Nel contesto dell’attività di aggiornamento delle informazioni richiesta ai soggetti essenziali e importanti, ACN ha recentemente introdotto – attraverso la Determinazione n. 127437/2026 e le relative FAQ – uno specifico obbligo di comunicazione dei fornitori di servizi rilevanti.
Tale obbligo si inserisce nel contesto più ampio dell’art. 3, comma 9 del Decreto Legislativo n. 138/2024 (il “Decreto NIS“) il quale prevede che la normativa NIS2 si applichi, indipendentemente dalle dimensioni, ai soggetti che siano qualificati come critici “quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.”. La ratio della disposizione è quella di garantire che fornitori di servizi – inclusi quelli di minori dimensioni – che, pur non rientrando autonomamente nelle categorie tradizionali, adottino misure di sicurezza adeguate, assicurando così la resilienza complessiva della catena di approvvigionamento.
Proprio in questa ottica ACN ha chiarito quanto segue, sollevando diverse criticità soprattutto con riferimento alla tipologia di fornitori che devono essere indicati ad ACN.
- Quali fornitori rilevano
La Determina n. 127437/2026 (e la relativa FAQ FRN2) specifica che solo i fornitori di servizi rilevanti devono essere oggetto di comunicazione. Tuttavia, la rilevanza di detti fornitori è determinata dal fatto che il fornitore soddisfi almeno uno dei seguenti criteri:
a. la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, ovvero i fornitori di infrastrutture digitali e fornitori di servizi di gestione dei servizi TIC;
b. l’interruzione o la compromissione della fornitura comportano un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS (fornitura non fungibile).
L’applicazione alternativa dei punti che precedono solleva criticità concrete. Il primo criterio sembrerebbe di natura esclusivamente formale: sono rilevanti i fornitori che rientrano in una determinata tipologia di servizio (fornitura ICT) indipendentemente dall’impatto effettivo. Il secondo criterio è invece di natura opposta e prevede che sia svolta una valutazione caso per caso, che richiede un’analisi approfondita dei sistemi e dei processi del soggetto NIS, su tutte le aree rilevanti ai fini del Decreto NIS.
Sul punto, tra l’altro, la FAQ FRN4 fornisce infatti alcuni esempi delle tipologie di fornitori che rientrerebbero nell’ambito di comunicazione a partire fornitori di servizi di cloud computing – rispetto ai quali l’interpretazione di ACN è sempre stata estensiva.
Risulta evidente quindi che la platea dei fornitori potenzialmente rilevanti per NIS2 sia particolarmente ampia. Ciò può comportare rilevanti impatti, anche operativi, per il soggetto NIS.
- Contenuto e continuità dell’obbligo informativo
Le FAQ FRN1–FRN4 precisano che l’aggiornamento deve includere informazioni strutturate sui fornitori rilevanti, secondo quanto richiesto dal Portale. Le informazioni dovranno essere complete e coerenti e dovranno riflettere la reale configurazione della catena di fornitura: non è sufficiente un’indicazione generica o incompleta. Oltre ai dati identificativi del fornitore, il soggetto NIS dovrà indicare quale criterio è stato utilizzato per identificarne la rilevanza.
Inoltre, chiarisce la Determinazione (art. 19), non si tratta di un adempimento per così dire statico, ma rientra nel processo di aggiornamento continuo previsto per le informazioni che i soggetti NIS comunicano all’autorità. In particolare, anche con riferimento all’elenco dei fornitori rilevanti NIS, il soggetto dovrà assicurarsi di informare tempestivamente l’Agenzia in merito a ogni variazione di tale elenco, comunicando l’aggiornamento tramite il Portale.
Non è quindi sufficiente attendere una specifica finestra temporale, ma occorre assicurare un monitoraggio costante dei fornitori, per assicurare che ogni modifica rilevante ai fini NIS sia prontamente comunicata.
Possiamo quindi evidenziare due dati rilevanti.
Da un lato, l’obbligo informativo sembra spingere sempre più verso un modello di compliance “always-on” in cui il perimetro rilevante del soggetto NIS (la sicurezza dei sistemi, la catena di fornitura, i servizi erogati, le dipendenze rilevanti, le vulnerabilità riscontrate, ecc.) deve essere oggetto di controllo e presidio continuativi. L’intento sembra essere quello di permettere al soggetto NIS di sviluppare una “autocoscienza” cyber, strutturale e costante.
Dall’altro lato, l’adempimento in parola rivela la funzione di monitoraggio sistemico dell’Agenzia: raccogliere una mappa aggiornata delle dipendenze critiche dei soggetti NIS consente ad ACN di esercitare una supervisione effettiva sul livello di resilienza della catena di approvvigionamento a livello nazionale, identificando concentrazioni di rischio e dipendenze trasversali tra settori.
- Implicazioni operative e possibili dubbi interpretativi
La Determinazione e i chiarimenti forniti da ACN con le nuove FAQ, comportano alcune conseguenze pratiche immediate che non sembrano potersi esaurire nella mera compilazione del Portale.
Un primo punto che ciascun soggetto NIS dovrà affrontare è la classificazione dei fornitori. In particolare, sarà necessario dotarsi di processi e procedure per mappare correttamente i fornitori e identificarne la rilevanza. Se il criterio formale (fornitura ICT) può non comportare (all’apparenza) particolari impegni organizzativi, il criterio di non fungibilità, al contrario, impone una valutazione di dipendenza operativa, contrattuale e sistemica che può coinvolgere diverse funzioni. Sul punto, ci si potrebbe domandare se, in ottica di accountability, il soggetto NIS possa adottare delle soglie di rilevanza interne, purché coerenti con i criteri della Determinazione, per perimetrare più puntualmente i fornitori che, astrattamente, potrebbero rientrare nella categoria di quelli rilevanti.
Un secondo punto è certamente quello del coordinamento interno. Nelle organizzazioni, soprattutto quelle di maggiori dimensioni, è possibile che le diverse funzioni (procurement, IT, compliance, legale, ecc.) non condividano un processo organizzativo e di valutazione integrato. Ciò non solo in termini strutturali, ma anche di linguaggio, di criteri utilizzati e di soglie di rilevanza. L’aggiornamento continuo richiesto da ACN presuppone invece un flusso informativo che attraversi i diversi silos organizzativi e permetta una comunicazione tempestiva e lineare. hi presidia quel flusso verso il Punto di Contatto (responsabile di inserire le informazioni nel Portale), con quale frequenza e secondo quali criteri è una scelta organizzativa che il soggetto NIS dovrà quindi compiere.
Un ultimo tema è quello contrattuale. Se un fornitore è qualificato come rilevante, il soggetto NIS ha interesse a ricevere notifica tempestiva di qualsiasi variazione che incida sulla fornitura: cambi di subappaltatori critici, modifiche all’infrastruttura, incidenti significativi. Le clausole contrattuali standard raramente prevedono questo livello di trasparenza. Vale quindi la pena verificare se i contratti in essere con i fornitori rilevanti contengono già obblighi di notifica adeguati o se richiedono un aggiornamento.
Conclusione
La Determinazione 127437/2026 e le connesse FAQ FRN1–FRN4 segnano un passaggio importante nella gestione della supply chain in ambito NIS2: l’aggiornamento delle informazioni sui fornitori diventa un obbligo selettivo, sostanziale e continuo, fondato su una valutazione di rilevanza e integrato nei processi aziendali.
In questo contesto, la sfida per le organizzazioni non è tanto “comunicare un elenco di fornitori”, quanto dimostrare di avere una visione aggiornata e consapevole delle proprie dipendenze critiche.
Autori: Giulia Zappaterra ed Edoardo Bardelli
About the Author: Giulia Zappaterra
