La supply chain è il punto debole della cybersecurity. Scopri come valutare e gestire i rischi dei fornitori.
Quando la supply chain diventa il vettore di attacco
L'attacco SolarWinds 2020 ha compromesso 18.000 clienti sfruttando una vulnerabilità nel software di monitoraggio. L'attacco Kaseya 2021 ha colpito 2.000 organizzazioni tramite un managed service provider. La vulnerabilità MOVEit 2023 ha esposto 2.000 organizzazioni. La lesson: un attaccante che compromette un fornitore può infiltrarsi in cascata in migliaia di clienti.
Obblighi NIS2 sulla supply chain
La NIS2 richiede alle PMI di valutare le vulnerabilità dei fornitori diretti e indiretti, identificare i rischi critici, includere requisiti di cybersecurity nei contratti con fornitori, verificare periodicamente la compliance dei fornitori, e monitorare breach che interessano i fornitori. La responsabilità è condivisa: la PMI non può dire "non è colpa nostra".
Come valutare un fornitore
Richiedi certificazioni riconosciute (ISO 27001, SOC 2 Type II, PCI DSS)
Includi clausole di cybersecurity nei contratti (aggiornamenti entro 30 giorni, notifica breach entro 24 ore)
Verifica la policy di gestione degli incidenti del fornitore
Valuta i tempi di patch (massimo 30 giorni per vulnerabilità normali, 24-48 ore per critiche)
Monitora notizie su breach che coinvolgono i fornitori (Have I Been Pwned, Krebs on Security)
Modello ICCOM
ICCOM è in fase avanzata di certificazione ISO 27001 (entro settembre 2026) e offre piena trasparenza ai clienti business. ICCOM fornisce un documento di Sicurezza & Compliance che attesta: misure di sicurezza implementate, policy di gestione dei dati, time-to-patch (massimo 48 ore per vulnerabilità critiche), SLA per availability (99,9%), policy di backup, policy di incident response. ICCOM effettua audit annuali dei propri fornitori critici e notifica tempestivamente i clienti in caso di breach.