Questionario per fornitori NIS 2

Il nome registrato della vostra azienda, così come appare nel registro delle imprese. Esempio: Müller GmbH o Acme Software Ltd.

Base giuridica: ENISA TIG §5.2

L'indirizzo commerciale registrato della vostra azienda. È sufficiente un solo indirizzo, anche se avete più sedi.

Base giuridica: ENISA TIG §5.2

Il paese in cui la vostra azienda è legalmente stabilita. Due lettere, ad esempio DE per la Germania.

Base giuridica: ENISA TIG §5.2

Il vostro dominio principale, di solito l'URL del vostro sito web. Esempio: acmesoftware.com.

Base giuridica: ENISA TIG §5.2(b)

Una riga che riassume ciò che offrite. I clienti la vedono nel vostro profilo fornitore. Esempio: ERP per la produzione delle PMI.

Base giuridica: ENISA TIG §5.2(b)

Due o tre frasi sulla vostra azienda e su ciò che fate. Questo testo appare nel vostro profilo fornitore. Argomentazione commerciale, posizionamento di sicurezza o entrambi.

Base giuridica: ENISA TIG §5.2(b)

Un paragrafo su ciò che la vostra azienda fornisce tecnicamente ai clienti. Prodotti, moduli o servizi concreti. Evitate il linguaggio puramente di marketing.

Base giuridica: ENISA TIG §5.2(b) + §5.1.4 TIPS

Tutti i paesi in cui i dati dei vostri clienti vengono archiviati o trattati. Separati da virgole, codici paese ISO. Esempio: DE, NL, US. Se trattate interamente all'interno dell'UE, è sufficiente elencare i paesi dell'UE.

Base giuridica: ENISA TIG §5.1.4 TIPS

La persona che i clienti contattano in caso di incidente di sicurezza. Nelle aziende più piccole spesso l'amministratore delegato o il responsabile IT. È sufficiente una sola persona.

Base giuridica: CIR 2024/2690 §5.1.4(d)

Indirizzo e-mail che i clienti utilizzano per segnalare un incidente di sicurezza. Idealmente una lista di distribuzione come security@example.com che raggiunge più persone.

Base giuridica: CIR 2024/2690 §5.1.4(d)

Numero di telefono per le segnalazioni urgenti di incidenti. Se non disponete di reperibilità 24/7, indicate il vostro orario lavorativo tra parentesi.

Base giuridica: CIR 2024/2690 §5.1.4(d)

Ore tra il rilevamento di un incidente e la notifica al cliente, al più tardi. Autovalutazione realistica, non un valore ideale. Valori comuni: 24, 48 o 72 ore.

Base giuridica: NIS2 Art. 23

Se la vostra azienda è essa stessa soggetta a NIS 2 e registrata presso il BSI, inserite qui l'ID di registrazione. Facoltativo. Consente ai clienti di vedere a colpo d'occhio che soddisfate lo stesso obbligo di un'entità regolamentata.

Base giuridica: ENISA TIG §5.1.2

Eseguite software per i clienti sulla vostra infrastruttura e lo erogate tramite internet. Selezionate più caselle se offrite più modelli.

Base giuridica: ENISA TIG §5.2(b)

Fornite software che i clienti installano ed eseguono sulla propria infrastruttura.

Base giuridica: ENISA TIG §5.2(b)

La vostra prestazione principale è il lavoro umano: consulenza, implementazione, formazione, audit o personalizzazione.

Base giuridica: ENISA TIG §5.2(b)

Gestite per il cliente parti della sua infrastruttura IT, con personale proprio. Tipico dei modelli MSP e MSSP.

Base giuridica: ENISA TIG §5.2(b)

I vostri prodotti o servizi trattano i dati dei clienti tramite un modello di IA o ML? Sono inclusi i modelli esterni richiamati tramite API, ad esempio OpenAI o Anthropic.

Base giuridica: NIS2 Art. 21(2)(d)

Selezionare sì se si dispone di una politica scritta di sicurezza delle informazioni con ruoli assegnati, revisioni periodiche e gestione documentata degli incidenti. Una certificazione ISO 27001 o BSI Grundschutz implica sì.

Base giuridica: CIR 2024/2690 §5.1.2(a)

Selezionare sì se la vostra azienda possiede attualmente una certificazione ISO 27001, BSI Grundschutz, SOC 2 Type II o equivalente. Caricate il certificato nella scheda Certificazioni.

Base giuridica: CIR 2024/2690 §5.1.2(b)

Selezionare sì se ogni dipendente riceve almeno una formazione annuale di sensibilizzazione alla sicurezza delle informazioni. L'e-learning è valido; le simulazioni di phishing si aggiungono.

Base giuridica: CIR 2024/2690 §5.1.4(b)

Selezionare sì se si effettua una verifica dei precedenti per il personale con accesso ai dati dei clienti. Livello comune: estratto del casellario giudiziale o documento equivalente al momento dell'assunzione.

Base giuridica: CIR 2024/2690 §5.1.4(c)

Selezionare sì se si dispone di un processo scritto per la gestione delle vulnerabilità di sicurezza: rilevare, valutare, dare priorità, applicare patch o mitigare. Il monitoraggio delle CVE e il patching guidato da SLA sono lo standard.

Base giuridica: CIR 2024/2690 §5.1.4(f)

Selezionare sì se si concede ai clienti un diritto di audit in loco oppure si forniscono relazioni di audit sostitutive (ad esempio SOC 2, ISAE 3402).

Base giuridica: CIR 2024/2690 §5.1.4(e)

Selezionare sì se per erogare il servizio si ricorre ad altre aziende che hanno accesso ai dati o all'infrastruttura dei clienti. Esempi tipici: AWS, Azure, Cloudflare, Stripe.

Base giuridica: CIR 2024/2690 §5.1.4(g)

Elencare ogni subincaricato con nome, luogo di trattamento e attività svolta per voi. È sufficiente una tabella o un elenco puntato. Aggiornatela ogni volta che ne aggiungete o rimuovete uno.

Base giuridica: CIR 2024/2690 §5.1.4(g)

Selezionare sì se ci si impegna contrattualmente a restituire o distruggere i dati dei clienti al termine del contratto. Prassi comune: export e restituzione, quindi cancellazione entro 30 giorni.

Base giuridica: CIR 2024/2690 §5.1.4(h)

Selezionare sì se si dispone di un accordo standard sul trattamento dei dati ai sensi dell'articolo 28 del GDPR che i clienti possono firmare. Richiesto non appena si trattano dati personali.

Base giuridica: GDPR Art. 28

Selezionare sì se le vostre politiche di sicurezza vengono riviste almeno una volta all'anno e aggiornate secondo necessità. Una nota scritta nel documento è una prova sufficiente.

Base giuridica: NIS2 Art. 21(2)(a) / ENISA TIG §1.1

Selezionare sì se si dispone di un piano scritto per la gestione degli incidenti di sicurezza: chi decide, chi comunica, chi documenta. Almeno un'esercitazione tabletop all'anno è una buona prassi.

Base giuridica: NIS2 Art. 21(2)(b) / ENISA TIG §3

Selezionare sì se si dispone di un piano che spiega come mantenere l'operatività o ripristinare rapidamente durante un'interruzione: sistemi critici, soluzioni di ripiego, obiettivi RTO e RPO.

Base giuridica: NIS2 Art. 21(2)(c) / ENISA TIG §4

Selezionare sì se avete messo per iscritto quale crittografia utilizzate e dove: dati in transito (TLS 1.2+), dati a riposo (AES-256), gestione delle chiavi, algoritmi di hashing.

Base giuridica: NIS2 Art. 21(2)(h) / ENISA TIG §9

Selezionare sì se gli amministratori e gli account privilegiati dispongono di controlli aggiuntivi: accesso separato, MFA, registrazione delle sessioni o accesso just-in-time.

Base giuridica: NIS2 Art. 21(2)(i) / ENISA TIG §11.3

Selezionare sì se ogni account amministrativo o privilegiato interno deve utilizzare l'MFA. I token hardware o le app di autenticazione sono validi; gli SMS no.

Base giuridica: NIS2 Art. 21(2)(j)

Selezionare sì se si mantiene un elenco aggiornato di ogni sistema informativo utilizzato per erogare il servizio: server, database, strumenti SaaS, endpoint. È sufficiente un foglio di calcolo.

Base giuridica: NIS2 Art. 21(2)(i) / ENISA TIG §12.4

Selezionare sì se si commissiona un penetration test esterno almeno ogni uno o due anni. Per le aziende più piccole, una scansione esterna delle vulnerabilità come passo minimo è accettabile.

Base giuridica: NIS2 Art. 21(2)(e) / ENISA TIG §6.5

Selezionare sì se, su richiesta del cliente, divulgate apertamente se e quali incidenti di sicurezza notificabili la vostra azienda ha avuto in passato. Finestra comune: gli ultimi tre-cinque anni.

Base giuridica: ENISA TIG §5.1.2

Selezionare sì se ci si impegna ad assistere i clienti senza costi aggiuntivi quando un incidente è causato dal proprio prodotto o servizio. Se invece si concorda in anticipo una tariffa giornaliera predefinita, selezionare comunque sì.

Base giuridica: ENISA TIG §5.1.4 TIPS

Selezionare sì se ci si impegna a cooperare pienamente con le autorità competenti come BSI, ENISA o i CSIRT nazionali durante le ispezioni, gli audit e la gestione degli incidenti. Standard per i fornitori seri.

Base giuridica: ENISA TIG §5.1.4 TIPS

Selezionare sì se ci si impegna a notificare ai clienti qualsiasi modifica sostanziale che incida sulla capacità di erogare il servizio: acquisizioni, cambi di subincaricato, importanti cambiamenti tecnici.

Base giuridica: ENISA TIG §5.1.4 TIPS

Selezionare sì se si informano i clienti in anticipo prima che cambi il luogo di trattamento dei loro dati. Importante per la protezione dei dati e per una supervisione della catena di approvvigionamento conforme al GDPR.

Base giuridica: ENISA TIG §5.1.4 TIPS

Selezionare sì se si dispone di una strategia di uscita scritta: quanto dura un passaggio di consegne ordinato, quali dati e conoscenze vengono trasferiti, a cosa ci si impegna durante la transizione.

Base giuridica: ENISA TIG §5.1.4 TIPS

Facoltativo. Selezionare sì se è possibile fornire un SBOM-for-AI secondo gli elementi minimi del G7 (maggio 2026). Documenta metadati, modelli, dati di addestramento, infrastruttura, proprietà di sicurezza, KPI e comportamento del sistema. Standard volontario.

Base giuridica: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2

URL pubblico o condiviso del vostro documento SBOM-for-AI. Può essere un PDF, un file JSON o una pagina di progetto.

Base giuridica: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2

La regione cloud in cui sono ospitati i dati dei clienti. Esempio: AWS eu-central-1, Azure West Europe. Indicare la regione principale; le regioni secondarie o di backup possono essere aggiunte separate da virgole.

Base giuridica: ENISA TIG §5.2

Selezionare sì se i dati dei clienti su disco sono cifrati a riposo con AES-256 o equivalente. È valida la cifratura del disco gestita dal cloud (AWS EBS, Azure Disk Encryption).

Base giuridica: NIS2 Art. 21(2)(h) / ENISA TIG §9

Selezionare sì se tutti gli endpoint rivolti ai clienti impongono TLS 1.2 o superiore. TLS 1.3 è da preferire. Il semplice HTTP deve reindirizzare a HTTPS.

Base giuridica: NIS2 Art. 21(2)(h) / ENISA TIG §9

Selezionare sì se ogni account amministrativo interno sulla piattaforma SaaS deve utilizzare l'MFA. Stesso standard della vostra policy amministrativa interna.

Base giuridica: NIS2 Art. 21(2)(j) / ENISA TIG §11.3

Numero massimo di ore in cui il servizio può essere non disponibile prima del ripristino. Valore SLA realistico, non un valore ideale. Valori SaaS comuni: 4, 8 o 24 ore.

Base giuridica: NIS2 Art. 21(2)(c) / ENISA TIG §4

Selezionare sì se si fornisce una distinta base del software (SBOM) con ogni release. CycloneDX o SPDX sono i formati standard. Obbligatorio ai sensi del Cyber Resilience Act per i prodotti immessi sul mercato dell'UE a partire da dicembre 2027.

Base giuridica: CRA / NIS2 Art. 21(2)(d)

Selezionare sì se ogni artefatto di release reca una firma crittografica verificabile dai clienti. Le chiavi di firma sono documentate e soggette a rotazione. Sono valide sia le firme Sigstore sia quelle PGP.

Base giuridica: NIS2 Art. 21(2)(e) / ENISA TIG §6.5

Selezionare sì se si dispone di una modalità documentata pubblicamente per segnalare le vulnerabilità di sicurezza. È sufficiente un file security.txt sul proprio dominio (secondo RFC 9116) o un indirizzo e-mail dedicato come security@example.com.

Base giuridica: NIS2 Art. 21(2)(e) / ENISA TIG §3

Ore tra la divulgazione pubblica di una CVE e una release con patch per le vulnerabilità critiche (CVSS 9.0+). Impegno realistico, non un valore ideale. Valori comuni: 24, 48 o 72 ore.

Base giuridica: CIR 2024/2690 §5.1.4(f)

Descrivere come vengono valutati i consulenti per i ruoli sensibili. Esempio: estratto del casellario giudiziale per tutti i consulenti, oltre a verifiche delle referenze per gli incarichi che coinvolgono dati classificati.

Base giuridica: NIS2 Art. 21(2)(i) / CIR 2024/2690 §5.1.4(c)

Selezionare sì se ogni consulente firma un accordo di riservatezza prima di essere assegnato al lavoro presso il cliente. Come parte del contratto di lavoro oppure come NDA separato.

Base giuridica: NIS2 Art. 21(2)(i) / ENISA TIG §11.4

Selezionare sì se si dispone di un codice di condotta scritto per i consulenti che operano presso la sede del cliente: gestione dei badge, obbligo di blocco dello schermo, comportamento da tenere se i dati lasciano la sede.

Base giuridica: NIS2 Art. 21(2)(i) / ENISA TIG §11.3

Selezionare sì se si utilizza uno strumento di gestione degli accessi privilegiati per le sessioni remote amministrative sui sistemi dei clienti. Esempi: CyberArk, BeyondTrust, Teleport. Una configurazione jump-host con registrazione dei log è valida.

Base giuridica: NIS2 Art. 21(2)(i) / ENISA TIG §11.3

Selezionare sì se le sessioni amministrative sui sistemi dei clienti vengono registrate e conservate per la verifica. Conservazione comune: da 90 giorni a 1 anno. Necessaria per la ricostruzione forense dopo gli incidenti.

Base giuridica: NIS2 Art. 21(2)(f) / ENISA TIG §10

Selezionare sì se si gestisce una reperibilità 24/7 che risponde agli incidenti di sicurezza sui sistemi dei clienti. Il supporto limitato all'orario lavorativo non è sufficiente.

Base giuridica: NIS2 Art. 21(2)(b) / ENISA TIG §3