Nel mese di aprile 2026 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha emanato, a completamento del quadro normativo dettato dal Decreto Legislativo n. 138/2024 (il Decreto NIS2), due rilevanti Determinazioni, la n. 127437/2026 e n. 127434/2026, che segnano un passaggio importante per i soggetti NIS, soprattutto sul piano operativo.
Indice degli argomenti
Le determinazioni ACN di aprile 2026: un nuovo quadro per i soggetti NIS
Le nuove previsioni, infatti, offrono utili chiarimenti su modalità e contenuti degli adempimenti, introducendo chiare tempistiche per i soggetti inseriti per la prima volta nell’elenco NIS 2026, con scadenze al 1° gennaio 2027 per l’avvio dell’incident reporting e il 31 luglio 2027 per l’adozione delle misure di sicurezza.
In questo contesto, tra gli adempimenti richiesti emerge con particolare rilievo la necessità di identificare e valutare la categoria dei “fornitori rilevanti NIS” anche alla luce del criterio della non fungibilità della fornitura, che impone alle organizzazioni di censire i propri fornitori valutandone il ruolo nelle dipendenze critiche e nella continuità operativa, in un quadro che, già nella Determinazione n. 127437/2026, ricomprende anche le attività di elencazione e categorizzazione delle attività e dei servizi quali presupposti per la corretta individuazione degli elementi rilevanti ai fini NIS.
Con riferimento a tale specifico aspetto, l’ACN è successivamente intervenuta con la determinazione 155238 del 20 aprile 2026 corredata dalle relative FAQ e linee guida, che disciplina in modo più puntuale modalità e criteri di categorizzazione, rafforzando il ruolo di tale adempimento quale base informativa anche per la valutazione della supply chain.
Fornitori rilevanti NIS: la nuova nozione introdotta dalla determinazione
Tra i profili di maggiore rilevanza della Determinazione n. 127437/2026 vi è l’introduzione della nozione di “fornitori rilevanti NIS”, che rappresenta una delle novità più significative rispetto al quadro precedente.
I soggetti in perimetro NIS sono tenuti ad inserire informazioni relative ai propri fornitori nella piattaforma ACN, corredando il set con indicazioni puntuali dei criteri adottati per identificarli. Accanto ai fornitori riconducibili alla fornitura ICT, la Determinazione considera rilevanti anche le forniture la cui interruzione o compromissione comporti un impatto significativo sulla capacità del soggetto NIS di erogare le attività o i servizi per cui rientra nel perimetro della direttiva, anche considerando l’assenza di fornitori alternativi.
Il rischio cyber è elemento fondamentale della catena di approvvigionamento, in linea con la sempre maggiore interdipendenza tra le imprese che offrono prodotti e servizi tech. In tale contesto, l’attività di censimento dei fornitori rilevanti assume rilievo anche sotto il profilo della governance, richiedendo il coinvolgimento degli organi di amministrazione e direttivi nella supervisione dei processi di identificazione e valutazione, in coerenza con gli obblighi di cui al Decreto NIS2.
Gestione del rischio cyber e supply chain: il ruolo della Business Impact Analysis
La compliance NIS2 si intreccia con attività tipicamente proprie della due diligence e della valutazione del rischio, rendendo sempre più necessario un approccio strutturato alla gestione della supply chain mediante applicazione del criterio della non fungibilità.
Se un fornitore è rilevante perché la sua indisponibilità può compromettere un servizio essenziale o importante, allora valutarne il rischio richiede qualcosa di più: capire quanto l’organizzazione dipenda concretamente da quella fornitura.
La BIA come strumento di compliance NIS2
Qui entra in gioco la Business Impact Analysis (BIA), ossia l’analisi che consente di individuare quali processi o servizi siano critici, quali effetti possa avere una loro interruzione, se esistano fornitori alternativi e se vi siano punti di dipendenza tali da creare un “single point of failure”, secondo una logica coerente con i modelli di business continuity richiamati da ISO 22301 e con approcci alla cyber supply chain security promossi dall’European Union Agency for Cybersecurity (ENISA) e dal National Institute of Standards and Technology (NIST).
In questa prospettiva, la BIA integra uno strumento fondamentale della compliance NIS2, perché aiuta a tradurre la nozione di “fornitore rilevante” in una valutazione concreta delle dipendenze critiche, permettendo ai soggetti NIS una più agevole valutazione di tutta la catena di approvvigionamento.
Rischi di errata qualificazione e governance dei fornitori
Un possibile profilo critico riguarda il rischio di errata qualificazione dei fornitori, che può comportare sottostime delle dipendenze rilevanti e conseguenti lacune nelle misure di sicurezza, con possibili riflessi anche sul piano sanzionatorio.
La conseguenza del cambio di paradigma fino ad ora descritto è che la gestione dei fornitori non può più restare confinata alle funzioni acquisti o alla sola gestione contrattuale, richiedendo il coinvolgimento di competenze diverse proprie dei settori del risk management.
La gestione dei fornitori tende a essere letta non più soltanto come tema di controllo delle terze parti, ma come componente della resilienza operativa del soggetto NIS.
In questa chiave, la richiesta di informazioni sui fornitori rilevanti NIS deve essere interpretata come il fulcro di un’attività di vigilanza sulle dipendenze critiche e, più in generale, sul rischio che può emergere dalla supply chain.
Compliance NIS2 e supply chain: verso una gestione integrata del rischio informatico
La compliance NIS2 è in costante evoluzione e prevede l’introduzione di nuovi obblighi in parallelo alla crescita del rischio e delle responsabilità degli organi di vertice di ciascuna organizzazione, per cui l’attenzione ai “fornitori rilevanti NIS” ed al criterio della non fungibilità chiedono una verifica del rapporto con le terze parti secondo una prospettiva nuova.
L’evoluzione normativa porta ad una crescente attenzione sulla compliance digitale interna all’ente ed esterna, con focus sulla supply chain secondo criteri più stringenti: la gestione dei fornitori è parte a pieno titolo della business continuity, della Business Impact Analysis e, più in generale, della gestione del rischio informatico all’interno del più esteso perimetro del modello di vigilanza che ACN sta progressivamente delineando.
