← Indice pacchetto onboarding

Vendor Risk Scorecard — Fornitori IT Critici — Gonzato Group

Pacchetto onboarding IT Gonzato · Fase P2 · Vendor & Compliance · v1 03/07/2026 · bozza da compilare in azienda

Scopo

Scoring dei fornitori IT critici per priorità di gestione del rischio e adempimento supply-chain NIS 2. NIS 2 obbliga a valutare e monitorare la sicurezza dei fornitori. Oggi la relazione è personale (gestita dal responsabile IT attuale) e non c'è valutazione strutturata: un solo fornitore-chiave che scompare o subisce un incidente può fermare produzione o prenotazioni. Questa scorecard rende oggettivo "quali fornitori tenere sotto controllo per primi".

Compilare dopo vendor-register.md, valutando solo i fornitori a criticità Alta/Media. Segmentare per divisione dove utile (il PMS hospitality e l'ERP ferro sono single point of failure diversi).

Dimensioni di scoring (1 = basso rischio · 5 = alto rischio)

DimensioneCosa misura1 (basso)5 (alto)
DipendenzaQuanto il business dipende dal fornitoreServizio marginaleFermo blocca produzione/vendite/prenotazioni
SostituibilitàFacilità di cambiare fornitoreMercato ampio, switch < 30ggLock-in totale, dati/know-how prigionieri
SicurezzaPostura di sicurezza del fornitoreCertificato (ISO 27001), DPA, MFANessuna garanzia, credenziali condivise
Rilevanza NIS 2Peso nella catena di fornitura NIS 2Fuori perimetroFornitore essenziale servizio critico

Score di rischio = media (o somma) delle 4 dimensioni. Fascia: Basso 1.0-2.0 · Medio 2.1-3.5 · Alto 3.6-5.0.

Griglia di scoring (pronta per Excel)

IDFornitoreServizioDivisioneDipendenza (1-5)Sostituibilità (1-5)Sicurezza (1-5)Rilevanza NIS 2 (1-5)Score medioFascia rischioConcentrazione (bus factor)Azione di mitigazioneOwnerNote
S01[da compilare: ERP ferro]Gestionale produzioneFerro/Design[1-5][1-5][1-5][1-5][calcolato][fascia][1 referente?][Contratto SLA + backup dati export]Responsabile IT attualeSingle point of failure produzione
S02[da compilare: PMS]Property ManagementHospitality[1-5][1-5][1-5][1-5][calcolato][fascia][—][SLA + verifica SCC extra-UE][owner]SPOF prenotazioni
S03[da compilare: MSP]Assistenza sistemisticaCross[1-5][1-5][1-5][1-5][calcolato][fascia][rel. personale][Formalizzare contratto + secondo referente][owner]Rischio bus factor sul responsabile IT attuale
S04[da compilare: ISP]ConnettivitàCross[1-5][1-5][1-5][1-5][calcolato][fascia][—][Backup line seconda via][owner][note]
S05[da compilare: M365/CSP]Email + collaborationCross[1-5][1-5][1-5][1-5][calcolato][fascia][—][MFA + backup terze parti][owner][note]
S06[da compilare: cloud/backup]Backup + DRCross[1-5][1-5][1-5][1-5][calcolato][fascia][—][Test restore periodico][owner][note]
S07[da compilare: CAD/PLM]ProgettazioneFerro/Design[1-5][1-5][1-5][1-5][calcolato][fascia][—][Escrow licenze + export progetti][owner][note]

Fornitori ad alto rischio (fascia Alta) — priorità mitigazione

FornitoreScoreRischio dominanteAzione entroStato
[da compilare][score][Dipendenza/Sostituibilità/Sicurezza/NIS2][data][pending]

Sintesi

Note operative