News

Fornitori rilevanti NIS2 – Tutti i chiarimenti ACN

Scadenza 31 maggio 2026 – ACN risponde ai dubbi sui Fornitori rilevanti NIS2

Il 31 maggio 2026 è la prossima scadenza nella roadmap NIS2: entro questa data i soggetti essenziali e importanti devono:

– completare l’aggiornamento annuale delle informazioni sulla piattaforma ACN

– elencare i fornitori rilevanti NIS2 (obbligo introdotto dalla Determinazione 127437/2026 del 13 aprile 2026, che amplia il perimetro della sicurezza alla supply chain).

 

Ma quali sono i fornitori rilevanti?

Con FAQ regolarmente aggiornate, ACN risponde ai dubbi che emergono dai soggetti coinvolti:

FRN.1 Per quale motivo nell’ambito dell’aggiornamento annuale delle informazioni devono essere indicati anche fornitori rilevanti NIS?

L’articolo 3, comma 9, lettera f), del decreto NIS prevede che il decreto stesso si applichi, indipendentemente dalle dimensioni, a un soggetto considerato critico in quanto elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti ai sensi della disciplina NIS.

Pertanto, è necessario, di conseguenza, acquisire le informazioni relative ai fornitori considerati rilevanti (fornitori rilevanti NIS) al fine di individuare tra di essi, d’intesa con le Autorità di settore, gli elementi sistemici della catena di approvvigionamento da individuare quali soggetti importanti o essenziali al fine di promuovere un adeguato livello di sicurezza informatica lungo la catena di approvvigionamento dei soggetti NIS.

FRN.2 Come si individuano i fornitori rilevanti NIS?

Ai sensi dell’articolo 1, comma 1, lettera ll), della Determinazione ACN 127437/2026 , un fornitore si considera “fornitore rilevante NIS” se fornisce servizi o prodotti a un soggetto NIS e soddisfa almeno uno dei seguenti criteri di rilevanza:

  1. la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS (fornitura ICT);
  2. l’interruzione o la compromissione della fornitura comportano un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS (fornitura non fungibile).

FRN.3 Quali informazioni devono essere comunicate in merito ai fornitori rilevanti NIS?

Ai sensi dell’articolo 18 della Determinazione ACN 127437/2026, devono essere comunicate le seguenti informazioni:

  1. la denominazione;
  2. il codice fiscale;
  3. il Paese in cui ha la sede legale;
  4. i codici CPV (Common Procurement Vocabulary) di cui al Regolamento (CE) n. 2195/2002, relativi alle forniture di cui fruisce il soggetto NIS;
  5. il criterio di rilevanza, di cui all’articolo 1, comma 1, lettera ll), utilizzato.

Si evidenzia che i criteri di rilevanza sono (in alternativa o congiuntamente) i seguenti:

  1. la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS;
  2. l’interruzione o la compromissione della fornitura comportano un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS.

Ai fini della definizione della fornitura si fa riferimento alla tassonomia contenuta nel vocabolario comune per gli appalti pubblici (common procurement vocabulary – CPV) adottato con Regolamento (CE) n. 2195/2002, successivamente modificato dal Regolamento (CE) n. 213/2008, disponibile al seguente link:
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32008R0213: apre un link esterno.

A titolo di mero supporto orientativo, al link seguente Allegato II.2 bis, Tabella D.1. nuovo Codice Appalti: apre un link esterno, è disponibile una corrispondenza di alto livello tra codici CPV e codici NACE/ATECO, utile per ricondurre, limitatamente ai codici in esso contenuti, le forniture alla classificazione delle attività economiche di riferimento. Si precisa che tale tabella non sostituisce l’elenco completo dei codici CPV previsti dal Regolamento (CE) n. 2195/2002 e, pertanto, la selezione definitiva dei codici CPV applicabili resta rimessa a ciascun soggetto sulla base dell’elenco completo contenuto nel predetto Regolamento.

Infine, alla FAQ FRN.4 sono illustrati alcuni esempi di forniture con la relativa indicazione del CPV di riferimento.

FRN.4 Quali sono alcuni esempi di forniture rilevanti NIS?

Tenuto conto della definizione di fornitori rilevanti NIS, rientrano tutte le dipendenze digitali del soggetto NIS  nonché anche le dipendenze non digitali che non possono essere sostituite senza determinare un impatto significativo sulle attività e sui servizi NIS.

Con riferimento a quest’ultimo criterio di rilevanza (forniture non fungibili – criterio di rilevanza b)), si evidenziano, in particolare:

  • Connettività (dati e voce, fissa e mobile), qualora non ridondata:
    • CPV: Servizi di Internet [72400000-4], Fornitori di servizi Internet (ISP) [72411000-4], Servizi di trasmissione di dati [72318000-7]
  • Corrente elettrica:
    • CPV: Erogazione di energia elettrica [65310000-9], Erogazione di energia elettrica e servizi connessi [65300000-6].

Con riferimento al primo criterio di rilevanza (forniture ICT – criterio di rilevanza a)), si evidenziano, in particolare:

  • Infrastrutture digitali:
    • punti di interscambio internet – CPV: Servizi di interconnessione [64221000-1];
    • servizi di sistema dei nomi di dominio – CPV: Nomi di dominio di Internet [72417000-6];
    • servizi di cloud computing – CPV: Servizi di Internet [72400000-4], Servizi di elaborazione dati [72300000-8], Servizi informatici [72500000-0], Servizi di gestione connessi all’informatica [72510000-3];
    • servizi di data center – CPV: Servizi informatici: consulenza, sviluppo di software, Internet e supporto [72000000-5];
    • reti di distribuzione dei contenuti – CPV: Servizi di Internet [72400000-4]
    • servizi fiduciari – CPV: Servizi di certificazione della firma elettronica [79132100-9], Pacchetti software e sistemi di informazione [48000000-8];
    • Fornitore di reti pubbliche di comunicazione elettronica – CPV: Servizi di telecomunicazione [64200000-8]
    • Fornitore di servizi di comunicazione elettronica accessibili al pubblico – CPV: Servizi telefonici e di trasmissione dati [64210000-1];
  • Servizi gestiti e servizi gestiti di sicurezza:

CPV: Servizi informatici [72500000-0], Servizi di gestione connessi all’informatica [72510000-3], Servizi di manutenzione e assistenza sistemi [72250000-2], Servizi di consulenza e assistenza informatica [72600000-6], Servizi di audit e collaudo informatico [72800000-8].

FRN.5  È necessario elencare i fornitori esteri?

Si, è necessario, oltre che opportuno, tenuto conto che la maggior parte di questi fornitori, anche se extra-UE, è soggetta alla Direttiva NIS, in Italia o in altri SM.

FRN.6  È necessario elencare i fornitori di sedi estere di soggetti NIS nazionali?

Si. Come indicato anche nella FAQ FRN.5, l’elencazione è necessaria, oltre che opportuna, tenuto conto che la maggior parte di questi fornitori, anche se extra-UE, è soggetta alla Direttiva NIS, in Italia o in altri SM.

FRN.7  Se la fornitura rilevante è contrattualizzata tramite il fornitore A il quale si avvale del fornitore B come subfornitore, quale fornitore deve essere elencato?

In linea generale è necessario segnalare il fornitore A. Il fornitore B viene in rilievo solo qualora sia palese il suo contributo alla fornitura rilevante. Sul punto, si veda anche la FAQ FRN.8

FRN.8  Se la fornitura rilevante è contrattualizzata tramite il fornitore A ma effettivamemte erogata dal fornitore B, quale fornitore deve essere elencato?

In linea generale è necessario segnalare il fornitore B mentre è opportuna una ulteriore valutazione circa il fornitore A.

In particolare, il fornitore A viene in rilievo quale rilevante, qualora non si occupi della sola facilitazione dell’acquisizione della fornitura del fornitore B (i.e., broker, vds FAQ A1.9.5), ma sia funzionale all’erogazione della fornitura stessa.

Ad esempio, se l’organizzazione fruisce di un servizio SaaS del fornitore B la cui gestione applicativa è svolta dal fornitore A, entrambi sono fornitori rilevanti.

Al contrario, se l’organizzazione acquista dal fornitore A le licenze per accedere al servizio SaaS del fornitore B e non ha necessità di ulteriori interazioni con A per gestire la fornitura, il fornitore A non appare rilevante.

 

FRN. 9 Un fornitore che fa parte del medesimo gruppo di imprese deve essere valutato ai fini dell’individuazione dei fornitori rilevanti?

Si, al riguardo, viene in rilievo la FAQ FRN.8

 

FRN. 10 Come si compila il file excel ne caso in cui sia necessario indicare più CPV per uno stesso fornitore?

Se un fornitore eroga fornitura/e riferite a più codici CPV, l’utente dovrà compilare nel file una nuova riga per ogni codice CPV indicando il medesimo fornitore.

 

 

Altre news

Ambiente: pubblicata la nuova UNI EN ISO 14001:2026. Cosa cambia?

arrow_forward

Nuovo Accordo Stato-Regioni sicurezza sul lavoro operativo dal 24 maggio 2026

arrow_forward

Dalla Direttiva Macchine al Regolamento Macchine: cosa cambia?

arrow_forward

NIS2: ACN pubblica le modalità di categorizzazione di attività e servizi

arrow_forward