Conformità a GDPR e NIS 2: come si determina il livello di rischio associato al fornitore

La qualifica iniziale dei fornitori rappresenta il primo presidio per garantire sicurezza informatica e protezione dei dati. Tuttavia, qualificare non significa ancora decidere.

In un contesto normativo dominato dall’integrazione tra GDPR e Direttiva NIS 2, le organizzazioni non possono limitarsi a verifiche formali. È necessario adottare strumenti strutturati e criteri oggettivi per attribuire un livello di rischio a ciascun fornitore e decidere consapevolmente se avviare o meno una collaborazione.

Ecco una panoramica completa e operativa sui principali modelli e sulle metodologie di valutazione del rischio, con esempi pratici, criteri integrati e strumenti utilizzabili fin da subito.

La svolta

La vera svolta si compie solo quando, a valle della documentazione raccolta, si effettua una valutazione strutturata del rischio associato al fornitore.

Non tutti i fornitori presentano lo stesso profilo di rischio, né tutti i servizi impattano in egual misura sulla sicurezza e sulla privacy. Occorre quindi attribuire un livello di rischio calcolato su base oggettiva, ponderando le variabili in gioco e l’esposizione concreta dell’organizzazione.

Ed è proprio qui che entrano in gioco strumenti avanzati, metodologie riconosciute e modelli operativi: dalle griglie ponderate alle scorecard di rischio, dai framework internazionali ai software di Vendor risk management.

Ecco come decidere e assumersi la responsabilità delle scelte.

Strumenti per la valutazione del rischio associato al fornitore

Una volta raccolta la documentazione, è possibile assegnare al fornitore un livello di rischio, utilizzando un modello validato specifico basato sui criteri valutati.

Questa valutazione consente di decidere se avviare il rapporto, sospenderlo o richiedere l’adozione di azioni preventive.

Qualora il fornitore risultasse critico ma, allo stesso tempo, fosse l’unico in grado di soddisfare specifiche esigenze oppure fosse imposto da un cliente, sarà possibile avviare il rapporto, a condizione che siano adottate le misure previste e che venga ottenuta l’autorizzazione del vertice dell’organizzazione.

In questo contesto, saranno stabiliti tempi e modalità rigorosi per l’attuazione delle richieste rivolte al fornitore. A tal fine possono essere utilizzati strumenti come:

• la griglia di valutazione ponderata;
• scorecard di rischio;
• modello TPRM (Third-Party Risk Management);
• valutazione automatica con software di Vendor risk management.

La griglia di valutazione ponderata

Si crea una matrice con i criteri di valutazione (per esempio, conformità normativa, politiche di sicurezza, SLA, reputazione eccetera) e si assegna un peso a ciascun criterio in base alla sua importanza per l’organizzazione.

Ogni fornitore viene valutato con un punteggio per ciascun criterio.

Vantaggi:

• permette di confrontare più fornitori in modo oggettivo;
• identifica i fornitori con il miglior equilibrio tra requisiti di sicurezza e performance.

Scorecard di rischio

Si predispone una scheda in cui vengono analizzati i rischi specifici associati al fornitore. Si considerano fattori come la criticità del servizio, l’impatto su dati sensibili e la probabilità di un incidente.

Vantaggi:

• focalizza l’attenzione sui rischi prioritari;
• aiuta a identificare i fornitori che necessitano di controlli più stringenti.

Esempio di categorie da valutare:

• accesso fisico ai locali;
• potenziale esposizione a dati sensibili;
• piani e test;
• capacità di mitigare emergenze.

Modello TPRM (Third-Party Risk Management)

Utilizza framework specifici, come NIST SP 800-161 o ISO 27036, per gestire i rischi legati ai fornitori. Include processi di onboarding strutturati e strumenti per il monitoraggio continuo.

Vantaggi:

• standardizzato e basato su normative riconosciute a livello internazionale;
• strutturato per fornire valutazioni approfondite su più livelli.

Valutazione automatica con software di Vendor risk management

Fa ricorso ad applicativi sviluppati da società riconosciute a livello internazionale che analizzano automaticamente il rischio cyber e la conformità normativa dei fornitori e forniscono punteggi di sicurezza basati su metriche quali vulnerabilità, protezione della rete e reputazione online.

Vantaggi:

• riduzione del tempo necessario per la valutazione;
• applicazioni di soluzioni già testate e note;
• identificazione di problematiche anche senza un audit diretto.

La prova del nove: come mettere alla prova i fornitori prima del contratto

Infine non bisogna dimenticare, sempre in fase di qualifica, strumenti particolarmente sofisticati come per esempio i seguenti:

• simulazioni di scenari (Tabletop Exercises);
• interviste o riunioni operative;
• valutazione pilota.

Simulazioni di scenari (Tabletop Exercises)

Si simula un incidente di sicurezza ipotetico (es. accesso non autorizzato ai locali o violazione di un SLA) e si valuta come il fornitore reagirebbe.

Vantaggi:

• permette di testare la reattività del fornitore a situazioni di emergenza;
• evidenzia eventuali lacune nei processi di sicurezza.

Interviste o riunioni operative

Sessioni di confronto con i responsabili del fornitore per approfondire aspetti specifici della sicurezza e della qualità del servizio.

Il vantggio consiste nella possibilità di verificare la competenza e la trasparenza del fornitore, nonché la sua prontezza in situazioni complesse.

Esempi di domande utili:

• è stato individuato il personale critico?
• esiste una matrice di backup del personale critico?
• come viene gestito l’accesso ai locali da parte del personale?
• avete piani di continuità operativa e gestione degli incidenti?
• i piani sono aggiornati e simulati?
• con che frequenza vengono aggiornati e simulati?

Valutazione pilota

Prima di formalizzare il contratto, si assegna un piccolo progetto o incarico al fornitore per testare le sue capacità e il rispetto dei requisiti.

Vantaggi:

• permette una verifica pratica senza impegnarsi a lungo termine;
• riduce il rischio iniziale legato alla scelta del fornitore.

Convergenze strategiche: quando GDPR e NIS 2 impongono scelte misurabili

Il quadro normativo attuale richiede ai titolari del trattamento un approccio integrato e selettivo nella valutazione dei fornitori.

Il parere EDPB 22/2024 chiarisce che la verifica delle “garanzie sufficienti” da parte del responsabile non può essere generica, ma deve tener conto – caso per caso – della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.

In questo senso, l’adesione a un codice di condotta approvato (art. 40 GDPR) o a un meccanismo di certificazione riconosciuto (art. 42 GDPR) può rappresentare un elemento probatorio rilevante nella valutazione complessiva.

In parallelo, la Direttiva NIS 2 – recepita dal D.Lgs. 138/2024 – introduce un paradigma di accountability esteso alla catena di fornitura, promuovendo l’adozione di standard tecnici riconosciuti a livello internazionale per la gestione del rischio cyber e la sicurezza delle infrastrutture critiche.

Da questa convergenza normativa emergono indicazioni operative chiare. Un fornitore qualificato è tale solo se dimostra di saper prevenire, assorbire e gestire eventi avversi, garantendo:

• continuità operativa;
• protezione dei dati personali;
• robustezza nei processi e nella catena di subfornitura.

La valutazione del rischio associato al fornitore, quindi, non è solo un adempimento documentale, ma una leva strategica per costruire ecosistemi digitali affidabili, resilienti e conformi.

Saperla eseguire con metodo, rigore e visione integrata significa trasformare la compliance in protezione concreta, in un tempo in cui l’affidabilità non è più solo un valore aggiunto, ma un requisito essenziale.

Il rischio si misura, la fiducia si costruisce

In uno scenario in cui la vulnerabilità di un singolo fornitore può compromettere l’intero ecosistema digitale, valutare il rischio associato a ciascun soggetto esterno non è più un’opzione, ma un dovere strategico.

Le organizzazioni che intendono rispettare — davvero — il combinato disposto di GDPR e Direttiva NIS 2, devono dotarsi di strumenti solidi, metodi oggettivi e modelli decisionali capaci di reggere il confronto con controlli ispettivi e attacchi informatici.

Dunque, valutare il rischio di un fornitore è un processo tecnico, ma anche un atto di governance. Significa soppesare l’affidabilità, testare la resilienza, misurare l’impatto potenziale e assumersi la responsabilità della scelta.

Significa, soprattutto, saper dire sì solo quando la fiducia è fondata su dati, evidenze, simulazioni e prove. E saper dire no quando i rischi superano le garanzie, anche se il fornitore è comodo, storico o imposto.

Dalla griglia ponderata alla valutazione pilota, dalla scorecard alle simulazioni di scenario, gli strumenti ci sono.

Ciò che serve è la volontà di trasformare la valutazione in cultura del rischio, e la cultura del rischio in capacità di prevenzione.

Nel prossimo articolo ci concentreremo sulla gestione dinamica dei fornitori qualificati, descrivendo strumenti e strategie per garantire continuità nella conformità e nella sicurezza, attraverso audit periodici, indicatori di performance, aggiornamento dei rischi e revisione degli accordi.

Perché qualificare non basta. Bisogna anche vigilare.