L’attenzione mediatica e dottrinale sulla Direttiva (UE) 2022/2555 (c.d. NIS2), come recepita dal D.lgs. 4 settembre 2024, n. 138, si è finora concentrata prevalentemente sugli obblighi diretti gravanti sui soggetti essenziali e importanti. Tuttavia, un profilo di crescente rilevanza – ancora non adeguatamente esplorato – riguarda la gestione della supply chain e, in particolare, l’individuazione e il trattamento dei fornitori rilevanti.
Le recenti determine dell’Agenzia per la Cybersicurezza Nazionale (ACN), n.127434/2026 e n. 127437/2026 in materia di piattaforma NIS e adempimenti, affrontano il tema della supply chain, rendendo ulteriormente evidente come la compliance non possa prescindere da un controllo effettivo della filiera.
È quindi necessario sviluppare modelli integrati di gestione e controllo dei rischi nella catena di approvvigionamento, capaci di coniugare dimensione contrattuale, verifica operativa e responsabilità organizzativa, in un’ottica sistemica che rappresenta, oggi, la vera sfida della compliance NIS2. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e il corso Diventare CISO – Compiti, responsabilità e strumenti del Chief Information Security Officer.
Indice
1. La centralità della supply chain nella disciplina NIS2
Il D.lgs. n. 138/2024 attribuisce un ruolo centrale alla sicurezza della catena di approvvigionamento. In particolare, le disposizioni in materia di gestione del rischio impongono ai soggetti essenziali e importanti di adottare misure tecniche e organizzative adeguate che includano espressamente la sicurezza dei fornitori e dei prestatori di servizi.
Tale previsione recepisce quanto già stabilito dall’art. 21 della Direttiva (UE) 2022/2555 c. 2 lett d), secondo cui le misure di gestione del rischio devono coprire, tra l’altro, “la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi ai rapporti tra ciascun soggetto e i suoi fornitori diretti o prestatori di servizi”.
Ne deriva un ampliamento significativo del perimetro della compliance: il rischio cyber non è più confinato all’interno dell’organizzazione, ma si estende all’intero ecosistema di relazioni contrattuali e tecnologiche all’interno del quale occorre individuare i cd. fornitori rilevanti NIS.
Questi ultimi vengono qualificati dall’art. 18 della Determinazione 127437/2026 che richiama l’art articolo 3, comma 9, lettera f), del D. Lgs 138/2024 come soggetti “considerat(i) critic(i) ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti”. I medesimi soggetti che vengono definiti dall’art articolo 1, comma 1, lettera ll) della medesima direttiva come “soggett(i) che assicurano la fornitura di servizi o di prodotti a un soggetto NIS che soddisfa almeno uno dei seguenti criteri di rilevanza: 1) la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS (fornitura ICT); 2) l’interruzione o la compromissione della fornitura comporta un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS (fornitura non fungibile)”.
Ne consegue, quindi, la necessità di operare una netta distinzione all’interno della supply chain tra Il responsabile del trattamento, figura introdotta dall’art. 28 del Regolamento europeo 679/2016 che tratta dati personali per conto del titolare, sulla base di un vincolo contrattuale che deve rispettare i requisiti ivi previsti, la cui rilevanza è quindi limitata alla dimensione della protezione dei dati personali e il fornitore rilevante ai fini NIS2, quale elemento sistemico della catena di approvvigionamento.
Il fornitore rilevante è qualsiasi soggetto che incide, direttamente o indirettamente, sulla sicurezza delle reti e dei sistemi informativi. Tale nozione è più ampia e può includere fornitori di servizi cloud, gestori di infrastrutture IT, fornitori di software critico, outsourcer di servizi tecnologici, operatori di manutenzione e gestione sistemi.
Ne consegue che non tutti i responsabili del trattamento sono fornitori rilevanti e che verosimilmente un fornitore rilevante è anche un responsabile del trattamento. Il punto di contatto tra le due discipline si realizza solo in presenza di fornitori che svolgono entrambe le funzioni, determinando una sovrapposizione di obblighi, sebbene tra le due figure quella del fornitore essenziale sembrerebbe essere quella di più difficile individuazione, al contrario del responsabile del trattamento per il quale il criterio di individuazione rimane quello del trattamento dei dati personali per conto del titolare.
Si impone quindi una riflessione interna alle organizzazioni, per il censimento dei fornitori rilevanti poiché, tra il 1° maggio e il 30 giugno 2026, ai sensi dell’art. 18 della Determinazione 127437/2026, sarà necessario indicare, tramite il “Servizio NIS/Aggiornamento annuale informazioni” la denominazione del fornitore rilevante, il codice fiscale, il Paese in cui hanno la sede legale, i codici CPV (Common Procurement Vocabulary), di cui al Regolamento (CE) n.2195/2002, relativi alle forniture di cui fruisce il soggetto NIS e il criterio di rilevanza, di cui all’articolo 1, comma 1, lettera ll), utilizzato. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. Come individuare i fornitori rilevanti: criteri operativi
Ai fini della compliance NIS2, un soggetto essenziale o importante deve adottare un approccio metodologico per individuare i fornitori rilevanti attraverso il coinvolgimento degli organi di amministrazione e direzione, cui è imputata la responsabilità per eventuali violazioni anche attraverso l’adozione di un sistema di aggiornamento continuo delle informazioni, comprese quelle relative agli asset e ai servizi avvalendosi della collaborazione del punto di contatto, responsabile della correttezza e tempestività delle informazioni trasmesse tramite la piattaforma.
Per fare ciò è necessario un assetto organizzativo strutturato e interdisciplinare, coerente con quanto emerge sia dal D.lgs. n. 138/2024 sia dalle determinazioni ACN (in particolare in termini di responsabilità del management, correttezza delle informazioni e aggiornamento continuo), composto dal punto di contatto, dal Responsabile IT o Ciso, dall’Ufficio legale, dall’Ufficio acquisti e dal DPO, che coadiuvano la governance e sul quale grava responsabilità ultima delle scelte fatte. Sono mediante il coinvolgimento di tutti questi soggetti sarà possibile per il soggetto obbligato conoscere in modo puntuale la propria infrastruttura tecnologica, mappare i fornitori che incidono su tale infrastruttura e monitorare nel tempo le relazioni contrattuali e operative.
L’attenzione potrà essere rivolta, in primo luogo, ai fornitori che accedono a sistemi o reti critiche, anche da remoto, gestiscono o mantengono infrastrutture ICT, forniscono servizi essenziali per la continuità operativa (es. cloud, data center, software gestionali), trattano o conservano dati strategici o sensibili e possono incidere in modo significativo sulla disponibilità, integrità o riservatezza dei sistemi. Si vedano, per maggiori approfondimenti, gli esempi di forniture rilevanti che ACN ha fornito tra le FAQ (FRN.4 https://www.acn.gov.it/portale/faq/nis/aggiornamento-delle-informazioni).
Sotto il profilo operativo, è opportuno procedere ad una mappatura completa dei fornitori ICT, ad una classificazione per livelli di rischio e all’individuazione di una lista di fornitori critici/rilevanti da sottoporre a misure rafforzate.
Una volta individuati i fornitori rilevanti, il soggetto NIS deve implementare un sistema di gestione che sia focalizzato su un monitoraggio costante delle attività svolte dai fornitori già nominati e che adotti garanzie di affidabilità da un punto di vista cyber al momento della scelta, rivolto ai nuovi. In riferimento al monitoraggio continuo rivolto ai fornitori rilevanti la compliance NIS2 impone un controllo costante nel tempo, attraverso audit periodici, aggiornamento delle valutazioni di rischio, monitoraggio delle performance di sicurezza e verifica delle segnalazioni di incidenti.
È fondamentale prevedere procedure condivise con i fornitori per la gestione degli incidenti, la comunicazione tempestiva ed il coordinamento nelle notifiche verso l’ACN, considerato il ruolo centrale che questi ultimi svolgono per l’erogazione dei servizi delle organizzazioni per cui operano.
Per i nuovi fornitori occorrerà adeguare la contrattualistica, iniziando dalla fase di scelta inserendo alcuni requisiti che consentano di garantire by default che il soggetto selezionato avrà una postura cyber adeguata al ruolo di fornitore rilevante. I contratti con i fornitori rilevanti dovranno quindi essere adeguati per includere obblighi di sicurezza conformi agli standard NIS2, clausole su gestione degli incidenti e obblighi di notifica tempestiva, livelli di servizio (SLA) in materia di sicurezza, possibilità di audit di secondo livello. Occorrerà infatti effettuare una valutazione preventiva del rischio, che includa verifica delle certificazioni (es. ISO/IEC 27001), analisi delle misure di sicurezza adottate, valutazione della localizzazione dei dati e delle infrastrutture ed analisi della solidità organizzativa del fornitore. Nel caso di fornitori che siano anche responsabili del trattamento, tali clausole devono coordinarsi con quelle previste dall’art. 28 GDPR.
3. Conclusioni
La disciplina introdotta dalla Direttiva (UE) 2022/2555 e dal D.lgs. n. 138/2024 impone un ripensamento profondo delle logiche di gestione del rischio, superando definitivamente una visione endogena della sicurezza informatica. In tale contesto, la qualificazione e la gestione dei fornitori rilevanti rappresentano uno dei terreni più complessi e, al contempo, più strategici della compliance NIS2, poiché è proprio lungo la catena di approvvigionamento che si concentrano alcune delle principali vulnerabilità sistemiche.
Il tradizionale riferimento all’art. 28 del Regolamento (UE) 2016/679, pur rimanendo imprescindibile nella disciplina dei rapporti tra titolare e responsabile del trattamento, non è più idoneo, da solo, a governare il rischio cyber nella sua dimensione attuale. La nozione di fornitore rilevante, infatti, si colloca su un piano diverso e più ampio, che impone alle organizzazioni di adottare criteri autonomi di identificazione e strumenti più evoluti di gestione e controllo.
Le determinazioni dell’ACN, nel rafforzare la centralità della piattaforma NIS e nel richiedere un aggiornamento continuo delle informazioni che per il 2026 deve avvenire tra il 1° maggio e il 30 giugno, contribuiscono a trasformare l’adempimento in un processo strutturato e permanente, fondato sulla qualità e affidabilità dei dati trasmessi. In tale prospettiva, la capacità di mappare correttamente la supply chain e di individuare i fornitori rilevanti assume una valenza non solo operativa, ma anche giuridica, incidendo direttamente sulla posizione del soggetto obbligato nei confronti dell’Autorità.
Ne deriva che la gestione dei fornitori non può più essere confinata nell’ambito della funzione acquisti o della contrattualistica, ma deve essere ricondotta a una dimensione di governance, con il coinvolgimento degli organi di amministrazione e direzione e l’integrazione tra competenze tecniche, legali e organizzative. In questo senso, l’adozione di modelli strutturati di gestione del rischio nella catena di approvvigionamento rappresenta non solo un requisito di conformità, ma un elemento essenziale di resilienza organizzativa.
La disciplina NIS2 segna il definitivo superamento di una visione interna della sicurezza informatica, imponendo ai soggetti obbligati di estendere il proprio sistema di gestione del rischio all’intera supply chain.
Le determinazioni ACN, nel rafforzare la dimensione organizzativa e la responsabilità del management, rendono evidente come la compliance non possa più essere limitata alla predisposizione di misure tecniche interne, ma richieda un presidio strutturato dei rapporti con i fornitori.
In tale contesto, il paradigma dell’art. 28 GDPR, pur rimanendo fondamentale per la protezione dei dati personali, si rivela insufficiente a governare la complessità del rischio cyber.
È quindi necessario sviluppare modelli integrati di vendor risk management, capaci di coniugare dimensione contrattuale, controllo operativo e governance, in un’ottica sistemica che rappresenta, oggi, la vera sfida della compliance NIS2.
Formazione in materia
Diventare CISO – Compiti, responsabilità e strumenti del Chief Information Security Officer
Diventare CISO richiede molto più di competenze tecniche.
Il webinar fornisce una guida pratica per comprendere e svolgere in modo efficace il ruolo del Chief Information Security Officer, figura sempre più centrale nella governance della sicurezza informatica.
Durante il percorso verranno analizzati:
– il posizionamento strategico del CISO all’interno dell’organizzazione
– le responsabilità manageriali e giuridiche della funzione
– gli adempimenti operativi richiesti dal quadro normativo europeo e nazionale (tra cui NIS2, GDPR e principali standard di riferimento)
– strumenti e approcci concreti per gestire sicurezza, rischio e compliance
– rapporti con le altre figure e casi pratici
L’obiettivo è offrire ai partecipanti una visione operativa del ruolo, utile sia a chi aspira a ricoprire la funzione di CISO sia a chi già opera nella cybersecurity e desidera rafforzare le proprie competenze di governance.
Il corso si sviluppa in due giornate formative da tre ore ciascuna (6 ore complessive), organizzate in moduli tematici con ampio spazio finale dedicato alle domande dei partecipanti, per approfondire casi pratici e dubbi applicativi.
>>>Per info ed iscrizioni<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento