News & Media

Opinioni

Cybersecurity e catene di approvvigionamento.

Premessa

Una catena è forte quanto il suo anello più debole“: così scriveva nella sua autobiografia Christiaan Neethling Barnard, un cardiochirurgo sudafricano noto per aver realizzato il primo trapianto di cuore[1].

Da qualche anno a questa parte gli hacker, complice la sempre più diffusa interconnessione digitale, sembrano aver fatto propria tale massima indirizzando i loro attacchi verso le catene di approvvigionamento di grandi società, a volte contando sulla maggiore inclinazione a sottovalutare il rischio cyber da parte delle imprese fornitrici (specie quando di dimensioni medie se non piccole) per potersi insinuare nelle maglie dei sistemi informatici di queste ultime e quindi, con la loro inconsapevole complicità, sferrare l’attacco, spesso letale, al vero target.

È il caso, ad esempio, di Apple che nel 2021 ha subito un furto di informazioni riservate riguardanti nuovi progetti attraverso uno dei suoi maggiori fornitori – Quanta Computer Inc. – che era stato a sua volta oggetto di un’infiltrazione nella propria rete di computer da parte di un gruppo di hacker russi.

È difficile – quando non impossibile – prevedere in quali direzioni evolverà il cybercrime: ecco perché spesso si ha la sensazione che i regolatori rincorrano – piuttosto che prevenire – gli hacker e le loro fantasie criminose. Ciò detto, la Direttiva NIS2 (Network and Information Security) ha, tra gli altri, il merito di prendere atto che gli attacchi alla catena di approvvigionamento “possono avere un effetto a cascata su attacchi più gravi nei confronti di soggetti di cui sono fornitori“: e, quindi, indicare le misure che i “soggetti essenziali” ed i “soggetti importanti” (si veda infra per la loro definizione) devono adottare per affrontare adeguatamente i rischi connessi alla catena di approvvigionamento e ai fornitori.

Qui di seguito analizzeremo brevemente la genesi della NIS2, individuando i soggetti destinatari delle nuove norme, per poi soffermarci nello specifico sul tema delle catene di approvvigionamento.

La Direttiva NIS2 e il suo recepimento

La Direttiva NIS2 (più semplicemente, la “NIS2”) – che succede alla precedente Direttiva NIS – stabilisce obblighi più stringenti per gli Stati membri, le imprese e gli enti pubblici, con l’obiettivo di “garantire un livello comune elevato di cibersicurezza nell’Unione in modo da migliorare il funzionamento del mercato interno“.

In Italia la NIS2 è stata recepita con il Decreto Legislativo n. 138/2024, entrato in vigore il 18 ottobre 2024 (più semplicemente il DLGS 138/24).

Ai fini che qui rilevano, le norme di recepimento hanno riproposto nel nostro ordinamento le nozioni di “soggetto essenziale” e “soggetto importante” di cui alla NIS2, ancorando l’appartenenza all’una o all’altra categoria ad una combinazione tra dimensioni e settori di attività: questi ultimi, a loro volta, distinti tra “settori ad alta criticità” e (altri) “settori critici“. Per l’effetto, anche un’impresa piccola o micro che, nell’ambito delle infrastrutture digitali, fornisca servizi fiduciari qualificati, rientra nella definizione di “soggetto essenziale“: mentre una grande impresa che operi nel settore dei servizi postali è solo “soggetto importante[2].

Sui “soggetti essenziali” e “soggetti importanti” gravano i medesimi obblighi[3], fermo il principio di proporzionalità tenuto conto del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti. Differisce invece l’entità delle sanzioni pecuniarie: per i primi, fino all’importo più alto tra 10 milioni di euro e il 2% del fatturato annuo globale, per i secondi fino all’importo più alto tra 7 milioni di euro e l’1,4% del fatturato annuo globale[4].

Catene di approvvigionamento

Una delle novità più rilevanti della NIS2 è, come si diceva, l’attenzione rivolta alle catene di approvvigionamento.

Dopo aver rilevato che la frequenza e la gravità crescente degli attacchi ransomware[5] può, almeno in parte, essere ricondotta all’aumento degli attacchi contro la catena di approvvigionamento, la NIS2 volge lo sguardo alle PMI le quali “stanno diventando sempre di più il bersaglio di attacchi nella catena di approvvigionamento a causa delle loro misure meno rigorose di gestione del rischio di cibersicurezza e di gestione degli attacchi, nonché della limitata disponibilità di risorse destinate alla sicurezza“: con impatti sulle PMI stesse e lungo tutta la catena di approvvigionamento.

Di qui discende, per i “soggetti essenziali” ed i “soggetti importanti” l’obbligo di adottare misure tecniche, operative e organizzative rivolte alla “sicurezza delle catene di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi“; tenendo conto “delle vulnerabilità specifiche per ogni diretto fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi[6].

Quale ulteriore effetto, un soggetto – quale che sia la sua dimensione e pur se non “essenziale” o “importante” – può rientrare nell’ambito di applicazione del DLGS 138/24 anche solo in ragione del fatto di essere a sua volta ritenuto “critico” quale elemento sistemico della catena di approvvigionamento di un soggetto “essenziale” o “importante[7].

La cibersicurezza diventa quindi protagonista nelle catene di approvvigionamento. A monte, i “soggetti essenziali” e “importanti” (ma non solo) che si avvalgano di prodotti e servizi forniti da soggetti terzi non potranno più disinteressarsi – se non colpevolmente – delle misure di cibersicurezza adottate da questi ultimi: mentre a valle, per i fornitori il grado di resilienza ad eventuali attacchi cyber costituirà un elemento di valutazione imprescindibile per essere inclusi (o meno) nelle catena di approvvigionamento di “soggetti essenziali” e “importanti” e, col passare del tempo, diventerà di fatto una sorta di barriera d’ingresso.

Tutto ciò ha innegabili riflessi anche da un punto di vista meramente legale. Da un lato, infatti, gli obblighi in materia di cibersicurezza costituiranno sempre più oggetto di specifiche pattuizioni, specie nei contratti di fornitura, con previsione di obblighi e relativa allocazione di rischi e responsabilità[8]; dall’altro lato, gli organi amministrativi dei “soggetti essenziali” e “importanti” potranno a loro volta essere chiamati a rispondere per negligenza qualora – in concomitanza con un attacco cyber – dovesse emergere che questi non abbiano soppesato con la dovuta attenzione l’esposizione al rischio cyber della catena di approvvigionamento (e da ciò la società abbia sofferto un pregiudizio).

Conclusioni

L’approccio più diffuso di fronte al rischio cyber è del tipo: “È un calcolo statistico: non capiterà mai a me!”, “A chi vuoi che interessi la mia attività?”, “Gli hacker non si accorgeranno mai di me!”. Nulla di più sbagliato. Come si è visto si può essere oggetto di un attacco cyber anche solo in quanto parte di una catena di approvvigionamento: e quindi essere usato come un cavallo di Troia per attaccare altro o altri soggetti. Ciò espone a rischi diretti (l’impatto dell’attacco sulla propria operatività) ed indiretti (eventuali richieste di risarcimento degli altri soggetti attaccati a loro volta a causa della vulnerabilità del primo soggetto).

È pur vero, d’altro canto, che la cibersicurezza ha un suo costo e che spesso questo è il vero deterrente all’adozione di idonee misure. La NIS2 ne dà pieno atto, invitando gli Stati membri ad aiutare le PMI a fronteggiare le sfide a cui sono sottoposte nelle loro catene di approvvigionamento.

Certo è che non è più tempo di tentennamenti: il rischio cyber è sempre più concreto. Ignorarlo non è (più) un’opzione e chi non adotti idonee misure di resilienza – oltre ad essere esposto a possibili danni – vedrà rapidamente compromessa la propria competitività fino ad essere inesorabilmente spinto fuori dall’arena.

Il presente articolo ha il solo scopo di fornire aggiornamenti e informazioni di carattere generale. Non costituisce pertanto un parere legale né può in alcun modo considerarsi come sostitutiva di una consulenza legale specifica.
Per chiarimenti o informazioni potete contattare l’autore oppure il Vostro Professionista di riferimento all’interno dello Studio.

Gianmatteo Nunziante, Partner
E: g.nunziante@nmlex.it
T.: +39 06695181

[1] Christiaan Neethling Barnard, Una vita, 1969.
[2] La NIS2 impone agli Stati membri di redigere un primo elenco dei “soggetti essenziali” e “importanti” entro il 17 aprile 2025: e di riesaminarlo ed aggiornarlo almeno ogni due anni.
[3] In particolare, l’obbligo di adottare misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi che minacciano la sicurezza dei sistemi informativi e di rete nonché per prevenire o ridurre al minimo l’impatto degli incidenti. Inoltre, in caso di incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi, l’obbligo di notifica alle competenti autorità senza ingiustificato ritardo.
[4] Non rientrano nell’oggetto del presente contributo le Pubbliche amministrazioni e le altre tipologie di soggetti diversi dai “soggetti essenziali” e “importanti” eventualmente individuati dall’Agenzia per la Cibersicurezza Nazionale.
[5] Sul sito del Garante per la Protezione dei Dati Privati il ransomware è così definito: un programma informatico dannoso (“malevolo”) che può “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) per poi chiedere un riscatto da pagare per “liberarli”.
[6] Art. 24 del DLGS 138/24.
[7] Art. 3.9.f) del DLGS 138/24.
[8] Al riguardo la NIS2 dice espressamente che “i soggetti essenziali e importanti dovrebbero essere incoraggiati a integrare misure di gestione dei rischi di cibersicurezza negli accordi contrattuali con i loro fornitori e fornitori di servizi diretti”. Ma la rilevanza legale è più ampia di quanto non si creda e non investe i soli contratti di fornitura in sé: basti pensare alle operazioni di acquisizione dove – quando i soggetti coinvolti operino in certi specifici settori – la cibersicurezza costituisce ormai oggetto di specifica due diligence, con le conseguenti rappresentazioni e garanzie in sede di contrattualizzazione degli accordi.

 

Pubblicato il:

Iscriviti alla newsletter

Copyright Nunziante Magrone Studio Legale Associato | P.IVA 06080161000 | Privacy policy | Cookie policy | Note legali | Politica per la parità di genere |