Con il D.Lgs. 138/2024, la Direttiva NIS 2 impone alle aziende industriali di estendere i propri obblighi di cybersecurity all'intera catena di fornitura. L'Avv. Federico Alessandri, Of Counsel di Bacciardi Partners, spiega cosa cambia sul piano contrattuale, quali sanzioni rischiano gli organi di gestione e come trasformare la compliance in leva competitiva.

L’entrata in vigore del D.Lgs. 138/2024 segna un punto di svolta nella gestione della sicurezza informatica a livello europeo, introducendo un approccio che estende la responsabilità ben oltre il perimetro aziendale tradizionale. La supply chain diventa infatti un elemento regolato e presidiato in modo strutturale, con impatti che coinvolgono non solo le organizzazioni direttamente soggette alla normativa, ma anche l’intero ecosistema di fornitori, partner tecnologici e subfornitori.

In questo nuovo scenario, la cybersecurity non è più soltanto una funzione tecnica, ma un asset di governance con implicazioni legali, organizzative e strategiche. Le scelte contrattuali, i modelli di gestione del rischio e la capacità di controllo della filiera assumono un ruolo determinante, fino a coinvolgere la responsabilità degli organi apicali e la sostenibilità stessa dei rapporti commerciali.

In questa intervista, l’Avv. Federico Alessandri, professionista Of Counsel di Bacciardi Partners, analizza i principali impatti della normativa, chiarendo come la NIS 2 stia ridefinendo in modo concreto il concetto stesso di responsabilità digitale lungo la supply chain.

Avv. Federico Alessandri
Of Counsel
Bacciardi Partners

Federico Alessandri è avvocato e Of Counsel di Bacciardi Partners dove presiede la practice di Corporate Compliance e Tech&Law focalizzata su Privacy e Data Protection, Diritto delle Nuove Tecnologie, Cybersecurity, Compliance d’impresa e Modelli Organizzativi ex D.Lgs. 231/2001. Assiste imprese italiane ed estere in percorsi di compliance integrata, contrattualistica IT/digitale, governance dei rischi, audit e formazione con particolare attenzione all’impatto operativo delle normative su organizzazione aziendale, supply chain e responsabilità degli organi sociali.

Bacciardi Partners unisce competenze legali, tributarie e di strategic advisory in una struttura professionale multidisciplinare e integrata. I professionisti di Bacciardi Partners intervengono su tutte le leve che determinano la crescita dimensionale delle imprese: legal & tax, internazionalizzazione, M&A, operazioni straordinarie e crisi di impresa, organization & people, tech & law, con un approccio end-to-end.

Avvocato Alessandri, il D.Lgs. 138/2024 (NIS 2) introduce la "sicurezza della catena di approvvigionamento" come obbligo diretto. Quali sono concretamente i nuovi obblighi per le entità essenziali e importanti, e perché questo segna un cambio di paradigma rispetto alla normativa precedente?
Avv. Alessandri

Il cambio di paradigma consiste nel fatto che la sicurezza non viene più valutata solo “dentro” l’impresa ma anche lungo tutta la catena dei fornitori critici.

I soggetti essenziali e importanti devono adottare misure tecniche, operative e organizzative proporzionate al rischio cyber, includendo la sicurezza dei rapporti con fornitori e prestatori di servizi.

Questo significa identificare e mappare i fornitori critici, valutarne le vulnerabilità, disciplinare contrattualmente i requisiti cybersecurity, le procedure di incident reporting, le attività di audit e le misure di continuità operativa.

La NIS2 trasforma la Supply Chain Security da buona prassi a obbligo di governance.

In questi termini sembra semplice, ma è un percorso da pianificare nel dettaglio e da monitorare costantemente.

La norma pone un accento senza precedenti sulla responsabilità degli organi di gestione. Quali sono le sanzioni amministrative previste e, soprattutto, quando la mancata vigilanza sulla supply chain può tradursi in una responsabilità personale per i membri del CdA o sfociare in profili di rilevanza penale?
Avv. Alessandri

Il D.Lgs. 138/2024 “porta” la Cybersecurity direttamente sul tavolo del CdA.

Gli organi di amministrazione e direttivi devono approvare le modalità di implementazione delle misure, sovrintendere agli obblighi e formarsi in materia cyber.

Questo non significa che gli amministratori debbano “diventare” informatici, ma che siano chiamati a presidiare il rischio in maniera informata e supervisionare attivamente le inevitabili deleghe operative attribuite ai propri manager.

Le sanzioni per le violazioni più rilevanti arrivano fino a 10 milioni di euro o al 2% del fatturato mondiale per i soggetti essenziali, e fino a 7 milioni o all’1,4% per i soggetti importanti.

La responsabilità personale non nasce da ogni incidente, ma dalla mancata vigilanza, dall’inerzia o dalla violazione degli obblighi normativi.

Molte PMI manifatturiere si sentono al sicuro perché non rientrano direttamente nei parametri della NIS 2. Perché questa è un'illusione pericolosa quando si è fornitori di grandi gruppi o si gestiscono infrastrutture connesse?
Avv. Alessandri

Molte PMI non sono direttamente soggette alla NIS2, ma possono subirne gli effetti come fornitori.

Se, ad esempio, una piccola o media impresa lavora nella filiera di grandi gruppi, soggetti essenziali o importanti, sarà chiamata a dimostrare:

  • requisiti minimi di sicurezza,
  • tempi di notifica,
  • gestione degli accessi,
  • continuità operativa,
  • collaborazione in caso di incidente.

Inoltre, il decreto consente l’inclusione di soggetti critici della catena di approvvigionamento anche indipendentemente dalle dimensioni.

In pratica dire “non rientro nella NIS2” non significa essere fuori dal mercato NIS2.

Se un fornitore critico - un system integrator o un fornitore di software SCADA - subisce un attacco che blocca la produzione del committente, come si ripartisce la responsabilità legale? Come può l’azienda tutelarsi preventivamente per evitare di assorbire l'intero danno economico?
Avv. Alessandri

La responsabilità non si ripartisce in modo automatico: dipende dal contratto, dal ruolo del fornitore, dal livello di controllo del committente, dalle misure concordate e dalla prevedibilità del rischio.

Se un system integrator o un fornitore SCADA blocca la produzione del committente, occorre verificare SLA, obblighi di sicurezza, accessi remoti, gestione vulnerabilità, backup, disaster recovery, limiti di responsabilità e obblighi di cooperazione.

La tutela preventiva è contrattuale: ciò che non viene definito prima, durante l’incidente diventa molto più difficile da pretendere.

Per evitare di assorbire l’intero danno economico, l’impresa deve agire prima dell’incidente.

Nei contratti con system integrator, fornitori SCADA, MSP, manutentori OT e software house occorre prevedere:

  • obblighi minimi di sicurezza,
  • gestione degli accessi remoti,
  • segregazione degli ambienti IT/OT,
  • patch e vulnerability management,
  • obbligo di segnalare incidenti e vulnerabilità entro tempi molto brevi,
  • modalità di cooperazione forense,
  • disponibilità dei log,
  • SLA di ripristino,
  • piani di business continuity,
  • clausole penali,
  • coperture assicurative,
  • limiti di responsabilità coerenti con il rischio
  • obblighi verso subfornitori.

Dal lato del committente, però, non basta “scaricare” tutto sul fornitore. La NIS2 richiede al soggetto essenziale o importante di gestire il rischio dei propri sistemi e dei rapporti con i fornitori.

Se l’azienda concede accessi amministrativi permanenti, non controlla gli account, non testa i backup e non qualifica il fornitore, parte del rischio può rimanere in capo al committente.

Molte aziende industriali italiane operano con fornitori extra-UE (es. in Asia, nei Balcani, in Nord Africa). La NIS 2 si applica anche a questi rapporti? Come si gestisce la compliance quando la controparte contrattuale è soggetta a ordinamenti giuridici diversi?
Avv. Alessandri

La NIS2 non “estende” automaticamente tutti gli obblighi italiani ad un fornitore extra-UE, ma il soggetto italiano NIS resta responsabile della gestione del rischio della propria supply chain.

Quindi, se il fornitore si trova in Asia, Balcani o Nord Africa, l’impresa italiana deve gestire il rapporto in modo strutturato con un contratto chiaro che definisca alcuni elementi fondamentali:

  • quale legge si applica e quale foro o arbitrato è competente in caso di contenzioso,
  • quali requisiti di cybersecurity devono essere rispettati,
  • la possibilità di effettuare audit,
  • le regole per eventuali subfornitori,
  • le modalità e i tempi di segnalazione degli incidenti,
  • la gestione degli accessi a sistemi e dati e la loro localizzazione,
  • le misure per garantire la continuità operativa
  • le misure di collaborazione in caso di incidente.

Il problema non è solo dove si trova il fornitore, ma quanto quel fornitore può incidere sulla resilienza dell’impresa italiana.

Quali sono le clausole cyber oggi indispensabili e quali sono gli errori che riscontra più spesso negli accordi di fornitura che le aziende già hanno in essere?
Avv. Alessandri

Le clausole cyber indispensabili coprono alcuni ambiti chiave:

  • livelli minimi di sicurezza da garantire,
  • controllo e gestione degli accessi ai sistemi,
  • possibilità di audit e verifiche,
  • obblighi di comunicazione degli incidenti,
  • gestione delle vulnerabilità,
  • continuità dei servizi,
  • utilizzo e controllo dei subfornitori,
  • definizione delle responsabilità,
  • coperture assicurative
  • modalità di collaborazione in caso di incidente.

L’errore più frequente è avere contratti IT/OT datati, pensati come semplici accordi di servizio e privi obblighi cyber misurabili.

Una clausola con formulazione generica come “il fornitore garantisce un’adeguata sicurezza” non è sufficiente.

È necessario specificare in modo chiaro quali misure devono essere adottate, come vengono controllate, entro quali tempi devono essere rispettate e quali conseguenze sono previste in caso di mancato adempimento.

La NIS 2 impone la notifica degli incidenti significativi entro 24 ore. Nel caso di un attacco che transita attraverso la supply chain, chi ha l'obbligo di notifica: il fornitore colpito, il committente, o entrambi? E cosa rischia chi non notifica per evitare danni reputazionali?
Avv. Alessandri

L’art. 25 del D.Lgs. 138/2024 prevede che i soggetti essenziali e importanti notifichino al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi.

Un incidente è significativo se ha causato o può causare una grave perturbazione operativa o perdite finanziarie per il soggetto interessato, oppure se ha avuto o può avere ripercussioni su altre persone fisiche o giuridiche, causando perdite materiali o immateriali considerevoli.

La sequenza è precisa:

  1. pre-notifica entro 24 ore da quando il soggetto viene a conoscenza dell’incidente significativo;
  2. notifica entro 72 ore;
  3. eventuale relazione intermedia su richiesta del CSIRT Italia;
  4. relazione finale entro un mese dalla notifica, oppure relazioni mensili se l’incidente è ancora in corso.

Nel caso supply chain, quindi, non conta solo “chi è stato colpito per primo”. Conta chi subisce un impatto significativo sui propri servizi.

Per esempio, se il fornitore SCADA è soggetto NIS e l’attacco blocca i suoi servizi, potrà avere un proprio obbligo di notifica. E, se il committente industriale, a sua volta soggetto NIS, subisce un blocco produttivo rilevante o perdite finanziarie, dovrà valutare la propria notifica.

I due obblighi possono coesistere, perché riguardano soggetti e servizi diversi.

Chi non notifica per timore reputazionale commette un errore strategico.

La notifica non espone, per legge, a una maggiore responsabilità rispetto a quella derivante dall’incidente. Al contrario, l’omissione può diventare una violazione autonoma, rilevante anche ai fini delle sanzioni dell’art. 38.

Inoltre, se l’incidente ha carattere criminale, il CSIRT Italia fornisce orientamenti sulla segnalazione all’autorità di contrasto.

Sempre più spesso la Cybersecurity entra nei processi di Due Diligence per acquisizioni e fusioni. Una gestione opaca della Supply Chain Security (fornitori non qualificati, assenza di clausole contrattuali, incidenti non notificati) può influenzare negativamente la valutazione di un'azienda o addirittura far saltare un closing?
Avv. Alessandri

Sì. La supply chain security è ormai un tema di due diligence nelle operazioni Merge & Acquisition.

Fornitori critici non qualificati, contratti privi di clausole cyber, accessi remoti non controllati, incidenti non notificati o assenza di evidenze possono incidere su prezzo, garanzie, indennizzi, condizioni sospensive e, nei casi più gravi, sul closing.

Un acquirente oggi non compra solo fatturato e asset, ma anche il rischio operativo e regolatorio incorporato nella catena dei fornitori.

Se una società target dipende da pochi fornitori IT/OT, ha contratti datati, accessi amministrativi non tracciati, software industriali senza manutenzione, backup non testati o subfornitori sconosciuti, l’acquirente eredita un rischio che può tradursi in:

  • un fermo della produzione,
  • un data breach,
  • un contenzioso con i propri clienti,
  • una violazione di obblighi NIS.

Il D.Lgs. 138/2024 rafforza questa prospettiva perché richiede ai soggetti essenziali e importanti di adottare misure di gestione del rischio, tra cui:

  • continuità operativadei servizi e dei processi critici;
  • gestione e risposta agli incidenti di sicurezza;
  • sicurezza della catena di approvvigionamento;
  • sicurezza nello sviluppo e nella manutenzione dei sistemi;
  • valutazione periodica dell’efficacia delle misure adottate;
  • formazione del personale;
  • controllo accessi ai sistemi e ai dati;
  • utilizzo, ove opportuno, dell’autenticazione multifattore.

In una due diligence seria, quindi, non basta chiedere: “avete una policy cyber?”.

Bisogna verificare:

  • elenco fornitori critici;
  • contratti e allegati di sicurezza;
  • incidenti degli ultimi anni;
  • notifiche effettuate o valutate;
  • audit sui fornitori;
  • dipendenze da cloud, MSP, system integrator e fornitori OT;
  • coperture assicurative;
  • piano di continuità;
  • log e accessi privilegiati;
  • gestione vulnerabilità;
  • rapporti extra-UE;
  • diritti di recesso o step-in in caso di crisi.

Le conseguenze negoziali possono essere rilevanti: riduzione del prezzo, escrow, specific indemnity, condizioni sospensive per remediation, obbligo di aggiornare contratti con fornitori critici prima del closing, oppure carve-out di responsabilità pregresse.

Nei casi più gravi, un incidente occultato o una dipendenza non governata da un fornitore essenziale può far emergere una red flag tale da bloccare l’operazione.

Se dovesse dare un consiglio operativo a un'azienda industriale che oggi non sa da dove iniziare - un Responsabile IT o un COO che legge questa intervista - qual è il primo passo concreto, dal punto di vista legale e contrattuale, che dovrebbe fare entro i prossimi 30 giorni?
Avv. Alessandri

A un Responsabile IT o a un COO consiglierei di iniziare da un esercizio molto concreto: identificare i fornitori senza i quali l’azienda si ferma o perde controllo dei propri sistemi.

Per un’azienda industriale possono essere il system integrator, il fornitore SCADA, il manutentore PLC, il provider cloud, il gestore ERP, il fornitore MES, l’MSP, il consulente che gestisce firewall e VPN, il provider di backup, il fornitore di connettività o il partner logistico integrato.

Per ciascuno, in 30 giorni, bisogna raccogliere cinque informazioni minime:

  1. che servizio eroga;
  2. a quali sistemi accede;
  3. quali credenziali o accessi remoti possiede;
  4. se esiste un contratto aggiornato con clausole cyber;
  5. entro quanto tempo è obbligato a comunicare incidenti o vulnerabilità.

Questa mappatura è coerente con la logica del D.Lgs. 138/2024, che impone misure proporzionate di gestione del rischio e include espressamente i rapporti con fornitori e prestatori di servizi nella sicurezza della supply chain.

Il secondo passaggio è classificare i fornitori in critici, rilevanti o ordinari.

I fornitori critici devono essere gestiti con priorità: addendum cyber, obblighi di notifica rapida, MFA, logging, audit, business continuity, subfornitori, SLA di ripristino, cooperazione in caso di incidente e limiti di responsabilità coerenti con il rischio.

Il terzo passaggio è portare il tema in governance.

L’art. 23 impone agli organi di amministrazione e direttivi di approvare le modalità di implementazione delle misure e sovrintendere agli obblighi; quindi la mappa dei fornitori critici non deve restare un file dell’IT, ma diventare un documento discusso da direzione, procurement, legal e CdA.

In aggiunta a quanto sopra, entro il 31 maggio 2026 andranno comunicati all’Agenzia per la Cybersicurezza Nazionale i predetti fornitori ed entro il 30 giugno 2026 ogni soggetto importante o essenziale dovrà “categorizzare” le proprie attività.

Il punto pratico è questo: entro maggio l’azienda deve sapere da chi dipende; entro giugno deve sapere quali attività sono più critiche. Se le due informazioni non dialogano, il sistema resta fragile.

Una società può anche avere un elenco formalmente corretto dei fornitori ma se non collega quei fornitori alle attività categorizzate come rilevanti rischia di non vedere il vero punto di esposizione.

Questi adempimenti non sono meri caricamenti sul portale di ACN, ma costituiscono la base per la revisione contrattuale, il vendor risk management e, più in generale, per la governance NIS2.

Metti in sicurezza la tua Supply Chain con il Light Assessment NIS2.

Individua i gap di conformità NIS2 con un assessment preliminare e gratuito,
curato in partnership con gli esperti di Bacciardi Partners.

Prenota il Light Assessment