Clausole contrattuali per i fornitori NIS 2
L'articolo 21(2)(d) NIS 2 obbliga i soggetti ad affrontare la sicurezza nei loro rapporti diretti con fornitori e prestatori di servizi. L'articolo 21(1) decide fin dove arriva tale obbligo.
Cosa richiede l'articolo 21(2)(d)
L'articolo 21(2)(d) NIS 2 elenca la sicurezza della catena di approvvigionamento come una delle dieci misure minime di gestione del rischio di cibersicurezza. La direttiva è specifica sull'ambito: copre gli aspetti relativi alla sicurezza del rapporto tra un soggetto e i suoi fornitori diretti o prestatori di servizi. Non regolamenta l'intera catena di approvvigionamento e non richiede una generica clausola standard.
La clausola collegata è l'articolo 21(1). Tutte le misure ai sensi dell'articolo 21(2), compresa la sicurezza del rapporto con i fornitori, devono essere adeguate e proporzionate ai rischi affrontati dal soggetto. Il costo di attuazione, le dimensioni del soggetto, la probabilità degli incidenti e la loro gravità entrano tutti nel test di proporzionalità. Non si attende la stessa profondità contrattuale da un'azienda di gestione dei rifiuti di 60 persone e da un fornitore cloud di primo livello.
La questione pratica per un soggetto nell'ambito non è quindi quali clausole copiare da un modello, ma quali aspetti relativi alla sicurezza di ciascun rapporto con il fornitore contino, quali evidenze servano al soggetto per gestire il rischio residuo e come registrare che la scelta basata sul rischio sia stata fatta deliberatamente.
Articolo 21(2)(d) NIS 2
la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi fornitori diretti o prestatori di servizi
Una delle dieci misure minime elencate nell'articolo 21(2). Si noti la limitazione deliberata ai fornitori diretti e prestatori di servizi. La direttiva non estende la clausola ai subfornitori di livello n. I considerando 85 e 90 confermano che la valutazione è basata sul rischio e considera le vulnerabilità specifiche di ciascun fornitore e la qualità complessiva delle loro prassi di cibersicurezza.
CIR 2024/2690, Allegato Sezione 5
I soggetti interessati stabiliscono, attuano e applicano una politica di sicurezza della catena di approvvigionamento che disciplina i rapporti con i loro fornitori diretti e prestatori di servizi.
Il Regolamento di esecuzione 2024/2690 della Commissione specifica la misura sulla catena di approvvigionamento solo per i soggetti delle infrastrutture digitali (DNS, registri TLD, cloud, data center, CDN, servizi gestiti e servizi gestiti di sicurezza, mercati online, motori di ricerca, social network, prestatori di servizi fiduciari). La Sezione 5 dell'Allegato elenca criteri di selezione, requisiti contrattuali, obblighi di monitoraggio e gestione dell'uscita. Per gli altri settori si applica la legge nazionale di recepimento.
§30(2) n. 4 BSIG
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
La NIS2UmsuCG tedesca recepisce l'articolo 21(2)(d) uno a uno nel §30(2) n. 4 BSIG. Il §30(1) BSIG trasferisce la clausola di proporzionalità. La guida del BSI ad oggi tratta la sicurezza del rapporto con i fornitori come un obbligo di policy più contratto più monitoraggio, non come un elenco di clausole.
Quali fornitori rientrano nell'ambito
L'articolo 21(2)(d) prende di mira i fornitori diretti e i prestatori di servizi, non l'intera catena a monte. Ci si attende che un soggetto individui quali fornitori trattano, trasmettono o memorizzano dati da cui il soggetto dipende, o la cui interruzione del servizio inciderebbe sul suo servizio essenziale o importante. I fornitori di cancelleria sono fuori ambito, l'hoster cloud del database clienti è nell'ambito. Il criterio di selezione è il rischio che il fornitore introduce, non il valore del contratto.
Cosa copre tipicamente il livello contrattuale
La guida del BSI e la Sezione 5 del CIR descrivono una policy sul rapporto con i fornitori che si traduce in requisiti contrattuali. Gli elementi comuni che le autorità di regolamentazione cercano comprendono un riferimento a una base di sicurezza, un obbligo di notifica degli incidenti allineato alle tempistiche dell'articolo 23, trasparenza sui subincaricati rilevanti, un diritto di audit o di evidenza proporzionato al rischio e diritti di risoluzione per motivi di sicurezza. La profondità è calibrata per classe di rischio del fornitore, non applicata in modo uniforme.
Come il soggetto verifica il fornitore
La direttiva è neutra rispetto alla tecnologia e alle certificazioni. L'evidenza può essere un questionario per il fornitore, una certificazione riconosciuta come ISO 27001 o SOC 2, un recente rapporto di penetration test o una clausola contrattuale di audit esercitata su base campionaria. Il CIR 2024/2690 Sezione 5 elenca esplicitamente molteplici forme di evidenza accettabili. Il soggetto decide quale forma sia adeguata alla classe di rischio di ciascun fornitore e documenta tale decisione.
Solo fornitori diretti, nessun trasferimento automatico a cascata
L'articolo 21(2)(d) nomina i fornitori diretti e i prestatori di servizi. Non impone un trasferimento contrattuale a cascata a ogni subfornitore di livello n. Quando il rischio del subincaricato è rilevante, il soggetto lo affronta attraverso il contratto diretto, tipicamente richiedendo trasparenza sui subincaricati critici e diritti di approvazione per le modifiche rilevanti. Una clausola generalizzata di trasferimento a cascata non è un requisito della direttiva ed è generalmente inopponibile a parti prive di un contratto diretto.
Proporzionato al rischio, non uno standard fisso
L'articolo 21(1) richiede che le misure siano adeguate e proporzionate, tenendo conto dello stato dell'arte, del costo di attuazione, delle dimensioni del soggetto, dell'esposizione, della probabilità degli incidenti e della loro gravità. La stessa proporzionalità si applica alla clausola sul rapporto con i fornitori. Un normale ordine di acquisto non necessita di una clausola di audit completa se il rischio del fornitore è basso. Un fornitore di servizi gestiti di sicurezza giustifica una clausola più approfondita di un fornitore di hardware. La decisione è documentata, non standardizzata.
BSI IT-Grundschutz OPS.2 e ORP.4
I Bausteine di base del BSI IT-Grundschutz OPS.2 (esternalizzazione per gli utenti del servizio) e CON.7 (esternalizzazione per i fornitori del servizio) più ORP.4 (identità e accesso) descrivono un processo sul rapporto con i fornitori compatibile con l'articolo 21(2)(d). Per i soggetti che usano la scorciatoia Grundschutz del §44(2) BSIG, l'applicazione di questi Bausteine è trattata come evidenza della misura sul rapporto con i fornitori.
ENISA Threat Landscape for Supply Chain Attacks
I ripetuti rapporti di ENISA sugli attacchi alla catena di approvvigionamento inquadrano il quadro di rischio a cui la direttiva risponde. ENISA non pubblica un modello di contratto. Il suo lavoro è citato nei considerando della direttiva sul rischio della catena di approvvigionamento e informa la metodologia di rischio fornitore del gruppo di cooperazione, ma non è uno standard contrattuale vincolante.
CIR 2024/2690 Allegato Sezione 5
Per gli undici tipi di soggetti delle infrastrutture digitali nell'ambito del CIR 2024/2690, la Sezione 5 dell'Allegato fissa una specifica più concreta della policy sui fornitori: criteri di selezione, requisiti contrattuali, monitoraggio lungo il ciclo di vita del contratto, condizioni di uscita. Per tutti gli altri settori, ciò resta un utile orientamento ma non direttamente vincolante; valgono il recepimento nazionale e la guida dell'autorità.
Un'unica appendice per i fornitori, firmata da tutti, chiude l'articolo 21(2)(d).
La direttiva obbliga i soggetti ad affrontare gli aspetti relativi alla sicurezza del rapporto, che l'articolo 21(1) lega a un test di proporzionalità per fornitore. Un'unica appendice applicata in modo uniforme contraddice la proporzionalità e crea o piccoli fornitori sovracontrattualizzati o fornitori critici sottocontrattualizzati. L'artefatto difendibile è la policy di rischio fornitore più la classificazione del rischio per fornitore, con le clausole contrattuali derivate da tale classificazione.
La certificazione ISO 27001 sul lato fornitore sostituisce tutti i diritti di audit e di evidenza.
Una certificazione riconosciuta è evidenza accettabile per molte classi di rischio fornitore, ma l'articolo 21(2)(d) non nomina ISO 27001 e non delega l'obbligo a un certificatore. Il soggetto resta responsabile del rapporto ai sensi del §30 BSIG. Quando il rischio del fornitore è elevato o l'ambito della certificazione esclude il servizio utilizzato, restano appropriati diritti di verifica aggiuntivi. Il CIR Sezione 5 elenca esplicitamente molteplici forme di evidenza in parallelo.
I piccoli fornitori sono fuori dall'ambito dell'obbligo di sicurezza dei fornitori del soggetto.
L'articolo 21(2)(d) non esenta i piccoli fornitori. L'ambito NIS 2 proprio del fornitore ai sensi dell'articolo 2 è una questione separata. L'obbligo del soggetto è affrontare gli aspetti relativi alla sicurezza del proprio rapporto diretto con il fornitore indipendentemente dalle dimensioni del fornitore, calibrato sul rischio che quel fornitore introduce. Un hoster di backup di due persone che tratta dati critici attira più attenzione di un fornitore di catering di mille persone.
I revisori che esaminano la sicurezza dei fornitori nei soggetti NIS 2 chiedono tipicamente tre artefatti nell'ordine: la policy di rischio fornitore che fissa la logica di classificazione, l'inventario dei fornitori con la classificazione applicata e un campione di contratti per ciascuna classe di rischio che mostri come la policy si rifletta. Le clausole contrattuali stesse sono l'ultimo livello, non il primo.
Quando il soggetto usa la via Grundschutz del §44(2) BSIG, i Bausteine OPS.2 e CON.7 strutturano già la policy di rischio fornitore e il livello contrattuale. I soggetti al di fuori della Germania si affidano alla guida equivalente dell'autorità nazionale o, per i soggetti delle infrastrutture digitali, al CIR 2024/2690 Allegato Sezione 5. La direttiva stessa non impone un elenco uniforme di clausole.
Il modulo fornitori della piattaforma cattura gli artefatti che un revisore si aspetta: un inventario dei fornitori con classificazione del rischio, il servizio o asset collegato, la forma di evidenza concordata per fornitore (questionario, riferimento a certificazione, clausola di audit, evidenza puntuale) e il percorso di notifica degli incidenti che rientra nel flusso di lavoro di segnalazione dell'articolo 23 del soggetto stesso.
Il portale fornitori consente ai fornitori diretti di rispondere ai questionari e caricare evidenze tramite un accesso basato su token, così che la conversazione sia documentata in un unico posto. La piattaforma non pubblica modelli di contratto. Registra che la misura sul rapporto con i fornitori ai sensi del §30(2) n. 4 BSIG è in essere ed evidenziata per fornitore.
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 21(2)(d) e Articolo 21(1), EUR-Lex
- Considerando 85 e 90, Direttiva (UE) 2022/2555, EUR-Lex
- Regolamento di esecuzione (UE) 2024/2690 della Commissione, Allegato Sezione 5, EUR-Lex
- BSIG §30(2) n. 4 e §30(1), gesetze-im-internet.de
- BSI IT-Grundschutz Kompendium, moduli OPS.2 e CON.7, BSI
- ENISA Threat Landscape for Supply Chain Attacks, ENISA