NIS2 Disegna un perimetro cyber più ampio attorno ai fornitori esteri
Il recepimento italiano della NIS2 sta spingendo la responsabilità cyber oltre la geografia e verso la reale catena di sistemi, fornitori e controllo operativo.
Nel cybersecurity, il confine più pericoloso è spesso quello che non corrisponde più al modo in cui un’azienda opera davvero. È questo il punto di pressione messo in evidenza da NIS2 e dal D.Lgs. 138/2024: la mappa della compliance non si legge più al meglio come un semplice confine nazionale, ma come una rete di decisioni, sistemi, entità connesse e dipendenze esterne.
Per i gruppi multinazionali, questo cambiamento è importante perché i fornitori esteri possono rientrare nella superficie d’attacco pratica anche quando si trovano al di fuori del perimetro societario. La questione legale riguarda sempre meno il luogo in cui un fornitore è costituito e sempre più quanto profondamente quel fornitore sia integrato nei servizi critici, nella governance e nelle operazioni quotidiane.
Fast Facts
- NIS2 è il quadro UE per la cybersecurity che lega la governance alla gestione del rischio e alla sicurezza della supply chain.
- Il D.Lgs. 138/2024 è il livello nazionale di recepimento di quel quadro.
- La lente della compliance ora raggiunge società collegate, fornitori esteri e dipendenze sistemiche nella catena di fornitura.
- ACN è l’autorità nazionale competente e il punto di contatto nel modello di attuazione italiano.
- Il perimetro pratico può seguire catene di controllo e dipendenze di servizio, non solo i confini delle entità giuridiche.
Il significato tecnico è semplice: NIS2 considera il rischio di terze parti parte dell’igiene cyber di base, non un tema secondario per gli acquisti. Ciò significa che le organizzazioni rientranti nel perimetro devono avere una visione difendibile di quali fornitori supportano quali sistemi, da quali funzioni dipendono e dove un anello debole potrebbe trasformarsi in un problema operativo. In pratica, questo viene spesso interpretato come il tracciamento del controllo operativo e delle catene di dipendenza, non solo della struttura giuridica.
Questo è particolarmente rilevante per fornitori esteri nel cloud, nei servizi gestiti, nella distribuzione software e in altri ruoli di infrastruttura condivisa. Il quadro non rende ogni partner estero ugualmente importante, ma rende la localizzazione estera un cattivo indicatore del rischio. Se un fornitore contribuisce a gestire un processo critico, archivia dati sensibili o si colloca in una catena di risposta agli incidenti, la sua postura di sicurezza entra a far parte della resilienza del cliente.
Per chi difende, il messaggio non è che l’outsourcing sia vietato. Il messaggio è che l’outsourcing non esternalizza la responsabilità. Le organizzazioni potrebbero aver bisogno di inventari più solidi, di una mappatura più chiara delle responsabilità e di controlli contrattuali e operativi più stringenti, così da poter applicare i doveri di sicurezza attraverso le giurisdizioni e i livelli societari. Per le entità che operano in Italia, ciò significa anche allineare i processi interni di escalation e supervisione al modello dell’autorità nazionale.
La lezione più ampia è che la compliance cyber sta diventando più architetturale che territoriale. NIS2 e il suo recepimento italiano spingono le aziende a porsi una domanda più difficile: non solo dove ha sede un fornitore, ma dove risiede davvero la responsabilità della sicurezza quando sistemi, servizi e decisioni sono distribuiti tra più entità.
Al momento della stesura, il punto chiave è legale e operativo, non legato a un incidente: le informazioni disponibili supportano un’analisi del rischio, non una denuncia di violazione, negligenza o compromissione totale. Ciò che mostra è che il perimetro cyber moderno segue le dipendenze, e gli aggressori sono molto più interessati a quelle dipendenze che agli organigrammi aziendali.
WIKICROOK
- NIS2: La direttiva UE sulla cybersecurity che unisce governance, gestione del rischio e obblighi di sicurezza della supply chain.
- D.Lgs. 138/2024: Il decreto legislativo italiano che recepisce la NIS2 nel diritto nazionale.
- Sicurezza della supply chain: Gestione del rischio cyber focalizzata su fornitori, prestatori di servizi e sulle dipendenze che introducono.
- Fornitore diretto: Una terza parte che fornisce beni o servizi direttamente a un’organizzazione e può influire sulla sua postura di sicurezza.
- ACN: L’autorità nazionale italiana per la cybersecurity e il punto di contatto nel quadro di attuazione della NIS2.




