Il punto di vista di Cyber Academy
Il TPRM è la disciplina che governa il rischio introdotto da fornitori, subappaltatori e service provider. Due diligence in fase di onboarding, clausole contrattuali, assurance continuativa, offboarding. Obbligatorio ai sensi di NIS 2 (sicurezza della supply chain) e DORA (rischio ICT da terze parti). Il blackout Crowdstrike e l'incidente SolarWinds hanno entrambi portato il TPRM all'attenzione dei board.
Il Third-Party Risk Management (TPRM) tratta i vostri fornitori, subappaltatori e prestatori di servizi come un'estensione della vostra stessa superficie di attacco. La logica è semplice: se un fornitore tratta i vostri dati, gestisce la vostra infrastruttura o si inserisce nella vostra catena di fornitura, allora le sue debolezze diventano i vostri incidenti. Il TPRM è la disciplina che rende tale esposizione visibile, contrattuale e monitorata in modo continuo, anziché scoperta nel momento della violazione.
Le quattro fasi che i professionisti eseguono realmente
Il TPRM non è un questionario una tantum. È un ciclo di vita che va dal primo contatto con un fornitore al giorno in cui lo si disattiva. La maggior parte dei programmi maturi lo struttura in quattro fasi:
- Due diligence di onboarding. Prima di firmare, si valuta il fornitore in base al rischio che introduce. Un provider SaaS che ospita dati personali e un fornitore di cancelleria non ricevono lo stesso livello di scrutinio. La classificazione per criticità è ciò che impedisce al programma di affogare.
- Clausole contrattuali. Il contratto è il luogo in cui la garanzia diventa esigibile: obblighi di sicurezza, diritti di audit, tempistiche di notifica delle violazioni, divulgazione dei sub-responsabili, ubicazione dei dati e condizioni di uscita. Se non è nel contratto, non potrete pretenderlo in seguito.
- Garanzia continua. Il rischio non si congela alla firma. La cadenza di rivalutazione, il monitoraggio dei certificati (ISO 27001, SOC 2), il monitoraggio continuo della postura di sicurezza del fornitore e la revisione delle dipendenze di quarta parte mantengono il quadro aggiornato.
- Off-boarding. Quando il rapporto termina, si recuperano o si conferma la distruzione dei dati, si revocano gli accessi e si chiude l'esposizione residua. È la fase che i team saltano più spesso, e quella che lascia dietro di sé credenziali orfane.
Perché è diventato un tema da consiglio di amministrazione
Il TPRM risiedeva un tempo negli acquisti. È passato al consiglio di amministrazione perché i fallimenti più eclatanti dell'ultimo decennio sono arrivati attraverso la catena di fornitura, non dalla porta principale. L'incidente SolarWinds ha mostrato un attaccante in grado di raggiungere migliaia di organizzazioni compromettendo un singolo aggiornamento software affidabile. Il blackout CrowdStrike ha dimostrato che un aggiornamento difettoso di un singolo fornitore critico poteva bloccare le operazioni di interi settori contemporaneamente. Entrambi hanno ridefinito le terze parti come rischio sistemico, non come una casella da spuntare negli acquisti.
La regolamentazione è seguita. La NIS 2 rende la sicurezza della catena di fornitura un dovere esplicito per i soggetti rientranti nel suo ambito e responsabilizza gli organi di gestione in caso di inadempienze. DORA si spinge oltre per i soggetti finanziari, dedicando uno dei suoi cinque pilastri al rischio derivante da terzi fornitori di TIC, imponendo requisiti contrattuali specifici e sottoponendo a vigilanza gli stessi fornitori critici di TIC. Per un'impresa regolamentata, il TPRM non è più una buona prassi, è un obbligo documentato.
In cosa il TPRM si differenzia dalle discipline affini
Il TPRM convive con la gestione dei fornitori e la gestione dei rischi in generale, ma è più ristretto e più affilato di entrambe. La gestione dei fornitori ottimizza costo, prestazioni e rapporto commerciale. Il TPRM si occupa specificamente del rischio di sicurezza, resilienza, privacy e conformità che una terza parte introduce. Si differenzia anche dal lavoro interno sull'ISMS: i vostri controlli si fermano al vostro perimetro, ma la vostra responsabilità no. Potete esternalizzare l'attività, non potete esternalizzare il rischio. Questa asimmetria è la ragione stessa per cui la disciplina esiste.
Frequently asked questions
01Qual è la differenza tra TPRM e gestione dei fornitori?
La gestione dei fornitori governa il rapporto commerciale: costo, livelli di servizio, prestazioni. Il TPRM si concentra specificamente sul rischio di sicurezza, resilienza, privacy e conformità che un fornitore introduce. Si sovrappongono, ma un contratto solido sul prezzo non vi dice nulla sulla notifica delle violazioni o sull'ubicazione dei dati.
02Il TPRM è obbligatorio ai sensi della regolamentazione UE?
Per molte organizzazioni, sì. La NIS 2 rende la sicurezza della catena di fornitura un obbligo esplicito per i soggetti rientranti nel suo ambito, e DORA dedica un intero pilastro al rischio derivante da terzi fornitori di TIC per i soggetti finanziari. Entrambi pongono la responsabilità sull'organo di gestione anziché lasciarla agli acquisti.
03Che cos'è il rischio di quarta parte?
È il rischio introdotto dai fornitori dei vostri stessi fornitori. Voi stipulate il contratto con la terza parte, ma questa dipende da sub-responsabili e fornitori a monte che potreste non vedere mai. Il rischio di concentrazione, quando molti fornitori si affidano allo stesso cloud o alla stessa libreria, risiede in questo livello.
04Con quale frequenza dovrebbero essere rivalutate le terze parti?
Non esiste un intervallo unico imposto. I programmi maturi stabiliscono la cadenza in base al livello di criticità: i fornitori più critici vengono rivisti con maggiore frequenza e monitorati in modo continuo, mentre i fornitori a basso rischio vengono rivalutati meno spesso. Il principio è basato sul rischio, non sul calendario.
05Il fatto che un fornitore disponga della ISO 27001 significa che possiamo saltare la due diligence?
No. Un certificato è una prova, non un sostituto della valutazione. Dovete comunque confermare che l'ambito della certificazione copra il servizio che utilizzate, verificare che sia in corso di validità e valutare il rischio specifico dei dati e degli accessi che concedete loro.