norppa.io
Tutte le guide

Guida · 9 min di lettura

Valutazione del rischio informatico dei fornitori — cosa controlla il monitoraggio continuo

Cosa significa davvero osservare il rischio informatico di un fornitore dall'esterno? Ecco l'inventario completo: ogni categoria di controllo, perché conta ai sensi di NIS2 e come un rilievo diventa qualcosa su cui agire — o che potete decidere di accettare in modo difendibile.

Punti chiave

  • Percorre ogni categoria di controllo e l'articolo NIS2 a cui ciascuna risponde.
  • Tutto è passivo — solo fonti pubbliche, nessun traffico verso il fornitore e nessun consenso richiesto.
  • NIS2 premia il rischio documentato e gestito, non un elenco di rilievi vuoto — un rischio accettato e registrato è una prova.

Intelligence passiva — nulla tocca mai il fornitore

Tutto qui si basa sull'intelligence passiva. I dati provengono interamente da fonti pubbliche — registri di trasparenza dei certificati, record DNS, siti di leak ransomware, dataset di violazioni, registri di sanzioni e feed di intelligence aperti — così non viene mai inviato traffico ai sistemi del fornitore e non serve alcun permesso. Potete valutare un fornitore che avete firmato, uno che state ancora considerando, o uno che non ha idea che lo state osservando.

L'insieme completo dei controlli gira ogni giorno; quelli sensibili al tempo — fonti ransomware e dark web — di nuovo all'incirca ogni sei ore, con un avviso e-mail nel momento in cui emerge qualcosa di critico, come una comparsa su una lista di vittime o una fuga di credenziali recente.

Monitoraggio delle vittime di ransomware

Art. 21(2)(b)

Diverse fonti di tracciamento del ransomware vengono ricontrollate all'incirca ogni sei ore. Il giorno in cui il vostro fornitore compare su una lista di vittime — la firma pubblica di un attacco attivo o recente — lo venite a sapere, ed è di solito il giorno per chiedergli senza giri di parole se voi o i vostri dati siete coinvolti.

Fughe di credenziali nel dark web

Art. 21(2)(i)

Gli ammassi di credenziali da infezioni infostealer e dai mercati del dark web vengono setacciati per accessi legati al dominio del fornitore. Le credenziali rubate restano la via d'ingresso più comune, e una password trapelata di un dipendente del vostro fornitore è una password che può finire puntata sui vostri sistemi.

Sicurezza della posta

Art. 21(2)(h)

SPF, DKIM e DMARC mancanti o configurati a metà permettono di falsificare il dominio di un fornitore in e-mail che arrivano dall'aspetto legittimo. Il controllo guarda anche MTA-STS, il record di reportistica TLS-RPT e l'indicatore di marchio BIMI — le fondamenta tecniche dietro le misure di crittografia dell'articolo 21, dove si applicano.

Certificati TLS e DNSSEC

Art. 21(2)(h)

La validità dei certificati è monitorata, con un avviso due settimane prima della scadenza. La validazione DNSSEC vi dice se la catena DNS del fornitore è firmata e integra — senza di essa il suo DNS può essere falsificato — e i record CAA indicano se l'emissione dei certificati è circoscritta ad autorità approvate.

Configurazione di sicurezza web

Art. 21(2)(c)

I flag dei cookie (Secure, HttpOnly, SameSite) vengono controllati, poiché quelli mancanti aprono la porta al dirottamento di sessione e al cross-site scripting. robots.txt viene letto per percorsi sensibili che un sito pubblicizza in silenzio, e security.txt per verificare se esiste un canale onesto per segnalare una vulnerabilità.

Vulnerabilità e punteggio di sfruttamento

Art. 21(2)(e)

Tutto ciò che è legato all'infrastruttura del fornitore e figura nel catalogo CISA delle vulnerabilità sfruttate note viene segnalato all'istante. I punteggi di probabilità di sfruttamento (EPSS) ordinano poi il resto in base a quanto è probabile che ciascuna sia davvero usata, anziché alla sola gravità CVSS grezza — la differenza tra un elenco lungo e uno corto e onesto.

Sanzioni e reputazione del server di posta

Art. 21(2)(e) & Art. 21(2)(j)

L'organizzazione del fornitore viene confrontata con le liste di sanzioni di UE, ONU e OFAC. Gli indirizzi IP del suo server di posta vengono confrontati con quattro liste di blocco in tempo reale — una comparsa lì indica abuso di posta, o una compromissione precedente mai ripulita.

SAQ — questionario di autovalutazione

Art. 21(2)(a) & (b) & (d)

Il monitoraggio tecnico copre la superficie che chiunque vede dall'esterno. I requisiti a livello di processo — gestione del rischio, gestione degli incidenti, governance della supply chain — si raggiungono inviando al fornitore un questionario di autovalutazione dal portale; le sue risposte vengono archiviate e lette accanto al profilo di rischio tecnico, così che affermazione e prova stiano fianco a fianco.

Gravità e punteggio di rischio

Ogni rilievo ricade in uno di quattro livelli di gravità: critico (agire ora), alto (circa sette giorni), medio (circa trenta) e basso (utile sapere). Il punteggio di rischio del fornitore — da 0 a 100, dove 100 è pulito — deriva dalla gravità di ciò che è aperto in quel momento.

Leggete il punteggio come un modo per dare priorità all'attenzione, non come un verdetto. Un fornitore per il resto solido può scendere per una singola falla critica, e un punteggio ordinato non giustifica mai di saltare il dettaglio che sta sotto.

Cosa succede a un rilievo

Un rilievo si apre nel momento in cui un controllo nota qualcosa di anomalo e resta aperto finché il problema non è davvero scomparso — l'esecuzione successiva conferma la correzione da sola, senza chiusura manuale. Quando un rilievo è un rischio che avete esaminato e scelto di accettare, contrassegnatelo come rischio accettato con una nota; smette così di generare nuovi avvisi a meno che lo stato non cambi.

Ogni rilievo viene collegato, al momento della registrazione, alla sottoclausola dell'articolo 21(2) di NIS2 a cui risponde, e compare sia nel portale in tempo reale sia nel PDF mensile.

Come si mappa su NIS2 e cosa porta il rapporto

Il rapporto mensile si apre con una sintesi in linguaggio chiaro, poi punteggi NIS2 per articolo, un profilo di rischio per fornitore e un elenco di rimedi già ordinato per priorità. È scritto per essere letto in una riunione di direzione, non solo da chi eseguirà le correzioni.

Porta anche i rilievi che avete accettato come rischi documentati — la parte a cui i revisori tengono di più. NIS2 non ha mai chiesto una fedina pulita; ha chiesto di gestire il rischio e di mostrare il vostro lavoro.

Il vostro dominio — uno sguardo esterno più approfondito

I domini dei fornitori sono valutati solo con intelligence passiva: esclusivamente dati pubblici. Il vostro dominio può andare oltre con una valutazione esterna mensile — porte e servizi esposti, rischi di vulnerabilità note e configurazione TLS — perché lì avete la legittimità di guardare più a fondo. Ancora nessuna integrazione, e ancora nulla che raggiunga la vostra rete interna.

Fonti ufficiali

Guardate com'è il rapporto

Il rapporto di esempio mostra esattamente come vengono presentati i rilievi — per articolo NIS2, per fornitore, e come una sintesi che un team dirigente può davvero leggere.

Vedi rapporto di esempio
Guarda la dashboard di esempio
Prezzi
Tutte le guide

Guide correlate

NIS2 e il requisito della supply chain — cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

NIS2 Art. 21(2) — checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.

NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici

Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.

Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate

Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il tuo obbligo.

ISO 27001 e NIS2: cosa copre già il tuo SGSI — e le lacune che restano

Se hai la ISO 27001: cosa si riporta su NIS2 e cosa no — notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua — e come colmare la lacuna.