---
title: "Audit cybersecurity: tipi, fasi e preparazione"
description: "Audit cybersecurity spiegato: tipi (NIS 2, ISO 27001, DORA, ACN), fasi, errori più comuni e come preparare l'organizzazione a superarlo."
canonical: https://www.aegister.com/it/cms/insights/audit-cybersecurity-tipi-fasi-preparazione/
url: /it/cms/insights/audit-cybersecurity-tipi-fasi-preparazione/
lang: it
---

![](/static/images/header-contact.webp)

# Audit cybersecurity: cos'è, come funziona e come prepararsi

---

![Audit cybersecurity: cos'è, come funziona e come prepararsi](/static/images/cms/audit-cybersecurity-tipi-fasi-preparazione.webp)

## Audit cybersecurity: cos'è, come funziona e come prepararsi

29 Aprile 2026

[audit conformità](/it/cms/keyword/audit-conformita/)
[audit sicurezza informatica](/it/cms/keyword/audit-sicurezza-informatica/)
[audit NIS 2](/it/cms/keyword/audit-nis-2/)
[audit ISO 27001](/it/cms/keyword/audit-iso-27001/)
+6

## Punti chiave

- Un audit cybersecurity è una valutazione strutturata di controlli, evidenze e governance rispetto a un perimetro definito.
- Non coincide con penetration test o vulnerability scan: questi sono input tecnici, non l'intero processo di assurance.
- ISO 19011 fornisce linee guida generali per audit dei sistemi di gestione, mentre ISO/IEC 27001 definisce requisiti per un SGSI.
- La prontezza NIS 2 e misure base ACN richiede evidenze che policy, procedure, ruoli e controlli tecnici funzionino davvero.
- La preparazione più efficace inizia prima dell'arrivo dell'auditor: perimetro, registro documentale, matrice evidenze e interviste ai responsabili.
- Un servizio vCISO accelera la remediation perché trasforma i finding in owner, scadenze e governance presentabile al board.

## Ambito di questo articolo

Questo articolo spiega cos'è un audit cybersecurity, quali tipi di audit incontrano le organizzazioni, come si svolge un incarico e come prepararsi per revisioni NIS 2, ISO 27001, DORA o misure base ACN.

## Cos'è un audit cybersecurity

Un audit cybersecurity è una valutazione strutturata di governance, controlli, evidenze e pratiche operative rispetto a un framework o a un insieme di requisiti. Non verifica solo se una policy esiste, ma se l'organizzazione può dimostrare che il processo è assegnato, implementato, monitorato e migliorato.

ISO 19011 descrive l'audit dei sistemi di gestione come una disciplina con principi, gestione del programma di audit e metodi per condurre verifiche ([ISO 19011:2018](https://www.iso.org/standard/70017.html)). ISO/IEC 27001 definisce i requisiti per un sistema di gestione della sicurezza delle informazioni ed è certificabile da terze parti ([ISO/IEC 27001:2022](https://www.iso.org/standard/27001)).

Un penetration test cerca debolezze tecniche sfruttabili. Un vulnerability scan individua vulnerabilità note. Un gap assessment confronta la maturità corrente con un target. Un audit cybersecurity può includere questi elementi, ma valuta anche governance, evidenze e responsabilità manageriali.

## I principali tipi di audit cybersecurity

| Tipo | Riferimento | Focus tipico | Chi lo conduce |
| --- | --- | --- | --- |
| Audit readiness NIS 2 | Direttiva (UE) 2022/2555, D.Lgs. 138/2024, misure ACN | Governance, misure di rischio, incidenti, evidenze | Team interno, consulente o verifica regolatoria |
| Audit ISO 27001 | ISO/IEC 27001:2022 | Clausole SGSI, controlli Annex A, miglioramento continuo | Auditor interno o organismo di certificazione |
| DORA gap assessment | Regolamento (UE) 2022/2554 | Rischio ICT, incident reporting, test di resilienza, terze parti | Intermediario, advisor o contesto di vigilanza |
| Audit misure base ACN | Documentazione ACN | Misure di base ed evidenze documentali | Compliance, team cyber o consulente esterno |
| Audit supply chain | Obblighi contrattuali e regolatori | Controlli fornitori, assurance, evidenze contrattuali | Cliente, auditor o procurement risk team |
| Audit tecnico | Standard di configurazione o baseline sicure | Hardening, logging, IAM, esposizione di rete | Security engineer o team specialistico |

## Audit interno vs audit esterno

Un audit interno serve all'assurance del management. L'obiettivo è trovare gap prima di certificazione, vigilanza o due diligence cliente. Un audit esterno è svolto da un soggetto indipendente, come organismo di certificazione, auditor cliente, regolatore o consulente specialistico.

I due percorsi non devono competere. Un buon audit interno crea la disciplina delle evidenze che rende più rapido e meno invasivo l'audit esterno. Offre anche al management una visione realistica del rischio prima che i finding diventino problemi contrattuali o regolatori.

## Le fasi di un audit cybersecurity

1. **Scoping:** definire entità, sistemi, processi, obblighi legali ed esclusioni.
2. **Revisione documentale:** raccogliere policy, procedure, registri, risk assessment e approvazioni del board.
3. **Interviste:** verificare se gli owner comprendono responsabilità ed escalation.
4. **Evidenze tecniche:** rivedere log, configurazioni, backup, accessi e output di vulnerability management.
5. **Matrice gap:** collegare ogni requisito a evidenza, punteggio e finding.
6. **Finding preliminari:** separare gap critici da debolezze formali.
7. **Risposta del management:** assegnare owner, scadenze e criteri di chiusura.
8. **Riunione finale:** confermare fatti, ranking di rischio e percorso di remediation.
9. **Report di audit:** conservare traccia evidenziale e impegni di remediation.

## Come prepararsi a un audit cybersecurity

La preparazione dovrebbe partire da una mappa documentale ed evidenziale. Per readiness NIS 2 e misure base ACN, le organizzazioni devono collegare le affermazioni di policy a registri, log, decisioni di rischio e approvazioni concrete.

- definire perimetro e processi di business in scope;
- mappare process owner, system owner e ruoli di governance;
- raccogliere policy, procedure, registri e inventari;
- organizzare evidenze su log, formazione, test, backup ed esercitazioni incidenti;
- rivedere documentazione di incident management e contatti di escalation;
- preparare note di intervista per board, IT, compliance e business owner;
- simulare un audit interno breve prima della revisione formale.

Aegister ha pubblicato approfondimenti operativi su [interviste ed evidence collection](/it/cms/insights/nis2-audit-interview-evidence-collection-workflow/), [prontezza delle evidenze documentali](/it/cms/insights/nis2-documentary-evidence-audit-readiness/) e [matrice evidenze per approvazione del board](/it/cms/insights/nis2-evidence-matrix-board-approval-readiness-audit/).

## Errori comuni che fanno fallire un audit

- **Documenti obsoleti:** le policy sono approvate ma non corrispondono più a sistemi o ruoli.
- **Ambiguità di ruolo:** la procedura cita un ruolo, ma nessuno sa spiegare chi lo svolge.
- **Evidenze mancanti:** i controlli sono dichiarati, ma mancano log, registri o test.
- **Template copiati:** i documenti usano linguaggio generico non collegato all'organizzazione.
- **Gap di retention:** i log esistono, ma retention, integrità e accesso non sono chiari.
- **Distanza dal board:** il rischio cyber resta tecnico e non diventa decisione manageriale.

## Cosa aspettarsi dopo l'audit

Il report dovrebbe produrre una coda di remediation, non solo osservazioni. Ogni finding richiede severità, evidenza, requisito impattato, owner, scadenza e criterio di chiusura. I gap ad alto rischio vanno chiusi con revisione manageriale, non nascosti in un backlog tecnico.

Per un modello pratico di remediation, leggi gli articoli Aegister su [prioritizzazione dei finding](/it/cms/insights/nis2-audit-findings-prioritization-remediation-execution/), [checklist documentali di audit](/it/cms/insights/nis2-documentation-audit-checklist-baseline-readiness/) e [coerenza tra documenti](/it/cms/insights/nis2-cross-document-coherence-audit-method/).

## Quando un servizio vCISO accelera la prontezza

Un servizio vCISO è utile quando l'organizzazione ha controlli ma manca continuità di governance. Può mantenere il calendario SGSI, coordinare evidenze, rivedere il rischio fornitori, preparare reporting al management e far avanzare la remediation.

Aegister supporta questo percorso con [servizi Virtual CISO](https://aegister.com/it/solutions/virtual-ciso/) e tracciamento delle evidenze nella [Cyber Console](https://aegister.com/it/solutions/cyber-console/). L'obiettivo non è far sembrare pulito un audit; è rendere auditabile il modello operativo reale.

## Audit NIS 2: specificità per l'Italia

Per i soggetti NIS italiani, la readiness deve allineare perimetro legale, misure di base ACN, procedure di notifica incidenti e accountability degli organi di gestione. Parti dalla [guida sull'impatto NIS 2](/it/cms/insights/impatto-nis-2-conformita/) e dall'articolo sulle [misure di base ACN](/it/cms/insights/misure-di-base-nis2-acn/).

## La matrice delle evidenze

La matrice delle evidenze è il ponte pratico tra requisiti e prova. Evita che l'audit diventi un archivio disordinato di documenti e aiuta il management a capire quali gap sono formali, operativi o tecnici.

| Colonna | Finalità | Esempio |
| --- | --- | --- |
| Requisito | Identifica clausola legale, contrattuale o di framework | Procedura incident response approvata e testata |
| Evidenza | Mostra cosa prova l'implementazione | Procedura, report esercitazione, registro incidenti |
| Owner | Assegna accountability | CISO, IT manager, process owner |
| Stato | Pass, partial, fail o non applicabile | Partial perché l'esercitazione non è stata ripetuta |
| Rischio | Spiega l'impatto business | Ritardo nella notifica e contenimento debole |
| Azione | Trasforma il finding in remediation | Eseguire tabletop exercise entro una data definita |

Questa struttura riduce anche la fatica dell'audit. Invece di chiedere ogni documento a ogni funzione, il team richiede evidenze mirate collegate a requisiti noti.

## Come classificare i finding

I finding dovrebbero essere classificati per rischio e per sforzo. Una mancata approvazione del board su una policy critica non equivale a un refuso in una procedura. Una review privilegi non aggiornata è di norma più seria di una difformità di formato in un registro.

- **Critico:** controllo assente, esposizione legale o fallimento di incident response.
- **Alto:** il controllo esiste ma è materialmente incompleto o non evidenziato.
- **Medio:** il processo funziona ma manca consistenza, ownership o ripetibilità.
- **Basso:** miglioramento documentale con impatto limitato sul rischio.

Il piano di remediation dovrebbe partire dai finding critici e alti che bloccano conformità, resilienza o assurance verso clienti. I finding bassi vanno raggruppati e chiusi senza distrarre la leadership.

## Ruoli e accountability durante l'audit

Un audit cybersecurity richiede owner nominati. La compliance può coordinare, ma non può rispondere per regole firewall, test backup, clausole fornitori o escalation incidenti. Ogni dominio deve possedere le evidenze legate alla propria responsabilità.

Una RACI pratica include organo di gestione, CISO o vCISO, IT operations, legal, HR, procurement, process owner e supplier manager. Se questi owner non sono allineati prima delle interviste, l'audit mostrerà gap di governance anche quando i controlli tecnici sono presenti.

## Timeline di preparazione consigliata

| Quando | Pacchetto di lavoro | Output atteso |
| --- | --- | --- |
| 6-8 settimane prima | Definire perimetro e framework | Audit charter e mappa perimetro |
| 4-6 settimane prima | Raccogliere policy, procedure e registri | Inventario documentale controllato |
| 3-4 settimane prima | Raccogliere evidenze tecniche | Log, screenshot, report ed export configurazioni |
| 2 settimane prima | Svolgere interviste interne | Note validate su ruoli e processi |
| 1 settimana prima | Rivedere contraddizioni ed evidenze mancanti | Lista remediation pre-audit |
| Dopo audit | Approvare remediation e assegnare owner | Piano di chiusura finding |

## Evidenze tecniche richieste più spesso

Le evidenze tecniche dovrebbero essere recenti, attribuibili e riproducibili. Screenshot senza data, owner o contesto del sistema sono deboli. Evidenze migliori includono configurazioni esportate, log con timestamp, storico ticket, risultati di scan, report test backup e registri di access review.

Per NIS 2, l'evidenza dovrebbe collegarsi ai servizi business. Un auditor deve poter capire quale sistema supporta quale servizio, quale owner è responsabile e quale controllo riduce quale rischio.

## Come mantenere vivo il fascicolo audit

Il fascicolo audit non dovrebbe essere archiviato e dimenticato. Dovrebbe diventare la baseline operativa del trimestre successivo. I finding diventano azioni; le azioni diventano evidenze; le evidenze diventano il riesame successivo del management. Questa è la differenza tra teatro dell'audit e assurance continua.

## Domande tipiche di audit

Un esercizio utile di preparazione è rispondere alle domande che l'auditor farà probabilmente. Il management sa spiegare la postura cyber attuale? L'IT sa mostrare quali asset sono critici? HR può provare formazione e controlli joiner-mover-leaver? Il procurement sa mostrare clausole cyber e verifiche sui fornitori? Il responsabile incidenti sa ricostruire l'ultimo test o evento reale?

Se l'organizzazione non risponde senza improvvisare, l'audit non è pronto. Di solito il problema non è mancanza di documenti; è mancanza di connessione tra documenti, owner ed evidenze operative.

## Output che un buon audit dovrebbe produrre

- una dichiarazione di perimetro con assunzioni ed esclusioni;
- una matrice evidenze requisito per requisito;
- un registro finding con severità, razionale e owner;
- una roadmap remediation divisa tra quick fix e lavoro strutturale;
- una sintesi per il management adatta al riesame del board;
- una cartella evidenze riutilizzabile per il ciclo successivo.

Questi output rendono utile l'audit anche quando il risultato è scomodo. Un report debole dice solo che manca qualcosa. Un report forte spiega rischio, priorità e prossima azione operativa.

## Quando ripetere l'audit

Un audit dovrebbe essere ripetuto dopo cambiamenti rilevanti: nuova architettura cloud, acquisizione, incidente, obiettivo di certificazione, cambio di perimetro regolatorio o onboarding di un fornitore critico. In ambienti stabili, audit interno annuale e review trimestrale delle evidenze danno di solito un ritmo sufficiente.

## FAQ

### Cos'è un audit cybersecurity?

È una valutazione strutturata di governance, controlli tecnici ed evidenze rispetto a un framework o a un set di requisiti.

### Audit cybersecurity e penetration test sono la stessa cosa?

No. Il penetration test verifica debolezze tecniche sfruttabili. L'audit verifica anche governance, evidenze, accountability ed esecuzione dei processi.

### Quanto dura un audit?

Dipende da perimetro, qualità delle evidenze e disponibilità alle interviste. La scarsa preparazione documentale pesa spesso più della complessità tecnica.

### L'audit NIS 2 è obbligatorio?

La NIS 2 impone obblighi di governance e sicurezza. Se e come svolgere un audit dipende da vigilanza, contratti e modello interno di assurance.

## Fonti ufficiali

- [ISO 19011:2018](https://www.iso.org/standard/70017.html)
- [ISO/IEC 27001:2022](https://www.iso.org/standard/27001)
- [Direttiva (UE) 2022/2555](https://eur-lex.europa.eu/eli/dir/2022/2555/oj)
- [Decreto Legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG)
- [Determinazione ACN sugli obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed)

Condividi questo articolo:

## Notizie Correlate

[![Compliance Documentation Audit NIS2: come funziona la metodologia di scoring](/static/images/cms/compliance-documentation-audit-metodologia-scoring.webp)](/it/cms/insights/compliance-documentation-audit-metodologia-scoring/)

[Compliance Documentation Audit NIS2: come funziona la metodologia di scoring](/it/cms/insights/compliance-documentation-audit-metodologia-scoring/)

[La metodologia di scoring Aegister valuta i documenti NIS2 a livello punto requisito su 5 dimensioni con scala 0–4. Questa guida copre l’architettura di scoring, i livelli di maturità, la sotto-scala evidenze, le regole speciali Appendice B/C e il modello severità finding.](/it/cms/insights/compliance-documentation-audit-metodologia-scoring/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+8

[![Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo](/static/images/cms/compliance-documentation-audit-nis2-master-overview.webp)](/it/cms/insights/compliance-documentation-audit-nis2-master-overview/)

[Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo](/it/cms/insights/compliance-documentation-audit-nis2-master-overview/)

[Un Compliance Documentation Audit mappa i documenti NIS2 ai requisiti baseline, misura la maturità su scala 0–4, verifica tracciabilità evidenze e readiness approvazioni organi. Questa panoramica copre la metodologia Aegister a 5 fasi, il modello di scoring, gli 11 checkpoint Appendice C e i gap tipici.](/it/cms/insights/compliance-documentation-audit-nis2-master-overview/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+7

[![Framework di cybersecurity a confronto: NIST CSF, ISO 27001, NIS 2 e baseline ACN](/static/images/cms/framework-cybersecurity-confronto-nist-iso-27001-nis-2-acn.webp)](/it/cms/insights/framework-cybersecurity-confronto-nist-iso-27001-nis-2-acn/)

[Framework di cybersecurity a confronto: NIST CSF, ISO 27001, NIS 2 e baseline ACN](/it/cms/insights/framework-cybersecurity-confronto-nist-iso-27001-nis-2-acn/)

[NIST CSF, ISO/IEC 27001, NIS 2 e baseline ACN risolvono problemi diversi. Questo confronto spiega quali sono volontari, obbligatori, certificabili, operativi o strategici, e come combinarli senza duplicare lavoro.](/it/cms/insights/framework-cybersecurity-confronto-nist-iso-27001-nis-2-acn/)

[NIST CSF](/it/cms/keyword/nist-csf/)
[ISO 27001](/it/cms/keyword/iso-27001/)
+8