NIS2Supply chain

NIS2 e fornitori IT: come gestire la supply chain

Le aziende NIS2 devono valutare i propri fornitori IT. Cosa chiedere, cosa esigere per contratto, cosa accettare in attestazione.

2 min di lettura

TL;DR

NIS2 articolo 21 punto 4 obbliga le entità soggette a valutare la sicurezza dei propri fornitori IT. In pratica significa: questionari, attestazioni, clausole contrattuali e verifica periodica. Per gli MSP italiani è una nuova fonte di lavoro (e di rischio).

Cosa chiede NIS2 ai fornitori

Tre cose:

  1. Cooperazione: il fornitore deve cooperare con il cliente NIS2 in caso di incidente.
  2. Trasparenza: dichiarare le proprie misure di sicurezza in modo verificabile.
  3. Continuità: mantenere disponibilità adeguata dei servizi.

Cosa chiedere a un fornitore IT

Il questionario standard di 15-20 domande:

  1. Avete una politica di sicurezza dell'informazione approvata?
  2. Siete certificati ISO 27001:2022 (o equivalente)?
  3. Siete certificati ISO 27017 e 27018 per il cloud?
  4. Avete un piano DR documentato e testato?
  5. RTO e RPO target dei vostri servizi?
  6. Procedura di notifica incidenti?
  7. MFA su tutti gli account privilegiati?
  8. Patch management documentato?
  9. Vulnerability scanning periodico?
  10. Penetration test annuale?
  11. Polizza di responsabilità professionale cyber?
  12. Backup off-site cifrati?
  13. Personale di supporto formato sulla cyber?
  14. Logging e SIEM in produzione?
  15. Procedura di gestione cambi che impattano la sicurezza?

Le clausole contrattuali standard

Quattro clausole minime nei contratti con fornitori NIS2-rilevanti:

  1. Notifica incidenti: il fornitore notifica il cliente entro 24h da incidenti di sicurezza che possono impattare il servizio.
  2. Diritto di audit: il cliente può auditare il fornitore con preavviso ragionevole (annuale o post-incidente).
  3. Sub-fornitori: dichiarazione obbligatoria dei sub-fornitori critici e loro perimetro.
  4. Continuità del servizio: SLA con RTO documentato.

Cosa accettare in attestazione

Per fornitori che rifiutano audit diretti (legittimo per cloud provider grossi), accettate:

  • ISO 27001:2022 + Annex A applicato;
  • SOC 2 Type II;
  • ENISA EUCS;
  • attestazioni di terze parti indipendenti.

Senza, sostituite il fornitore.

Sefthy come fornitore NIS2-ready

Sefthy fornisce ai clienti NIS2:

  • certificazioni ISO 27001:2022, 27017, 27018, 9001;
  • attestazioni esportabili dalla console;
  • SLA con RTO documentato;
  • notifica incidenti entro 4h dalla rilevazione;
  • audit annuale incluso nei piani PRO.

FAQ

Devo auditare ogni fornitore?

No. Solo quelli "critici" — la cui interruzione impatta il servizio NIS2 dell'azienda.

Quanto durano i questionari fornitori?

Vanno aggiornati annualmente o a ogni cambio significativo del servizio.

Per la checklist completa, Audit NIS2 checklist. Per le misure tecniche, Misure tecniche minime NIS2.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo