Fornitori rilevanti NIS2:
la stretta ACN sui subfornitori e l’infragruppo

Cosa è successo il 18 maggio

Il 18 maggio 2026 l’ACN (Agenzia per la Cybersicurezza Nazionale) ha pubblicato un secondo blocco di FAQ — dalla FRN.5 alla FRN.10 — sull’elencazione dei fornitori rilevanti introdotta dalla determinazione 127437/2026. Le prime quattro FAQ (FRN.1 – FRN.4) erano già state diffuse in aprile; questo nuovo blocco interviene su scenari più specifici e meno intuitivi: fornitori esteri, sedi estere di soggetti NIS, subfornitori, catene di fornitura intermediata, rapporti infragruppo e gestione tecnica dei codici CPV.

L’appuntamento operativo è il 31 maggio 2026: entro questa data i soggetti essenziali e importanti devono completare l’aggiornamento annuale delle informazioni sulla piattaforma ACN. È un passaggio che si affianca al lavoro di categorizzazione di attività e servizi previsto dalla determinazione 155238/2026, ma ha tempi e logica propri.

FRN.8: il nodo della fornitura intermediata

La FAQ FRN.8 affronta lo scenario più comune nelle forniture digitali: il fornitore contrattualizzato (A) non è lo stesso soggetto che eroga davvero il servizio (B). Pensiamo all’organizzazione che acquista licenze SaaS attraverso un rivenditore locale, o alla PMI che usa cloud erogato da un partner che si appoggia a un hyperscaler. Chi va indicato come fornitore rilevante? ACN distingue due configurazioni — e una terza, ibrida, che cambia molte cose.

• 1A contraente, B subfornitore. Quando A ha il rapporto contrattuale e si avvale di B come subfornitore, in linea generale si indica A. Il subfornitore B rileva solo se il suo contributo è palese: una valutazione sostanziale, non una soglia numerica. Se B gestisce una componente critica senza la quale il servizio di A non funziona, va censito; se invece B è un fornitore di terzo livello fungibile e sostituibile, non è necessario indicarlo autonomamente.
• 2A intermediario commerciale. Se A è solo un broker, un distributore o un rivenditore che facilita l’acquisto (ordine, fatturazione, contratto) senza alcun ruolo nell’erogazione, allora la sua rilevanza è marginale e va indicato B, il fornitore effettivo.
• 3Il caso ibrido: A cura anche la gestione applicativa. Se A, oltre a rivendere il servizio di B, ne cura anche la gestione applicativa — configurazione, amministrazione, supporto tecnico essenziale, integrazione con i sistemi del cliente — A non è più un semplice broker. In quel caso, vanno censiti entrambi. È un’ipotesi frequente nei modelli «cloud + servizi gestiti» e cambia in modo netto l’elenco da compilare.

Per chi sta compilando l’elenco, il messaggio operativo è preciso: non basta leggere i contratti. Per ogni fornitura rilevante occorre capire chi la eroga davvero, chi la gestisce in modo funzionale e chi avrebbe accesso amministrativo ai sistemi. Sono domande che coinvolgono tre funzioni aziendali: procurement (struttura contrattuale), IT (architettura tecnica) e cyber security (impatto sulla continuità).

FRN.9: i fornitori infragruppo non sono esclusi

La FAQ FRN.9 risponde a una domanda che molti gruppi societari hanno preferito non porsi esplicitamente: una controllata, una società di servizi condivisi o la capogruppo che eroga forniture ICT al soggetto NIS deve essere censita come fornitore rilevante? La risposta di ACN è netta: sì. L’appartenenza al medesimo gruppo societario non costituisce criterio di esclusione e la valutazione va condotta con gli stessi criteri che si usano per i fornitori terzi.

Nei gruppi strutturati è prassi che alcune funzioni critiche siano centralizzate: data center gestiti dalla capogruppo, cloud governance presso una società di servizi condivisi, SOC interno al gruppo, infrastrutture di rete in pooling. Se queste forniture rientrano nell’Allegato I del D.Lgs. 138/2024 (punti 8 e 9 — categorie ICT) oppure se la loro interruzione avrebbe un impatto significativo sull’operatività NIS del soggetto, vanno censite, anche se la relazione è interna al perimetro consolidato.

La conseguenza, oltre la compilazione del portale, è di governance: riconoscere una società infragruppo come fornitore rilevante significa governarla con strumenti analoghi a quelli usati per i fornitori terzi — SLA, clausole contrattuali di sicurezza, piani di continuità, flussi di incident reporting, eventuali assessment. Per molti gruppi è l’occasione per formalizzare relazioni interne finora regolate da accordi informali basati sulla catena gerarchica.

Il quadro metodologico: BIA e TPRM

Leggendo l’intero blocco di FAQ emerge un messaggio metodologico implicito: l’elenco dei fornitori rilevanti non si costruisce con un approccio amministrativo. Servono due strumenti che chi lavora nella gestione del rischio conosce bene — la Business Impact Analysis (BIA) e il Third Party Risk Management (TPRM).

• BIA — Business Impact Analysis. Risponde alla domanda: quale sarebbe l’impatto sulla mia operatività NIS se questo fornitore si fermasse o venisse compromesso? Senza questa analisi non si distingue tra un fornitore contrattualmente importante e uno operativamente critico. I due insiemi non coincidono.
• TPRM — Third Party Risk Management. Qualifica, monitora e governa i fornitori in funzione del rischio che introducono. Un fornitore identificato dalla BIA non può restare in monitoraggio informale: deve essere gestito con assessment periodici, clausole contrattuali adeguate, flussi di incident reporting e — dove necessario — piani di continuità condivisi.
• Non fungibilità verificata in concreto. ACN aveva già chiarito, nelle prime FAQ, che la non fungibilità di un fornitore va valutata nella realtà operativa: non basta che esista un’alternativa sul mercato, deve essere attivabile nei tempi compatibili con la continuità del servizio NIS. È una verifica che richiede dati, non percezioni.

Le altre FAQ del blocco: FRN.5, FRN.6, FRN.7, FRN.10

Le FAQ FRN.8 e FRN.9 vivono nel contesto delle altre nuove FAQ ACN, che chiariscono casi ricorrenti nelle filiere reali:

• 5FRN.5 — fornitori esteri. I fornitori esteri, inclusi colossi tecnologici extra-UE come cloud provider statunitensi o asiatici, devono essere censiti se soddisfano i criteri di rilevanza. La nazionalità o la dimensione non sono criteri di esclusione.
• 6FRN.6 — sedi estere di soggetti NIS italiani. Se una sede estera fa parte del soggetto NIS italiano, le forniture che ne abilitano l’operatività vanno comunque considerate.
• 7FRN.7 — subfornitori (regola generale). Va indicato il fornitore contrattuale, con valutazione aggiuntiva del subfornitore quando il suo contributo è palese. È la regola che la FRN.8 sviluppa nei casi concreti di fornitura intermediata.
• 10FRN.10 — codici CPV multipli. Se lo stesso fornitore eroga servizi riconducibili a più codici CPV (Common Procurement Vocabulary), occorre inserire una riga separata per ciascun codice, ripetendo il nome del fornitore. Una precisazione tecnica che evita ambiguità nella raccolta dati.

Cosa fare entro il 31 maggio

Per arrivare alla scadenza con un quadro difendibile, suggeriamo un percorso in quattro passi, anche con il supporto di un partner specializzato:

• 1Rivedere l’elenco già compilato alla luce della FRN.8. Ci sono fornitori indicati che in realtà sono solo intermediari commerciali? Ci sono soggetti non indicati che svolgono invece un ruolo di gestione applicativa o tecnica rilevante? La distinzione tra broker e gestore funzionale è il vero passaggio di metodo introdotto dalle nuove FAQ.
• 2Mappare le società infragruppo (FRN.9). Verificare se esistano società del gruppo che erogano forniture ICT o servizi critici al soggetto NIS, applicando gli stessi criteri di rilevanza dei terzi. Un esercizio che chiarisce dipendenze tecnologiche spesso opache.
• 3Verificare la corretta associazione dei codici CPV (FRN.10). Per ogni fornitore, controllare che i codici CPV siano associati alle forniture effettive, con il giusto livello di granularità. Se uno stesso fornitore eroga servizi eterogenei (es. cloud + sicurezza gestita) servono righe separate con i CPV corretti.
• 4Documentare le scelte (anche se non richiesto formalmente). ACN non impone di conservare la motivazione di ogni inclusione o esclusione, ma farlo è una prassi di governance difendibile: in un’ispezione, in un audit o in un procedimento di verifica, avere traccia del ragionamento è un vantaggio concreto rispetto a doverlo ricostruire a posteriori. Servizi di cybersecurity.

Come AtWorkStudio supporta la mappatura

AtWorkStudio affianca le PMI e i gruppi nel percorso NIS2 con un approccio operativo: partiamo da un assessment della postura di sicurezza basato su NIST CSF 2.0, accompagniamo la mappatura della supply chain ICT secondo BIA e TPRM, supportiamo la compilazione della piattaforma ACN e integriamo le scelte nei contratti e nei piani di continuità. Per i clienti che ci scelgono come fornitore qualificato, il fatto di operare con qualificazione ACN QC1 sui servizi cloud SaaS riduce l’attrito di compliance lato cliente.

Operiamo da Piacenza dal 2000. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, qualificati ACN per servizi cloud SaaS, membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.