Art. 21(2)(d) + Art. 23 NIS 2

Un fornitore viene violato. Cosa richiede NIS 2 al soggetto?

L'articolo 21(2)(d) NIS 2 pone la sicurezza della catena di approvvigionamento in capo al soggetto. L'articolo 23 disciplina la notifica degli incidenti. Entrambi si applicano quando un fornitore interessato espone i servizi propri del soggetto.

Simon OrzelSimon Orzel·

Cosa copre questa pagina

L'articolo 21(2)(d) NIS 2 richiede ai soggetti di adottare misure adeguate e proporzionate per affrontare il rischio per la sicurezza della catena di approvvigionamento riguardante i propri sistemi informatici e di rete. L'obbligo grava sul soggetto, non sul fornitore. La direttiva non disciplina i fornitori che sono essi stessi fuori dall'ambito di applicazione; disciplina il modo in cui il soggetto rientrante nell'ambito li gestisce.

Quando un fornitore diretto viene violato, ne conseguono due questioni distinte. Primo, se l'erogazione dei servizi propri del soggetto sia stata interessata, il che può far scattare una notifica di incidente ai sensi dell'articolo 23 a livello del soggetto. Secondo, se la catena di notifica contrattuale ai sensi dell'articolo 21(2)(d) stia funzionando, in modo che il soggetto venga a conoscenza della violazione entro il tempo concordato e sul canale concordato.

Una violazione presso il fornitore interessato non è, di per sé, un incidente notificabile per il soggetto. Lo diventa quando la violazione causa un incidente significativo presso il soggetto ai sensi dell'articolo 23(3) NIS 2.

Ancoraggio giuridico
Tre livelli disciplinano la situazione. La direttiva pone l'obbligo, il regolamento di esecuzione lo specifica per i soggetti dell'infrastruttura digitale, la legge nazionale lo recepisce.

Articolo 21(2)(d) NIS 2

sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi fornitori diretti o fornitori di servizi.

L'articolo riguarda il rapporto con i fornitori diretti, non il fornitore in sé. Il soggetto resta responsabile della gestione di tale rapporto, anche per gli incidenti che da esso si propagano.

Considerando 90 NIS 2

i soggetti dovrebbero valutare e tenere conto della qualità e della resilienza complessive dei prodotti e dei servizi, delle misure di gestione del rischio di cybersicurezza in essi integrate e delle prassi di cybersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.

Il considerando 90 spiega la logica di policy dietro l'articolo 21(2)(d). Inquadra la sicurezza della catena di approvvigionamento come una valutazione continua della postura del fornitore, non come una verifica una tantum all'onboarding.

Articolo 23(3) NIS 2

un incidente è considerato significativo se: (a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; (b) si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

L'articolo 23(3) definisce la soglia di significatività a livello del soggetto. Un incidente presso un fornitore è giudicato attraverso questa lente una volta che raggiunge i servizi propri del soggetto.

Tre cose che il soggetto deve fare
Rilevamento, valutazione della dipendenza e una decisione sulla notifica. In quest'ordine.
Rilevamento

Venire a conoscenza della violazione in tempo

L'articolo 21(2)(d) si operazionalizza in una clausola contrattuale. Il fornitore interessato deve notificare al soggetto entro un tempo definito e su un canale definito. Senza tale clausola il soggetto lo apprende dai comunicati stampa, il che è troppo tardi per una tempistica dell'articolo 23.

Dipendenza

Valutare l'esposizione propria del soggetto

La questione non è se il fornitore sia in difficoltà. La questione è se i sistemi informatici e di rete propri del soggetto, o i servizi che esso fornisce, siano interessati. È un esercizio fattuale: quali dati, quale interfaccia, quale dipendenza, quale soluzione di ripiego.

Notifica

Decidere sulla notifica propria del soggetto

Se i servizi propri del soggetto superano la soglia dell'articolo 23(3), il soggetto presenta il preallarme entro 24 ore, la notifica dell'incidente entro 72 ore e la relazione finale entro un mese. La notifica è presentata dal soggetto per il soggetto, anche se la causa principale risiede presso il fornitore.

Due principi che le persone fraintendono
Non sono opinioni legali. Sono descrizioni di ciò che la direttiva colloca dove.

L'obbligo grava sul soggetto

L'articolo 21 elenca le misure che il soggetto deve adottare. Non disciplina il fornitore. Se il fornitore interessato rientra esso stesso nell'ambito di applicazione di NIS 2, ha i propri obblighi. Tali obblighi non sostituiscono quelli del soggetto; corrono in parallelo.

Il contratto prima della crisi

Il considerando 90 si attende che il rapporto con il fornitore sia valutato prima che si verifichi un incidente. La catena di notifica, l'obbligo di cooperazione, il diritto a ricevere prove: questi vivono nel contratto. Dopo una violazione è il momento sbagliato per negoziarli.

Visione nazionale
La Germania recepisce la direttiva attraverso il BSIG. L'obbligo sostanziale dell'articolo 21(2)(d) è attuato tramite il §30 BSIG, la tempistica di notifica tramite il §32 BSIG.
Germania

§30 + §32 BSIG

Il §30 BSIG porta nel diritto tedesco l'obbligo di gestione del rischio della catena di approvvigionamento. Il §32 BSIG porta la struttura di notifica 24h / 72h / un mese. Il soggetto notifica attraverso il Meldeportal del BSI, indipendentemente da dove sia avvenuta la violazione di origine.

EU

ENISA Threat Landscape for Supply Chain

L'ENISA pubblica materiale annuale sugli schemi di attacco alla catena di approvvigionamento e sulla prassi di notifica. È materiale di riferimento per la metodologia di rischio del soggetto ai sensi dell'articolo 21(2)(d), non un obbligo separato.

Settore

Orientamenti del CSIRT di settore

Per i soggetti dell'infrastruttura digitale, il regolamento di esecuzione della Commissione 2024/2690 specifica i requisiti della catena di approvvigionamento al livello di dettaglio successivo. Gli altri settori seguono direttamente l'articolo 21(2)(d), affinato dagli orientamenti nazionali e dai CSIRT di settore.

Tre letture errate comuni
Ciascuna ricorre regolarmente. Ciascuna è errata per una ragione specifica.
  • "È un problema del fornitore."

    L'articolo 21(2)(d) pone l'obbligo della catena di approvvigionamento in capo al soggetto. Il fornitore può avere o meno propri obblighi NIS 2 a seconda che rientri nell'ambito di applicazione. L'obbligo del soggetto esiste in ogni caso.

  • "Il fornitore notifica, quindi il soggetto non deve farlo."

    Un fornitore rientrante nell'ambito di applicazione di NIS 2 notifica il proprio incidente significativo. Tale notifica non soddisfa l'articolo 23 per il soggetto. Se i servizi propri del soggetto raggiungono la soglia dell'articolo 23(3), il soggetto presenta una notifica separata a livello del soggetto.

  • "L'IT sorveglia il fornitore, non serve coinvolgere la direzione."

    L'articolo 20 NIS 2 richiede che l'organo di gestione approvi le misure di gestione del rischio di cybersicurezza e ne supervisioni l'attuazione. Il monitoraggio della catena di approvvigionamento è una di tali misure. Un processo IT silenzioso senza l'approvazione dell'organo di gestione non soddisfa l'articolo 20.

Visione del professionista

La parte difficile è raramente la notifica. La parte difficile è la valutazione della dipendenza sotto pressione di tempo. Se il soggetto non sa già quale fornitore tocca quale servizio, quali dati e attraverso quale interfaccia, le prime ore dopo una violazione del fornitore vengono spese a ricostruire quella mappa invece che ad agire su di essa.

Un inventario degli asset e dei fornitori che elenca, per ciascun fornitore, il servizio interessato, la categoria di dati e il canale di notifica contrattuale trasforma una violazione del fornitore da un'emergenza in una routine. La direttiva non prescrive il formato di tale inventario. Richiede però che esista in una forma che il soggetto possa effettivamente usare.

Come si inserisce la piattaforma

La piattaforma mantiene un registro dei fornitori collegato ai servizi del soggetto e un campo di notifica contrattuale per ciascun fornitore. Quando viene registrata una violazione di un fornitore, i servizi interessati emergono immediatamente e il timer di notifica dell'articolo 23 può partire su una mappa di dipendenze pulita.

L'approvazione dell'organo di gestione sull'approccio al rischio della catena di approvvigionamento è acquisita come approvazione una tantum con un audit trail versionato. Lo stesso trail registra ogni violazione di un fornitore e la decisione di significatività ai sensi dell'articolo 23(3) presa dal soggetto, in modo che la valutazione sia riesaminabile in seguito.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2), articolo 20, articolo 21(2)(d), articolo 23, considerando 90. EUR-Lex.
  • Regolamento di esecuzione (UE) 2024/2690 della Commissione, requisiti della catena di approvvigionamento per i soggetti dell'infrastruttura digitale.
  • BSIG (Germania), §30 (misure di gestione del rischio), §32 (notifica degli incidenti).
  • ENISA Threat Landscape for Supply Chain Attacks, edizione annuale.
Scopri se NIS 2 si applica al soggetto
Cinque minuti. Verifica dei settori dell'allegato I / II più la soglia dimensionale. Nessun account necessario per vedere il risultato.