Le FAQ ACN sull’elenco dei fornitori rilevanti NIS spingono verso una lettura sostanziale della supply chain: conta chi eroga o sostiene davvero servizi e attività NIS. BIA e TPRM diventano il metodo per distinguere vendor contrattuali, provider effettivi, partner tecnici e subfornitori determinanti.

L’aggiornamento annuale delle informazioni NIS sta progressivamente rivelando uno dei passaggi più delicati del processo di attuazione del D.Lgs. 138/2024: l’identificazione dei fornitori rilevanti. La questione, in apparenza meramente compilativa, ha però una portata molto più profonda, perché obbliga le organizzazioni a capire chi renda concretamente possibile l’erogazione delle attività NIS.

Criteri di rilevanza e nuove FAQ ACN

Le nuove FAQ pubblicate da ACN sulla compilazione dell’elenco dei fornitori rilevanti, quelle dalla FRN 5 alla FRN 10, pubblicate nel 2026, confermano che l’adempimento richiede una lettura sostanziale del rapporto contrattuale, non formale. I chiarimenti ufficiali chiariscono che ai soggetti NIS va chiesto di indicare i fornitori rilevanti, precisando denominazione, codice fiscale, Paese della sede legale, codici CPV relativi alle forniture e criterio di rilevanza utilizzato.

I chiarimenti ACN assumono particolare rilievo per il loro intervento direttamente sul tema della distinzione tra soggetti in base al loro ruolo: contrattualizzato, effettivo, rivenditore, subfornitore e collaboratore funzionale all’erogazione.

Uno dei punti innovativi di questa impostazione è che ACN sembra aver riconosciuto la complessità tipica delle moderne catene di fornitura. Le organizzazioni non operano sempre attraverso rapporti lineari, in cui il soggetto contrattualizzato coincide con il soggetto che fornisce materialmente il servizio. Spesso, la fornitura è strutturata in modelli stratificati con coinvolto più soggetti tecnici, terzi intermediari, partner tecnologici.

Esiste dunque bisogno di un’indagine sostanziale per identificare chi, tra i tanti, giochi un ruolo determinante nella gestione del contratto e nella realizzazione operativa della fornitura.

Ecco perché l’elenco dei fornitori rilevanti non è solo un elenco anagrafico, ma una mappatura delle vere dipendenze operative. Questa distinzione è cruciale per capire chi, con la propria interruzione o compromissione, possa incidere sulla capacità del soggetto NIS di svolgere la propria attività.

Estrazione funzionale vs. estrazione formale

L’elenco dei fornitori rilevanti non deve guardare soltanto al vendor formale o al soggetto che ha firmato il contratto. Spesso il soggetto formale non è nemmeno colui che eroga effettivamente il servizio. La rilevanza va valutata in base all’effettiva funzionalità del soggetto nella gestione, nell'erogazione o nella continuità della fornitura.

Un soggetto, per esempio, può sembrare solo un intermediario o un rivenditore, ma svolgere in realtà funzioni tecnico-operative decisive. In tali casi, è rilevante per le normative NIS.

In generale, la nozione di fornitore rilevante deve essere interpretata in base al contributo del soggetto all’availability, alla security, alla continuity e all'operabilità del servizio.

I chiarimenti ACN ribadiscono che il focus non sta nella forma, ma nella sostanza: la rilevanza va verificata in base a cosa il soggetto effettivamente fa e non solamente a chi ha firmato.

La centralità della BIA e del TPRM

Due strumenti emergono come indispensabili per costruire un elenco corretto di fornitori rilevanti: la Business Impact Analysis (BIA) e il Third Party Risk Management (TPRM).

Risulta chiaro che senza BIA e TPRM, l’elenco non si costruirebbe in modo oggettivo, ma basandosi su dati incompleti, percezioni personali o informazioni formali.

La BIA si concentra su quali processi e servizi siano effettivamente critici. Il TPRM individua chi ha effettivamente un ruolo decisivo nel mantenere attivo o sicuro il servizio, anche al di fuori del soggetto formale.

I due strumenti, quando analizzati congiuntamente, permettono di distinguere tra la forma e la sostanza nella rilevanza dei fornitori.

Esempi di fornitori rilevanti

Pensiamo all'esempio concreto dell’acquisto di un servizio di SaaS. Supponiamo che il contratto vada firmato con il soggetto A, che agisce da rivenditore, ma l’erogatore effettivo sia il soggetto B.

Se A si limita a facilitare il pagamento e a gestire ordini, l’elenco NIS considererà solo B, in quanto effettivamente responsabile dell'erogazione del servizio.

Se A, invece, svolge configurazione, gestione applicativa, supporto tecnico, monitoraggio, manutenzione o gestione delle identità, diventa parte integrante del processo operativo e quindi da considerare fornitore rilevante.

In questi casi, entrambi i soggetti – il vendor effettivo e il partner tecnico funzionale – andranno inclusi nell'elenco, in quanto risulteranno entrambi essenziali alla continuazione operativa e alla funzionalità del servizio.

Metodi per identificare chi è effettivamente rilevante

I due strumenti – BIA e TPRM – permettono di analizzare e classificare correttamente i fornitori in base a:

Un soggetto che non eroga un servizio diretto ma interessa fortemente per la continuità operativa del sistema, merita di essere censito come fornitori rilevanti.

Conclusioni

La questione dei fornitori rilevanti NIS si dimostra una prova di maturità sia per la normativa sia per chi la implementa. L’Agenzia per la cybersicurezza nazionale richiede di fare un’analisi sostanziale del rapporto con i fornitori non solo formale o contrattuale.

Chi censirà male i propri fornitori rilevanti, rischi di omettere soggetti critici, o viceversa di incluire soggetti marginali, compromettendo in entrambi i casi il livello di resilienza del sistema NIS.

In questa complessità, l’invito è chiaro: mappare in modo strutturale, funzionale e rischi