FAQ Fornitori rilevanti

FRN.1 Per quale motivo nell’ambito dell’aggiornamento annuale delle informazioni devono essere indicati anche fornitori rilevanti NIS?

L’articolo 3, comma 9, lettera f), del decreto NIS prevede che il decreto stesso si applichi, indipendentemente dalle dimensioni, a un soggetto considerato critico in quanto elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti ai sensi della disciplina NIS.

Pertanto, è necessario, di conseguenza, acquisire le informazioni relative ai fornitori considerati rilevanti (fornitori rilevanti NIS) al fine di individuare tra di essi, d’intesa con le Autorità di settore, gli elementi sistemici della catena di approvvigionamento da individuare quali soggetti importanti o essenziali al fine di promuovere un adeguato livello di sicurezza informatica lungo la catena di approvvigionamento dei soggetti NIS.

FRN.2 Come si individuano i fornitori rilevanti NIS?

Ai sensi dell’articolo 1, comma 1, lettera ll), della Determinazione ACN 127437/2026 , un fornitore si considera “fornitore rilevante NIS” se fornisce servizi o prodotti a un soggetto NIS e soddisfa almeno uno dei seguenti criteri di rilevanza:

la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS (fornitura ICT);
l’interruzione o la compromissione della fornitura comportano un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS (fornitura non fungibile).

FRN.3 Quali informazioni devono essere comunicate in merito ai fornitori rilevanti NIS?

Ai sensi dell’articolo 18 della Determinazione ACN 127437/2026, devono essere comunicate le seguenti informazioni:

la denominazione;
il codice fiscale;
il Paese in cui ha la sede legale;
i codici CPV (Common Procurement Vocabulary) di cui al Regolamento (CE) n. 2195/2002, relativi alle forniture di cui fruisce il soggetto NIS;
il criterio di rilevanza, di cui all’articolo 1, comma 1, lettera ll), utilizzato.

Si evidenzia che i criteri di rilevanza sono (in alternativa o congiuntamente) i seguenti:

la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS;
l’interruzione o la compromissione della fornitura comportano un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS.

Ai fini della definizione della fornitura si fa riferimento alla tassonomia contenuta nel vocabolario comune per gli appalti pubblici (common procurement vocabulary – CPV) adottato con Regolamento (CE) n. 2195/2002, successivamente modificato dal Regolamento (CE) n. 213/2008, disponibile al seguente link:
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32008R0213: apre un link esterno.

A titolo di mero supporto orientativo, al link seguente Allegato II.2 bis, Tabella D.1. nuovo Codice Appalti, è disponibile una corrispondenza di alto livello tra codici CPV e codici NACE/ATECO, utile per ricondurre, limitatamente ai codici in esso contenuti, le forniture alla classificazione delle attività economiche di riferimento. Si precisa che tale tabella non sostituisce l’elenco completo dei codici CPV previsti dal Regolamento (CE) n. 2195/2002 e, pertanto, la selezione definitiva dei codici CPV applicabili resta rimessa a ciascun soggetto sulla base dell’elenco completo contenuto nel predetto Regolamento.

Infine, alla FAQ FRN.4 sono illustrati alcuni esempi di forniture con la relativa indicazione del CPV di riferimento.

FRN.4 Quali sono alcuni esempi di forniture rilevanti NIS?

Tenuto conto della definizione di fornitori rilevanti NIS, rientrano tutte le dipendenze digitali del soggetto NIS nonché anche le dipendenze non digitali che non possono essere sostituite senza determinare un impatto significativo sulle attività e sui servizi NIS.

Con riferimento a quest’ultimo criterio di rilevanza (forniture non fungibili – criterio di rilevanza b)), si evidenziano, in particolare:

Connettività (dati e voce, fissa e mobile), qualora non ridondata:
- CPV: Servizi di Internet [72400000-4], Fornitori di servizi Internet (ISP) [72411000-4], Servizi di trasmissione di dati [72318000-7]
Corrente elettrica:
- CPV: Erogazione di energia elettrica [65310000-9], Erogazione di energia elettrica e servizi connessi [65300000-6].

Con riferimento al primo criterio di rilevanza (forniture ICT – criterio di rilevanza a)), si evidenziano, in particolare:

Infrastrutture digitali:
- punti di interscambio internet – CPV: Servizi di interconnessione [64221000-1];
- servizi di sistema dei nomi di dominio – CPV: Nomi di dominio di Internet [72417000-6];
- servizi di cloud computing – CPV: Servizi di Internet [72400000-4], Servizi di elaborazione dati [72300000-8], Servizi informatici [72500000-0], Servizi di gestione connessi all’informatica [72510000-3];
- servizi di data center – CPV: Servizi informatici: consulenza, sviluppo di software, Internet e supporto [72000000-5];
- reti di distribuzione dei contenuti – CPV: Servizi di Internet [72400000-4]
- servizi fiduciari – CPV: Servizi di certificazione della firma elettronica [79132100-9], Pacchetti software e sistemi di informazione [48000000-8];
- Fornitore di reti pubbliche di comunicazione elettronica – CPV: Servizi di telecomunicazione [64200000-8]
- Fornitore di servizi di comunicazione elettronica accessibili al pubblico – CPV: Servizi telefonici e di trasmissione dati [64210000-1];

Servizi gestiti e servizi gestiti di sicurezza:

CPV: Servizi informatici [72500000-0], Servizi di gestione connessi all’informatica [72510000-3], Servizi di manutenzione e assistenza sistemi [72250000-2], Servizi di consulenza e assistenza informatica [72600000-6], Servizi di audit e collaudo informatico [72800000-8].

FRN.5 È necessario elencare i fornitori esteri?

Si, è necessario, oltre che opportuno, tenuto conto che la maggior parte di questi fornitori, anche se extra-UE, è soggetta alla Direttiva NIS, in Italia o in altri SM.

FRN.6 È necessario elencare i fornitori di sedi estere di soggetti NIS nazionali?

Si. Come indicato anche nella FAQ FRN.5, l’elencazione è necessaria, oltre che opportuna, tenuto conto che la maggior parte di questi fornitori, anche se extra-UE, è soggetta alla Direttiva NIS, in Italia o in altri SM.

FRN.7 Se la fornitura rilevante è contrattualizzata tramite il fornitore A il quale si avvale del fornitore B come subfornitore, quale fornitore deve essere elencato?

In linea generale è necessario segnalare il fornitore A. Il fornitore B viene in rilievo solo qualora sia palese il suo contributo alla fornitura rilevante. Sul punto, si veda anche la FAQ FRN.8

FRN.8 Se la fornitura rilevante è contrattualizzata tramite il fornitore A ma effettivamemte erogata dal fornitore B, quale fornitore deve essere elencato?

In linea generale è necessario segnalare il fornitore B mentre è opportuna una ulteriore valutazione circa il fornitore A.

In particolare, il fornitore A viene in rilievo quale rilevante, qualora non si occupi della sola facilitazione dell’acquisizione della fornitura del fornitore B (i.e., broker, vds FAQ A1.9.5), ma sia funzionale all’erogazione della fornitura stessa.

Ad esempio, se l’organizzazione fruisce di un servizio SaaS del fornitore B la cui gestione applicativa è svolta dal fornitore A, entrambi sono fornitori rilevanti.

Al contrario, se l’organizzazione acquista dal fornitore A le licenze per accedere al servizio SaaS del fornitore B e non ha necessità di ulteriori interazioni con A per gestire la fornitura, il fornitore A non appare rilevante.

FRN. 9 Un fornitore che fa parte del medesimo gruppo di imprese deve essere valutato ai fini dell’individuazione dei fornitori rilevanti?

Si, al riguardo, viene in rilievo la FAQ FRN.8

FRN. 10 Come si compila il file excel ne caso in cui sia necessario indicare più CPV per uno stesso fornitore?

Se un fornitore eroga fornitura/e riferite a più codici CPV, l’utente dovrà compilare nel file una nuova riga per ogni codice CPV indicando il medesimo fornitore.

2. FAQ Accordi di condivisione delle informazioni sulla sicurezza informatica

ACI.1 Cosa sono gli accordi di condivisione delle informazioni sulla sicurezza informatica?

Ai sensi dell’articolo 1, comma 1, lettera kk) della Determinazione ACN 379887/2025, per “accordi di condivisione”, si intendono gli accordi di condivisione delle informazioni sulla sicurezza informatica, di cui all’articolo 17, comma 2, del decreto NIS, per attuare lo scambio di informazioni pertinenti su base volontaria di cui al comma 1 del medesimo articolo.

Tali accordi sono adottati dai soggetti essenziali ed importanti, nell’ambito delle proprie autonomie decisionali, per condividere informazioni sulla sicurezza informatica, comprese quelle relative a minacce informatiche, quasi incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di sicurezza informatica e raccomandazioni sulla configurazione degli strumenti di sicurezza informatica per rilevare minacce informatiche. La condivisione di tali informazioni mira a prevenire o a rilevare gli incidenti e ad aumentare il livello di sicurezza informatica.

ACI.2 È obbligatorio sottoscrivere accordi di condivisione con tutte le organizzazioni con le quali vengono scambiate informazioni sulla sicurezza informatica?

La condivisone di informazioni sulla sicurezza informatica ai sensi dell’articolo 17, comma 1, del decreto NIS tra soggetti NIS e/o tra soggetti NIS e le loro terze parti (ivi inclusi i fornitori) deve essere regolata, ai sensi del comma 2 del medesimo articolo, da accordi di condivisione, volti a definire il perimetro della condivisione e gli strumenti di tutela delle informazioni condivise.

Ferma restando l’opportunità di aderire quanto prima a questa migliore pratica, il termine per l’adeguamento a tale prescrizione è allineato al termine per l’adozione delle specifiche di base in materia di misure di sicurezza (ottobre 2026).

Si segnala inoltre che nel contesto della gestione del rischio che deriva dalla catena di approvvigionamento, i soggetti NIS sono chiamati a valutare l’opportunità di inserire clausole inerenti alla protezione delle informazioni che scambiano con i fornitori (e.g. accordi di riservatezza).

ACI.3 È obbligatorio notificare tutti gli accordi di condivisione del corso dell’aggiornamento annuale?

Nell’ottica di attuazione progressiva delle prescrizioni del decreto NIS, nel corso dell’aggiornamento annuale 2025 è prevista la sola notifica degli accordi di condivisione vigenti e sottoscritti successivamente all’entrata in vigore del decreto NIS.

La notifica degli accordi previgenti l’entrata in vigore del decreto NIS è rimandata all’aggiornamento annuale 2026, al fine di consentire ai soggetti NIS una completa analisi, nonché eventuale adeguamento, di tali accordi alla luce della nuova disciplina NIS.

ACI.4 Tutti i contratti con i fornitori devono essere notificati quali accordi di condivisione delle informazioni sulla sicurezza informatica?

Nell’ottica di attuazione progressiva delle prescrizioni del decreto NIS, e nelle more della costituzione di un consenso a livello Unionale, si configura come condivisione di informazioni sulla sicurezza informatica di cui all’articolo 17, comma 1, del decreto NIS, lo scambio di informazioni che avviene nel contesto di forniture che hanno oggetto, anche in parte, servizi di sicurezza informatica.

Sono pertanto oggetto di notifica i contratti relativi alle forniture di servizi quali:

NOC (Network Operation Centre);
MDR (Managed Detection and Response);
SOC (Security Operation Centre);
CSOC (Cyber Security Operation Centre);
CERT (Computer Emergency Response Team);
VA/PT (Vulnerability Assessment e Penetration Test);
Red Teaming;
Cyber Threat Intel.

Non sono altresì oggetto di notifica i contratti relativi a forniture che non hanno oggetto servizi di sicurezza informatica e in cui, su base volontaria o in forza di clausole contrattuali, il fornitore segnali al cliente eventuali eventi di sicurezza informatica di interesse del cliente stesso.

Si osserva, inoltre, che ai fini della notifica è sufficiente comunicare l’estratto del contratto inerente allo scambio delle informazioni.

Servizi su misura, efficaci e innovativi per trasformare la conformità in un vantaggio competitivo.

Da 40 anni siamo un punto di riferimento nella formazione tecnica specialistica in ambito compliance

FAQ Fornitori rilevanti e ACI (Accordi di condivisione delle informazioni)