norppa.io
Guide

Guida NIS2 · 9 min

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Un questionario di sicurezza per i fornitori è la spina dorsale della due diligence prevista dall'articolo 21, par. 2, lett. d) di NIS2 — ma la maggior parte sono troppo lunghi, valutati male e mai verificati. Questa guida illustra cosa chiedere davvero, come trasformare le risposte in decisioni, come reagire quando un fornitore è carente e l'unica debolezza comune a tutti i questionari. Si chiude con un modello pronto da adattare.

Cosa chiedere — i sei ambiti che contano

Un buon questionario è breve e orientato alla decisione. Copri questi sei ambiti; resisti alla tentazione di aggiungere cinquanta caselle in più che nessuno valuterà.

1

Governance e responsabilità

Chi è responsabile della sicurezza e la direzione la sovrintende davvero? NIS2 rende responsabile il vertice, quindi è il primo segnale di maturità.

2

Controllo degli accessi e autenticazione

L'autenticazione debole è il vettore di violazione più comune. L'autenticazione a più fattori e il privilegio minimo sono una base, non un extra.

3

Risposta agli incidenti e notifica

Ti serve un fornitore capace di rilevare, contenere e avvisarti rapidamente — l'orologio delle 24 ore (art. 23) può partire dal suo incidente, non dal tuo.

4

Continuità operativa e backup

Se il fornitore va giù o subisce un ransomware, in quanto tempo riavrai il servizio? Contano backup testati e un tempo di ripristino dichiarato.

5

Supply chain e rischio di quarta parte

I fornitori del tuo fornitore sono anche un tuo rischio. Chiedi se valuta i propri subappaltatori critici e se ti notifica le modifiche.

6

Tecnica e protezione dei dati

Cifratura, cadenza delle patch e ubicazione dei dati — i controlli concreti che una scansione esterna potrà poi corroborare.

Come valutare le risposte — non limitarti a raccoglierle

Un questionario aggiunge valore solo se le risposte cambiano una decisione. Valutale, non archiviarle e basta:

  • Pondera in base alla criticità — un 'no' alla MFA da un fornitore che detiene i tuoi dati clienti pesa più di un documento di policy mancante di un fornitore minore. Pondera le domande prima di inviarle.
  • Tratta 'in corso' come 'no' — finché un controllo non è attivo e comprovato, valutalo come una lacuna con una data di rimedio, non come superato.
  • Segnala le non risposte — risposte vaghe o evasive sono di per sé un segnale. Richiedi dettagli concreti o prove invece di una casella spuntata.
  • Riallinea la baseline secondo un calendario — le risposte scadono. Un questionario annuale riflette un solo giorno, non l'anno che segue.

Cosa fare quando un fornitore è carente

Una lacuna non è automaticamente un motivo per abbandonare un fornitore — ma deve portare da qualche parte. Concorda un piano di rimedio con responsabili e date, mettilo a verbale e rendi contrattuali le lacune rilevanti: un diritto alle prove, una data di correzione e un percorso di escalation se slitta.

Per i fornitori critici, lega il rimedio alla relazione: rivalutazione prima del rinnovo, clausole di sicurezza nel contratto e diritto di richiedere prove — non solo affermazioni. Documenta comunque la decisione. Accettare un rischio residuo è una scelta legittima, ma solo quando è una decisione registrata e assunta, non una svista.

Il punto cieco del questionario: l'autodichiarazione

Ogni risposta di un questionario è un'affermazione che il fornitore fa su sé stesso. Alcune sono oneste, altre ottimistiche, altre semplicemente superate quando le leggi. Un questionario ti dice cosa un fornitore crede — o vuole farti credere — della propria sicurezza, non cosa è realmente esposto su internet.

Per questo i programmi più solidi abbinano il SAQ a prove tecniche esterne. Se un fornitore risponde 'sì, tutto il traffico è cifrato' ma una scansione trova un certificato scaduto o un form di login in chiaro, hai una contraddizione che merita un confronto. Il questionario cattura processo e intenzione; il monitoraggio esterno continuo lo corrobora — o lo mette in discussione. Usa entrambi.

Un modello di questionario gratuito da adattare

Copia queste sezioni nel tuo processo. Mantieni le risposte su sì / no / in corso più un campo prova, così ogni affermazione potrà essere supportata in seguito.

1. Governance e responsabilità

  • Esiste una persona nominata responsabile della sicurezza delle informazioni?
  • La direzione ha approvato una policy di sicurezza negli ultimi 12 mesi?
  • Il personale riceve formazione sulla consapevolezza della sicurezza almeno una volta l'anno?

2. Controllo degli accessi e autenticazione

  • L'autenticazione a più fattori è imposta per gli accessi remoti e amministrativi?
  • I diritti di accesso sono rivisti e revocati prontamente al cambio di ruolo?
  • Il privilegio minimo è applicato ai sistemi che contengono i nostri dati?

3. Risposta agli incidenti e notifica

  • Esiste un piano di risposta agli incidenti documentato, testato negli ultimi 12 mesi?
  • Potete notificarci un incidente rilevante entro 24 ore?
  • Avete avuto una violazione notificabile negli ultimi 24 mesi? Se sì, cosa è cambiato?

4. Continuità operativa e backup

  • I backup sono cifrati, testati e conservati offline o in modo immutabile?
  • Qual è il vostro obiettivo di tempo di ripristino (RTO) per il servizio che ci fornite?
  • Avete un piano di disaster recovery e quando è stato collaudato l'ultima volta?

5. Supply chain e rischio di quarta parte

  • Valutate la sicurezza dei vostri subappaltatori critici?
  • Ci notificherete i cambi di sub-responsabili che trattano i nostri dati?
  • Possedete certificazioni rilevanti (es. ISO 27001)? Potete condividerne l'ambito?

6. Tecnica e protezione dei dati

  • I dati sono cifrati in transito e a riposo secondo gli standard attuali?
  • Eseguite scansioni di vulnerabilità periodiche e applicate patch su un calendario definito?
  • In quali giurisdizioni sono conservati e trattati i nostri dati?

Fonte: Direttiva (UE) 2022/2555 (NIS2), articolo 21, par. 2, lett. d) — sicurezza della supply chain — mappa le tue domande sulle misure dell'art. 21 e sulla tua legge nazionale di recepimento.

Come aiuta norppa.io

norppa.io invia i questionari di autovalutazione (SAQ) ai tuoi fornitori direttamente dalla piattaforma — niente fogli di calcolo, niente rincorse via email. Le risposte sono tracciate, versionate e valutate secondo la ponderazione del rischio sopra.

Soprattutto: ogni risposta SAQ viene incrociata con il profilo di rischio tecnico in tempo reale del fornitore (oltre 100 controlli, ogni giorno). Quando un'affermazione positiva contraddice ciò che osserviamo, norppa.io la segnala come supportata da prove — così vedi non solo cosa dicono i fornitori, ma se regge. Il punto cieco del questionario, colmato.

Invia il tuo primo SAQ — e vedilo incrociato

Guarda un report fornitore di esempio, o come funzionano i questionari in norppa.io.

Vedi il report di esempio Informazioni sul SAQ

Guide correlate

NIS2 e il requisito della supply chain — cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

NIS2 Art. 21(2) — checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.