Quando si parla di fornitori critici nel contesto del D.lgs. 138/2024, è necessario chiarire subito un equivoco molto diffuso: l’attenzione non va posta sulla mera lista dei fornitori, ma sulla struttura del rischio che sostiene i servizi essenziali.

Le indicazioni della Agenzia per la Cybersicurezza Nazionale (Acn), soprattutto alla luce delle più recenti determinazioni operative, documentate attraverso le FAQ, spingono in modo molto chiaro in questa direzione.

Non è importante sapere “chi sono i fornitori”, ma capire da chi dipende davvero l’erogazione dei servizi essenziali e quanto queste dipendenze siano governate.

Proviamo a fare chiarezza su questo aspetto fondamentale.

Il punto di partenza per individuare i fornitori critici

Il punto di partenza per individuare i fornitori critici è sempre lo stesso e non è negoziabile: sono i servizi essenziali. Si parte da lì: prima si identificano i servizi essenziali, poi si individuano i sistemi e le risorse che li rendono possibili. Solo a quel punto emergono le dipendenze, comprese quelle dai fornitori.

Questa sequenza è coerente con la sottocategoria GV.OC-04 del Framework Nazionale per la Cyber security e la Data Protection che richiede di identificare i sistemi a supporto dei servizi critici.

Senza questo passaggio, parlare di fornitori critici resta vuoto.

Quando si entra nel livello operativo, i requisiti definiti dall’Agenzia per la Cybersicurezza Nazionale richiedono che queste dipendenze siano tracciate, documentate e mantenute aggiornate.

Non come una fotografia ferma, ma come una rappresentazione che segue l’organizzazione mentre cambia.

Il rischio connesso ai fornitori critici si governa nel tempo

A guardare bene, le determinazioni dell’Agenzia per la Cybersicurezza Nazionale e il Framework Nazionale per la Cybersecurity e la Data Protection non impongono in modo esplicito una mappatura dinamica delle dipendenze.

Tuttavia, se si leggono insieme sottocategorie e requisiti operativi, il senso emerge con una certa chiarezza: le dipendenze devono essere coerenti con la realtà, aggiornate nel tempo e utilizzabili per decidere.

La sottocategoria GV.OC-04 richiede di identificare i sistemi e le risorse che supportano i servizi essenziali.

Questo passaggio ha senso solo se riflette la configurazione effettiva
dell’organizzazione.

Pertanto, se cambiano i servizi, le architetture o le risorse da cui essi dipendono, anche questa rappresentazione deve conseguentemente essere aggiornata.

Su questo piano si innesta la logica della supply chain, per cui:

• GV.SC-01 colloca il tema dei fornitori dentro la gestione del rischio di cybersecurity della catena di approvvigionamento.
• GV.SC-04 aggiunge un profilo ancora più concreto, perché porta l’attenzione sulla gestione e sul monitoraggio dei fornitori lungo la filiera. Proprio il riferimento al monitoraggio rende inadeguato leggere queste informazioni come una semplice fotografia iniziale. Il loro valore dipende dalla capacità di seguirne l’evoluzione nel tempo.

In tale quadro di situazione, le dipendenze devono necessariamente essere mantenute aggiornate, coerenti con il contesto e utili per orientare le decisioni.

Gli obblighi della determinazione del 13 aprile 2026

A questo si aggiungono gli obblighi previsti dal Capo IV dalla determinazione del 13 aprile 2026 che in relazione alla comunicazione dei fornitori rilevanti, richiede che le informazioni trasmesse siano corrette e aggiornate e che vengano riviste in caso di variazioni.

Non esiste quindi un obbligo espresso di mantenere una rappresentazione “dinamica”, ma l’insieme di questi requisiti rende necessario, nei fatti, che le informazioni su servizi, dipendenze e fornitori siano mantenute allineate alla realtà operativa nel tempo.

Un fornitore è considerato critico quando, all’interno di questa mappa, la sua fornitura rientra nelle attività o nei servizi indicati nell’allegato I, punti 8 e 9, del decreto NIS (fornitura ICT), oppure quando la sua indisponibilità compromette direttamente l’erogazione di un servizio essenziale.

In termini ancora più dettagliati – come chiarisce la FAQ FRN.2 – un fornitore diventa critico quando l’interruzione o la compromissione della sua fornitura produce un impatto significativo sulla capacità del soggetto NIS di erogare le attività o i servizi rientranti nel perimetro del decreto NIS, anche a causa dell’assenza di fornitori alternativi disponibili.

La criticità dei fornitori si fonda sulla valutazione del rischio

Il tema che stiamo sviluppando non riguarda una sottocategoria specifica ma il modo in cui si costruisce una valutazione credibile.

Un fornitore diventa critico solo dentro un ragionamento. Non è una qualità oggettiva, sua propria, ma il risultato di una valutazione che tiene insieme impatto sul servizio, probabilità di interruzione e possibilità di sostituzione.

Le indicazioni operative fornite dall’Agenzia per la Cybersicurezza Nazionale con i requisiti operativi relativi alle sottocategorie del Framework Nazionale per la Cyber security e la Data Protection dedicate alla supply chain (GV.SC-01, 02, 04,05 e 07) vanno in questa direzione.

Non si limitano a richiedere una classificazione formale dei fornitori, ma impongono che la valutazione sia motivata e tracciabile.

Un’organizzazione deve poter mostrare come valuta il rischio e su quali elementi basa le proprie decisioni. Pertanto, non ci si può limitare a dire che un fornitore è critico.

Occorre rendere comprensibile il percorso che porta a quella conclusione, collegando impatti, scenari di rischio e capacità di sostituzione.

In questo quadro, si inserisce la Business Continuity che, considerata nella sua funzione, non serve a individuare i fornitori critici, ma a misurare la capacità dell’organizzazione di continuare a operare quando uno di quei fornitori non è più disponibile.

Qui emerge la differenza tra una classificazione formale e una reale capacità di tenuta.

Primo esempio operativo: la connettività

Si consideri un’organizzazione che eroga servizi digitali verso clienti esterni. La connettività è un prerequisito del servizio. Applicando GV.OC-04 si individua subito che la rete è un elemento essenziale.

Da qui emerge il fornitore principale di connettività come fornitore critico. Se ci si ferma qui, il lavoro è incompleto. La sottocategoria ID.IM-04 richiede di sviluppare piani di continuità e disaster recovery basati sull’analisi d’impatto.

Qui entra in gioco la Business Continuity.

Se l’organizzazione attiva un secondo collegamento, con un diverso fornitore e tecnologia alternativa, sta implementando una misura coerente anche con PR.DS-11, che richiede ridondanza e capacità di ripristino.

Ma attenzione ad un punto strategico: il primo fornitore resta critico perché abilita il servizio, mentre il secondo non è semplicemente “un altro fornitore critico” ma una misura di mitigazione del rischio.

I requisiti operativi ACN chiedono che queste soluzioni siano reali, funzionanti e testate.

Qui entra in gioco anche DE.CM-01. Se non si monitora la rete e non si verifica, tramite test pianificati, il funzionamento della linea secondaria, la ridondanza è solo teorica.

La Business Continuity, in questo scenario, serve a dimostrare che in caso di guasto del primo fornitore il servizio continua davvero e non sulla carta ma nei fatti.

Secondo esempio operativo: manutenzione degli impianti elettrici

Si consideri ora un’organizzazione che opera in ambito software e che lavora in una sede unica. L’impianto elettrico è una dipendenza critica, anche se spesso non viene percepita come tale.

Applicando ancora GV.OC-04, l’infrastruttura elettrica rientra tra i sistemi che supportano il servizio.

Se la manutenzione è affidata a un fornitore esterno, quel fornitore diventa rilevante, ma la sua criticità va valutata.

Qui entra in modo diretto il tema della sostituibilità, che nella pratica operativa ACN si lega alla nozione di fornitore non fungibile.

Se l’organizzazione mantiene documentazione aggiornata degli impianti, se esistono procedure, se il know how non è concentrato all’esterno, allora la sostituzione è possibile in tempi ragionevoli.

Se invece tutta la conoscenza è detenuta dal fornitore, la situazione cambia e quindi il tempo di ripristino aumenta, l’incertezza cresce, il rischio operativo diventa più alto.

Questo è un punto che richiama direttamente GV.RR-02 e GV.SC-02. I ruoli e le responsabilità devono essere chiari e sotto controllo dell’organizzazione. Delegare completamente la conoscenza significa perdere governo.

La Business Continuity, anche qui, ha un ruolo preciso. Attraverso ID.IM-04 e i test operativi, l’organizzazione deve essere in grado di verificare quanto tempo serve per ripristinare il servizio in caso di indisponibilità del fornitore. Se non è in grado di farlo, non sta gestendo il rischio.

Il controllo operativo e la capacità di risposta

La logica NIS 2 non si ferma alla prevenzione ma richiede anche capacità di risposta e ripristino.

La sottocategoria RS.MA-01 impone di avere piani di risposta agli incidenti che includano anche le interazioni con i fornitori. Se un fornitore critico non risponde, l’organizzazione deve sapere cosa fare.

La sottocategoria RC.RP-01 richiede di essere in grado di ripristinare i servizi. Questo significa che la dipendenza dal fornitore deve essere gestita anche in fase di recovery.

Ancora, la sottocategoria RC.CO-03 impone di comunicare internamente lo stato del ripristino.

Anche questo coinvolge i fornitori critici, perché i tempi e le modalità di intervento dipendono spesso da loro.

La criticità come funzione governata

A questo punto il quadro di situazione appare abbastanza chiaro. La criticità non è un’etichetta da assegnare ma una funzione del rischio, delle dipendenze e delle misure di controllo.

Per questo motivo, anche se non è richiesto formalmente attribuire un punteggio, i requisiti ACN impongono di definire criteri.

Senza criteri, la classificazione diventa arbitraria e inutilizzabile ed è qui che si vede la differenza tra compliance formale e capacità operativa.

La mappa delle dipendenze

Identificare i fornitori critici significa costruire una mappa reale delle dipendenze che sostengono i servizi essenziali.

Il Framework Nazionale per la Cybersecurity e la Data Protection fornisce la grammatica. Le determinazioni ACN introducono i requisiti operativi che rendono questa grammatica verificabile. La Business Continuity e il risk management trasformano questa mappa in capacità di azione.

Quando tutto questo funziona insieme, l’organizzazione non si limita a dichiarare chi sono i fornitori critici ma dimostra di sapere cosa succede quando uno di questi viene meno e di essere in grado di continuare a operare.

È esattamente questo il livello che oggi viene richiesto: non sapere chi dipende da chi, ma governare davvero quelle dipendenze.

Nel prossimo articolo analizzeremo la sequenza degli adempimenti necessari per costruire la resilienza richiesta dalla NIS 2: partiremo dall’elenco dei fornitori critici, la prima vera radiografia della vulnerabilità organizzativa.

È da lì che inizia la vera resilienza: quella che non si scrive ma si costruisce.