• italian
  • lawyer
  • tech
  • crypto
  • nerd
Loaded

NIS2 e gestione dei fornitori. Attenzione alla governance della fornitura

Schema operativo per individuare i fornitori rilevanti NIS2 e prepararne la comunicazione ad ACN

La Direttiva NIS2 ha cambiato il modo in cui le aziende devono guardare alla cybersicurezza. Non si tratta più soltanto di proteggere firewall, endpoint, server o applicazioni interne. Il vero tema è più ampio: capire da quali attività, servizi, sistemi e fornitori dipende la continuità operativa dell’organizzazione.

In Italia, la NIS2 è stata recepita con il D.Lgs. 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024. Il decreto stabilisce misure per garantire un livello elevato di sicurezza informatica in ambito nazionale e disciplina, tra le altre cose, obblighi di governance, gestione del rischio, notifica degli incidenti e sicurezza della catena di approvvigionamento.

Con la Determinazione ACN 127437/2026, il tema diventa ancora più operativo. La direttiva NIS2, infatti, prevede che i soggetti obbligati devono prestare particolare attenzione ai cosiddetti fornitori rilevanti NIS, cioè quei fornitori che possono incidere concretamente sulla sicurezza, sulla continuità o sulla capacità dell’organizzazione di erogare attività e servizi rientranti nel perimetro NIS. La Determinazione 127437/2026 aggiorna le modalità di utilizzo e accesso alla piattaforma digitale ACN e introduce l’articolo 18 dedicato all’elencazione dei fornitori rilevanti.

Cosa troverai nell’articolo

  • Perché la supply chain diventa centrale nella NIS2

  • Cosa introduce la Determinazione ACN 127437/2026

  • Chi è un fornitore rilevante NIS

  • Attività, servizi e fornitori. Perché vanno letti insieme
  • Quali dati comunicare ad ACN per i fornitori rilevanti
  • Cosa fare concretamente. un percorso operativo 

  • Incidenti e fornitori: attenzione alle procedure

  • Il ruolo degli organi di amministrazione e direzione

  • Errori da evitare
  • Azioni pratiche per partire

Perché la supply chain diventa centrale nella NIS2

L’art. 24 del D.Lgs. 138/2024 prevede che i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi per la sicurezza dei sistemi informativi e di rete. Tra queste misure rientrano espressamente le politiche di analisi dei rischi, la gestione degli incidenti, la continuità operativa, il backup, il disaster recovery, la gestione delle crisi e la sicurezza della catena di approvvigionamento.

La norma non si limita a dire che occorre “tenere sotto controllo” i fornitori. Stabilisce anche che, nel valutare l’adeguatezza delle misure relative alla supply chain, i soggetti NIS devono considerare le vulnerabilità specifiche di ciascun fornitore diretto o fornitore di servizi, nonché la qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei fornitori, incluse le procedure di sviluppo sicuro.

Questo passaggio è importante perché sposta la gestione dei fornitori da un piano meramente amministrativo o contrattuale a un piano di risk management. Non basta più sapere “chi sono i fornitori”. Occorre capire quali fornitori possono incidere su attività e servizi critici, quali accessi hanno, quali sistemi supportano, quali dati trattano, quanto sono sostituibili e quale sarebbe l’impatto di una loro interruzione o compromissione.

Cosa introduce la Determinazione ACN 127437/2026

Secondo le fonti disponibili, la Determinazione ACN 127437/2026 introduce una formalizzazione della nozione di “fornitore rilevante” e la trasforma in un obbligo dichiarativo all’interno della piattaforma ACN.

In particolare, l’art. 18 della Determinazione prevede che, nell’ambito dell’aggiornamento annuale delle informazioni, i soggetti NIS elenchino i fornitori rilevanti indicando almeno: denominazione, codice fiscale, Paese della sede legale, codici CPV relativi alle forniture di cui fruisce il soggetto NIS e criterio di rilevanza utilizzato.

La Determinazione 127437/2026 sostituisce la precedente Determinazione ACN n. 379887 del 19 dicembre 2025 e amplia il perimetro delle informazioni che i soggetti NIS devono confermare e trasmettere attraverso i servizi disponibili sul Portale ACN.

Dal punto di vista pratico, la novità è significativa: l’azienda non deve limitarsi a caricare un elenco generico di fornitori, ma deve spiegare perché un determinato fornitore è rilevante. La rilevanza non dipende necessariamente dal valore economico del contratto, ma dall’impatto che quel fornitore può avere sulla capacità del soggetto NIS di erogare le proprie attività o i propri servizi.

Chi è un fornitore rilevante NIS

Un fornitore rilevante NIS è un soggetto che fornisce servizi o prodotti a un soggetto NIS e che soddisfa almeno uno dei criteri indicati dalla Determinazione. Le fonti disponibili individuano due criteri principali: la fornitura ICT riconducibile ad attività o servizi indicati nell’allegato I, punti 8 e 9, del decreto NIS; oppure una fornitura la cui interruzione o compromissione comporterebbe un impatto significativo sulla capacità del soggetto NIS di erogare le attività o i servizi per cui rientra nel perimetro del decreto, anche per l’assenza di alternative realmente disponibili.

Questa impostazione impone una distinzione pratica. Non tutti i fornitori sono “rilevanti NIS”. Lo possono essere, ad esempio, un cloud provider che ospita sistemi essenziali, un fornitore di connettività, un managed service provider, un managed security service provider, una software house che mantiene applicativi core, un data center, un fornitore di sistemi OT o un partner che ha accesso privilegiato agli ambienti informativi.

Allo stesso tempo, il perimetro non è solo ICT in senso stretto. Se un fornitore apparentemente non tecnologico è indispensabile per l’erogazione di un servizio NIS e non è sostituibile in tempi compatibili con la continuità operativa, può diventare rilevante. La chiave, quindi, è l’impatto operativo, non l’etichetta merceologica.

Attività, servizi e fornitori. Perché vanno letti insieme

La gestione dei fornitori rilevanti non può essere separata dalla mappatura delle attività e dei servizi. L’art. 30 del D.Lgs. 138/2024 prevede che, dal 1° maggio al 30 giugno di ogni anno, i soggetti essenziali e importanti comunichino e aggiornino tramite la piattaforma digitale l’elenco delle proprie attività e dei propri servizi, con gli elementi necessari alla caratterizzazione e con l’attribuzione della relativa categoria di rilevanza.

Nel 2026, ACN ha pubblicato anche la Determinazione 155238/2026 sulla categorizzazione delle attività e dei servizi.  Il modello prevede dieci macro-aree e quattro categorie di rilevanza: impatto minimo, impatto basso, impatto medio e impatto alto.

Questo significa che l’azienda dovrebbe costruire una relazione chiara tra:

  1. attività e servizi NIS;
  2. sistemi informativi e di rete che li supportano;
  3. fornitori che contribuiscono alla loro erogazione;
  4. rischi cyber associati;
  5. misure di sicurezza e controlli adottati;
  6. evidenze documentali disponibili.

L’approccio corretto non è quindi “partire dal registro fornitori”, ma partire dai servizi e dalle dipendenze operative. La stessa lettura operativa emersa dai chiarimenti ACN evidenzia che la NIS2 non dovrebbe essere gestita come una semplice checklist documentale, ma come un modello coerente in cui attività, servizi, sistemi informativi, fornitori, rischi, misure e responsabilità siano collegati tra loro.

Quali dati comunicare ad ACN per i fornitori rilevanti

Per ciascun fornitore rilevante NIS, il soggetto dovrebbe predisporre un set informativo coerente con quanto richiesto dalla piattaforma ACN. Le fonti disponibili indicano, tra le informazioni richieste, denominazione, codice fiscale, Paese della sede legale, codici CPV relativi alle forniture e criterio di rilevanza utilizzato.

Dal punto di vista operativo, è consigliabile non limitarsi ai soli campi formali, ma mantenere internamente anche ulteriori evidenze: servizio supportato, sistemi coinvolti, livello di accesso, dati trattati, sostituibilità, valutazione del rischio, misure contrattuali applicabili e data dell’ultima revisione.

Cosa fare concretamente. un percorso operativo

Il primo passaggio è identificare le attività e i servizi che rientrano nel perimetro NIS. Questa fase serve a capire cosa l’organizzazione deve proteggere e quali funzioni sono davvero rilevanti per la continuità del servizio. L’art. 30 del D.Lgs. 138/2024 collega infatti l’elencazione e la categorizzazione delle attività e dei servizi al sistema delle misure di sicurezza previsto dall’art. 24.

Il secondo passaggio è mappare le dipendenze. Per ciascuna attività o servizio occorre individuare sistemi, applicazioni, infrastrutture, dati, interconnessioni, processi interni e fornitori coinvolti. In questa fase è utile coinvolgere non solo IT e security, ma anche procurement, legal, compliance, operations e business owner.

Il terzo passaggio è qualificare i fornitori. Per ogni fornitore occorre verificare se ricorre uno dei criteri di rilevanza NIS: fornitura ICT rientrante nei criteri indicati oppure fornitura non fungibile la cui interruzione o compromissione può avere un impatto significativo sull’erogazione delle attività o dei servizi NIS.

Il quarto passaggio è raccogliere le informazioni richieste per l’aggiornamento annuale: dati identificativi, Paese della sede legale, identificativo fiscale, codici CPV e criterio di rilevanza adottato.  Il punto critico non è soltanto compilare l’elenco, ma capire chi deve entrarci, con quale motivazione, con quale criterio e con quale livello di documentazione interna.

Il quinto passaggio è svolgere una valutazione del rischio dei fornitori rilevanti. Questa valutazione può includere questionari di sicurezza, verifica di certificazioni, analisi dei controlli tecnici, valutazione degli accessi, esame delle procedure di gestione incidenti, verifica dei piani di continuità e, nei casi più critici, audit o assessment dedicati. Le fonti operative richiamano l’utilità di due diligence, audit periodici, analisi dei subfornitori, clausole contrattuali e documentazione delle attività svolte.

Il sesto passaggio è aggiornare i contratti. Se un fornitore è rilevante NIS, il contratto dovrebbe riflettere questa qualificazione. In pratica, possono essere necessari obblighi minimi di sicurezza, SLA coerenti con la continuità operativa, obblighi di notifica di incidenti o vulnerabilità, diritto di audit, regole sul subappalto, obblighi di cooperazione in caso di incidente, requisiti di backup, disaster recovery e offboarding sicuro.

Il settimo passaggio è monitorare nel tempo. La NIS2 non richiede una fotografia statica, ma un processo. I fornitori cambiano, i contratti scadono, i servizi evolvono, gli accessi si modificano e le vulnerabilità emergono nel tempo. Il monitoraggio può essere svolto con riesami periodici, aggiornamento dei questionari, controlli documentali, security rating, analisi della superficie esposta e verifica delle azioni correttive.

Incidenti e fornitori: attenzione alle procedure

La gestione dei fornitori rilevanti deve essere coordinata anche con il processo di incident response. L’art. 25 del D.Lgs. 138/2024 prevede che i soggetti essenziali e importanti notifichino al CSIRT Italia gli incidenti significativi che impattano sulla fornitura dei loro servizi. La norma richiede una pre-notifica entro 24 ore dalla conoscenza dell’incidente significativo, una notifica entro 72 ore e una relazione finale entro un mese dalla notifica, salvo casi particolari.

Questo incide direttamente sui fornitori. Se un incidente presso un fornitore rilevante può compromettere un’attività o un servizio NIS, l’azienda deve ricevere informazioni tempestive, essere in grado di valutare l’impatto e attivare il proprio processo di notifica, ove ne ricorrano i presupposti. Per questo le clausole contrattuali non dovrebbero limitarsi a formule generiche, ma prevedere tempi, canali, referenti, contenuti minimi della comunicazione e obblighi di collaborazione.

Il ruolo degli organi di amministrazione e direzione

La gestione dei fornitori rilevanti non è solo un tema per IT o ufficio acquisti. L’art. 23 del D.Lgs. 138/2024 prevede che gli organi di amministrazione e direttivi approvino le modalità di implementazione delle misure di gestione del rischio, sovrintendano alla loro implementazione e siano responsabili delle violazioni previste dal decreto. Gli stessi organi sono tenuti a seguire una formazione in materia di sicurezza informatica e devono essere informati periodicamente, o tempestivamente quando opportuno, degli incidenti e delle notifiche.

In pratica, il management deve essere in grado di rispondere ad alcune domande essenziali: quali servizi sono critici? Da quali fornitori dipendono? Quali fornitori sono rilevanti NIS? Quali controlli sono stati effettuati? Quali rischi residui sono stati accettati? Quali azioni correttive sono pianificate?

Errori da evitare

Il primo errore è trattare l’adempimento come una mera compilazione del portale. L’elenco dei fornitori rilevanti deve essere il risultato di una valutazione documentata, non di una selezione intuitiva.

Il secondo errore è usare solo il valore economico del contratto come criterio di rilevanza. Un fornitore economicamente marginale può essere operativo-critical se supporta un sistema essenziale, ha accessi privilegiati o non è sostituibile in tempi compatibili con la continuità del servizio.

Il terzo errore è non coinvolgere il procurement. Le decisioni sui fornitori nascono spesso nella fase di selezione e contrattualizzazione. Se i requisiti NIS2 entrano solo dopo la firma del contratto, l’azienda rischia di non avere strumenti adeguati per audit, notifiche, richieste di evidenze e gestione degli incidenti.

Il quarto errore è non collegare fornitori, attività e servizi. Senza questo collegamento, l’elenco rischia di essere debole: formalmente compilato, ma difficilmente difendibile in caso di verifica.

azioni pratiche per partire

Per affrontare correttamente l’aggiornamento sui fornitori rilevanti NIS, l’azienda dovrebbe:

  1. verificare le attività e i servizi NIS già individuati;
  2. mappare i sistemi informativi e di rete che li supportano;
  3. associare a ciascun servizio i fornitori coinvolti;
  4. distinguere tra fornitori ordinari e fornitori rilevanti NIS;
  5. documentare il criterio di rilevanza adottato;
  6. raccogliere denominazione, codice fiscale, Paese della sede legale, codici CPV e criterio utilizzato;
  7. aggiornare i contratti dei fornitori rilevanti;
  8. definire procedure di escalation e notifica degli incidenti;
  9. prevedere audit, assessment o controlli periodici;
  10. portare gli esiti al management per approvazione, monitoraggio e allocazione delle risorse.

Conclusion

La Determinazione ACN 127437/2026 rende ancora più evidente un punto: la NIS2 non può essere gestita come un adempimento isolato. La sicurezza dei fornitori è parte della governance aziendale, della continuità operativa e della gestione del rischio.

Il registro dei fornitori rilevanti non è solo un elenco da caricare sulla piattaforma ACN. È una rappresentazione delle dipendenze critiche dell’organizzazione. Per questo deve essere coerente con la mappatura delle attività e dei servizi, con la categorizzazione del rischio, con i contratti, con le procedure di incident response e con le decisioni del management.

In altre parole, la domanda non è più soltanto: “abbiamo un elenco dei fornitori?”.
La domanda corretta è: sappiamo quali fornitori possono compromettere la continuità dei nostri servizi e possiamo dimostrare come li stiamo governando?

Se hai necessità di avere un parere, un’analisi della tua situazione o assistenza per conformarti alla NIS2, puoi contattare il nostro team di cybersecurity.

Prev
DPIA e FRIA nei sistemi di IA: cosa cambia e come integrarle
Next
Meaning of transparency and explainability of an AI system and legal consequences
  • No Comments
Comments are closed.