I soggetti NIS devono censire non tutti i vendor con cui hanno un contratto, ma solo chi eroga o sostiene concretamente i loro servizi essenziali o importanti. L’ACN chiarisce con FAQ ufficiali che la selezione va condotta con metodi BIA (Business Impact Analysis) e TPRM (Third Party Risk Management), distinguendo tra fornitore contrattuale e provider effettivo. Chi assiste soggetti NIS nella compliance deve aggiornare subito i template di mappatura della supply chain.
Punti chiave
- Punto 1 — Il censimento riguarda chi eroga servizi NIS in concreto, non ogni fornitore contrattuale.
- Punto 2 — BIA e TPRM sono i metodi riconosciuti da ACN per qualificare i fornitori rilevanti.
- Punto 3 — Subfornitori e partner tecnici determinanti rientrano nell’obbligo di censimento NIS.
Se assisti soggetti obbligati sotto la normativa NIS2, la mappatura della supply chain non è più un esercizio formale da delegare all’IT. Le FAQ pubblicate da ACN spostano la responsabilità sul piano sostanziale: conta chi incide davvero sulla continuità del servizio, non chi compare in una lista contratti. Devi aggiornare i tuoi modelli di due diligence e revisare le clausole di rappresentanza e garanzia nei contratti con i fornitori.
ACN ha pubblicato FAQ ufficiali sull’elenco dei fornitori rilevanti ai sensi della normativa NIS2, chiarendo che il criterio di censimento è sostanziale, non formale. Il testo integrale dell’analisi è disponibile su Agenda Digitale.
Il contesto normativo
Il d.lgs. 4 settembre 2024, n. 138, che recepisce la Direttiva UE 2022/2555 (NIS2), impone ai soggetti essenziali e importanti di adottare misure di gestione del rischio della catena di approvvigionamento (art. 24, comma 2, lett. d). L’obbligo si traduce in un censimento strutturato dei fornitori rilevanti, da comunicare alla piattaforma ACN. L’art. 23 dello stesso decreto disciplina le misure minime di sicurezza, mentre l’art. 38 prevede sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale per i soggetti essenziali inadempienti. Le FAQ ACN non hanno valore normativo autonomo, ma orientano in modo vincolante la prassi applicativa degli obblighi già vigenti.
Cosa cambia per lo studio
- La mappatura dei fornitori non si esaurisce nell’elenco dei contratti attivi: devi verificare chi, tra i fornitori, eroga o condiziona in concreto i servizi NIS del cliente, inclusi subfornitori e partner tecnici a valle della catena.
- BIA e TPRM diventano strumenti giuridicamente rilevanti: nei contratti con i clienti NIS, conviene inserire clausole che obblighino il cliente a condurre queste analisi periodicamente e a documentarle.
- Un fornitore con contratto attivo ma senza impatto sui servizi NIS non va censito: questo distinguo riduce il perimetro degli obblighi ma richiede una valutazione motivata e tracciabile per ogni esclusione.
- Le clausole contrattuali verso i fornitori devono coprire il diritto di audit, la notifica degli incidenti a cascata e gli obblighi di sicurezza minimi previsti dall’art. 24 d.lgs. 138/2024.
- Se il cliente NIS subisce una sanzione per censimento incompleto, la responsabilità del consulente legale che ha strutturato la governance contrattuale può essere chiamata in causa: tieni traccia delle raccomandazioni scritte fornite.
Attenzione a
Il rischio principale è confondere il censimento formale con quello sostanziale. Un cliente che censisce solo i fornitori con contratto diretto, ignorando i provider effettivi o i subfornitori critici, resta inadempiente anche se ha prodotto documentazione. ACN può contestare la completezza dell’elenco in sede di ispezione, e la responsabilità ricade sull’organo di amministrazione del soggetto NIS ai sensi dell’art. 23, comma 6, d.lgs. 138/2024.
Secondo rischio: trattare le FAQ ACN come testo normativo con effetti diretti. Non lo sono. Hanno però un peso interpretativo concreto: in caso di contenzioso o di procedimento sanzionatorio, l’ACN le userà come parametro di riferimento. Ignorarle nella consulenza espone il professionista a una contestazione di inadeguatezza della prestazione.
Domande frequenti
Quali fornitori vanno inseriti nell’elenco dei fornitori rilevanti NIS?
Vanno censiti i fornitori che erogano o sostengono in concreto i servizi essenziali o importanti del soggetto NIS, indipendentemente dalla struttura contrattuale formale. ACN ha chiarito nelle sue FAQ che il criterio è sostanziale: conta l’impatto reale sulla continuità del servizio, valutato tramite BIA e TPRM. I subfornitori critici rientrano nell’obbligo anche se il rapporto è indiretto.
Cosa rischia un soggetto NIS che non censisce correttamente i fornitori?
Il d.lgs. 138/2024 prevede sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo per i soggetti essenziali inadempienti (art. 38). L’inadempienza può riguardare anche un censimento incompleto, non solo l’assenza totale di misure. L’organo amministrativo risponde personalmente ai sensi dell’art. 23, comma 6.
Le FAQ ACN sui fornitori NIS sono vincolanti per gli operatori?
Le FAQ ACN non hanno forza normativa autonoma, ma orientano l’interpretazione degli obblighi già vigenti nel d.lgs. 138/2024. In sede di ispezione o procedimento sanzionatorio, ACN le utilizzerà come parametro di conformità. Ignorarle nella consulenza ai clienti NIS espone il professionista a contestazioni sulla qualità della prestazione.
Fonte di riferimento: AgendaDigitale