Checklist vendor risk: cosa chiedere ai fornitori critici
La gestione del rischio fornitori non è una semplice lista contatti. Se un vendor tocca dati, identità o operazioni, dovete sapere cosa fornisce, quanto è rischioso e quando è stata verificata l'ultima volta la sua postura sicurezza.
Autor: Marco Zoratto, fondatore di Splnit.eu
Quali fornitori verificare per primi
Partite dai fornitori che accedono a dati personali, sistemi produttivi, identità, log o servizi rilevanti per i clienti. Per team piccoli, dieci fornitori critici ben verificati valgono più di cinquanta record non aggiornati.
Per ogni fornitore registrate owner interno, tipo di accesso, dati o servizio impattato e impatto di un downtime o incidente.
- cloud, hosting, identity provider e monitoring
- CRM, supporto, contabilità e strumenti marketing
- sviluppo esterno, amministrazione IT e servizi sicurezza
- fornitori citati in tender, DPA o questionari clienti
Quali evidenze richiedere
Non tutti i fornitori devono inviare lo stesso pacchetto. Per rischio basso possono bastare pagina sicurezza e DPA. Per rischio più alto chiedete certificazioni, dettagli incident response, sub-responsabili, localizzazione dati e contatto sicurezza.
Conservate non solo il documento, ma anche data della review, esito, eccezioni e prossima scadenza. Senza questo, le review vendor diventano obsolete rapidamente.
Collegamento con NIS2 e GDPR
NIS2 spinge sulla gestione del rischio nella supply chain; GDPR su responsabili e trasferimenti. Un registro pratico dovrebbe mostrare entrambi: rischio operativo del fornitore e relazione giuridica sui dati personali.
Panoramica normativa correlata
Apri panoramica: NIS2 →Trasforma le review fornitori in controlli ricorrenti
Splnit.eu aiuta a tracciare fornitori, rischi, contratti ed evidenze sicurezza come processo ricorrente invece di un questionario una tantum.
Apri la panoramica NIS2