Vendor Risk Scorecard — Fornitori IT Critici — Gonzato Group
Pacchetto onboarding IT Gonzato · Fase P2 · Vendor & Compliance · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Scoring dei fornitori IT critici per priorità di gestione del rischio e adempimento supply-chain NIS 2. NIS 2 obbliga a valutare e monitorare la sicurezza dei fornitori. Oggi la relazione è personale (gestita dal responsabile IT attuale) e non c'è valutazione strutturata: un solo fornitore-chiave che scompare o subisce un incidente può fermare produzione o prenotazioni. Questa scorecard rende oggettivo "quali fornitori tenere sotto controllo per primi".
Compilare dopo vendor-register.md, valutando solo i fornitori a criticità Alta/Media. Segmentare per divisione dove utile (il PMS hospitality e l'ERP ferro sono single point of failure diversi).
Dimensioni di scoring (1 = basso rischio · 5 = alto rischio)
| Dimensione | Cosa misura | 1 (basso) | 5 (alto) |
|---|---|---|---|
| Dipendenza | Quanto il business dipende dal fornitore | Servizio marginale | Fermo blocca produzione/vendite/prenotazioni |
| Sostituibilità | Facilità di cambiare fornitore | Mercato ampio, switch < 30gg | Lock-in totale, dati/know-how prigionieri |
| Sicurezza | Postura di sicurezza del fornitore | Certificato (ISO 27001), DPA, MFA | Nessuna garanzia, credenziali condivise |
| Rilevanza NIS 2 | Peso nella catena di fornitura NIS 2 | Fuori perimetro | Fornitore essenziale servizio critico |
Score di rischio = media (o somma) delle 4 dimensioni. Fascia: Basso 1.0-2.0 · Medio 2.1-3.5 · Alto 3.6-5.0.
Griglia di scoring (pronta per Excel)
| ID | Fornitore | Servizio | Divisione | Dipendenza (1-5) | Sostituibilità (1-5) | Sicurezza (1-5) | Rilevanza NIS 2 (1-5) | Score medio | Fascia rischio | Concentrazione (bus factor) | Azione di mitigazione | Owner | Note |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| S01 | [da compilare: ERP ferro] | Gestionale produzione | Ferro/Design | [1-5] | [1-5] | [1-5] | [1-5] | [calcolato] | [fascia] | [1 referente?] | [Contratto SLA + backup dati export] | Responsabile IT attuale | Single point of failure produzione |
| S02 | [da compilare: PMS] | Property Management | Hospitality | [1-5] | [1-5] | [1-5] | [1-5] | [calcolato] | [fascia] | [—] | [SLA + verifica SCC extra-UE] | [owner] | SPOF prenotazioni |
| S03 | [da compilare: MSP] | Assistenza sistemistica | Cross | [1-5] | [1-5] | [1-5] | [1-5] | [calcolato] | [fascia] | [rel. personale] | [Formalizzare contratto + secondo referente] | [owner] | Rischio bus factor sul responsabile IT attuale |
| S04 | [da compilare: ISP] | Connettività | Cross | [1-5] | [1-5] | [1-5] | [1-5] | [calcolato] | [fascia] | [—] | [Backup line seconda via] | [owner] | [note] |
| S05 | [da compilare: M365/CSP] | Email + collaboration | Cross | [1-5] | [1-5] | [1-5] | [1-5] | [calcolato] | [fascia] | [—] | [MFA + backup terze parti] | [owner] | [note] |
| S06 | [da compilare: cloud/backup] | Backup + DR | Cross | [1-5] | [1-5] | [1-5] | [1-5] | [calcolato] | [fascia] | [—] | [Test restore periodico] | [owner] | [note] |
| S07 | [da compilare: CAD/PLM] | Progettazione | Ferro/Design | [1-5] | [1-5] | [1-5] | [1-5] | [calcolato] | [fascia] | [—] | [Escrow licenze + export progetti] | [owner] | [note] |
Fornitori ad alto rischio (fascia Alta) — priorità mitigazione
| Fornitore | Score | Rischio dominante | Azione entro | Stato |
|---|---|---|---|---|
| [da compilare] | [score] | [Dipendenza/Sostituibilità/Sicurezza/NIS2] | [data] | [pending] |
Sintesi
- Fornitori critici valutati: [da compilare]
- In fascia Alta: [da compilare]
- Bus factor critico (relazione su una sola persona): [da compilare — rischio-chiave responsabile IT attuale]
- Gap NIS 2 supply-chain: [da compilare — fornitori senza DPA/valutazione sicurezza]
Note operative
- Rischio trasversale Gonzato: la conoscenza dei fornitori è concentrata sul responsabile IT attuale (formazione da sviluppatore, relazione personale). La prima mitigazione è documentare e formalizzare, indipendentemente dallo score tecnico.
- Per NIS 2: i fornitori con Rilevanza ≥ 4 richiedono clausole di sicurezza contrattuali + diritto di audit.
- Rivalutare la scorecard almeno annualmente e a ogni cambio contratto rilevante.