Relevante NIS2-Lieferanten:
die ACN-Verschärfung für Subunternehmer und Konzernunternehmen

Was am 18. Mai geschah

Am 18. Mai 2026 hat die ACN (italienische Agentur für Cybersicherheit) einen zweiten Block von FAQ — FRN.5 bis FRN.10 — zur Erfassung der relevanten Lieferanten gemäß der Bestimmung 127437/2026 veröffentlicht. Die ersten vier FAQ (FRN.1 – FRN.4) waren bereits im April publiziert worden; dieser neue Block behandelt spezifischere und weniger intuitive Szenarien: ausländische Lieferanten, ausländische Niederlassungen italienischer NIS-Pflichtiger, Subunternehmer, vermittelte Lieferketten, konzerninterne Beziehungen und die technische Handhabung der CPV-Codes.

Der operative Termin ist der 31. Mai 2026: Bis zu diesem Datum müssen wesentliche und wichtige Einrichtungen die jährliche Aktualisierung der Informationen auf der ACN-Plattform abschließen. Sie ergänzt die Arbeit zur Kategorisierung von Aktivitäten und Diensten gemäß Bestimmung 155238/2026, folgt jedoch eigener Zeit und Logik.

FRN.8: der Knoten der vermittelten Lieferung

Die FAQ FRN.8 behandelt das häufigste Szenario in digitalen Lieferungen: Der vertraglich gebundene Lieferant (A) ist nicht derselbe, der den Dienst tatsächlich erbringt (B). Man denke an die Organisation, die SaaS-Lizenzen über einen lokalen Reseller kauft, oder an das KMU, dessen Cloud von einem Partner erbracht wird, der seinerseits einen Hyperscaler nutzt. Wer ist als relevanter Lieferant anzugeben? Die ACN unterscheidet zwei Konfigurationen — und eine dritte, hybride, die vieles ändert.

• 1A Auftragnehmer, B Subunternehmer. Wenn A den Vertrag hält und B als Subunternehmer einsetzt, ist in der Regel A anzugeben. Der Subunternehmer B ist nur dann relevant, wenn sein Beitrag offenkundig ist: eine substanzielle Bewertung, keine numerische Schwelle. Wenn B eine kritische Komponente betreibt, ohne die der Dienst von A nicht funktionieren würde, muss B erfasst werden; ist B hingegen ein Drittlinien-Lieferant, fungibel und ersetzbar, muss er nicht eigenständig erfasst werden.
• 2A als kommerzieller Vermittler. Wenn A nur Broker, Distributor oder Reseller ist und den Einkauf erleichtert (Bestellung, Rechnungsstellung, Vertrag), ohne an der Erbringung beteiligt zu sein, ist seine Relevanz marginal — anzugeben ist B, der tatsächliche Anbieter.
• 3Der hybride Fall: A übernimmt auch das Application Management. Wenn A neben dem Wiederverkauf des Dienstes von B auch dessen Application Management übernimmt — Konfiguration, Administration, wesentlicher technischer Support, Integration in die Systeme des Kunden — ist A nicht mehr nur Broker. In diesem Fall sind beide zu erfassen. Es ist ein häufiges Muster in «Cloud + Managed Services»-Modellen und ändert deutlich die einzutragende Liste.

Für wer die Liste ausfüllt, ist die operative Botschaft eindeutig: Verträge allein reichen nicht. Für jede relevante Lieferung muss geklärt werden, wer sie tatsächlich erbringt, wer sie funktional steuert und wer administrativen Zugriff auf die Systeme hätte. Es sind Fragen, die drei Unternehmensfunktionen einbeziehen: Procurement (Vertragsstruktur), IT (technische Architektur) und Cyber Security (Impact auf die Kontinuität).

FRN.9: konzerninterne Lieferanten sind nicht ausgenommen

Die FAQ FRN.9 beantwortet eine Frage, die viele Unternehmensgruppen lieber nicht ausdrücklich gestellt haben: Muss eine Tochtergesellschaft, eine Shared-Services-Gesellschaft oder die Muttergesellschaft, die ICT-Lieferungen an den NIS-Pflichtigen erbringt, als relevanter Lieferant erfasst werden? Die Antwort der ACN ist eindeutig: ja. Die Zugehörigkeit zum selben Unternehmenskonzern ist kein Ausschlusskriterium, und die Bewertung muss mit denselben Kriterien erfolgen, die für Drittlieferanten gelten.

In strukturierten Konzernen sind mehrere kritische Funktionen typischerweise zentralisiert: von der Muttergesellschaft betriebene Rechenzentren, Cloud-Governance bei einer Shared-Services- Gesellschaft, gruppeneigenes SOC, gepoolte Netzinfrastrukturen. Fallen diese Lieferungen unter Anhang I, Ziffern 8 und 9, des italienischen Gesetzesdekrets 138/2024 (ICT-Kategorien) oder hätte ihre Unterbrechung erhebliche Auswirkungen auf den NIS-Betrieb, sind sie zu erfassen, auch wenn die Beziehung innerhalb des konsolidierten Perimeters liegt.

Über das Ausfüllen des Portals hinaus hat das eine Governance-Konsequenz: Ein konzerninternes Unternehmen als relevanten Lieferanten anzuerkennen bedeutet, es mit denselben Instrumenten zu steuern, die für Dritte verwendet werden — SLA, vertragliche Sicherheitsklauseln, Kontinuitätspläne, Incident-Reporting-Flows und gegebenenfalls Assessments. Für viele Gruppen ist das die Gelegenheit, interne Beziehungen zu formalisieren, die bislang durch informelle, auf der Konzernhierarchie basierende Vereinbarungen geregelt waren.

Der methodische Rahmen: BIA und TPRM

Liest man den FAQ-Block als Ganzes, ergibt sich eine implizite methodische Botschaft: Die Liste der relevanten Lieferanten lässt sich nicht mit einem administrativen Ansatz aufbauen. Es braucht zwei Instrumente, die Praktiker des Risikomanagements gut kennen — die Business Impact Analysis (BIA) und das Third Party Risk Management (TPRM).

• BIA — Business Impact Analysis. Beantwortet die Frage: Welche Auswirkungen hätte es auf meinen NIS-Betrieb, wenn dieser Lieferant ausfällt oder kompromittiert wird? Ohne diese Analyse lässt sich ein vertraglich wichtiger Lieferant nicht von einem operativ kritischen unterscheiden. Die beiden Mengen decken sich nicht.
• TPRM — Third Party Risk Management. Qualifiziert, überwacht und steuert die Lieferanten anhand des Risikos, das sie einbringen. Ein durch die BIA identifizierter Lieferant darf nicht in informellem Monitoring verbleiben: Er ist mit regelmäßigen Assessments, angemessenen Vertragsklauseln, Incident-Reporting-Flows und — wo nötig — gemeinsamen Kontinuitätsplänen zu führen.
• In der Praxis geprüfte Nicht-Fungibilität. Die ACN hatte bereits in den ersten FAQ klargestellt, dass die Nicht-Fungibilität eines Lieferanten in der operativen Realität zu bewerten ist: Es genügt nicht, dass eine Alternative auf dem Markt existiert, sie muss innerhalb von Fristen aktivierbar sein, die mit der Kontinuität des NIS-Dienstes vereinbar sind. Eine Prüfung, die Daten verlangt, keine Eindrücke.

Die weiteren FAQ des Blocks: FRN.5, FRN.6, FRN.7, FRN.10

Die FAQ FRN.8 und FRN.9 stehen im Kontext der weiteren neuen ACN-FAQ, die wiederkehrende Fälle in realen Lieferketten klären:

• 5FRN.5 — ausländische Lieferanten. Ausländische Lieferanten, einschließlich Nicht-EU-Tech-Giganten wie US-amerikanischer oder asiatischer Cloud-Provider, sind zu erfassen, wenn sie die Relevanzkriterien erfüllen. Staatsangehörigkeit oder Größe sind keine Ausschlusskriterien.
• 6FRN.6 — ausländische Niederlassungen italienischer NIS-Pflichtiger. Gehört eine ausländische Niederlassung zum italienischen NIS-Pflichtigen, sind die Lieferungen, die ihren Betrieb ermöglichen, weiterhin zu berücksichtigen.
• 7FRN.7 — Subunternehmer (allgemeine Regel). Anzugeben ist der vertragliche Lieferant, mit zusätzlicher Bewertung des Subunternehmers, wenn dessen Beitrag offenkundig ist. Diese Regel entwickelt die FRN.8 in den konkreten Fällen vermittelter Lieferung weiter.
• 10FRN.10 — mehrere CPV-Codes. Erbringt derselbe Lieferant Dienste, die mehreren CPV-Codes (Common Procurement Vocabulary) zugeordnet sind, muss für jeden Code eine eigene Zeile eingetragen werden, wobei der Name des Lieferanten wiederholt wird. Eine technische Präzisierung, die Mehrdeutigkeiten bei der Datenerhebung vermeidet.

Was bis 31. Mai zu tun ist

Um die Frist mit einem belastbaren Bild zu erreichen, schlagen wir einen Weg in vier Schritten vor — auch mit Unterstützung eines spezialisierten Partners:

• 1Die bereits erstellte Liste im Licht der FRN.8 überprüfen. Gibt es eingetragene Lieferanten, die in Wirklichkeit nur kommerzielle Vermittler sind? Gibt es nicht eingetragene Subjekte, die hingegen eine relevante Rolle in der Anwendungsverwaltung oder im technischen Management spielen? Die Unterscheidung zwischen Broker und funktionalem Verwalter ist der methodische Schritt, den die neuen FAQ einführen.
• 2Konzerninterne Gesellschaften erfassen (FRN.9). Prüfen, ob Gesellschaften des Konzerns ICT-Lieferungen oder kritische Dienste an den NIS-Pflichtigen erbringen, und dieselben Relevanzkriterien anwenden, die für Dritte gelten. Eine Übung, die häufig undurchsichtige technologische Abhängigkeiten klärt.
• 3Die korrekte Zuordnung der CPV-Codes überprüfen (FRN.10). Für jeden Lieferanten kontrollieren, dass die CPV-Codes den tatsächlichen Lieferungen mit der richtigen Granularität zugeordnet sind. Erbringt derselbe Lieferant heterogene Dienste (z. B. Cloud + Managed Security), braucht es separate Zeilen mit den korrekten CPV.
• 4Entscheidungen dokumentieren (auch ohne formale Pflicht). Die ACN verlangt formal nicht, die Begründung jeder Aufnahme oder Ausschließung aufzubewahren, doch dies zu tun ist eine belastbare Governance-Praxis: Bei Inspektionen, Audits oder Prüfverfahren ist eine Spur des Denkprozesses ein konkreter Vorteil gegenüber einer nachträglichen Rekonstruktion. Cybersecurity-Dienste.

Wie AtWorkStudio bei der Erfassung unterstützt

AtWorkStudio begleitet KMU und Konzerne auf dem NIS2-Weg mit einem operativen Ansatz: Wir starten mit einem Security-Posture-Assessment auf Basis des NIST CSF 2.0, begleiten die Erfassung der ICT-Lieferkette nach BIA und TPRM, unterstützen die Eintragung auf der ACN-Plattform und integrieren die Entscheidungen in Verträge und Kontinuitätspläne. Kunden, die uns als qualifizierten Lieferanten wählen, profitieren davon, dass wir mit ACN-QC1-Qualifikation für SaaS-Cloud-Dienste arbeiten und so den Compliance-Aufwand auf Kundenseite reduzieren.

Wir arbeiten seit 2000 von Piacenza (Italien) aus. Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, ACN-qualifiziert für SaaS-Cloud-Dienste, Mitglied von Clusit (italienischer Verband für Informationssicherheit) und assoziiert mit Confindustria Piacenza im RICT-Cluster.