Il grafo della supply chain come strumento di conformità NIS: i 3 vantaggi operativi

Le caratteristiche della supply chain: un fattore determinante del rischio cyber

La sicurezza informatica delle organizzazioni complesse non si esaurisce nel perimetro dei loro sistemi informativi.

Gli incidenti di sicurezza con il maggiore impatto sistemico degli ultimi dieci anni, da SolarWinds (2020) a Kaseya (2021), da Log4Shell (2021) a MOVEit (2023), presentano una struttura comune. Un singolo punto di compromissione nella catena di fornitura genera un’onda di propagazione che investe migliaia di organizzazioni a valle, indipendentemente dalla loro postura difensiva interna.

L’evidenza empirica più recente è univoca. Le caratteristiche della supply chain sono un fattore determinante e significativo del rischio cibernetico, tanto da migliorare in modo apprezzabile gli indicatori di sicurezza tradizionali.

A questa evidenza tecnica si è accompagnata una svolta normativa di portata strutturale.

La catena di approvvigionamento nella Direttiva NIS 2

La Direttiva NIS 2 impone ai soggetti essenziali e importanti l’obbligo di adottare misure di gestione del rischio che includano espressamente “la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi fornitori diretti o fornitori di servizi” (art. 21, par. 2, lett. d, della Direttiva, recepito dall’art. 24, comma 2, lett. d, del D.Lgs. 138/2024).

In sede di attuazione operativa, l’articolo 18 della Determinazione ACN n. 127437 del 13 aprile 2026 introduce, dal 15 aprile al 31 maggio di ogni anno, l’obbligo per i soggetti NIS di comunicare all’Agenzia per la cybersicurezza nazionale l’elenco dei propri fornitori rilevanti sulla base di due criteri di rilevanza e cinque campi informativi per ciascun fornitore, includendo esplicitamente anche le dipendenze non digitali non fungibili.

L’adempimento non è una formalità burocratica

Il punto centrale della questione non è la creazione di un nuovo obbligo formale, ma la trasformazione della nozione di “fornitore rilevante”, già presente nell’impianto della Direttiva NIS 2, in un obbligo dichiarativo, verificabile, documentabile e sottoponibile a controllo da parte dell’Autorità.

La rilevanza, peraltro, non è una proprietà intrinseca del singolo fornitore (dimensioni, fatturato, certificazioni), ma il risultato di una relazione, quella tra il fornitore e il sistema organizzativo del soggetto NIS, nel quale il fornitore si inserisce come elemento di una rete di dipendenze funzionali.

Questa qualificazione relazionale del concetto di rilevanza ha una conseguenza metodologica precisa: l’oggetto da modellare non è una lista, ma una rete.

Il grafo della supply chain

La conformità sostanziale all’articolo 18 della Determinazione 127437/2026 richiede l’adozione di un modello a grafo della catena di approvvigionamento. Il grafo non è uno strumento di rappresentazione facoltativo, ma il livello minimo di rappresentazione coerente con la natura sistemica del rischio che la direttiva NIS 2 intende governare.

La trattazione procede in cinque fasi: la prima è la ricostruzione del quadro normativo, segue la formalizzazione del modello a grafo e l’individuazione dei nodi critici e dei colli di bottiglia mediante metriche topologiche, si passa alla modellazione dell’effetto a cascata e, infine, l’inquadramento del problema in una prospettiva di sovranità digitale.

Il quadro normativo

L’architettura normativa rilevante si articola su tre livelli concentrici.

A livello europeo, la direttiva (UE) 2022/2555 ha sostituito il precedente regime NIS, ampliandone il perimetro soggettivo, rafforzando gli obblighi di gestione del rischio e introducendo un modello di responsabilizzazione degli organi di governo.

Merita una menzione particolare il considerando 86 della direttiva, che invita gli Stati membri a prestare maggiore attenzione nella selezione dei fornitori di servizi di sicurezza gestita, riconoscendo che questi ultimi costituiscono una superficie d’attacco strategica per le organizzazioni cui forniscono i propri servizi.

A livello nazionale, il D.lgs. 4 settembre 2024, n. 138 ha recepito la direttiva.

Due sue disposizioni sono rilevanti per la prospettiva adottata in questo contesto.

La prima è l’articolo 3, comma 9, lettera f), che estende l’applicazione del decreto anche ai soggetti considerati critici in quanto «elementi sistemici della catena di approvvigionamento, anche digitale», di soggetti essenziali o importanti.

La seconda è l’articolo 24, comma 2, lettera d), che eleva la sicurezza della catena di approvvigionamento a misura di gestione del rischio espressamente richiesta.

Fino ad aprile 2026, tale principio aveva poche conseguenze operative dirette per gli operatori a valle della catena, ma la situazione è cambiata radicalmente con l’adozione di atti normativi di rango secondario.

L’elenco dei fornitori rilevanti: due criteri alternativi

A livello attuativo, la Determinazione ACN n. 127437/2026, che aggiorna e sostituisce la precedente n. 379887/2025, introduce per tutti i soggetti NIS un nuovo obbligo informativo: l’elenco dei fornitori rilevanti (art. 18). L’individuazione del fornitore rilevante si basa su due criteri alternativi.

Il primo criterio è di natura tipologica:la fornitura deve essere riconducibile alle attività o ai servizi indicati nei punti 8 e 9 dell’allegato I del decreto NIS.

Tra questi rientrano i fornitori di servizi DNS, i gestori dei registri dei nomi di dominio di primo livello, i fornitori di servizi cloud, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti e i fornitori di servizi di sicurezza gestiti.

Il secondo criterio è di natura funzionale: l’interruzione o la compromissione della fornitura avrebbe un impatto significativo sulla capacità del soggetto NIS di erogare le attività o i servizi per cui rientra nell’ambito NIS, anche perché non sono disponibili fornitori alternativi adeguati (fornitori non fungibili).

Un meccanismo a cascata

La logica complessiva è di tipo sistemico e viene esplicata dall’ACN. Si tratta di un meccanismo a cascata: ciascun soggetto NIS segnala i propri fornitori critici e l’Agenzia, incrociando le segnalazioni e d’intesa con le autorità di settore, individua quelli che, in base al volume e all’impatto sistemico, dovranno essere inclusi nell’elenco dei soggetti NIS come “importanti” o “essenziali”, assumendo in prima persona gli obblighi previsti dal D.lgs. 138/2024.

Da questa architettura derivano due conseguenze operative di immediata rilevanza per chi progetta il modello di conformità: la qualità dei dati comunicati condiziona l’individuazione di nuovi soggetti regolati a livello nazionale (con effetti reputazionali e contrattuali per i fornitori segnalati) e la mappatura non può limitarsi al primo livello, in quanto il regolatore ragiona in termini sistemici e si aspetta che i soggetti NIS comprendano almeno il secondo livello di subfornitura.

Il regime sanzionatorio per l’inadempimento rinvia alle sanzioni amministrative pecuniarie, commisurate al fatturato annuo mondiale, previste dall’articolo 38 del decreto legislativo 138/2024, con soglie differenziate per i soggetti essenziali e importanti, oltre alle misure correttive previste dall’articolo 37.

Inoltre si rileva che le entità finanziarie soggette al Regolamento DORA e rientranti anche nell’ambito NIS sono esentate dall’adempimento specifico di categorizzazione, fermo restando che possono aderirvi volontariamente; resta tuttavia inalterato l’obbligo di gestione del rischio di terza parte ai sensi dell’articolo 24.

Dalla lista al grafo della supply chain

L’articolo 18 richiede formalmente la produzione di una lista, ma la realtà che la lista intende governare è una rete.

Questo scarto rappresentativo è la prima fonte di disallineamento tra l’adempimento formale e la conformità sostanziale.

Si propone la seguente formalizzazione: si consideri il grafo G = (V, E, ϕ, ψ) della supply chain del soggetto NIS, dove:

• V rappresenta l’insieme dei nodi, partizionato in V = V S ∪ V F ∪ V A , dove V S rappresenta i servizi e le attività erogati dal soggetto NIS (oggetto della categorizzazione di cui agli artt. 20-21 della Determinazione), V F rappresenta i fornitori (Tier 1, Tier 2, Tier n), e V A rappresenta gli asset tecnologici e le componenti funzionali (basi di dati, sistemi di autenticazione, piattaforme cloud, applicativi, hardware, servizi gestiti).
• E ⊆ V × V è l’insieme degli archi diretti che rappresentano le relazioni di dipendenza funzionale: un arco (u, v) ∈ E rappresenta la relazione di dipendenza funzionale da u a v. Ciò significa che il funzionamento di u dipende dal funzionamento di v.
• ϕ: V → R k è la funzione di etichettatura dei nodi che associa a ciascun nodo un vettore di attributi rilevanti: per i nodi-fornitore, la denominazione, il codice fiscale, la sede legale, i codici CPV della fornitura, la giurisdizione effettiva di erogazione del servizio, le certificazioni di sicurezza e la presenza di subfornitura nota; per i nodi-servizio, la categoria di rilevanza ai sensi della BIA, l’RTO e l’RPO, nonché la classificazione del dato trattato.
• E→R m è la funzione di etichettatura degli archi che, a ciascuna relazione di dipendenza, associa un vettore che ne quantifica natura e intensità (criticità della dipendenza, sostituibilità, tempi di switch, vincoli contrattuali e livelli di servizio).

I 3 vantaggi di questa formalizzazione

Questa formalizzazione presenta tre vantaggi rispetto alla rappresentazione tabellare.

In primo luogo, rende esplicita la differenza tra dipendenza diretta e indiretta: un fornitore di Tier 2 potrebbe non essere presente nel registro contrattuale del soggetto NIS, ma essere comunque presente nel grafo come predecessore di un fornitore di Tier 1 e influire, quindi, sulla continuità del servizio del soggetto regolato.

Inoltre, in secondo luogo, consente di quantificare la criticità del fornitore in funzione dei servizi NIS che esso supporta, traducendo operativamente la nozione relazionale di rilevanza enunciata dalla determinazione.

In terzo luogo, consente di applicare il repertorio analitico della teoria dei grafi all’identificazione dei nodi critici e dei colli di bottiglia.

Le 3 fonti integrate della costruzione del grafo

Dal punto di vista informativo, la costruzione del grafo si basa su tre fonti integrate:

• il registro contrattuale e il sistema di gestione dei fornitori (procurement), che forniscono V F di Tier 1;
• l’analisi d’impatto aziendale (BIA) che fornisce V S e i pesi di criticità;
• l’inventario degli asset (CMDB, SBOM per le componenti software e registri delle integrazioni applicative), che fornisce V A e gli archi di dipendenza tecnica.

L’integrazione di queste tre fonti rappresenta un esercizio di governo a sé stante e non un dato di partenza, e costituisce probabilmente la maggiore difficoltà operativa per molte organizzazioni soggette all’obbligo.

Nodi critici e colli di bottiglia

Una volta costruito il grafo, l’individuazione dei fornitori rilevanti e, più in generale, dei nodi critici della catena può essere basata su metriche topologiche che hanno una solida letteratura di riferimento.

In questo articolo si discutono le principali metriche topologiche, evidenziandone il significato operativo nell’ottica della NIS 2:

• Centralità di grado (Degree Centrality).
• Centralità di intermediazione (betweenness centrality).
• Punti di articolazione (articulation points/cut vertices) e ponti (bridges/cut edges).
• Critical Locus of Supply (CLS).
• Centralità di autovettore e PageRank.

Centralità di grado

La centralità di grado (Degree Centrality) misura il numero di archi incidenti su un nodo.

Un nodo-fornitore con un elevato grado in uscita (cioè che fornisce molti servizi a molti nodi del soggetto NIS) è un candidato naturale per la qualifica di fornitore rilevante.

La metrica è semplice, ma rischia di essere fuorviante se applicata isolatamente: un fornitore che eroga molti servizi non critici è meno rilevante, in senso NIS, rispetto a un fornitore che eroga un solo servizio essenziale e non sostituibile.

La centralità di intermediazione

La centralità di intermediazione (betweenness centrality): misura la frequenza con cui un nodo si trova sui cammini minimi tra coppie di altri nodi.

Le tecniche di analisi dei grafi permettono di analizzare le dipendenze tra i nodi e di individuare i punti critici o i colli di bottiglia che potrebbero interrompere il flusso di beni e informazioni.

A tale scopo, vengono utilizzati algoritmi di centralità di intermediazione che permettono di visualizzare nel grafo i nodi più altamente connessi.

Nel contesto NIS, un’elevata centralità di intermediazione indica un fornitore che, pur non avendo necessariamente un gran numero di clienti diretti all’interno della catena, rappresenta un passaggio obbligato per l’erogazione di una pluralità di servizi, come un provider di gestione dell’identità, un gateway di pagamento o un servizio DNS gestito.

Punti di articolazione e ponti

Mutuati dalla teoria dei grafi non orientati, i punti di articolazione (articulation points/cut vertices) e ponti (bridges/cut edges) identificano i nodi e gli archi la cui rimozione provoca la disconnessione del grafo. Rappresentano la traduzione formale del concetto di “single point of failure”.

Nel grafo della supply chain di un soggetto NIS, un punto di articolazione è un fornitore o un asset la cui indisponibilità provoca l’interruzione dell’erogazione di uno o più servizi essenziali, in coerenza con il secondo criterio di rilevanza dell’art. 18 (non fungibilità).

Critical Locus of Supply (CLS)

Le centralità tradizionali presuppongono un grafo simmetrico, mentre le supply chain sono reti orientate con flussi diretti dai fornitori ai servizi finali.

Il Critical Locus of Supply (CLS) è una misura introdotta in letteratura che si è rivelata particolarmente utile per individuare le posizioni critiche per la continuità della supply chain.

Tale misura differenzia i nodi sulla base del grado in cui il contenuto di rete che vi transita può essere reindirizzato o sostituito.

Il CLS è particolarmente coerente con la logica della determinazione, in quanto incorpora esplicitamente il criterio della sostituibilità in tempo utile.

Centralità di autovettore e PageRank

Catturano la centralità “trasmessa”: un nodo è critico se è connesso a nodi a loro volta critici.

Operativamente, un fornitore di Tier 2 può emergere come critico anche se nessuno dei suoi clienti diretti nel grafo è, di per sé, un servizio essenziale, ma lo sono i clienti di questi ultimi.

L’uso congiunto di queste metriche, ponderate in base agli attributi di rilevanza dei servizi (RTO/RPO e classificazione di rilevanza ex art. 30 D.Lgs. 138/2024), produce un ranking dei nodi che traduce in modo difendibile la nozione qualitativa di rilevanza in una misura quantitativa.

Il ranking è argomentabile davanti all’Autorità, è riproducibile nel tempo
(consentendo la verifica della coerenza delle dichiarazioni annuali) ed è suscettibile di un’analisi incrociata, in linea con la facoltà dell’ACN di effettuare verifiche a campione e confronti con soggetti comparabili.

Effetti a cascata e fallimenti sistemici

L’analisi statica dei nodi critici è una condizione necessaria, ma non sufficiente.

La specificità del rischio della supply chain digitale risiede nella sua dinamica: un guasto locale si propaga attraverso gli archi del grafo e produce effetti a distanza che non possono essere rilevati solo attraverso la lettura delle centralità.

L’enorme scala e l’interconnessione di queste reti fanno sì che una violazione in un’area possa avere effetti a cascata sull’intera catena.

I criminali informatici sfruttano questa interconnessione, sapendo che compromettere un componente può interrompere l’intera operazione.

Il caso SolarWinds, in cui una singola vulnerabilità ha colpito migliaia di organizzazioni in tutto il mondo, è un esempio paradigmatico di questo effetto domino.

Lo studio dei fallimenti a cascata su reti tecnologiche e socio-tecniche dispone di un apparato modellistico consolidato, sviluppato a partire dagli studi sui blackout delle reti elettriche e successivamente esteso ai sistemi finanziari e alle reti di approvvigionamento.

Le centralità di grafo sono state estese ai modelli di fallimento a cascata per individuare i nodi più critici nell’individuazione e nella mitigazione dei guasti. In questo caso, la centralità funge da proxy per individuare i nodi più importanti, in modo che le strategie di mitigazione del rischio possano basarsi sia sull’importanza dei nodi sia sulla loro suscettibilità al fallimento.

Tre famiglie pertinenti di modelli

Tre famiglie di modelli sono particolarmente pertinenti:

• Modelli di percolazione;
• Modelli stocastici di propagazione;
• Simulazione Monte Carlo su grafi multi-tier.

I modelli di percolazione

I nodi (o gli archi) vengono rimossi secondo una distribuzione di probabilità uniforme o orientata verso i nodi a maggiore centralità e si misura la frammentazione progressiva della componente connessa che contiene i servizi essenziali.

La metrica di interesse è la soglia di percolazione ovvero la frazione critica di nodi da rimuovere oltre la quale il grafo si frammenta.

Le reti con distribuzione di grado a coda pesante (scale-free) sono robuste in caso di guasti casuali, ma sono vulnerabili agli attacchi mirati ai nodi hub. Le supply chain digitali, solitamente dominate da pochi grandi provider di servizi cloud e gestiti, presentano tipicamente questa topologia.

Modelli stocastici di propagazione

Mutuati dall’epidemiologia (modelli SIR e varianti), assegnano a ciascun nodo uno stato (sano, compromesso, recuperato) e regole probabilistiche di transizione lungo gli archi.

I nodi ad alta centralità propagano le interruzioni in modo più severo, in coerenza con le proprietà delle reti scale-free: piccoli guasti ai nodi centrali possono propagarsi attraverso i vari livelli e amplificare gli effetti sui partner a monte e a valle.

Questi modelli sono particolarmente utili per stimare l’orizzonte temporale entro cui un incidente presso un fornitore di livello 2 raggiunge la superficie operativa del soggetto NIS, informazione fondamentale per la calibrazione delle finestre di notifica ex art. 26 del D.lgs. 138/2024.

Simulazione Monte Carlo su grafi multi-tier

Consente di stimare distribuzioni complete di esito anziché valori puntuali e di costruire intervalli di confidenza su metriche di rischio (perdita attesa, probabilità di interruzione di un servizio essenziale entro un orizzonte temporale T).

L’incertezza, quantificata mediante la tecnica Monte Carlo, fornisce metriche di rischio attivabili dai decisori che possono così prendere decisioni probabilistiche anziché basarsi su stime puntuali.

La simulazione consente inoltre di valutare in anticipo l’efficacia delle misure di mitigazione: l’approvvigionamento alternativo è particolarmente efficace per i fornitori ad alta centralità, le scorte di sicurezza migliorano la resilienza dei nodi a livello distributivo, ma a costi di magazzino non trascurabili, mentre il rerouting offre benefici moderati, ma è vincolato alla connettività della rete.

L’esercizio di simulazione, applicato al grafo costruito secondo la teoria esposta, fornisce tre output operativi alla funzione di sicurezza:

• una graduatoria dei fornitori in base al loro contributo atteso al rischio sistemico (non solo alla loro probabilità individuale di guasto);
• una stima dei tempi di propagazione, utile per calibrare l’investimento in capacità di rilevazione e risposta;
• una valutazione costi-benefici delle misure di mitigazione che consenta di giustificare l’impiego di risorse davanti agli organi di amministrazione (alla cui responsabilità l’articolo 23 del decreto imputa le violazioni).

Sovranità digitale e dipendenze giurisdizionali

La modellazione tecnica del rischio della supply chain non esaurisce la questione.

Esiste, infatti, una dimensione ulteriore di natura geopolitica e regolatoria che il grafo deve essere in grado di rappresentare: la sovranità digitale.

La nozione, sviluppata nel pensiero strategico europeo dell’ultimo decennio, è stata recentemente formalizzata in termini analitici nel contributo di Baldoni e Di Luna, secondo cui la sovranità digitale è una ricerca multiforme, interdisciplinare e dinamica basata sulla capacità di un Paese di accedere continuamente a tecnologie affidabili (CTC) per archiviare, trasferire ed elaborare i dati prodotti internamente.

La continuità di accesso o l’affidabilità tecnologica possono essere messe a repentaglio da diverse azioni malevole, che vanno dagli attacchi informatici alle manipolazioni della catena di approvvigionamento, fino ad arrivare ad azioni di natura politica o economica.

La sovranità digitale dal punto di vista del grafo

Dal punto di vista del grafo, la sovranità digitale si traduce nella necessità di etichettare i nodi-fornitore (e i nodi-asset) con almeno tre dimensioni giurisdizionali: la nazionalità del soggetto giuridico controllante, la localizzazione fisica delle infrastrutture che erogano il servizio e l’insieme delle giurisdizioni che, per via legislativa, possono esercitare un diritto di accesso ai dati elaborati o transitati attraverso tali infrastrutture (si pensi all’applicazione extraterritoriale del Cloud Act statunitense).

La concentrazione di nodi-fornitore critici in una medesima giurisdizione extraeuropea rappresenta un fattore di rischio sistemico che il modello deve essere in grado di evidenziare.

Rischio dei fornitori nei contesti critici

L’osservazione corrente del settore conferma questa lettura: il rischio dei fornitori è sempre più valutato attraverso una lente di sicurezza nazionale, soprattutto nei contesti critici.

Il rischio di concentrazione, che in passato era una semplice questione di
approvvigionamento, oggi ha un impatto geopolitico e le commissioni di sorveglianza stanno lavorando per una maggiore coordinazione tra governi e industria, consapevoli che la sicurezza della catena di approvvigionamento non è più una questione secondaria, ma centrale per la sovranità cibernetica.

Marpet si chiede: “La sovranità dei dati ha dominato le conversazioni sulla governance negli ultimi anni: chi possiede i dati, dove risiedono e chi può accedervi. Ma nelle infrastrutture critiche, la questione è diventata molto più fondamentale: chi possiede il firmware? E i dispositivi? E i chip al loro interno? Sappiamo davvero da dove provengono?».

Il sistema restituisce con precisione l’estensione del problema fino al silicio, al di sotto dello strato applicativo.

La dimensione di sovranità nel grafo della supply chain

Per il soggetto NIS, l’integrazione della dimensione di sovranità nel grafo abilita due classi di analisi che il dato puramente tecnico non consentirebbe. La prima è la valutazione dell’esposizione giurisdizionale aggregata, ovvero la quota di servizi essenziali che dipendono, anche indirettamente (Tier 2, Tier 3), da fornitori soggetti a giurisdizioni al di fuori del perimetro UE.

La seconda è la valutazione dell’esposizione concentrata, ovvero la frazione di servizi essenziali che dipendono da un singolo fornitore extraeuropeo (concentration risk).

Entrambe le metriche sono leggibili direttamente sul grafo, una volta che i nodi sono stati arricchiti con gli attributi giurisdizionali.

La lettura sovranitaria interagisce con il meccanismo a cascata previsto dalla Determinazione 127437/2026.

Un fornitore di servizi cloud o di servizi gestiti, il cui volume aggregato di segnalazioni lo includa nell’elenco dei soggetti NIS come essenziale o importante da parte dell’ACN, assume in proprio gli obblighi del decreto, inclusi quelli relativi alla propria catena di approvvigionamento.

L’applicazione iterata di questo meccanismo consente al legislatore italiano di creare, lungo la filiera digitale, un perimetro di sicurezza che si avvicina progressivamente al concetto di catena di approvvigionamento sovrana senza compromettere il principio della libera prestazione dei servizi nel mercato interno.

Implementazione operativa e governance del grafo della supply chain

La costruzione e il mantenimento del grafo non costituiscono un esercizio epistemico autonomo, ma si inseriscono nel sistema di governo della cyber sicurezza del soggetto NIS.

Cinque elementi operativi meritano di essere richiamati:

• il grafo della supply chain richiede una governance interfunzionale;
• occorre che il grafo della supply chain sia coerente con la BIA;
• il grafo della supply chain si interfaccia con la dimensione contrattuale;
• il grafo della supply chain richiede un metodo di compilazione coerente per i campi richiesti dall’articolo 18:
• infine, il grafo della supply chain deve essere predisposto per il confronto incrociato.

Una governance interfunzionale

È necessario un assetto organizzativo strutturato e interdisciplinare, coerente con quanto previsto dal D.Lgs. n. 138/2024 e dalle determinazioni dell’ACN, in particolare per quanto riguarda le responsabilità del management, l’accuratezza delle informazioni e l’aggiornamento continuo. Tale assetto deve comprendere il punto di contatto, il responsabile IT o CISO, l’ufficio legale, l’ufficio acquisti e il DPO.

La presenza dell’Ufficio Acquisti è essenziale: senza l’accesso alla base contrattuale aggiornata, il grafo risulterebbe incompleto.

La presenza del DPO è essenziale ogni volta che il fornitore tratta dati personali, in quanto impone il coordinamento con l’articolo 28 del GDPR.

Coerenza con la BIA

La BIA fornisce i pesi di rilevanza dei servizi del soggetto NIS che si propagano lungo gli archi del grafo, determinando la rilevanza derivata dei fornitori.

Ogni revisione della BIA implica una rivalutazione del grafo e ogni segnalazione di un nuovo fornitore o di una variazione della subfornitura deve essere proiettata sui pesi di rilevanza calcolati.

Interfacciamento con la dimensione contrattuale

Un contratto con un fornitore rilevante di livello infrastrutturale, come un provider cloud che gestisce l’intera piattaforma applicativa di un operatore di servizi essenziali, deve prevedere, come minimo:

• obblighi specifici di sicurezza allineati alle misure richieste dalla NIS 2 (art. 21 della Direttiva);

• diritti di audit esercitabili dall’organizzazione o da terzi da essa delegati e protocolli condivisi di gestione degli incidenti con definizione dei tempi di notifica compatibili con gli obblighi previsti dall’art.;

• obblighi di business continuity del fornitore con SLA allineati agli RTO/RPO dell’organizzazione;

• clausole di trasparenza sulla subfornitura con obbligo di notifica in caso di variazioni della catena di Tier 2 o Tier 3 che possano incidere sul livello di rischio.

L’ultima clausola è la più rilevante per il mantenimento del grafo: senza un obbligo contrattuale di trasparenza sulla subfornitura, l’orizzonte di visibilità del soggetto NIS si ferma al Tier 1.

Metodo di compilazione coerente per i campi richiesti dall’articolo 18

Denominazione, codice fiscale, sede legale, codici CPV (Common Procurement Vocabulary) della fornitura e criterio di rilevanza soddisfatto.

I codici CPV sono particolarmente rilevanti, in quanto consentono all’ACN di aggregare le segnalazioni in base alla tipologia e di identificare, su base settoriale, i fornitori da inserire nell’elenco NIS.

La qualità della codifica CPV nel grafo è quindi un parametro indiretto della qualità dell’adempimento.

Predisporre il grafo della supply chain per il confronto incrociato

L’elenco categorizzato delle attività e dei servizi trasmesso dai soggetti NIS potrà essere sottoposto a verifiche di conformità da parte dell’ACN, effettuate a campione e anche mediante il confronto con i dati comunicati da soggetti comparabili.

L’ACN dovrà fornire un riscontro entro 90 giorni dalla trasmissione, termine prorogabile una sola volta fino a ulteriori 60 giorni in caso di approfondimenti.

La logica del confronto incrociato prevede che le dichiarazioni asimmetriche tra i soggetti NIS dello stesso settore, soprattutto quando uno di essi dichiara come rilevante un fornitore che altri soggetti analoghi non dichiarano, saranno soggette a un’attenta analisi.

Il grafo, in quanto strumento documentabile di derivazione della lista,
rappresenta la difesa più solida nel dialogo con l’Autorità.

Il rischio sistemico della supply chain digitale

L’articolo 18 della Determinazione ACN 127437/2026 ha trasformato un principio della Direttiva NIS 2 in un obbligo dichiarativo annuale, soggetto a verifica e a sanzioni.

Una lettura riduzionista, che considera l’adempimento come la semplice compilazione di un elenco di fornitori, fraintende la natura del rischio che la norma intende governare.

Il rischio sistemico della supply chain digitale è un rischio di rete che si manifesta lungo i percorsi di propagazione, si concentra nei nodi critici e si amplifica a causa delle dipendenze incrociate.

L’adozione di un modello a grafo della supply chain, formalizzato secondo i criteri proposti e analizzato con l’apparato metrico discusso, fornisce al soggetto NIS la rappresentazione adeguata al rischio che è chiamato a gestire.

Tale rappresentazione consente, contestualmente, l’individuazione tecnicamente difendibile dei fornitori rilevanti ai fini dell’articolo 18, la simulazione degli effetti a cascata propedeutica al dimensionamento delle capacità di rilevazione e risposta e l’inquadramento delle dipendenze giurisdizionali nell’ambito della sovranità digitale.

Un aspetto di natura epistemologica.

Il grafo della supply chain non è mai completo né statico.

La completezza è limitata dall’opacità della subfornitura oltre il primo livello, mentre la stabilità è limitata dalla dinamicità delle relazioni contrattuali e tecnologiche.

Di conseguenza, la governance del grafo è un processo iterativo basato sull’aggiornamento continuo, sulla cooperazione con i fornitori e sull’integrazione con strumenti emergenti quali i software Bill of Materials (SBOM), i sistemi di Reasoning sui Knowledge Graph e le architetture federate per la condivisione delle informazioni sulla sicurezza tra le organizzazioni dello stesso settore.

La direzione
indicata dalla Direttiva NIS 2 e dalla relativa regolamentazione di attuazione dell’ACN è chiara: la sicurezza informatica dei soggetti essenziali e importanti non riguarda più il perimetro, ma la rete. Il grafo è lo strumento che fornisce visibilità a tale rete.

Alla fine, tutti noi saremo fornitori di qualcun altro.

Riferimenti normativi

• Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (NIS 2).
• Decreto Legislativo 4 settembre 2024, n. 138, di recepimento della Direttiva NIS 2.
• Determinazione ACN n. 127437 del 13 aprile 2026 (in particolare artt. 1, 16, 18, 20, 21).
• Determinazione ACN n. 127434 del 13 aprile 2026.
• Determinazione ACN n. 379907/2025.
• FAQ ACN FRN.1, FRN.2, FRN.3 e FRN.4 in materia di elenco dei fornitori rilevanti NIS.
• Regolamento (UE) 2016/679 (GDPR), in particolare art. 28.
• Regolamento (UE) 2022/2554 (DORA).

Riferimenti bibliografici

• Baldoni R., Di Luna G., Sovereignty in the digital era: the quest for continuous access to dependable technological capabilities, arXiv:2503.10140, 2025.
• Wagner S. M., Neshat N., Assessing the vulnerability of supply chains using graph theory, International Journal of Production Economics, 126(1), 2010.
• Stergiopoulos G. et al., contributi sulla modellazione delle cascading failures con misure di centralità a grafo.
• World Economic Forum, Global Cybersecurity Outlook 2026.
• Letteratura su Critical Locus of Supply (CLS), graph neural networks per il supply chain risk management e modelli Monte Carlo multi-tier.