{"id":7037,"date":"2026-05-05T07:10:23","date_gmt":"2026-05-05T07:10:23","guid":{"rendered":"https:\/\/pixlex.it\/?p=7037"},"modified":"2026-05-05T07:38:08","modified_gmt":"2026-05-05T07:38:08","slug":"fornitori-rilevanti-nis2-elencazione-fornitori-rilevanti","status":"publish","type":"post","link":"https:\/\/pixlex.it\/en\/fornitori-rilevanti-nis2-elencazione-fornitori-rilevanti\/","title":{"rendered":"NIS2 e gestione dei fornitori. Attenzione alla governance della fornitura"},"content":{"rendered":"<div data-elementor-type=\"wp-post\" data-elementor-id=\"7037\" class=\"elementor elementor-7037\" data-elementor-post-type=\"post\">\n\t\t\t\t<div class=\"elementor-element elementor-element-9082608 e-flex e-con-boxed e-con e-parent\" data-id=\"9082608\" data-element_type=\"container\" data-settings=\"{&quot;content_width&quot;:&quot;boxed&quot;}\" data-core-v316-plus=\"true\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-a47d08c elementor-widget elementor-widget-image\" data-id=\"a47d08c\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.19.0 - 07-02-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t\t\t\t<img fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"731\" src=\"https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/fornitori-rilevanti-nis2-determinazione-acn-127437-2026-1024x731.jpg\" class=\"attachment-large size-large wp-image-7049\" alt=\"Schema operativo per individuare i fornitori rilevanti NIS2 e prepararne la comunicazione ad ACN\" srcset=\"https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/fornitori-rilevanti-nis2-determinazione-acn-127437-2026-1024x731.jpg 1024w, https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/fornitori-rilevanti-nis2-determinazione-acn-127437-2026-300x214.jpg 300w, https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/fornitori-rilevanti-nis2-determinazione-acn-127437-2026-768x548.jpg 768w, https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/fornitori-rilevanti-nis2-determinazione-acn-127437-2026-1536x1097.jpg 1536w, https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/fornitori-rilevanti-nis2-determinazione-acn-127437-2026-2048x1462.jpg 2048w, https:\/\/pixlex.it\/wp-content\/uploads\/2026\/05\/fornitori-rilevanti-nis2-determinazione-acn-127437-2026-18x12.jpg 18w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<div class=\"elementor-element elementor-element-8ffd04f e-flex e-con-boxed e-con e-parent\" data-id=\"8ffd04f\" data-element_type=\"container\" data-settings=\"{&quot;content_width&quot;:&quot;boxed&quot;}\" data-core-v316-plus=\"true\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-0d34443 elementor-widget elementor-widget-text-editor\" data-id=\"0d34443\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.19.0 - 07-02-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<p>La Direttiva NIS2 ha cambiato il modo in cui le aziende devono guardare alla cybersicurezza. Non si tratta pi\u00f9 soltanto di proteggere firewall, endpoint, server o applicazioni interne. Il vero tema \u00e8 pi\u00f9 ampio: capire da quali attivit\u00e0, servizi, sistemi e fornitori dipende la continuit\u00e0 operativa dell\u2019organizzazione.<\/p><p data-start=\"583\" data-end=\"1032\">In Italia, la NIS2 \u00e8 stata recepita con il D.Lgs. 138\/2024, pubblicato in Gazzetta Ufficiale il 1\u00b0 ottobre 2024 ed entrato in vigore il 16 ottobre 2024. Il decreto stabilisce misure per garantire un livello elevato di sicurezza informatica in ambito nazionale e disciplina, tra le altre cose, obblighi di governance, gestione del rischio, notifica degli incidenti e sicurezza della catena di approvvigionamento.<\/p><p data-start=\"1034\" data-end=\"1610\">Con la Determinazione ACN 127437\/2026, il tema diventa ancora pi\u00f9 operativo. La direttiva NIS2, infatti, prevede che i soggetti obbligati devono prestare particolare attenzione ai cosiddetti <strong data-start=\"1179\" data-end=\"1206\">fornitori rilevanti NIS<\/strong>, cio\u00e8 quei fornitori che possono incidere concretamente sulla sicurezza, sulla continuit\u00e0 o sulla capacit\u00e0 dell\u2019organizzazione di erogare attivit\u00e0 e servizi rientranti nel perimetro NIS. La Determinazione 127437\/2026 aggiorna le modalit\u00e0 di utilizzo e accesso alla piattaforma digitale ACN e introduce l\u2019articolo 18 dedicato all\u2019elencazione dei fornitori rilevanti.<\/p><h2 data-start=\"7072\" data-end=\"7522\">Cosa troverai nell&#8217;articolo<\/h2><ul><li><p>Perch\u00e9 la supply chain diventa centrale nella NIS2<\/p><\/li><li><p>Cosa introduce la Determinazione ACN 127437\/2026<\/p><\/li><li><p data-section-id=\"uv2pnu\" data-start=\"4452\" data-end=\"4487\">Chi \u00e8 un fornitore rilevante NIS<\/p><\/li><li>Attivit\u00e0, servizi e fornitori. Perch\u00e9 vanno letti insieme<\/li><li>Quali dati comunicare ad ACN per i fornitori rilevanti<\/li><li>Cosa fare concretamente. un percorso operativo\u00a0<\/li><li><p data-section-id=\"ymt825\" data-start=\"10666\" data-end=\"10717\">Incidenti e fornitori: attenzione alle procedure<\/p><\/li><li><p data-section-id=\"o4lvh\" data-start=\"11731\" data-end=\"11786\">Il ruolo degli organi di amministrazione e direzione<\/p><\/li><li>Errori da evitare<\/li><li>Azioni pratiche per partire<\/li><\/ul><h2 data-section-id=\"1owmdq4\" data-start=\"1612\" data-end=\"1665\">Perch\u00e9 la supply chain diventa centrale nella NIS2<\/h2><p data-start=\"1667\" data-end=\"2175\">L\u2019art. 24 del D.Lgs. 138\/2024 prevede che i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi per la sicurezza dei sistemi informativi e di rete. Tra queste misure rientrano espressamente le politiche di analisi dei rischi, la gestione degli incidenti, la continuit\u00e0 operativa, il backup, il disaster recovery, la gestione delle crisi e la sicurezza della catena di approvvigionamento.<\/p><p data-start=\"2177\" data-end=\"2640\">La norma non si limita a dire che occorre \u201ctenere sotto controllo\u201d i fornitori. Stabilisce anche che, nel valutare l\u2019adeguatezza delle misure relative alla supply chain, i soggetti NIS devono considerare le vulnerabilit\u00e0 specifiche di ciascun fornitore diretto o fornitore di servizi, nonch\u00e9 la qualit\u00e0 complessiva dei prodotti e delle pratiche di sicurezza informatica dei fornitori, incluse le procedure di sviluppo sicuro.<\/p><p data-start=\"2642\" data-end=\"3084\">Questo passaggio \u00e8 importante perch\u00e9 sposta la gestione dei fornitori da un piano meramente amministrativo o contrattuale a un piano di <strong data-start=\"2778\" data-end=\"2797\">risk management<\/strong>. Non basta pi\u00f9 sapere \u201cchi sono i fornitori\u201d. Occorre capire quali fornitori possono incidere su attivit\u00e0 e servizi critici, quali accessi hanno, quali sistemi supportano, quali dati trattano, quanto sono sostituibili e quale sarebbe l\u2019impatto di una loro interruzione o compromissione.<\/p><h2 data-section-id=\"1iuisw\" data-start=\"3086\" data-end=\"3137\">Cosa introduce la Determinazione ACN 127437\/2026<\/h2><p data-start=\"3139\" data-end=\"3386\">Secondo le fonti disponibili, la Determinazione ACN 127437\/2026 introduce una formalizzazione della nozione di \u201cfornitore rilevante\u201d e la trasforma in un obbligo dichiarativo all\u2019interno della piattaforma ACN.<\/p><p data-start=\"3388\" data-end=\"3767\">In particolare, l\u2019art. 18 della Determinazione prevede che, nell\u2019ambito dell\u2019aggiornamento annuale delle informazioni, i soggetti NIS elenchino i fornitori rilevanti indicando almeno: denominazione, codice fiscale, Paese della sede legale, codici CPV relativi alle forniture di cui fruisce il soggetto NIS e criterio di rilevanza utilizzato.<\/p><p data-start=\"3769\" data-end=\"4054\">La Determinazione 127437\/2026 sostituisce la precedente Determinazione ACN n. 379887 del 19 dicembre 2025 e amplia il perimetro delle informazioni che i soggetti NIS devono confermare e trasmettere attraverso i servizi disponibili sul Portale ACN.<\/p><p data-start=\"4056\" data-end=\"4450\">Dal punto di vista pratico, la novit\u00e0 \u00e8 significativa: l\u2019azienda non deve limitarsi a caricare un elenco generico di fornitori, ma deve spiegare perch\u00e9 un determinato fornitore \u00e8 rilevante. La rilevanza non dipende necessariamente dal valore economico del contratto, ma dall\u2019impatto che quel fornitore pu\u00f2 avere sulla capacit\u00e0 del soggetto NIS di erogare le proprie attivit\u00e0 o i propri servizi.<\/p><h2 data-section-id=\"uv2pnu\" data-start=\"4452\" data-end=\"4487\">Chi \u00e8 un fornitore rilevante NIS<\/h2><p data-start=\"4489\" data-end=\"5117\">Un fornitore rilevante NIS \u00e8 un soggetto che fornisce servizi o prodotti a un soggetto NIS e che soddisfa almeno uno dei criteri indicati dalla Determinazione. Le fonti disponibili individuano due criteri principali: la fornitura ICT riconducibile ad attivit\u00e0 o servizi indicati nell\u2019allegato I, punti 8 e 9, del decreto NIS; oppure una fornitura la cui interruzione o compromissione comporterebbe un impatto significativo sulla capacit\u00e0 del soggetto NIS di erogare le attivit\u00e0 o i servizi per cui rientra nel perimetro del decreto, anche per l\u2019assenza di alternative realmente disponibili.<\/p><p data-start=\"5119\" data-end=\"5552\">Questa impostazione impone una distinzione pratica. Non tutti i fornitori sono \u201crilevanti NIS\u201d. Lo possono essere, ad esempio, un cloud provider che ospita sistemi essenziali, un fornitore di connettivit\u00e0, un managed service provider, un managed security service provider, una software house che mantiene applicativi core, un data center, un fornitore di sistemi OT o un partner che ha accesso privilegiato agli ambienti informativi.<\/p><p data-start=\"5554\" data-end=\"5886\">Allo stesso tempo, il perimetro non \u00e8 solo ICT in senso stretto. Se un fornitore apparentemente non tecnologico \u00e8 indispensabile per l\u2019erogazione di un servizio NIS e non \u00e8 sostituibile in tempi compatibili con la continuit\u00e0 operativa, pu\u00f2 diventare rilevante. La chiave, quindi, \u00e8 l\u2019impatto operativo, non l\u2019etichetta merceologica.<\/p><h2 data-section-id=\"1icx1ak\" data-start=\"5888\" data-end=\"5948\">Attivit\u00e0, servizi e fornitori. Perch\u00e9 vanno letti insieme<\/h2><p data-start=\"5950\" data-end=\"6433\">La gestione dei fornitori rilevanti non pu\u00f2 essere separata dalla mappatura delle attivit\u00e0 e dei servizi. L\u2019art. 30 del D.Lgs. 138\/2024 prevede che, dal 1\u00b0 maggio al 30 giugno di ogni anno, i soggetti essenziali e importanti comunichino e aggiornino tramite la piattaforma digitale l\u2019elenco delle proprie attivit\u00e0 e dei propri servizi, con gli elementi necessari alla caratterizzazione e con l\u2019attribuzione della relativa categoria di rilevanza.<\/p><p data-start=\"6435\" data-end=\"6750\">Nel 2026, ACN ha pubblicato anche la Determinazione 155238\/2026 sulla categorizzazione delle attivit\u00e0 e dei servizi.\u00a0 Il modello prevede dieci macro-aree e quattro categorie di rilevanza: impatto minimo, impatto basso, impatto medio e impatto alto.<\/p><p data-start=\"6752\" data-end=\"6827\">Questo significa che l\u2019azienda dovrebbe costruire una relazione chiara tra:<\/p><ol data-start=\"6829\" data-end=\"7070\"><li data-section-id=\"c9l7wb\" data-start=\"6829\" data-end=\"6855\">attivit\u00e0 e servizi NIS;<\/li><li data-section-id=\"ie9qkm\" data-start=\"6856\" data-end=\"6907\">sistemi informativi e di rete che li supportano;<\/li><li data-section-id=\"nzaz0r\" data-start=\"6908\" data-end=\"6961\">fornitori che contribuiscono alla loro erogazione;<\/li><li data-section-id=\"11zxiih\" data-start=\"6962\" data-end=\"6988\">rischi cyber associati;<\/li><li data-section-id=\"1rdvbsm\" data-start=\"6989\" data-end=\"7033\">misure di sicurezza e controlli adottati;<\/li><li data-section-id=\"57163e\" data-start=\"7034\" data-end=\"7070\">evidenze documentali disponibili.<\/li><\/ol><p data-start=\"7072\" data-end=\"7522\">L\u2019approccio corretto non \u00e8 quindi \u201cpartire dal registro fornitori\u201d, ma partire dai servizi e dalle dipendenze operative. La stessa lettura operativa emersa dai chiarimenti ACN evidenzia che la NIS2 non dovrebbe essere gestita come una semplice checklist documentale, ma come un modello coerente in cui attivit\u00e0, servizi, sistemi informativi, fornitori, rischi, misure e responsabilit\u00e0 siano collegati tra loro.<\/p><h2 data-start=\"8253\" data-end=\"8311\">Quali dati comunicare ad ACN per i fornitori rilevanti<\/h2><p data-start=\"8336\" data-end=\"8704\">Per ciascun fornitore rilevante NIS, il soggetto dovrebbe predisporre un set informativo coerente con quanto richiesto dalla piattaforma ACN. Le fonti disponibili indicano, tra le informazioni richieste, denominazione, codice fiscale, Paese della sede legale, codici CPV relativi alle forniture e criterio di rilevanza utilizzato.<\/p><p data-start=\"8706\" data-end=\"9018\">Dal punto di vista operativo, \u00e8 consigliabile non limitarsi ai soli campi formali, ma mantenere internamente anche ulteriori evidenze: servizio supportato, sistemi coinvolti, livello di accesso, dati trattati, sostituibilit\u00e0, valutazione del rischio, misure contrattuali applicabili e data dell\u2019ultima revisione.<\/p><h2 data-section-id=\"ek9b3q\" data-start=\"7524\" data-end=\"7573\">Cosa fare concretamente. un percorso operativo<\/h2><p data-start=\"7575\" data-end=\"8013\">Il primo passaggio \u00e8 identificare le attivit\u00e0 e i servizi che rientrano nel perimetro NIS. Questa fase serve a capire cosa l\u2019organizzazione deve proteggere e quali funzioni sono davvero rilevanti per la continuit\u00e0 del servizio. L\u2019art. 30 del D.Lgs. 138\/2024 collega infatti l\u2019elencazione e la categorizzazione delle attivit\u00e0 e dei servizi al sistema delle misure di sicurezza previsto dall\u2019art. 24.<\/p><p data-start=\"8015\" data-end=\"8345\">Il secondo passaggio \u00e8 mappare le dipendenze. Per ciascuna attivit\u00e0 o servizio occorre individuare sistemi, applicazioni, infrastrutture, dati, interconnessioni, processi interni e fornitori coinvolti. In questa fase \u00e8 utile coinvolgere non solo IT e security, ma anche procurement, legal, compliance, operations e business owner.<\/p><p data-start=\"8347\" data-end=\"8714\">Il terzo passaggio \u00e8 qualificare i fornitori. Per ogni fornitore occorre verificare se ricorre uno dei criteri di rilevanza NIS: fornitura ICT rientrante nei criteri indicati oppure fornitura non fungibile la cui interruzione o compromissione pu\u00f2 avere un impatto significativo sull\u2019erogazione delle attivit\u00e0 o dei servizi NIS.<\/p><p data-start=\"8716\" data-end=\"9143\">Il quarto passaggio \u00e8 raccogliere le informazioni richieste per l\u2019aggiornamento annuale: dati identificativi, Paese della sede legale, identificativo fiscale, codici CPV e criterio di rilevanza adottato.\u00a0 Il punto critico non \u00e8 soltanto compilare l\u2019elenco, ma capire chi deve entrarci, con quale motivazione, con quale criterio e con quale livello di documentazione interna.<\/p><p data-start=\"9145\" data-end=\"9708\">Il quinto passaggio \u00e8 svolgere una valutazione del rischio dei fornitori rilevanti. Questa valutazione pu\u00f2 includere questionari di sicurezza, verifica di certificazioni, analisi dei controlli tecnici, valutazione degli accessi, esame delle procedure di gestione incidenti, verifica dei piani di continuit\u00e0 e, nei casi pi\u00f9 critici, audit o assessment dedicati. Le fonti operative richiamano l\u2019utilit\u00e0 di due diligence, audit periodici, analisi dei subfornitori, clausole contrattuali e documentazione delle attivit\u00e0 svolte.<\/p><p data-start=\"9710\" data-end=\"10192\">Il sesto passaggio \u00e8 aggiornare i contratti. Se un fornitore \u00e8 rilevante NIS, il contratto dovrebbe riflettere questa qualificazione. In pratica, possono essere necessari obblighi minimi di sicurezza, SLA coerenti con la continuit\u00e0 operativa, obblighi di notifica di incidenti o vulnerabilit\u00e0, diritto di audit, regole sul subappalto, obblighi di cooperazione in caso di incidente, requisiti di backup, disaster recovery e offboarding sicuro.<\/p><p data-start=\"10194\" data-end=\"10664\">Il settimo passaggio \u00e8 monitorare nel tempo. La NIS2 non richiede una fotografia statica, ma un processo. I fornitori cambiano, i contratti scadono, i servizi evolvono, gli accessi si modificano e le vulnerabilit\u00e0 emergono nel tempo. Il monitoraggio pu\u00f2 essere svolto con riesami periodici, aggiornamento dei questionari, controlli documentali, security rating, analisi della superficie esposta e verifica delle azioni correttive.<\/p><h2 data-section-id=\"ymt825\" data-start=\"10666\" data-end=\"10717\">Incidenti e fornitori: attenzione alle procedure<\/h2><p data-start=\"10719\" data-end=\"11240\">La gestione dei fornitori rilevanti deve essere coordinata anche con il processo di incident response. L\u2019art. 25 del D.Lgs. 138\/2024 prevede che i soggetti essenziali e importanti notifichino al CSIRT Italia gli incidenti significativi che impattano sulla fornitura dei loro servizi. La norma richiede una pre-notifica entro 24 ore dalla conoscenza dell\u2019incidente significativo, una notifica entro 72 ore e una relazione finale entro un mese dalla notifica, salvo casi particolari.<\/p><p data-start=\"11242\" data-end=\"11729\">Questo incide direttamente sui fornitori. Se un incidente presso un fornitore rilevante pu\u00f2 compromettere un\u2019attivit\u00e0 o un servizio NIS, l\u2019azienda deve ricevere informazioni tempestive, essere in grado di valutare l\u2019impatto e attivare il proprio processo di notifica, ove ne ricorrano i presupposti. Per questo le clausole contrattuali non dovrebbero limitarsi a formule generiche, ma prevedere tempi, canali, referenti, contenuti minimi della comunicazione e obblighi di collaborazione.<\/p><h2 data-section-id=\"o4lvh\" data-start=\"11731\" data-end=\"11786\">Il ruolo degli organi di amministrazione e direzione<\/h2><p data-start=\"11788\" data-end=\"12376\">La gestione dei fornitori rilevanti non \u00e8 solo un tema per IT o ufficio acquisti. L\u2019art. 23 del D.Lgs. 138\/2024 prevede che gli organi di amministrazione e direttivi approvino le modalit\u00e0 di implementazione delle misure di gestione del rischio, sovrintendano alla loro implementazione e siano responsabili delle violazioni previste dal decreto. Gli stessi organi sono tenuti a seguire una formazione in materia di sicurezza informatica e devono essere informati periodicamente, o tempestivamente quando opportuno, degli incidenti e delle notifiche.<\/p><p data-start=\"12378\" data-end=\"12686\">In pratica, il management deve essere in grado di rispondere ad alcune domande essenziali: quali servizi sono critici? Da quali fornitori dipendono? Quali fornitori sono rilevanti NIS? Quali controlli sono stati effettuati? Quali rischi residui sono stati accettati? Quali azioni correttive sono pianificate?<\/p><h2 data-section-id=\"1dfunex\" data-start=\"12688\" data-end=\"12708\">Errori da evitare<\/h2><p data-start=\"12710\" data-end=\"12912\">Il primo errore \u00e8 trattare l\u2019adempimento come una mera compilazione del portale. L\u2019elenco dei fornitori rilevanti deve essere il risultato di una valutazione documentata, non di una selezione intuitiva.<\/p><p data-start=\"12914\" data-end=\"13207\">Il secondo errore \u00e8 usare solo il valore economico del contratto come criterio di rilevanza. Un fornitore economicamente marginale pu\u00f2 essere operativo-critical se supporta un sistema essenziale, ha accessi privilegiati o non \u00e8 sostituibile in tempi compatibili con la continuit\u00e0 del servizio.<\/p><p data-start=\"13209\" data-end=\"13532\">Il terzo errore \u00e8 non coinvolgere il procurement. Le decisioni sui fornitori nascono spesso nella fase di selezione e contrattualizzazione. Se i requisiti NIS2 entrano solo dopo la firma del contratto, l\u2019azienda rischia di non avere strumenti adeguati per audit, notifiche, richieste di evidenze e gestione degli incidenti.<\/p><p data-start=\"13534\" data-end=\"13732\">Il quarto errore \u00e8 non collegare fornitori, attivit\u00e0 e servizi. Senza questo collegamento, l\u2019elenco rischia di essere debole: formalmente compilato, ma difficilmente difendibile in caso di verifica.<\/p><h2 data-section-id=\"1ygi01f\" data-start=\"13734\" data-end=\"13766\">azioni pratiche per partire<\/h2><p data-start=\"13768\" data-end=\"13861\">Per affrontare correttamente l\u2019aggiornamento sui fornitori rilevanti NIS, l\u2019azienda dovrebbe:<\/p><ol data-start=\"13863\" data-end=\"14523\"><li data-section-id=\"1xrmcjj\" data-start=\"13863\" data-end=\"13921\">verificare le attivit\u00e0 e i servizi NIS gi\u00e0 individuati;<\/li><li data-section-id=\"1uuwxed\" data-start=\"13922\" data-end=\"13983\">mappare i sistemi informativi e di rete che li supportano;<\/li><li data-section-id=\"1mr911d\" data-start=\"13984\" data-end=\"14038\">associare a ciascun servizio i fornitori coinvolti;<\/li><li data-section-id=\"1ym7h0t\" data-start=\"14039\" data-end=\"14103\">distinguere tra fornitori ordinari e fornitori rilevanti NIS;<\/li><li data-section-id=\"x8phyh\" data-start=\"14104\" data-end=\"14153\">documentare il criterio di rilevanza adottato;<\/li><li data-section-id=\"1kyu6yg\" data-start=\"14154\" data-end=\"14258\">raccogliere denominazione, codice fiscale, Paese della sede legale, codici CPV e criterio utilizzato;<\/li><li data-section-id=\"1ty8je5\" data-start=\"14259\" data-end=\"14309\">aggiornare i contratti dei fornitori rilevanti;<\/li><li data-section-id=\"7o05az\" data-start=\"14310\" data-end=\"14373\">definire procedure di escalation e notifica degli incidenti;<\/li><li data-section-id=\"1qvzeev\" data-start=\"14374\" data-end=\"14427\">prevedere audit, assessment o controlli periodici;<\/li><li data-section-id=\"cg2fww\" data-start=\"14428\" data-end=\"14523\">portare gli esiti al management per approvazione, monitoraggio e allocazione delle risorse.<\/li><\/ol><h2 data-section-id=\"7oo8ar\" data-start=\"14525\" data-end=\"14539\">Conclusion<\/h2><p data-start=\"14541\" data-end=\"14790\">La Determinazione ACN 127437\/2026 rende ancora pi\u00f9 evidente un punto: la NIS2 non pu\u00f2 essere gestita come un adempimento isolato. La sicurezza dei fornitori \u00e8 parte della governance aziendale, della continuit\u00e0 operativa e della gestione del rischio.<\/p><p data-start=\"14792\" data-end=\"15159\">Il registro dei fornitori rilevanti non \u00e8 solo un elenco da caricare sulla piattaforma ACN. \u00c8 una rappresentazione delle dipendenze critiche dell\u2019organizzazione. Per questo deve essere coerente con la mappatura delle attivit\u00e0 e dei servizi, con la categorizzazione del rischio, con i contratti, con le procedure di incident response e con le decisioni del management.<\/p><p data-start=\"15161\" data-end=\"15402\">In altre parole, la domanda non \u00e8 pi\u00f9 soltanto: \u201cabbiamo un elenco dei fornitori?\u201d.<br data-start=\"15244\" data-end=\"15247\" \/>La domanda corretta \u00e8: <strong data-start=\"15270\" data-end=\"15402\">sappiamo quali fornitori possono compromettere la continuit\u00e0 dei nostri servizi e possiamo dimostrare come li stiamo governando?<\/strong><\/p><p data-start=\"15161\" data-end=\"15402\"><strong data-start=\"15270\" data-end=\"15402\">Se hai necessit\u00e0 di avere un parere, un&#8217;analisi della tua situazione o assistenza per conformarti alla NIS2, puoi contattare il nostro team di cybersecurity.<\/strong><\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"<p>La Direttiva NIS2 ha cambiato il modo in cui le aziende devono guardare alla cybersicurezza. Non si tratta pi\u00f9 soltanto di proteggere firewall, endpoint, server o applicazioni interne. Il vero tema \u00e8 pi\u00f9 ampio: capire da quali attivit\u00e0, servizi, sistemi e fornitori dipende la continuit\u00e0 operativa dell\u2019organizzazione. In Italia, la NIS2 \u00e8 stata recepita con [&hellip;]<\/p>","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[80],"tags":[],"class_list":["post-7037","post","type-post","status-publish","format-standard","hentry","category-cyb"],"_links":{"self":[{"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/posts\/7037","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/comments?post=7037"}],"version-history":[{"count":5,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/posts\/7037\/revisions"}],"predecessor-version":[{"id":7052,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/posts\/7037\/revisions\/7052"}],"wp:attachment":[{"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/media?parent=7037"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/categories?post=7037"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pixlex.it\/en\/wp-json\/wp\/v2\/tags?post=7037"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}