I soggetti essenziali e importanti ai sensi del d.lgs. 138/2024 devono ora mappare i propri fornitori rilevanti secondo i criteri aggiornati dall’ACN nelle nuove FAQ pubblicate a giugno 2025. Chi assiste clienti nel settore cybersecurity o nella compliance NIS2 deve verificare se le catene di fornitura del cliente rientrano nel perimetro di sorveglianza rafforzata. La mancata identificazione dei fornitori rilevanti espone il soggetto vigilato a sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo.
Punti chiave
- Punto 1 — L’ACN ha aggiornato le FAQ sui fornitori rilevanti NIS2 con criteri operativi più dettagliati.
- Punto 2 — I soggetti essenziali devono censire i fornitori rilevanti e documentare la valutazione del rischio.
- Punto 3 — Le sanzioni per inadempimento raggiungono 10 milioni di euro o il 2% del fatturato mondiale.
Se assisti soggetti essenziali o importanti ai sensi del d.lgs. 138/2024, le nuove FAQ dell’ACN sui fornitori rilevanti NIS2 cambiano direttamente il perimetro degli adempimenti che devi presidiaree. La corretta qualificazione dei fornitori non è più una scelta organizzativa interna: diventa un obbligo verificabile dall’autorità, con ricadute dirette sulla responsabilità degli organi di gestione.
L’Agenzia per la Cybersicurezza Nazionale ha aggiornato le FAQ dedicate ai fornitori rilevanti nell’ambito della disciplina NIS2, chiarendo i criteri per l’identificazione e la gestione del rischio nella catena di approvvigionamento. La notizia è riportata da Diritto.it.
Il contesto normativo
Il d.lgs. 138/2024 ha recepito la Direttiva UE 2022/2555 (NIS2) nell’ordinamento italiano. L’art. 24 del decreto disciplina specificamente la sicurezza della catena di approvvigionamento, imponendo ai soggetti essenziali e importanti di valutare e gestire i rischi derivanti dai propri fornitori e prestatori di servizi. L’art. 38 fissa le sanzioni: fino a 10 milioni di euro o il 2% del fatturato mondiale per i soggetti essenziali, fino a 7 milioni o l’1,4% del fatturato per i soggetti importanti. Le FAQ ACN non hanno valore normativo autonomo, ma costituiscono atti di indirizzo interpretativo che gli ispettori utilizzeranno nelle verifiche di conformità.
Cosa cambia per lo studio
- Devi verificare se il cliente ha già completato la registrazione sulla piattaforma ACN e se ha avviato la mappatura dei fornitori rilevanti: le FAQ chiariscono i criteri di rilevanza (dipendenza funzionale, impatto sul servizio essenziale, sostituibilità del fornitore).
- La valutazione dei fornitori va documentata formalmente. Non basta un elenco: servono contratti con clausole di sicurezza, audit periodici e procedure di gestione degli incidenti che coinvolgano il fornitore.
- Se il cliente è sia soggetto NIS2 sia fornitore di un altro soggetto NIS2, può trovarsi su entrambi i lati della catena: la doppia posizione va analizzata separatamente per ciascun rapporto.
- Gli organi di amministrazione rispondono personalmente degli inadempimenti NIS2 ai sensi dell’art. 23 d.lgs. 138/2024. Nei CDA dei clienti più strutturati, vale la pena inserire questo punto nell’agenda della prossima riunione utile.
- I contratti con i fornitori rilevanti già in essere vanno riletti: clausole di audit, obblighi di notifica degli incidenti e diritti di recesso per inadempimento cyber devono essere presenti o aggiunti alla prima scadenza utile.
Attenzione a
Il principale errore che si riscontra in questa fase è trattare la compliance NIS2 come un adempimento una tantum. L’identificazione dei fornitori rilevanti non è statica: va aggiornata ogni volta che cambia la catena di fornitura o che un fornitore modifica i propri servizi. Un cliente che ha completato la registrazione ACN nel 2024 senza aggiornare la mappatura nel 2025 è già potenzialmente esposto.
Secondo rischio: confondere i fornitori rilevanti con i responsabili del trattamento ai sensi del GDPR. Le due categorie si sovrappongono solo parzialmente. Un fornitore può essere rilevante NIS2 senza trattare dati personali, e viceversa. Usare i DPA già firmati come proxy della compliance NIS2 è un errore che emerge spesso nelle verifiche ispettive.
Domande frequenti
Come si identifica un fornitore rilevante ai sensi della NIS2 italiana?
Secondo le FAQ ACN e l’art. 24 d.lgs. 138/2024, un fornitore è rilevante quando la sua interruzione o compromissione incide significativamente sulla continuità o sicurezza del servizio essenziale o importante erogato dal soggetto NIS2. I criteri concreti includono: dipendenza funzionale, difficoltà di sostituzione in tempi rapidi e accesso privilegiato ai sistemi critici del cliente.
Quali sanzioni rischiano i soggetti essenziali NIS2 che non gestiscono i fornitori rilevanti?
L’art. 38 d.lgs. 138/2024 prevede per i soggetti essenziali sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo, se superiore. Per i soggetti importanti il massimo scende a 7 milioni o l’1,4% del fatturato. Le sanzioni si applicano anche alla mancata documentazione della valutazione del rischio nella catena di approvvigionamento.
Le FAQ ACN sui fornitori rilevanti NIS2 sono vincolanti per le imprese?
No, le FAQ ACN non hanno forza normativa autonoma. Restano atti di indirizzo interpretativo. Tuttavia, nelle verifiche ispettive l’ACN utilizza questi chiarimenti come standard di riferimento per valutare la conformità. Un’impresa che si discosta dalle indicazioni FAQ senza motivazione documentata si espone a contestazioni difficili da contrastare in sede di audit.
Fonte di riferimento: Diritto.it