CHIARIMENTI SUI FORNITORI RILEVANTI IN AMBITO NIS2: le nuove FAQ di ACN del 18.05.2026  

Le nuove FAQ ACN del 18.05.2026 sulla “fornitura intermediata” chiariscono un punto molto pratico: il fornitore da censire non è sempre quello con cui si è stipulato il contratto, ma può essere il subfornitore che eroga concretamente il servizio rilevante per la continuità operativa NIS.

Poniamo un esempio pratico: la tua società, soggetto NIS2, ha un contratto con “Azienda Alfa”, cioè un system integrator italiano. Alfa però rivende e gestisce l’infrastruttura cloud fornita da un colosso Americano “Azienda Beta”. Operativamente parlando, il servizio cloud vero e proprio Ti è erogato da Beta, mentre Alfa gestisce configurazione, assistenza e fatturazione.

Chi deve quindi essere indicato come fornitore rilevante NIS nella piattaforma ACN? La risposta secondo le FAQ ACN è che non è sufficiente indicare Azienda Alfa, ma deve essere considerato anche il provider effettivo del servizio, cioè Azienda Beta, perché: 1) è il soggetto che eroga concretamente l’infrastruttura digitale; 2) un blocco del cloud impatterebbe direttamente sul servizio NIS; 3) la fornitura è considerata come critica e non facilmente sostituibile. Quindi vanno censiti entrambi i fornitori.

Quindi bisogna chiedersi: chi eroga davvero il servizio? chi controlla l’infrastruttura? chi, se si ferma, blocca l’operatività NIS? esistono alternative rapide oppure il fornitore è “non fungibile”?

Il Concetto chiave è quindi che Le FAQ superano una logica meramente contrattuale e guardano alla dipendenza reale della supply chain (catena di fornitura).

Laddove invece il fornitore contrattuale sia un mero intermediario (ad esempio un mero rivenditore commerciale, che si occupa esclusivamente della gestione dell’ordine), senza svolgere alcun ruolo effettivo nell’erogazione del servizio o nell’assistenza in caso di necessità, allora la sua rilevanza ai fini NIS è nulla o marginale.

Oltre al tema dei subfornitori, sono stati chiariti altri argomenti, tra cui:

• Fornitori infragruppo: spesso tale scenario non è stato mappato, ma non è automaticamente criterio di esclusione. Rileva ad esempio la rilevanza del fornitore laddove il servizio fornito (soprattutto in caso di fornitura ICT) alle altre società del Gruppo dovesse interrompersi o venire meno: se l’impatto sull’operatività aziendale fosse significativo, allora sicuramente quella società fornitrice andrebbe indicata come fornitore rilevante.
•  Fornitori esteri e sedi all’estero: sono da indicare sul portale, ma con criteri precisi;

Le nuove FAQ sono disponibili per la consultazione sul sito di ACN.