Valutare il rischio cyber dei fornitori: guida TPRM 2025

Nel 2025, il 63% degli incidenti cyber gravi ha coinvolto almeno un fornitore o partner terzo. Le violazioni tramite fornitori sono più difficili da rilevare, più lente da mitigare e più impattanti in sede regolatoria (es. NIS2, DORA, ISO/IEC 27001:2022).

Ogni CISO oggi ha l’obbligo di implementare un programma strutturato di Third Party Risk Management (TPRM), con strumenti di valutazione iniziale, monitoraggio continuo, auditabilità e integrazione nel processo di Risk Assessment aziendale.

Cos’è il Third Party Risk Management (TPRM)?

Il TPRM è il processo con cui un’organizzazione valuta, gestisce e monitora i rischi associati ai fornitori, partner o terze parti con accesso ai dati, ai sistemi o alle operation critiche.

Rientrano nel perimetro:

• Fornitori di software e SaaS
• Cloud provider e hosting
• System integrator e outsourcer
• Studi legali, HR, consulenti con accesso a PII
• Fornitori di servizi OT/IoT

→ Obiettivo: identificare i fornitori critici, valutare il rischio associato, implementare controlli proporzionati e aggiornare periodicamente il livello di rischio.

Principali rischi associati alle terze parti

1. Accesso privilegiato: amministratori esterni, VPN condivise.
2. Vulnerabilità indirette: software con CVE non patchate, gestione non conforme.
3. Perdita reputazionale nella supply chain: incidenti del fornitore visibili sul mercato.

→ Caso reale: un vendor IT con un sistema di ticketing non protetto ha subito un attacco che ha esposto i log di accesso ai sistemi di 12 clienti. Nessun breach diretto, ma impatto reputazionale e attivazione obblighi NIS2 Art. 23 per tutti i clienti coinvolti.

Implementare un programma TPRM efficace: step by step

Identificazione dei fornitori e mappatura delle dipendenze

Crea un inventario centralizzato delle terze parti (vendor register) e classifica ogni fornitore in base a:

• Accesso a dati critici o personali.
• Accesso a sistemi core.
• Livello di sostituibilità.
• Copertura assicurativa.

Infine integra il registro nel CMDB o GRC tool.

→ Tool suggeriti: Excel TPRM (incluso), ServiceNow Vendor Risk, Onetrust TPRM.

Valutazione del rischio iniziale (onboarding)

Per ogni nuovo fornitore:

• Compila questionario di due diligence (ISO27001, NIST CSF, GDPR).
• Richiedi evidenze: certificazioni, pen test, audit report, SLA.
• Assegna un risk score (basso / medio / alto / critico).

Esempio criteri scoring:

Accesso a dati personali: punteggio max → 30

Certificazione ISO 27001: punteggio max → 20

Accesso amministrativo: punteggio max → 30

Durata contrattuale: punteggio max → 10

Mitigazioni offerte: punteggio max → 10

→ Totale su 100 = classificazione del rischio → azioni consigliate.

Monitoraggio continuo e riesame

I fornitori non vanno valutati una sola volta:

• Riesamina annuale per fornitori ad alto rischio.
• Monitoraggio di incidenti pubblici o data breach (es. HackerOne, HaveIBeenPwned, Exploit DB).
• Richiesta periodica di aggiornamenti: patch, nuovi processi, change log.
• Valutazione della compliance a NIS2/DORA (se applicabile).

→ Tip: collega il livello di rischio TPRM al livello di effort richiesto in audit interni, segnalazioni regolatorie e roadmap di sicurezza condivisa.

Integrazione nel RA aziendale

Per ogni fornitore critico:

• Crea uno scenario di rischio dedicato (es. “breach del SaaS accounting → leakage PII + frodi”).
• Valuta il rischio secondo modello FAIR o qualitativo.
• Collega al Risk Register aziendale con proprietà chiara.

Il fornitore deve anche avere un piano di remediation congiunto in caso di incidente.

Segmentazione del rischio per categoria di fornitore

Non tutti i fornitori presentano lo stesso profilo di rischio. È utile segmentarli in base alla natura dei servizi erogati e al tipo di accesso concesso:

• Fornitori IT/Cloud: rischio tecnico elevato, richiedono audit di sicurezza regolari.
• Fornitori di dati: alto rischio GDPR, richiedono valutazioni sulla data governance.
• Fornitori di logistica/manufacturing: rischio operativo e OT, necessaria verifica di continuità.
• Fornitori strategici (Tier-1): integrazione profonda nei processi core, richiedono test di resilienza e piani di continuità condivisi.

Segmentare consente di adattare gli strumenti di valutazione e mitigazione al rischio reale, ottimizzando tempi e costi.

Collegamento normativo

• NIS2 Art. 21: obbligo di RA esteso a terze parti e supply chain.
• DORA (per enti finanziari): Art. 28–31: terze parti ICT critiche, auditabilità, test.
• ISO/IEC 27001:2022: A.5.19, A.5.20, A.5.21: gestione dei fornitori, SLA, audit.
• GDPR: Art. 28: obbligo valutazione e DPA per processor con accesso a dati.

Cyber insurance e TPRM: un legame sempre più stretto

Molti assicuratori cyber, richiedono la prova di un programma TPRM attivo per concedere copertura o per definire premi accessibili:

• Richiesta evidenze RA su fornitori Tier-1
• Domande specifiche su pen test e gestione vulnerability nei contratti
• Valutazioni su incidenti indiretti subiti via supply chain

Mantenere un TPRM documentato può ridurre il premio assicurativo fino al 15–20%.

TPRM nei settori regolamentati

Alcuni settori hanno requisiti più stringenti sulla gestione delle terze parti:

• Finanza* (DORA): obbligo di mappatura fornitori ICT critici, test di resilienza, report agli enti vigilanza.
• Sanità: protezione dati sensibili (PHI), continuità operativa, allineamento con GDPR e ISO 27799.
• Energy/OT: NIS2 impone RA su terze parti con impatto potenziale sulla rete o infrastrutture critiche.

*Nel settore finanza è sempre più comune integrare il TPRM nel SOC o nel SIEM per una visibilità in tempo reale.

Mini Checklist Operativa – Risk Assessment per Fornitori (TPRM)

• Inventario fornitori aggiornato: assicurati di avere un registro centralizzato che identifichi fornitori critici, accessi ai dati, e categorizzazioni per rischio.
• Questionario di onboarding completato: includi elementi di sicurezza (ISO 27001, NIST), privacy (GDPR), continuità e auditabilità.
• Evidenze tecniche raccolte: richiedi e verifica pen test, certificazioni, audit report e documentazione sulla sicurezza.
• Risk score assegnato: applica una classificazione oggettiva (es. basso, medio, alto, critico) basata su criteri chiari e tracciabili.
• Scenario di rischio integrato nel RA: ogni fornitore critico dovrebbe avere uno scenario specifico incluso nel Risk Register aziendale.
• Monitoraggio continuo attivato: prevedi riesami annuali, aggiornamenti obbligatori, e tracking di eventuali incidenti pubblici.
• Piano di remediation congiunto definito: documenta le azioni da intraprendere in caso di incidente, includendo responsabilità e scadenze.

❓FAQ

• Cos’è il Third Party Risk Management (TPRM)?
• Il TPRM è il processo con cui un’organizzazione valuta, gestisce e monitora i rischi associati ai fornitori, partner o terze parti con accesso ai dati, ai sistemi o alle operation critiche.
• Quali fornitori rientrano in un programma TPRM?
• Tutti i fornitori con accesso a informazioni sensibili o servizi IT critici: SaaS, cloud, integratori, consulenti, fornitori OT/IoT, legali, HR, provider finanziari.
• Come si valuta il rischio cyber di un fornitore?
• Attraverso onboarding (questionario + evidenze tecniche), assegnazione di risk score, monitoraggio continuo e integrazione nel Risk Assessment aziendale.
• Il TPRM è obbligatorio?
• Sì, per molte realtà. NIS2, DORA, GDPR e ISO/IEC 27001:2022 impongono controlli su terze parti e obblighi di audit e tracciabilità dei fornitori critici.
• Che strumenti usare per il TPRM?
• Excel avanzati, piattaforme GRC (es. ServiceNow, Onetrust), motori di scoring personalizzati e integrazione nei workflow ITSM/GRC aziendali.

Errori comuni da evitare

• Nessun inventario: si scopre il fornitore solo quando c’è un incidente.
• Questionari di sicurezza troppo generici: rischi nascosti.
• Fornitori auto-dichiarati “compliant”: no evidenze, no audit.
• Nessun legame tra livello di rischio e tipo di contratto/SLA.
• Nessuna rivalutazione nel tempo: fornitori diventano “invisibili”.

Glossario tecnico

• TPRM: gestione del rischio cyber dei fornitori, con focus su accesso ai dati, criticità IT, e compliance.
• Rischio residuo: il rischio che rimane dopo l’implementazione delle contromisure di sicurezza.
• Vulnerabilità: una debolezza nei sistemi, processi o persone che può essere sfruttata da una minaccia.
• Impatto: la conseguenza negativa (economica, legale, operativa) derivante da un incidente informatico.
• Risk Register: il registro ufficiale dove vengono tracciati tutti i rischi aziendali, inclusi quelli legati ai fornitori.
• Due Diligence: processo di valutazione pre-contrattuale per identificare potenziali rischi legati a un fornitore.
• FAIR: framework per la quantificazione del rischio in termini economici (Factor Analysis of Information Risk).
• NIS2: direttiva UE che impone requisiti di sicurezza anche ai fornitori critici nella supply chain digitale.
• Cyber insurance: polizze assicurative che coprono danni e costi derivanti da incidenti informatici, spesso vincolate a un TPRM attivo.

📥 Scarica il tool Excel TPRM 2025

Contiene:

• Checklist onboarding fornitori.
• Matrice di scoring e classificazione.
• Template registro fornitori.
• Sheet di audit e follow-up.

👉🏻 Scarica ora il tool TPRM (gratuito, senza registrazione)