NIS 2 — Assessment Security Supply-Chain Fornitori
Pacchetto onboarding IT Gonzato · Fase P3 · Vendor & Compliance · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Valutare la sicurezza dei fornitori critici (MSP, cloud, connettività, OT/automazione) del Gruppo Gonzato e legare il rischio fornitore agli obblighi NIS 2 sulla sicurezza della catena di approvvigionamento. Gonzato è probabile essential/important entity (manifatturiero rilevante) → tra gli obblighi di gestione del rischio rientra la security della supply-chain (art. 21 Dir. UE 2022/2555). Stato di partenza: supply-chain non valutata. Questo questionario è lo strumento operativo per creare la baseline.
Come funziona
- Identificare i fornitori critici (accesso ai sistemi, continuità operativa, dati). Non tutti — quelli il cui disservizio/compromissione impatta l'operatività o la sicurezza.
- Somministrare il questionario (self-assessment fornitore o intervista).
- Assegnare un livello di rischio.
- Decidere: accettare / richiedere remediation / mitigare contrattualmente (clausole in DPA e contratto).
Classificazione fornitori critici (starter Gonzato)
| Tipo | Esempi Gonzato | Perché critico |
|---|---|---|
| MSP / assistenza IT | [da compilare] | Accesso privilegiato a sistemi e dati |
| Cloud / SaaS core | M365, ERP cloud, backup | Continuità + dati |
| Connettività / TLC | [da compilare provider] | Disponibilità rete multi-sito |
| OT / automazione industriale | [da compilare — linee ferro/design] | Impatto produzione + safety |
| Videosorveglianza / accessi fisici | [da compilare] | Sicurezza fisica + dati |
Questionario di assessment (per fornitore)
A. Governance sicurezza
- ☐ Esiste una politica di sicurezza documentata? Chi è il referente security?
- ☐ Certificazioni (ISO 27001, SOC 2, altro)? Scadenza? [da compilare]
B. Controllo accessi
- ☐ MFA su accessi ai nostri sistemi?
- ☐ Accessi nominali e revoca tempestiva a fine rapporto?
- ☐ Principio del privilegio minimo per gli operatori?
C. Gestione vulnerabilità e patch
- ☐ Processo di patch management e vulnerability scanning?
- ☐ Frequenza aggiornamenti [da compilare]?
D. Incident & breach
- ☐ Piano di incident response documentato?
- ☐ Impegno a notificare incidenti che ci riguardano entro [da compilare: 24h]?
- ☐ Storico incidenti rilevanti ultimi 24 mesi? [da compilare]
E. Continuità (BC/DR)
- ☐ Backup e piano di disaster recovery? RTO/RPO dichiarati?
- ☐ Test di ripristino periodici?
F. Sub-fornitori (4a parte)
- ☐ Usa sub-fornitori per erogare il servizio? Elenco? Sono valutati sulla sicurezza?
G. Dati e localizzazione
- ☐ Dove risiedono i dati? Trasferimenti extra-UE? (coord. con
dpa-register.md)
H. Contratto
- ☐ Clausole di sicurezza / SLA / diritto di audit presenti nel contratto?
Scoring rischio
| Livello | Criterio (starter) | Azione |
|---|---|---|
| 🟢 Basso | Certificato + MFA + IR + notifica breach + BC/DR testato | Accettare · review annuale |
| 🟡 Medio | Alcuni controlli mancanti ma non bloccanti | Remediation con scadenza + clausole contrattuali |
| 🔴 Alto | No MFA / no IR / no notifica / accesso privilegiato non controllato | Non onboardare senza remediation · o sostituire |
Legame con NIS 2 (razionale)
- La responsabilità della compliance resta in capo a Gonzato (entità): un fornitore compromesso non scarica la responsabilità.
- L'assessment + le clausole contrattuali (SLA sicurezza, notifica incidenti, diritto di audit) sono la prova documentale della due diligence di supply-chain richiesta.
- I fornitori 🔴/🟡 alimentano il risk register IT e il piano di remediation.
Da compilare in azienda
- ☐ Confermare classificazione NIS 2 di Gonzato (essential vs important) con consulenza dedicata
- ☐ Compilare l'elenco fornitori critici reali
- ☐ Somministrare il questionario ai top [N] fornitori critici
- ☐ Definire tempo di notifica incidenti da imporre contrattualmente
- ☐ Portare i 🔴 nel risk register e nel piano di remediation