Nel quadro tracciato durante la presentazione del Rapporto Clusit 2025, l’intervento di Ivan Monti, Chief Information Security Officer di Ansaldo Energia, offre una prospettiva concreta su come una grande azienda manifatturiera italiana sta affrontando la gestione del rischio cyber nella supply chain. Le sue parole delineano un approccio pragmatico, fondato su una cultura della sicurezza che integra governance, analisi del rischio e collaborazione con i fornitori.

Monti sottolinea come la transizione alla direttiva NIS2 abbia formalizzato un percorso che in molte realtà industriali era già iniziato. «Sarebbe sbagliato dire che non abbiamo fatto nulla prima», spiega. «Eravamo già fornitori di soggetti NIS, quindi avevamo dovuto sviluppare procedure e controlli per garantire la sicurezza delle nostre interazioni. La NIS2 ci spinge semplicemente a fare un passo in più» .

Dalla teoria alla pratica: il rischio come punto di partenza

La chiave di lettura proposta da Monti è chiara: la gestione del rischio è il fondamento della sicurezza della supply chain.

Ogni relazione con un fornitore, interno o esterno, è valutata in funzione del suo potenziale impatto sull’operatività dell’azienda. Non tutte le collaborazioni sono uguali, e la prioritizzazione diventa essenziale per evitare dispersione di risorse.

«Appena abbiamo sentito parlare di NIS2», racconta Monti, «la prima domanda interna è stata: come faccio a valutare tutti i fornitori, e fino a quale livello mi devo fermare?».

La risposta arriva proprio dalla direttiva: il focal point sono i fornitori diretti, ma la valutazione deve includere anche la capacità di questi soggetti di gestire la propria catena di subfornitura. È un modello circolare: ogni organizzazione è al tempo stesso cliente e fornitore, e il livello di sicurezza di ciascun anello influisce sull’intera catena produttiva.

Fornitori diretti e fornitori critici: costruire la catena della fiducia

L’approccio adottato da Ansaldo Energia si fonda sulla distinzione tra fornitori diretti e fornitori critici.

La prima categoria comprende tutti i partner con accesso operativo o informativo ai sistemi aziendali; la seconda riguarda coloro la cui vulnerabilità potrebbe compromettere la continuità produttiva o la proprietà intellettuale dell’azienda.

«Uno dei nostri obblighi – afferma Monti – è verificare non solo la security posture dei fornitori, ma anche le azioni che essi stessi applicano verso la loro catena di fornitura».

Questo meccanismo genera un effetto a cascata virtuoso: ogni soggetto che si adegua eleva il livello di sicurezza dell’intero ecosistema industriale.

In un contesto manifatturiero, dove migliaia di fornitori interagiscono quotidianamente con impianti e dati sensibili, la fiducia operativa diventa un requisito tecnico. Per questo motivo, Ansaldo Energia ha sviluppato una mappatura dei fornitori basata sul rischio, partendo da quelli che possono impattare direttamente sull’operatività.

«È impensabile riuscire a valutare subito tutti i 3.000 fornitori», spiega Monti. «Siamo partiti da quelli che possono mettere in difficoltà l’operatività dell’azienda, perché è lì che il rischio si concentra».

Governance integrata: sicurezza e procurement lavorano insieme

Un altro aspetto decisivo della gestione del rischio nella supply chain è la collaborazione tra funzioni aziendali.

Monti descrive un modello in cui l’ufficio acquisti non è più un attore passivo, ma un alleato strategico del reparto sicurezza.

«Oggi il procurement è perfettamente consapevole di cosa sia la NIS2 e di quali obblighi comporti. Lavoriamo insieme per inserire le clausole di sicurezza nei contratti e per monitorare i fornitori più sensibili».

Questa sinergia consente di anticipare i problemi e di integrare la sicurezza nella contrattualistica, elemento chiave per garantire la conformità.

L’esperienza di Ansaldo mostra come la sicurezza, una volta confinata all’area IT, sia ora diventata una funzione trasversale che coinvolge ogni dipartimento.

Piccoli fornitori, grandi rischi: la questione della maturità cyber

La direttiva NIS2 ha evidenziato un divario strutturale: molte PMI fornitrici non possiedono ancora la maturità necessaria per rispondere agli standard europei.

Monti racconta un episodio emblematico: «Abbiamo inviato un questionario con 93 controlli basati sulla ISO 27001 a un piccolo fornitore. Ci ha risposto: “Non facciamo quasi nulla di tutto questo, ma ci possiamo adeguare».

Questo scambio rivela una realtà diffusa: la mancanza di consapevolezza non è sempre un segno di resistenza, ma spesso di scarsità di risorse e conoscenza.

Le grandi imprese, in questo contesto, assumono un ruolo di mentorship: non solo pretendono requisiti di sicurezza, ma offrono supporto e indicazioni pratiche per raggiungerli.

Monti sottolinea come in molti casi la strategia consista nel collaborare attivamente con i fornitori, anziché escluderli: «A volte li aiutiamo a capire cosa devono fare, anche al di fuori degli accordi commerciali. È un investimento in fiducia reciproca».

La centralità della proprietà intellettuale e dei sistemi OT

Nel manifatturiero la proprietà intellettuale rappresenta uno degli asset più sensibili. Per Ansaldo Energia, che progetta e costruisce soluzioni di ingegneria avanzata, la protezione delle informazioni è tanto importante quanto la sicurezza fisica degli impianti. «Chi accede a quelle informazioni è, per definizione, un fornitore critico», spiega Monti.

Accanto alla protezione dei dati c’è il tema cruciale dei sistemi OT (Operational Technology). Molti impianti industriali utilizzano tecnologie datate, non sempre aggiornabili o sostituibili rapidamente. Questo non significa che siano inevitabilmente vulnerabili: «Ci sono molte azioni che si possono intraprendere anche su sistemi obsoleti per ridurre il rischio», spiega Monti, ribadendo che la gestione del rischio è una pratica di bilanciamento, non di eliminazione.

La convergenza tra IT e OT obbliga le aziende a superare le barriere tradizionali tra sicurezza informatica e sicurezza operativa. È una sfida che richiede una visione integrata, in cui la resilienza industriale e la cyber resilience diventano due facce della stessa medaglia.

Valutare, mitigare, comunicare: le tre dimensioni della resilienza

Il modello di Ansaldo Energia ruota attorno a tre parole chiave: valutare, mitigare, comunicare.

La valutazione serve a individuare i rischi; la mitigazione a contenerli attraverso controlli e procedure; la comunicazione a garantire che ogni parte coinvolta, interna o esterna, sia consapevole e pronta a reagire.

Monti sottolinea l’importanza della trasparenza: «Mi interessa più sapere come è avvenuto un attacco che di chi è la colpa. Se riusciamo a condividere in poco tempo cosa è successo, magari evitiamo che accada ad altri».

Questa visione si inserisce pienamente nello spirito della NIS2, che promuove la notifica tempestiva degli incidenti come strumento di protezione collettiva.

Una visione di lungo periodo

L’esperienza di Ansaldo Energia dimostra che la gestione del rischio cyber nella supply chain non è un progetto a termine, ma un processo continuo.

Richiede tempo, collaborazione e una mentalità orientata al miglioramento costante. Le aziende devono imparare a trattare ogni fornitore come una potenziale minaccia, ma anche come un potenziale alleato.

La consapevolezza, conclude Monti, non si costruisce in isolamento: è il risultato di un dialogo permanente tra tecnologia, persone e governance. E nella nuova era regolata dalla NIS2, è proprio questa capacità di cooperazione a determinare la solidità e la resilienza di un’intera filiera industriale.