Categoria: Cybersecurity & Compliance | Tempo di lettura: 5 minuti
Se la tua azienda rientra nel perimetro della Direttiva NIS2, probabilmente stai già cercando di orientarti tra obblighi, scadenze e adempimenti. Ma c’è un tema che molte PMI stanno ancora sottovalutando: l’identificazione e la comunicazione dei Fornitori rilevanti NIS.
Non si tratta di un semplice censimento. È un passaggio che richiede una valutazione sostanziale della tua catena di fornitura IT — e ignorarlo può esporti a rischi sia operativi che normativi.
Cosa ha introdotto la Determinazione ACN 127437/2026
Il 13 aprile 2026 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la Determinazione n. 127437/2026, che aggiorna e sostituisce la precedente n. 379887/2025 e definisce nel dettaglio il processo, le modalità e i criteri per l’elencazione e la categorizzazione dei soggetti NIS.
Tra le novità più rilevanti c’è l’obbligo, per i soggetti già registrati come entità NIS, di individuare e comunicare i propri Fornitori rilevanti NIS nell’ambito del processo annuale di aggiornamento delle informazioni sulla piattaforma digitale ACN.
La finestra operativa prevista era dal 15 aprile al 31 maggio 2026. Se non hai ancora adempiuto, è importante muoversi il prima possibile: contatta il tuo punto di riferimento per la compliance NIS2 o scrivi al nostro team per capire da dove partire.
Cosa si intende per “Fornitore rilevante NIS”
Secondo la definizione ufficiale ACN, un Fornitore rilevante NIS è un fornitore di beni o servizi che soddisfa almeno uno dei seguenti criteri:
- Criterio ICT — la fornitura riguarda servizi o prodotti ICT (cloud, data center, reti di comunicazione, servizi DNS, servizi fiduciari, fornitori di sicurezza gestita).
- Criterio di non fungibilità — l’interruzione o la compromissione della fornitura comporterebbe un impatto significativo sulla capacità del soggetto NIS di erogare i propri servizi, anche per l’indisponibilità di fornitori alternativi.
Per ciascuno di questi fornitori, il soggetto NIS è tenuto a comunicare:
- Denominazione e codice fiscale del fornitore
- Paese di sede legale
- Codici CPV (Common Procurement Vocabulary) relativi alle forniture erogate
- Criterio di rilevanza utilizzato per classificarlo come “Fornitore rilevante NIS”
Questi dati non vengono raccolti in modo automatico: è l’azienda stessa a doverli identificare, verificare e trasmettere attraverso il Servizio NIS/Aggiornamento annuale sul Portale ACN.
Perché non è solo burocrazia
Qui sta il punto che molte aziende fraintendono.
Individuare i propri Fornitori rilevanti NIS non significa compilare un modulo e andare avanti. Significa rispondere a una domanda concreta: i fornitori IT da cui dipendo sono affidabili dal punto di vista della sicurezza?
Se un tuo fornitore venisse compromesso — un attacco ransomware, una violazione dei dati, un’interruzione del servizio — quanto sarebbe grave l’impatto sulla tua operatività?
Questo è esattamente il tipo di analisi che la normativa vuole incentivare. Non è adempimento fine a sé stesso: è gestione del rischio reale lungo tutta la supply chain digitale.
Chi è obbligato a farlo
L’obbligo riguarda i soggetti già registrati come entità NIS — sia essenziali che importanti — nei settori individuati dal D.Lgs. 138/2024: energia, trasporti, banche, infrastrutture digitali, sanità, acque, e altri ancora.
Se la tua azienda è già nel perimetro NIS2 e hai completato la registrazione sul portale ACN, questo adempimento ti riguarda direttamente.
Se invece non sei sicuro di rientrare nel perimetro, è il momento di verificarlo: meglio scoprirlo ora che trovarsi impreparati alla prossima scadenza.
Cosa rischi se non lo fai
Le sanzioni previste dalla NIS2 per la mancata conformità sono significative: fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali, e fino a 7 milioni o l’1,4% del fatturato per i soggetti importanti.
Ma al di là delle sanzioni, il rischio più immediato è operativo: non conoscere i propri fornitori critici significa non essere in grado di gestire un incidente nel momento in cui si verifica.
Come affrontarlo concretamente
Il processo si articola in tre fasi principali:
1. Mappatura della supply chain IT
Censisci tutti i fornitori che erogano servizi rilevanti per la tua operatività: cloud, connettività, software gestionale, assistenza sistemistica, cybersecurity.
2. Valutazione della rilevanza
Per ciascun fornitore, applica i criteri definiti dalla Determinazione ACN 127437/2026 per determinare se rientra nella categoria “Fornitore rilevante NIS”. Non tutti i fornitori lo sono: la selezione deve essere motivata e documentata.
3. Raccolta e trasmissione delle informazioni
Raccogli i dati richiesti (codice fiscale, sede legale, codici CPV, criterio di rilevanza) e trasmettili tramite il Servizio NIS/Aggiornamento annuale sul Portale ACN.
Come può aiutarti Exasys
In Exasys affianchiamo le PMI e le organizzazioni nel percorso completo di adeguamento alla NIS2: dalla verifica iniziale del perimetro, alla mappatura dei fornitori, fino alla documentazione e alla trasmissione delle informazioni richieste.
Non ti lasciamo solo davanti a una normativa complessa. Ti guidiamo passo dopo passo, con un approccio concreto e orientato alla tua realtà operativa.
Hai già verificato se sei soggetto a questi obblighi? Se la risposta è no — o anche solo "non sono sicuro" — contattaci per una consulenza gratuita. Ti diciamo subito da dove partire.
