C’è un passaggio della nuova fase NIS2 che, a mio avviso, merita molta più attenzione di quella che sta ricevendo: riguarda i fornitori rilevanti. Non l’elenco fornitori in senso amministrativo, non la solita lista di partner e outsourcer da tenere in ordine per audit o contratti, ma il tema vero: da chi dipende davvero la capacità di un soggetto NIS di continuare a erogare le proprie attività e i propri servizi.
L’ottavo tavolo tecnico ha avuto proprio questo merito: spostare il discorso da un piano ancora teorico a uno molto più concreto. Quando il confronto tecnico arriva a toccare la catena di approvvigionamento, le dipendenze critiche e la loro rilevanza rispetto ai servizi NIS, significa che il tema è uscito dalla zona grigia delle interpretazioni e sta entrando in quella, ben più scomoda, degli obblighi operativi.
La Determinazione ACN 127437/2026 si colloca esattamente in questo passaggio, richiamando il Tavolo per l’attuazione della disciplina NIS del 9 aprile 2026 e spiegando chiaramente che l’esigenza è quella di acquisire informazioni sui fornitori rilevanti per individuare gli elementi sistemici della catena di approvvigionamento, anche digitale, dei soggetti essenziali e importanti.
Indice degli argomenti
Nuova determinazione ACN e fornitori rilevanti NIS
Il punto di caduta di questo ragionamento è l’articolo 18 della Determinazione. Ed è uno di quei casi in cui un articolo breve pesa molto più di quanto sembri.
Perché lì ACN stabilisce che, nell’ambito dell’aggiornamento annuale delle informazioni, i soggetti NIS devono elencare i fornitori rilevanti indicando la denominazione, il codice fiscale, il Paese della sede legale, i codici CPV relativi alle forniture di cui fruiscono e il criterio di rilevanza utilizzato.
Formalmente sembra una richiesta ordinata, quasi neutra. In realtà obbliga le organizzazioni a fare un’operazione che molti, fino a ieri, hanno rinviato: distinguere tra chi fornisce qualcosa e chi, se si ferma, produce un impatto reale sulla continuità del servizio.
Ed è proprio qui che il tema smette di essere burocratico e diventa serio. Perché quando ti viene chiesto di dichiarare un fornitore rilevante, non stai semplicemente compilando un campo. Stai dicendo ad ACN, e prima ancora a te stesso, che quella fornitura ha un peso concreto sulla tua capacità di stare in piedi. In altre parole, non basta più avere una percezione vaga della propria supply chain.
Bisogna sapere dove sono le dipendenze che contano.
FAQ FRN.3: non basta indicare il nome, bisogna spiegare perché conta
La FRN.3, da questo punto di vista, è molto utile perché chiarisce in modo netto che cosa deve essere comunicato e su quale base. Ma il suo valore non sta solo nell’elenco delle informazioni richieste. Sta soprattutto nel fatto che lega quei dati a un criterio di rilevanza preciso.
Non si tratta di una classificazione lasciata alla sensibilità soggettiva dell’azienda.
La Determinazione definisce infatti i fornitori rilevanti NIS come quei soggetti che assicurano una fornitura che soddisfa almeno uno di due criteri: o si tratta di una fornitura ICT riconducibile alle attività o ai servizi richiamati dall’allegato I, punti 8 e 9, del decreto NIS, oppure l’interruzione o la compromissione della fornitura comporta un impatto significativo sulla capacità del soggetto NIS di erogare le attività o i servizi per cui rientra nel perimetro del decreto, anche perché mancano alternative realmente disponibili.
Tradotto in termini meno notarili, la domanda vera che ACN pone ai soggetti NIS è molto semplice: quali sono i fornitori che, se saltano, ti creano un problema serio? È una domanda molto diversa da quella che per anni molte organizzazioni si sono fatte, cioè quali siano i fornitori importanti sul piano economico o contrattuale.
Qui la logica non è quella della spesa, né quella dell’importanza commerciale. Qui la logica è quella dell’impatto operativo.
Il nodo dei codici CPV
La FRN.3 aggiunge poi un altro elemento che merita attenzione, e cioè il richiamo ai codici CPV. A prima vista potrebbe sembrare una classica complicazione burocratica.
In realtà, è una scelta molto sensata, perché impedisce di descrivere le forniture in modo generico o creativo.
Quando ACN chiede il CPV, costringe l’organizzazione a classificare con precisione la natura della fornitura. Ed è proprio questa precisione che cambia la qualità del ragionamento. Dire “servizi cloud” non basta più.
Bisogna capire se si tratta di servizi Internet, elaborazione dati, servizi informatici, gestione connessa all’informatica o altro ancora. E questa non è una finezza lessicale: è il modo con cui si evita di appiattire servizi molto diversi sotto etichette troppo comode.
FRN.4: il perimetro non è solo ICT
Se la FRN.3 mette ordine, la FRN.4 fa un passo ulteriore e, a mio parere, ancora più interessante: porta esempi concreti. Ed è proprio nei momenti in cui ACN porta esempi che si capisce dove vuole andare davvero a colpire.
La FAQ chiarisce, infatti, che tra i fornitori rilevanti NIS rientrano tutte le dipendenze digitali del soggetto NIS, ma anche le dipendenze non digitali che non possono essere sostituite senza determinare un impatto significativo sulle attività e sui servizi NIS.
Questa frase è, probabilmente, uno dei passaggi più importanti di tutta la partita. Perché rompe una convinzione diffusa e anche piuttosto comoda: quella secondo cui, quando si parla di fornitori rilevanti in ambito NIS2, si stia parlando soltanto di cloud provider, MSP, data center, DNS o altri attori strettamente ICT. Non è così. O meglio, non è solo così.
La lezione più concreta: connettività ed energia
La FRN.4 mette infatti sul tavolo anche esempi di forniture non fungibili che molti tenderebbero a considerare quasi “banali”, salvo poi accorgersi della loro criticità quando si interrompono davvero. Il caso più evidente è quello della connettività, dati e voce, fissa e mobile, qualora non ridondata.
L’altro è quello della corrente elettrica. Ed è un richiamo che fa bene, perché ci riporta alla realtà: la resilienza di un soggetto NIS non dipende soltanto dalla robustezza delle sue difese digitali, ma anche dalla tenuta concreta delle infrastrutture e dei servizi che rendono possibile l’erogazione delle attività NIS.
In fondo, è un bagno di realtà che serviva. Per anni si è parlato di cybersecurity come se fosse una disciplina separata dal funzionamento complessivo dell’organizzazione.
Qui invece la logica è molto più matura. La sicurezza viene letta come capacità di continuare a operare, e quindi come capacità di governare le dipendenze che rendono possibile quell’operatività. Se hai una sola linea dati e quella cade, il problema non è solo tecnico: è un problema di continuità.
Se dipendi da una singola fornitura elettrica senza contromisure o senza alternative realistiche, il problema non è “fuori dal perimetro cyber”. È dentro, eccome.
I soliti noti, ma adesso vanno dichiarati
Sul fronte delle forniture ICT, la FRN.4 conferma poi quello che, in realtà, molti già intuivano. Tra gli esempi richiamati compaiono i punti di interscambio Internet, i servizi DNS, i servizi di cloud computing, i data center, le reti di distribuzione dei contenuti, i servizi fiduciari, le reti pubbliche di comunicazione elettronica, i servizi di comunicazione elettronica accessibili al pubblico, oltre ai servizi gestiti e ai servizi gestiti di sicurezza. Insomma, i soliti noti.
Ma la differenza rispetto al passato è che adesso questi fornitori non possono più restare impliciti o lasciati alla sola sensibilità dell’azienda. Devono essere identificati, classificati e collegati a un criterio di rilevanza.
Ed è proprio questo che renderà evidente una fragilità diffusa: molte organizzazioni dipendono in modo molto più pesante di quanto abbiano mai ammesso da un numero ristretto di fornitori. Non solo. Spesso si tratta di fornitori non facilmente sostituibili, o sostituibili solo in teoria.
La vera parola chiave: non fungibilità
Qui si arriva al concetto chiave di tutta questa partita, che secondo me pesa più ancora dei CPV o dell’elenco fornitori: la non fungibilità.
Perché il vero tema non è semplicemente avere un fornitore importante. Il vero tema è capire se, nel momento in cui quel fornitore viene meno, esiste un’alternativa reale, attivabile in tempi compatibili con il servizio. E qui saltano fuori tutte le illusioni aziendali più classiche.
La seconda linea che “si può attivare”. Il fornitore alternativo che “in caso di necessità si trova”. La possibilità di migrare che “volendo si fa”. Tutte formule rassicuranti finché restano teoriche. Poi, quando arriva il problema vero, si scopre che non c’era una sostituzione pronta, ma solo una speranza raccontata bene.
Non una tabella in più, ma una fotografia del rischio
È per questo che leggere insieme l’articolo 18 della Determinazione ACN e le FAQ FRN.3 e FRN.4 aiuta a capire il senso complessivo del messaggio. ACN non sta chiedendo una tabella in più. Sta chiedendo ai soggetti NIS di prendere atto delle proprie dipendenze strutturali e di dichiararle in modo coerente, classificato e motivato. Non è un esercizio ornamentale di compliance. È un pezzo concreto di consapevolezza organizzativa.
Naturalmente il rischio è che qualcuno banalizzi tutto, come spesso accade. Si potrebbe prendere un elenco fornitori, selezionare qualche nome, associare un codice CPV in modo approssimativo, scrivere una motivazione standard e considerare chiuso il tema.
Sarebbe il modo peggiore di affrontarlo. Perché la sostanza di questo passaggio non è riempire un campo, ma capire dove stanno i punti di fragilità che possono compromettere davvero i servizi NIS.
Cosa devono capire subito i soggetti NIS
La novità introdotta dall’articolo 18 e chiarita dalle FAQ FRN.3 e FRN.4 non va letta come un semplice obbligo informativo.
È un passaggio che impone di ragionare sulle dipendenze reali dell’organizzazione. Il punto non è compilare un elenco fornitori, ma individuare quelli che hanno un impatto effettivo sulla capacità di erogare i servizi NIS.
Questo significa distinguere tra fornitore amministrativamente presente e fornitore operativamente critico, classificare correttamente la natura della fornitura attraverso i CPV e, soprattutto, verificare se esistano alternative reali o se ci si trovi davanti a dipendenze non fungibili.
Chi affronta questo passaggio come puro adempimento perderà il senso della norma. Chi invece lo usa per leggere con onestà tecnica la propria esposizione, avrà fatto un passo avanti vero nella maturità NIS2.
Conclusione
L’ottavo tavolo tecnico ha fatto emergere il tema. L’articolo 18 lo ha messo nero su bianco. Le FAQ FRN.3 e FRN.4 hanno eliminato buona parte delle ambiguità residue.
A questo punto il quadro è abbastanza chiaro: i fornitori rilevanti NIS non sono un dettaglio secondario dell’aggiornamento annuale, ma una fotografia delle dipendenze che contano davvero.
E qui, forse, sta il punto più interessante di tutti. ACN non sta chiedendo solo chi ti fornisce tecnologia, connettività o servizi. Ti sta chiedendo di dire da chi dipendi davvero per continuare a funzionare.
E per molte organizzazioni questa è una domanda parecchio più scomoda di quanto sembri.
