La NIS2 cambia radicalmente il modo di intendere la sicurezza informatica: con il D.lgs. 138/2024 e le misure dell’ACN, la gestione della supply chain diventa a tutti gli effetti una parte obbligatoria della cyber sicurezza aziendale, non più una “buona pratica” facoltativa.
Ogni fornitore, ogni piattaforma esterna, ogni componente software è potenzialmente un nuovo punto di ingresso per un attaccante – e quindi un pezzo della conformità normativa.

L’attacco a SolarWinds del 2020 lo ha dimostrato in modo eclatante: migliaia di organizzazioni sono state compromesse non per una vulnerabilità interna, ma tramite un aggiornamento software di un fornitore fidato, trasformato in vettore d’attacco. Una sola compromissione nella catena di fornitura ha generato un effetto domino su oltre 18.000 clienti, tra cui agenzie governative e grandi gruppi internazionali.

Da qui la risposta europea: con NIS2, la sicurezza non si ferma più ai confini dell’organizzazione, ma deve coprire l’intera filiera di servizi e forniture digitali (e, in alcuni casi, anche analogiche).
In Italia questo principio è stato tradotto in obblighi giuridici: valutare il rischio dei fornitori, adottare controlli specifici, integrare la gestione delle terze parti nei propri processi di sicurezza. Oggi, essere conformi alla NIS2 significa dimostrare non solo di proteggere i propri sistemi, ma di governare in modo strutturato anche il rischio generato da partner, fornitori e soggetti terzi.