C’è una data che molti soggetti NIS stanno guardando con una certa apprensione: il 31 maggio 2026. È la scadenza entro cui i soggetti essenziali e importanti devono completare l’aggiornamento annuale delle informazioni sulla piattaforma ACN, inclusa (e questa è la vera novità di quest’anno) l’elencazione dei fornitori rilevanti NIS introdotta dalla Determinazione 127437/2026.
Ne avevamo già parlato lo scorso mese di aprile, quando l’ACN aveva pubblicato le prime FAQ (dalla FRN.1 alla FRN.4) per orientare le organizzazioni nella compilazione. Ora, il 18 maggio 2026, l’Agenzia ha fatto un ulteriore passo avanti pubblicando un secondo blocco di chiarimenti, dalla FRN.5 alla FRN.10, che intervengono su scenari molto più specifici e, per certi versi, più delicati:
- i fornitori esteri,
- le sedi estere di soggetti NIS nazionali,
- i subfornitori,
- le catene di fornitura intermediata,
- i rapporti infragruppo, le modalità di compilazione del file Excel per forniture associate a più codici CPV.
In questo articolo ci concentreremo in particolare sulle FAQ FRN.8 e FRN.9, che rappresentano i passaggi più significativi e al tempo stesso i più fraintesi dell’intero aggiornamento.
In particolare, la FRN.8 affronta il caso della fornitura intermediata, quello in cui il fornitore contrattuale non è lo stesso soggetto che eroga effettivamente il servizio, mentre la FRN.9 risponde a una domanda che molte aziende di gruppo si sono poste: un fornitore appartenente allo stesso gruppo societario deve comunque essere censito?
Le risposte, come vedremo, non sono scontate e le implicazioni operative sono tutt’altro che trascurabili.
Indice degli argomenti
FAQ FRN.8: il nodo della fornitura intermediata
Come dicevamo, la nuova FAQ FRN.8 chiarisce il caso in cui il fornitore contrattuale non è lo stesso soggetto che eroga effettivamente il servizio. Dunque, siamo nel contesto di una catena di fornitura intermediata.
Il problema: chi va davvero censito?
La FAQ FRN.8, in particolare, affronta uno dei casi più comuni nella realtà aziendale: quello in cui la fornitura è stata contrattualizzata con il soggetto A, ma il servizio è di fatto reso, in tutto o in parte, dal soggetto B.
Questo scenario si verifica con una frequenza altissima nel mondo delle forniture digitali. Pensiamo al caso di un’organizzazione che acquista licenze SaaS attraverso un rivenditore locale, oppure a una PMI che gestisce il proprio cloud attraverso un partner che a sua volta si appoggia a un hyperscaler globale.
La domanda è: chi va indicato come fornitore rilevante? Il contraente A, il provider effettivo B, oppure entrambi?
La risposta di ACN articola due scenari distinti e questa distinzione è fondamentale per chiunque stia compilando l’elenco in queste settimane.
Scenario 1: A si avvale di B come subfornitore
Nel primo caso, il soggetto A ha un rapporto contrattuale diretto con il soggetto NIS e si avvale di B come subfornitore. La regola generale stabilita dalla FRN.8 è che in questa configurazione va indicato il fornitore A, che è il titolare del rapporto di fornitura. Il subfornitore B, invece, rileva (e quindi va anch’esso indicato) solo quando il suo contributo alla fornitura è palese.
Cosa significa “palese”? Non è una soglia numerica o una percentuale contrattuale: è una valutazione sostanziale. Se B gestisce una componente critica della fornitura senza la quale il servizio di A non sarebbe operativo, la sua rilevanza è evidente. Se invece B è uno dei tanti fornitori di terzo livello che A utilizza in modo fungibile e sostituibile, il suo contributo non è palese e non è necessario censirlo autonomamente.
Scenario 2: A è solo un intermediario contrattuale
Il secondo scenario è concettualmente più dirompente. Quando il soggetto A non è tanto un fornitore nel senso sostanziale del termine, ma piuttosto un intermediario contrattuale (un broker, un distributore, un rivenditore che si limita a facilitare l’accesso alla fornitura di B) allora la logica si ribalta: va indicato B, non A.
ACN è molto chiara su questo punto. Se A svolge esclusivamente la funzione di facilitazione dell’acquisto (intermediazione commerciale, fatturazione, gestione dell’ordine), senza svolgere alcun ruolo nell’erogazione del servizio, allora la sua rilevanza ai fini NIS è nulla o marginale.
Ma attenzione: la FAQ introduce una precisazione che cambia tutto per molti scenari reali. Se il partner A, oltre a rivendere il servizio, ne cura anche la gestione applicativa (cioè si occupa della configurazione, dell’amministrazione, del supporto tecnico essenziale, dell’integrazione con i sistemi del cliente) allora A non è più un semplice broker e diventa a sua volta un fornitore rilevante.
In quel caso, entrambi i soggetti (A e B) devono essere censiti.
L’esempio portato da ACN è eloquente: se un’organizzazione fruisce di un servizio SaaS del fornitore B la cui gestione applicativa è svolta dal fornitore A, entrambi sono fornitori rilevanti. Non uno dei due: entrambi.
Cosa significa questo per le aziende che stanno compilando l’elenco
Per un’organizzazione che si trova di fronte a questa FAQ, il messaggio operativo è preciso. Non basta guardare i contratti e ricavarne l’elenco dei fornitori. Bisogna capire, per ciascuna fornitura rilevante, chi la eroga davvero e chi eventualmente la gestisce in modo funzionale.
Questo richiede un lavoro che coinvolge almeno tre funzioni aziendali: il procurement (che conosce la struttura contrattuale), l’IT (che conosce l’architettura tecnica e i soggetti che operano nei sistemi), e la cyber security (che comprende quali dipendenze incidono sulla continuità dei servizi NIS).
Il consiglio pratico, per chi è ancora in fase di compilazione, è di analizzare ogni fornitore rilevante ponendosi almeno tre domande:
- Chi ha erogato effettivamente il servizio nell’ultimo anno?
- Chi ha avuto accesso amministrativo o gestionale ai sistemi?
- Se questo soggetto si fermasse domani, quale sarebbe l’impatto reale sulla mia operatività NIS?
Se le risposte a queste domande portano a soggetti diversi da quello contrattualizzato, è lì che si trovano i veri fornitori rilevanti da censire.
FAQ FRN.9: i fornitori infragruppo non sono automaticamente esclusi
La nuova FAQ FRN.9 appena pubblicata da ACN chiarisce il caso del censimento di un fornitore che appartiene allo stesso gruppo societario.
Una domanda che molti hanno evitato di farsi
La FAQ FRN.9 risponde, quindi, a una questione che, dall’esperienza consulenziale, molte organizzazioni appartenenti a gruppi societari hanno preferito non affrontare esplicitamente: un fornitore appartenente allo stesso gruppo di imprese (una controllata, una società di servizi condivisi, una capogruppo) deve essere valutato ai fini dell’individuazione dei fornitori rilevanti NIS?
La risposta di ACN è netta: sì.
L’appartenenza al medesimo gruppo societario non costituisce un criterio di esclusione. La valutazione va condotta comunque, applicando gli stessi criteri che si utilizzano per i fornitori terzi. L’unica differenza rispetto alle FAQ precedenti è che qui ACN specifica che occorre tenere conto delle peculiarità del rapporto infragruppo, ma non ne esclude la rilevanza.
Perché questa FAQ è importante per i gruppi strutturati
Nei gruppi societari complessi, è prassi comune che alcune funzioni critiche siano centralizzate: data center gestiti dalla capogruppo, cloud governance affidata a una società di servizi condivisi, SOC o MSSP interni al gruppo, infrastrutture di rete condivise tra le legal entity. Dal punto di vista del soggetto NIS (che potrebbe essere una singola società del gruppo), questi servizi vengono di fatto “ricevuti” da un altro soggetto giuridico, anche se la relazione è interna al perimetro consolidato.
ACN chiarisce che questo schema non esonera dal censimento. Se la società di servizi infragruppo eroga una fornitura ICT rientrante nell’Allegato I, punti 8 e 9 del Decreto NIS, oppure se la sua interruzione avrebbe un impatto significativo sulla capacità del soggetto NIS di erogare i propri servizi, allora quella società va indicata come fornitore rilevante, esattamente come un fornitore terzo.
Le implicazioni per la governance interna
Questa precisazione ha conseguenze che vanno oltre la mera compilazione del campo sulla piattaforma ACN.
Riconoscere una società infragruppo come fornitore rilevante NIS significa – o dovrebbe significare – che quella relazione deve essere governata con strumenti analoghi a quelli utilizzati per i fornitori terzi:
- definizione di SLA,
- clausole contrattuali di sicurezza,
- piani di continuità operativa,
- flussi di incident reporting,
- eventuali assessment.
In molti gruppi, queste relazioni interne sono regolate da accordi infragruppo spesso informali, basati sulla fiducia reciproca e sulla catena gerarchica.
La NIS2 suggerisce – implicitamente ma con forza – che questa informalità non è compatibile con una governance matura della supply chain. Anche le dipendenze interne vanno mappate, qualificate e gestite.
Dal mio punto di vista, questa FAQ rappresenta un’occasione per molti gruppi di fare chiarezza su strutture di dipendenza tecnologica spesso opache: quali società del gruppo erogano cosa, a quale soggetto NIS, con quale impatto in caso di interruzione.
È un esercizio che in molti avrebbero dovuto fare già nel contesto delle misure di sicurezza e che ora diventa esplicitamente richiesto dall’aggiornamento annuale.
Il collegamento con le altre FAQ del blocco: un quadro più completo
Va da sé che le FRN.8 e FRN.9 non si leggono in isolamento: per capirne la portata operativa è utile ricordare il contesto delle altre nuove FAQ pubblicate da ACN.
La FRN.5 chiarisce che i fornitori esteri, inclusi i colossi tecnologici extra-UE come cloud provider statunitensi o asiatici, devono essere censiti se soddisfano i criteri di rilevanza e non possono essere esclusi in ragione della loro nazionalità o dimensione.
La FRN.6 affronta la situazione speculare: una sede estera di un soggetto NIS italiano che riceve forniture dall’Italia. Anche qui la risposta è sostanziale: se quella sede fa parte del soggetto NIS italiano, le forniture che ne abilitano l’operatività vanno comunque considerate.
La FRN.7 introduce il tema del subfornitore (approfondito, come abbiamo già visto, dalla FRN.8) stabilendo che in linea generale va indicato il fornitore contrattuale, con la valutazione aggiuntiva per il subfornitore quando il contributo è palese.
La FRN.10, infine, risolve un problema tecnico-compilativo: se lo stesso fornitore eroga servizi riconducibili a più codici CPV diversi, occorre inserire una riga separata per ciascun codice, ripetendo il medesimo fornitore. Una precisazione che evita ambiguità nella fase di raccolta dati.
Il quadro metodologico: BIA e TPRM come fondamenta dell’elenco
Leggendo le FAQ nel loro insieme, emerge con chiarezza un messaggio metodologico che ACN non esplicita in modo diretto, ma che è implicito in ogni risposta: l’elenco dei fornitori rilevanti non può essere costruito con un approccio amministrativo, guardando ai contratti e ricavandone meccanicamente i nomi.
Richiede, invece, due strumenti che chi lavora nella gestione del rischio conosce bene: la Business Impact Analysis (BIA) e il Third Party Risk Management (TPRM).
La BIA serve a rispondere a una domanda semplice ma non banale: quale sarebbe l’impatto sulla mia operatività NIS se questo fornitore si fermasse o venisse compromesso? Senza questa analisi, non si può distinguere tra un fornitore contrattualmente importante e un fornitore operativamente critico. I due insiemi non coincidono.
Il TPRM serve, invece, a qualificare, monitorare e governare i fornitori in funzione del rischio che introducono. Un fornitore rilevante identificato attraverso la BIA non può restare in uno stato di monitoraggio informale: deve essere gestito con strumenti strutturati, che includano assessment periodici, clausole contrattuali adeguate, flussi di incident reporting e, dove necessario, piani di continuità condivisi.
Per le organizzazioni che si trovano a completare l’aggiornamento annuale in queste settimane, il suggerimento è di non trattare l’elenco come un adempimento terminale, ma come il punto di partenza di un processo di governance. Una volta identificati i fornitori rilevanti, le domande successive che ci si dovrebbe porre sono:
- Come li sto gestendo?
- Cosa prevedo contrattualmente?
- Ho visibilità sulle loro misure di sicurezza?
- Come gestisco un incident che li coinvolge?
Il tema della non fungibilità: un criterio che richiede onestà
Uno degli aspetti più delicati dell’intera disciplina sui fornitori rilevanti è il concetto di non fungibilità. Il secondo criterio di rilevanza, quello che si applica alle forniture non ICT e che integra il primo criterio per quelle ICT, fa esplicito riferimento all’indisponibilità di fornitori alternativi come elemento che determina l’impatto significativo.
Nella pratica, questo criterio richiede un grado di onestà organizzativa che non è sempre agevole. Quante volte, in audit e assessment, ci si sente rispondere: “sì, potremmo sostituirlo” a proposito di fornitori che in realtà, nel concreto, richiederebbero settimane o mesi di migrazione, con impatti operativi rilevanti? La sostituzione teorica non equivale alla sostituibilità concreta.
ACN ha chiarito, già nelle prime FAQ, che la non fungibilità va verificata in concreto, non in astratto. Questo significa che un’organizzazione non può escludere un fornitore dal proprio elenco semplicemente perché sul mercato esiste un’alternativa. Deve verificare se quell’alternativa sia realisticamente attivabile nei tempi compatibili con la continuità del servizio NIS.
È una verifica che richiede dati, non percezioni. E richiede, ancora una volta, una BIA che abbia tradotto le dipendenze in tempi massimi di indisponibilità tollerabili.
Cosa fare concretamente entro il 31 maggio
Per chi sta lavorando alla compilazione dell’elenco dei fornitori rilevanti in vista della scadenza, il quadro complessivo delle FAQ (quelle di aprile e quelle di maggio) suggerisce alcune azioni concrete.
Il primo passo è rivedere l’elenco già compilato alla luce delle nuove FAQ, in particolare la FRN.8: ci sono fornitori indicati che in realtà sono solo intermediari commerciali? Ci sono soggetti non indicati che svolgono invece un ruolo di gestione applicativa o tecnica rilevante? La distinzione tra broker e gestore funzionale non è sempre intuitiva, ma è quella che ACN ha esplicitamente introdotto.
Il secondo passo riguarda i gruppi societari: verificare se esistano società infragruppo che erogano forniture ICT o servizi critici al soggetto NIS e valutarne la rilevanza applicando gli stessi criteri usati per i terzi.
Il terzo passo è la verifica dei codici CPV: sono stati associati alle forniture effettive, con il necessario grado di granularità? Se uno stesso fornitore eroga servizi eterogenei (come cloud computing e servizi di sicurezza gestita) sono state create righe separate con i CPV corretti?
Infine, un elemento che spesso viene trascurato: la documentazione delle scelte. ACN non richiede formalmente di conservare la motivazione di ogni esclusione o inclusione, ma farlo è una prassi di governance difendibile. Se in futuro si dovesse rendere conto delle proprie scelte (in un’ispezione, in un audit o in un procedimento di verifica) avere traccia del ragionamento che ha portato all’elenco è un vantaggio significativo rispetto a dover ricostruire tutto a posteriori.
Un adempimento che rivela la maturità organizzativa
Le FAQ FRN.8 e FRN.9 non sono chiarimenti tecnici di dettaglio. Sono indicatori di come ACN stia interpretando la supply chain security nell’ambito del recepimento italiano della Direttiva NIS2: non come un perimetro formale da presidiare con documenti, ma come una rete di dipendenze reali da mappare, qualificare e governare.
La distinzione tra fornitore contrattuale e fornitore funzionale (FRN.8) e il superamento dell’esenzione infragruppo (FRN.9) spingono le organizzazioni a uscire dalla zona di comfort di una compliance basata sui contratti esistenti e a fare una domanda molto più scomoda: da chi dipendo davvero per continuare a operare?
Rispondere a questa domanda con serietà e tradurre la risposta in un elenco motivato, supportato da BIA e TPRM, non è solo un adempimento formale ma la misura più concreta del livello di maturità con cui un’organizzazione sta affrontando il percorso NIS2.
La scadenza del 31 maggio è vicina, ma il lavoro che quella scadenza richiede non si esaurisce con la compilazione di un campo sulla piattaforma ACN. Inizia, semmai, da lì.
