Negli ultimi anni la superficie d’attacco delle aziende si è estesa ben oltre i confini tradizionali: cloud provider, SaaS emergenti, software di terze parti, consulenti, MSP.

Ogni fornitore rappresenta infatti un potenziale punto di ingresso per gli attaccanti, e gli attacchi alla supply chain sono ormai tra le minacce più rilevanti, come evidenzia l’Enisa Threat Landscape.

In questo contesto, il classico vendor assessment “una tantum” non basta più. Serve un approccio strutturato e continuo di Third-Party Risk Management (TPRM) che integri processi, tecnologia e compliance normativa, garantendo una visione reale e aggiornata dei rischi.

Dal questionario statico al TPRM dinamico

Molte aziende ancora oggi gestiscono i fornitori con questionari consegnati all’onboarding, qualche allegato tecnico e aggiornamenti annuali o biennali, spesso gestiti tramite Excel e mail.

Questo modello presenta limiti evidenti:

• la postura di sicurezza di un fornitore può cambiare rapidamente e non aspetta la prossima revisione formale;
• spesso ci si basa su autodichiarazioni e livelli di dettaglio variabili;
• non si tiene conto della software supply chain, cioè componenti open source, SBOM (Software Bill of Materials, per sapere cosa contiene un software) e dipendenze invisibili.

Il TPRM è invece un programma continuo che combina valutazioni documentali, evidenze tecniche (scan, rating, test di penetrazione) e informazioni sulla supply chain, accompagnato da workflow strutturati per remediation e riesame.

Il ruolo chiave di NIS2, DORA e standard internazionali

Non è solo una buona pratica: per molte organizzazioni soggette a normative europee come NIS2 (la nuova Direttiva europea per potenziare la cyber sicurezza nell’UE, aumentando la resilienza delle infrastrutture critiche e dei sistemi informativi) e DORA (il Digital Operational Resilience Act, un regolamento dell’UE che punta a rafforzare la resilienza operativa e la sicurezza informatica nel settore dei servizi finanziari), la trasformazione in TPRM è un obbligo.

Queste regolamentazioni richiedono controlli attivi su fornitori critici, monitoraggio continuo e revisione contrattuale frequente.

Anche il framework NIST formalizza l’approccio Cyber Supply Chain Risk Management come processo strutturato lungo tutto il ciclo di vita di fornitori e sistemi.

Per le aziende soggette a queste norme, non è più sufficiente un semplice questionario e clausole contrattuali, ma serve una gestione sistematica e misurabile del rischio.

Tre pilastri concreti per un TPRM efficace

I tre pilastri per un TPRM dinamico ed efficace sono:

• mappatura e classificazione fornitori;
• valutazione e monitoraggio continui;
• integrazione nella compliance e governance aziendale.

Mappatura e classificazione fornitori

Una visione chiara di chi conta davvero: non solo IT, ma anche logistica, risorse umane, marketing.

Ogni fornitore va classificato per criticità, considerando dati trattati, impatto sul business, dipendenze operative e fonti normative. Tale segmentazione evita che fornitori dal peso e rischio molto diverso vengano trattati allo stesso modo.

Valutazione e monitoraggio continui

Si passa da questionari statici a questionari dinamici, modulabili per rischio e
allineati a standard affidabili (ISO 27001, NIST, GDPR, NIS2).

Si raccolgono inoltre evidenze tecniche come report di vulnerability assessment e penetration test, security rating e attività OSINT su domini e infrastrutture.

Cruciale è anche il monitoraggio della software supply chain tramite SBOM e analisi delle vulnerabilità note.

Integrazione nella compliance e governance aziendale

Le piattaforme moderne permettono di automatizzare scoring, alert e remediation, riducendo il carico manuale.

Il TPRM deve essere parte integrante del sistema di gestione della sicurezza,
collegato a ISMS e allineato ai requisiti normativi.

Il reporting strutturato consente a board e revisori di avere una visione chiara su fornitori critici, stati delle remediation e rischi residui.

Cosa chiedere a una soluzione TPRM

Per far funzionare il vendor risk management serve una piattaforma che:

• gestisca l’intero ciclo di vita del fornitore (onboarding, rinnovo, dismissione);
• offra security rating e risk scoring configurabili e basati su dati tecnici, organizzativi e business;
• metta a disposizione questionari smart, modulari, con logica avanzata e template aggiornati;
• si integri con scanner di vulnerabilità, strumenti di exposure management e threat intelligence;
• consenta una gestione efficace delle remediation con tracking e integrazione con sistemi di ticketing;
• automatizzi notifiche, scadenze e escalation per alleggerire i team.

Vendor risk management, da fornitore “affidabile” a “misurabile”

Nel contesto regolamentare attuale non basta più fidarsi a livello qualitativo. Le
organizzazioni devono poter misurare e dimostrare in maniera continua il rischio associato ai propri fornitori critici.

Un vendor risk management moderno e maturo permette di:

• allineare sicurezza, procurement e legale su una visione unificata del rischio;
• trasformare i questionari da meri adempimenti in strumenti per decisioni efficaci;
• ridurre le probabilità che un incidente parta proprio da un fornitore.

Questa è una delle sfide più importanti per costruire la resilienza cyber delle aziende europee, spingendo la protezione oltre i confini interni e lungo tutta la catena digitale del valore.