800 561720
Il D.lgs. n. 138/2024, noto come NIS2, rappresenta un'evoluzione fondamentale nella normativa sulla Cyber sicurezza, innalzando significativamente il livello di resilienza richiesto alle organizzazioni pubbliche e private che operano in settori critici. Uno degli aspetti più innovativi e stringenti della direttiva riguarda la gestione della sicurezza lungo l'intera catena di approvvigionamento (supply chain). Per le pubbliche amministrazioni soggette alla NIS2, che sempre più dipendono da tecnologie e fornitori esterni per erogare servizi essenziali ai cittadini, rappresenta una sfida e un'opportunità per rafforzare la propria resilienza digitale. Per la PA non è più sufficiente proteggere il proprio perimetro; è diventato un obbligo legale garantire che anche i propri fornitori diretti adottino misure di sicurezza adeguate. Questo sposta il focus da una visione puramente interna a una responsabilità estesa all'intero ecosistema digitale in cui opera l’organizzazione. Un aspetto centrale della NIS2, che si allinea perfettamente con le indicazioni nazionali fornite dall'Agenzia per l'Italia Digitale (AgID), è la gestione della sicurezza lungo l'intera catena di approvvigionamento (supply chain).
La Responsabilità estesa della PA: dall'Ente al Fornitore
Il principio cardine introdotto dalla normativa NIS2 è che la responsabilità della Cyber sicurezza non si ferma ai confini dell'infrastruttura della PA. I soggetti "essenziali" e "importanti" devono adottare misure di gestione del rischio che coprano esplicitamente la sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi. Questo significa che l'esternalizzazione di un servizio, pratica comune nelle PA per attività che vanno dalla gestione dei data center ai servizi cloud, non comporta un trasferimento della responsabilità. L'amministrazione rimane il soggetto tenuto a garantire la sicurezza e la continuità del servizio erogato al cittadino e deve, di conseguenza, assicurarsi che i propri partner tecnologici adottino standard di sicurezza adeguati.
Il Procurement ICT alla Prova della sicurezza: le indicazioni di AgID e del Garante Privacy
Questa visione è pienamente coerente con l'approccio promosso in Italia. Nel suo parere sulle "Linee guida - La Sicurezza nel procurement ICT" predisposte da AgID, il Garante per la protezione dei dati personali ha sottolineato come i fornitori, accedendo al patrimonio informativo delle PA, possano introdurre "potenziali rischi informatici, con impatto anche su riservatezza, integrità, disponibilità, autenticità dei dati pubblici"[1">.
Per mitigare questi rischi, le PA devono integrare la sicurezza in ogni fase del processo di acquisizione. Questo si traduce in azioni concrete, come ad esempio:
1. Il Contratto come Strumento di Sicurezza: Il capitolato di gara e il successivo contratto diventano gli strumenti giuridici fondamentali per vincolare il fornitore al rispetto di specifici obblighi di sicurezza. È essenziale che in questi documenti siano adeguatamente individuate le misure di sicurezza tecniche e organizzative, con una corretta ripartizione delle relative responsabilità tra le parti.
2. Oltre le Misure Minime: Il semplice riferimento alle misure “minime” di sicurezza di AgID non è sufficiente. Sia la NIS2 che il GDPR richiedono un approccio basato sul rischio. Le misure devono essere adeguate a garantire un livello di sicurezza adeguato al rischio specifico del trattamento e del servizio, tenendo conto dell'esposizione, delle dimensioni del soggetto e del potenziale impatto sociale ed economico di un incidente.
3. Designazione a Responsabile del Trattamento: Qualora un fornitore tratti dati personali per conto della PA, deve essere formalmente designato quale Responsabile del trattamento ai sensi dell'art. 28 del GDPR (Responsabile del trattamento che presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate).
Un approccio strutturato per la PA: dalla gara al monitoraggio
Per conformarsi alla NIS2 e alle linee guida nazionali, una PA dovrebbe adottare un processo strutturato per la gestione dei fornitori ICT, che non può essere affidato a un'attività estemporanea ma richiede un piano definito a priori.
Fase 1: Prima della Gara (Analisi e Pianificazione)
- Analisi dei Rischi: Prima di avviare una procedura di acquisto, è necessario effettuare un'analisi dei rischi che tenga conto non solo delle necessità funzionali, ma anche delle vulnerabilità specifiche del tipo di fornitura e della criticità dei dati e dei servizi coinvolti.
- Definizione dei Requisiti: I requisiti di sicurezza devono essere integrati nel capitolato di gara che dovrebbe richiedere evidenze su policy di sicurezza, gestione degli incidenti, pratiche di secure development, e procedure per la gestione delle vulnerabilità.
- Coinvolgimento del DPO: Il Responsabile della Protezione dei Dati (DPO) deve essere coinvolto fin dalla fase preliminare per definire correttamente i compiti e le responsabilità in materia di protezione dei dati.
Fase 2: Durante la Gara (Selezione e Contrattualizzazione)
- Valutazione del Fornitore: La scelta non può basarsi solo sul criterio economico. La PA deve valutare le "garanzie sufficienti" offerte dal fornitore in termini di sicurezza. Strumenti come le certificazioni di Cyber sicurezza, previste dal Cybersecurity Act (Regolamento UE 2019/881), possono aiutare a disporre di informazioni precise sul livello di affidabilità dei prodotti e servizi ICT.
- Clausole Contrattuali Vincolanti: Il contratto deve formalizzare gli obblighi del fornitore, includendo ad esempio:
- Misure di sicurezza tecniche e organizzative specifiche
- Obblighi di notifica degli incidenti di sicurezza
- Diritto di audit da parte della PA per verificare la conformità
- Procedure per la gestione delle violazioni di dati personali (data breach).
Fase 3: Dopo la Stipula (Monitoraggio e Miglioramento Continuo)
- Vigilanza Attiva: La stipula del contratto è solo l'inizio. La PA deve dotarsi di strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di Cyber sicurezza. Questo implica un monitoraggio costante del fornitore.
- Gestione degli Incidenti: In caso di incidente, la PA deve assicurarsi che il fornitore adotti tutte le misure correttive necessarie, appropriate e proporzionate. L'esperienza pratica, come quella di diverse PA che a seguito di un attacco hanno dovuto modificare i rapporti con il fornitore, adottando un approccio di maggior presenza e accompagnamento, dimostra l'importanza di un rapporto proattivo e non meramente formale.
Un Ecosistema Normativo Convergente
L'approccio della NIS2 si inserisce in un quadro normativo nazionale già orientato in questa direzione. Il Perimetro di Sicurezza Nazionale Cibernetica (D.L. 105/2019) ha istituito un quadro di obblighi per i soggetti, pubblici e privati, che esercitano funzioni essenziali per lo Stato, anticipando di fatto l'esigenza di un controllo rigoroso sulla sicurezza delle forniture ICT critiche.
In conclusione, per la Pubblica Amministrazione, la conformità alla normativa NIS2 non è un semplice adempimento burocratico, ma un elemento strategico per la digitalizzazione sicura del Paese. Richiede un cambio di mentalità nel procurement ICT, passando da un approccio basato sul prezzo a uno fondato sul rischio e sulla resilienza, dove la sicurezza è un requisito progettuale e il contratto uno strumento di garanzia attiva. Solo così sarà possibile costruire un ecosistema digitale pubblico robusto e affidabile, in grado di proteggere i dati e garantire la continuità dei servizi per i cittadini.
Fonti: Parere sullo schema di “Linee guida - La Sicurezza nel procurement ICT” predisposto da AgID - 30 gennaio 2020
Andrea Avanzo | DPO e consulente privacy
