José Valiente Pérez, direttore e coordinatore del CCI, Centro de Ciberseguridad Industrial – Industrial Cybersecurity Center, commenta a riguardo:
«Secondo lo studio che stiamo preparando sulla gestione della cybersicurezza della catena di fornitura, i clienti identificano come principale rischio le dipendenze critiche prive di controlli adeguati e, dall’altra parte, la mancanza di trasparenza da parte del fornitore. Per questo, una delle sfide sarà rompere la dinamica del fornitore opaco. Molti consegnano macchinari connessi senza validare servizi, configurazioni o firmware. La catena di fornitura non può più funzionare come una scatola nera: sarà necessario fornire informazioni ed evidenze reali».
Un’ulteriore sfida sarà «superare l’esigenza delle normative NIS2 e CRA. I fornitori che oggi non sanno cosa rispondere quando viene chiesto loro se rispettano NIS2 e/o CRA resteranno fuori dal mercato. Ci sarà una crescente pressione su: SBOM verificabili, evidenze di conformità, audit periodici condivisi, livelli minimi di maturità OT».
«D’altra parte, sarà fondamentale trasformare l’accesso remoto in un canale affidabile e tracciabile, non improvvisato come avviene in molti casi», aggiunge José Valiente.
«Va inoltre sottolineata l’importanza della figura dell’ICSO (Industrial Cybersecurity Officer), che dovrà gestire più relazioni, più contratti, più implicazioni legali e più tecnologie di terze parti che mai. Il suo ruolo sarà chiave nel supporto agli incidenti con terzi, nel definire criteri di acquisto sicuri e clausole adattate in base al tipo di fornitore».
Tuttavia, pur essendo queste quattro sfide rilevanti, «la maggiore sfida per il 2026 sarà far sì che la catena di fornitura industriale smetta di essere trattata come un ecosistema ostile e passi a un modello di ciberresilienza [industriale] condivisa: con affiancamento tecnico da parte del cliente, requisiti graduali (Base / Importante / Critico), valutazioni congiunte con feedback e miglioramento continuo bilaterale», conclude José Valiente.
