Fornitori rilevanti e supply chain nella NIS2: oltre il paradigma dell’art. 28 GDPR tra selezione, controllo e responsabilità
Articolo pubblicato su diritto.it.
L’attenzione mediatica e dottrinale sulla Direttiva (UE) 2022/2555 (c.d. NIS2), come recepita dal D.lgs. 4 settembre 2024, n. 138, si è finora concentrata prevalentemente sugli obblighi diretti gravanti sui soggetti essenziali e importanti. Tuttavia, un profilo di crescente rilevanza – ancora non adeguatamente esplorato – riguarda la gestione della supply chain e, in particolare, l’individuazione e il trattamento dei fornitori rilevanti.
Le recenti determine dell’Agenzia per la Cybersicurezza Nazionale (ACN), n.127434/2026 e n. 127437/2026 in materia di piattaforma NIS e adempimenti, affrontano il tema della supply chain, rendendo ulteriormente evidente come la compliance non possa prescindere da un controllo effettivo della filiera.
È quindi necessario sviluppare modelli integrati di gestione e controllo dei rischi nella catena di approvvigionamento, capaci di coniugare dimensione contrattuale, verifica operativa e responsabilità organizzativa, in un’ottica sistemica che rappresenta, oggi, la vera sfida della compliance NIS2
1. La centralità della supply chain nella disciplina NIS2
Il D.lgs. n. 138/2024 attribuisce un ruolo centrale alla sicurezza della catena di approvvigionamento. In particolare, le disposizioni in materia di gestione del rischio impongono ai soggetti essenziali e importanti di adottare misure tecniche e organizzative adeguate che includano espressamente la sicurezza dei fornitori e dei prestatori di servizi.
Tale previsione recepisce quanto già stabilito dall’art. 21 della Direttiva (UE) 2022/2555 c. 2 lett d), secondo cui le misure di gestione del rischio devono coprire, tra l’altro, “la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi ai rapporti tra ciascun soggetto e i suoi fornitori diretti o prestatori di servizi”.
Ne deriva un ampliamento significativo del perimetro della compliance: il rischio cyber non è più confinato all’interno dell’organizzazione, ma si estende all’intero ecosistema di relazioni contrattuali e tecnologiche all’interno del quale occorre individuare i cd. fornitori rilevanti NIS.
Questi ultimi vengono qualificati dall’art. 18 della Determinazione 127437/2026 che richiama l’art articolo 3, comma 9, lettera f), del D. Lgs 138/2024 come soggetti “considerat(i) critic(i) ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti”. I medesimi soggetti che vengono definiti dall’art articolo 1, comma 1, lettera ll) della medesima direttiva come “soggett(i) che assicurano la fornitura di servizi o di prodotti a un soggetto NIS che soddisfa almeno uno dei seguenti criteri di rilevanza: 1) la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del decreto NIS (fornitura ICT); 2) l’interruzione o la compromissione della fornitura comporta un impatto significativo sulla capacità del soggetto NIS, anche per effetto della indisponibilità di fornitori alternativi, di erogare le attività o i servizi per i quali rientra nell’ambito di applicazione del decreto NIS (fornitura non fungibile)”.
Ne consegue, quindi, la necessità di operare una netta distinzione all’interno della supply chain tra Il responsabile del trattamento, figura introdotta dall’art. 28 del Regolamento europeo 679/2016 che tratta dati personali per conto del titolare, sulla base di un vincolo contrattuale che deve rispettare i requisiti ivi previsti, la cui rilevanza è quindi limitata alla dimensione della protezione dei dati personali e il fornitore rilevante ai fini NIS2, quale elemento sistemico della catena di approvvigionamento.
Il fornitore rilevante è qualsiasi soggetto che incide, direttamente o indirettamente, sulla sicurezza delle reti e dei sistemi informativi. Tale nozione è più ampia e può includere fornitori di servizi cloud, gestori di infrastrutture IT, fornitori di software critico, outsourcer di servizi tecnologici, operatori di manutenzione e gestione sistemi.
Ne consegue che non tutti i responsabili del trattamento sono fornitori rilevanti e che verosimilmente un fornitore rilevante è anche un responsabile del trattamento. Il punto di contatto tra le due discipline si realizza solo in presenza di fornitori che svolgono entrambe le funzioni, determinando una sovrapposizione di obblighi, sebbene tra le due figure quella del fornitore essenziale sembrerebbe essere quella di più difficile individuazione, al contrario del responsabile del trattamento per il quale il criterio di individuazione rimane quello del trattamento dei dati personali per conto del titolare.
Si impone quindi una riflessione interna alle organizzazioni, per il censimento dei fornitori rilevanti poiché, tra il 1° maggio e il 30 giugno 2026, ai sensi dell’art. 18 della Determinazione 127437/2026, sarà necessario indicare, tramite il “Servizio NIS/Aggiornamento annuale informazioni” la denominazione del fornitore rilevante, il codice fiscale, il Paese in cui hanno la sede legale, i codici CPV (Common Procurement Vocabulary), di cui al Regolamento (CE) n.2195/2002, relativi alle forniture di cui fruisce il soggetto NIS e il criterio di rilevanza, di cui all’articolo 1, comma 1, lettera ll), utilizzato.
2. Come individuare i fornitori rilevanti: criteri operativi
Ai fini della compliance NIS2, un soggetto essenziale o importante deve adottare un approccio metodologico per individuare i fornitori rilevanti attraverso il coinvolgimento degli organi di amministrazione e direzione, cui è imputata la responsabilità per eventuali violazioni anche attraverso l’adozione di un sistema di aggiornamento continuo delle informazioni, comprese quelle relative agli asset e ai servizi avvalendosi della collaborazione del punto di contatto, responsabile della correttezza e tempestività delle informazioni trasmesse tramite la piattaforma.
Per fare ciò è necessario un assetto organizzativo strutturato e interdisciplinare, coerente con quanto emerge sia dal D.lgs. n. 138/2024 sia dalle determinazioni ACN (in particolare in termini di responsabilità del management, correttezza delle informazioni e aggiornamento continuo), composto dal punto di contatto, dal Responsabile IT o Ciso, dall’Ufficio legale, dall’Ufficio acquisti e dal DPO, che coadiuvano la governance e sul quale grava responsabilità ultima delle scelte fatte. Sono mediante il coinvolgimento di tutti questi soggetti sarà possibile per il soggetto obbligato conoscere in modo puntuale la propria infrastruttura tecnologica, mappare i fornitori che incidono su tale infrastruttura e monitorare nel tempo le relazioni contrattuali e operative.
L’attenzione potrà essere rivolta, in primo luogo, ai fornitori che accedono a sistemi o reti critiche, anche da remoto, gestiscono o mantengono infrastrutture ICT, forniscono servizi essenziali per la continuità operativa (es. cloud, data center, software gestionali), trattano o conservano dati strategici o sensibili e possono incidere in modo significativo sulla disponibilità, integrità o riservatezza dei sistemi. Si vedano, per maggiori approfondimenti, gli esempi di forniture rilevanti che ACN ha fornito tra le FAQ (FRN.4 https://www.acn.gov.it/portale/faq/nis/aggiornamento-delle-informazioni).
Sotto il profilo operativo, è opportuno procedere ad una mappatura completa dei fornitori ICT, ad una classificazione per livelli di rischio e all’individuazione di una lista di fornitori critici/rilevanti da sottoporre a misure rafforzate.
Una volta individuati i fornitori rilevanti, il soggetto NIS deve implementare un sistema di gestione che sia focalizzato su un monitoraggio costante delle attività svolte dai fornitori già nominati e che adotti garanzie di affidabilità da un punto di vista cyber al momento della scelta, rivolto ai nuovi. In riferimento al monitoraggio continuo rivolto ai fornitori rilevanti la compliance NIS2 impone un controllo costante nel tempo, attraverso audit periodici, aggiornamento delle valutazioni di rischio, monitoraggio delle performance di sicurezza e verifica delle segnalazioni di incidenti.
È fondamentale prevedere procedure condivise con i fornitori per la gestione degli incidenti, la comunicazione tempestiva ed il coordinamento nelle notifiche verso l’ACN, considerato il ruolo centrale che questi ultimi svolgono per l’erogazione dei servizi delle organizzazioni per cui operano.
Per i nuovi fornitori occorrerà adeguare la contrattualistica, iniziando dalla fase di scelta inserendo alcuni requisiti che consentano di garantire by default che il soggetto selezionato avrà una postura cyber adeguata al ruolo di fornitore rilevante. I contratti con i fornitori rilevanti dovranno quindi essere adeguati per includere obblighi di sicurezza conformi agli standard NIS2, clausole su gestione degli incidenti e obblighi di notifica tempestiva, livelli di servizio (SLA) in materia di sicurezza, possibilità di audit di secondo livello. Occorrerà infatti effettuare una valutazione preventiva del rischio, che includa verifica delle certificazioni (es. ISO/IEC 27001), analisi delle misure di sicurezza adottate, valutazione della localizzazione dei dati e delle infrastrutture ed analisi della solidità organizzativa del fornitore. Nel caso di fornitori che siano anche responsabili del trattamento, tali clausole devono coordinarsi con quelle previste dall’art. 28 GDPR.
3. Conclusioni
La disciplina introdotta dalla Direttiva (UE) 2022/2555 e dal D.lgs. n. 138/2024 impone un ripensamento profondo delle logiche di gestione del rischio, superando definitivamente una visione endogena della sicurezza informatica. In tale contesto, la qualificazione e la gestione dei fornitori rilevanti rappresentano uno dei terreni più complessi e, al contempo, più strategici della compliance NIS2, poiché è proprio lungo la catena di approvvigionamento che si concentrano alcune delle principali vulnerabilità sistemiche.
Il tradizionale riferimento all’art. 28 del Regolamento (UE) 2016/679, pur rimanendo imprescindibile nella disciplina dei rapporti tra titolare e responsabile del trattamento, non è più idoneo, da solo, a governare il rischio cyber nella sua dimensione attuale. La nozione di fornitore rilevante, infatti, si colloca su un piano diverso e più ampio, che impone alle organizzazioni di adottare criteri autonomi di identificazione e strumenti più evoluti di gestione e controllo.
Le determinazioni dell’ACN, nel rafforzare la centralità della piattaforma NIS e nel richiedere un aggiornamento continuo delle informazioni che per il 2026 deve avvenire tra il 1° maggio e il 30 giugno, contribuiscono a trasformare l’adempimento in un processo strutturato e permanente, fondato sulla qualità e affidabilità dei dati trasmessi. In tale prospettiva, la capacità di mappare correttamente la supply chain e di individuare i fornitori rilevanti assume una valenza non solo operativa, ma anche giuridica, incidendo direttamente sulla posizione del soggetto obbligato nei confronti dell’Autorità.
Ne deriva che la gestione dei fornitori non può più essere confinata nell’ambito della funzione acquisti o della contrattualistica, ma deve essere ricondotta a una dimensione di governance, con il coinvolgimento degli organi di amministrazione e direzione e l’integrazione tra competenze tecniche, legali e organizzative. In questo senso, l’adozione di modelli strutturati di gestione del rischio nella catena di approvvigionamento rappresenta non solo un requisito di conformità, ma un elemento essenziale di resilienza organizzativa.
La disciplina NIS2 segna il definitivo superamento di una visione interna della sicurezza informatica, imponendo ai soggetti obbligati di estendere il proprio sistema di gestione del rischio all’intera supply chain.
Le determinazioni ACN, nel rafforzare la dimensione organizzativa e la responsabilità del management, rendono evidente come la compliance non possa più essere limitata alla predisposizione di misure tecniche interne, ma richieda un presidio strutturato dei rapporti con i fornitori.
In tale contesto, il paradigma dell’art. 28 GDPR, pur rimanendo fondamentale per la protezione dei dati personali, si rivela insufficiente a governare la complessità del rischio cyber.
È quindi necessario sviluppare modelli integrati di vendor risk management, capaci di coniugare dimensione contrattuale, controllo operativo e governance, in un’ottica sistemica che rappresenta, oggi, la vera sfida della compliance NIS2.