FAQ ACN NIS2 sui fornitori rilevanti: cosa cambia con le nuove FRN.8 e FRN.9

FAQ FRN.8: il nodo della fornitura intermediata

Come dicevamo, la nuova FAQ FRN.8 chiarisce il caso in cui il fornitore contrattuale non è lo stesso soggetto che eroga effettivamente il servizio. Dunque, siamo nel contesto di una catena di fornitura intermediata.

Il problema: chi va davvero censito?

La FAQ FRN.8, in particolare, affronta uno dei casi più comuni nella realtà aziendale: quello in cui la fornitura è stata contrattualizzata con il soggetto A, ma il servizio è di fatto reso, in tutto o in parte, dal soggetto B.

Questo scenario si verifica con una frequenza altissima nel mondo delle forniture digitali. Pensiamo al caso di un’organizzazione che acquista licenze SaaS attraverso un rivenditore locale, oppure a una PMI che gestisce il proprio cloud attraverso un partner che a sua volta si appoggia a un hyperscaler globale.

La domanda è: chi va indicato come fornitore rilevante? Il contraente A, il provider effettivo B, oppure entrambi?

La risposta di ACN articola due scenari distinti e questa distinzione è fondamentale per chiunque stia compilando l’elenco in queste settimane.

Scenario 1: A si avvale di B come subfornitore

Nel primo caso, il soggetto A ha un rapporto contrattuale diretto con il soggetto NIS e si avvale di B come subfornitore. La regola generale stabilita dalla FRN.8 è che in questa configurazione va indicato il fornitore A, che è il titolare del rapporto di fornitura. Il subfornitore B, invece, rileva (e quindi va anch’esso indicato) solo quando il suo contributo alla fornitura è palese.

Cosa significa “palese”? Non è una soglia numerica o una percentuale contrattuale: è una valutazione sostanziale. Se B gestisce una componente critica della fornitura senza la quale il servizio di A non sarebbe operativo, la sua rilevanza è evidente. Se invece B è uno dei tanti fornitori di terzo livello che A utilizza in modo fungibile e sostituibile, il suo contributo non è palese e non è necessario censirlo autonomamente.

Scenario 2: A è solo un intermediario contrattuale

Il secondo scenario è concettualmente più dirompente. Quando il soggetto A non è tanto un fornitore nel senso sostanziale del termine, ma piuttosto un intermediario contrattuale (un broker, un distributore, un rivenditore che si limita a facilitare l’accesso alla fornitura di B) allora la logica si ribalta: va indicato B, non A.

ACN è molto chiara su questo punto. Se A svolge esclusivamente la funzione di facilitazione dell’acquisto (intermediazione commerciale, fatturazione, gestione dell’ordine), senza svolgere alcun ruolo nell’erogazione del servizio, allora la sua rilevanza ai fini NIS è nulla o marginale.

Ma attenzione: la FAQ introduce una precisazione che cambia tutto per molti scenari reali. Se il partner A, oltre a rivendere il servizio, ne cura anche la gestione applicativa (cioè si occupa della configurazione, dell’amministrazione, del supporto tecnico essenziale, dell’integrazione con i sistemi del cliente) allora A non è più un semplice broker e diventa a sua volta un fornitore rilevante.

In quel caso, entrambi i soggetti (A e B) devono essere censiti.

L’esempio portato da ACN è eloquente: se un’organizzazione fruisce di un servizio SaaS del fornitore B la cui gestione applicativa è svolta dal fornitore A, entrambi sono fornitori rilevanti. Non uno dei due: entrambi.

Cosa significa questo per le aziende che stanno compilando l’elenco

Per un’organizzazione che si trova di fronte a questa FAQ, il messaggio operativo è preciso. Non basta guardare i contratti e ricavarne l’elenco dei fornitori. Bisogna capire, per ciascuna fornitura rilevante, chi la eroga davvero e chi eventualmente la gestisce in modo funzionale.

Questo richiede un lavoro che coinvolge almeno tre funzioni aziendali: il procurement (che conosce la struttura contrattuale), l’IT (che conosce l’architettura tecnica e i soggetti che operano nei sistemi), e la cyber security (che comprende quali dipendenze incidono sulla continuità dei servizi NIS).

Il consiglio pratico, per chi è ancora in fase di compilazione, è di analizzare ogni fornitore rilevante ponendosi almeno tre domande:

1. Chi ha erogato effettivamente il servizio nell’ultimo anno?
2. Chi ha avuto accesso amministrativo o gestionale ai sistemi?
3. Se questo soggetto si fermasse domani, quale sarebbe l’impatto reale sulla mia operatività NIS?

Se le risposte a queste domande portano a soggetti diversi da quello contrattualizzato, è lì che si trovano i veri fornitori rilevanti da censire.

FAQ FRN.9: i fornitori infragruppo non sono automaticamente esclusi

La nuova FAQ FRN.9 appena pubblicata da ACN chiarisce il caso del censimento di un fornitore che appartiene allo stesso gruppo societario.

Una domanda che molti hanno evitato di farsi

La FAQ FRN.9 risponde, quindi, a una questione che, dall’esperienza consulenziale, molte organizzazioni appartenenti a gruppi societari hanno preferito non affrontare esplicitamente: un fornitore appartenente allo stesso gruppo di imprese (una controllata, una società di servizi condivisi, una capogruppo) deve essere valutato ai fini dell’individuazione dei fornitori rilevanti NIS?

La risposta di ACN è netta: sì.

L’appartenenza al medesimo gruppo societario non costituisce un criterio di esclusione. La valutazione va condotta comunque, applicando gli stessi criteri che si utilizzano per i fornitori terzi. L’unica differenza rispetto alle FAQ precedenti è che qui ACN specifica che occorre tenere conto delle peculiarità del rapporto infragruppo, ma non ne esclude la rilevanza.

Perché questa FAQ è importante per i gruppi strutturati

Nei gruppi societari complessi, è prassi comune che alcune funzioni critiche siano centralizzate: data center gestiti dalla capogruppo, cloud governance affidata a una società di servizi condivisi, SOC o MSSP interni al…