Chiariti i termini per l’indicazione dei Fornitori Rilevanti.
Con Determinazione n. 127437/2026 l’Agenzia per la Cybersicurezza Nazionale/ACN ha chiarito i termini per indicare la tipologia dei i Fornitori Rilevanti.
La procedura di aggiornamento annuale, sarà da effettuare dal 15 aprile fino al 31 maggio.
Chi è “Fornitore Rilevante NIS2”
È il soggetto che fornisce prodotti o servizi a un soggetto NIS2, con almeno uno dei seguenti criteri:
- Fornitura ICT riconducibile alle attività o ai servizi dell’Allegato I, punti 8 e 9, del Decreto NIS (es. fornitori di servizi cloud, data center, DNS, ISP, servizi gestiti e servizi di sicurezza gestiti, fornitori di punti di interscambio internet, gestori nomi a dominio di primo livello per siti internet).
- Fornitura non fungibile o non sostituibile, la cui interruzione o compromissione avrebbe un impatto significativo sulla capacità operativa del soggetto NIS2.
La non fungibilità va valutata in concreto e dipende anche dall’indisponibilità di alternative o dalla mancata ridondanza.
Riferimento – FAQ ACN FRN.1–FRN.4 l’ACN (vedi di seguito)
I CRITERI da seguire:
- Criterio a) – Fornitura ICT: il fornitore cloud che ospita i sistemi gestionali aziendali; il data center che ospita i server; l’ISP che fornisce la connettività internet; l’MSSP che gestisce firewall, SIEM e servizi di sicurezza; la società esterna che gestisce in outsourcing la rete LAN o che fornisce gli amministratori di sistema.
- Criterio b) – Fornitura non fungibile: il fornitore unico di connettività dati/voce senza linea ridondata (CPV 72400000-4, 72411000-4, 72318000-7); il fornitore di energia elettrica quando la mancata alimentazione blocca il servizio NIS (CPV 65310000-9, 65300000-6); il fornitore esclusivo di un software verticale critico (es. gestionale clinico in ambito sanitario, sistema SCADA in ambito energy) privo di alternative sul mercato o non sostituibile in tempi compatibili con la continuità del servizio.
- Casi che tipicamente NON rientrano: fornitori facilmente sostituibili o ridondati (due ISP diversi, due fornitori di energia, più vendor alternativi per lo stesso servizio); fornitori che, pur importanti per il business, non incidono sulle attività o sui servizi per i quali il soggetto è classificato NIS.
Esempio pratico:
Holding che eroga servizi ICT infragruppo. Una società capogruppo è registrata come soggetto NIS perché, attraverso sistemi informatici propri, elabora le
buste paga di tutte le società del gruppo e gestisce la sicurezza delle loro infrastrutture IT (dunque risulta nel Portale ACN come fornitore di servizi TIC). I fornitori rilevanti da censire sono esclusivamente quelli che le consentono di erogare proprio quei servizi, in particolare: il fornitore di energia elettrica dei data center, il fornitore cloud su cui gira il gestionale paghe, l’ISP che garantisce la connettività verso le affiliate. Se per uno di questi servizi non vi sono fornitori alternativi o ridondanza effettiva, il fornitore è rilevante e va comunicato ad ACN.
Per procedere correttamente alla registrazione dei fornitori, i soggetti NIS2 devono utilizzare il servizio dedicato all’aggiornamento annuale sul Portale ACN e indicare, per ciascun fornitore: rilevante:
- la Ragione Sociale
- il codice fiscale
- il Paese in cui ha sede legale;
- i codici CPV (Common Procurement Vocabulary) relativi alle forniture di cui il soggetto NIS beneficia;
- il criterio di rilevanza soddisfatto.
Per approfondimenti segnaliamo le FAQ ACN dedicate (in particolare FRN.1, FRN.2, FRN.3 e FRN.4), disponibili al seguente link: https://www.acn.gov.it/portale/faq/nis/aggiornamento-delle-informazioni
