Competenze esterne
Consigli utili

Cyber sicurezza: definire le forme di collaborazione con aziende esterne

Le PMI spesso si affidano a fornitori esterni di servizi informatici, ad esempio per mancanza di competenze specialistiche, ottimizzazione dei costi o perché desiderano concentrarsi sull’attività quotidiana e sulle loro competenze principali. Per proteggersi dai cyber attacchi, è importante suddividere correttamente le responsabilità tra la propria azienda e questi fornitori esterni, definendo chiaramente ruoli e compiti delle singole parti nell’ambito della sicurezza informatica.

L’essenziale in breve
Come fare?
E se dovesse comunque succedere qualcosa?
Possibile struttura di un capitolato
  • Tempo di lettura: 3 minuti
  • Ultimo aggiornamento: novembre 2025
  • 1

Perché è necessaria una chiara divisione dei compiti?

Grazie a definizioni chiare, tutti i soggetti coinvolti sanno esattamente chi è responsabile dei diversi aspetti della sicurezza informatica, senza differire le responsabilità ma distribuendole in modo efficiente. Tutto questo consente di svolgere le attività in modo coerente e rapido, riducendo i tempi di risposta in caso di attacco informatico.  

Una distribuzione chiara dei compiti contribuisce a migliorare anche la comunicazione tra azienda e fornitore esterno: lo scambio è più preciso e porta a una migliore comprensione dei requisiti e dei rischi.  

L’essenziale in breve

Se si collabora con un fornitore esterno di servizi informatici, è importante che ciascuna parte sappia quali sono i suoi compiti e le sue responsabilità, così da reagire in modo rapido ed efficiente in caso di cyber attacco ed evitare sovrapposizioni. Per disciplinare la collaborazione occorre fin dall’inizio:  

eseguire un inventario;

chiarire le responsabilità;

redigere un capitolato.

Mani su un laptop

Come affrontate i cyber rischi nella vostra impresa?

In soli 5 minuti, il test di autovalutazione consente di individuare le tipologie di comportamento prevalenti. Fornisce inoltre suggerimenti per proteggere maggiormente la propria azienda dagli attacchi informatici. 

Eseguire il test di autovalutazione

Come fare?

Inventario e analisi dei rischi  

Raccogliere tutte le informazioni rilevanti sulla propria infrastruttura informatica e sui processi associati, ad esempio tipologia di rete, hardware e software disponibili, direttive sulla sicurezza e diritti di accesso.   

Individuare (assieme al fornitore) settori critici, punti deboli e rischi. Valutare l’impatto di un cyber attacco sulla propria azienda.  

Audit sulla sicurezza 

Definizione di responsabilità chiare  

Nominare una persona responsabile della sicurezza informatica interna all’azienda.  

Per ogni compito (es. aggiornamenti di sicurezza, backup dei dati, incident response) individuare la figura responsabile, sia internamente che presso il fornitore esterno.  

Controllare periodicamente se le responsabilità e i compiti concordati nel capitolato (vedi sezione «Redazione di un capitolato») vengono rispettati. Aggiornarlo se necessario per adattarlo a nuove minacce e alla legislazione vigente.  

Chi è il responsabile interno della cyber sicurezza? 

Redazione di un capitolato  

Un capitolato è un documento che definisce i compiti e le responsabilità delle singole parti nell’ambito della sicurezza informatica. Deve essere letto e compreso da tutte le parti.  

Redigere un capitolato completo per il fornitore di servizi informatici, contenente tutti i compiti, le responsabilità, gli accordi sul livello di servizio e i percorsi di escalation.  

E se dovesse comunque succedere qualcosa?

La nostra cyber assicurazione per imprese offre un’assistenza completa in caso di problemi nel mondo virtuale. I vostri dati elettronici vengono carpiti in seguito a una fuga di dati? Siamo qui per voi.    

Cyber assicurazione per imprese

Possibile struttura di un capitolato

Un capitolato per una PMI svizzera di medie dimensioni che incarica un fornitore esterno di servizi informatici potrebbe includere i seguenti punti. 

  • Descrizione della PMI e del suo ramo di attività.  
  • Obiettivi e aspettative nei confronti del fornitore esterno. Ad esempio garantire un’infrastruttura efficiente e la sicurezza dei dati.  
  • Ambito e durata della collaborazione.  
  • Riepilogo dei servizi informatici che il fornitore esterno deve fornire (es. gestione della rete, amministrazione del sistema, backup dei dati).  
  • Accordi sul livello di servizio (SLA) con chiari indicatori di performance e tempi di risposta.  
  • Definizione delle responsabilità sia della PMI sia del fornitore di servizi per i diversi compiti e processi.  
  • Definizione dei percorsi di escalation in caso di malfunzionamenti o di incidenti di sicurezza. 
  • Direttive e misure di sicurezza attuali che il fornitore deve rispettare.  
  • Norme per la gestione e la protezione dei dati aziendali sensibili e delle informazioni sui clienti.  
  • Requisiti per la documentazione delle attività e degli incidenti informatici. Il fornitore deve ad esempio documentare tutte le attività svolte.  
  • Forma e frequenza dei rapporti sui servizi resi e sugli eventi che coinvolgono la sicurezza. 
  • Definizione dei canali, dei mezzi e della frequenza della comunicazione tra PMI e fornitore di servizi.  
  • Colloqui e incontri di coordinamento periodici per una stretta collaborazione.  
  • Definizione di misure in caso di emergenze informatiche e di incidenti critici, come ad esempio un guasto del sistema. Il piano di emergenza contiene ad esempio i dati di contatto del fornitore di servizi utilizzabili anche al di fuori dell’orario di lavoro.  
  • Piani di escalation nel caso in cui gli accordi contrattuali non possano essere rispettati.  
  • Durata del contratto, termini e condizioni di recesso.  
  • Regole per le modifiche e le proroghe del contratto.  
Ha trovato le informazioni che cercava?

Più informazioni

Aggiornamento di sicurezza
Guida

Gli aggiornamenti sono la base della cyber sicurezza

Mantenete sempre aggiornati i vostri software e sistemi ed eseguite tutti gli aggiornamenti disponibili. Una falla di sicurezza del software può causare ingenti danni se viene sfruttata da malintenzionati. 
Piano di emergenza
Guida

Piano d’emergenza per i cyber attacchi

Nel caso di un cyber attacco, guadagnate tempo prezioso ed evitate errori. Qui scoprirete in che modo la vostra impresa può prepararsi ai cyber attacchi. Inoltre vi forniamo consigli sulla cyber protezione preventiva.
Hardware sempre aggiornato
Guida

Hardware sempre aggiornato

L’hardware aggiornato offre funzioni di sicurezza migliori e consente di scaricare update periodici per eliminare i punti deboli noti. Ciò consente di ridurre al minimo la vulnerabilità nei confronti delle minacce più recenti.