Il digitale ha trasformato le imprese in nodi interdipendenti di una rete complessa. La vulnerabilità di un’organizzazione non è più funzione esclusiva dei suoi sistemi interni, ma riflesso della robustezza – o della debolezza – dell’intero ecosistema di cui fa parte.
La superficie di attacco delle organizzazioni non è più limitata ai propri asset, ma si estende ben oltre il perimetro aziendale, seguendo le connessioni operative e tecnologiche che legano imprese, partner, fornitori e clienti: dalla gestione logistica ai servizi cloud, dalle piattaforme di pagamento alle attività di manutenzione, ogni azienda è ormai parte di un sistema, fatto di dipendenza reciproca.
Ad oggi, il rischio cyber associato alla supply chain, si configura come uno dei principali vettori di vulnerabilità, troppo spesso trascurato in fase di analisi del rischio, ma sempre più sfruttato nei moderni modelli di attacco. Non si tratta solo di incidenti isolati: i dati raccolti negli ultimi anni dimostrano che una parte significativa delle violazioni trae origine da debolezze presenti nei sistemi di fornitori terzi.
L’attaccante non colpisce più frontalmente l’azienda – che spesso ha configurato una protezione robusta – ma cerca i nodi deboli dell’ecosistema, sfruttando apparati OT legacy, configurazioni errate o, semplicemente, la mancanza di presidi minimi di sicurezza da parte dei partner esterni che interagiscono con l’infrastruttura stessa (come, per esempio, i manutentori dei sistemi IIoT, degli apparati elettromedicali o fornitori di supporto specialistico e così via). Questo fenomeno sta di fatto modificando il concetto stesso di cybersecurity: da difesa del perimetro a sfida di governance estesa.
Le nuove normative europee vanno in questa direzione, ecco infatti che la risposta del legislatore europeo si è fatta più concreta: la direttiva NIS 2 amplia in modo significativo il perimetro della sicurezza informatica, includendo esplicitamente anche il monitoraggio e la gestione del rischio associato ai fornitori critici.
Alle aziende non è più chiesto solo di “proteggersi”, ma anche di valutare e sorvegliare l’affidabilità cyber dei soggetti con cui operano. Parallelamente, il regolamento DORA (Digital Operational Resilience Act), in vigore da gennaio 2025, impone alle imprese l’obbligo di mappare, categorizzare e verificare con continuità i fornitori ICT, con un’attenzione particolare alla business continuity e alla gestione degli incidenti.
Si tratta di un’evoluzione culturale: la cybersecurity non è più confinata all’IT, ma diventa una componente integrante della governance aziendale e della continuità e sostenibilità operativa. NIS 2 e DORA impongono alle organizzazioni – soprattutto nei settori essenziali – di assumersi piena responsabilità non solo della propria postura di sicurezza, ma anche di quella dei soggetti terzi da cui dipendono: un cambio di paradigma che chiama in causa anche le funzioni apicali. Le decisioni di business devono incorporare indicatori di rischio digitale. Inoltre, la selezione di un fornitore non può più basarsi esclusivamente su parametri economici o temporali.
Un nuovo equilibrio, dove la sicurezza diventa parte integrante della qualità del servizio. Tutto ciò ha un impatto molto importante, poiché significa ridefinire priorità e metriche di valutazione, adottando una visione in cui la resilienza non è costo ma fattore abilitante per la continuità operativa, la reputazione e la competitività dell’organizzazione. In Gyala abbiamo raccolto la sfida della governance estesa e della sicurezza integrata per tutelare le aziende dai rischi terzi, con l’obiettivo di costruire – insieme ai nostri clienti –ecosistemi affidabili in cui la fiducia si basi su visibilità dei dati e responsabilità condivisa.
Andrea Storico, chairman & co-founder di Gyala
