrattuali.
NIS2: cosa prescrive la norma
Normalmente la NIS2 viene accostata a standard internazionali come la ISO27001 e i Critical Security Controls del CIS ma è bene sapere che ACN ha prescritto una serie di Misure di Sicurezza di Base che riguardano esplicitamente il rapporto con i fornitori; si tratta di nove misure di cui 8 in comune per soggetti essenziali e soggetti importanti, ve ne è poi una sola che vale per i soggetti essenziali. Di seguito si riporta una tabella con il codice della misura, il requisito da soddisfare e una sintetica descrizione di quali sono gli obblighi da soddisfare.
| Codice | Descrizione | Requisito | Soggetto impattato |
|---|---|---|---|
| GV.SC-01 | Sono stabiliti e accettati processi e politiche di gestione del rischio di cybersecurity della catena di approvvigionamento 1, 2. | Coinvolgimento dell’organizzazione di sicurezza informatica nei processi di approvvigionamento fin dalla progettazione e definizione di specifici requisiti di sicurezza per la fornitura 1, 2. I soggetti essenziali devono valutare requisiti di sicurezza su numerosi ambiti dettagliati (es. affidabilità, gestione vulnerabilità, continuità operativa, dismissione) 3-5. | Essenziali e Importanti |
| GV.SC-02 | I ruoli e le responsabilità in materia di cybersecurity per fornitori e partner sono stabiliti e comunicati 1, 2. | Definizione, comunicazione interna e tracciamento (tramite inventario del personale) dei ruoli e delle responsabilità di sicurezza informatica assegnati al personale delle terze parti 1, 2. | Essenziali e Importanti |
| GV.SC-04 | I fornitori sono noti e prioritizzati in base alla criticità 1, 2. | Mantenimento di un inventario aggiornato dei fornitori che hanno potenziali impatti sulla sicurezza, indicando contatti dei referenti e tipologia di fornitura 1, 2. | Essenziali e Importanti |
| GV.SC-05 | I requisiti per affrontare i rischi nella catena di approvvigionamento sono integrati nei contratti 1, 2. | Fatte salve motivate eccezioni, vi è l’obbligo di inserire i requisiti di sicurezza stabiliti all’interno di richieste di offerta, bandi di gara, contratti, accordi e convenzioni 1, 2. | Essenziali e Importanti |
| GV.SC-07 | I rischi posti da un fornitore o da terze parti sono compresi, valutati, trattati e monitorati 1, 2. | Valutazione documentata del rischio associato alle forniture (esaminando livello di accesso, proprietà intellettuale, impatto di interruzione, tempi di ripristino) e verifica periodica della conformità della fornitura ai requisiti contrattuali 1, 2. | Essenziali e Importanti |
| ID.AM-04 | Sono mantenuti gli inventari dei servizi erogati dai fornitori 1, 2. | Mantenimento di un inventario aggiornato specificamente per tutti i servizi informatici erogati dai fornitori, inclusi i servizi cloud 1, 2. | Essenziali e Importanti |
| ID.RA-05 (Punto 1) | Minacce e impatti sono utilizzati per comprendere il rischio e informare la risposta 1, 2. | La valutazione generale del rischio di cybersecurity eseguita e documentata dall’organizzazione deve includere esplicitamente le dipendenze da fornitori e partner terzi 1, 2. | Essenziali e Importanti |
| ID.RA-08 (Punto 5) | Sono stabiliti processi per l’analisi e la risposta alle divulgazioni di vulnerabilità 1. | Obbligo di monitorare costantemente i canali di comunicazione dei fornitori del software ritenuto critico, al fine di acquisire e rispondere alle informazioni sulle nuove vulnerabilità 1. | Solo Essenziali |
Può essere utile esaminare e riflettere su alcune di queste misure, raccomandando di visionare la documentazione ufficiale per mantenersi costantemente aggiornati. Saranno quindi presi in esame le misure di Governo (GV) e di Identificazione (ID) e i requisiti propri di supply chain (SC) di risk assessment (RA).
GV.SC-01
Il coinvolgimento dell’organizzazione nei processi di approvvigionamento fin dalla progettazione e definizione di specifici requisiti di sicurezza per la fornitura, è esattamente quello a cui si stava facendo riferimento. In una vera ottica di security by design è essenziale dimostrare che la filiera dei fornitori sia stata progettata e realizzata con la dovuta attenzione e questo implica, chiaramente, che tali evidenze siano presenti a livello contrattuale.
GV.SC-05
La misura impone l’obbligo di inserire i requisiti di sicurezza stabiliti all’interno di richieste di offerta, bandi di gara, contratti, accordi e convenzioni. Questi requisiti di sicurezza, tuttavia, non sono limitati solo alla modalità di gestione delle criticità ma anche alla gestione dei flussi di comunicazione durante l’incidente; la comunicazione può avere scopo formativo ma anche scopo informativo e questo non deve essere sottovalutato. In questo sito si è spesso rimarcata l’importanza di progettare adeguatamente i contratti di fornitura e i bandi di gara, suggerendo di attuare una revisione contrattuale con legali adeguati a questo scopo al fine di avviare un processo di normalizzazione dei contratti e della fornitura.
GV.SC-07
È fondamentale la creazione di un’analisi del rischio associato alle forniture che includa anche quelli posti da un fornitore o da terze parti. È fondamentale soprattutto considerando che spesso non si può intervenire sui sistemi del fornitore perché di terze parti!
ID.RA-08
La misura stabilisce l’obbligo di monitorare costantemente i canali di comunicazione dei fornitori del software ritenuto critico, al fine di acquisire e rispondere alle informazioni sulle nuove vulnerabilità e pertanto realizza quanto previsto dalla precedente GV.SC-05. È bene chiarire che, benché il punto 5 della misura sia presente esclusivamente tra le misure di sicurezza di base dei soggetti essenziali, la presenza di flussi di comunicazione e informazione nei contratti è necessaria anche per i soggetti importanti. Lo dimostra il punto 1 che afferma quanto segue:
Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire, analizzare e rispondere alle informazioni sulle vulnerabilità. (Misura: ID.RA-08, punto 1)
Mentre il punto 5, previsto solo per i soggetti essenziali, impone quanto segue:
Ai fini di cui al punto 1, sono monitorati anche i canali dei fornitori del software ritenuto critico. (Misura: ID.RA-08, punto 5)
Ne consegue che, fondamentalmente, l’azienda deve dimostrare di possedere almeno flussi di monitoraggio informativo provenienti dallo CSIRT Italia, nonché dai CERT e dagli ISAC settoriali.
Approcci, origini e standard
È quindi lampante che il controllo della sicurezza della catena di fornitura non è facoltativo per i soggetti NIS2, anzi è costellato di obblighi importanti e molto significativi. È certamente possibile raggiungere questi obiettivi attraverso altri standard e altre metodologie (si citavano prima i Critical Security Controls) che, soprattutto la P.A., dovrebbe aver già implementato. Si ricorda, infatti, che la Circolare 2/2017 di AgID recante le “Misure Minime di Sicurezza ICT per la P.A.” prevede regole tecniche di compatibilità essendo basata sui Critical Security Controls (seppur in versione 6, giugno 2016). Si tenga altresì presente che tutte queste misure discendono dal più esteso Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP) che prevede misure specifiche, di cui si riportano alcuni esempi.
| Codice | Misura |
|---|---|
| GV.RM-05 | Sono stabiliti canali di comunicazione in tutta l’organizzazione per il rischio di cybersecurity, incluso il rischio derivante dai fornitori e da altre terze parti. |
| GV.SC-02 | I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente. |
| GV.SC-05 | I requisiti per affrontare i rischi di cybersecurity nella catena di approvvigionamento sono stabiliti, prioritizzati e integrati nei contratti e in altri tipi di accordi con i fornitori e altre terze parti rilevanti. |
| GV.SC-06 | Pianificazione e due diligence sono svolte per ridurre i rischi prima di intraprendere rapporti formali con i fornitori o altre terze parti. |
| GV.SC-07 | I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione. |
Ce ne sarebbero molti altri da analizzare ma lo scopo del presente articolo è illustrare al lettore come la normativa abbia stabilito con molta precisione i passi da intraprendere per la conformità. La modalità con cui l’organizzazione intende soddisfare questi requisiti è libera, seppur consigliata dallo stesso FNCDP, vale la pena analizzare proprio l’interazione tra una di queste misure e lo standard alla base della Circolare 2/2017, i Critical Security Controls.
Un esempio d’interazione
Nel Framework Nazionale di Cybersicurezza e Data Protection l’ultima colonna contiene i riferimenti normativi nei quali sono contenuti standard, circolari, direttive e normative nazionali, europee e internazionali. Nel caso della misura GV.SC-06, ad esempio, il FNCDP suggerisce vari riferimenti normativi tra cui la salvaguardia 15.5 dei CSC 8, vediamo cosa significa.
| FNCDP | CSC 8 |
|---|---|
| Pianificazione e due diligence sono svolte per ridurre i rischi prima di intraprendere rapporti formali con i fornitori o altre terze parti. [Misura GV.SC-06] | Valutare i fornitori di servizi in conformità con la politica aziendale di gestione dei fornitori di servizi. L’ambito della valutazione può variare in base alla classificazione e può includere la revisione di report di valutazione standardizzati, come Service Organization Control 2 (SOC 2) e Payment Card Industry (PCI) Attestation of Compliance (AoC), questionari personalizzati o altri processi adeguatamente rigorosi. Rivalutare i fornitori di servizi almeno una volta all’anno, o in occasione di nuovi contratti e rinnovi. [Salvaguardia 15.5] |
È quindi palese che vi è coerenza tra ciò che attesta lo standard CSC 8 con quanto affermato nella GV.SC-06 del FNCDP. È bene precisare che la misura GV.SC-06 può essere soddisfatta anche con altri standard: la ISO 27001 non è elencata all’interno dei riferimenti informativi del FNCDP ma è comunque in grado di offrire opportune garanzie perché prevede clausole specifiche per il monitoraggio e la regolamentazione dell’attività dei fornitori.
Conclusioni
Come si è tentato di dimostrare, la normativa vigente prevede una serie di obblighi afferenti ai soggetti NIS2 importanti ed essenziali, legati alla gestione della catena di fornitura. Questi obblighi iniziano dalla fase di progettazione e contrattualizzazione e quindi ben prima della fase di erogazione vera e propria. Sono obblighi che coprono diversi scopi: uno formativo, uno informativo e certamente uno di carattere gestionale/operativo. Vanno concordati con il fornitore che, certamente, può offrire strumenti e metodologie per arricchire la sua offerta ma deve prevedere flussi bi-direzionali: dal fornitore all’organizzazione ma anche dall’organizzazione al fornitore.
