L’Agenzia per la Cybersicurezza Nazionale (ACN), ha aggiornato le FAQ ufficiali FRN.5 - FRN.10 dedicate all’identificazione dei fornitori critici: al centro non solo il rapporto contrattuale, ma il contributo operativo effettivo del fornitore alla sicurezza e continuità del servizio.

In vista della scadenza del 31 maggio 2026 per l’aggiornamento annuale delle informazioni sul Portale ACN, l’Agenzia per la Cybersicurezza Nazionale ha pubblicato nuove FAQ ufficiali (FRN.5 – FRN.10) dedicate all’identificazione dei fornitori critici nell’ambito degli obblighi previsti dall’art. 7, comma 4, del D.Lgs. 138/2024, di seguito Decreto NIS.

I chiarimenti riguardano le modalità con cui i soggetti NIS devono individuare e comunicare i fornitori rilevanti per l’erogazione dei propri servizi essenziali o importanti, con particolare attenzione alla gestione della Supply Chain digitale e del rischio cyber.

Visual News - FAQ ACN Fornitori Critici

L’aspetto più rilevante introdotto dalle nuove FAQ ACN riguarda il superamento di una valutazione puramente “contrattuale” dei fornitori.

Secondo quanto chiarito da ACN, l’analisi non deve limitarsi al soggetto con cui esiste un rapporto diretto, ma deve considerare anche:

  • il soggetto che eroga concretamente il servizio;
  • eventuali subfornitori con un ruolo operativo significativo;
  • i fornitori che contribuiscono in modo sostanziale alla continuità o alla sicurezza del servizio.

In altre parole, per il legislatore non rileva soltanto la catena contrattuale formale, ma soprattutto il contributo effettivo del fornitore all’erogazione della fornitura rilevante.

Le FAQ FRN.5 – FRN.10 precisano, inoltre, che:

  • il fornitore contrattuale va indicato quando partecipa operativamente all’erogazione del servizio;
  • deve essere identificato il soggetto che fornisce concretamente il servizio o la componente tecnologica rilevante;
  • il subfornitore assume rilievo solo se il suo contributo è significativamente coinvolto nell’erogazione della fornitura.

Nel modello SaaS, ad esempio, sia il distributore sia il provider possono essere considerati rilevanti, qualora condividano responsabilità operative nella gestione del servizio.

Se invece il distributore svolge esclusivamente un ruolo commerciale o di rivendita delle licenze, il soggetto da indicare resta il provider che eroga il servizio.

Le nuove indicazioni ACN hanno un impatto concreto sui processi di governance della supply chain e sulla gestione del rischio cyber.

Molte organizzazioni potrebbero infatti dover:

  • identificare fornitori “sostanziali” non direttamente contrattualizzati;
  • acquisire maggiore visibilità sulla propria filiera digitale;
  • raccogliere informazioni tecniche e organizzative su soggetti terzi;
  • aggiornare processi interni di Vendor Assessment e Supply Chain Security.

L’obiettivo delle FAQ è rafforzare la capacità dei soggetti NIS di identificare i fornitori che incidono concretamente sulla resilienza operativa e sulla sicurezza dei servizi digitali, migliorando la governance della Supply Chain nell’ambito del percorso di adeguamento al Decreto NIS.

Per approfondire le FAQ FRN.5 – FRN.10 e gli aggiornamenti richiesti entro il 31 maggio 2026, è possibile consultare il sito ufficiale dell’Agenzia per la Cybersicurezza Nazionale.

Visita il sito ACN qui

In qualità di MSSP, supportiamo le PMI manifatturiere soggette alla NIS2 nella gestione del rischio cyber della Supply Chain, nell’identificazione dei fornitori critici e negli adempimenti previsti dal Decreto NIS.

Consulta i nostri esperti