Nel framework baseline NIS, la cybersecurity della supply chain è un obbligo di governance, non solo un controllo procurement. I soggetti devono identificare fornitori ad alto impatto, valutarne e prioritizzarne i rischi, e integrare requisiti di sicurezza nei contratti e nel monitoraggio di ciclo di vita.
Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Punti chiave
- I controlli supply chain sono formalizzati nelle misure GV.SC.
- I fornitori critici vanno identificati, prioritizzati e mantenuti in inventario aggiornato.
- I requisiti di sicurezza devono essere inseriti in bandi, offerte e contratti.
- Il rischio fornitore deve essere valutato, trattato e monitorato lungo l’intero ciclo di fornitura.
Fonti: Determinazione ACN obblighi di base
Modello di controllo supply chain (GV.SC)
1. Baseline di governance e policy (GV.SC-01)
Definire e approvare principi e requisiti di governance del rischio cyber su forniture ad alto impatto.
2. Ruoli e accountability (GV.SC-02)
Assegnare responsabilità chiare tra stakeholder interni e definire regole di interazione con fornitori, partner e clienti quando rilevante.
3. Inventario e prioritizzazione fornitori (GV.SC-04)
Mantenere inventario aggiornato dei fornitori con potenziale impatto sicurezza e prioritizzarli per criticità.
4. Integrazione contrattuale requisiti sicurezza (GV.SC-05)
Integrare clausole di sicurezza e aspettative di controllo in bandi, contratti, accordi e artefatti procurement.
5. Supervisione rischio fornitore lungo il ciclo vita (GV.SC-07)
Valutare, trattare e monitorare in continuo i rischi cyber legati ai fornitori lungo l’intero ciclo della fornitura.
Fonti: Determinazione ACN obblighi di base
Set minimo di evidenze per prontezza supply chain
| Area | Obiettivo pratico | Evidenze tipiche |
|---|---|---|
| Governance GV.SC | Modello formale di governo rischio fornitore | Policy governance, atti approvazione |
| Inventario fornitori | Visibilità sui fornitori critici | Inventario fornitori, classificazione criticità |
| Integrazione contratti | Requisiti sicurezza incorporati nei contratti | Clausole di gara, allegati contrattuali, template accordi |
| Valutazione rischio | Rischio fornitore documentato e prioritizzato | Assessment rischio fornitore, decisioni trattamento |
| Monitoraggio continuo | Supervisione continuativa del rischio fornitore | Log monitoraggio, registri rivalutazione |
Fonti: Determinazione ACN obblighi di base
Checklist operativa per 90 giorni
- Costruire o aggiornare inventario fornitori ad alto impatto con owner assegnati.
- Definire criteri di criticità fornitore e metodo di scoring.
- Aggiornare template procurement con clausole cybersecurity obbligatorie.
- Avviare assessment di rischio fornitore prioritizzati e piani di trattamento.
- Definire cadenza ricorrente di monitoraggio e rivalutazione.
FAQ
La sicurezza fornitori è solo responsabilità tecnica?
No. Le misure baseline la collocano in coordinamento governance, procurement, legale e sicurezza. Fonte: Determinazione ACN obblighi di base
Le clausole contrattuali sono sufficienti da sole?
No. Devono essere supportate da valutazione rischio, decisioni di trattamento e monitoraggio continuo. Fonte: Determinazione ACN obblighi di base
Quali fornitori valutare per primi?
La priorità dovrebbe seguire criteri documentati di criticità e rischio definiti dal soggetto e allineati alle aspettative baseline. Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche