NIS2: entro il 31 maggio la comunicazione dei fornitori rilevanti all’ACN

La progressiva attuazione della Direttiva NIS2 sta determinando un cambiamento strutturale nel modo in cui le organizzazioni devono gestire la sicurezza informatica.

La resilienza dei servizi essenziali e importanti non è più valutata esclusivamente sulla base delle misure tecniche interne, ma anche in relazione alla sicurezza dell’intera catena di fornitura digitale.

In questo contesto si inserisce l’obbligo, per i soggetti essenziali e importanti, di comunicare annualmente all’Agenzia per la Cybersicurezza Nazionale (ACN) l’elenco dei fornitori rilevanti, secondo quanto previsto dalla Determinazione ACN n. 127437 del 13 aprile 2026.

La scadenza del 31 maggio rappresenta uno dei primi adempimenti concreti attraverso i quali la normativa NIS2 introduce un modello di gestione del rischio ICT esteso alla supply chain.

Il ruolo dei fornitori nella sicurezza dei servizi essenziali

La Direttiva NIS2 riconosce che la continuità operativa e la sicurezza delle informazioni dipendono in misura significativa anche da soggetti terzi che forniscono servizi digitali o tecnologici.

Tra questi possono rientrare:

• fornitori di servizi ICT gestiti
• provider cloud
• fornitori di software utilizzato nei processi critici
• operatori di data center
• fornitori di servizi di cybersecurity
• outsourcer tecnologici
• fornitori di servizi digitali rilevanti per la continuità operativa

La qualificazione di un fornitore come “rilevante” non costituisce una valutazione discrezionale, ma deve essere effettuata secondo criteri coerenti con la normativa e documentata in modo verificabile.

Il legislatore introduce così un principio chiaro: la sicurezza non riguarda solo l’organizzazione, ma l’intero ecosistema tecnologico da cui dipendono i servizi erogati.

La scadenza del 31 maggio: un adempimento che richiede metodo

La comunicazione dei fornitori rilevanti rientra nel processo annuale di aggiornamento delle informazioni richieste dall’ACN ai soggetti NIS.

L’adempimento richiede di:

• identificare i fornitori che incidono sulla sicurezza delle reti e dei sistemi informativi
• valutare la criticità dei servizi forniti
• documentare il processo decisionale
• predisporre l’elenco fornitori nel formato richiesto dal portale ACN

Nella pratica operativa, molte organizzazioni incontrano difficoltà legate alla mancanza di criteri uniformi di classificazione o alla necessità di integrare la valutazione con i processi di gestione del rischio ICT.

L’individuazione dei fornitori rilevanti rappresenta quindi un’attività che richiede un approccio strutturato, coerente con i principi di accountability previsti dalla normativa europea.

Supply chain ICT e governance della sicurezza

La gestione dei fornitori ICT assume una rilevanza centrale nell’ambito della governance della sicurezza.

La Direttiva NIS2 richiede infatti che le organizzazioni adottino misure adeguate per:

• identificare le dipendenze tecnologiche critiche
• valutare i rischi derivanti da terze parti
• garantire continuità operativa
• mantenere evidenze documentali delle valutazioni effettuate

Un processo strutturato consente non solo di rispettare l’obbligo normativo, ma anche di migliorare la consapevolezza organizzativa sui rischi connessi alla supply chain digitale.

Strumenti operativi a supporto della compliance NIS2

Per supportare le organizzazioni nella gestione di questo adempimento, Just IT può mettere a disposizione una App locale progettata come strumento operativo per l’individuazione dei fornitori rilevanti ai sensi della Determinazione ACN 127437/2026.

Lo strumento consente di strutturare il processo di valutazione secondo criteri coerenti con la normativa, mantenendo tracciabilità del percorso decisionale e producendo evidenze documentali utili ai fini della compliance.

L’approccio guidato consente di:

• mantenere coerenza metodologica nella classificazione dei fornitori
• documentare le valutazioni effettuate
• predisporre l’elenco fornitori nel formato richiesto dal portale ACN
• facilitare l’aggiornamento annuale delle informazioni

La disponibilità di strumenti operativi contribuisce a rendere il processo di adeguamento più efficiente e coerente con i principi di gestione del rischio ICT previsti dalla NIS2.

Un passaggio verso un modello maturo di gestione del rischio cyber

L’attenzione posta dalla normativa sulla supply chain digitale evidenzia un cambiamento di prospettiva: la sicurezza informatica diventa parte integrante della governance aziendale.

L’individuazione dei fornitori rilevanti rappresenta uno dei primi esempi concreti di applicazione di questo approccio.

Le organizzazioni che affrontano tempestivamente questo adempimento possono:

• migliorare la visibilità sulle dipendenze tecnologiche critiche
• rafforzare la resilienza dei servizi
• ridurre il rischio operativo
• dimostrare un approccio strutturato alla gestione della sicurezza

Supporto Just IT per il percorso di adeguamento alla NIS2

Just IT supporta le organizzazioni nelle attività di adeguamento alla Direttiva NIS2 attraverso servizi integrati di cybersecurity e compliance, tra cui:

• analisi del perimetro NIS2
• supporto nella individuazione dei fornitori rilevanti
• strumenti operativi per la classificazione dei fornitori
• definizione di policy e procedure
• supporto alla governance della sicurezza ICT
• integrazione con processi di risk management

Per informazioni sulle attività di supporto o sugli strumenti operativi disponibili è possibile contattare il team Just IT.