Argomenti trattati
La pubblicazione della Determina 127437/2026 e della Determina 127434/2026 da parte dell’ACN segna una svolta nella gestione della supply chain per i soggetti NIS. Con l’introduzione dell’elenco dei fornitori rilevanti e della procedura annuale di categorizzazione, il rapporto con i fornitori esce dall’ambito meramente contrattuale per entrare nel perimetro regolato e verificabile dall’autorità.
Questo intervento normativo non riguarda soltanto un adempimento formale: impone alle organizzazioni di documentare le scelte metodologiche che portano a qualificare un fornitore come rilevante, integrando strumenti diversi e aggiornando ruoli, contratti e piani di continuità. Inoltre, la Determinazione 127434/2026 chiarisce scadenze operative per i nuovi soggetti inseriti nel 2026, tra cui l’obbligo di notifica degli incidenti significativi a partire dal 1 gennaio 2027 e l’adozione delle misure di sicurezza di base entro luglio 2027.
Cosa introduce l’articolo 18 e come cambia il perimetro
L’articolo 18 della Determinazione impone la comunicazione dei fornitori rilevanti tramite il Portale ACN, trasformando la supply chain in un elemento esplicitamente regolato. Per la prima volta la rilevanza non si misura sul valore contrattuale o su certificazioni formali, ma sull’impatto effettivo che la perdita o la compromissione di un fornitore può avere sui processi individuati dalla Business Impact Analysis (BIA). In pratica, ciò che conta è la relazione funzionale tra fornitore e processo critico, valutata e documentata secondo criteri ripetibili.
Obblighi informativi e flusso sulla piattaforma
I soggetti NIS devono usare il servizio NIS/Aggiornamento annuale informazioni per inserire i dati dei fornitori rilevanti: denominazione, codice fiscale, paese di sede, codici CPV delle forniture e il criterio di rilevanza adottato. Parallelamente, dal 1 maggio al 30 giugno ogni anno va compilata la lista delle attività e dei servizi tramite il servizio NIS/Categorizzazione. La determinazione sostituisce la precedente misura del 19 dicembre 2026 (Determina n. 379887/2026) e prevede strumenti operativi e materiali di supporto per eseguire una BIA semplificata nei Tavoli settoriali.
Perché integrare BIA e TPRM è indispensabile
La corretta individuazione dei fornitori rilevanti nasce dall’incontro tra Business Impact Analysis e Third Party Risk Management (TPRM). La BIA individua processi critici, soglie di tolleranza al disservizio e le dipendenze funzionali che legano servizi e fornitori; il TPRM valuta i rischi connessi a ciascun partner. Se separati, questi due approcci rischiano di fornire valutazioni incomplete: la BIA dice cosa è critico, il TPRM spiega come il fornitore incide su quella criticità. L’integrazione genera una mappa delle dipendenze che rende la scelta del fornitore rilevante documentabile e difendibile in sede di verifica da parte dell’autorità.
Criteri pratici per la qualificazione
Per decidere se un fornitore è rilevante, vanno considerati almeno tre elementi: la sostituibilità (quanto tempo e costi servono per rimpiazzarlo rispetto alle soglie di tolleranza), la concentrazione del rischio (dipendenza da pochi attori per servizi essenziali) e la profondità della dipendenza tecnologica (livello infrastrutturale o componente critica). Questi fattori, valutati congiuntamente alla BIA, permettono di classificare correttamente i fornitori anche quando l’impatto non è immediatamente evidente ma può generare effetti a cascata su più processi.
Contratti, governance e trasformazione dell’adempimento
La formalizzazione dei fornitori rilevanti richiede di ripensare le clausole contrattuali: le garanzie di sicurezza, i diritti di audit, le procedure di gestione degli incidenti e le clausole di continuità operativa devono rispecchiare la qualifica del fornitore. L’obiettivo non è solo soddisfare un obbligo amministrativo, ma consolidare un modello di governance della supply chain che integri la gestione del rischio nelle decisioni operative e strategiche. In questo contesto, le entità soggette al Regolamento DORA possono essere esentate dall’obbligo di categorizzazione, pur potendo aderire volontariamente al processo.
In sintesi, la novità introdotta dalla Determinazione 127437/2026 mette l’accento sulla trasparenza e sulla rigore metodologico: senza una documentazione strutturata del percorso che porta a qualificare un fornitore come rilevante, l’elenco comunicato alla piattaforma ACN rischia di essere contestabile e di perdere efficacia nella gestione del rischio. Le organizzazioni che sapranno trasformare l’adempimento in leva di resilienza rafforzeranno la loro capacità di governare la supply chain nel nuovo contesto NIS2.