di Davide De Luca
DPO certificato UNI 17740 – CTU – Docente di Data Protection Management, Università di Teramo
Autore di “Sicurezza e Compliance nella Supply Chain”, Edizioni Giuridiche Simone
1. Premessa: un adempimento che cambia natura
Con la Determinazione 127437/2026, adottata dall’Agenzia per la Cybersicurezza Nazionale il 13 aprile 2026, l’ordinamento italiano della cybersicurezza compie un salto qualitativo che merita di essere analizzato con rigore metodologico, lontano dalle semplificazioni che spesso accompagnano le prime letture di atti regolatori di tale portata.
Il nucleo della determinazione non è la creazione di un nuovo obbligo formale, bensì la trasposizione in un obbligo dichiarativo — verificabile, documentabile e suscettibile di scrutinio da parte dell’Autorità — di una nozione già presente nell’impianto della Direttiva NIS2 (Direttiva UE 2022/2555) e del suo recepimento italiano attraverso il D.Lgs. 4 settembre 2024, n. 138: quella di “fornitore rilevante”. L’art. 18 della determinazione opera, sotto questo profilo, come una leva di emersione: porta alla superficie della compliance ciò che i soggetti NIS avrebbero dovuto già fare — mappare le proprie dipendenze critiche dalla supply chain — e lo trasforma in un impegno formale, documentato, esposto alla verifica dell’ACN.
Questa trasformazione è tutt’altro che banale. Nella prassi consolidata della gestione dei fornitori IT, la valutazione delle terze parti si è storicamente articolata su due assi prevalenti: il valore contrattuale e la presenza di certificazioni di sicurezza. Entrambi i criteri risultano strutturalmente inadeguati rispetto alla logica sottesa alla nozione di “fornitore rilevante” così come delineata dall’art. 18. La rilevanza, in questa prospettiva, non è un attributo intrinseco del fornitore — non dipende dalla sua dimensione, dal suo fatturato, dalla sua posizione di mercato, né dalla presenza del marchio ISO 27001 in calce ai suoi contratti. È, al contrario, il prodotto di una relazione: quella tra il fornitore e il sistema organizzativo del soggetto NIS, nel quale il fornitore si inserisce come elemento di una rete di dipendenze funzionali.
Comprendere questo passaggio è il presupposto per qualsiasi riflessione seria sul nuovo adempimento.
2. Il quadro normativo: articolazione degli obblighi tra NIS2, D.Lgs. 138/2024 e determinazione ACN
Il D.Lgs. 138/2024, recependo la Direttiva NIS2, ha introdotto un apparato di obblighi di gestione del rischio di cybersicurezza che include esplicitamente la dimensione della supply chain. L’art. 24, comma 1, lettera d), del decreto prevede, tra le misure di sicurezza che i soggetti essenziali e importanti devono adottare, la gestione della sicurezza della catena di approvvigionamento, con riferimento agli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi fornitori o i suoi prestatori di servizi diretti.
Questa disposizione non opera nel vuoto. Si inserisce in un sistema di obblighi più ampio che comprende, ai sensi dell’art. 23 del decreto, la predisposizione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete utilizzati dall’ente nella propria attività o nella fornitura dei propri servizi. L’adeguatezza di tali misure è valutata tenendo conto, tra l’altro, della dipendenza da terze parti e dei rischi legati a tale dipendenza.
La Determinazione ACN 127437/2026 si colloca esattamente in questo quadro, esercitando la funzione di specificazione tecnica e operativa che la normativa primaria demanda all’Agenzia. L’art. 18 della determinazione traduce gli obblighi di gestione del rischio della supply chain in un obbligo dichiarativo concreto: i soggetti NIS devono individuare i propri fornitori rilevanti e comunicarli all’interno della piattaforma dell’Agenzia. La comunicazione non è un atto discrezionale, né un adempimento una tantum: essa richiede che la selezione dei fornitori rilevanti sia fondata su criteri analitici documentabili e coerenti con la valutazione del rischio complessiva del soggetto.
Va segnalato che la determinazione, nella sua dimensione tecnica, introduce un registro della supply chain come strumento operativo: una rappresentazione strutturata delle relazioni con i fornitori, classificata per livello di rilevanza, che deve essere mantenuta aggiornata e deve alimentare il sistema di gestione del rischio dell’organizzazione. Non si tratta, pertanto, di una semplice lista da compilare e trasmettere, ma di un artefatto organizzativo vivente, che riflette lo stato effettivo delle dipendenze critiche dell’ente.
3. La nozione di fornitore rilevante: profili definitori e criteri di qualificazione
La Determinazione 127437/2026, all’art. 18, fornisce una definizione operativa di fornitore rilevante che si articola su più dimensioni. Un fornitore è qualificabile come rilevante quando la sua indisponibilità, compromissione o degradazione del servizio è idonea a determinare un impatto significativo su uno o più processi critici dell’organizzazione, così come individuati nell’ambito della Business Impact Analysis.
Questa definizione merita di essere scomposta nei suoi elementi costitutivi.
Il primo elemento è la processualità: la rilevanza si misura non in ragione del fornitore in quanto tale, ma in ragione del suo ruolo nei processi critici dell’organizzazione. Un fornitore che eroga servizi accessori — anche se contrattualmente rilevante, anche se tecnologicamente sofisticato — non è necessariamente un fornitore rilevante ai sensi dell’art. 18 se la sua indisponibilità non incide su alcun processo critico. Viceversa, un fornitore di piccole dimensioni, con contratti marginali, può essere qualificato come rilevante se gestisce un componente infrastrutturale la cui compromissione determinerebbe l’interruzione di un servizio essenziale.
Il secondo elemento è la soglia di impatto significativo. La significatività non è un concetto assoluto: si misura in relazione alle soglie di tolleranza al disservizio che ciascun soggetto NIS deve avere definito nell’ambito della propria BIA. Un’interruzione che per un’organizzazione di medie dimensioni potrebbe essere tollerabile per ore può risultare inaccettabile — e quindi “significativa” — per un operatore di servizi essenziali soggetto a obblighi di continuità operativa. La determinazione non fissa soglie universali perché non può farlo: la rilevanza è relazionale e contestuale.
Il terzo elemento è la pluralità dei fattori di valutazione. L’art. 18, letto in combinazione con il quadro generale della determinazione, richiede che la qualificazione di rilevanza tenga conto di almeno tre dimensioni: la sostituibilità del fornitore (un fornitore non sostituibile entro le soglie di tolleranza presenta un profilo di rischio strutturalmente diverso rispetto a uno facilmente rimpiazzabile); la concentrazione del rischio (l’affidamento a un numero limitato di fornitori per servizi essenziali determina una qualificazione di rilevanza anche in assenza di impatti immediati documentati); la profondità della dipendenza tecnologica (i fornitori che operano a livello infrastrutturale introducono un livello di esposizione differente rispetto a quelli che operano su livelli applicativi o accessori, anche per la possibilità di effetti a cascata).
Come ho avuto modo di osservare nel volume Sicurezza e Compliance nella Supply Chain (Edizioni Giuridiche Simone), la catena di fornitura non è una lista statica di soggetti terzi, ma una rete dinamica di interdipendenze funzionali che varia nel tempo, si stratifica su livelli tecnologici differenti e genera esposizioni al rischio che non sempre sono immediatamente percepibili dai livelli decisionali dell’organizzazione. È questa opacità strutturale della supply chain — aggravata dalla crescente terziarizzazione dei processi informativi e dalla diffusione di architetture cloud multi-vendor — che rende necessario un approccio metodologico rigoroso alla sua mappatura.
4. Il Portale ACN e la dichiarazione dei fornitori rilevanti: struttura e campi informativi
La piattaforma ACN attraverso cui i soggetti NIS adempiono all’obbligo dichiarativo dell’art. 18 struttura la comunicazione dei fornitori rilevanti in un formato tabellare che consente sia la registrazione delle informazioni essenziali relative a ciascun fornitore sia la classificazione per livello di rilevanza e per tipologia di servizio erogato.
La tabella che segue riproduce la struttura dei campi informativi richiesti dal portale ACN per la dichiarazione di ciascun fornitore rilevante, organizzati in sezioni funzionali:
Tabella: Campi informativi del Portale ACN – Dichiarazione Fornitori Rilevanti (art. 18, Det. 127437/2026)
| Sezione | Campo | Tipo | Note operative |
|---|---|---|---|
| Identificazione fornitore | Denominazione sociale | Testo libero | Ragione sociale completa |
| Codice fiscale / P. IVA | Alfanumerico | Identificativo univoco italiano o UE | |
| Paese di stabilimento | Lista | UE / SEE / Extra-SEE (rilevante per valutazione rischio paese) | |
| Codice ATECO prevalente | Alfanumerico | Classificazione attività economica | |
| Tipologia del servizio | Categoria servizio | Lista chiusa | Es.: ICT infrastrutturale, cloud, software applicativo, manutenzione, consulenza |
| Sottolivello | Lista chiusa | Es.: IaaS, PaaS, SaaS, on-premise, ibrido | |
| Descrizione servizio | Testo libero (max 500 car.) | Descrizione sintetica della prestazione | |
| Collocazione nella supply chain | Livello di fornitura | Lista | Tier 1 (diretto) / Tier 2 / Tier 3+ |
| Presenza di sub-fornitori rilevanti | Sì / No | Se Sì: indicazione identificativa | |
| Relazione con i processi critici | Processi critici impattati | Lista (selezione multipla) | Collegamento alla BIA dell’organizzazione |
| Modalità di impatto | Lista | Diretta / A cascata / Combinata | |
| Criticità stimata | Score 1-5 | Scala definita da ACN nelle linee guida operative | |
| Valutazione del rischio | Sostituibilità | Bassa / Media / Alta | Tempo necessario alla sostituzione vs. soglie di tolleranza BIA |
| Concentrazione del rischio | Sì / No | Unico fornitore per il servizio o categoria | |
| Dipendenza tecnologica | Superficiale / Applicativa / Infrastrutturale | Livello architetturale della dipendenza | |
| Garanzie contrattuali | SLA documentato | Sì / No | Riferimento contrattuale |
| Clausole di sicurezza | Sì / No | Presenza di obblighi specifici NIS2-aligned | |
| Diritto di audit contrattuale | Sì / No | Esercitabilità documentata | |
| Gestione incidenti disciplinata | Sì / No | Protocollo condiviso di incident response | |
| Certificazioni del fornitore | ISO 27001 | Sì / No / In corso | Scadenza certificato |
| Altre certificazioni rilevanti | Testo libero | ISO 27701, SOC 2, CSA STAR, ecc. | |
| Storico e monitoraggio | Data prima registrazione | Data | |
| Data ultimo aggiornamento | Data | Aggiornamento obbligatorio in caso di variazioni rilevanti | |
| Esito ultima verifica periodica | Conforme / Non conforme / In valutazione |
La struttura tabellare del portale rende evidente una scelta regolatoria precisa: l’ACN non si accontenta di sapere chi sono i fornitori rilevanti, ma vuole comprendere perché essi sono rilevanti, come incidono sui processi critici e quali garanzie contrattuali e organizzative presidiano la relazione. Questa impostazione è coerente con l’approccio basato sul rischio che permea l’intera architettura della NIS2 e del suo recepimento italiano.
Un aspetto che merita attenzione specifica è il campo relativo al livello di fornitura (Tier 1, Tier 2, Tier 3+). La richiesta di mappare non soltanto i fornitori diretti ma anche quelli indiretti — sub-fornitori dei fornitori — costituisce il riconoscimento normativo di un problema strutturale della supply chain moderna: i rischi più insidiosi spesso non si annidano nelle relazioni di primo livello, che sono visibili e contrattualmente presidiate, ma nei livelli inferiori della catena, dove l’organizzazione non ha visibilità diretta e dove i controlli sono storicamente più deboli.
5. La convergenza necessaria: Business Impact Analysis e Third Party Risk Management
Il punto metodologicamente più rilevante della Determinazione 127437/2026 — e, più in generale, dell’approccio NIS2 alla supply chain — è la necessità di integrare due discipline che, nella gran parte delle organizzazioni, continuano a operare in silos distinti: la Business Impact Analysis e il Third Party Risk Management.
La BIA rappresenta il punto di partenza imprescindibile del percorso. Attraverso di essa, l’organizzazione identifica i processi critici, definisce le soglie di tolleranza al disservizio — il Recovery Time Objective e il Recovery Point Objective, nella terminologia consolidata della business continuity — e misura l’impatto di eventuali interruzioni in termini operativi, economici e reputazionali. Ma, soprattutto, la BIA consente di ricostruire le dipendenze che rendono possibile l’erogazione dei servizi, incluse le dipendenze da fornitori esterni. È in tale sede che emerge la reale architettura della supply chain — non come elenco contrattuale, ma come rete di relazioni funzionali.
In questa prospettiva, un fornitore emerge come rilevante non perché si trovi in cima alla lista dei contratti per valore, ma perché la sua interruzione determinerebbe il superamento di una soglia di tolleranza individuata in sede di BIA. La qualificazione di rilevanza è dunque il prodotto di un’analisi strutturata, non di una valutazione intuitiva.
Il TPRM, se considerato isolatamente, non è in grado di restituire tale profondità. Fornisce strumenti per valutare il rischio associato ai fornitori, ma tende a operare su base perimetrale — con questionari standard, verifiche documentali, assessment delle certificazioni — senza una piena comprensione del ruolo che ciascun fornitore svolge all’interno dei processi critici. Il rischio tipico del TPRM isolato è la produzione di una classifica dei fornitori per profilo di rischio intrinseco che non corrisponde alla loro rilevanza effettiva per la continuità operativa dell’organizzazione.
Nel volume Sicurezza e Compliance nella Supply Chain, ho proposto un modello di integrazione BIA-TPRM articolato in tre fasi operative: la mappatura delle dipendenze critiche attraverso la BIA (output: dependency map con identificazione dei fornitori che incidono su processi critici); la valutazione del profilo di rischio dei fornitori identificati attraverso il TPRM (output: risk score per fornitore rilevante); la qualificazione della rilevanza come prodotto dell’intersezione tra criticità del processo dipendente e profilo di rischio del fornitore (output: matrice di rilevanza della supply chain). Questo modello non è solo teoricamente coerente con la logica dell’art. 18 della determinazione: è operativamente necessario per produrre una dichiarazione dei fornitori rilevanti che sia difendibile di fronte all’ACN.
È su quest’ultimo punto — la difendibilità — che occorre soffermarsi. La dichiarazione dei fornitori rilevanti all’interno della piattaforma ACN espone l’organizzazione a un possibile scrutinio. L’Agenzia può richiedere di dimostrare la coerenza e la metodologia sottostante alle scelte effettuate. Un elenco di fornitori compilato sulla base di criteri intuitivi, economici o reputazionali — privo di ancoraggio a una BIA documentata e a una valutazione del rischio strutturata — non sarà, in questa prospettiva, un adempimento formalmente valido: sarà un adempimento fragile, esposto a contestazioni e privo di reale utilità ai fini della gestione del rischio.
6. La dimensione contrattuale: dalle clausole standard alla governance contrattuale NIS2-aligned
L’individuazione dei fornitori rilevanti produce effetti immediati sul piano contrattuale che non possono essere sottovalutati. La determinazione ACN 127437/2026, nel richiedere la dichiarazione dei fornitori rilevanti, presuppone che tali fornitori siano già governati da un impianto contrattuale adeguato al loro profilo di rischio. Là dove tale impianto manchi, la dichiarazione diventa, paradossalmente, l’occasione per una presa di coscienza della propria esposizione al rischio.
Le clausole di sicurezza nei contratti con i fornitori rilevanti non possono più essere trattate come mere formule di stile o come strumenti di allocazione del rischio tra le parti. Devono diventare strumenti di governance sostanziale, calibrati sul livello di rilevanza del fornitore e sui rischi specifici che la relazione di fornitura introduce.
In questa prospettiva, un contratto con un fornitore rilevante di livello infrastrutturale — si pensi a un provider cloud che gestisce l’intera piattaforma applicativa di un operatore di servizi essenziali — deve prevedere, come minimo: obblighi specifici di sicurezza allineati alle misure richieste dalla NIS2 (art. 21 della Direttiva); diritti di audit esercitabili dall’organizzazione o da terzi da essa delegati; protocolli condivisi di gestione degli incidenti, con definizione dei tempi di notifica compatibili con gli obblighi previsti dall’art. 26 del D.Lgs. 138/2024; obblighi di business continuity del fornitore con SLA allineati agli RTO/RPO dell’organizzazione; clausole di trasparenza sulla sub-fornitura, con obbligo di notifica in caso di variazioni della catena di Tier 2 o Tier 3 che possano incidere sul livello di rischio.
Il tema contrattuale ha una dimensione ulteriore che merita attenzione: la negoziabilità. I grandi provider — in primo luogo i hyperscaler cloud, ma non solo — difficilmente accettano modifiche sostanziali alle proprie condizioni standard. La prospettiva NIS2 non risolve questo problema, ma lo rende più visibile e urgente. Un soggetto NIS che non riesce a negoziare clausole minime di sicurezza con un fornitore rilevante deve interrogarsi se tale fornitore debba continuare a essere rilevante, o se la concentrazione del rischio derivante dall’impossibilità di esercitare governance contrattuale rappresenti essa stessa un rischio che occorre mitigare con alternative organizzative.
7. Il caso delle aziende sanitarie: una lettura applicata
Il settore sanitario pubblico — composto in Italia principalmente dalle ASL, dalle AO, dagli IRCCS e dalle strutture ad esse assimilate — presenta caratteristiche che rendono la gestione dei fornitori rilevanti NIS2 particolarmente complessa e, al tempo stesso, particolarmente urgente.
Le aziende sanitarie operano in un contesto di dipendenza tecnologica strutturalmente elevata. I sistemi informativi ospedalieri (HIS), i sistemi di laboratorio (LIS), i sistemi di gestione delle immagini diagnostiche (RIS-PACS), i sistemi di telemedicina e di monitoraggio remoto sono tutti esempi di funzioni critiche che dipendono da fornitori specifici, spesso unici per il livello di specializzazione richiesto. La sostituibilità di tali fornitori è frequentemente bassa — in alcuni casi, bassissima — e i tempi di migrazione sono strutturalmente incompatibili con qualsiasi soglia di tolleranza al disservizio ragionevole in ambito clinico.
A questa dipendenza tecnologica si aggiunge una vulnerabilità regolatoria specifica. Le aziende sanitarie del SSN trattano dati personali di categoria particolare ai sensi dell’art. 9 del Regolamento (UE) 2016/679, il che significa che qualsiasi incidente di sicurezza che coinvolga un fornitore rilevante ha potenzialmente una doppia rilevanza: NIS2/D.Lgs. 138/2024 per il profilo di continuità operativa, e GDPR/D.Lgs. 196/2003 per il profilo di protezione dei dati personali. Le notifiche, i termini, le autorità competenti e i criteri di valutazione della gravità sono parzialmente diversi tra i due regimi: una governance integrata della supply chain è la sola risposta adeguata a questa complessità.
In questo contesto, la mappatura dei fornitori rilevanti richiesta dall’art. 18 della determinazione ACN 127437/2026 diventa anche l’occasione per una revisione complessiva degli strumenti contrattuali con i fornitori IT in ambito sanitario. I contratti standard di manutenzione dei sistemi informativi ospedalieri — storicamente redatti con scarsa attenzione alle clausole di sicurezza e di continuità operativa — devono essere sottoposti a un processo sistematico di adeguamento alle prescrizioni NIS2. Questo processo non può essere delegato all’ufficio legale e contrattuale in isolamento: richiede il coinvolgimento del DPO, del RSSI, del responsabile della continuità operativa e dei referenti clinici dei processi dipendenti.
L’esperienza maturata come DPO di diverse aziende sanitarie del SSN consente di osservare che la qualificazione dei fornitori rilevanti in ambito sanitario tende a concentrarsi su alcune categorie: i fornitori di HIS/EMR (sistemi di gestione delle cartelle cliniche elettroniche), i provider di connettività e infrastruttura di rete, i fornitori di servizi di backup e disaster recovery, i gestori delle piattaforme di telemedicina e, sempre più, i fornitori di dispositivi medici con componente software soggetta alla Direttiva MDR (Regolamento UE 2017/745) che operano in rete e trasmettono dati ai sistemi informativi aziendali.
Quest’ultima categoria merita una considerazione specifica. I dispositivi medici connessi — dai monitor di telemetria agli apparecchi diagnostici con acquisizione digitale — sono forniture che combinano una dimensione regolatoria MDR con una dimensione cybersecurity NIS2. Il fornitore di un dispositivo medico connesso che gestisce da remoto gli aggiornamenti software del dispositivo e la trasmissione dei dati al sistema informativo ospedaliero è, simultaneamente, un soggetto rilevante ai fini NIS2 e un responsabile del trattamento o un soggetto autonomamente obbligato ai fini GDPR. La dichiarazione all’ACN di tale fornitore come rilevante deve essere accompagnata da una verifica della coerenza tra il certificato MDR, il profilo di sicurezza NIS2 e l’accordo di trattamento dei dati ai sensi dell’art. 28 GDPR.
8. La governance oltre la compliance: dalla dichiarazione al sistema di controllo permanente
La vera sfida che la Determinazione ACN 127437/2026 pone alle organizzazioni non risiede nella compilazione della tabella del portale. Risiede nella costruzione di un modello di governance della supply chain che sia strutturato, documentato, aggiornato nel tempo e integrato nel più ampio sistema di gestione del rischio organizzativo.
Questo passaggio — dalla compliance alla governance — è il punto in cui la maggior parte delle organizzazioni rischia di fermarsi. La pressione degli adempimenti formali, la scarsità di risorse, la complessità organizzativa inducono a trattare la dichiarazione dei fornitori rilevanti come un obbligo una tantum da assolvere entro la scadenza e poi dimenticare. È esattamente questo atteggiamento che la determinazione intende correggere, prevedendo l’obbligo di aggiornamento della dichiarazione in caso di variazioni rilevanti e inserendo la supply chain nel perimetro del monitoraggio continuativo dell’ACN.
Un sistema di governance della supply chain NIS2-compliant deve articolarsi su almeno quattro livelli operativi.
Il primo è la mappatura continua: la dependency map della supply chain non è un documento statico ma un artefatto organizzativo che deve essere aggiornato ogni volta che si introduce un nuovo fornitore, si modifica un contratto esistente, si ridisegna un processo critico o si verifica un incidente che riveli dipendenze precedentemente non mappate. La cadenza minima di revisione è annuale, ma eventi rilevanti devono innescare revisioni straordinarie.
Il secondo livello è il monitoraggio del rischio dei fornitori rilevanti: i fornitori qualificati come rilevanti devono essere soggetti a un regime di monitoraggio più stringente rispetto agli altri, che comprenda la verifica periodica della validità delle certificazioni dichiarate, il controllo degli aggiornamenti del panorama di minacce specifico del settore in cui il fornitore opera, e la valutazione dell’impatto di eventuali incidenti occorsi al fornitore (inclusi quelli comunicati attraverso i canali CSIRT e le reti di condivisione delle informazioni previste dall’art. 29 del D.Lgs. 138/2024).
Il terzo livello è l’integrazione con la business continuity: i fornitori rilevanti devono essere presenti nei piani di continuità operativa dell’organizzazione con scenari specifici che descrivano le conseguenze della loro indisponibilità e le misure di mitigazione adottate. Tali scenari devono essere testati periodicamente, almeno attraverso tabletop exercise che coinvolgano anche i referenti del fornitore.
Il quarto livello è la governance contrattuale: i contratti con i fornitori rilevanti devono essere sottoposti a revisione periodica per verificare il mantenimento dell’allineamento con il quadro normativo NIS2, l’aggiornamento delle clausole di sicurezza rispetto all’evoluzione delle minacce e la coerenza degli SLA con le soglie di tolleranza aggiornate in sede di BIA.
9. I profili sanzionatori: il rischio di un adempimento fragile
La Determinazione ACN 127437/2026 non introduce autonome sanzioni: il regime sanzionatorio applicabile ai soggetti NIS in caso di inottemperanza agli obblighi di sicurezza, inclusi quelli relativi alla supply chain, è disciplinato dall’art. 38 e ss. del D.Lgs. 138/2024. Le sanzioni amministrative pecuniarie previste sono significative: fino a 10.000.000 euro o al 2% del fatturato mondiale per i soggetti essenziali; fino a 7.000.000 euro o all’1,4% del fatturato per i soggetti importanti.
Ma il rischio sanzionatorio non è la sola — né la principale — conseguenza di un adempimento fragile. Un soggetto NIS che dichiara all’ACN un elenco di fornitori rilevanti privo di ancoraggio metodologico si espone a tre ordini di rischi ulteriori.
Il primo è il rischio di verifica: l’ACN può richiedere di documentare la metodologia sottostante alla classificazione. Un elenco di fornitori privo di BIA di supporto e di TPRM documentato non supererà questo scrutinio.
Il secondo è il rischio di responsabilità civile: in caso di incidente che coinvolga un fornitore non dichiarato come rilevante nonostante un’analisi metodologicamente rigorosa avrebbe imposto di qualificarlo tale, la lacuna nella dichiarazione può essere utilizzata per sostenere l’inadeguatezza complessiva del sistema di gestione del rischio dell’organizzazione, con riflessi sulla responsabilità nei confronti di terzi danneggiati dall’incidente.
Il terzo è il rischio reputazionale: in un contesto in cui la cybersicurezza è diventata un elemento di valutazione nella definizione dei rapporti commerciali e istituzionali, la dimostrazione di un approccio lacunoso alla governance della supply chain può incidere sulla posizione competitiva dell’organizzazione e sulla sua capacità di accedere a determinati mercati o di partecipare a gare pubbliche.
10. Conclusioni: un’occasione di maturità organizzativa
La Determinazione ACN 127437/2026 è un atto regolatorio di notevole densità normativa, che interviene su un nodo strutturalmente critico del sistema di cybersicurezza italiano: la visibilità e la governabilità della supply chain dei soggetti NIS. Il suo art. 18 trasforma in obbligo dichiarativo ciò che avrebbe dovuto già essere prassi: la mappatura metodologica delle dipendenze critiche dai fornitori, ancorata a una BIA documentata e integrata nel TPRM.
Le organizzazioni che tratteranno questo adempimento come una mera formalità da assolvere compilando un modulo nel portale ACN perderanno un’opportunità significativa. Quelle che, al contrario, utilizzeranno la pressione normativa per costruire — o consolidare — un sistema di governance della supply chain strutturato, documentato e integrato nel più ampio sistema di gestione del rischio organizzativo, ne usciranno con una resilienza operativa concretamente rafforzata.
In definitiva, come ho sostenuto nel volume Sicurezza e Compliance nella Supply Chain, la gestione della catena di fornitura non è un problema tecnico da delegare all’IT, né un problema legale da delegare all’ufficio contratti. È una questione di governance che attraversa l’intera organizzazione e richiede la convergenza di competenze tecniche, giuridiche e manageriali. La Determinazione ACN 127437/2026 offre alle organizzazioni italiane — sia pure attraverso la leva della compliance — l’occasione per compiere questo salto di maturità.
Riferimenti normativi
Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 (NIS2)
D.Lgs. 4 settembre 2024, n. 138, recante “Recepimento della direttiva (UE) 2022/2555”
Determinazione ACN n. 127437/2026, del 13 aprile 2026, “Misure di sicurezza per i soggetti NIS – fornitori rilevanti e obblighi informativi”
Regolamento (UE) 2016/679 (GDPR), in particolare artt. 9, 28, 32
Regolamento (UE) 2017/745 (MDR), in materia di dispositivi medici
D.Lgs. 30 giugno 2003, n. 196, come modificato dal D.Lgs. 10 agosto 2018, n. 101 (Codice Privacy)
Riferimento bibliografico dell’autore
De Luca D., Sicurezza e Compliance nella Supply Chain, Edizioni Giuridiche Simone, Napoli, 2024.
© Davide De Luca – riproduzione consentita con indicazione della fonte
