Supply chain e fornitori

Questionario NIS2 per fornitori: domande, evidenze e scoring da usare davvero

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

Un questionario NIS2 per fornitori deve essere proporzionato al rischio e costruito per produrre decisioni, non solo risposte. Deve coprire governance, accessi, incidenti, backup, continuità, subfornitori, privacy, vulnerability management ed evidenze. Le domande migliori chiedono “come lo dimostri?”, non solo “lo fai?”.

Questa guida si collega al metodo per valutare fornitori NIS2, all'articolo su security questionnaire NIS2, alle clausole contrattuali NIS2 e al modulo Vendor Risk.

Verifica se la tua azienda rientra nella NIS2

Scoping guidato, controlli ACN, gap analysis e report audit-ready.

Verifica gratis →

Perché il questionario deve essere progettato bene

Un questionario troppo generico produce risposte inutili. Un questionario troppo lungo scoraggia il fornitore e rallenta il procurement. Il punto è adattare le domande al rischio del servizio.

Il questionario deve permettere tre decisioni:

il fornitore è accettabile?
servono remediation o clausole aggiuntive?
quali evidenze devono essere raccolte o aggiornate?

Sezione 1: informazioni sul servizio

Domande utili:

Quale servizio viene erogato?
Il servizio supporta processi critici?
Dove sono localizzati sistemi e dati?
Quali subfornitori sono coinvolti?
Esistono SLA di disponibilità?
Il servizio è sostituibile rapidamente?

Sezione 2: governance e sicurezza

Esiste un responsabile sicurezza?
Esistono policy approvate?
Sono svolti risk assessment periodici?
Sono disponibili certificazioni o audit?
Esiste un programma di formazione?

Sezione 3: accessi e identità

È previsto MFA?
Come vengono gestiti accessi privilegiati?
Con quale frequenza sono rivisti gli utenti?
Come vengono rimossi accessi di personale cessato?
Gli accessi dei subfornitori sono controllati?

Sezione 4: incident response

Esiste una procedura di gestione incidenti?
Quali sono i tempi di comunicazione al cliente?
Chi è il punto di contatto?
Sono stati fatti test o simulazioni?
È disponibile un modello di report incidente?

Sezione 5: backup e continuità

Sono definiti RTO e RPO?
I backup sono testati?
Esiste un piano di disaster recovery?
Sono disponibili evidenze di restore test?
Il servizio dipende da un singolo data center o provider?

Sezione 6: privacy e dati personali

Quando il fornitore tratta dati personali, bisogna coordinare NIS2 e GDPR:

ruolo privacy del fornitore;
DPA o accordo ex art. 28 GDPR;
data breach procedure;
trasferimenti extra UE;
misure tecniche e organizzative;
conservazione e cancellazione dati.

Evidenze da richiedere

Le evidenze devono essere proporzionate. Esempi:

policy sicurezza;
procedure incidenti;
attestazioni certificative;
report test backup;
report vulnerability assessment;
schema subfornitori;
SLA;
estratti audit;
documentazione privacy;
piano di continuità.

Scoring del questionario

Non tutte le domande hanno lo stesso peso. Le domande su accessi amministrativi, incidenti, backup e subfornitori dovrebbero pesare di più per fornitori critici.

Un modello pratico può prevedere:

risposta conforme;
risposta parzialmente conforme;
risposta non conforme;
evidenza assente;
non applicabile motivato.

Il risultato deve alimentare il vendor score.

Come GAPOFF aiuta

Con GAPOFF il questionario non resta un PDF. Può diventare parte di un processo: invio, raccolta risposte, evidenze, scoring, remediation, riesame e collegamento al registro fornitori. Questo consente di usare il questionario per alimentare NIS2, GDPR, DORA e ISO 27001.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo NIS2 →

La NIS2 non si gestisce con Excel.

Perimetro, controlli ACN, incidenti 24/72h, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica NIS2, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, DORA e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo NIS2 →

Errori comuni da evitare

Domande vaghe: “siete sicuri?” non misura nulla.
Assenza di evidenze: una risposta non dimostrata è debole.
Nessuna ponderazione: non tutte le mancanze hanno lo stesso impatto.
Questionari non aggiornati: vanno rivisti quando cambiano norme o servizi.
Nessun follow-up: le non conformità devono generare azioni.

FAQ

Il questionario NIS2 deve essere uguale per tutti i fornitori?

No. Deve essere proporzionato alla criticità del fornitore e al servizio erogato.

Conviene chiedere sempre certificazioni?

Sono utili ma non sempre disponibili. Vanno integrate con evidenze operative e contrattuali.

Le risposte del fornitore bastano?

No. Per fornitori critici servono evidenze e, in alcuni casi, verifiche periodiche.

GAPOFF può gestire questionari fornitori?

Sì, può supportare questionari, scoring, evidenze, remediation e riesame periodico nel modulo Vendor Risk.

Modulo GAPOFF NIS2

Scoping soggetti essenziali/importanti, 47 controlli ACN, gap analysis, remediation con owner e scadenze, portale fornitori, incidenti 24/72h, report audit-ready. Cross-mapping automatico con GDPR, ISO 27001 e DORA.

Vai al modulo NIS2 →

Fonti ufficiali e riferimenti utili

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, fiscale, organizzativa o tecnica personalizzata, né una valutazione definitiva di conformità NIS2. Per determinare obblighi, responsabilità, perimetro e misure applicabili alla singola organizzazione, è necessario svolgere una valutazione specifica con professionisti qualificati e consultare le fonti ufficiali aggiornate.

FAQ