Business Impact Analysis e Supply Chain per la NIS2
La disciplina introdotta dalla Direttiva (UE) 2022/2555, recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138, ha inciso in modo significativo sulla tradizionale rappresentazione dei rapporti di fornitura ICT, determinando una rilettura giuridica e organizzativa della supply chain quale componente strutturalmente integrata nel perimetro di sicurezza dei soggetti qualificati come essenziali o importanti. In tale prospettiva, la relazione con i fornitori tecnologici non viene più considerata come elemento meramente contrattuale o operativo, bensì come fattore capace di incidere direttamente sulla resilienza complessiva dei servizi erogati e sulla continuità delle funzioni critiche, con conseguente estensione degli obblighi di governo e controllo anche oltre i confini organizzativi dell’ente.
Gestione del rischio
La NIS2 impone, in termini non episodici bensì sistemici, che la gestione del rischio informatico includa una valutazione strutturata delle dipendenze esterne, delle interconnessioni tecnologiche e delle modalità attraverso cui terze parti contribuiscono all’erogazione di servizi rilevanti. L’articolo 21, comma 2, lettera d) della Direttiva prevede espressamente che le misure di sicurezza comprendano la “sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”.
Tale previsione è stata trasposta negli articoli 21 e 24 del D.Lgs. 138/2024, che impongono ai soggetti essenziali e importanti di valutare e gestire i rischi derivanti dalla propria catena di fornitura. Ne discende una responsabilizzazione rafforzata dell’organizzazione committente, chiamata a dimostrare non solo la selezione consapevole dei fornitori, ma altresì la capacità di governarne l’operato in coerenza con gli obiettivi di sicurezza, resilienza operativa e gestione degli incidenti.
La filiera ICT assume, pertanto, una configurazione giuridica che si avvicina a una vera e propria estensione funzionale dell’ente, rispetto alla quale l’assenza di presìdi di governance si traduce in un deficit di accountability difficilmente giustificabile.
Framework GV.SC e specifiche ACN
In tale contesto si colloca la categoria GV.SC (Gestione del rischio di cybersecurity della catena di approvvigionamento) del NIST Cybersecurity Framework 2.0, formalmente recepita dall’Agenzia per la Cybersicurezza Nazionale (ACN) nella Determinazione n. 164179 del 14 aprile 2025, contenente le specifiche tecniche di base per l’attuazione degli obblighi NIS2 in Italia, quale strumento di razionalizzazione e governo dei rapporti di fornitura in ambito cyber.
In particolare, la sezione 1.5 dell’Allegato 2 alla Determinazione disciplina le misure GV.SC-01, GV.SC-02, GV.SC-04, GV.SC-05 e GV.SC-07, articolando gli outcome attesi per una gestione efficace del rischio della supply chain: dalla definizione di programmi, strategie e politiche di approvvigionamento (GV.SC-01), all’attribuzione di ruoli e responsabilità per fornitori e partner (GV.SC-02), alla prioritizzazione dei fornitori in base alla criticità (GV.SC-04), all’integrazione dei requisiti di sicurezza nei contratti (GV.SC-05), fino alla valutazione e al monitoraggio continuo dei rischi lungo l’intera relazione contrattuale (GV.SC-07).
La sua rilevanza non risiede nella mera formalizzazione di controlli o clausole, bensì nella capacità di fornire una struttura concettuale idonea a collegare la dimensione contrattuale, quella organizzativa e quella tecnico-operativa, consentendo una lettura unitaria dei rischi derivanti dall’esternalizzazione di servizi ICT. Tale framework consente di superare una visione frammentata della supply chain, offrendo un modello di riferimento per l’inquadramento delle responsabilità, delle aspettative di sicurezza e dei meccanismi di verifica, in coerenza con le previsioni della NIS2 e con le esigenze di dimostrabilità verso le autorità competenti.
L’adozione di tale framework permette di collocare i fornitori all’interno di una mappa di dipendenze governate, nella quale ciascun rapporto viene qualificato non in astratto, ma in relazione all’impatto potenziale sul funzionamento dei servizi rilevanti. In tale senso, la governance dei fornitori non si esaurisce nella fase di onboarding o nella negoziazione delle condizioni economiche, bensì si sviluppa lungo l’intero ciclo di vita del rapporto, includendo la definizione di requisiti di sicurezza coerenti, la previsione di meccanismi di controllo, la gestione delle modifiche contrattuali e la valutazione delle condizioni di uscita o sostituzione.
Rilevanza delle attività di Business Impact Analysis
All’interno di tale architettura di governo, la Business Impact Analysis svolge una funzione ordinatrice di particolare rilievo. La BIA consente di attribuire significato giuridico e operativo al concetto di criticità, traducendo le dipendenze tecnologiche in termini di impatto sui processi, sui servizi e sugli obblighi regolamentari. Attraverso l’analisi delle conseguenze derivanti dall’indisponibilità o dal malfunzionamento di un servizio esternalizzato, la BIA permette di individuare le priorità di tutela e di calibrare le misure di sicurezza richieste ai fornitori in modo proporzionato e coerente con il rischio effettivo.
La relazione tra il framework GV.SC e Business Impact Analysis si configura, pertanto, come un rapporto di complementarità strutturale. La BIA fornisce il criterio sostanziale per la qualificazione delle dipendenze esterne, mentre il framework GV.SC offre il contenitore di governance entro il quale tali qualificazioni vengono tradotte in regole, presìdi e responsabilità. In particolare, la misura GV.SC-07 della Determinazione ACN richiede espressamente che la valutazione del rischio associato alle forniture consideri, tra gli altri elementi, l’impatto di una grave interruzione della fornitura e i tempi e costi di ripristino – parametri tipicamente derivanti proprio dall’analisi BIA.
Ne deriva una capacità rafforzata dell’organizzazione di dimostrare che le scelte in materia di supply chain non risultano arbitrarie, bensì fondate su valutazioni documentate e razionalmente connesse agli obiettivi di sicurezza e continuità operativa.
Conclusione
In una simile prospettiva, la gestione dei fornitori ICT assume una valenza che travalica la compliance formale, collocandosi sul piano della responsabilità organizzativa e della tenuta complessiva del modello di sicurezza. La NIS2, letta attraverso la lente del framework GV.SC recepito nelle specifiche tecniche ACN e della Business Impact Analysis, conduce a una concezione evoluta della supply chain, nella quale il controllo delle dipendenze esterne diviene espressione diretta della capacità dell’ente di governare il proprio rischio cibernetico. Tale impostazione consente di ricondurre la complessità dei rapporti di fornitura entro una cornice giuridicamente difendibile e tecnicamente sostenibile, idonea a rispondere alle esigenze di resilienza richieste dal legislatore europeo e alle aspettative di affidabilità dei servizi digitali.
Articolo a cura di: Avv. Francesco Capparelli – Chief Cyber Security Advisor presso ICT Cyber Consulting
Avvocato, Certified Ethical Hacker, Auditor ISO/IEC 27001, ISO 22301, ISO 37001 and ISO/IEC 20000-1, ISO 9001, ISO/IEC 42001, Master in Cybersecurity (misure di sicurezza, biometria ed IA) e in Diritto della Concorrenza e dell’Innovazione (big data e privacy).
Avvocato, Certified Ethical Hacker, Auditor di diversi schemi di certificazione (ISO/IEC 27001, ISO 22301, ISO 37001, ISO/IEC 20000-1, ISO 9001) e Project Manager. Chief Cybersecurity Advisor di ICT Cyber Consulting, Quality and Information Security Manager di ICTLC S.p.A., Of Counsel di ICT Legal Consulting, membro del CdA dell'Istituto Italiano per la Privacy e la Valorizzazione dei Dati e Senior Fellow Researcher nel framework Horizon Europe.
Autore di manuali, pubblicazioni e articoli scientifici sui temi relativi alla data protection e alla sicurezza informatica.
