La compilazione annuale delle informazioni NIS ha messo in evidenza una questione cruciale: l’identificazione dei fornitori rilevanti non è un esercizio meramente amministrativo. Le nuove FAQ pubblicate da ACN il 18 maggio 2026 (in particolare le FRN 5-10) chiariscono che non basta osservare la pagina del contratto per decidere chi debba comparire nell’elenco; occorre invece capire chi rende concretamente disponibile la fornitura e quale impatto avrebbe la sua interruzione. In pratica, la richiesta di indicare denominazione, codice fiscale, Paese della sede legale, codici CPV e criterio di rilevanza impone una riflessione sostanziale sulle dipendenze operative.
Questo adempimento si colloca nella cornice della Determinazione ACN del 13 aprile 2026 che ha introdotto l’obbligo di dettagliare i fornitori nell’aggiornamento annuale delle informazioni, insieme alla categorizzazione delle attività e dei servizi. Per rispettare la norma non è sufficiente copiare i dati del procurement: serve costruire una vera e propria mappa delle dipendenze, supportata da strumenti come la BIA e il TPRM, capaci di distinguere il ruolo nominale del contraente dal suo contributo operativo reale.
Perché l’elenco è una scelta di governance
Il punto centrale è che le catene di fornitura odierne sono spesso stratificate e non lineari: rivenditori, system integrator, cloud provider, managed service provider e subfornitori possono intervenire in momenti diversi del ciclo di servizio. L’obbligo di indicare i codici CPV punta a descrivere la specifica fornitura, non a etichettare il soggetto. La compilazione, quindi, diventa un’attività di governance: l’organizzazione deve valutare quali forniture sono critiche, chi le eroga realmente e chi ha leve operative sulla sicurezza e continuità.
Dal contratto alla dipendenza operativa
Non sempre il contraente diretto coincide con il soggetto che esercita il controllo operativo. È qui che entra in gioco la distinzione tra fornitore contrattuale e fornitore funzionale. La BIA aiuta a determinare l’impatto sulla continuità dell’attività in caso di interruzione; il TPRM valuta il rischio introdotto da ciascun terzo. Solo combinando questi due strumenti si può decidere con criteri oggettivi quali soggetti debbano essere considerati fornitori rilevanti ai fini NIS.
Casi pratici: reseller, broker e forniture SaaS
Un esempio classico è l’acquisto di licenze SaaS tramite un rivenditore. Se il partner si limita a vendere, fatturare e gestire l’ordine, il suo ruolo è prevalentemente commerciale e difficilmente lo rende un fornitore rilevante. Se invece il rivenditore svolge attività di configurazione, amministrazione, supporto tecnico o integrazione necessaria per l’operatività, allora assume una valenza sostanziale e deve essere censito. La BIA serve a stabilire la criticità del servizio SaaS; il TPRM a qualificare i ruoli e i controlli presenti.
Quando includere i subfornitori
Analogamente, la presenza di subfornitori nella catena non implica automaticamente rilevanza: il criterio operativo è la determinazione della funzione strutturale. Un subfornitore va segnalato quando il suo contributo non è marginale o facilmente sostituibile e quando la sua indisponibilità impatta materialmente la continuità del servizio. Evitare due errori opposti è fondamentale: censire solo il contraente diretto ignorando la dipendenza effettiva, oppure includere indiscriminatamente tutti gli attori, riducendo la lista a un repertorio poco significativo.
CPV, documentazione e metodo caso per caso
I codici CPV devono descrivere la prestazione che rende il soggetto rilevante, non fungere da etichetta generica. Un unico fornitore che eroga servizi diversi deve essere segnalato con i codici che rappresentano le singole forniture critiche. La pratica raccomandata è una valutazione caso per caso, supportata da evidenze: registrare le analisi della BIA, le valutazioni del TPRM e le motivazioni che hanno portato all’inclusione o esclusione di ciascun soggetto nell’elenco.
Regola operativa
In termini operativi, la regola più affidabile è indicare chi eroga effettivamente la fornitura o chi contribuisce in modo funzionale alla sua erogazione, gestione, disponibilità, sicurezza o continuità. Il partner contrattuale va annotato quando svolge funzioni operative essenziali; il subfornitore va valutato quando la sua funzione è strutturale; il rivenditore puramente commerciale può essere escluso se non ha ruoli tecnici o gestionali rilevanti. Questa impostazione è coerente con la logica della NIS2 e delle misure previste dall’art. 24 del D.Lgs. 138/2026.
In conclusione, l’elenco dei fornitori rilevanti dovrebbe diventare uno strumento di conoscenza e controllo delle dipendenze critiche, non un adempimento formale. Predisporre e conservare la documentazione delle scelte, integrare le analisi di BIA e TPRM e associare correttamente i CPV alle forniture permette di trasformare l’obbligo in un’opportunità di governance e resilienza operativa.
