Gestione fornitori, la fase di qualifica dinamica per la conformità al Decreto NIS 2 e al GDPR

Il Decreto NIS 2 e il Parere Edpb 22/2024 evidenziano la necessità di adottare una gestione dinamica dei fornitori, capace di monitorare costantemente l’adeguatezza delle misure di sicurezza e garantire la conformità normativa.

Ecco come individuare i criteri per la qualifica dinamica.

Decreto NIS 2: la fase della qualifica dinamica

Dopo aver esaminato la gestione della filiera dei fornitori ed affrontato il tema della qualifica iniziale dei fornitori e della valutazione del relativo rischio, ora è necessario individuare criteri per la qualifica dinamica.

Infatti, l’art. 24, comma 2 lett. d) del D.Lgs. 138/2024 (Decreto NIS 2) e il punto 42 del Parere Edpb 22/2024 sottolineano l’esigenza di implementare una gestione dinamica. Questa attività è prevista, tra l’altro, da diversi standard internazionali, come il paragrafo 8.4 della UNI EN ISO 9001:2015 e i controlli della ISO/IEC 27001:2022, relativi alla gestione delle relazioni con i fornitori. Preziosi riferimenti si trovano anche nella ISO/IEC 27002:2022.

In questo contesto, emerge una sfida, quella di integrare nella governance aziendale strumenti e procedure che consentano di mantenere alto il livello di fiducia e sicurezza nell’interazione con i fornitori.

Gestione dinamica del rapporto con i fornitori: un obbligo continuo

L’art. 24, comma 2 lett. d) del Decreto NIS 2 e l’art. 28, par. 3, lett. h) del Gdpr postulano la necessità che le garanzie offerte inizialmente dai fornitori debbano essere mantenute nel tempo attraverso:

• audit regolari: verifiche periodiche per accertare la conformità;
• valutazioni dinamiche: aggiornamenti delle analisi in base a cambiamenti nei fornitori;
• monitoraggio delle performance: supervisione costante di SLA, KPI e procedure di sviluppo sicuro.

Il mancato rispetto di tali obblighi può comportare non solo violazioni normative, ma anche un incremento significativo del rischio operativo.

Quando effettuare la valutazione dinamica

Le valutazioni dinamiche vanno eseguite in momenti specifici, tra cui:

• a intervalli regolari: semestrali o annuali, in base alla criticità della fornitura;
• dopo modifiche significative: fusioni, cessioni o cambiamenti organizzativi;
• in caso di variazioni tecnologiche: introduzione di nuove tecnologie o sub-fornitori;
• in seguito a eventi critici: incidenti informatici o non rispetto dei KPI concordati.

Questi momenti rappresentano finestre fondamentali per ricalibrare le misure di sicurezza e protezione dei dati.

Strumenti e criteri per la qualifica dinamica

Gli strumenti e i criteri da utilizzare per la valutazione dinamica dei fornitori possono essere in parte mutuati se non condivisi con quelli utilizzati per la valutazione iniziale.

Gli strumenti che possono essere utilizzati sono:

• audit di seconda parte condotti direttamente sui fornitori;
• richiesta di documentazione, come certificati di gestione, adesioni a codici di condotta o certificazioni di prodotto/servizio;
• ricerche presso enti di accreditamento (per esempio, Accredia) per verificare i certificati di gestione del fornitore;
• capacità documentata del fornitore di rispettare le misure tecniche e organizzative definite nell’atto di designazione;
• analisi delle procedure aggiornate fornite dal fornitore, come quelle relative alla gestione di data breach e alla verifica periodica dell’efficacia delle misure di sicurezza richieste dall’art. 32, par. 1(d) del Regolamento generale sulla protezione dei dati;
• aggiornamenti tramite check list compilati dal fornitore o dall’organizzazione (vedi esempio seguente), relativi a processi, misure adottate e performance;
• certificazioni e attestati di formazione che dimostrano il continuo aggiornamento delle competenze del personale;
• ulteriori evidenze di qualificazione, come l’adesione a codici di condotta specifici (per esempio, il Codice Cispe per i fornitori di infrastrutture cloud).

Esempio di check list per la valutazione dinamica

Un esempio di bozza checklist di valutazione dinamica con un focus specifico sulla cyber security e sulla criticità del settore ferroviario: prestazioni tecniche, conformità contrattuale, sicurezza e protezione dei dati, innovazione e supporto e approccio collaborativo.

Prestazioni tecniche:

• qualità del servizio: il servizio è stato erogato con il livello qualitativo atteso? (per esempio, uptime, velocità, efficienza);
• affidabilità: si sono verificati guasti o interruzioni del servizio?
• tempestività: i tempi di risposta per la risoluzione dei problemi sono stati adeguati?

Conformità contrattuale:

• rispetto degli SLA (Service Level Agreement): il fornitore ha rispettato gli SLA definiti?
• adempimento degli obblighi contrattuali: sono stati rispettati tutti gli obblighi previsti dal contratto?

Sicurezza e protezione dei dati:

• Gestione della sicurezza: sono stati segnalati problemi relativi alla sicurezza informatica (per esempio, vulnerabilità, attacchi)?
• sono state attivate comunicazioni e misure nei tempi stabiliti?
• sono state attivate le misure concordate?
• Protezione dei dati: il fornitore ha rispettato le normative sulla protezione dei dati personali (Gdpr)?

Innovazione e supporto:

• innovazione: il fornitore ha proposto miglioramenti o soluzioni innovative durante il periodo?
• supporto tecnico: la qualità del supporto tecnico è stata soddisfacente?

Approccio collaborativo:

• comunicazione: come si valuta la qualità degli strumenti offerti per la reportistica e la trasparenza sulle attività di cybersecurity?
• dati di contatto: come si considera la reattività e proattività del contatto diretto con un team di sicurezza dedicato in caso di emergenze?

Punteggio e valutazione finale

Dopo la compilazione, ogni risposta può essere valutata su una scala da 1 a 5 secondo un modello di scoring, con un peso aggiuntivo per le aree più critiche (per esempio, gestione degli incidenti, subfornitori).

Ai fornitori che non raggiungono un punteggio minimo possono essere richieste ulteriori misure aggiuntive ed oggetto di rivalutazione a distanza di pochi mesi per essere sottoposti a ulteriori verifiche.

Il modello di scoring può essere utilizzato per valutare i fornitori sulla base del questionario.

Questo approccio permette di assegnare punteggi e confrontare i fornitori in modo oggettivo.

Modello di scoring per il questionario di valutazione

Il passaggio principale consiste nella definizione della scala di punteggio.

Ogni risposta viene valutata su una scala da 1 a 5:

• 1: Non soddisfatto / non applicabile / inaccettabile;
• 2: Parzialmente soddisfatto, ma con carenze significative;
• 3: Soddisfatto a un livello base;
• 4: Soddisfatto con un buon livello di dettaglio;
• 5: Eccellente / completamente conforme.

Assegnazione dei pesi ai criteri:

Non tutti i criteri hanno la stessa importanza. Ogni sezione riceve un peso (%) in base alla sua criticità per il progetto.

Per esempio:

• prestazioni tecniche: 30%
• conformità contrattuale: 25%
• sicurezza e protezione dei dati: 20%
• innovazione e supporto: 20%
• approccio collaborativo: 5%

Calcolo del punteggio totale:

• per ogni criterio: punteggio del fornitore × peso relativo.
• somma i risultati di tutti i criteri per ottenere il punteggio finale.

Esempio pratico di scoring

Punteggio finale del fornitore: 76%.

Nota esplicativa: ogni area è valutata da 1 a 5 e ha un peso diverso sull’esito finale.
Per calcolare il punteggio complessivo:

• si moltiplica il punteggio per il peso di ciascuna sezione;
• si somma il tutto (in questo caso, 380);
• si divide il risultato per 500, che è il massimo punteggio possibile (ossia: 5 in tutte le voci, ciascuna ponderata per il suo peso);
• il risultato è una percentuale di performance complessiva: in questo caso, 76%.

Interpretazione:

• 90-100%: fornitore eccellente, altamente consigliato.
• 75-89%: fornitore idoneo con pochi miglioramenti necessari.
• 50-74%: fornitore accettabile, ma con lacune significative.
• <50%: fornitore non conforme, sconsigliato.

Rappresentazione grafica

Per una rappresentazione dei dati può essere utile fare ricorso ad un grafico a radar è particolarmente utile in un sistema di valutazione basato sullo scoring su vari assi per i sottonotati motivi:

• visione sintetica e comparativa: il grafico consente di visualizzare contemporaneamente i punteggi su più dimensioni (o assi), rappresentandoli in un’unica immagine. È facile individuare aree di forza e debolezza di un fornitore (o di un’entità valutata), poiché gli assi divergono dal centro e ogni punto sull’asse rappresenta un punteggio;
• identificazione di squilibri: il radar evidenzia in modo immediato eventuali squilibri tra gli assi. Per esempio, se un fornitore eccelle in alcune aree (come “Prestazioni tecniche”) ma ha punteggi bassi in altre (come “innovazione e supporto “), l’irregolarità nella forma del grafico sarà evidente;
• confronto tra fornitori o valutazioni: il grafico radar permette di confrontare più fornitori sovrapponendo più poligoni nello stesso grafico. Questo facilita la scelta tra fornitori, poiché si possono vedere rapidamente differenze e similitudini tra i loro profili;
• comunicazione intuitiva: è uno strumento visivo semplice e intuitivo, adatto sia per presentazioni interne (per esempio, al management) sia per report formali. Anche chi non è esperto di analisi dati può comprendere rapidamente il significato della rappresentazione;
• monitoraggio e miglioramento continuo: utilizzando lo stesso schema a radar, è possibile visualizzare l’evoluzione dei punteggi nel tempo, per esempio prima e dopo un percorso di miglioramento. Le variazioni nella forma del poligono aiutano a capire se le azioni correttive hanno avuto successo.

Nel caso del fornitore valutato sulle 5 dimensioni dell’esempio precedente (prestazioni tecniche, conformità contrattuale, sicurezza e protezione dei dati, innovazione e supporto e approccio collaborativo) il grafico a radar mostrerà chiaramente se il fornitore è bilanciato su tutte queste dimensioni o se eccelle solo in alcune, permettendo di prendere decisioni mirate.

Vantaggi del modello di scoring

I benefici di questo modello sono:

• oggettività: consente una valutazione basata su dati misurabili e trasparenti;
• flessibilità: può essere adattato modificando pesi o criteri in base alle esigenze specifiche;
• comparabilità: aiuta a confrontare più fornitori con lo stesso metodo di valutazione;
• focalizzazione: evidenzia le aree in cui il fornitore eccelle o necessita di miglioramenti.

Altre condizioni per la valutazione

Altre condizioni possono richiedere che venga effettuata una valutazione dei fornitori e in particolare a seguito di:

• eventi critici;
• analisi di indicatori.

Valutazione a seguito di eventi critici

Oltre alla valutazione periodica, l’organizzazione dovrebbe rivedere la posizione del fornitore in caso di eventi significativi che potrebbero compromettere la sua affidabilità.

Tra questi segnaliamo:

• data breach che coinvolgono i dati trattati;
• data breach generali del fornitore, anche se non riguardano direttamente i dati forniti;
• criticità emerse da audit di seconda e di terza parte (per esempio, su mandato del Garante della protezione dei dati) o da provvedimenti specifici indirizzati al fornitore;
• provvedimenti disciplinari o legali a carico del fornitore.

Valutazione a seguito di analisi di indicatori

Anche l’analisi di indicatori di performance (KPI) può far emergere criticità. Per esempio, se il fornitore è contrattualmente obbligato a rispondere alle richieste del cliente entro 24 ore, ma i tempi di risposta mostrano un peggioramento progressivo (es. da 23 ore a 26 ore nell’arco di quattro mesi), si dovrebbe intervenire per prevenire il superamento del limite concordato e definire misure per riportare tale indicatore all’interno dei limiti concordati contrattualmente.

Output della valutazione del fornitore

La valutazione dinamica fornisce informazioni fondamentali per determinare la capacità del fornitore di rispettare gli obblighi previsti nell’atto di designazione.

In caso di criticità, l’organizzazione non è obbligata a sospendere immediatamente il fornitore, ma dovrebbe:

• avviare azioni correttive per risolvere i problemi individuate;
• fornire un percorso di accompagnamento e monitoraggio continuo per garantire un ritorno alla piena conformità.

Se il fornitore non collabora o non adotta le misure richieste nei tempi concordati, il titolare del trattamento/committente dovrebbe rivalutare il rapporto contrattuale, come previsto dall’art. 28 del GDPR e dall’art. 24 del D.Lgs. 138/2024, per quanto quest’ultimo provvedimento normativo non tratti in modo esplicito della sospensione del rapporto contrattuale con il fornitore.

Procedure per la valutazione iniziale e dinamica

In considerazione dell’importanza attribuita sia alla valutazione iniziale sia a quella dinamica, è fondamentale che l’organizzazione adotti una procedura strutturata per disciplinare le modalità operative e le responsabilità relative alla valutazione dei fornitori.

Questa procedura dovrebbe anche regolamentare la pianificazione e l’esecuzione delle attività di audit presso i fornitori, nonché la gestione delle azioni correttive da intraprendere in caso di criticità che risultino difficilmente sanabili.

Inoltre, la procedura dovrebbe contemplare specifiche situazioni particolari, quali:

• fornitori unici sul mercato: in tali casi, sebbene sia possibile effettuare una valutazione, l’efficacia dei risultati può risultare limitata;
• fornitori imposti da terze parti: per esempio, fornitori richiesti da un cliente, dove le misure applicabili possono essere vincolate da restrizioni esterne;
• barriere all’uscita rilevanti: situazioni in cui il cambio del fornitore comporterebbe costi aggiuntivi significativi o disagi operativi, come nel caso della sostituzione di un software gestionale critico;
• fornitori appartenenti al medesimo gruppo aziendale: in tali contesti, i sistemi di valutazione potrebbero risultare meno efficaci a causa della mancanza di indipendenza operativa.

Sebbene il Decreto NIS 2 non richieda esplicitamente l’adozione di una procedura formale, l’utilizzo di strumenti documentali come parte integrante del modello organizzativo NIS (Monis) consente all’organizzazione di promuovere un modello di lavoro condiviso, fornendo al contempo un criterio per la pianificazione e lo svolgimento delle attività di audit.

Infine, la procedura dovrebbe includere criteri e strumenti per la qualifica iniziale e dinamica dei fornitori, prevedendo la possibilità di adattarli nel tempo in base alle specifiche esigenze o in relazione all’oggetto della fornitura.

La strategia di una gestione integrata e continuativa dei fornitori

La pubblicazione del D.Lgs. 138/2024 e l’adozione del Parere Edpb 22/2024 rappresentano una svolta importante per il panorama normativo e operativo delle aziende italiane.

Questi sviluppi sottolineano l’importanza strategica di una gestione integrata e continuativa dei fornitori, che superi la mera qualifica iniziale per adottare un approccio dinamico e proattivo.

La qualifica iniziale e la gestione dinamica dei fornitori costituiscono i cardini per garantire la conformità alle disposizioni in materia di protezione dei dati personali e ai requisiti sempre più stringenti in tema di sicurezza informatica.

Le organizzazioni, pertanto, devono essere pronte a documentare con rigore ogni fase del processo di valutazione dei fornitori, adottando un modello di lavoro che integri protezione dei dati e cyber security in un’unica strategia aziendale coerente e resiliente.

Questo approccio consente di soddisfare le esigenze di compliance normativa e di costruire un ecosistema digitale sicuro e affidabile, che rappresenta oggi un elemento imprescindibile per il successo e la sostenibilità delle imprese nel contesto tecnologico globale.