digital-club-logo-orizzontale

NIS2 in Italia. Le scadenze che un CISO deve avere in agenda e cosa cambia su 3rd party risk e supply chain

1. Scadenze NIS2 da mettere in agenda (il “calendario del CISO”)

La parte che crea più incidenti di compliance è la finestra di registrazione e gli aggiornamenti annuali. Il D.lgs. 138/2024 fissa una logica ricorrente con quattro date chiave nell’art. 7 (Gazzetta Ufficiale).

  • 1 gennaio – 28 febbraio (ogni anno): registrazione o aggiornamento sulla piattaforma NIS, inclusa la designazione del punto di contatto (Gazzetta Ufficiale).
  • Entro 31 marzo (ogni anno): l’Autorità redige l’elenco dei soggetti essenziali e importanti e comunica inserimento, permanenza o espunzione (Gazzetta Ufficiale).
  • 15 aprile – 31 maggio (ogni anno): se avete ricevuto comunicazione di inserimento o permanenza, inviate o aggiornate informazioni aggiuntive (tra cui IP pubblici e domini). Per alcune categorie digitali ci sono ulteriori dettagli richiesti (Gazzetta Ufficiale).
  • Entro 14 giorni da ogni variazione: aggiornamento tempestivo dei dati già trasmessi (Gazzetta Ufficiale).

Queste scadenze vanno trattate come un processo continuo. L’errore tipico è gestirle “a ridosso” e scoprire che mancano owner, backup, dati consistenti e un canale interno per intercettare variazioni (nuovi domini, migrazioni cloud, cambi provider, riorganizzazioni).

Cosa fare davvero a livello operativo (non solo “registrarsi”)

Create un mini-processo “NIS registry ops” con owner, backup e controlli:

  1. Ownership: una persona responsabile della compilazione e una del controllo finale.
  2. Dati minimi sempre pronti: ragione sociale, sedi, contatti, punto di contatto e sostituto, domini, IP pubblici, perimetro servizi nei Paesi UE (se applicabile). (Gazzetta Ufficiale)
  3. Evidenza: screenshot o export dei dati inviati, con data e versione.
  4. Trigger: M&A, cambio provider, rebranding domini, nuove piattaforme cloud, cambio reperibilità h24.

2. Incident reporting. Tempi che impattano direttamente i fornitori

Se siete soggetti essenziali o importanti, la notifica verso CSIRT Italia ha tempi stringenti: pre-notifica entro 24 ore, notifica entro 72 ore, relazione finale entro 1 mese (più report mensili se l’incidente è ancora in corso), secondo l’art. 25 (Gazzetta Ufficiale).

Questo non è un dettaglio legale. È un requisito architetturale del vostro modello di sourcing: se un fornitore critico non vi avvisa in tempi compatibili, vi mette in condizione di non rispettare le scadenze e, soprattutto, vi costringe a operare con informazioni incomplete proprio nel tratto 24h/72h in cui servono decisioni rapide e tracciabili.

Qui conviene essere brutali su una cosa: se non avete un canale h24 e un flusso di escalation formalizzato con i vendor critici, state “scommettendo” sulla fortuna.

Requisito minimo da mettere nei contratti dei fornitori critici

  • Obbligo di notifica “senza ingiustificato ritardo” verso il cliente e canale h24.
  • Contenuto minimo: impatto, timeline, indicatori di compromissione (se disponibili), azioni di mitigazione. (Gazzetta Ufficiale)
  • Impegno a fornire aggiornamenti intermedi su richiesta e un report finale strutturato. (Gazzetta Ufficiale)
  • Subfornitori: obbligo di “flow-down” delle stesse clausole.

3. Supply chain e 3rd party risk. Cosa richiede davvero la NIS2

Il D.lgs. 138/2024 rende la supply chain una misura “obbligatoria” tra quelle minime: “sicurezza della catena di approvvigionamento”, inclusi i rapporti con fornitori diretti e provider di servizi (art. 24, Gazzetta Ufficiale).

E aggiunge un punto spesso sottovalutato: quando decidete quali misure adottare, dovete tenere conto delle vulnerabilità specifiche di ciascun fornitore e della qualità complessiva dei prodotti e delle pratiche di sicurezza dei fornitori, incluse le loro procedure di sviluppo sicuro (Gazzetta Ufficiale).

Questo sposta il baricentro da “questionario una volta l’anno” a “assurance continuo e proporzionato”. Per un CISO significa due cose molto pratiche. Primo: smettere di trattare tutti i fornitori allo stesso modo. Secondo: costruire un set minimo di requisiti, evidenze e controlli ripetibili, che non dipenda dal singolo buyer o dal singolo contratto.

Traduzione pratica in 10 controlli da CISO

  1. Mappatura dipendenze: quali servizi e processi critici dipendono da quali fornitori (non solo IT).
  2. Tiering: 3 livelli (critico, rilevante, ordinario) con requisiti diversi.
  3. Requisiti minimi per tier critico: MFA, logging, segregazione, patching, vulnerability management, secure configuration, backup e restore testato.
  4. Supply chain software: SBOM dove sensato, gestione dipendenze, policy di disclosure vulnerabilità, tempi di remediation.
  5. Accessi privilegiati dei fornitori: account nominativi, MFA, JIT/JEA dove possibile, session recording per i casi ad alto rischio.
  6. Evidenze “al posto dell’audit”: report indipendenti, certificazioni, penetration test summary, attestazioni su secure SDLC, risultati vulnerability scanning.
  7. Notifica incidenti contrattuale compatibile con 24h/72h: (Gazzetta Ufficiale)
  8. Subfornitori: disclosure e controllo della catena (flow-down).
  9. Exit e resilienza: piani di sostituzione, portabilità dati, test di recupero e di continuità.
  10. Esercitazioni: table-top con fornitori critici su scenari supply chain.

Su questo, due riferimenti utili per costruire un set di controlli pragmatico: le buone pratiche di ENISA sulla supply chain (molto concrete) e la guidance di implementazione sulle misure di gestione del rischio (utile per impostare evidenze e controlli). (enisa.europa.eu)

4. Governance. Cosa serve al CISO per “chiudere il cerchio”

Un punto chiave per evitare che la NIS2 resti confinata alla security è l’articolo sugli organi di amministrazione e direttivi: devono approvare le modalità di implementazione delle misure, sovrintendere e sono responsabili delle violazioni. Inoltre è previsto un obbligo di formazione per gli organi e la promozione di formazione periodica ai dipendenti (art. 23, Gazzetta Ufficiale).

Pacchetto “board-ready” in 3 output

  • Una pagina: rischio e dipendenze critiche (top 10 fornitori, top 10 scenari).
  • KPI trimestrali: copertura tiering, gap remediation, tempi di notifica simulati, risultati esercitazioni.
  • Decisioni da board: appetito al rischio supply chain, budget, soglie minime di assurance, linea su audit e subfornitori.

5. Piano 30-60-90 giorni (se dovete partire adesso)

Primi 30 giorni: inventario fornitori e tiering, revisione contratti critici (almeno clausola notifica), definizione canali e reperibilità, simulazione interna 24h/72h. (Gazzetta Ufficiale)

Entro 60 giorni: standard “security schedule” contrattuale, onboarding/offboarding formalizzato, controllo accessi privilegiati fornitori, evidenze minime raccolte. (Gazzetta Ufficiale)

Entro 90 giorni: esercitazione supply chain con 1-2 fornitori critici, test di continuità (restore/DR), reporting al management coerente con l’articolo sulla governance. (Gazzetta Ufficiale)

6. I nostri incontri sulla supply chain

Nel 2026, con Digital Club / Cyber, abbiamo messo in calendario una serie di incontri dedicati ai CISO con giochi table-top focalizzati proprio su Supply Chain & Third Party Risk. L’obiettivo è lavorare su scenari realistici, decisioni sotto pressione e pratiche concrete da portare a casa, insieme ad altri pari ruolo. Se vi interessa partecipare, consultate la pagina degli eventi per vedere date e location nelle principali città italiane.

Scarica il nostro promemoria

Fonti principali citate

  • Testo del D.lgs. 138/2024 su Gazzetta Ufficiale: art. 7 (scadenze), art. 23 (governance), art. 24 (supply chain), art. 25 (notifica incidenti). (Gazzetta Ufficiale)
  • ENISA: Good practices for supply chain cybersecurity (2023) e Technical implementation guidance on cybersecurity risk management measures (2025). (enisa.europa.eu)

Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *