Catena di approvvigionamento NIS 2: le basi
L'articolo 21(2)(d) NIS 2 richiede alle aziende regolate di mettere in sicurezza l'intera catena di approvvigionamento. Questa pagina copre le basi: cosa dice la regola, chi raggiunge, cosa vi chiederanno i vostri clienti e come i fornitori dimostrano la cybersicurezza senza diventare essi stessi un soggetto regolato.
Perché i piccoli fornitori sono interessati da NIS2
NIS2 (art. 21(2)(d) NIS-2, recepito nel §30(2)(4) BSIG) richiede esplicitamente alle aziende regolate di mettere in sicurezza l'intera catena di approvvigionamento. Ciò significa che ogni soggetto essenziale e importante (le stime del BSI collocano la coorte tedesca nell'ordine di circa 29.500) deve richiedere contrattualmente standard di cybersicurezza ai propri fornitori.
Se la vostra azienda ha meno di 50 dipendenti o si colloca al di sotto delle soglie di fatturato, non siete direttamente regolati da NIS2. Ma se fornite servizi IT, software, componenti, logistica o qualsiasi altro servizio a un'azienda che è regolata, vi troverete di fronte ai requisiti NIS2 attraverso i vostri contratti.
Questo non è teorico. Le grandi aziende stanno già aggiornando le loro condizioni di approvvigionamento, aggiungendo clausole di cybersicurezza e richiedendo prove di conformità ai fornitori. Le aziende che non riescono a dimostrare misure di sicurezza adeguate rischiano di perdere contratti a favore di concorrenti che ci riescono.
§30(2) n. 4 BSIG: sicurezza della catena di approvvigionamento
I soggetti regolati devono garantire la "sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza nelle relazioni con i fornitori diretti" (§30(2)(4) BSIG, che recepisce l'art. 21(2)(d) NIS-2). Questo obbligo si propaga contrattualmente a ogni fornitore della catena.
Requisiti contrattuali
Le aziende regolate da NIS2 devono includere requisiti di cybersicurezza nei contratti con i fornitori. Aspettatevi nuove clausole che coprono la gestione del rischio, la notifica degli incidenti e i controlli degli accessi. I contratti esistenti verranno rinegoziati.
Audit e questionari per i fornitori
I vostri clienti invieranno questionari di sicurezza e potranno condurre audit. Le aziende che usano nisd2.eu possono generare prove di conformità istantaneamente: quelle senza un sistema arrancano per settimane.
Obblighi di notifica degli incidenti
Se un incidente di sicurezza presso la vostra azienda interessa un cliente regolato da NIS2, questo deve inviare un preallarme al BSI entro 24 ore (con notifica completa entro 72 ore e una relazione finale entro un mese, §32 BSIG). Hanno bisogno che voi disponiate di processi funzionanti di rilevamento e notifica degli incidenti.
Vantaggio competitivo
Quando un'azienda regolata sceglie tra due fornitori e uno è in grado di dimostrare una sicurezza allineata a NIS2 mentre l'altro no: la scelta è ovvia. La conformità diventa un elemento di differenziazione nelle vendite.
Requisiti delle assicurazioni informatiche
Gli assicuratori informatici richiedono sempre più prove di sicurezza della catena di approvvigionamento. Le polizze assicurative dei vostri clienti possono imporre che i loro fornitori soddisfino standard minimi di cybersicurezza.
Valutazione del rischio
Identificate e documentate i rischi per i sistemi che usate per il lavoro con i clienti. Non deve essere complessa: un elenco strutturato con piani di trattamento è sufficiente.
Controllo degli accessi
Chi può accedere ai dati e ai sistemi dei clienti? Accesso basato sui ruoli, MFA per l'accesso remoto e gestione documentata degli utenti.
Gestione degli incidenti
Un processo documentato per rilevare, rispondere e notificare gli incidenti di sicurezza. Il vostro cliente ha bisogno di saperlo entro ore, non settimane.
Continuità operativa
Cosa succede se i vostri sistemi vanno in down? Strategia di backup, procedure di ripristino e piani testati per continuare a erogare ai vostri clienti.
Politiche e prove
Politiche di sicurezza scritte, registri della formazione e un audit trail che dimostra che seguite le vostre stesse regole. Questo è ciò che gli auditor verificano effettivamente.
Verificate la vostra esposizione
Usate la nostra verifica di applicabilità gratuita per confermare il vostro stato NIS2. Anche se non rientrate direttamente nell'ambito di applicazione, individuate quali dei vostri clienti sono regolati da NIS2: quei contratti arriveranno con nuovi requisiti.
Eseguite un gap assessment
Confrontate le vostre attuali prassi di sicurezza con le 10 misure del §30 BSIG. La maggior parte delle piccole aziende ne fa già una parte in modo informale: la lacuna è di solito la documentazione, non la prassi.
Attuate le basi
Iniziate dagli elementi a maggiore impatto: controllo degli accessi, strategia di backup, processo di risposta agli incidenti. La piattaforma nisd2.eu vi guida attraverso ciascun requisito con modelli predefiniti.
Costruite il vostro pacchetto di prove
Quando il vostro cliente invia un questionario di sicurezza, vi servono risposte pronte. Politiche, registri della formazione, valutazioni del rischio e misure tecniche: tutto documentato ed esportabile.
Rivedete annualmente
La conformità NIS2 non è un progetto una tantum. Programmate una revisione annuale dei vostri rischi, aggiornate le vostre politiche e rinnovate la formazione del personale. La piattaforma monitora automaticamente le scadenze.
Domande frequenti
Sono legalmente tenuto a conformarmi a NIS2 come piccolo fornitore?▾
Non direttamente: NIS2 si applica alle aziende che superano la soglia delle medie imprese dell'UE (50+ dipendenti OPPURE (oltre 10M EUR di fatturato E oltre 10M EUR di totale di bilancio), ai sensi della raccomandazione della Commissione 2003/361/CE) in un settore regolato. Tuttavia, i vostri clienti regolati da NIS2 sono legalmente tenuti a mettere in sicurezza la loro catena di approvvigionamento (§30(2)(4) BSIG, che recepisce l'art. 21(2)(d) NIS-2). Ciò crea un obbligo contrattuale che si propaga fino a voi. Non sarete sanzionati dal BSI, ma potreste perdere contratti.
Cosa succede se non mi conformo?▾
I vostri clienti regolati da NIS2 rischiano sanzioni fino a 10M EUR / 2% del fatturato annuo globale (soggetti essenziali) o 7M EUR / 1,4% (soggetti importanti) se non soddisfano i loro obblighi di sicurezza della catena di approvvigionamento (§65 BSIG). Vi richiederanno di conformarvi oppure vi sostituiranno con un fornitore che può farlo. La conseguenza pratica è la perdita di lavoro, non una sanzione del BSI.
Quanto costa la conformità del fornitore?▾
La piattaforma nisd2.eu è gratuita. Per una piccola azienda (10-50 dipendenti), il costo principale è il tempo: in genere 2-4 settimane di lavoro a tempo parziale per impostare politiche iniziali, valutazioni del rischio e processi. La manutenzione continua richiede poche ore a trimestre.
Posso usare la conformità NIS2 come punto di forza commerciale?▾
Assolutamente. Quando potete dimostrare prassi di sicurezza allineate a NIS2 con prove documentate, diventate un fornitore preferito. Alcune aziende stanno già pubblicizzando la conformità della catena di approvvigionamento NIS2 come elemento di differenziazione competitiva nelle RFP e nelle proposte.
E se il mio cliente non l'ha ancora chiesto?▾
Lo farà. La scadenza per la registrazione BSI è passata a marzo 2026 e molte migliaia di aziende stanno ancora recuperando sull'attuazione. Man mano che attuano NIS2, la sicurezza della catena di approvvigionamento è una delle 10 misure obbligatorie (§30(2)(4) BSIG). Anticipare la richiesta vi posiziona come partner proattivo e affidabile.
Avviate la conformità della vostra catena di approvvigionamento: gratis
La piattaforma nisd2.eu vi guida attraverso ogni requisito, genera il vostro pacchetto di prove e vi mantiene pronti per l'audit. Nessun costo, nessuna carta di credito.