Per anni, il vendor assessment è stato sinonimo di questionario compilato una volta e valido per sempre.

Funzionava quando i fornitori critici erano pochi e i requisiti normativi più leggeri.

Oggi però la realtà è diversa: supply chain complesse, servizi SaaS attivati in
autonomia dai business owner, componenti software di terza parte in ogni prodotto, nuove normative come NIS2 e DORA che spostano l’attenzione proprio sulla sicurezza dei terzi.

In questo scenario, il vendor assessment “una tantum” non è più sufficiente: deve diventare il primo mattone di un vero programma di Third-Party Risk Management (TPRM), continuo e data-driven.

Dal vendor assessment al TPRM: cosa cambia davvero

Il vendor assessment tradizionale è una fotografia statica: un set di domande su controlli, certificazioni, processi di sicurezza, spesso aggiornato una volta l’anno.

È utile, ma dice poco su come il fornitore si comporta nel tempo.

Il TPRM, invece, è un processo ciclico che copre tutto il ciclo di vita del fornitore:

• Onboarding: valutazione iniziale del rischio, classificazione per criticità, primo
• assessment.
• Esercizio: monitoraggio continuo delle esposizioni e gestione delle remediation.
• Offboarding: gestione sicura di dati, accessi e dipendenze residue.

Normative come NIS2 e DORA spingono chiaramente in questa direzione: non basta più “avere un contratto e un questionario”, serve dimostrare che i rischi legati ai terzi vengono identificati, monitorati e gestiti con continuità e secondo priorità.

I limiti del questionario “compilato e dimenticato”

Il questionario resta uno strumento centrale, ma da solo ha limiti evidenti:

• È dichiarativo: ci si basa sulle risposte del fornitore, spesso senza evidenze tecniche a supporto.
• È statico: fotografa un momento specifico; dopo pochi mesi l’infrastruttura o il perimetro cloud del fornitore possono cambiare radicalmente.
• Difficile da scalare: gestire decine o centinaia di fornitori con Excel o e-mail diventa presto ingestibile.
• Non copre lo Shadow IT e le “fourth parties”: marketplace SaaS, estensioni, componenti software embedded che arrivano in azienda senza passare dai canali formali.

Il risultato è un paradosso: molte organizzazioni svolgono il vendor assessment, ma hanno visibilità limitata proprio sui fornitori più rischiosi o sui servizi più dinamici.

Un vendor assessment moderno: questionari e dati oggettivi

Inserito nel TPRM, il vendor assessment va ripensato in chiave ibrida: qualitativa (questionari, contratto, compliance) e quantitativa (telemetria, rating, indicatori tecnici).

In pratica:

• classificare i fornitori per criticità;
• standardizzare i questionari, ma per framework;
• affiancare rating e segnali tecnici;
• gestione strutturata delle remediation.

Classificare i fornitori per criticità

Non tutti meritano lo stesso livello di approfondimento. Si parte da parametri come:

• tipologia di dati trattati (personali, finanziari, OT, IP);
• impatto su servizi essenziali o regolati (NIS2, DORA);
• dipendenza operativa (single point of failure).

Da qui si definiscono tier diversi (critico, alto, medio, basso), con assessment e frequenza di revisione proporzionati.

Standardizzare i questionari, ma per framework

Al posto del “questionario generico”, conviene costruire template modulari allineati a:

• ISO/IEC 27001 e NIST CSF per controlli base;
• NIS2 e DORA per servizi regolati;
• GDPR per trattamenti dati personali;
• Cyber Resilience Act e software supply chain per prodotti digitali.

Il fornitore critico riceve il set completo, quello meno impattante solo un sottoinsieme mirato.

Affiancare rating e segnali tecnici

Elemento “moderno” del vendor assessment:

• security rating e scan esterni sul perimetro pubblicamente esposto (vulnerabilità, configurazioni deboli, certificati, DNS, IP);
• monitoraggio di credenziali compromesse e data leak associati al dominio fornitore;
• SBOM e analisi della supply chain software per capire componenti di terza parte indirettamente coinvolti.

Così il questionario viene supportato (o smentito) da evidenze concrete.

Gestione strutturata delle remediation

Il vendor assessment non deve finire in un PDF inviato per email. Serve un flusso chiaro:

• apertura di remediation request con priorità e scadenze;
• tracciamento dello stato (open, in progress, closed);
• integrazione con sistemi di ticketing interni (ITSM, GRC eccetera);
• riesame periodico per fornitori a rischio alto.

Dal “compito per l’audit” a leva di governance

Per essere davvero efficace, il vendor assessment deve diventare uno strumento di governance condivisa, non un obbligo burocratico.
Alcuni punti chiave:

• Passare dalla fotografia al filmato: automatizzare l’invio periodico dei questionari; ricevere alert su cambiamenti nel perimetro esposto del fornitore; aggiornare automaticamente i risk score in caso di vulnerabilità o leak.
• Coinvolgere procurement, legale e business owner: la valutazione del rischio impatta contratti, SLA, penali, continuità operativa.
• Definire KPI e metriche chiare, come: tempo medio di completamento assessment; % fornitori critici con remediation completate; trend risk score medi per categoria; numero di fornitori senza evidenze aggiornate da oltre 12 mesi.

Ripensare il vendor assessment come “entry point” del TPRM

Il vendor assessment deve evolversi in quanto ad oggi è diventato una parte fondamentale della cyber kill chain.

Non può più essere un semplice PDF compilato una volta all’anno e recuperato soltanto in caso di audit o incidente.

In un mondo in cui la supply chain è il nuovo perimetro di attacco, il vendor assessment deve essere:

• contestualizzato nel programma TPRM;
• supportato da dati tecnici oggettivi;
• continuo e automatizzato, non manuale e sporadico;
• integrato nei processi di acquisto, rinnovo e dismissione.

Solo così le organizzazioni possono passare da una gestione “reattiva” del rischio terze parti a un modello proattivo e consapevole, prevenendo incidenti e scegliendo con responsabilità la propria supply chain digitale.