NIS2 e DORA: la valutazione dei fornitori come chiave per vincere le sfide normative

NIS2 e DORA: la valutazione dei fornitori

Come assicurare la compliance a NIS2 e DORA con uno strumento digitale per la qualifica e il monitoraggio dei fornitori

Nel 2025, due normative europee stanno ridefinendo il modo in cui le aziende gestiscono la sicurezza digitale e il rischio nella supply chain:

  • NIS2, Direttiva UE 2022/2555 sulla sicurezza delle reti e dei sistemi informativi (recepita in Italia con il D.Lgs. 138/2024): in vigore da ottobre 2024, amplia il numero di settori e di aziende coinvolte rispetto alla precedente Direttiva NIS1
  • DORA, Regolamento UE, Digital Operational Resilience Act: efficace dal 1° gennaio 2025 per il settore finanziario (banche, assicurazioni, società di investimento, gestori di fondi, fintech, operatori di pagamento e così via)

Le due normative, anche se differenti, hanno un filo conduttore in comune: le organizzazioni devono valutare e monitorare in modo proattivo i propri fornitori, e in particolare i fornitori di servizi digitali e ICT, come parte integrante della propria resilienza operativa.

Semplifica la selezione dei fornitori compliant alle direttive con Supplier Management di Online Procurement ->

NIS2: la sicurezza informatica diventa trasversale

Con NIS2, l’Europa impone requisiti più stringenti in materia di cybersecurity a un numero crescente di soggetti.

La direttiva identifica 18 settori critici o altamente critici, tra cui energia, sanità e trasporti, ma anche aziende manifatturiere, servizi digitali, imprese nel settore alimentare e chimico, nonché pubbliche amministrazioni, che devono conformarsi alle nuove disposizioni.

Uno degli elementi centrali è l’obbligo per le aziende di:

  1. Prevenire gli incidenti informatici grazie all’adozione di misure tecniche e organizzative
  2. Identificare e monitorare i fornitori più critici
  3. Documentare i processi di valutazione del rischio lungo tutta la catena di approvvigionamento

DORA: resilienza digitale per il settore finanziario

DORA riguarda esclusivamente il comparto finanziario e introduce un framework normativo unificato per la gestione della resilienza operativa digitale.

Tutti gli attori del settore, dalle banche alle società fintech, dovranno essere in grado di resistere a disservizi o attacchi informatici. Un’attenzione particolare è riservata ai fornitori di servizi ICT, che rappresentano un punto di vulnerabilità importante. Le aziende finanziarie dovranno:

Online Procurement: soluzione all-in-one per la gestione degli acquisti

Rivalutazione periodica del fornitore (re-assessment)

DORA richiede non solo una valutazione iniziale dei fornitori ICT critici, ma anche aggiornamenti periodici delle attività di risk assessment poiché il livello di rischio può variare a causa di:

  • evoluzione tecnologica/organizzativa del fornitore

  • cambiamenti nei servizi

  • incidenti o non conformità

  • variazioni normative o di mercato.

In certi casi, la rivalutazione può portare alla necessità di modificare i termini contrattuali o addirittura di stipulare un nuovo contratto.

Come Online Procurement supporta la compliance NIS2 e DORA

Una delle funzioni più apprezzate di Online Procurement è la possibilità di adattare i percorsi di qualifica in base alla tipologia di fornitore, essenziale per assicurare la conformità ai requisiti di NIS2 e DORA.

Non tutti i fornitori devono rispettare gli stessi requisiti: ad esempio, un fornitore ICT dovrà dimostrare l’esistenza di policy di cybersecurity strutturate, mentre un fornitore di servizi generali, come le pulizie o la logistica, potrà essere valutato con criteri più snelli, ma comunque tracciabili.

Online Procurement consente di:

  • Definire questionari e criteri differenziati in base alla categoria merceologica, al livello di criticità o alla tipologia di rischio associato

  • Raccogliere in modo strutturato le evidenze richieste (certificazioni, policy, SLA, etc.)
  • Monitorare le performance dei fornitori durante tutta la durata del contratto, con campagne periodiche o ad hoc

In questo modo, la gestione dei fornitori non solo diventa conforme alle normative, ma anche più efficiente e focalizzata, con un livello di approfondimento proporzionato al reale impatto del fornitore sulla sicurezza e la continuità operativa dell’organizzazione.

Focus PMI: devo adeguarmi a NIS2 e DORA?

Molte piccole e medie imprese si stanno chiedendo se rientrano tra i soggetti obbligati dalle nuove normative europee. Ecco qualche chiarimento utile.

1. Sono una PMI: NIS2 mi riguarda?

Sì, se operi in settori ritenuti essenziali o importanti (energia, sanità, trasporti, servizi digitali, manifattura tecnologica, ecc.). Non conta solo la dimensione aziendale: a essere determinanti sono il ruolo nella catena del valore e il livello di rischio associato.
Ad esempio, una PMI che fornisce software a un ospedale o servizi IT a una banca può essere considerata un fornitore critico.

2. E per quanto riguarda DORA?

DORA riguarda principalmente il settore finanziario, ma coinvolge anche i fornitori terzi ICT che collaborano con banche, assicurazioni o società fintech. Anche una PMI che offre soluzioni cloud, cybersecurity, sviluppo software o gestione infrastrutturale può essere chiamata a rispettare specifici requisiti, contrattuali e documentali.

Stai valutando come adeguare la tua Azienda alle normative NIS2 e DORA?

Contattaci per scoprire come il nostro software può aiutarti a trasformare un obbligo normativo in un vantaggio competitivo.