Implementare il Third-Party Risk Management

Implementare il Third-Party Risk Management
Passo dopo passo

A cura di Mark Barlow

Nel panorama normativo europeo della sicurezza informatica, le nuove direttive NIS2 e DORA hanno introdotto un cambiamento importante nel modo in cui le organizzazioni devono affrontare la gestione del rischio. Una delle aree più critiche è la gestione del rischio delle terze parti — meglio nota come Third-Party Risk Management (TPRM).

La digitalizzazione dei servizi, l’esternalizzazione crescente e l’interconnessione delle supply chain ICT hanno esposto le aziende a vulnerabilità indirette: una falla in un fornitore può equivalere a un varco aperto nei sistemi più protetti. NIS2 e DORA non solo riconoscono questo rischio, ma lo mettono al centro della strategia di resilienza.

NIS2 e DORA: due pilastri complementari

La Direttiva NIS2 (UE 2022/2555), applicabile pienamente nel 2025, amplia il perimetro dei “servizi essenziali e importanti” includendo infrastrutture critiche e fornitori digitali. Introduce obblighi stringenti in materia di gestione degli incidenti e responsabilità diretta dei vertici aziendali.

Il Regolamento DORA (UE 2022/2554), specifico per il settore finanziario, è entrato in vigore nel gennaio 2023 con piena applicazione dal gennaio 2025. A differenza della direttiva, ha natura regolamentare e quindi obbligatoria senza necessità di recepimento.

DORA e NIS2: due strade, un obiettivo comune

Il quarto pilastro di DORA, dedicato alla gestione del rischio ICT delle terze parti, impone obblighi stringenti sia per le entità finanziarie che per i loro fornitori critici. NIS2, parallelamente, dedica l’articolo 21(d) alla sicurezza della supply chain, responsabilizzando le organizzazioni sulla solidità dell’intero ecosistema digitale.

Questo significa, in concreto, che non è più sufficiente proteggere i propri server e processi interni. Le aziende devono mappare tutte le dipendenze ICT esterne, valutare la postura di sicurezza dei fornitori, formalizzare obblighi contrattuali precisi e, dove necessario, diversificare le fonti critiche.

Un approccio pragmatico in un contesto normativo in evoluzione

Il Third-Party Risk Management non è un processo statico, ma un sistema complesso e dinamico che si muove all’interno di un quadro normativo europeo ancora in evoluzione. Questo scenario impone alle aziende un approccio proattivo, per anticipare evoluzioni normative ed evitare rischi di non conformità.

In questo scenario di trasformazione, un’azienda italiana certificata ISO 9001 e ISO/IEC 27001, ha scelto un approccio progressivo e concreto. Tale azienda ha pensato a come rispondere efficacemente alle sfide normative e ha adottato una strategia step-by-step, “passo dopo passo”, basata su azioni misurabili e un sistema di monitoraggio continuo.

Il TPRM non viene interpretato solo come obbligo, ma come occasione di evoluzione organizzativa, costruendo un sistema capace di apprendere e adattarsi in tempo reale.

Tale strategia si articola su diversi assi operativi:

  1. Inventario dei Fornitori: ogni terza parte, incluso il personale freelance (“Professionals”) con partita IVA, è tracciata e categorizzata secondo accesso ai dati e tipologia di rischio. Tali classificazioni includono:
  • “Nessun accesso”: nessuna azione
  • “Inattivo”: nessuna azione
  • “Interni”: questi fornitori hanno accesso ai dati aziendali interni e devono compilare il modulo del trattamento dati come titolare
  • “Clienti”: questi Fornitori hanno accesso ai dati dei Clienti della Compagnia e quindi devono (1) compilare un assessment, (2) comunicare i loro sub-fornitori che possono impattare la catena, (3) sottoporsi a un Risk Assessment sulla fornitura
  • “Entrambi”: hanno accesso sia ai dati Aziendali sia ai dati dei Clienti e, quindi, devono essere effettuate le azioni dei due punti sopra
  • “Professional”: Devono partecipare alle formazioni sugli standard di sicurezza aziendali oppure dimostrare di possedere competenze equivalenti.
  1. Mappatura dei Subfornitori: è richiesto ai fornitori di dichiarare chi sono i loro subfornitori e se rappresentano un potenziale punto di rischio per l’Azienda e i Clienti del Business.
  2. Clausole contrattuali conformi a DORA: i contratti vengono aggiornati per includere impegni formali sulla sicurezza e la possibilità di audit.
  3. Valutazione della postura di sicurezza: l’Azienda ha sviluppato un questionario analitico di autovalutazione da usare internamente e nei confronti dei fornitori. Tale questionario può essere inviato ai Clienti se viene richiesto.

5.Risk Assessment dei fornitori: ogni fornitore viene sottoposto a un’analisi del rischio, per avere una fotografia dinamica e costantemente aggiornata del panorama complessivo dei rischi.

6.Coinvolgimento dei “Professionals”: ii collaboratori esterni devono partecipare alla formazione su privacy e cybersecurity o dimostrare percorsi equivalenti.

Una leva competitiva

In un contesto di mercato sempre più attento alla continuità operativa e alla trasparenza, dimostrare di avere sotto controllo l’intera catena del valore digitale è un vantaggio strategico.

I clienti oggi cercano partner affidabili, resilienti e consapevoli della cultura della sicurezza. Un sistema TPRM ben strutturato permette non solo di ridurre i rischi, ma anche di acquisire fiducia, posizionarsi in modo distintivo, facilitare audit e due diligence, e consente di posizionarsi in modo proattivo rispetto al cambiamento.

Dalla compliance alla cultura della sicurezza

Quello illustrato è un esempio di trasformazione culturale, oltre che di adeguamento normativo. L’adozione di un modello TPRM solido è oggi una necessità operativa per garantire continuità e fiducia nel servizio, soprattutto nei settori ad alta intensità regolatoria come quello finanziario.

La sicurezza non si esaurisce al perimetro aziendale. In un sistema interconnesso, è necessario pensare in rete e gestire i rischi come una catena coesa.

Con l’imminente piena applicabilità della NIS2 e l’entrata in vigore del DORA, il tempo per agire è adesso. La cultura della sicurezza non si impone: si costruisce, giorno dopo giorno, attraverso consapevolezza, controllo e collaborazione.

Guardando avanti

In futuro si prevede l’evoluzione del TPRM verso una piattaforma integrata, capace di dialogare in tempo reale con i sistemi di monitoraggio, le analisi di rischio e i framework internazionali emergenti.

Sarà opportuno progettare l’automazione di parte dei controlli, l’introduzione di strumenti predittivi, e la creazione di un modello di collaborazione attiva con i fornitori, basato su formazione congiunta e condivisione di buone pratiche.

L’obiettivo è trasformare il Third-Party Risk Management in un vero asset strategico di resilienza, governance e vantaggio competitivo.

In un ecosistema digitale, la sicurezza non può più essere un esercizio isolato: deve essere condivisa, distribuita, verificabile.

Per questo non vogliamo inseguire il futuro: vogliamo progettarlo.

Leggi il Magazine