La conformità europea e il particolare la Direttiva NIS2 di prossimo recepimento in Italia prestano grande attenzione al tema della sicurezza delle terze parti. Per garantire la sicurezza e adempiere agli obblighi legali e contrattuali, è essenziale adottare una serie di misure pratiche. Ne ha parlato l’Avvocato Valentina Frediani, CEO e Founder di Colin & Partners durante lo scorso Cybersecurity Summit, il 29 febbraio a Milano.
“In primo luogo, è fondamentale avviare una mappatura accurata dei fornitori critici e strategici – ha detto Valentina Frediani -. Questo processo può essere complesso, poiché alcuni fornitori potrebbero essere preparati e adeguati agli standard NIS2, mentre altri potrebbero non essere neanche al corrente”. Pertanto, è importante coinvolgere attivamente e da subito i fornitori nel processo di valutazione e di definizione delle misure di sicurezza.
Una volta identificati i fornitori critici, è necessario valutare la loro conformità e preparazione attraverso audit e richieste di certificazioni. Successivamente, è possibile procedere con l’aggiornamento dei contratti in modo da integrare le disposizioni relative alla sicurezza e agli obblighi previsti dalla normativa NIS2. Tuttavia, è importante sottolineare che il processo contrattuale non consiste solo nell’inserire clausole, ma nell’assicurarsi che i fornitori comprendano appieno i requisiti e siano in grado di garantire un adeguato livello di sicurezza.
Infine, è essenziale stabilire un modus operandi e una governance efficaci per gestire le relazioni con i fornitori e monitorare continuamente la conformità alle disposizioni di sicurezza. Questo richiede un impegno costante e una collaborazione stretta tra le parti coinvolte.
In sintesi, per garantire la sicurezza delle terze parti e adempiere agli obblighi previsti dalla normativa NIS2, è necessario adottare un approccio completo che includa la valutazione dei fornitori, l’aggiornamento contrattuale e l’implementazione di misure di sicurezza adeguate. Attualmente, la situazione riguardante la conformità alla normativa NIS2 presenta delle sfide significative. Molte aziende coinvolte non sono ancora consapevoli dei requisiti imposti dalla normativa o non hanno avviato azioni concrete per adempiervi.
“L’attuazione della NIS2 è un problema reale, lo vediamo nel comportamento dei clienti, la maggior parte dei quali non sta ancora attuando pienamente la normativa” ha detto Valentina Frediani. Questo può essere attribuito alla scarsa consapevolezza del tema, che spesso viene affrontato esclusivamente dal reparto dei Sistemi Informativi, mentre la responsabilità dovrebbe coinvolgere l’intera organizzazione. In merito ai fornitori, è importante comprendere che il semplice inserimento di disposizioni contrattuali non è sufficiente a garantire la conformità. La responsabilità principale resta sempre del titolare obbligato a rispettare la normativa. Tuttavia, molti fornitori potrebbero non essere in grado di soddisfare i nuovi requisiti, e sostituirli potrebbe essere problematico o addirittura impossibile.
“Le aziende che devono applicare la NIS2 potrebbero trovarsi nell’impossibilità di cambiare i fornitori e dovranno trovare un equilibrio tra le richieste contrattuali e il rischio di non conformità” ha detto Valentina Frediani. È importante considerare anche il fatto che non tutti i fornitori operano nel settore verticale interessato dalla normativa; quindi, potrebbero non essere consapevoli della necessità di adeguarsi. In sintesi, la situazione attuale evidenzia la necessità di una maggiore consapevolezza e azione da parte delle aziende coinvolte, insieme a una gestione attenta e flessibile delle relazioni con i fornitori al fine di garantire la conformità alla normativa NIS2.
Ecco alcuni suggerimenti dell’Avvocato Valentina Frediani su come affrontare al meglio la conformità alla normativa NIS2 e gestire le relazioni con i fornitori:
- Mappatura dei fornitori strategici. Avviare un processo di mappatura dei fornitori critici e strategici per valutare la loro preparazione e conformità alla normativa NIS2. Questo può includere la valutazione delle capacità tecnologiche e della consapevolezza dei fornitori in merito alla sicurezza informatica.
- Valutazione dei contratti. Esaminare attentamente i contratti esistenti con i fornitori per integrare le disposizioni relative alla sicurezza e agli obblighi derivanti dalla normativa NIS2. È importante considerare anche gli aspetti economici di questa integrazione e prepararsi ad affrontare eventuali resistenze da parte dei fornitori.
- Collaborazione con i fornitori. Considerare l’opportunità di riunire i fornitori strategici in un tavolo di lavoro comune per discutere le misure di sicurezza e le possibili soluzioni tecnologiche. Questo approccio può favorire la condivisione delle best practice e la definizione di strategie condivise.
- Continuità operativa. Assicurarsi di mantenere degli standard elevati di continuità operativa, anche in caso di cambiamenti o aggiornamenti nei contratti con i fornitori.
- Educazione e coinvolgimento dell’ufficio acquisti. Educare l’ufficio acquisti sulle nuove valutazioni da effettuare in fase di selezione dei fornitori e integrare questi processi con le valutazioni di conformità alla normativa NIS2. È importante coinvolgere attivamente l’ufficio acquisti nel processo di gestione delle terze parti.
- Tavoli di lavoro comuni. Organizzare tavoli di lavoro più ampi che coinvolgano numerosi fornitori. Questo può favorire la condivisione di informazioni, la collaborazione e la definizione di soluzioni comuni per affrontare le sfide legate alla conformità alla normativa NIS2.
In sintesi, adottare un approccio strategico e collaborativo può aiutare le aziende a gestire in modo efficace le relazioni con i fornitori e adempiere agli obblighi derivanti dalla normativa NIS2, garantendo al contempo un adeguato livello di sicurezza informatica.
E’ ora disponibile il video completo dell’intervento dell’Avvocato Valentina Frediani, CEO e Founder, Colin & Partners: