Aggiornato: maggio 2026
La gestione dei fornitori nelle imprese italiane si basa ancora, nella maggior parte dei casi, su fogli di calcolo, cartelle condivise e scambi di email. Questo approccio era già insufficiente prima dell'entrata in vigore di NIS2 e DORA. Con le nuove normative, è diventato un rischio documentato e, potenzialmente, sanzionabile.
Punti chiave
- Un registro fornitori strutturato è il requisito di base per NIS2, DORA e una gestione efficace del rischio terze parti
- Secondo Gartner (2022), entro il 2025 il 45% delle organizzazioni subirà attacchi che coinvolgono la supply chain
- NIS2 e DORA richiedono tracciabilità documentale: un registro non verificabile non soddisfa i requisiti normativi
- Il registro deve distinguere i fornitori per criticità e includere dati verificati, non solo dichiarati
Cos'è un registro fornitori
Un registro fornitoriè un sistema strutturato per censire, classificare e monitorare tutti i vendor con cui un'organizzazione intrattiene rapporti commerciali o operativi. Non è un semplice elenco di contatti: è il punto di partenza per qualsiasi processo di valutazione del rischio terze parti e per la dimostrazione di conformità alle normative europee in materia di supply chain security.
Un registro efficace contiene informazioni verificate— non solo quelle dichiarate dal fornitore — e viene aggiornato sistematicamente al variare delle condizioni operative, contrattuali o di sicurezza. La differenza tra un registro verificato e un elenco informale è la stessa che passa tra una prova documentale e un'affermazione senza supporto in caso di audit.
Secondo il rapporto IBM Cost of a Data Breach 2024, il costo medio di una violazione dei dati che coinvolge una terza parte è superiore del 26% rispetto a quello di una violazione interna. Avere visibilità strutturata sui fornitori critici riduce i tempi di identificazione e contenimento degli incidenti.
Perché Excel non basta
I fogli di calcolo hanno quattro limiti strutturali che li rendono inadeguati per la gestione del rischio fornitori in contesti normativi come NIS2 e DORA.
Mancanza di audit trail. Un foglio Excel non registra chi ha modificato un dato, quando e perché. In caso di ispezione da parte delle autorità nazionali, questa assenza di tracciabilità rende impossibile dimostrare che il registro è stato mantenuto con un processo strutturato e continuativo.
Dati non verificati. Un foglio di calcolo contiene solo ciò che qualcuno ha inserito manualmente. Non esiste nessun meccanismo per verificare che le informazioni corrispondano a realtà documentate: certificazioni valide, stato societario aggiornato, conformità effettiva.
Assenza di workflow di aggiornamento. Le informazioni in Excel invecchiano silenziosamente. Senza promemoria automatici per le scadenze delle certificazioni o per le revisioni periodiche, il registro si degrada nel tempo e nessuno se ne accorge fino al momento dell'audit.
Scarsa scalabilità. Con 10 fornitori, Excel funziona. Con 50 fornitori critici, filtri incrociati, allegati documentali e cronologie di aggiornamento, diventa un sistema fragile soggetto a errori umani e alla perdita di informazioni storiche.
Cosa includere nel registro
Il contenuto ottimale dipende dalla criticità del fornitore. Un framework pratico distingue tre livelli informativi.
Dati anagrafici base — obbligatori per tutti i fornitori: ragione sociale, Partita IVA, sede legale, referente commerciale e tecnico, settore merceologico, tipologia di servizi forniti, data di inizio rapporto e valore contrattuale indicativo.
Dati di conformità — per i fornitori che gestiscono dati, sistemi o processi rilevanti: certificazioni attive con date di scadenza (ISO 27001, ISO 9001, ISO 22301), presenza di un DPA firmato ai sensi del GDPR, storico degli audit di sicurezza completati.
Dati di rischio — per i fornitori classificati come critici: valutazione strutturata per area (sicurezza informatica, continuità operativa, compliance normativa), livello di dipendenza operativa (bassa / media / alta), piano di continuità operativa dichiarato e sub-fornitori con accesso ai sistemi.
Come costruire il registro: 6 passi
La costruzione di un registro fornitori strutturato segue un percorso definito. Ogni passo produce un output concreto su cui si costruisce il successivo.
- Censimento iniziale. Raccogliere l'elenco completo di tutti i fornitori attivi dai sistemi contabili, dall'ERP e dai contratti in essere. Includere anche i fornitori occasionali con accesso a sistemi o dati aziendali. L'obiettivo è una lista esaustiva prima di qualsiasi classificazione.
- Classificazione per criticità. Valutare ogni fornitore su tre criteri: accesso a sistemi informativi aziendali, gestione di dati sensibili o personali, rilevanza per la continuità operativa. Assegnare un livello (bassa / media / alta) che determinerà la profondità delle informazioni richieste.
- Raccolta delle informazioni strutturate. Per i fornitori a media e alta criticità, inviare un questionario standardizzato che copra sicurezza informatica, certificazioni attive, continuità operativa e sub-fornitori rilevanti. Documentare le risposte in modo tracciabile.
- Verifica delle informazioni. Le dichiarazioni dei fornitori devono essere verificate: richiedere i certificati originali con numero di registrazione, controllare la validità presso gli organi accreditatori (ACCREDIA per il mercato italiano), verificare lo stato societario su fonti ufficiali. Un dato non verificato non ha valore documentale in caso di audit.
- Configurazione del monitoraggio. Definire le scadenze da monitorare (certificazioni, contratti, revisioni periodiche) e configurare alert automatici. Stabilire i trigger per la rivalutazione immediata: cambio di proprietà del fornitore, incidenti di sicurezza comunicati, perdita di certificazioni.
- Revisione periodica. Definire la cadenza in base alla criticità: annuale per i fornitori standard, semestrale per quelli a media criticità, trimestrale per i fornitori con accesso a sistemi di produzione o che trattano dati sensibili.
Registro manuale vs. piattaforma strutturata
La scelta tra un approccio manuale e una piattaforma dedicata dipende dalla dimensione dell'organizzazione, dal numero di fornitori critici e dagli obblighi normativi applicabili.
| Caratteristica | Excel / condiviso | Piattaforma VRM |
|---|---|---|
| Audit trail | Nessuno | Completo e automatico |
| Verifica dei dati | Manuale, non strutturata | Strutturata con workflow |
| Scadenzario | Manuale o assente | Automatizzato con alert |
| Conformità NIS2/DORA | Non dimostrabile | Documentazione esportabile |
| Costo iniziale | Basso | Abbonamento mensile/annuale |
| Scalabilità | Limitata (<20 fornitori) | Illimitata |
Per le organizzazioni soggette a NIS2, DORA o che gestiscono dati personali di terzi, un approccio manuale non è sufficiente a soddisfare i requisiti di documentazione e tracciabilità richiesti. La domanda non è se adottare un sistema strutturato, ma quando.
Per il quadro normativo di riferimento, consulta le guide su NIS2 e gestione dei fornitori e sulla gestione del rischio fornitori.
Domande frequenti
Come si crea un registro fornitori?
Un registro fornitori si costruisce in sei passi: censire tutti i fornitori attivi, classificarli per criticità, raccogliere informazioni strutturate, verificare i dati, configurare il monitoraggio delle scadenze e definire una cadenza di revisione periodica. Per le organizzazioni soggette a NIS2, il registro deve includere la valutazione del rischio per i fornitori critici e mantenere un audit trail delle modifiche.
Quale software usare per gestire il registro fornitori?
Per organizzazioni con pochi fornitori e requisiti di conformità bassi, un foglio di calcolo strutturato può essere un punto di partenza. Per organizzazioni soggette a NIS2, DORA o GDPR — o con più di 20-30 fornitori critici — è consigliabile una piattaforma dedicata al Vendor Risk Management che garantisca tracciabilità, verificabilità e documentazione esportabile per gli audit.
Quante informazioni raccogliere per ogni fornitore?
La quantità dipende dalla criticità del fornitore. Per i fornitori standard bastano ragione sociale, P.IVA, referente, settore, servizi e scadenze contrattuali. Per i fornitori critici si aggiungono certificazioni, politiche di sicurezza, continuità operativa, sub-fornitori rilevanti e storico degli incidenti. Il principio guida è la proporzionalità rispetto al rischio.
Come mantenere aggiornato il registro fornitori?
Il registro va aggiornato a ogni evento rilevante e con revisioni periodiche: annuale per i fornitori standard, semestrale per quelli a media criticità, trimestrale per i critici. I trigger per la rivalutazione immediata includono il cambio di proprietà del fornitore, incidenti di sicurezza comunicati e la perdita di certificazioni rilevanti.