La compliance NIS2 non è solo un obbligo normativo, ma una trasformazione strutturale dei processi aziendali, in particolare per i grandi gruppi industriali con una rete di fornitori complessa e distribuita. A spiegarlo è Valeria Prosser, Head of Governance, Risk & Compliance di E-phors S.p.A., che nel corso del Rapporto Clusit 2025 ha illustrato come la gestione della sicurezza nella catena di fornitura diventi un elemento chiave per l’adeguamento alla direttiva europea.

Con un’esperienza maturata anche nel contesto di Fincantieri, con oltre 5.400 fornitori qualificati, Prosser evidenzia le difficoltà e le soluzioni adottate per garantire che una supply chain di tali dimensioni rispetti gli standard imposti dalla NIS2, senza compromettere l’efficienza produttiva .

L’ampiezza del rischio: 5.400 fornitori da gestire

Nel settore navale e manifatturiero, la catena di approvvigionamento è intrinsecamente estesa e diversificata.

«Parliamo di migliaia di fornitori, molti dei quali sono piccole e medie imprese, dislocate non solo in Italia ma in tutto il mondo», spiega Prosser.

Questo comporta che la gestione della sicurezza non può essere centralizzata, ma deve fondarsi su un sistema di governance capace di valutare la maturità cyber di ciascun fornitore.

Fincantieri adotta un approccio multilivello: nella fase di qualifica dei partner vengono utilizzati questionari di maturità— anche sulla base di modelli sviluppati dal Clusit — per valutare la consapevolezza e la capacità dei fornitori di rispettare requisiti minimi di sicurezza.

Ma la valutazione non si ferma alla fase iniziale: ogni fornitura viene esaminata in relazione al suo impatto sul processo produttivo, e da questo derivano i requisiti di sicurezza contrattuali da includere negli accordi.

«Solo unendo l’analisi della maturità del fornitore e la valutazione del rischio specifico della fornitura possiamo capire il livello di esposizione reale», sottolinea Prosser. Questo approccio consente di differenziare gli obblighi, evitando una logica “taglia unica” e concentrando gli sforzi dove il rischio è più alto.

La compliance NIS2 come dialogo: dai fornitori alla cultura condivisa

Un punto cruciale della riflessione di Prosser riguarda la dimensione relazionale della compliance.

Molti fornitori, specialmente quelli esteri o di piccole dimensioni, non conoscono nel dettaglio la direttiva NIS2 o i suoi effetti. «Le negoziazioni si aprono spesso con una sorta di introduzione alla normativa», racconta.

Il compito delle grandi aziende è dunque duplice: assicurarsi la conformità interna e trasferire cultura e consapevolezza ai propri partner.

Questo scambio è essenziale per evitare fraintendimenti. Prosser precisa: «Non chiediamo ai fornitori che non sono direttamente soggetti NIS2 di adeguarsi alla direttiva; condividiamo con loro i requisiti di sicurezza che per noi, in qualità di soggetti impattati, sono indispensabili per gestire efficacemente il rischio».

La compliance NIS2 si traduce quindi in una forma di cooperazione strutturata, in cui il committente guida e supporta i partner nella costruzione di una filiera resiliente.

Governance e contrattualistica: la sicurezza si scrive nei contratti

Nel percorso di adeguamento, la contrattualistica assume un ruolo centrale.

Ogni rapporto con un fornitore diventa un veicolo di sicurezza, attraverso clausole vincolanti che disciplinano la gestione del rischio, la protezione dei dati e la risposta agli incidenti.

Prosser spiega che Fincantieri ha introdotto obblighi di notifica tempestiva in caso di violazioni o incidenti che possano avere effetti sulla produzione o sui dati aziendali. «Abbiamo stabilito delle tempistiche chiare, non solo per rispettare gli obblighi normativi, ma per poter reagire in modo rapido e ridurre l’impatto operativo».

La velocità nella comunicazione è infatti una componente essenziale della resilienza: ogni minuto guadagnato nella gestione di un incidente può evitare fermi macchina, danni reputazionali e perdite economiche.

L’azienda ha inoltre avviato una revisione sistematica dei contratti già in essere, per inserire i requisiti di sicurezza definiti dall’ACN e dalle linee guida europee. Questo processo, spiega Prosser, «richiede tempo e dialogo, ma è l’unico modo per garantire che la sicurezza diventi parte integrante del rapporto con i fornitori».

La complessità della supply chain globale

Per un gruppo come Fincantieri, la sfida della compliance NIS2 si amplifica nel contesto internazionale.

Molti fornitori si trovano in Paesi extraeuropei, dove gli standard di cybersecurity non sempre coincidono con quelli comunitari. In questi casi, la prima difficoltà è armonizzare linguaggi e pratiche.

«Ci troviamo spesso a collaborare con fornitori che non hanno mai sentito parlare della NIS2», osserva Prosser.

Per affrontare questo divario, l’azienda ha sviluppato strumenti di formazione e accompagnamento, creando un linguaggio comune che consenta a tutte le parti di comprendere l’obiettivo finale: la protezione della filiera e la continuità produttiva.

L’impegno è duplice: da un lato promuovere la standardizzazione delle pratiche di sicurezza lungo tutta la catena di fornitura, dall’altro garantire flessibilità operativa per rispettare le specificità di ogni mercato.

È una sfida di equilibrio tra rigore normativo e adattamento industriale, che richiede una governance solida e la capacità di monitorare costantemente i risultati.

La notifica degli incidenti come leva di resilienza

Uno dei punti centrali della NIS2 è l’obbligo di notifica degli incidenti di sicurezza.

Per Prosser, questa misura va interpretata non come un adempimento burocratico, ma come un meccanismo di difesa collettiva.

«Inserire nei contratti clausole che prevedano la notifica entro tempi definiti ci permette di gestire tempestivamente la risposta e il ripristino dei sistemi critici», afferma.

In un ambiente industriale come quello navale, dove le linee di produzione si estendono su più cantieri e più Paesi, la tempestività della comunicazione è spesso il fattore che distingue un incidente gestito da una crisi operativa.

La compliance NIS2 impone dunque un cambio di prospettiva: dalla segretezza alla trasparenza, dalla reazione isolata alla condivisione informata degli eventi.

Oltre la conformità: verso una sicurezza sostenibile

L’esperienza di Fincantieri e di E-phors mostra che la compliance NIS2 non può essere raggiunta semplicemente applicando checklist o standard predefiniti.

Richiede un sistema di governance dinamico, capace di evolversi insieme alle minacce e alle trasformazioni del mercato.

Prosser sottolinea come la revisione periodica dei requisiti di sicurezza, la verifica della conformità e il dialogo continuo con i partner siano ormai parte integrante del ciclo operativo.

La vera forza della direttiva, afferma, sta nel promuovere un approccio proattivo: non si tratta solo di rispettare un obbligo, ma di costruire una resilienza sistemica che protegga l’intera catena di valore.

In questa visione, la NIS2 diventa un fattore di competitività, perché le imprese che dimostrano di saper gestire il rischio e garantire la sicurezza sono anche quelle che ispirano fiducia nei clienti, nei partner e nelle istituzioni.