Con il d.lgs. 138/2024 (recepimento NIS2), i soggetti essenziali e importanti devono gestire attivamente i rischi della supply chain digitale, inclusi i fornitori rilevanti. Chi assiste aziende obbligate deve verificare che i contratti con i fornitori ICT contengano clausole specifiche su sicurezza, audit e notifica degli incidenti. L’omissione espone il cliente a sanzioni fino a 10 milioni di euro o al 2% del fatturato globale annuo.
Punti chiave
- Punto 1 — Il d.lgs. 138/2024 impone ai soggetti NIS2 di valutare i rischi di sicurezza dei fornitori ICT rilevanti.
- Punto 2 — I contratti con fornitori devono contenere clausole su audit, SLA di sicurezza e gestione degli incidenti.
- Punto 3 — Le sanzioni per inadempimento arrivano fino a 10 milioni di euro o al 2% del fatturato globale annuo.
Chi assiste imprese classificate come soggetti essenziali o importanti ai sensi del d.lgs. 138/2024 ha ora un compito preciso: revisionare i contratti con i fornitori ICT e di servizi digitali. La NIS2 non si ferma al perimetro aziendale — si estende lungo tutta la catena di fornitura, e la responsabilità ricade sull’ente obbligato, non sul fornitore.
L’analisi pubblicata da Diritto.it approfondisce gli obblighi che la direttiva NIS2 — recepita in Italia con il d.lgs. 138/2024 — pone a carico dei soggetti obbligati rispetto alla gestione dei fornitori rilevanti, con focus su supply chain, controlli e profili di responsabilità.
Il contesto normativo
L’art. 24 del d.lgs. 138/2024 disciplina la gestione del rischio nella catena di approvvigionamento ICT. Richiede che i soggetti essenziali e importanti adottino misure tecniche e organizzative per controllare i rischi derivanti dai fornitori di servizi e prodotti digitali. Il riferimento europeo è l’art. 21 della Direttiva (UE) 2022/2555, che elenca esplicitamente la sicurezza della catena di approvvigionamento tra le misure obbligatorie di gestione del rischio. L’ACN (Agenzia per la Cybersicurezza Nazionale) ha il potere di verificare il rispetto di questi obblighi e di irrogare sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, ai sensi dell’art. 38 d.lgs. 138/2024.
Cosa cambia per lo studio
- Ogni contratto con un fornitore ICT qualificabile come «rilevante» deve prevedere clausole specifiche su misure di sicurezza minime, obblighi di notifica degli incidenti entro 24 ore e diritto di audit da parte del cliente.
- Lo studio deve aiutare il cliente a costruire un registro dei fornitori rilevanti, distinguendo tra quelli che trattano dati critici o gestiscono infrastrutture operative e quelli periferici — la distinzione incide sul livello di controllo contrattuale richiesto.
- Le clausole di limitazione di responsabilità standard dei fornitori software o cloud vanno rinegoziare: se un incidente origina dal fornitore, il soggetto NIS2 risponde comunque verso l’ACN, e deve poter rivalersi contrattualmente.
- In caso di acquisizione o due diligence societaria, la mappatura della supply chain digitale del target è diventata un punto obbligatorio di verifica, al pari dei contratti di lavoro o delle passività fiscali.
- I clienti già certificati ISO/IEC 27001 non sono automaticamente conformi: la NIS2 aggiunge requisiti specifici sulla catena di fornitura che la certificazione non copre integralmente.
Attenzione a
Il rischio più sottovalutato è la catena di sub-fornitura: il fornitore principale può rispettare tutti i requisiti, ma se si avvale di un sub-fornitore privo di misure adeguate, il soggetto NIS2 rimane esposto. Il contratto deve estendere gli obblighi di sicurezza anche ai sub-fornitori, con clausola di flusso verso il basso (flow-down clause).
Attenzione anche alle tempistiche: l’obbligo di notifica all’ACN in caso di incidente significativo scatta entro 24 ore dal momento in cui il soggetto ne viene a conoscenza — non dal momento in cui il fornitore lo comunica. Se il contratto non obbliga il fornitore a notificare immediatamente, il cliente rischia di non rispettare la finestra temporale e di incorrere in sanzione autonoma per ritardo nella notifica.
Domande frequenti
Quali clausole inserire nei contratti con fornitori ICT per essere conformi alla NIS2?
Il contratto deve includere: obblighi di adozione di misure di sicurezza minime definite dal cliente, notifica degli incidenti entro 24 ore, diritto di audit periodico, estensione degli obblighi ai sub-fornitori e penali proporzionate al rischio. L’art. 24 d.lgs. 138/2024 non specifica il contenuto esatto, ma l’ACN può valutare l’adeguatezza contrattuale in sede di ispezione.
Chi sono i fornitori rilevanti ai sensi della NIS2 italiana?
Sono i fornitori di prodotti o servizi ICT che, in caso di compromissione, possono causare un impatto significativo sulla continuità operativa del soggetto obbligato o sulla sicurezza dei dati trattati. La classificazione spetta al soggetto obbligato e deve essere documentata nel registro dei rischi. Non esiste un elenco ufficiale predefinito.
Un fornitore cloud certificato ISO 27001 è automaticamente conforme ai requisiti NIS2 sulla supply chain?
No. La certificazione ISO/IEC 27001 copre il sistema di gestione della sicurezza del fornitore, ma non soddisfa automaticamente i requisiti specifici della NIS2 sulla catena di approvvigionamento. Il soggetto obbligato deve comunque valutare i rischi del fornitore, verificarne le misure e formalizzare gli obblighi contrattuali previsti dall’art. 24 d.lgs. 138/2024.
Fonte di riferimento: Diritto.it