Glossario del rischio fornitori

Processo di verifica approfondita di un'azienda fornitrice prima di avviare o rinnovare una collaborazione commerciale. Comprende l'analisi della solidità finanziaria, delle certificazioni, delle pratiche di sicurezza informatica e della conformità normativa.

Nell'ambito della NIS2 e del TPRM, la due diligence è un requisito formale documentabile, non un'attività discrezionale. I risultati devono essere tracciati e disponibili in caso di audit da parte di autorità di vigilanza o clienti istituzionali.

Approfondisci: come strutturare la gestione del rischio fornitori →

Standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS), pubblicato congiuntamente da ISO e IEC. Definisce i requisiti per identificare, gestire e ridurre i rischi legati alla sicurezza dei dati all'interno di un'organizzazione.

La versione vigente è ISO/IEC 27001:2022. Nell'ambito della NIS2, il possesso di questa certificazione da parte di un fornitore è un indicatore significativo di maturità nella gestione del rischio informatico. ISO 27036 è la norma correlata dedicata specificamente alla sicurezza nelle relazioni con i fornitori.

La Direttiva UE 2022/2555 sulla sicurezza delle reti e dei sistemi informativi, recepita in Italia con D.Lgs. 138/2024. Si applica a oltre 40 settori critici e alle loro catene di fornitura.

L'Art. 21 obbliga i soggetti essenziali e importanti a implementare misure formali di gestione del rischio dei fornitori ICT. Le sanzioni arrivano fino a €10 milioni o al 2% del fatturato globale annuo per i soggetti essenziali. Le linee guida ENISA forniscono orientamenti pratici per l'implementazione.

Approfondisci: NIS2 e obblighi sulla supply chain →

Un archivio strutturato e verificato delle aziende fornitrici, in cui ogni profilo ha superato un processo di verifica dell'identità aziendale (tipicamente tramite Partita IVA) e della documentazione dichiarata.

Nel contesto VendorTrust, un fornitore "verificato" ha completato il profilo, il questionario di autovalutazione, e ha ricevuto la verifica amministrativa da parte del team VendorTrust. Solo i fornitori verificati sono visibili nel registro pubblico e ricevono un VT Score.

Il rischio derivante dall'eccessiva dipendenza da un singolo fornitore o da un gruppo ristretto di fornitori per servizi o forniture critiche. In caso di interruzione del servizio, l'azienda cliente può subire blocchi operativi significativi.

La gestione di questo rischio richiede una mappatura della dipendenza e la definizione di fornitori alternativi o piani di continuità operativa. È una delle categorie di rischio esplicitamente considerate nel TPRM e nella valutazione del profilo di rischio fornitori.

Approfondisci: categorie di rischio terze parti →

Categorie di organizzazioni definite dalla Direttiva NIS2 in base al settore di appartenenza e alla dimensione aziendale.

I soggetti essenziali operano nei settori altamente critici (energia, trasporti, settore bancario, sanità, infrastrutture digitali) e sono soggetti a vigilanza proattiva con sanzioni fino a €10 milioni o 2% del fatturato globale. I soggetti importanti operano in altri settori critici con obblighi simili ma soglie sanzionatorie inferiori (€7 milioni o 1,4% del fatturato).

Entrambe le categorie devono gestire formalmente il rischio dei fornitori ICT ai sensi dell'Art. 21 della direttiva.

La disciplina di gestione del rischio associato a terze parti: fornitori, partner commerciali, outsourcer e collaboratori esterni. È un concetto più ampio del VRM perché include non solo i fornitori diretti ma qualsiasi soggetto esterno che abbia accesso a sistemi, dati o processi aziendali.

NIS2, DORA e GDPR convergono nel richiedere una gestione formale e documentabile del rischio terze parti. La documentazione prodotta nell'ambito di un programma TPRM deve essere disponibile in caso di audit e aggiornata con continuità.

Approfondisci: cos'è il rischio terze parti e come strutturare il TPRM →

Il punteggio proprietario di VendorTrust assegnato a ogni fornitore verificato sulla piattaforma. È calcolato esclusivamente su dati oggettivi e verificabili: completezza del profilo aziendale, certificazioni possedute, documentazione caricata, e risposte al questionario di autovalutazione.

Il VT Score non è influenzato da valutazioni soggettive di clienti o terzi. È versionato: ogni ricalcolo genera una nuova versione mantenendo la tracciabilità storica. Le zone di punteggio sono: Bronze (0–40), Silver (41–65), Gold (66–85), Platinum (86–100).

Il processo strutturato con cui un'organizzazione identifica, valuta, monitora e mitiga i rischi derivanti dai propri fornitori. Include la due diligence iniziale, la valutazione continua delle performance e della conformità, e la definizione di piani di risposta in caso di incidente.

È un sottoinsieme del TPRM, focalizzato specificamente sui fornitori commerciali. La Direttiva NIS2 e gli standard ISO 27001/27036 richiedono un approccio strutturato al VRM per le organizzazioni nei settori regolamentati.

Approfondisci: Vendor Risk Management end-to-end →

VRM (Vendor Risk Management) e TPRM (Third Party Risk Management) sono spesso usati come sinonimi, ma esiste una distinzione concettuale: il VRM si riferisce specificamente ai fornitori commerciali diretti, mentre il TPRM include tutte le terze parti (partner, consulenti, integratori, piattaforme SaaS, outsourcer).

Per una PMI italiana che deve conformarsi alla NIS2, iniziare dal VRM — cioè mappare e valutare i fornitori diretti — è il punto di partenza più pragmatico. Il perimetro può poi essere esteso al TPRM completo in una fase successiva.

Approfondisci: differenza tra VRM e TPRM →