Una delle ragioni dell'evoluzione della direttiva NIS nella NIS2 è la necessità di difendersi dagli attacchi di tipo supply chain. In questi attacchi, la minaccia colpisce un fornitore di moduli, hardware o software che, una volta inseriti in un sistema, permettono di attaccarlo. Strettamente collegato ai supply chain attacks è anche l'executive order 14028 sul Software Bill of Materials del Presidente USA.
Attacchi di questo tipo sono estremamente pericolosi perché i fornitori sono spesso piccole e medie imprese che non riescono ad adottare misure di sicurezza adeguate alla criticità dei sistemi sviluppati dall'utilizzatore finale dei loro prodotti. Questo problema evidenzia come robustezza e resilienza non siano proprietà dei singoli sistemi, ma dell'ecosistema informativo complessivo a cui tali sistemi appartengono.
Quella di ecosistema informativo è una nozione importante legata non solo alla catena di fornitura, ma anche alla manutenzione e, più in generale, ai servizi esterni. L'intervento illustra vulnerabilità e attacchi dovuti all'esistenza di ecosistemi informativi, strategie per la loro individuazione e possibili contromisure.