Sempre più di frequente, le normative in materia di trattamento dati, cybersecurity e cyber risk introducono specifiche prescrizioni in ordine alle condizioni per poter ricorrere a servizi esternalizzati, dettando i contenuti minimi che devono caratterizzare gli accordi con i fornitori, anche al fine di mitigare e contenere i rischi connessi al ricorso a terze parti nello svolgimento di processi ed attività propri dell’azienda. Considerata, infatti, la quantità e l’importanza delle informazioni alle quali i fornitori di servizi esternalizzati possono avere accesso nello svolgimento di servizi esternalizzati, nonché i rischi per la continuità operativa che taluni di questi servizi implicano, è indubbio che una corretta gestione dei rapporti di fornitura rappresenti un tassello fondamentale non solo della compliance aziendale, ma anche per le politiche di sicurezza delle informazioni adottate a tutela dell’azienda. Sotto questo profilo, la valutazione in sede precontrattuale delle terze parti, la contrattualizzazione di accordi che siano adeguatamente robusti e tutelanti e il monitoraggio costante successivo alla stipulazione dell’accordo e il governo del rapporto costituiscono una prassi virtuosa idonea a garantire non solo la mitigazione del rischio, ma anche a gettare le basi per una proficua e duratura relazione con i propri fornitori.