L’Agenzia per la cybersicurezza nazionale ha aggiornato le FAQ dedicate ai fornitori rilevanti NIS, introducendo chiarimenti operativi di particolare interesse per i soggetti essenziali e importanti chiamati all’aggiornamento annuale delle informazioni.
Le nuove FAQ, dalla FRN.5 alla FRN.10, intervengono su profili molto concreti: fornitori esteri, sedi estere di soggetti NIS nazionali, subfornitori, forniture intermediate, rapporti infragruppo e modalità di compilazione del file Excel quando uno stesso fornitore è associato a più codici CPV.
Il tema è centrale perché la disciplina NIS non guarda soltanto al perimetro interno dell’organizzazione, ma anche alle dipendenze lungo la catena di approvvigionamento, incluse quelle digitali e quelle non digitali non facilmente sostituibili. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e il corso Diventare CISO – Compiti, responsabilità e strumenti del Chief Information Security Officer.
Indice
- 1. Perché vanno comunicati i fornitori rilevanti
- 2. Quali dati comunicare e il ruolo dei codici CPV
- 3. Fornitori esteri e sedi estere: il perimetro si allarga
- 4. Subfornitori, broker e fornitori effettivi
- 5. Gruppi societari e compilazione del file Excel
- Formazione in materia
- Ti interessano questi contenuti?
1. Perché vanno comunicati i fornitori rilevanti
Le prime FAQ chiariscono il presupposto dell’obbligo informativo. L’obiettivo è consentire l’individuazione dei soggetti che, pur non rientrando necessariamente nel perimetro NIS per dimensioni, assumono un ruolo sistemico nella catena di approvvigionamento di soggetti essenziali o importanti.
Il fornitore rilevante NIS è tale quando fornisce servizi o prodotti a un soggetto NIS e ricorre almeno uno dei criteri indicati da ACN: la fornitura ha natura ICT, oppure la sua interruzione o compromissione può incidere in modo significativo sulla capacità del soggetto NIS di erogare le proprie attività o servizi. I due criteri possono anche concorrere.
Ne deriva una tripartizione pratica: forniture ICT, forniture non fungibili e forniture ICT non fungibili. È una distinzione utile perché impone alle organizzazioni di valutare non solo i fornitori tecnologici in senso stretto, ma anche quei servizi apparentemente esterni alla cybersicurezza che, se indisponibili, possono bloccare l’operatività. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. Quali dati comunicare e il ruolo dei codici CPV
Le FAQ iniziali precisano anche le informazioni da trasmettere: denominazione del fornitore, codice fiscale, Paese della sede legale, codici CPV relativi alla fornitura e criterio di rilevanza applicato.
Il riferimento ai codici CPV è rilevante perché consente di classificare in modo standardizzato le forniture. ACN richiama il vocabolario comune per gli appalti pubblici e fornisce esempi operativi: connettività non ridondata, energia elettrica, servizi cloud, data center, DNS, servizi fiduciari, reti pubbliche di comunicazione elettronica, servizi gestiti e servizi gestiti di sicurezza.
La logica è sostanziale: non conta solo il contratto formalmente stipulato, ma la funzione che la fornitura svolge rispetto alla continuità dei servizi NIS.
3. Fornitori esteri e sedi estere: il perimetro si allarga
Le FAQ aggiornate chiariscono anzitutto che devono essere indicati anche i fornitori esteri. La risposta di ACN è netta: l’elencazione è necessaria e opportuna, anche perché molti fornitori, compresi quelli extra-UE, possono essere soggetti alla Direttiva NIS in Italia o in altri Stati membri.
Lo stesso criterio vale per i fornitori delle sedi estere di soggetti NIS nazionali. Anche in questo caso, ACN conferma la necessità dell’indicazione. Il dato è importante per gruppi e organizzazioni con struttura internazionale: la mappatura della supply chain non può arrestarsi al territorio nazionale quando la fornitura incide sull’operatività del soggetto NIS.
4. Subfornitori, broker e fornitori effettivi
Le FAQ FRN.7 e FRN.8 affrontano uno dei casi più frequenti: la fornitura contrattualizzata con un soggetto ma resa, in tutto o in parte, da un altro.
Se il fornitore A si avvale del subfornitore B, in linea generale va indicato A. B rileva quando il suo contributo alla fornitura è palese. Diversa è l’ipotesi in cui A sia solo intermediario contrattuale, mentre la fornitura sia effettivamente erogata da B: in questo caso, normalmente va indicato B, mentre A richiede una valutazione ulteriore.
ACN distingue così tra mera facilitazione dell’acquisto e ruolo funzionale nell’erogazione. Se A vende solo licenze per un SaaS di B e non interviene nella gestione del servizio, potrebbe non essere rilevante. Se invece A cura la gestione applicativa del SaaS, entrambi devono essere considerati fornitori rilevanti.
5. Gruppi societari e compilazione del file Excel
La FAQ FRN.9 precisa che anche un fornitore appartenente allo stesso gruppo di imprese deve essere valutato ai fini dell’individuazione dei fornitori rilevanti. L’appartenenza al gruppo, quindi, non esclude la rilevanza NIS: conta la funzione svolta nella catena di fornitura.
Infine, la FAQ FRN.10 risolve un dubbio pratico sulla compilazione del file Excel. Se uno stesso fornitore eroga forniture riconducibili a più codici CPV, occorre inserire una nuova riga per ciascun codice, ripetendo il medesimo fornitore.
Il messaggio complessivo dell’aggiornamento è chiaro: la compliance NIS richiede una mappatura puntuale, funzionale e non meramente formale dei fornitori, con attenzione alle dipendenze effettive, anche estere, infragruppo o intermediate.
Formazione in materia
Diventare CISO – Compiti, responsabilità e strumenti del Chief Information Security Officer
Diventare CISO richiede molto più di competenze tecniche.
Il webinar fornisce una guida pratica per comprendere e svolgere in modo efficace il ruolo del Chief Information Security Officer, figura sempre più centrale nella governance della sicurezza informatica.
Durante il percorso verranno analizzati:
– il posizionamento strategico del CISO all’interno dell’organizzazione
– le responsabilità manageriali e giuridiche della funzione
– gli adempimenti operativi richiesti dal quadro normativo europeo e nazionale (tra cui NIS2, GDPR e principali standard di riferimento)
– strumenti e approcci concreti per gestire sicurezza, rischio e compliance
– rapporti con le altre figure e casi pratici
L’obiettivo è offrire ai partecipanti una visione operativa del ruolo, utile sia a chi aspira a ricoprire la funzione di CISO sia a chi già opera nella cybersecurity e desidera rafforzare le proprie competenze di governance.
Il corso si sviluppa in due giornate formative da tre ore ciascuna (6 ore complessive), organizzate in moduli tematici con ampio spazio finale dedicato alle domande dei partecipanti, per approfondire casi pratici e dubbi applicativi.
>>>Per info ed iscrizioni<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento