Obbligo di comunicazione dei fornitori strategici entro il 31 maggio 2026
Ho iscritto la mia impresa sul Portale dell’Autorità per la cybersicurezza nazionale e ho ricevuto la conferma di assoggettamento alla normativa. Quali sono le prossime scadenze da rispettare?
Il quesito consente di tornare su una normativa di particolare rilievo, il D.Lgs. 138/2024, che ha recepito la Direttiva UE 2022/2555 (c.d. NIS2), entrata in vigore all’inizio del 2025 e applicabile ai soggetti qualificati come Essenziali o Importanti dall’Autorità competente. Dopo il primo obbligo operativo scattato a gennaio 2026, consistente nell’attivazione delle procedure interne per garantire la capacità di notificare tempestivamente gli incidenti rilevanti, e dopo l’aggiornamento annuale delle informazioni comunicate in fase di iscrizione, si avvicina ora una nuova e significativa scadenza. Entro il 31 maggio 2026 i soggetti NIS dovranno comunicare all’Agenzia per la Cybersicurezza Nazionale (ACN) l’elenco dei fornitori strategici, quale misura strutturale a presidio della sicurezza della catena di approvvigionamento, ambito che la Direttiva individua come uno dei principali vettori di rischio cyber. L’obbligo discende dall’art. 21 della Direttiva NIS2, che impone l’adozione di misure tecniche, operative e organizzative idonee a gestire anche i rischi derivanti dai rapporti di fornitura. Il legislatore nazionale ha dato attuazione a tale principio introducendo uno specifico obbligo dichiarativo verso l’Autorità competente. Devono, pertanto, essere comunicati i fornitori che rientrano nelle categorie dei servizi digitali indicate nell’Allegato I, punti 8 e 9 Decreto NIS (fornitura ICT) e quelli che forniscono beni o servizi la cui indisponibilità o compromissione avrebbe un impatto significativo sull’erogazione dei servizi del soggetto NIS, anche per assenza di soluzioni alternative (forniture non fungibili). Possono rientrare in tale categoria, ad esempio, i provider cloud che ospitano applicazioni critiche, i fornitori IT con accesso amministrativo ai sistemi aziendali, i gestori di servizi di cybersecurity esterni o i soggetti che mantengono e aggiornano infrastrutture tecnologiche essenziali. Anche fornitori apparentemente “tradizionali” possono assumere rilevanza strategica, se integrati in processi essenziali dell’organizzazione. L’individuazione dei fornitori strategici, preliminare alla comunicazione richiesta dall’Autorità, comporta un’analisi tecnica, giuridica e organizzativa approfondita, che impone il coordinamento tra diverse Aree interne all’azienda, che, a diverso titolo, si interfacciano con i fornitori, perché soltanto attraverso un lavoro strutturato e congiunto sarà possibile mappare i contratti in essere, individuare chi abbia accesso a reti, sistemi o dati sensibili, stimare l’impatto operativo e di sicurezza derivante da un’eventuale interruzione o compromissione della fornitura, individuare le dipendenze tecniche critiche ed i fornitori non facilmente sostituibili, verificare l’esistenza di alternative di mercato ed, infine, revisionare i contratti per allinearli agli obblighi NIS2. In questa prospettiva, l’obbligo di comunicazione dei fornitori strategici rappresenta non solo un adempimento informativo, ma anche un indicatore qualificato della maturità organizzativa e della capacità di governo del rischio cyber richiesta dalla NIS2.
