Redazione RHC : 14 Luglio 2025 16:26
A cura di Bianca Amico di Meane (Head of Marketing Nais), Ivana Genestrone (Avvocato e DPO per Nais) e Riccardo Margarito (Cyber Security Expert, Red Team Nais)
Nel panorama attuale della cybersicurezza, il detto “una catena è forte quanto il suo anello più debole” non è mai stato così pertinente. Gli attacchi informatici alla supply chain sono in costante aumento, dimostrando come la sicurezza di un’organizzazione non dipenda più solo dalle sue difese interne, ma anche da quelle dei suoi fornitori e partner.
Un esempio emblematico è il recente attacco a Ingram Micro, distributore globale di tecnologia, che il 5 luglio 2025 ha confermatodi aver subito un attacco ransomware che ha colpito gravemente i suoi sistemi interni. Non ci sono ancora conferme ufficiali su eventuali furti di dati o sul gruppo criminale responsabile, ma fonti non verificate attribuiscono l’attacco al ransomware SafePay.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Un singolo incidente ha generato conseguenze drammatiche, paralizzando intere filiere produttive e di servizio, bloccando ordini, spedizioni e servizi in centinaia di Paesi.
Questo evento sottolinea drammaticamente come le interdipendenze digitali nella supply chain siano oggi riconosciute dalla direttiva NIS2 come un vettore di rischio sistemico. Il caso dimostra impietosamente la fragilità dell’equilibrio tra efficienza operativa e sicurezza, specialmente quando i servizi digitali sono erogati in modalità “as-a-Service” e risultano profondamente interconnessi.
L’incidente di Ingram Micro ha messo in luce una duplice realtà: da un lato, un’organizzazione capace di attivare prontamente un piano di risposta agli incidenti; dall’altro, la dolorosa constatazione che tale capacità non è stata sufficiente a impedire la compromissione di sistemi mission-critical. Questo scenario rafforza l’imperativo imposto dalla direttiva NIS2: ogni soggetto “essenziale” (categoria in cui rientrerebbe Ingram Micro se fosse un’entità europea) deve dimostrare di possedere un sistema di gestione del rischio formalizzato, continuo e supervisionato a livello dirigenziale. Inoltre, è fondamentale integrare piani di continuità operativa e disaster recovery nei modelli di governance aziendali.
Per affrontare questa sfida complessa, bilanciando conformità legale e preparazione tecnica, sono intervenuti l’avvocato Ivana Genestrone, consulente per Nais, e Riccardo Margarito, esperto del Red Team di Nais, offrendo una prospettiva completa su come garantire una governance della sicurezza efficace.
In questo articolo, esploreremo le implicazioni della Direttiva NIS 2 e delle Linee Guida ENISA, analizzando l’approccio di Nais, realtà 100% italiana specializzata nei servi Gestiti Cyber e IT nel supportare le aziende in questo percorso di adattamento.
La Direttiva NIS 2 (Direttiva UE 2022/2555) e il Regolamento di Implementazione UE 2024/2690 del 17 ottobre 2024, con le relative “Technical Implementation Guidance” di ENISA, rappresentano un punto di svolta per la cybersicurezza in Europa.
Queste normative non si limitano a imporre requisiti tecnici e organizzativi stringenti per la gestione dei rischi, ma introducono anche una responsabilità esplicita per la sicurezza della supply chain. L’Avvocato Ivana Genestrone sottolinea come “Le nuove normative europee, in particolare la Direttiva NIS 2 e le Linee Guida ENISA, segnano un cambio di paradigma significativo. Non si tratta più solo di proteggere i propri asset interni, ma di estendere questa responsabilità all’intera catena di fornitura. Questo significa che le aziende devono adottare una supply chain security policy ben definita, che governi le relazioni con i fornitori diretti e i service provider per mitigare i rischi identificati. La policy deve chiarire ruoli e responsabilità e comunicare i requisiti di sicurezza attesi ai fornitori.Non solo: è fondamentale assicurare che i contratti includano clausole adeguate per audit e verifiche periodiche, garantendo che i requisiti di sicurezza siano mantenuti nel tempo. Questo è un aspetto cruciale perché la conformità deve essere dinamica, non statica.”
Le Linee Guida ENISA, in particolare, stabiliscono criteri specifici per la selezione, la valutazione e il monitoraggio dei partner tecnologici. Questo include:
Vengono suggeriti anche criteri aggiuntivi come:
La valutazione dovrebbe essere documentata e aggiornata periodicamente, con una classificazione dei fornitori basata su:
Esempi di classificazione includono:
Mentre la normativa definisce il “cosa”, l’aspetto tecnico si concentra sul “come” garantire l’effettiva robustezza della supply chain. È qui che entrano in gioco metodologie avanzate come l’Adversary Simulation, che vanno oltre i tradizionali penetration test.
Riccardo Margarito, specialista sul campo e membro del Red Team di Nais, spiega che “L’approccio di Nais è evolvere il tradizionale Penetration Testing verso un modello di sicurezza continuoe adattivo. Il Threat Led Penetration Testing (TLPT), servizio integrato a Fluxstorm Prevent, è la nostra chiave di volta in quanto ci permette di testare la capacità reale dello stack di sicurezza (includendo sia tecnologia che risorse), di gestire e rispondere a ‘eventi avversi non standard’,ed essere compliant alle direttive europee come la NIS2.”
“Come Red Team non ci limitiamo a individuare le falle di sicurezza: simuliamo attacchi reali con exploit ‘harmless’ e PoC custom sviluppate internamente, per misurare l’efficacia operativa dello stack di sicurezza (EDR, SIEM, IDS/IPS, XDR) e in particolare del servizio SOC già presente come la SOC Assurance:questo include la valutazione dei tempi di detection, presa in carico e gestione degli incidenti, e l’analisi della capacità di generare evidenze tecniche in un report efficace e concreto.”
Nais, con oltre 30 anni di esperienza nella sicurezza Cyber, IT & OT, vanta due competence center (NOC e SOC) e un team di oltre 100 ingegneri specializzati. Lato Red Team, le metodologie si basano su standard come PTES, OSSTMM, OWASP e MITRE ATT&CK, permettendo di identificare vulnerabilità critiche in sistemi complessi e di fornire piani di Remediation e Patch Management dettagliati.
L’obiettivo è ottenere un miglioramento misurabile delle KPI principali:
La vera sfida per le aziende è integrare i requisiti legali e organizzativi con le capacità tecniche, trasformando le direttive in azioni concrete, pianificate e misurabili. Questo richiede una sinergia tra tutti i dipartimenti aziendali, a partire da un forte coordinamento tra legale, IT e di sicurezza. L’Avvocato Ivana Genestrone chiarisce che “La gestione del ciclo di vita del rapporto con i fornitori, come suggerito da ENISA, deve essere strutturata e prevedere:
Inoltre, il tracciamento degli incidenti di sicurezza collegati al/causati dal fornitore è essenziale per una rivalutazione immediata, così come la gestione della fase di conclusione del rapporto, con clausole contrattualiche disciplinino la transizione da un fornitore all’altro, il diritto di accesso ai dati e l’assistenza garantita dal fornitore.
Tutto ciò non è meramente burocratico; è la base per una Governance robusta che riduca l’esposizione al rischio dell’intera filiera ed aumenti la consapevolezza ad un approccio standard di alto livello. Attenzione perché violare i requisiti di Governance della NIS 2 può comportare sanzioni importanti non soltanto a carico delle entità ma anche degli amministratori e degli organi direttivi”
Dal punto di vista tecnico, Riccardo Margarito aggiunge che “l’integrazione con l’aspetto legale è essenziale. Le simulazioni che eseguiamo non solo identificano le vulnerabilità, ma forniscono anche le ‘evidenze tecniche’ necessarie per dimostrare la conformità ai requisiti normativi e agli SLA dichiarati dai SOC provider. I nostri report strutturati sui piani di remediation e patch management diventano strumenti operativi per le aziende per rispondere in modo proattivo alle indicazioni normative e supportare il team tecnico interno. L’approccio di Nais al Vulnerability Management e all’Adversary Simulation si estende a diverse aree:
In Italia, l’applicazione di tutte le norme che richiedono un rafforzamento, a vari livelli, della capacità di proteggere i dati, richiede alle aziende, in particolare quelle operanti nel mid-market e i fornitori di servizi critici, un approccio strategico e integrato alla cybersicurezza. Non si tratta di un mero esercizio di conformità, ma di un investimento nella resilienza operativa e nella tutela del business.L’Avvocato Ivana Genestrone conclude che “I requisiti organizzativi e tecnici dell’Art. 21 della Direttiva NIS 2, sviluppati dal Regolamento e dalle Linee Guida ENISA, impongono al management delle aziende di adottare un approccio alla cybersicurezza che sia integrato e strategico. La capacità di predeterminare le caratteristiche di incidente e di crisi, con ruoli, responsabilità e procedure chiare, è di importanza strategica per la governance di un soggetto NIS 2. È richiesto l’adozione di un vero e proprio sistema di gestione, che includa, tra l’altro, misure specifiche per:
La sicurezza della supply chain, infatti, rappresenta una specifica responsabilità degli organi amministrativi e di direzione del soggetto NIS 2. In questo contesto, tutti i processi, ruoli, misure devono risultare parte di un ‘tutto’ coerente ed integrato. Diversamente, il soggetto NIS 2 potrebbe fallire di essere in grado di dimostrare di avere posto in essere misure adeguate a soddisfare i requisiti di resilienza cyber richiesti dalla direttiva, con ciò generando conseguenze pesanti per enti e management.”
L’era delle interdipendenze digitali richiede un’evoluzione nella gestione della cybersicurezza. Le direttive europee, supportate da metodologie tecniche avanzate come quelle proposte da Nais, offrono un percorso chiaro per le aziende che vogliono non solo essere conformi, ma costruire una resilienza intrinseca. La collaborazione tra esperti legali e tecnici è la chiave per tradurre i requisiti normativi in piani d’azione efficaci, garantendo che ogni anello della catena di fornitura sia forte abbastanza da resistere alle minacce del panorama cyber attuale.
A partire da metà settembre, la Red Hot Cyber Academy inaugurerà un nuovo capitolo della propria offerta formativa con il lancio del corso “Prompt Engineering: dalle basi alla Cyberse...
SinCity torna a far parlare di sé, questa volta mettendo in vendita l’accesso amministrativo a un nuovo shop online italiano basato su PrestaShop. Secondo quanto dichiarato dallo stesso th...
Il 24 agosto 2025 ha segnato i 30 anni dal lancio di Windows 95, il primo sistema operativo consumer a 32 bit di Microsoft destinato al mercato di massa, che ha rivoluzionato in modo significativo il ...
All’inizio del 2025 un’organizzazione italiana si è trovata vittima di un’intrusione subdola. Nessun exploit clamoroso, nessun attacco da manuale. A spalancare la porta agli ...
Nella notte del 19 agosto l’infrastruttura informatica dell’Università Pontificia Salesiana (UPS) è stata vittima di un grave attacco informatico che ha reso temporaneamente in...