Torna al blog
NIS2 & Compliance

Supply chain security: perché i fornitori sono il punto debole

5 febbraio 2026 · 5 min di lettura

L'anello più debole della catena

Nel 2025, il 62% degli attacchi cyber a organizzazioni europee ha coinvolto un fornitore o un partner della supply chain (fonte: ENISA Threat Landscape 2025). L'attacco a SolarWinds nel 2020 è stato l'inizio; oggi il supply chain attack è diventato la tecnica preferita dai gruppi APT e dalle gang ransomware.

Come funziona un attacco supply chain

L'attaccante non colpisce voi direttamente. Compromette un vostro fornitore — il provider di posta, il software gestionale, l'azienda di manutenzione IT — e da lì entra nella vostra rete. Esempi recenti:

  • MOVEit (2023): il gruppo Cl0p ha sfruttato una vulnerabilità nel software di file transfer usato da migliaia di aziende. Oltre 2.600 organizzazioni colpite.
  • 3CX (2023): il software VoIP compromesso ha distribuito malware a centinaia di migliaia di endpoint attraverso un aggiornamento ufficiale.
  • Kaseya (2021): il gruppo REvil ha usato il software di gestione remota per distribuire ransomware a 1.500 aziende in un colpo solo.

Cosa chiede la NIS2

L'Art. 21(2)(d) della NIS2 è esplicito: i soggetti devono garantire la "sicurezza della catena di approvvigionamento", incluse le vulnerabilità specifiche di ciascun fornitore diretto. In pratica significa:

  • Mantenere un registro dei fornitori critici con valutazione del rischio
  • Inserire clausole di sicurezza nei contratti (requisiti minimi, notifica breach, diritto di audit)
  • Verificare che i fornitori IT abbiano certificazioni o misure adeguate
  • Avere un piano B per ogni fornitore critico

La valutazione pratica dei fornitori

Non serve mandare questionari da 200 domande. Un assessment efficace per PMI si basa su 5 criteri chiave:

  • Certificazioni: ISO 27001, SOC 2, o equivalenti
  • Gestione accessi: MFA, principio del minimo privilegio, logging
  • Incident response: hanno una procedura? Hanno subito breach recenti?
  • Backup e DR: possono garantire la continuità del servizio?
  • Patch management: in quanto tempo applicano patch critiche?

Il caso italiano

Secondo il Cyber Index PMI 2025, solo il 18% delle PMI italiane ha una procedura formale di valutazione dei fornitori IT. Il 45% non ha clausole di sicurezza nei contratti con i provider. Questo gap è una delle aree dove la NIS2 avrà l'impatto maggiore — e dove le sanzioni saranno più probabili, perché facilmente verificabile in audit.

La supply chain security non è un optional: è il primo controllo che un auditor NIS2 andrà a verificare. Iniziate mappando i vostri 5 fornitori IT più critici e valutandoli con i criteri sopra. È un pomeriggio di lavoro che può evitare mesi di problemi.

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli