Cybersecurity Aziendale, Il Ruolo Dei Fornitori Critici Nella Continuità Del Business

La supply chain nella cybersecurity diventa un presidio centrale per imprese, soggetti NIS2 e settore finanziario. Tra fornitori critici, Regolamento DORA, responsabilità del board e modifiche al TUF, cresce l’esigenza di una governance integrata della catena di fornitura.

Con la recente Determina n. 127437/2026 l’Agenzia Nazionale per la Cybersecurity (ACN) ha introdotto la nozione di fornitore “critico” (non solo digitale), la cui compromissione può incidere sulla capacità di un soggetto rilevante ai fini NIS2[1] di fornire i servizi e le prestazioni censiti per la sicurezza cibernetica.

Sebbene la finalità immediata della disposizione sembri essere quella di intercettare altri soggetti rilevanti ai fini NIS2 – come dispone l’art. 3, comma 8, lett. f) del D.Lgs. 138/2024 -, la previsione ha il pregio di indurre i soggetti NIS2 a tracciare con maggiore acume la propria catena di approvvigionamento, dotandosi, ad esempio, di una BIA (Business Impact Analysis) per comprendere gli effetti sulla continuità del servizio e sul conto economico delle interruzioni di fornitura.

Non occorre per questo spostarsi nell’ambito geopolitico per cogliere i rischi (esogeni) di una rottura della “supply chain”. Di regola, le forniture cyber presentano di per sé rischi endogeni, per lo più derivanti dall’originaria mancanza di consapevolezza del rischio cibernetico che ha portato a concepire prodotti e soluzioni vulnerabili nel settore informatico e delle telecomunicazioni. Ora la richiesta è di porvi rimedio.

• Quanti fornitori “legacy” (di lunga durata) vengono abitualmente verificati dalle aziende?
• Quanti fornitori pressoché monopolisti (ad esempio, per software customizzati per sistemi industriali OT) sono divenuti insostituibili?
• Quante aziende hanno contratti integrati con clausole di “audit” sulla cybersecurity, SLA (Service Level Agreement) anche sui tempi di ripristino del servizio o sulle notifiche in caso di incidente o “near-missed”?

A tal fine la NIS2, come noto, prescrive che gli organi di gestione debbano adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete utilizzati (anche per fornire i loro servizi a terzi), secondo un approccio multi rischio. Tale approccio comprende elementi di “sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi” (art. 21, comma 2, lett. d), Direttiva NIS2).

I requisiti del Regolamento DORA per il settore finanziario

In base al Regolamento DORA[2], sempre in ambito cybersecurity ma specificamente per il settore finanziario, l’individuazione dei fornitori critici che forniscono servizi ICT (Information and Communication Technology) ad enti finanziari è molto più articolata.

L’art. 5, secondo comma, lett. i) prescrive che l’organo di gestione dell’entità finanziaria debba istituire canali di comunicazione che gli consentano di essere debitamente informato in merito a: (i) gli accordi conclusi con fornitori terzi di servizi ICT sull’uso di tali servizi, (ii) le eventuali modifiche importanti e pertinenti a ciò relative e (iii) il potenziale impatto di tali modifiche sulle funzioni essenziali/importanti, compresa una sintesi dell’analisi del rischio per valutare l’impatto di tali modifiche.

A tal fine istituiscono (se diverse dalle microimprese, come ivi definite) “un ruolo al fine di monitorare gli accordi conclusi con fornitori terzi di servizi ICT per l’uso di tali servizi oppure designano un dirigente di rango elevato quale responsabile della sorveglianza sulla relativa esposizione al rischio e sulla documentazione pertinente” (art. 5, comma 3, Reg. DORA).

Gli aspetti sistemici del Regolamento DORA

La regolamentazione, inoltre, si sposta dal singolo ente finanziario sino ad arrivare a livello sistemico (artt. 31 e segg. del Regolamento DORA, nonché Regolamento Delegato (UE) 2024/1502). Infatti, ad esito delle analisi condotte sui registri delle informazioni trasmessi dalle entità finanziarie, è già stata pubblicata nel novembre 2025 una lista dei fornitori critici sistemici ICT a livello europeo a cura delle autorità europee (EIOPA, EBA e ESMA o, collettivamente, ESAs).

Tali fornitori critici (ad oggi 19[3]) sono soggetti alla vigilanza delle ESAs che dispongono di poteri ispettivi e sanzionatori benché gli stessi non ricadano di regola, quanto ad attività esercitata, nell’ambito della loro competenza. In pratica, i fornitori critici sistemici dei servizi ICT del settore finanziario sono assoggettati alle autorità di vigilanza di tale comparto proprio perché ne sono diventati componenti essenziali. Non è poco prendere atto di tale realtà e riconoscere che il sistema finanziario necessita, per funzionare, dell’ecosistema digitale che va, quindi, anch’esso regolamentato.

La governance dei fornitori critici nel contesto normativo

Sia la NIS2 che il Regolamento DORA impongono doveri specifici all’organo amministrativo quanto alla cybersecurity della catena di fornitura essenzialmente fondati sull’approvazione di policy e procedure. Nel caso del Regolamento DORA, come detto, anche su una conoscenza specifica dei contratti con i fornitori terzi di ICT (che devono necessariamente contenere alcune clausole standard) e delle loro modifiche.

Infatti, il Regolamento DORA prevede la presenza di un registro di tali fornitori e uno standard contrattuale al mutare del quale è necessaria la sottoposizione all’organo di amministrazione.

La NIS2 è meno dettagliata al riguardo, sebbene la normativa secondaria di attuazione del D.Lgs. 138/2024 si stia sostanzialmente orientando verso soluzioni simili, come il censimento dei fornitori “critici” (digitali e non) dei soggetti NIS2 di cui sopra.

La responsabilità degli organi di gestione

Del resto, la cybersecurity rientra, secondo l’opinione prevalente, all’interno del sistema organizzativo di cui agli artt. 2086 e 2381-bis del codice civile che deve essere posto in essere dagli organi delegati e valutato, quanto alla sua adeguatezza, dall’organo di gestione sulla base delle informazioni ricevute. In tal senso, vanno lette anche le modifiche al TUF[4] di cui alla legge cd.

La Capitali[5] oggi prevede che la relazione sul governo societario e gli assetti proprietari delle società quotate, di cui all’art. 123-bis del TUF, debba indicare “ove adottate, una descrizione delle politiche di gestione e di monitoraggio dei rischi informatici, inclusi i ris