Con la recente Determina n. 127437/2026 l’Agenzia nazionale per la Cybersecurity (ACN) ha introdotto la nozione di fornitore “critico” (non solo digitale), la cui compromissione può incidere sulla capacità di un soggetto rilevante ai fini NIS2[1] di fornire i servizi e le prestazioni censiti per la sicurezza cibernetica.
Sebbene la finalità immediata della disposizione sembri essere quella di intercettare altri soggetti rilevanti ai fini NIS2 – come dispone l’art. 3, comma 8, lett. f) del D.Lgs. 138/2024 -, la previsione ha il pregio di indurre i soggetti NIS2 a tracciare con maggiore acume la propria catena di approvvigionamento, dotandosi, ad esempio, di una BIA (Business Impact Analysis) per comprendere gli effetti sulla continuità del servizio e sul conto economico delle interruzioni di fornitura.
Non occorre per questo spostarsi nell’ambito geopolitico per cogliere i rischi (esogeni) di una rottura della “supply chain”. Di regola, le forniture cyber presentano di per sé rischi endogeni, per lo più derivanti dall’originaria mancanza di consapevolezza del rischio cibernetico che ha portato a concepire prodotti e soluzioni vulnerabili nel settore informatico e delle telecomunicazioni. Ora la richiesta è di porvi rimedio. Quanti fornitori “legacy” (di lunga durata) vengono abitualmente verificati dalle aziende? Quanti fornitori pressoché monopolisti (ad esempio, per software customizzati per sistemi industriali OT) sono divenuti insostituibili? Quante aziende hanno contratti integrati con clausole di “audit” sulla cybersecurity, SLA (Service Level Agreement) anche sui tempi di ripristino del servizio o sulle notifiche in caso di incidente o “near-missed”?
A tal fine la NIS2, come noto, prescrive che gli organi di gestione debbano adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete utilizzati (anche per fornire i loro servizi a terzi), secondo un approccio multi rischio. Tale approccio comprende elementi di “sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi” (art. 21, comma 2, lett. d), Direttiva NIS2).
Indice degli argomenti
Il Regolamento DORA e i fornitori critici sistemici di servizi ICT
In base al Regolamento DORA[2], sempre in ambito cybersecurity ma specificamente per il settore finanziario, l’individuazione dei fornitori critici che forniscono servizi ICT (Information and Communication Technology) ad enti finanziari è molto più articolata.
L’art. 5, secondo comma, lett. i) prescrive che l’organo di gestione dell’entità finanziaria debba istituire canali di comunicazione che gli consentano di essere debitamente informato in merito a: (i) gli accordi conclusi con fornitori terzi di servizi ICT sull’uso di tali servizi, (ii) le eventuali modifiche importanti e pertinenti a ciò relative e (iii) il potenziale impatto di tali modifiche sulle funzioni essenziali/importanti, compresa una sintesi dell’analisi del rischio per valutare l’impatto di tali modifiche. A tal fine istituiscono (se diverse dalle microimprese, come ivi definite) “un ruolo al fine di monitorare gli accordi conclusi con fornitori terzi di servizi ICT per l’uso di tali servizi oppure designano un dirigente di rango elevato quale responsabile della sorveglianza sulla relativa esposizione al rischio e sulla documentazione pertinente” (art. 5, comma 3, Reg. DORA).
La regolamentazione, inoltre, si sposta dal singolo ente finanziario sino ad arrivare a livello sistemico (artt. 31 e segg. del Regolamento DORA, nonché Regolamento Delegato (UE) 2024/1502). Infatti, ad esito delle analisi condotte sui registri delle informazioni trasmessi dalle entità finanziarie, è già stata pubblicata nel novembre 2025 una lista dei fornitori critici sistemici ICT a livello europeo a cura delle autorità europee (EIOPA, EBA e ESMA o, collettivamente, ESAs).
Tali fornitori critici (ad oggi 19[3]) sono soggetti alla vigilanza delle ESAs che dispongono di poteri ispettivi e sanzionatori benché gli stessi non ricadano di regola, quanto ad attività esercitata, nell’ambito della loro competenza. In pratica, i fornitori critici sistemici dei servizi ICT del settore finanziario sono assoggettati alle autorità di vigilanza di tale comparto proprio perché ne sono diventati componenti essenziali. Non è poco prendere atto di tale realtà e riconoscere che il sistema finanziario necessita, per funzionare, dell’ecosistema digitale che va, quindi, anch’esso regolamentato.
I compiti del Board e le modifiche al TUF per le società quotate
Sia la NIS2 che il Regolamento DORA impongono doveri specifici all’organo amministrativo quanto alla cybersecurity della catena di fornitura essenzialmente fondati sull’approvazione di policy e procedure. Nel caso del Regolamento DORA, come detto, anche su una conoscenza specifica dei contratti con i fornitori terzi di ICT (che devono necessariamente contenere alcune clausole standard) e delle loro modifiche. Infatti, il Regolamento DORA prevede la presenza di un registro di tali fornitori e uno standard contrattuale al mutare del quale è necessaria la sottoposizione all’organo di amministrazione.
La NIS2 è meno dettagliata al riguardo, sebbene la normativa secondaria di attuazione del D.Lgs. 138/2024 si stia sostanzialmente orientando verso soluzioni simili, come il censimento dei fornitori “critici” (digitali e non) dei soggetti NIS2 di cui sopra.
Del resto, la cybersecurity rientra, secondo l’opinione prevalente, all’interno del sistema organizzativo di cui agli artt. 2086 e 2381-bis del codice civile che deve essere posto in essere dagli organi delegati e valutato, quanto alla sua adeguatezza, dall’organo di gestione sulla base delle informazioni ricevute. In tal senso, vanno lette anche le modifiche al TUF[4] di cui alla legge cd.
Capitali[5] che ora prevedono che la relazione sul governo societario e gli assetti proprietari delle società quotate, di cui all’art. 123-bis del TUF, debba indicare “ove adottate, una descrizione delle politiche di gestione e di monitoraggio dei rischi informatici, inclusi i rischi di sicurezza cibernetica e i rischi derivanti dall’integrazione di nuove tecnologie negli assetti amministrativi, organizzativi e contabili” (art. 6, comma 1, lett. f, della legge Capitali). Tale relazione, come noto, viene approvata dall’organo di gestione e viene resa pubblica.
La governance della supply chain nella cybersecurity
Per le ragioni sopra esposte, la catena di fornitura, ai fini della normativa sulla cybersecurity, può essere gestita solo in modo integrato e con il coinvolgimento di diverse funzioni in modo sempre più interdisciplinare. L’ufficio acquisti o la funzione “procurement” necessitano, quindi, di avere al proprio interno dei presidii non solo di tipo legale, ma anche di valutazione del rischio e di compliance. Infatti, la gestione della catena di fornitura, solo nell’ambito della cybersicurezza, richiede (a titolo esemplificativo e non esaustivo):
a) una “due diligence” preventiva (in fase di selezione) e un processo di monitoraggio continuo nel corso del rapporto (per verificare, ad esempio, le autodichiarazioni, il mantenimento delle certificazioni, i requisiti tecnici, la localizzazione dei dati e delle infrastrutture, l’organizzazione, la compliance normativa, le vulnerabilità, ecc.) o “ad evento” (ad esempio, dopo un incidente o altra problematica cyber nella fornitura del servizio, per applicare le penali di cui agli SLA in tema di cyber e per gestire, infine, l’uscita dal contratto).
Tale “due diligence”, oltre al tema dei rischi cyber, della qualità delle infrastrutture e delle tematiche più squisitamente tecniche IT, cyber e normative (ad esempio, rispetto della normativa sugli appalti anche cyber, sicurezza e ambiente, modello 231, regolarità contributiva/previdenziale e fiscale, condizioni di lavoro, disciplina ESG, normativa anti-riciclaggio e antimafia, ecc.), non può non verificare anche il tema reputazionale, dell’affidabilità (solidità economica) del fornitore e della disciplina della catena dei sub-fornitori;
b) un sistema di qualificazione dei fornitori e di attribuzione del punteggio coerente con la normativa cyber. È recente la pubblicazione di un parere dell’ANAC in tema di compatibilità della disciplina specifica in materia cyber (nel caso si trattava del Regolamento Cloud) con la disciplina del codice degli appalti[6];
c) un sistema contrattuale sempre aggiornato, di regola con condizioni generali e condizioni speciali, che consenta, da un lato, la maggior standardizzazione possibile del processo, dall’altro l’inserimento nel contratto di clausole specifiche legate alla natura del servizio e alla normativa specialistica;
d) il monitoraggio del fornitore (si veda il punto a) che precede) e della fornitura (livelli di servizio, scadenza delle garanzie, verifiche periodiche, audit, durata, rinnovi, ecc.);
e) la scelta di adeguate strategie di gare (ad esempio, accordi quadri a prezzi vincolanti per il fornitore ma senza impegno di acquisto per la stazione appaltante), la contrattualizzazione di più fornitori alternativi (in modo da non avere “rotture” della fornitura in caso di incidenti o di crisi) o l’inserimento di clausole che impongano al fornitore di sopportare i costi di una soluzione alternativa in caso di prestazione non resa, in tutto o in parte;
f) un’accurata archiviazione della documentazione contrattuale accessibile sia al “procurement” che alle altre funzioni aziendali “on a need to know basis”.
In pratica, le strategie di acquisto per la cybersicurezza sono decisive per la sicurezza aziendale. Non è più realistico pensare che il processo possa essere ricondotto ad unità senza un intervento organizzativo di governance. Adottare un modello amministrativo e organizzativo tale da consentire la gestione della catena di fornitura in sicurezza e in conformità alla normativa sulla cybersecurity è diventata, quindi, non solo una responsabilità ma anche una priorità dell’organo amministrativo.
Note
[1] Direttiva (UE) 2022/2555 recepita in Italia con D.lgs. 138/2024.
[2] Regolamento (UE) n. 2022/2554.
[3] Si veda il comunicato congiunto delle ESAs del 18 novembre 2025.
[4] D.Lgs. 24 febbraio 1998, n. 58, testo unico delle disposizioni in materia di intermediazione finanziaria.
[5] D.Lgs. 27 marzo 2026, n. 47.
[6] Delibera ANAC n. 103 del 24 marzo 2026.
Partecipa alla community