La Determinazione 127437/2026 adottata il 13 aprile 2026 dall’Agenzia per la Cybersicurezza Nazionale introduce un elemento destinato a incidere in modo profondo sull’assetto organizzativo dei soggetti NIS: la formalizzazione della nozione di “fornitore rilevante” e la sua trasposizione in un obbligo dichiarativo all’interno della piattaforma dell’Agenzia.
Indice degli argomenti
L’articolo 18 porta la supply chain nel perimetro regolato
Il fulcro di tale evoluzione si rinviene nell’articolo 18 della determinazione, che, nel disciplinare gli obblighi informativi a carico dei soggetti, richiede l’individuazione e la comunicazione dei fornitori rilevanti. La disposizione, letta in combinato disposto con il quadro delle misure di sicurezza e con gli obblighi di gestione del rischio, produce un effetto dirompente: la supply chain non è più soltanto oggetto di valutazione interna, ma diviene parte integrante del perimetro regolato e monitorato.
Ciò comporta una conseguenza immediata e spesso sottovalutata. L’individuazione dei fornitori rilevanti non può più essere trattata come un’attività accessoria o residuale, né può essere affidata a criteri intuitivi o meramente economici. Essa diventa un passaggio critico, suscettibile di essere oggetto di verifica da parte dell’autorità e, pertanto, deve essere fondata su un impianto metodologico rigoroso, coerente e documentabile.
Business Impact Analysis e Third Party Risk Management: la convergenza necessaria
L’articolo 18 richiede una valutazione basata sull’impatto effettivo del fornitore sui processi critici e sulla sicurezza dei sistemi informativi – non sul valore contrattuale o sulla mera presenza di certificazioni di sicurezza.
In tale contesto, il primo errore che si riscontra nella prassi consiste nel ricondurre la nozione di fornitore rilevante all’interno dei tradizionali processi di vendor management, spesso limitati alla classificazione per valore contrattuale o alla verifica della presenza di certificazioni di sicurezza. Un simile approccio risulta radicalmente inadeguato rispetto alla logica sottesa all’articolo 18, che richiede una valutazione basata sull’impatto effettivo del fornitore sui processi critici e sulla sicurezza dei sistemi informativi.
La corretta individuazione dei fornitori rilevanti può avvenire esclusivamente attraverso l’integrazione di due dimensioni che, nella maggior parte delle organizzazioni, continuano a operare in modo disgiunto: la Business Impact Analysis e il Third Party Risk Management.
Il ruolo della Business Impact Analysis nei processi critici
La Business Impact Analysis rappresenta il punto di partenza imprescindibile. Attraverso di essa, l’organizzazione identifica i processi critici, definisce le soglie di tolleranza al disservizio e misura l’impatto di eventuali interruzioni in termini operativi, economici e reputazionali.
Ma, soprattutto, la BIA consente di ricostruire le dipendenze che rendono possibile l’erogazione dei servizi, incluse le dipendenze da fornitori esterni. È in tale sede che emerge la reale architettura della supply chain, non come elenco contrattuale, ma come rete di relazioni funzionali.
“La rilevanza non è un attributo intrinseco del fornitore, ma il risultato di una relazione tra il fornitore e il sistema organizzativo in cui esso si inserisce.”
I limiti del Third Party Risk Management isolato
Il Third Party Risk Management, se considerato isolatamente, non è in grado di restituire tale profondità. Esso fornisce strumenti per valutare il rischio associato ai fornitori, ma tende a operare su base perimetrale, senza una piena comprensione del ruolo che ciascun fornitore svolge all’interno dei processi critici.
È proprio tale limite che rende necessario un approccio integrato.
Quando i fornitori rilevanti incidono sulla continuità operativa
L’articolo 18, letto in chiave sostanziale, impone dunque una convergenza tra BIA e TPRM. Un fornitore può essere qualificato come rilevante solo nella misura in cui la sua indisponibilità, compromissione o degradazione del servizio sia idonea a determinare un impatto significativo su uno o più processi critici, come individuati in sede di BIA.
Tale relazione deve essere valutata alla luce di una pluralità di fattori. La sostituibilità del fornitore rappresenta un primo elemento discriminante: un fornitore facilmente sostituibile, anche se coinvolto in un processo critico, presenta un profilo di rischio diverso rispetto a un fornitore la cui sostituzione richieda tempi incompatibili con le soglie di tolleranza individuate.
Analogamente, la concentrazione del rischio, derivante dall’affidamento a un numero limitato di fornitori per servizi essenziali, può determinare una qualificazione di rilevanza anche in assenza di impatti immediati.
Dipendenza tecnologica ed effetti a cascata
Un ulteriore elemento riguarda la profondità della dipendenza tecnologica. I fornitori che operano a livello infrastrutturale o che gestiscono componenti critiche dei sistemi informativi introducono un livello di esposizione differente rispetto a fornitori che operano su livelli applicativi o accessori. In tali casi, la rilevanza deriva non soltanto dall’impatto diretto, ma anche dalla possibilità di effetti a cascata su più processi.
L’integrazione tra BIA e TPRM consente di costruire un modello in cui ciascun fornitore è collocato all’interno di una mappa delle dipendenze, e in cui la qualificazione di rilevanza emerge come esito di un’analisi strutturata, documentata e difendibile. È proprio tale carattere difendibile che assume rilievo nel nuovo contesto introdotto dall’articolo 18.
La dichiarazione dei fornitori rilevanti all’interno della piattaforma ACN espone infatti l’organizzazione a un possibile scrutinio, rendendo necessario dimostrare la coerenza delle scelte effettuate.
Dalla compliance alla governance della supply chain
In tale prospettiva, la dimensione contrattuale assume un ruolo centrale. Le clausole di sicurezza non possono più essere considerate meri strumenti di allocazione della responsabilità, ma devono riflettere la qualificazione del fornitore e il livello di rischio associato.
I fornitori rilevanti richiedono, necessariamente, un rafforzamento delle garanzie contrattuali, in termini di obblighi di sicurezza, diritti di audit, gestione degli incidenti e continuità operativa.
La governance dei fornitori rilevanti oltre l’adempimento formale
La vera sfida non risiede nell’individuare un elenco di fornitori da comunicare all’Autorità, ma nel costruire un modello di governance in cui la supply chain sia integrata nei processi decisionali, nella gestione del rischio e nella pianificazione della continuità operativa.
L’articolo 18 introduce, dunque, una trasformazione che va oltre il piano formale. Esso impone alle organizzazioni di rendere esplicita la propria rappresentazione della supply chain e di fondarla su criteri analitici solidi. In assenza di tale sforzo metodologico, la dichiarazione dei fornitori rilevanti rischia di tradursi in un adempimento fragile, esposto a contestazioni e privo di reale utilità ai fini della gestione del rischio.
Solo in tal modo l’obbligo introdotto dall’articolo 18 può essere trasformato da vincolo regolatorio in leva di rafforzamento della resilienza organizzativa.
In definitiva, le nuove determinazioni ACN segnano il passaggio da una gestione implicita della supply chain a una sua formalizzazione esplicita. Ed è proprio in tale passaggio che si gioca la capacità delle organizzazioni di interpretare la NIS2 non come un insieme di obblighi, ma come un sistema di governo del rischio in evoluzione.
