In passato, alcuni dei più grandi attacchi informatici sono stati possibili a causa di vulnerabilità nella supply chain sfruttate abilmente da organizzazioni criminali. Questi attacchi hanno poi avuto un effetto devastante sulle aziende connesse e il loro eco-sistema aziendale originando giorni di fermo di produzione e perdite in fatturato e reputazione.

Oggi la legge dice: la contaminazione esterna è anche una tua responsabilità. La normativa NIS2 obbliga le aziende a responsabilizzarsi per tutta la loro supply chain (catena di approvvigionamento). La normativa espone le disposizioni NIS2 riguardanti la Supply Chain nell’articolo 21(2)(d). Dichiara che ogni azienda “essenziale” e “importante” è obbligata ad implementare misure tecniche, operative e organizzative appropriate e proporzionate per garantire la sicurezza della catena di approvvigionamento (coordinated risk assessment).

Anche i partner della supply chain devono quindi conformarsi alla NIS2 se sono connesse ad un’organizzazione o azienda essenziale o importante.

Pertanto, anche se un’azienda non è attiva in uno dei settori critici o se ha meno di 50 dipendenti e quindi non è considerata “essenziale” o “importante”,  deve comunque essere compliant al NIS2 in base al fatto che pone un rischio per le aziende connesse che invece rientrano nel NIS2. Inoltre, se l’azienda lavora nel digitale, rientra automaticamente nella normativa.

Valutare il rischio d’esposizione dei fornitori

Di seguito ti indichiamo i 17 punti fondamentali da valutare per determinare il profilo di rischio dei fornitori nel contesto di NIS2 Supply Chain:

• Identificare il tipo di dati trattati: In base al business dell’azienda i dati trattati cambiano e con esso il grado di “sensibilità” e la natura dei dati. Prima di qualsiasi altra considerazione occorre stabilire quali dati sono i più “sensibili” che tratta la tua azienda.
• Identificare i fornitori rilevanti: Elabora un elenco di tutti i fornitori che hanno accesso alla tua rete che forniscono servizi che potrebbero influenzare la sicurezza delle reti e dei sistemi informativi della tua azienda. Qui sono compresi sia i fornitori digitali che quelli non digitali.
• Classificare i fornitori: Priorizza i fornitori in base al livello di rischio che rappresentano per la tua azienda. Si dovrebbero utilizzare diversi elementi, come l’importanza dei servizi che forniscono, la sensibilità dei dati che gestiscono e l’entità dell’accesso alle tue reti e ai sistemi aziendali.
• Valutazione del rischio: Conduci un’attenta valutazione dei rischi per ogni fornitore per identificare potenziali vulnerabilità, minacce e rischi per le reti e i sistemi informativi della tua azienda.
• Requisiti di sicurezza: Stabilisci requisiti e standard di sicurezza chiari che i fornitori devono rispettare per garantire la sicurezza delle reti e dei sistemi informativi della tua organizzazione ed obbliga i fornitori a garantire l’osservanza delle regole.
• Valutazione del fornitore: Valuta il rispetto dei fornitori dei requisiti di sicurezza stabiliti attraverso mezzi idonei, come questionari, interviste, valutazioni in azienda e audit tecnici di terze parti.
• Obblighi contrattuali: Incorpora i requisiti di sicurezza nei contratti commerciali e negli accordi con i fornitori per formalizzare il loro impegno alla sicurezza.
• Monitoraggio e conformità: Monitora continuamente la conformità dei fornitori ai requisiti di sicurezza e agli obblighi contrattuali attraverso valutazioni, audit e revisioni regolari. I tuoi partner commerciali sono l’estensione della tua mano e devi sapere cosa succede.
• Azioni di correzione e miglioramento: Adotta misure correttive (e punitive) per affrontare eventuali non conformità o lacune di sicurezza identificate. Obbliga i partner a comunicarti tempestivamente eventuali incidenti informatici che potrebbero coinvolgerti.
• Documentazione e reporting: Elabora e aggiorna una documentazione completa delle valutazioni dei fornitori e dei progressi per garantire la conformità con NIS2.
• Revisione periodica: Stabilisci un programma di revisione periodica per valutare l’efficacia delle misure di sicurezza implementate dai fornitori nel tempo.
• Formazione e consapevolezza: Assicurati che i fornitori siano adeguatamente formati e consapevoli delle best practice di sicurezza informatica per prevenire incidenti in base ai dati che trattate nella vostra collaborazione.
• Gestione degli incidenti: Verifica che i fornitori abbiano un piano di risposta agli incidenti efficace per gestire e mitigare gli effetti di eventuali violazioni di sicurezza. Può sembrare una richiesta invasiva, ma è il tuo dovere assicurarti di non essere “contaminato” da altri in base al NIS2.
• Collaborazione e comunicazione: Promuovi una comunicazione aperta e collaborativa con i fornitori per affrontare tempestivamente eventuali problemi di sicurezza e condividere informazioni rilevanti.
• Aggiornamenti tecnologici: Assicurati che i fornitori mantengano aggiornate le loro soluzioni tecnologiche per proteggere le reti e i sistemi informativi della tua organizzazione da nuove minacce.
• Revisione delle politiche: Rivedi regolarmente le politiche e le procedure di sicurezza dei fornitori per garantire che siano allineate con gli standard di sicurezza attuali e le normative in vigore. Si tratta di un processo evolutivo che ci imporre di adeguarci continuamente a nuovi scenari e nuove richieste.
• Valutazione delle prestazioni: Implementa un sistema di valutazione delle prestazioni dei fornitori che tenga conto delle loro performance in termini di conformità ai requisiti di sicurezza e risposta agli incidenti. Il miglior fornitore può non essere adatto a te se implica un’esposizione alle minacce incalcolabile.

La necessità di effettuare una valutazione della supply chain security secondo NIS2

La gestione dei rischi di sicurezza informatica nella supply chain è un argomento estremamente importante oggi giorno perché la globalizzazione ha ampliato l’esposizione di tutti. Avere un quadro completo della tua esposizione è il primo passo decisivo verso la resilienza.

I problemi pratici nell’applicazione della normativa saranno frequenti soprattutto nella prima fase. Ricorda che la sicurezza riguarda sia aspetti fisici che virtuali del tuo network e dei sistemi informativi.

Segui un approccio strutturato in modo da poter valutare e gestire efficacemente i rischi di sicurezza informatica nella tua supply chain in conformità con i requisiti di NIS2

Quali sono i rischi di cybersecurity connessi alla supply chain?

I rischi informatici più frequenti che troviamo nelle supply includono: contraffazione, frodi, interruzioni di servizio, attacchi informatici, violazioni di dati e manomissioni di prodotti.

Vediamolo nel dettaglio. La catena di approvvigionamento, o “supply chain”, è un aspetto critico per molte organizzazioni e può essere particolarmente vulnerabile ai rischi cibernetici. Questi rischi possono compromettere la sicurezza e l’integrità dei dati, causando danni finanziari e reputazionali oltre a sanzioni alte.

Uno dei rischi più comuni è l’attacco di phishing, dove i malintenzionati inviano e-mail o messaggi ingannevoli per ottenere accesso a informazioni sensibili. Ad esempio, un fornitore potrebbe ricevere un’e-mail apparentemente legittima che chiede di confermare dettagli di login, permettendo così agli attaccanti di accedere alla catena di approvvigionamento.

Un altro rischio significativo è rappresentato dagli attacchi di ransomware, dove i criminali crittografano i dati dell’organizzazione e chiedono un riscatto per ripristinarli. Se un fornitore nella catena di approvvigionamento viene compromesso, l’intera catena potrebbe essere a rischio.

Ogni giorno si amplifica il rischio in un mondo connesso

Secondo gli esperti come ENISA (l’Agenzia per la Cybersecurity dell’UE) solo il 47% delle aziende ha in atto misure di sicurezza per la Supply chain. I rischi si amplificano progressivamente, ecco alcuni esempi:

• Con la rapida adozione dell’IoT, la necessità di aggiornare sistemi legacy e la continua carenza di competenze potrebbero portare a una mancanza di conoscenza, formazione e comprensione dell’ecosistema cibernetico-fisico, con possibili problemi di sicurezza.
• Componenti e servizi sempre più integrati da fornitori e partner terzi potrebbero generare vulnerabilità nuove e impreviste, compromettendo la sicurezza sia da parte del fornitore che del cliente.
• La mancanza di capacità e competenze potrebbe fare sì che gruppi di cybercriminali prendano di mira organizzazioni meno competenti e mature.
• Il “Tutto come servizio” porta a una moltitudine di strumenti e servizi che richiedono aggiornamenti frequenti e sincronizzati, oltre a una manutenzione orchestrata. Questo, unito alla carenza di competenze, presenta una superficie estesa e ingovernabile di vulnerabilità che possono essere sfruttate da attori minacciosi.
• Il riconoscimento facciale, la sorveglianza digitale su piattaforme internet o gli archivi di dati delle identità digitali potrebbero diventare obiettivi per gruppi criminali.
• Il settore ICT che collega servizi critici come il trasporto, le reti elettriche e l’industria che forniscono servizi oltre le frontiere è probabile che sia preso di mira con tecniche come backdoor, manipolazione fisica e negazioni di servizio, e possa essere utilizzato in un futuro potenziale conflitto.
• Gli attacchi deepfake possono manipolare comunità per motivi (geo) politici e per guadagni monetari.
• Gli attacchi fisici o offline stanno evolvendo e diventando spesso combinati con attacchi informatici a causa dell’aumento dei dispositivi intelligenti, dell’uso del cloud, delle identità online e delle piattaforme social.
• La manipolazione degli algoritmi di intelligenza artificiale e dei dati di formazione può essere utilizzata per potenziare attività nefaste come la creazione di disinformazione e contenuti falsi, lo sfruttamento di pregiudizi, la raccolta di biometria e altri dati sensibili, robot militari e avvelenamento dei dati.
• L’aumento della gravità e della frequenza di disastri ambientali a seguito dei cambiamenti climatici potrebbe causare diverse interruzioni regionali impreviste.
• I siti di backup ridondanti che mantengono la disponibilità delle infrastrutture critiche potrebbero essere anch’essi influenzati da fenomeni meteorologici massivi ed estremi.

L’elenco non finisce qui e aumenta in continuazione. Ogni azienda è tenuta a valutare il proprio profilo di rischio in base al proprio business, ai dati trattati e alle interazioni con altri player come clienti e fornitori. L’eco sistema delle aziende è sotto attacco, dimostrato dal fatto che il 60% degli attacchi cyber partono dalla catena di approvvigionamento per arrivare a tutte le aziende della catena, piccole e grandi.

Inoltre, gli attacchi mirati come l’Advanced Persistent Threat (APT) possono essere utilizzati per infiltrarsi silenziosamente nel sistema e raccogliere informazioni sensibili per periodi prolungati senza essere rilevati.

Per proteggere la supply chain dai rischi cibernetici, è fondamentale implementare misure di sicurezza robuste, come l’uso di autenticazione a due fattori, l’aggiornamento regolare dei sistemi e la formazione degli utenti per riconoscere e evitare le minacce di phishing. Inoltre, è essenziale monitorare costantemente l’attività della rete e avere piani di risposta agli incidenti ben definiti per affrontare prontamente eventuali violazioni della sicurezza.

I requisiti del NIS2 sono una tempestiva proattività circa l’adeguamento alle nuove regole. Tutte le aziende contemplate dovranno considerare d’ora in poi i seguenti task minimi dopo un dettagliato assessment dello stato dell’arte della propria infrastruttura e azienda.

Come prepararsi alla NIS2 Supply Chain con Anylink Group

Per non incorrere in incidenti informatici, problemi normativi o sanzioni salate è quindi indispensabile affidarsi ad esperti e tecnologie certificate e sicure.

In qualità di System Integrator e Managed Service Provider (MSP) Anylink Group si occupa di consulenza direzionale e progetti informatici complessi da più di 20 anni e riconosce una grande opportunità in questa nuova direttiva: invece di considerarla come un obbligo scomodo e pesante prova a vederlo come un’opportunità di mettere in sicurezza tutta l’azienda e la supply chain connessa ad essa. La comunicazione chiara è d’obbligo, più si condividono strategie e best practice di sicurezza, più si potrà fronteggiare le minacce insieme.

Per poterti aiutare i nostri esperti faranno un assessment delle tue procedure, sistemi, applicativi e tutte le caratteristiche del tuo mondo. Dopo una gap analysis e un’analisi delle vulnerabilità ti diremo con un report dettagliato quali sono i modi più efficaci, veloci e convenienti per metterti in regola con la NIS2 e ottimizzare contemporaneamente le tue performance. Il processo è attuabile in poco tempo e con l’aiuto della nostra piattaforma di assessment tecnologica.

Per gestire al meglio gli investimenti e le spese necessarie, saremo lieti di guidarti nell’utilizzo di incentivi e strumenti di finanziamento per la digitalizzazione, nonché dei fondi per la formazione finanziata. Queste risorse saranno impiegate per finanziare l’aggiornamento tecnologico, garantire la conformità ai requisiti della NIS2 e fornire formazione al personale.

Contattaci subito allo 0141.477528 oppure attraverso il sito, i tempi stringono!