LET’S TALK & CONNECT

La normativa NIS2 è una delle varie disposizioni che, nel corso del 2026, diventerà pienamente efficace. Ne sono una prova tangibile le imminenti scadenze tra i mesi di maggio e giugno, le quali meritano particolare attenzione. Adeguarsi sarà molto di più di un obbligo di compliance, sarà un percorso indispensabile per assicurare conformità, affidabilità e tutela dei dati.

Le scadenze in oggetto sono senza dubbio impegnative, dal momento che richiedono una massiccia compilazione e integrazione della piattaforma. Ma, scendendo nel particolare, è possibile distinguere due tipologie ben precise di scadenze: la prima riguarda la parte del caricamento dei fornitori rilevanti con scadenza il 31 maggio, mentre la seconda concerne la categorizzazione con un periodo di caricamento dati tra il 1° maggio e il 30 giugno.

Osserviamo che ACN ha elaborato in modo minuzioso la prima scadenza, classificando coloro che possono essere ritenuti fornitori rilevanti. In prima battuta figura il fornitore critico, ossia colui che è ritenuto elemento sistemico della catena di approvvigionamento. Proseguendo troviamo anche il fornitore rilevante ai fini NIS2, ovvero la figura che fornisce prodotti o servizi e soddisfa almeno uno di questi requisiti: la fornitura riconducibile alle attività descritte rispetto alla fornitura ICT e l’interruzione o la compromissione della stessa che comportano un impatto significativo sulla capacità del soggetto NIS2. Quest’ultima può causare un’indisponibilità dei servizi relativamente a ciò che deve portare direttamente il fornitore oppure per l’erogazione delle attività stesse, si parla infatti di fornitura non fungibile.

Questo significa che, se è presente un sistema di backup, un fornitore ICT potrebbe essere non rilevante rispetto alla continuità dell’approvvigionamento, diversamente diventa critico e rilevante se può generare delle vulnerabilità.

Soffermandoci sulla tipologia di fornitura non fungibile e sulla tipologia di fornitura ICT – infrastrutture digitali, osserviamo che ACN inserisce varie categorie per cui obbliga ad inserire una descrizione della fornitura, unitamente al codice CPV. Quest’ultimo è collegato all’ATECO, ma prendendo in considerazione il caso in cui fosse presente un fornitore con più codici ATECO, il suddetto codice andrà individuato sulla base della prestazione che viene rilasciata.

Nel momento in cui viene compiuta una Business Impact Analysis (BIA) viene effettuata anche una valutazione sui fornitori critici, ciò consente di fornire ad ACN una mappa delle dipendenze critiche basate su rischi reali. La valutazione dei fornitori critici ha l’obiettivo di individuare qual è la dipendenza operativa o del rischio, per cui dobbiamo tener conto del collegamento diretto con la BIA alla luce della gestione del rischio e della continuità operativa.

A seguito del termine ultimo del 31 maggio, sarà fondamentale che il Punto di Contatto mantenga costantemente aggiornata la piattaforma ACN, vista la possibilità di variazione del contratto che viene concluso, un’estensione o una riduzione dei servizi.

Come anticipato, per quanto riguarda la categorizzazione, ACN fornisce un margine di tempo abbastanza ampio per il caricamento dei dati: la finestra è tra il 1° maggio e il 30 giugno. Ma ciò non deve indurre a rimandare eccessivamente le operazioni richieste. Vediamo infatti che, a seguito delle misure di sicurezza e delle valutazioni fatte sulla base delle indicazioni relative ai servizi essenziali e ai servizi importanti, ACN chiede di entrare ancora di più nello specifico per l’elencazione e la categorizzazione delle attività e dei servizi. Quindi, fa riferimento a tutti quei processi di elaborazione dell’elenco delle attività, con l’eventuale assegnazione a determinate categorie. Per effettuare questa procedura i soggetti NIS devono autenticarsi alla piattaforma, provvedere all’elencazione e alla categorizzazione di tutte le attività svolte sia interne che esterne e sulla base delle macroaree andare a aderire al modello di categorizzazione che è stato pubblicato da ACN.

ACN ha fornito anche un modello per l’elencazione, la caratterizzazione e la categorizzazione delle attività e dei servizi rispetto alla possibile interruzione del sistema e di conseguenza all’impatto che esso può causare suddividendolo in alto, medio o basso.

In conclusione, emerge come sia fondamentale prestare la massima attenzione ai passaggi da compiere e come il modo migliore per affrontare con serenità le prossime scadenze sia definire una pianificazione adeguata e strutturata.

Avv. Valentina Frediani
Founder & CEO, Colin & Partners