Il percorso di adeguamento alla Direttiva NIS2 in Italia ha segnato una tappa fondamentale. Il 13 aprile 2026, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato una determinazione che definisce, tra l’altro, obblighi precisi per i soggetti coinvolti, con un focus particolare sulla sicurezza della catena di approvvigionamento.
Se la vostra azienda rientra nel perimetro NIS, è il momento di analizzare con attenzione i vostri fornitori commerciali: la gestione del rischio non riguarda più solo le mura aziendali, ma l’intero ecosistema di fornitori.
Chi sono i “Fornitori Rilevanti NIS2”?
Non tutti i fornitori devono essere inseriti nel portale ACN. La normativa introduce il concetto di Fornitore Rilevante NIS, ovvero quel partner che soddisfa almeno uno dei seguenti criteri:
- Fornitura ICT (Tecnologie dell’Informazione e Comunicazione):
- Servizi riconducibili a infrastrutture digitali o gestione di servizi TIC. Esempi tipici includono:
- Servizi Cloud e Data Center.
- Fornitori di connettività internet e DNS.
- Servizi gestiti di sicurezza (MSSP).
- Fornitura non fungibile: Quando l’interruzione del servizio fornito comporterebbe un impatto significativo sulla vostra capacità di operare, specialmente se non esistono alternative valide sul mercato in tempi brevi.
- Servizi riconducibili a infrastrutture digitali o gestione di servizi TIC. Esempi tipici includono:
In termini semplici: se un fornitore è essenziale per l’erogazione del vostro servizio critico o gestisce la vostra infrastruttura tecnologica, è molto probabile che sia “rilevante”.
Gli adempimenti pratici: Cosa fare ora?
Secondo la Determinazione ACN n. 127437/2026, durante l’aggiornamento annuale delle informazioni, i soggetti NIS devono censire i propri fornitori rilevanti sul portale dedicato. Quali dati raccogliere?
Per ogni fornitore rilevante, dovrete comunicare:
- Dati anagrafici: Denominazione sociale, Codice Fiscale e Paese della sede legale.
- Codici CPV (Common Procurement Vocabulary): Questi codici identificano l’oggetto della fornitura. ACN fornisce strumenti per recuperarli partendo dal codice ATECO del fornitore.
- Criterio di rilevanza: Bisogna specificare perché quel fornitore è stato scelto (es. perché fornisce servizi ICT o perché è insostituibile).
È necessario condurre tempestivamente un’analisi di impatto sulle attività aziendali, chiamata BIA (Business Impact Analysis) così da non farsi trovare impreparati alla scadenza dell’aggiornamento sul portale ACN.
Perché è importante?
L’obiettivo di questa “elencazione” non è meramente burocratico. Serve a garantire che la sicurezza informatica sia solida lungo tutta la Supply Chain. Identificare i fornitori critici permette di mitigare i rischi derivanti da attacchi informatici che potrebbero colpire i vostri partner e, di riflesso, la vostra continuità operativa.
La compliance alla NIS2 è un processo in continua evoluzione.
Rimanere aggiornati sulle determinazioni dell’ACN è fondamentale per evitare sanzioni e, soprattutto, per proteggere il valore della vostra azienda.
Il nostro team di esperti in compliance normativa e cybersecurity è pronto a supportarti in questa delicata fase di analisi e censimento. Non aspettare le scadenze dell’aggiornamento annuale: contattaci oggi per una consulenza personalizzata e metti in sicurezza la tua azienda e la sua catena di fornitura.
