NIS2 | SUPPLY CHAIN | RISK MANAGEMENT Supply chain e NIS2: come classificare i fornitori ICT critici

 

⏰ SCADENZA URGENTE: 31 MAGGIO 2026 La Determinazione ACN n. 127437/2026 impone ai soggetti NIS2 di comunicare sulla piattaforma ACN i propri fornitori rilevanti entro il 31 maggio 2026.

 

Supply chain e NIS2: come classificare i fornitori ICT critici

La NIS2 ha cambiato le regole del gioco per la sicurezza informatica: non è più sufficiente proteggere il proprio perimetro. La sicurezza cibernetica diventa un tema che coinvolge l’intera catena di approvvigionamento dell’impresa. Un fornitore vulnerabile è una porta aperta sulla tua infrastruttura.

Con la Determinazione ACN n. 127437 del 13 aprile 2026, l’Agenzia per la Cybersicurezza Nazionale ha reso operativo questo principio: le organizzazioni devono identificare, classificare e dichiarare i propri fornitori rilevanti sulla piattaforma ACN, integrando la supply chain nei processi di compliance NIS2.

In questo articolo ti guidiamo passo dopo passo nella classificazione dei fornitori ICT critici: chi classificare, come farlo, cosa comunicare ad ACN e quali misure adottare nei contratti.

Cosa dice la Determinazione ACN 127437/2026

La Determinazione ACN n. 127437/2026 rappresenta il vero salto qualitativo dell’impianto NIS2: sposta il focus dalla semplice registrazione dei soggetti a una raccolta strutturata di informazioni tecniche, organizzative e di rischio, con la formalizzazione della supply chain come parte integrante del perimetro di sicurezza.

Il provvedimento introduce un obbligo esplicito: le organizzazioni devono identificare e dichiarare i propri fornitori rilevanti NIS all’interno della piattaforma istituzionale ACN. Si tratta di una vera e propria mappatura delle dipendenze critiche, che deve essere aggiornata annualmente.

 

La rilevanza di un fornitore è determinata dal fatto che soddisfi almeno uno dei criteri definiti dalla Determinazione: fornitura riconducibile ad infrastrutture digitali, gestione TIC, o fornitura non fungibile per la continuità dei servizi NIS.

 

Le scadenze della supply chain NIS2

Il quadro delle scadenze per la gestione dei fornitori NIS2 è articolato su piu livelli temporali:

 

Scadenza	Adempimento Supply Chain
Entro 31 maggio 2026	Comunicazione fornitori rilevanti sulla piattaforma ACN (Determinazione 127437/2026)
1 maggio – 30 giugno 2026	Categorizzazione attività e servizi su piattaforma ACN (include dipendenze da fornitori ICT)
Entro 31 ottobre 2026	Implementazione misure di sicurezza della supply chain: clausole contrattuali, audit, monitoraggio
Annuale (dal 2027)	Aggiornamento annuale elenco fornitori rilevanti sulla piattaforma ACN

 

Guida pratica: 6 passi per classificare i fornitori NIS2

 

Passo 1 – Mappa tutti i contratti di fornitura attivi

Passo 2 – Valuta la fungibilità di ogni fornitura

Per ogni fornitore, rispondi alla domanda chiave: in caso di interruzione improvvisa del servizio, entro quanto tempo potresti trovare un’alternativa operativa? Questo determina il livello di dipendenza critica.

Passo 3 – Identifica i fornitori rilevanti ai fini NIS2

Secondo la Determinazione ACN 127437/2026, sono rilevanti i fornitori che soddisfano almeno uno di questi criteri:

• Fornitori di infrastrutture digitali (Allegato I, punto 8): cloud provider, data center, CDN, DNS, registrar
• Fornitori di servizi di gestione TIC (Allegato I, punto 9): managed service provider, NOC/SOC, outsourcing IT
• Fornitori non fungibili la cui interruzione comprometterebbe la continuità dei servizi NIS essenziali
• Fornitori con accesso privilegiato ai sistemi informativi dell’organizzazione

Attenzione: la rilevanza non riguarda solo i grandi fornitori. Anche un piccolo fornitore di software gestionale critico o un provider di connettività può essere ‘rilevante’ se la sua interruzione compromette i servizi NIS.

Passo 4 – Comunica i fornitori rilevanti sulla piattaforma ACN

Entro il 31 maggio 2026, accedi alla piattaforma NIS online e compila la sezione ‘Fornitori rilevanti’ con i dati di ciascun fornitore classificato come rilevante.

Passo 5 – Aggiorna i contratti con clausole di sicurezza NIS2

La semplice dichiarazione ACN non è sufficiente: entro ottobre 2026 devi integrare nei contratti con i fornitori rilevanti requisiti minimi di sicurezza.

ATTENZIONE: le clausole contrattuali non bastano da sole L’aggiunta di una clausola contrattuale non è di per sé sufficiente: il controllo va esercitato attraverso campionamenti, attestazioni, audit periodici e test di conformità. ACN verificherà l’effettività delle misure, non solo la loro presenza nei contratti.

Passo 6 – Implementa il monitoraggio continuo

La gestione della supply chain NIS2 non è un adempimento una tantum: è un processo continuo.

 

I 5 errori più comuni nella gestione della supply chain NIS2

• Limitarsi ai grandi fornitori: anche piccoli provider critici (es. software gestionale, connettività) possono essere ‘rilevanti’ ai fini NIS2. L’analisi deve essere esaustiva.
• Affidarsi solo alle clausole contrattuali: senza audit e verifiche periodiche, le clausole rimangono carta. ACN verificherà l’effettività delle misure.
• Non valutare la fungibilità: classificare un fornitore come ‘non critico’ solo perché è piccolo, senza verificare se esistono alternative, è un errore che può costare caro.
• Ignorare i fornitori dei fornitori: la NIS2 guarda all’intera catena. Se il tuo fornitore di cloud dipende a sua volta da un provider critico, devi conoscere questa dipendenza.
• Trattare la classificazione come adempimento una tantum: la supply chain cambia continuamente. L’elenco va aggiornato annualmente e ogni volta che entra un nuovo fornitore rilevante.

Nota speciale: settore finanziario e DORA

Per i soggetti del settore finanziario (banche, assicurazioni, fintech), la gestione della supply chain ICT si interseca con il Regolamento DORA (UE 2022/2554), applicabile dal 17 gennaio 2025, che prescrive requisiti specifici sulla gestione del rischio ICT di terze parti e sul registro dei fornitori critici.

In questi casi, Getsolution adotta un approccio integrato NIS2-DORA che evita duplicazioni e massimizza l’efficienza del processo di compliance.

 

Come Getsolution ti supporta

• Inventario e classificazione fornitori: costruiamo con te l’inventario completo e applichiamo il framework di classificazione per criticità e fungibilità.
• Comunicazione ACN: ti supportiamo nella compilazione della sezione fornitori rilevanti sulla piattaforma ACN entro il 31 maggio 2026.
• Revisione contrattuale: il nostro team legale e tecnico aggiorna i contratti con le clausole di sicurezza NIS2 richieste.
• Registro fornitori su Complidoo: la nostra piattaforma GRC gestisce in modo automatico il registro dei fornitori, il monitoraggio delle scadenze e la documentazione per gli audit.
• Audit supply chain: progettiamo e conduciamo verifiche periodiche sui fornitori critici, con reportistica pronta per eventuale verifica di ACN.

 

Hai gia mappato i tuoi fornitori ICT critici? Getsolution ti supporta nella classificazione dei fornitori NIS2, nella revisione contrattuale e nell’implementazione delle misure di sicurezza della supply chain. getsolution.com/contattaci  |  info@getsolution.com  |  0239661701