← Indice pacchetto onboarding

NIS 2 — Assessment Security Supply-Chain Fornitori

Pacchetto onboarding IT Gonzato · Fase P3 · Vendor & Compliance · v1 03/07/2026 · bozza da compilare in azienda

Scopo

Valutare la sicurezza dei fornitori critici (MSP, cloud, connettività, OT/automazione) del Gruppo Gonzato e legare il rischio fornitore agli obblighi NIS 2 sulla sicurezza della catena di approvvigionamento. Gonzato è probabile essential/important entity (manifatturiero rilevante) → tra gli obblighi di gestione del rischio rientra la security della supply-chain (art. 21 Dir. UE 2022/2555). Stato di partenza: supply-chain non valutata. Questo questionario è lo strumento operativo per creare la baseline.

Come funziona

  1. Identificare i fornitori critici (accesso ai sistemi, continuità operativa, dati). Non tutti — quelli il cui disservizio/compromissione impatta l'operatività o la sicurezza.
  2. Somministrare il questionario (self-assessment fornitore o intervista).
  3. Assegnare un livello di rischio.
  4. Decidere: accettare / richiedere remediation / mitigare contrattualmente (clausole in DPA e contratto).

Classificazione fornitori critici (starter Gonzato)

TipoEsempi GonzatoPerché critico
MSP / assistenza IT[da compilare]Accesso privilegiato a sistemi e dati
Cloud / SaaS coreM365, ERP cloud, backupContinuità + dati
Connettività / TLC[da compilare provider]Disponibilità rete multi-sito
OT / automazione industriale[da compilare — linee ferro/design]Impatto produzione + safety
Videosorveglianza / accessi fisici[da compilare]Sicurezza fisica + dati

Questionario di assessment (per fornitore)

A. Governance sicurezza

B. Controllo accessi

C. Gestione vulnerabilità e patch

D. Incident & breach

E. Continuità (BC/DR)

F. Sub-fornitori (4a parte)

G. Dati e localizzazione

H. Contratto

Scoring rischio

LivelloCriterio (starter)Azione
🟢 BassoCertificato + MFA + IR + notifica breach + BC/DR testatoAccettare · review annuale
🟡 MedioAlcuni controlli mancanti ma non bloccantiRemediation con scadenza + clausole contrattuali
🔴 AltoNo MFA / no IR / no notifica / accesso privilegiato non controllatoNon onboardare senza remediation · o sostituire

Legame con NIS 2 (razionale)

Da compilare in azienda