Fornitori rilevanti NIS2: cosa cambia con la Determinazione ACN 127437/2026

La Determinazione ACN 127437/2026 introduce, per i soggetti NIS, l'obbligo di comunicare la lista dei fornitori rilevanti entro il 31 maggio. Criteri di qualificazione, codici CPV, non fungibilità della fornitura e checklist operativa.

1. Cosa cambia con la Determinazione ACN 127437/2026

Con la Determinazione del Direttore Generale ACN n. 127437 del 13 aprile 2026, conclusiva dell’ottava riunione del Tavolo NIS del 9 aprile 2026, l’Agenzia per la cybersicurezza nazionale ha introdotto, per i soggetti NIS, l’obbligo di comunicare i propri fornitori rilevanti all’interno dell’aggiornamento annuale delle informazioni sulla piattaforma digitale.

La Determinazione 127437/2026 sostituisce la precedente n. 379887 del 19 dicembre 2025 e si applica dal 15 aprile 2026.

L’articolo 18 della Determinazione impone ai soggetti NIS di indicare, per ciascun fornitore rilevante:

• la denominazione sociale;
• il codice fiscale;
• il Paese della sede legale;
• i codici CPV (Common Procurement Vocabulary) relativi alle forniture di cui il soggetto NIS fruisce;
• il criterio di rilevanza utilizzato per qualificarlo.

Attraverso le segnalazioni dei soggetti già perimetrati, ACN viene messa nella condizione di individuare altri operatori che — per posizione nella catena di approvvigionamento — potrebbero rientrare a loro volta nel perimetro NIS. È, di fatto, uno strumento di mappatura indiretta della filiera critica nazionale. Chi compila quella tabella sta segnalando da chi dipende davvero, e sta orientando le prossime mosse dell’Autorità sul tessuto imprenditoriale.

2. Chi sono i fornitori rilevanti NIS2

I soggetti NIS non devono comunicare tutti i fornitori, ma soltanto quelli rilevanti ai fini del decreto NIS. La Determinazione qualifica come tale il fornitore che soddisfa almeno uno dei seguenti criteri:

a) la fornitura è riconducibile alle attività o ai servizi richiamati dall’allegato I, punti 8 e 9, del d.lgs. 138/2024: fornitori di infrastrutture digitali (data center, IXP, DNS, CDN, servizi cloud, servizi fiduciari, reti pubbliche di comunicazione elettronica) e fornitori di servizi di gestione TIC (managed service provider e managed security service provider);

b) l’interruzione o la compromissione della fornitura comporta un impatto significativo sulla capacità del soggetto NIS di erogare le attività o i servizi per cui rientra nel perimetro NIS, anche per effetto dell’indisponibilità di fornitori alternativi.

I due criteri sono alternativi, non cumulativi: basta che ne ricorra uno. La scelta operativa più delicata sta nella lettera b: capire quale fornitore, fermandosi, ferma davvero i servizi NIS del soggetto importante o essenziale.

La rilevanza non si misura sul valore del contratto né sull’importanza commerciale del fornitore, ma sull’impatto operativo che la sua interruzione produce sui servizi NIS.

3. Quali dati comunicare e perché contano i codici CPV

Le informazioni richieste dall’articolo 18 sono cinque, e ciascuna ha una funzione precisa.

Ogni fornitore deve essere classificato in base al Common Procurement Vocabulary — il sistema di classificazione europeo degli appalti pubblici, istituito dal Regolamento (CE) n. 2195/2002 e successivamente modificato dal Regolamento (CE) n. 213/2008 — che permette di identificare con precisione la natura della fornitura, evitando descrizioni autoreferenziali.

Scrivere genericamente «servizi cloud» non basta. Bisogna distinguere, ad esempio, tra:

• servizi Internet (CPV 72400000);
• servizi di elaborazione dati (CPV 72300000);
• servizi informatici di gestione (CPV 72500000);
• servizi di consulenza informatica (CPV 72200000).

Solo così le informazioni diventano confrontabili a livello di sistema-Paese e l’Agenzia può aggregare i dati per individuare concentrazioni di rischio sulla filiera nazionale.

4. Il perimetro non è solo ICT

L’aspetto meno scontato della disciplina è che i fornitori rilevanti NIS2 non si esauriscono nel mondo ICT. Rientrano nel perimetro:

• tutte le dipendenze digitali del soggetto NIS;
• anche le dipendenze non digitali che non possano essere sostituite senza un impatto significativo sulle attività e sui servizi NIS.

Esempi di forniture ICT rilevanti

• punti di interscambio Internet (IXP);
• servizi DNS;
• servizi di cloud computing;
• data center;
• reti di distribuzione dei contenuti (CDN);
• servizi fiduciari (qualified trust service provider);
• reti pubbliche di comunicazione elettronica;
• servizi di comunicazione elettronica accessibili al pubblico;
• servizi gestiti (managed services);
• servizi gestiti di sicurezza (managed security services).

Esempi di forniture non ICT ma critiche

• connettività dati e voce, fissa e mobile, qualora non ridondata;
• fornitura di energia elettrica, in assenza di alternative o gruppi di continuità adeguati.

La logica è quella della continuità operativa: una linea dati unica che cade, o una fornitura elettrica senza ridondanza, possono produrre lo stesso effetto di un attacco informatico riuscito. Sono dipendenze sistemiche che rientrano nel perimetro di comunicazione, anche se non hanno nulla di «cyber» nel senso tradizionale.

5. La parola chiave: non fungibilità della fornitura

Tra i concetti introdotti dalla Determinazione, quello di non fungibilità è il vero centro di gravità. Un fornitore è non fungibile quando, nel momento in cui la fornitura si interrompe, non esiste un’alternativa reale e attivabile in tempi compatibili con la continuità del servizio NIS.

La domanda dunque da porsi è solo una: se il fornitore si ferma domani, quanto ci mettiamo a sostituirlo senza impatto sui servizi NIS?

• Se la risposta è «giorni o settimane, senza una procedura pronta», la fornitura è non fungibile e il fornitore è rilevante;
• Se è «ore, con un contratto di backup già attivo e una procedura di switch documentata», la fornitura è fungibile e il fornitore non va elencato.

Qualificare un fornitore come «fungibile» senza un’alternativa contrattualmente attivabile in tempi utili espone l’organizzazione a un rischio doppio: operativo, in caso di disservizio; e di compliance, in caso di verifica ispettiva ACN. Le FAQ FRN.1–FRN.4 pubblicate da ACN suggeriscono un approccio prudenziale: meglio segnalare un fornitore in più che uno in meno.

6. Tempistiche e modalità di trasmissione

La comunicazione dei fornitori rilevanti si svolge nella stessa finestra dell’aggiornamento annuale delle informazioni: dal 15 aprile al 31 maggio di ogni anno.

L’invio avviene tramite il Servizio NIS / Aggiornamento annuale informazioni sul Portale ACN. Per i soggetti già iscritti nell’elenco NIS nel 2025, la piattaforma presenta una bozza precompilata con le informazioni trasmesse fino al 14 aprile 2026; spetta al punto di contatto verificarla, integrarla con la nuova sezione «fornitori» e confermare l’invio entro il termine.

Per i soggetti che entrano nell’elenco NIS per la prima volta nel 2026, la Determinazione ACN n. 127434/2026 fissa termini specifici: l’obbligo di notifica degli incidenti significativi decorre dal 1° gennaio 2027 e l’adozione delle misure di sicurezza di base è dovuta entro il 31 luglio 2027. L’elencazione dei fornitori rilevanti, invece, si inserisce nel ciclo annuale dell’aggiornamento informazioni e va effettuata già nella prima finestra utile.

L’elenco non è un esercizio una tantum. Va costruito come registro vivo della supply chain, allineato al sistema di gestione del rischio (TPRM) e alla Business Impact Analysis. Ogni nuovo contratto rilevante, ogni cambio di fornitore, ogni modifica significativa delle dipendenze tecnologiche dovrebbe aggiornare il registro entro tempi brevi, non solo a ridosso del 15 aprile.

7. Sanzioni e rischi della comunicazione errata

La Determinazione 127437/2026 non introduce un autonomo regime sanzionatorio: rinvia all’apparato dell’articolo 38 del d.lgs. 138/2024, che disciplina le sanzioni amministrative pecuniarie per le violazioni della disciplina NIS.

Le soglie massime sono significative:

• fino a 10.000.000 euro o 2% del fatturato mondiale annuo per i soggetti essenziali;
• fino a 7.000.000 euro o 1,4% del fatturato per i soggetti importanti.

Il rischio non è solo la sanzione formale per omessa o tardiva comunicazione (art. 38, comma 10, lett. b, d.lgs. 138/2024). È soprattutto il rischio sostanziale: aver dichiarato un quadro della propria supply chain che, a un’eventuale verifica ispettiva, non regge il confronto con la realtà operativa. Un fornitore qualificato come «non rilevante» perché ritenuto fungibile, ma per il quale non esista una procedura di switch documentata e un contratto di backup attivo, è un punto debole sia in caso di disservizio sia in caso di audit.

La veridicità del criterio di rilevanza dichiarato è il vero perno dell’adempimento. Più che la completezza, conta la coerenza tra ciò che si scrive ad ACN, ciò che dice la BIA interna e ciò che reggerebbe in caso di incidente reale.

8. Checklist operativa per la mappatura dei fornitori rilevanti

1. Recuperare l’elenco completo dei fornitori contrattuali dall’anagrafica acquisti e dai registri ICT.
2. Filtrare i fornitori ICT riconducibili all’allegato I, punti 8 e 9, del d.lgs. 138/2024 (criterio di rilevanza lett. a).
3. Incrociare l’elenco con la Business Impact Analysis per individuare le forniture la cui interruzione produce impatto significativo sui servizi NIS (criterio di rilevanza lett. b).
4. Applicare il test di non fungibilità a ogni fornitura sospettata di rilevanza: tempi di switch, esistenza di contratti di backup attivi, procedure documentate.
5. Includere le dipendenze non digitali non sostituibili (connettività non ridondata, energia elettrica senza UPS o gruppi di continuità adeguati, forniture critiche non ICT).
6. Classificare ogni fornitura con i codici CPV appropriati, distinguendo per natura del servizio (Reg. CE 2195/2002 e successive modifiche).
7. Documentare il criterio di rilevanza scelto per ciascun fornitore, con motivazione tracciabile e coerente con la BIA.
8. Verificare la coerenza con il registro fornitori interno richiesto dagli adempimenti NIS al 30 aprile 2026.
9. Trasmettere l’elenco tramite il Servizio NIS / Aggiornamento annuale informazioni entro il 31 maggio.
10. Pianificare la revisione periodica del registro (almeno semestrale) e l’aggiornamento contrattuale dei rapporti con i fornitori rilevanti, allineando SLA, clausole di sicurezza e obblighi di notifica.

9. Come ti aiutiamo

Lo Studio Legale Calzoni assiste i soggetti NIS — enti pubblici, società partecipate e imprese private — nella mappatura dei fornitori rilevanti, nella verifica dei criteri di rilevanza e nella revisione delle clausole contrattuali della catena di approvvigionamento. Affianchiamo il punto di contatto e gli organi di amministrazione nella costruzione di un registro della supply chain coerente con la BIA, con il piano di gestione del rischio e con gli adempimenti documentali richiesti dalla Determinazione ACN 379887/2025 e dalla Determinazione 127437/2026.

Fonti e riferimenti normativi

• Determinazione ACN n. 127437 del 13 aprile 2026 — modalità di utilizzo della piattaforma digitale ACN, art. 16, comma 3, lett. g) e art. 18 (elenco fornitori rilevanti NIS);
• Determinazione ACN n. 127434 del 13 aprile 2026 — termini di adempimento per i soggetti inseriti nell’elenco NIS nel 2026;
• D.lgs. 4 settembre 2024, n. 138 — articoli 3, comma 9, lett. f); 7; 24; 38; allegato I, punti 8 e 9;
• Regolamento (CE) n. 2195/2002 sul Common Procurement Vocabulary (CPV);
• Regolamento (CE) n. 213/2008 di modifica del Regolamento CPV;
• FAQ ACN FRN.1, FRN.2, FRN.3, FRN.4 sull’elenco dei fornitori rilevanti NIS, pubblicate sul sito istituzionale dell’Agenzia per la cybersicurezza nazionale.

I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.