comprova
Prodotto · Fornitori

DPA, criticità, questionari di filiera.

Anagrafica fornitori con criticità, scadenze DPA monitorate, questionari di filiera inviabili al sub-fornitore con link firmato, scoring automatico, dashboard consolidato. Per il sub-fornitore che riceve audit di filiera e per il cliente NIS2 che deve farli.

§01 · Cosa chiede Art. 21.dsicurezza supply chain

La sicurezza dipende dai tuoi fornitori, non solo da te.

L'Art. 21.d della NIS2 prescrive misure relative alla "sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi fornitori o prestatori di servizi diretti". È uno dei controlli che genera più audit di filiera nel mercato italiano.

Tradotto: chi è soggetto NIS2 deve dimostrare di sapere quali fornitori critici ha, di aver firmato con loro le clausole giuste, di averli classificati per criticità, e — quando serve — di averli verificati con audit o questionari. Per il sub-fornitore non NIS2-diretto, lo stesso si rovescia: deve essere pronto a rispondere a quei questionari quando arrivano.

Il modulo Fornitori di Comprova lavora in entrambe le direzioni: ti aiuta a gestire i tuoi fornitori e a rispondere ai questionari dei tuoi clienti, dalla stessa anagrafica.

§02 · Due casi d'usoricevi e invii audit di filiera

Lo stesso modulo, per chi riceve e per chi manda.

Il movimento dell'audit di filiera è bidirezionale: la tua azienda lo riceve da clienti più grandi e lo manda ai propri sub-fornitori. Comprova gestisce le due viste come due lati della stessa anagrafica.

Sei un sub-fornitore

Un cliente importante NIS2 ti manda un questionario di filiera (formato Excel di 80 domande, scadenza 30 giorni) chiedendo evidenze del tuo livello di compliance. Tradizionalmente, lavorano due persone per due settimane: rispondi a tutto, alleghi documenti, mandi PEC.

Con Comprova: Comprova ti permette di importare il questionario, mappare le risposte alle evidenze già nel Vault, generare il dossier con link firmato per il cliente. Tempo tipico: 2-4 ore se il Vault è già popolato.

Sei un cliente importante NIS2

Hai 30-100 sub-fornitori critici per la tua operatività e l'Art. 21.d ti chiede di verificare il loro livello di compliance. Inviare 30 questionari, riceverne risposte di formato diverso, normalizzarle e archiviarle è un lavoro a tempo pieno.

Con Comprova: Comprova ti permette di gestire il flusso al contrario: invii il questionario standard ai tuoi fornitori, loro rispondono in piattaforma o via link, tu vedi il quadro consolidato (matrice di compliance per fornitore × area NIS2). Quando un fornitore è in rosso, sai dove guardare.

§03 · Il flusso completodall'anagrafica all'EvidenceFile

Sei passi dall'apertura della scheda fornitore al dossier d'audit.

La gestione della filiera non è un'attività una tantum: è un ciclo che si ripete con frequenza diversa in base alla criticità. Ogni passaggio lascia traccia nell'audit trail e produce EvidenceFile derivati per la copertura Art. 21.d.

  1. Step 1

    Anagrafica del fornitore

    Apri la scheda fornitore: ragione sociale, P.IVA, paese, tipo di servizio fornito, persona di contatto. Niente di rivoluzionario — è il punto di partenza per costruirci sopra le scadenze e i questionari.

  2. Step 2

    Classificazione di criticità

    Per ogni fornitore: criticità (basso / medio / alto / critico) basata su impatto sulla tua operatività, accesso a dati sensibili, sostituibilità. La classificazione determina la frequenza di review del rapporto e l'attenzione in audit.

  3. Step 3

    DPA e clausole NIS2

    Carichi il DPA firmato (o lo segnali come 'da firmare' con scadenza). Il sistema tiene traccia della data di firma e della scadenza naturale (tipicamente 2 anni). Notifica al responsabile prima della scadenza, perché un DPA scaduto è un'evidenza che salta in audit.

  4. Step 4

    Questionari di filiera

    Generi un questionario di filiera dalla libreria (versione corta NIS2, versione estesa NIS2+ISO, custom) e lo invii al fornitore via link a tempo. Lui risponde in piattaforma — può anche caricare le sue evidenze in supporto. Tu vedi il dashboard di compliance dei fornitori.

  5. Step 5

    Scoring e flag

    Le risposte sono scorate automaticamente sui criteri NIS2. Fornitori con score basso vanno in flag — l'auditor del tuo prossimo audit di vigilanza vorrà capire come stai gestendo quel rapporto. La piattaforma propone azioni: richiesta di chiarimento, richiesta di evidenze aggiuntive, audit di seconda parte.

  6. Step 6

    Archiviazione come EvidenceFile

    Ogni questionario chiuso, ogni DPA firmato, ogni audit di filiera concluso entra come EvidenceFile mappato all'Art. 21.d. Il Cruscotto mostra la copertura del controllo supply chain in tempo reale: percentuale fornitori critici sotto contratto NIS2-aware.

§04 · Audit di seconda partefounder Lead Auditor BSI

Quando un questionario non basta.

A volte un fornitore critico è troppo grande, troppo complesso o troppo strategico per essere verificato solo via questionario scritto. Allora si va a fare un audit di filiera vero — quello che in gergo si chiama audit di seconda parte: il cliente (tu) verifica il fornitore.

Il founder Comprova è Lead Auditor ISO 27001 BSI Group e svolge audit di seconda parte sotto il brand Comprova come servizio aggiuntivo (prezzo su preventivo, decisione vault del 04/05/2026). Lavora dentro la piattaforma — usa il Vault del fornitore se disponibile, genera l'Audit Pack del fornitore, restituisce il rapporto firmato.

Resta esplicito il confine: la certificazione di terza parte (ISO 27001, NIS2 riconosciuta) la firma un ente accreditato (DNV, BSI, RINA) — quello non lo facciamo. La piattaforma supporta entrambi i tipi di audit, l'auditor è uno o l'altro a seconda del contesto.

§05 · Domande frequenti

Quello che ci chiedono di solito.

Cosa è un audit di seconda parte e cosa c'entra Comprova?
L'audit di seconda parte è quando un cliente verifica un fornitore della propria filiera (es. una multinazionale che controlla un sub-fornitore). Diverso dall'audit di prima parte (il cliente verifica se stesso) e dalla certificazione di terza parte (un ente accreditato come BSI certifica il cliente). Il founder Comprova è Lead Auditor ISO 27001 BSI Group e può svolgere audit di filiera sotto il brand Comprova come servizio aggiuntivo, con prezzo su preventivo. La piattaforma supporta il flusso (questionario, risposte, evidence sharing) anche quando l'audit lo fa un altro Lead Auditor di tua scelta.
I questionari sono standard di mercato?
Sì. La libreria contiene versioni allineate ai questionari di filiera diffusi in Italia (NIS2-related, ISO 27001, GDPR-related), elaborate dal founder Lead Auditor. Puoi anche importare un questionario custom che il tuo cliente ti ha mandato (Excel, Word) e mapparlo alle tue evidenze del Vault.
Il fornitore deve avere un account Comprova per rispondere?
No. Riceve un link firmato a tempo che apre un'interfaccia minimale per rispondere alle domande e caricare evidenze. È un'esperienza ridotta a quello che gli serve: nessun onboarding, nessuna registrazione lunga, niente conti da pagare. Lui risponde, le risposte arrivano nel tuo dashboard, fine.
Posso esportare il quadro fornitori per condividerlo internamente?
Sì. Export Excel della matrice fornitori × controlli NIS2, con scoring colorato. Tipicamente i clienti la usano per le riunioni del comitato sicurezza o per allegare al rapporto direzione annuale. L'export è firmato con hash di integrità ed entra nell'audit trail.
Cosa succede se un fornitore non risponde al questionario?
Reminder automatici via email a date prestabilite (default: T+7, T+14, T+21). Se a fine scadenza non ha risposto, il sistema lo segnala come 'non rispondente' nel dashboard. La gestione del rapporto da quel punto è una decisione tua: notifica formale, escalation, sostituzione. Comprova traccia, non fa tu il commerciale.
Posso usare il modulo Fornitori senza fare audit di filiera attivi?
Sì, è il caso più comune. La maggior parte dei clienti usa il modulo soltanto come anagrafica + scadenze DPA + storico questionari ricevuti. L'invio di questionari attivi ai propri fornitori parte tipicamente dopo i primi 6-12 mesi, quando il Vault è popolato e l'organizzazione ha capacità di gestire il flusso. Niente è obbligatorio in nessuno dei due versi.

La filiera è dove l'Art. 21.d ti tocca per primo.

Il modulo Fornitori è incluso nella Piattaforma completa. Per le PMI in pressione di filiera, è spesso il primo modulo che porta valore concreto: rispondi al questionario del cliente importante e il dossier è già pronto.

Chiedi un preventivoTorna agli otto moduli