Nell’attuale scenario di cyber security, un efficace programma di Vendor Risk Management, la disciplina che si occupa di identificare, valutare, monitorare e mitigare i rischi derivanti dai fornitori terzi, è essenziale per garantire la resilienza informatica della propria organizzazione.

La superficie di attacco ormai non si esaurisce al proprio perimetro tecnologico, ma si estende lungo tutta la catena di approvvigionamento IT: fornitori di software, provider di servizi cloud, integratori di sistema, gestori di reti, consulenti con accesso privilegiato.

Ogni nodo di questa catena rappresenta un potenziale vettore di compromissione e la storia recente degli incidenti di sicurezza più significativi lo conferma con una frequenza che non lascia spazio a interpretazioni ottimistiche.

Perché il Vendor Risk Management è diventato priorità strategica

Il caso SolarWinds del 2020 ha ridefinito la percezione del rischio supply chain a livello globale: un aggiornamento software compromesso ha aperto la porta a uno dei cyber attacchi più sofisticati mai documentati, colpendo migliaia di organizzazioni tra cui agenzie governative statunitensi ed europee.

L’attacco alla catena di fornitura di Kaseya nel 2021 ha dimostrato come un singolo provider MSP compromesso possa propagare ransomware a centinaia di clienti in simultanea. Questi non sono episodi isolati: sono il segnale di un cambio strutturale nel panorama delle minacce.

Ecco spiegato perché, in questo contesto, il Vendor Risk Management è passata dall’essere una buona pratica a un requisito normativo esplicito.

NIS2, DORA, GDPR e le linee guida ENISA convergono tutte su un punto: la responsabilità della sicurezza non si trasferisce al fornitore, rimane in capo all’organizzazione che sceglie, contrattualizza e supervisiona i propri vendor.

Dunque, per avere piena consapevolezza del rischio supply chain è necessario:

1. censire tutti i fornitori IT attivi, inclusi quelli con accesso indiretto ai sistemi;
2. classificare i fornitori per criticità (accesso ai dati, ruolo infrastrutturale, sostituibilità);
3. stimare l’impatto potenziale di una compromissione per ogni categoria di vendor;
4. inserire il rischio fornitore nel registro dei rischi aziendale con aggiornamento periodico.

Il framework VRM: fasi e metodologie

Un programma di Vendor Risk Management strutturato si articola in fasi sequenziali e ricorrenti.

Non si tratta di un processo lineare che si conclude con la firma del contratto, ma di un ciclo continuo che accompagna l’intero ciclo di vita della relazione con il fornitore: dalla selezione iniziale alla cessazione del rapporto, passando per il monitoraggio continuativo durante l’operatività.

Vendor identification e classificazione del rischio

Il primo passo è costruire un inventario completo e aggiornato di tutti i fornitori IT. Non solo i vendor principali (i grandi system integrator, i CSP, i provider SaaS) ma anche i fornitori di secondo e terzo livello: le terze parti dei propri fornitori, che spesso sfuggono alla visibilità dell’organizzazione cliente ma che possono rappresentare rischi significativi.

L’incidente SolarWinds è emblematico proprio per questo: la compromissione avvenne su un fornitore che molte organizzazioni non monitoravano direttamente.

Una volta censiti, i vendor vanno classificati secondo una matrice di rischio che considera almeno tre dimensioni:

1. la criticità del servizio erogato (impatto sul business in caso di interruzione o compromissione);
2. il livello di accesso ai sistemi e ai dati dell’organizzazione;
3. la sostituibilità del fornitore (quanto tempo e quante risorse richiederebbe una migrazione verso un’alternativa).

Da questa classificazione derivano i livelli di due diligence richiesti e la frequenza del monitoraggio.

Due diligence e vendor risk assessment

La due diligence è il cuore metodologico del VRM. Per i vendor classificati come critici o ad alto rischio, deve essere un processo rigoroso che combina questionari di sicurezza standardizzati, analisi documentale delle certificazioni e degli audit di terza parte e, dove possibile, verifica tecnica diretta.

I questionari più utilizzati nel settore sono il CAIQ (Consensus Assessments Initiative Questionnaire) della Cloud Security Alliance per i CSP e il SIG (Standardized Information Gathering) di Shared Assessments per i fornitori IT generici.

Il risk assessment deve produrre un output quantificabile: non una valutazione generica del tipo “il fornitore è sicuro”, ma una stima del rischio residuo associato all’utilizzo di quel vendor in quel contesto specifico.

Questa stima deve tenere conto del contesto normativo dell’organizzazione: un fornitore che gestisce dati sanitari è soggetto a requisiti diversi rispetto a uno che eroga servizi di connettività.

Per le organizzazioni che operano nei settori critici NIS2, la due diligence deve includere anche la valutazione della resilienza operativa del fornitore: capacità di business continuity, piani di disaster recovery, esperienze pregresse di incidenti e relative modalità di risposta.

Laddove l’infrastruttura esaminata preveda l’erogazione di servizi distribuiti o cloud, diventa imprescindibile verificare che il fornitore rispetti i requisiti di conformità applicabili al contesto.

Per approfondire i pilastri normativi e tecnici di questa disciplina (dalla NIS2 alla ISO 27017, dal CSA CCM al GDPR) è utile consultare la guida completa sulla Cloud Compliance che illustra framework, requisiti e strategie operative per i settori critici.

Contrattualizzazione e requisiti minimi di sicurezza

Il contratto è lo strumento attraverso cui l’organizzazione formalizza le proprie aspettative di sicurezza nei confronti del fornitore e si riserva gli strumenti per verificarne il rispetto.

Nei settori critici NIS2, alcuni elementi contrattuali non sono negoziabili:

• la clausola di notifica degli incidenti (con tempi allineati agli obblighi di segnalazione previsti dalla direttiva);
• il diritto di audit;
• le clausole di gestione delle vulnerabilità e patch management;
• le condizioni di cessazione del servizio con modalità di restituzione o cancellazione sicura dei dati.

Un aspetto spesso trascurato è la clausola di flow-down: l’obbligo per il fornitore di traslare i requisiti di sicurezza contrattualizzati anche sui propri sub-fornitori. Senza questa clausola, il presidio della supply chain si ferma al primo livello, lasciando esposto tutto ciò che sta a valle.

Per i vendor critici, è buona pratica includere anche SLA specifici per la sicurezza (tempi massimi di risposta e remediation per le vulnerabilità critiche, frequenza dei report di sicurezza, modalità di accesso ai log) e meccanismi di penale in caso di inadempimento.

La supply chain IT sotto NIS2 e DORA: obblighi concreti

L’articolo 21 della direttiva NIS2 dedica un’attenzione esplicita alla sicurezza della catena di approvvigionamento, identificandola come una delle misure tecniche e organizzative obbligatorie per i soggetti essenziali e importanti.

Il testo è chiaro: le organizzazioni devono valutare e gestire i rischi posti dai propri fornitori di servizi ICT, tenendo conto delle vulnerabilità specifiche di ciascun fornitore e della qualità complessiva dei prodotti e dei processi di sicurezza adottati.

Questo obbligo non si esaurisce in una valutazione iniziale: richiede un monitoraggio continuo e la capacità di dimostrare all’autorità di supervisione (in Italia è l’ACN, l’Agenzia per la Cybersicurezza Nazionale) che il programma di Vendor Risk Management è attivo, documentato e proporzionato al livello di rischio.

Le linee guida ENISA sul rischio supply chain offrono un framework metodologico di riferimento che le organizzazioni nei settori critici dovrebbero adottare come baseline per il proprio programma di Vendor Risk Management.

Per le entità del settore finanziario, DORA aggiunge uno strato di requisiti specifici: il registro dei contratti ICT deve includere tutti i provider terzi con una classificazione di criticità, e per i provider ICT critici designati dalle autorità europee sono previsti diritti di accesso e ispezione diretta.

Il rischio di concentrazione (dipendenza eccessiva da un singolo provider o da un ristretto numero di vendor per funzioni critiche) è esplicitamente citato come fattore di rischio sistemico da presidiare.

Strumenti e tecnologie per il Vendor Risk Management

Alla luce di quanto visto finora, è importante tenere in considerazione il fatto che la gestione manuale del rischio fornitore (fogli di calcolo, e-mail, documenti condivisi) non è scalabile oltre una certa soglia di complessità.

Le organizzazioni con un portafoglio di vendor significativo necessitano di piattaforme dedicate che centralizzino il processo di assessment, la gestione documentale, il tracciamento delle remediation e il reporting verso il management.

Piattaforme GRC e vendor portal

Le principali piattaforme GRC (Governance, Risk and Compliance) del mercato, tra cui ServiceNow GRC, OneTrust, Archer e ProcessUnity, includono moduli specifici per il Vendor Risk Management con workflow standardizzati, library di questionari e dashboard di monitoraggio.

Per le organizzazioni di dimensioni più contenute o con budget limitati, esistono strumenti più focalizzati (come Venminder, Prevalent e RiskRecon) che offrono funzionalità VRM senza la complessità di una piattaforma GRC completa.

La scelta dello strumento deve essere guidata dalla complessità della supply chain da gestire, dall’integrazione con i sistemi esistenti (SIEM, CMDB, sistemi di procurement) e dalla capacità di supportare i framework normativi rilevanti per l’organizzazione.

Continuous monitoring e threat intelligence

Importante ricordare, comunque, che il risk assessment periodico è necessario ma non sufficiente. Tra un assessment e l’altro, la postura di sicurezza di un fornitore può cambiare significativamente: una nuova vulnerabilità critica nel software che utilizza, un data breach non dichiarato, una variazione nella sua catena di sub-fornitori, un cambiamento nella proprietà societaria.

Il continuous monitoring risolve questo gap, fornendo segnali in tempo reale sullo stato di sicurezza dei vendor.

Strumenti come SecurityScorecard, BitSight, UpGuard e CyberGRX aggregano dati provenienti da fonti esterne (scansioni passive dei sistemi esposti su internet, feed di threat intelligence, dark web monitoring, analisi dei certificati SSL, verifica delle configurazioni DNS e email) per produrre un punteggio di sicurezza continuamente aggiornato per ciascun vendor.

Questi strumenti non sostituiscono la due diligence tradizionale, ma la integrano con una visibilità che va oltre quanto un fornitore dichiara nei questionari di assessment.

È utile considerarli come un sistema di early warning: un calo improvviso del punteggio di sicurezza di un vendor critico è un segnale che richiede approfondimento immediato, non un’azione da rimandare al prossimo ciclo di assessment annuale.

Governance e metriche: misurare il rischio fornitore

Un programma di Vendor Risk Management senza governance è un esercizio di documentazione senza impatto operativo.

La governance definisce chi decide, chi è responsabile dell’esecuzione, chi supervisiona e come vengono gestite le criticità.

Nelle organizzazioni strutturate, il Vendor Risk Management è tipicamente di competenza del team di sicurezza informatica (CISO) in collaborazione con l’ufficio legale, il procurement e il risk management. La frammentazione di questa responsabilità tra silos organizzativi separati, ognuno che gestisce i propri vendor secondo criteri propri, è una delle cause più frequenti di gap nella copertura del rischio supply chain.

Le metriche sono lo strumento attraverso cui la governance diventa concreta e misurabile. Un programma di Vendor Risk Management maturo dovrebbe monitorare almeno:

1. la percentuale di vendor critici con assessment completato e aggiornato;
2. il tempo medio di remediation delle vulnerabilità segnalate ai vendor;
3. il numero di vendor con non conformità contrattuale aperta;
4. la copertura del monitoraggio continuo sui vendor critici;
5. il tempo medio di risposta dei vendor alle richieste di informazioni in caso di incidente.

Queste metriche devono essere riportate periodicamente al management e, per le organizzazioni nei settori critici, devono essere disponibili per l’autorità di supervisione.

Il Vendor Risk Management non è come un processo burocratico separato dalla realtà operativa dell’organizzazione. È una funzione strategica che abilita la fiducia nelle relazioni con i fornitori, riduce la superficie di attacco e contribuisce alla resilienza complessiva del sistema informatico.

Le organizzazioni che lo trattano come tale non solo sono più sicure: sono anche più pronte ad affrontare le verifiche delle autorità di vigilanza, più competitive nelle gare d’appalto che richiedono evidenza di maturità nella gestione del rischio e più capaci di rispondere efficacemente qualora un fornitore della loro supply chain venga coinvolto in un incidente di sicurezza.