Le normative più recenti stanno spingendo le organizzazioni verso una gestione molto più strutturata delle terze parti. La qualifica iniziale del fornitore rappresenta soltanto il primo passaggio: ciò che viene richiesto oggi è la capacità di mantenere nel tempo un presidio continuo, aggiornato e documentabile sulla supply chain.
La Direttiva NIS2 richiede di considerare la sicurezza dei fornitori nella gestione del rischio cyber.
DORA introduce obblighi strutturati sulla gestione delle terze parti ICT critiche.
Il GDPR, attraverso l’art. 28, impone di selezionare responsabili del trattamento che offrano garanzie sufficienti e di verificarne l’affidabilità nel tempo.
La ISO 27001 richiede controlli lungo tutta la catena di fornitura.
Anche i modelli 231 includono sempre più spesso verifiche reputazionali, questionari etici e controlli sui conflitti di interesse.
Nella pratica, però, queste attività vengono spesso gestite in modo separato.
- Questionari differenti.
- Funzioni diverse.
- Evidenze raccolte manualmente.
- Documenti inviati via e-mail.
- Solleciti non tracciati.
- Scadenze monitorate su Excel.
Il tema centrale diventa quindi la capacità di integrare controlli e informazioni oggi spesso gestiti in modo frammentato tra compliance, IT, procurement e privacy.
C*RA nasce per affrontare proprio questo scenario: trasformare la gestione delle terze parti da insieme di verifiche scollegate a processo continuo e integrato.
Un motore unico per normative e controlli differenti
Il modulo di valutazione delle terze parti di C*RA si basa su un motore di questionari completamente configurabile, progettato per adattarsi a esigenze normative e organizzative differenti.
Questo significa che l’organizzazione può costruire questionari specifici per:
- fornitori rilevanti ai fini NIS2;
- terze parti ICT in ambito DORA;
- responsabili del trattamento ex art. 28 GDPR;
- verifiche ISO 27001;
- questionari conflitti di interesse e due diligence 231;
- customer satisfaction e valutazioni qualità ISO 9001.
La possibilità di utilizzare un unico motore per esigenze normative differenti consente di uniformare la raccolta delle informazioni e mantenere una vista centralizzata sulle terze parti.
Lo stesso fornitore può essere gestito all’interno di un unico modello di governance, evitando duplicazioni e richieste incoerenti tra funzioni diverse.
Raccolta delle evidenze e workflow automatizzati
Uno degli aspetti più onerosi nella gestione delle terze parti riguarda la raccolta e il mantenimento delle evidenze documentali.
- Certificazioni ISO.
- Policy di sicurezza.
- Attestazioni GDPR.
- Documentazione societaria.
- Audit report.
- Dichiarazioni etiche o anticorruzione.
Molte organizzazioni continuano a gestire queste attività manualmente tramite e-mail, reminder informali o cartelle condivise.
C*RA automatizza questo processo attraverso workflow dedicati. I questionari possono essere inviati direttamente ai fornitori, che caricano le risposte e le evidenze richieste all’interno di un flusso strutturato e tracciato.
Le notifiche automatiche consentono di gestire solleciti, aggiornamenti e richieste integrative senza ricorrere a controlli manuali continui.
Questo permette di sapere in qualsiasi momento:
- quali documenti sono stati richiesti;
- quali sono stati ricevuti;
- quali risultano mancanti o scaduti;
- quando è stata effettuata l’ultima verifica;
- chi ha validato l’evidenza.
La tracciabilità non deve più essere ricostruita in fase di audit. È incorporata nel sistema.
Monitoraggio continuo e gestione delle scadenze
Con il tempo cambiano fornitori, servizi, certificazioni e livelli di rischio. Per questo il monitoraggio continuo diventa molto più rilevante della semplice raccolta iniziale delle informazioni.
Per questo C*RA integra scadenziari automatici e workflow di follow-up che permettono di pianificare rivalutazioni periodiche, aggiornamenti documentali e controlli ricorrenti.
Questo approccio è particolarmente rilevante per framework come NIS2 e DORA, che richiedono monitoraggio continuo delle dipendenze critiche e delle terze parti ICT.
Ad esempio:
- una certificazione in scadenza può generare alert automatici;
- un questionario può essere reinviato periodicamente;
- un’azione correttiva può essere assegnata e monitorata;
- una mancata risposta può attivare escalation
La governance delle terze parti diventa così un processo continuo e non una fotografia statica.
Collegamento con processi, rischi e compliance
In C*RA le terze parti non vengono gestite come anagrafiche isolate.
I fornitori possono essere collegati a:
- processi aziendali;
- servizi critici;
- trattamenti dati;
- asset tecnologici;
- rischi;
- incidenti;
- azioni correttive.
Questo consente di comprendere immediatamente l’impatto operativo di una terza parte sul modello organizzativo.
Se un fornitore ICT subisce un incidente cyber, è possibile capire rapidamente quali processi e quali servizi dipendono da quel soggetto. Se un responsabile del trattamento non aggiorna le proprie misure di sicurezza, il rischio GDPR collegato diventa immediatamente visibile.
La supply chain smette così di essere un elenco di fornitori e diventa parte integrante del modello di governance del rischio.
Reporting, storicizzazione e riduzione della manualità
Tutte le attività gestite nel modulo restano storicizzate nel tempo:
- questionari inviati;
- evidenze raccolte;
- verifiche effettuate;
- solleciti;
- approvazioni;
- azioni correttive;
- rivalutazioni periodiche.
Dashboard e report consentono a compliance, audit, management e Organismo di Vigilanza di avere una vista aggiornata sullo stato delle terze parti e dei controlli effettuati.
Il beneficio più concreto, però, è spesso operativo.
- Meno e-mail.
- Meno file paralleli.
- Meno duplicazioni.
- Meno ricostruzioni manuali in caso di audit o ispezione.
Più controllo, più coerenza e maggiore sostenibilità del processo nel tempo.
Dalla qualifica iniziale alla governance continua della supply chain
L’obiettivo dei framework normativi più recenti è garantire che la gestione delle terze parti sia continuativa, documentata e integrata nei processi di controllo dell’organizzazione.
Con C*RA, la gestione della supply chain diventa un processo continuo, integrato con il modello di rischio e con gli altri framework di compliance dell’organizzazione.
L’obiettivo non è semplicemente digitalizzare questionari e raccolte documentali, ma costruire un processo continuativo di controllo e monitoraggio della supply chain.
👉 Se vuoi capire come strutturare un modello continuo di valutazione e monitoraggio delle terze parti, possiamo mostrarti come C*RA supporta concretamente questo approccio nella gestione quotidiana della supply chain.