La filiera digitale sotto la lente della NIS2: la Digital SME Guide

La direttiva (UE) 2022/2555 (direttiva NIS2) del 14 dicembre 2022 costituisce un aggiornamento della direttiva (UE) 2016/1148 (direttiva NIS) e segna un passaggio rilevante nell’evoluzione della regolazione europea della cibersicurezza, poiché amplia l’oggetto della protezione oltre il perimetro del singolo soggetto regolato e lo estende alla sua catena di approvvigionamento digitale[1].

I sistemi informatici e di rete rivestono ormai una posizione centrale nella vita di tutti giorni e negli scambi transfrontalieri. Negli ultimi anni, inoltre, l’Unione Europea ha dovuto far fronte a un aumento esponenziale di attacchi ransomware, in cui i malware criptano dati e sistemi e chiedono il pagamento di un riscatto per il rilascio. Tra i fattori determinati di tale crescita figura anche l’aumento degli attacchi contro la catena di approvvigionamento[2]. Simili attacchi non solo hanno un impatto sulle piccole e medie imprese e sulle loro operazioni isolatamente, ma possono anche avere un effetto a cascata nei confronti dei soggetti di cui essi sono i fornitori[3].

Digital SME Guide: NIS2, cybersecurity e supply chain per le PMI

Le piccole e medie imprese (PMI) stanno diventando sempre più il bersaglio di attacchi informatici a causa delle loro misure meno rigorose di gestione del rischio di cibersicurezza e di gestione degli incidenti, nonché della limitata disponibilità di risorse destinate alla sicurezza delle informazioni.

Comprendere e conformarsi agli aggiornamenti normativi in tema di cibersicurezza diviene dunque essenziale per le PMI, non solo per evitare possibili sanzioni e conseguenze legali sul piano della conformità normativa, ma anche per costruire e mantenere la fiducia dei propri clienti[4].

A livello nazionale, la direttiva NIS2 è stata recepita dal d. lgs. 4 settembre 2024, n. 138, che, all’art. 24, colloca la sicurezza della catena di approvvigionamento tra le misure di gestione dei rischi per la sicurezza informatica; nello stesso senso dispongono le Linee Guida NIS sulle “Specifiche di base”, da ultimo aggiornate ad aprile 2026, nonché la determinazione ACN 379907/2025 del 18.12.2025 e i relativi allegati sulle “Misure di sicurezza di base” per i soggetti essenziali e importanti pubblicate dall’Agenzia per la cibersicurezza nazionale (ACN) sul sito istituzionale[5].

Casi concreti di attacco alla filiera digitale

L’esigenza di regolare i rischi di sicurezza lungo la filiera di approvvigionamento digitale dei soggetti obbligati ha preso le mosse anche alla luce dei numerosi attacchi informatici che hanno colpito fornitori di servizi ICT, producendo effetti lesivi a cascata su tutti i soggetti coinvolti.

Alla fine del 2020, la piattaforma SolarWinds Orion, una delle soluzioni IT Monitoring più diffuse a livello globale tra enti pubblici e privati (per citarne alcuni, tra gli utilizzatori della piattaforma risultavano Microsoft, Harvard University, New York Times, Telecom Italia), ha subìto un attacco informatico che ne ha causato la compromissione, esponendo anche i sistemi informatici dei clienti che lo utilizzavano.

Gli attaccanti avevano modificato un plugin del software in modo che tramite un aggiornamento legittimo della piattaforma venisse installata una backdoor controllata dagli attaccanti, al fine di accedere in maniera occulta ai sistemi informatici di tutti i soggetti coinvolti lungo la filiera, compresi i clienti finali.

Un episodio analogo si è verificato nel 2021 con l’attacco al fornitore di servizi informatici americano, Kaseya e, in particolare, al software VSA di monitoraggio e gestione remota delle infrastrutture IT, di sua produzione: gli attaccanti hanno distribuito un ransomware a vari clienti di Kaseya, chiedendo il relativo riscatto[6]. Più recentemente, il caso MOVEit Transfer ha confermato come tra i bersagli degli attacchi informatici vi siano le PMI: in questo caso gli attaccanti hanno sfruttato una vulnerabilità del software MOVEit Transfer, soluzione di Managed File Transfer (MFT) sviluppata da Progress Software, per penetrare nei data base di varie organizzazioni a livello mondiale ed esfiltrare una quantità massiva di dati.

La Digital SMEs Guide come strumento operativo per le PMI

Ferma restando la rilevanza delle organizzazioni di dimensioni maggiori, la direttiva NIS2 si applica anche alle PMI che siano fornitori di reti o servizi pubblici di comunicazione elettronica, servizi fiduciari o sistemi di dominio; inoltre, la direttiva si applica anche ad entità più piccole se considerate critiche per le attività sociali o economiche oppure se rappresentano l’unico fornitore di un servizio all’interno di uno Stato Membro[7].

Per comprendere quali misure possano essere concretamente adottate dalle PMI ai fini dell’adeguamento agli obblighi previsti dalla direttiva NIS2, assume particolare rilievo l’attività della European DIGITAL SME Alliance, la più ampia rete europea di PMI del settore ICT, che si impegna a promuovere e sviluppare le competenze digitali per le PMI e riunisce oltre 45.000 imprese digitali attraverso varie associazioni nazionali e regionali di Stati membri e Paesi vicini.

Tale Associazione, nel mese di luglio 2025, ha pubblicato una guida operativa per le PMI, denominata “DIGITAL SME Blueprint Guide to the NIS2 Directive for SMEs” (nel prosieguo, definita anche “Guida DIGITAL SME”, proprio al fine di supportarle nel rafforzamento della sicurezza e nella migliore comprensione degli obblighi derivanti dalla direttiva NIS2, offrendo spunti operativi particolarmente utili. Nei paragrafi che seguono ne verranno illustrati alcuni ritenuti particolarmente interessanti, rimandando alla lettura completo del documento per gli ulteriori approfondimenti.

L’allineamento con la ISO/IEC 27001

La domanda alla quale la DIGITAL SME Blueprint Guide to the NIS2 Directive for SMEs cerca di rispondere verte su cosa possano fare i fornitori per rafforzare la propria struttura di sicurezza, soddisfare i requisiti NIS2 e diventare partner affidabili per la propria clientela.

Un primo spunto interessante riguarda il rapporto tra i requisiti della NIS2 e gli standard internazionali già conosciuti e utilizzati dalle imprese, in particolare la ISO/IEC 27001. La guida chiarisce infatti che, per i fornitori che già rispettano tale standard, esiste una concreta opportunità di semplificazione nel percorso di adeguamento ai requisiti NIS2, poiché molte delle misure richieste dalla direttiva trovano già corrispondenza nei controlli previsti dalla ISO[8]. Un rilievo di non poco conto per le PMI, che spesso non dispongono delle risorse necessarie per costruire da zero un sistema di gestione del rischio di sicurezza interamente nuovo.

Un primo esempio riguarda la valutazione e gestione del rischio. La Guida DIGITAL SME richiama, tra gli altri, i controlli ISO/IEC 27001 A.5.1, A.5.2, A.5.3, A.5.4, A.5.31 e A.5.37, relativi, in particolare, a:

• procedure per la sicurezza delle informazioni, che l’Organo Dirigente deve definire, approvare, pubblicare, diffondere alla popolazione aziendale e aggiornare all’occorrenza (A.5.1);
• definizione di ruoli e responsabilità per la sicurezza delle informazioni in relazione alle necessità dell’impresa (A.5.2);
• separazioni dei ruoli (A.5.3);
• responsabilità dell’Organo Dirigente, che deve richiedere alla popolazione aziendale il rispetto delle procedure di cui sopra approvate (A.5.4);
• l’impegno dell’impresa al rispetto e alla conformità ai requisiti legali e contrattuali (A.5.31);
• la definizione di procedure operative documentate da diffondere al personale aziendale (A.5.37).

Secondo la guida, tali controlli sono coerenti con l’art. 21, par. 2, lett. a), della NIS2, che impone l’adozione di politiche di analisi del rischio e sicurezza dei sistemi informativi. Di conseguenza, una PMI che abbia già formalizzato ruoli, responsabilità, procedure e ciclo di gestione del rischio secondo una logica ISO dispone di un impianto conforme alla NIS2.

Un secondo esempio riguarda la sicurezza nei rapporti con i fornitori. La Guida DIGITAL SME richiama i controlli ISO/IEC 27001 A.5.19, A.5.20, , A.5.22 e A.5.23, relativi alla necessità che i fornitori formalizzino nei contratti i requisiti di sicurezza delle informazioni, quali ad esempio, la protezione dei dati, i controlli di accesso e le notifiche delle violazioni.

Nello specifico, la ISO/IEC richiede che l’impresa definisca e attui processi e procedure idonei a gestire i rischi per la sicurezza delle informazioni connessi all’uso di prodotti e servizi dei fornitori (A.5.19) e che, nell’ambito del rapporto di fornitura, impresa e fornitore individuino i requisiti necessari a garantire tale sicurezza, recependoli altresì nei relativi contratti e/o accordi (A.5.20)[9].

Non solo. Secondo quanto previsto dalla ISO/IEC, l’impresa deve definire e attuare processi e procedure anche in relazione alla gestione della sicurezza delle informazioni nella catena di fornitura (A.5.21).

Inoltre, la ISO/IEC impone all’impresa il monitoraggio, la valutazione e la gestione dei cambiamenti nelle pratiche di sicurezza delle informazioni dei propri fornitori (A.5.22).

Sono infine previste prescrizioni specifiche per i fornitori di servizi cloud: negli accordi tra l’impresa e il fornitore dovrebbero essere definiti almeno i processi per l’acquisizione, l’uso, la gestione e l’uscita dai servizi cloud in conformità ai requisiti di sicurezza delle informazioni dell’impresa medesima (A.5.23).

Tali controlli sono messi in relazione con l’art. 21, par. 2, lett. d), della NIS2, che prescrive la supply chain security, inclusi gli aspetti di sicurezza concernenti i rapporti con fornitori diretti e fornitori di servizi.

Un ulteriore profilo attiene alla risposta agli incidenti. L’art. 21, par. 2, lett. b), e l’art. 23 della direttiva impongono ai soggetti obbligati di strutturare processi di gestione degli incidenti e di segnalazione. Ebbene, la Guida DIGITAL SME richiama in tema i controlli ISO/IEC 27001 A.5.24, A.5.25, A.5.26, A.5.28, A.6.8, A.8.15 e A.8.16.

La ISO/IEC citata, in particolare, prescrive alle imprese:

• la pianificazione e preparazione alla gestione degli incidenti, mediante la definizione e la comunicazione di processi, ruoli e responsabilità (A.5.24):
• l’implementazione di procedure di valutazione degli eventi di sicurezza e decisione in merito alla classificazione degli stessi come incidenti di sicurezza (A.5.25);
• la definizione e attuazione di procedure idonee alla identificazione, raccolta, acquisizione e conservazione delle prove relative a eventi di sicurezza delle informazioni (A.5.28), nonché l’implementare di adeguati registri che tengano traccia delle attività e degli eventi rilevanti in tema di incidenti di sicurezza (A.8.15);
• l’organizzazione deve inoltre definire procedure specifiche per la gestione degli incidenti (A.5.26), monitorare le reti e i sistemi per il rilevamento di comportamenti anomali , nonché adottare meccanismi che consentano al personale di segnalare eventi di sicurezza critici o sospetti (A.6.8)[10].

Da ultimo, è rilevante anche il profilo relativo alla continuità operativa e resilienza. La guida mette in relazione quanto richiesto dalla NIS2, all’art. 21, par. 2, lett. c) con la ISO/IEC 27001 anche in tale ambito. I controlli ISO/IEC 27001 richiamati sono i seguenti A.5.29, A.5.30, A.5.37, A.7.11, A.8.13 e A.8.14 e riguardano l’implementazione di misure idonee a garantire la ridondanza delle strutture di elaborazione, il backup delle informazioni, la protezione dalle interruzioni di corrente o altri malfunzionamenti delle strutture di supporto, l’adozione procedure operative documentate, la pianificazione e implementazione della prontezza ICT per la continuità operativa e il mantenimento della sicurezza delle informazioni durante le interruzioni.

In altri termini, i fornitori dovrebbero sviluppare e testare regolarmente piani di continuità operativa, comprese strategie di backup e ripristino. Tali piani dovrebbero tenere conto delle dipendenze da altri fornitori e includere procedure per mantenere i servizi critici durante le interruzioni[11].

Naturalmente, sarebbe riduttivo affermare che la sola adozione della ISO/IEC 27001 sia sufficiente, di per sé, a garantire la piena conformità alla direttiva NIS2. Tuttavia, essa rappresenta, soprattutto per le PMI, una base organizzativa e metodologica solida per strutturare la sicurezza delle informazioni in modo coerente alla logica della direttiva e per avviare un percorso di adeguamento più consapevole e sostenibile.

Fornitori di software open source

Tra gli aspetti più interessanti della Guida DIGITAL SME vi è il focus specifico dedicato ai fornitori di Free and Open-Source Software (FOSS) e, più in generale, alle PMI che sviluppano o integrano prodotti digitali basati su componenti e dipendenze di terze parti.

Molte PMI, infatti, non forniscono un software interamente “chiuso” e autosufficiente, ma operano all’interno di ecosistemi modulari, nei quali la qualità della sicurezza dipende anche dalla capacità di governare correttamente dipendenze esterne, versioni, vulnerabilità note e processi di aggiornamento.

La guida osserva, in particolare, che tali fornitori devono essere in grado di dimostrare sia di avere svolto una valutazione preventiva dei rischi connessi alle dipendenze impiegate, verificandone vulnerabilità, stato di manutenzione e licenze, sia di aver implementato un meccanismo di monitoraggio costante.

Tra gli strumenti utili alla realizzazione di tali obiettivi figurano strumenti di monitoraggio delle vulnerabilità come Dependabot, Snyk o OSS Index, nonché la predisposizione di una Software Bill of Materials (SBOM), ossia un elenco di tutti i componenti e le dipendenze dell’applicazione software fornita, con indicazione delle rispettive versioni e del relativo stato di sicurezza. In questo modo, il fornitore può offrire al cliente un livello di visibilità e tracciabilità idoneo a rafforzare la fiducia e agevolare le attività di audit.

Sul tema, ACN ha aderito e contribuito al documento “A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity”, pubblicato dall’Agenzia per la cibersicurezza degli Stati Uniti (CISA) il 3 settembre 2025, insieme a numerose agenzie di cibersicurezza di diversi Paesi, che contiene una visione condivisa sull’importanza delle SBOM ed evidenzia i vantaggi derivanti dal loro utilizzo in termini di cibersicurezza e trasparenza del software, lungo tutta la filiera[12].

La SBOM ha quindi assunto, a livello internazionale, un valore strategico nella relazione tra fornitore e cliente obbligato ai sensi della NIS2: se il cliente NIS2 è chiamato a valutare la sicurezza dei propri fornitori e delle componenti tecnologiche su cui essi si basano, la possibilità di disporre di una SBOM consente alla PMI di offrire un livello di trasparenza e tracciabilità molto più elevato rispetto a una semplice dichiarazione di conformità o a una generica policy interna.

Le risorse umane come ulteriore profilo strategico

Un ulteriore profilo che merita attenzione è quello della sicurezza del personale e, più in generale, delle pratiche di gestione delle risorse umane.

In particolare, la direttiva NIS2, all’art. 21, lett. g) e i) prescrive pratiche di igiene informatica di base e formazione in materia di cibersicurezza e misure di sicurezza delle risorse umane; nello stesso senso, la Guida Digital SME dedica un paragrafo alla sicurezza delle risorse umane, all’interno del quale si focalizza sull’importanza di mettere i dipendenti in condizione di comprendere e agire in conformità alle proprie responsabilità in materia di sicurezza delle reti e dei sistemi informativi.

Nello specifico, tra le misure individuate dalla guida, si rinvengono, tra le altre: l’implementazione di meccanismi per l’assunzione di personale qualificato, quali controlli di referenze, procedure di screening, validazione di certificazioni o test scritti; la previsione di regolare formazione di sensibilizzazione sulle pratiche di igiene informatica adattata ai diversi ruoli; l’applicazione di formazione sulla sicurezza al personale che passa a nuove posizioni o ruoli che richiedono competenze e professionalità rilevanti per la sicurezza; la verifica, ove applicabile, del background di dipendenti, fornitori diretti e prestatori di servizi; l’istituzione di un processo disciplinare per gestire le violazioni delle policy di sicurezza delle reti e dei sistemi informativi[13].

Uno spunto interessante riguarda l’opportunità di svolgere controlli sui precedenti penali e sulle pregresse esperienze professionali per i dipendenti e il personale terzo con accesso regolare ai locali dell’organizzazione, nel rispetto di leggi, regolamenti ed etica. Inoltre, la guida suggerisce di far firmare accordi di non divulgazione a tutti i dipendenti e al personale terzo prima di qualsiasi interazione con le informazioni dell’organizzazione; inoltre, i relativi contratti dovrebbero richiedere l’osservanza delle policy di sicurezza delle informazioni dell’organizzazione, con conseguenze chiaramente definite in caso di violazione, anche dopo cambi di posizione o cessazione del rapporto.

Non meno importante è la conservazione e l’archiviazione della documentazione che possa provare la sicurezza delle risorse umane: ad esempio, mansionari, prove documentate di regolari sessioni formative sulla sicurezza delle reti e dei sistemi informativi per dipendenti, fornitori diretti e prestatori di servizi; dichiarazioni firmate di presa visione e accettazione della policy da parte di dipendenti, fornitori diretti e prestatori di servizi; report di audit interni o esterni che valutino comprensione e attuazione delle responsabilità di sicurezza; inclusione delle responsabilità di sicurezza nelle valutazioni delle prestazioni dei dipendenti; contratti con fornitori diretti e prestatori di servizi contenenti clausole sulle responsabilità di sicurezza e sulla conformità alle policy dell’entità.

Conclusioni

Uno dei meriti principali della prospettiva offerta dalla DIGITAL SME Blueprint Guide to the NIS2 Directive for SMEs è quello di sottrarre la cibersicurezza a una lettura esclusivamente difensiva o sanzionatoria e di collocarla anche sul terreno del vantaggio competitivo. Nella filiera digitale disciplinata dalla NIS2, infatti, la sicurezza non opera più soltanto come obbligo da adempiere o costo da sopportare, ma anche come criterio di qualificazione del fornitore. I soggetti obbligati sono chiamati a presidiare il rischio dei propri fornitori e, di conseguenza, privilegiano fornitori in grado di offrire non solo servizi tecnicamente adeguati, ma anche una gestione consapevole e trasparente della sicurezza.

La PMI in grado di dimostrare la propria affidabilità su questo fronte può rafforzare il proprio posizionamento nella filiera e presentarsi come fornitore virtuoso.

Fonti:

[1]V. art. 21, comma 2, lett. d) della direttiva NIS2 che, tra le misure tecniche, operative e organizzative adeguate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete, prescrive la “sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”;

[2]Cfr. Considerando 54 della direttiva NIS2.

[3]Cfr. Considerando 56 della direttiva NIS2.

[4]Cfr. A blueprint to the network and information systems directive update (NIS2) – step by step guide for SMEs, Digital SME Alliance, pag. 2.

[5]Cfr. Documento Linee guida NIS – Specifiche di base – Guida alla lettura, Linee Guida NIS – Specifiche di base – Per la definizione del processo di gestione degli incidenti di sicurezza informatica; Determinazione ACN 379907/2025 del 18.12.2025 nonchèAllegato 1, recante “Misure di sicurezza per i soggetti importanti” e Allegato 2, recante “Misure di sicurezza di base per i soggetti essenziali”, consultabili sul sito di ACN, al seguente link https://www.acn.gov.it/portale/nis/modalita-specifiche-base

[6]cfr. sito istituzionale ACN, pagina Alert e bollettini, Attacco ransomware alla piattaforma software VSA di Kaseya (AL01/210705/CSIRT-ITA), disponibile al seguente link: https://www.acn.gov.it/portale/w/attacco-ransomware-alla-piattaforma-software-vsa-di-kaseya-al01/210705/csirt-ita-.

[7]Per un ulteriore approfondimento sull’ambito di applicazione della direttiva NIS2, si invita a consultare l’art. 2 della direttiva NIS2 e DIGITAL SME Blueprint Guide to the NIS2 Directive for SMEs, Digital SME Alliance, pag. 6. Tale guida contiene altresì un test operativo dedicato alle imprese che vogliano capire se rientrano o meno nell’ambito di applicazione della direttiva.

[8]cfr. Cfr. DIGITAL SME Blueprint Guide to the NIS2 Directive for SMEs, Digital SME Alliance, pag. 13; V. art. 21 direttiva NIS2.

[9]Per ulteriori indicazioni, v. DIGITAL SME Blueprint Guide to the NIS2 Directive for SMEs, Digital SME Alliance, pag. 15.

[10]Per ulteriori indicazioni, v. DIGITAL SME Blueprint Guide to the NIS2 Directive for SMEs, Digital SME Alliance, pag. 16.

[11]v. DIGITAL SME Blueprint Guide to the NIS2 Directive for SMEs, Digital SME Alliance, pag. 17.

[12]il documento è consultabile al seguente link: https://www.acn.gov.it/portale/w/una-visione-condivisa-delle-software-bills-of-materials-sbom-per-la-cybersicurezza

[13]cfr. v. DIGITAL SME Blueprint Guide to the NIS2 Directive for SMEs, Digital SME Alliance, pag. 31.