---
title: "NIS2 Audit: Interviste e Raccolta Evidenze"
description: "Audit documentale NIS2: workflow strutturato per interviste e raccolta evidenze. Guida pratica per auditor e team GRC."
canonical: https://www.aegister.com/it/cms/insights/audit-documentazione-nis2-interviste-raccolta-evidenze/
url: /it/cms/insights/audit-documentazione-nis2-interviste-raccolta-evidenze/
lang: it
---

![](/static/images/header-contact.webp)

# Audit della Documentazione NIS2: workflow di interviste e raccolta evidenze

---

![Audit della Documentazione NIS2: workflow di interviste e raccolta evidenze](/static/images/cms/compliance-documentation-audit-nis2.webp)

## Audit della Documentazione NIS2: workflow di interviste e raccolta evidenze

19 Febbraio 2026

[NIS2](/it/cms/keyword/nis2/)
[ACN](/it/cms/keyword/acn/)
[conformità](/it/cms/keyword/conformita/)
[governance](/it/cms/keyword/governance/)
+5

**Applicabilità:** soggetti NIS che preparano documentazione ed evidenze sugli obblighi di base.

Un audit documentale NIS2 è affidabile solo quando la review delle policy è integrata con interviste strutturate e tracciabilità delle evidenze. Il solo testo documentale mostra spesso l'intento, non l'esecuzione. Un workflow controllato di interviste e raccolta evidenze consente di validare accountability, dimostrare operatività dei controlli e prioritizzare la remediation prima delle milestone baseline di ottobre 2026, mentre gli obblighi di notifica incidenti sono già attivi.

## Punti Chiave

- Il design delle interviste deve seguire i domini di controllo NIS2, non questionari ad-hoc.
- Ogni domanda deve mappare a una tipologia di evidenza richiesta.
- La qualità delle evidenze va valutata con una scala di maturità coerente.
- Evidenze mancanti rappresentano un rischio di governance anche con policy formalmente complete.

## Ambito di Questo Articolo

Questo articolo copre:

- Come strutturare interviste per audit documentali sugli obblighi di base NIS2.
- Come mappare le risposte alle evidenze documentali e operative.
- Come trasformare i gap evidenziali in azioni di remediation prioritarie.

Questo articolo non copre:

- Finding identificativi di cliente.
- Template proprietari completi e questionari completi.

## Framework Ufficiale di Riferimento

| Fonte | Perché conta |
| --- | --- |
| [D.Lgs. 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG) | Definisce obblighi legali e responsabilità di governance nel perimetro NIS2 in Italia. |
| [Determinazione ACN sugli obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed) | Definisce punti misura e artefatti attesi di implementazione. |
| [Guida ACN alla lettura delle specifiche di base](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base) | Chiarisce interpretazione requisiti e logica evidenziale attesa. |
| [Guida ACN alla notifica degli incidenti informatici](https://www.acn.gov.it/portale/w/guida-alla-notifica-degli-incidenti-informatici) | Definisce logica operativa per comunicazione incidenti e readiness di reportistica. |
| [ACN - Modalità e specifiche di base NIS](https://www.acn.gov.it/portale/nis/modalita-specifiche-base) | Fornisce contesto applicativo e timeline degli obblighi di base. |

## Perché Serve una Validazione Basata su Interviste

Una review puramente documentale in genere non intercetta tre realtà operative:

- controlli non documentati ma esistenti,
- controlli documentati ma non operativizzati,
- gap di accountability tra governance e operation.

L'intervista a process owner e control owner chiude questo divario, validando chi fa cosa, con quali evidenze e con quale periodicità.

## Modello di Disegno Interviste (6 Domini)

| Dominio | Obiettivo | Focus tipico |
| --- | --- | --- |
| Governance | Validare catena decisionale e approvativa | Reporting al board, workflow approvazione policy, gestione deroghe |
| Identificazione | Validare definizione del perimetro e del rischio | Perimetro sistemi rilevanti, periodicità risk review |
| Protezione | Validare evidenze dei controlli preventivi | Access control, log, patching, registri formazione |
| Rilevamento | Validare efficacia del monitoraggio | Livelli di servizio, copertura monitoraggio, triage alert |
| Risposta | Validare readiness del workflow incidenti | Ownership notifica, escalation, procedure di comunicazione |
| Ripristino | Validare esecuzione resilienza | Piani continuità/crisi, priorità recovery, evidenze di ripristino |

## Scala di Maturità Evidenze per Decisioni di Audit

| Livello | Classificazione | Interpretazione |
| --- | --- | --- |
| 0 | Assente | Evidenza non disponibile o non referenziata |
| 1 | Solo menzionata | Evidenza dichiarata ma non tracciabile |
| 2 | Referenziata | Evidenza collegata a documento esterno o di supporto |
| 3 | Referenziata + mappata | Evidenza collegata e mappata alla logica requisiti NIS2 |
| 4 | Presente e verificabile | Evidenza disponibile per verifica diretta di audit |

Questa scala separa la qualità narrativa dalla reale readiness di compliance.

## Logica di Mapping tra Intervista ed Evidenze

| Output intervista | Evidenza richiesta | Domanda di validazione |
| --- | --- | --- |
| "Il controllo esiste" | Procedura o standard | La procedura è aggiornata, con owner e versione? |
| "Il controllo è applicato" | Estratto log/report/registro | Esistono evidenze recenti con data e owner? |
| "La governance è informata" | Artefatto di reporting al board | Esiste periodicità di reporting agli organi direttivi? |
| "Il processo incidenti è pronto" | Playbook/template notifica | Tempistiche e passi di comunicazione sono formalizzati? |
| "Il ripristino è coperto" | Piani continuità/ripristino e test | Priorità di ripristino e target attesi sono documentati? |

## Gap Ricorrenti negli Audit Anonimizzati

- Le policy menzionano piani richiesti, ma i piani mancano come documenti autonomi controllati.
- Le evidenze sono citate ad alto livello ma non sono producibili in verifica.
- Le sezioni di notifica includono parte della timeline ma omettono flussi intermedi o ricorrenti di reportistica.
- La documentazione di ripristino è presente come narrativa backup ma senza struttura di continuità e crisi orientata alla governance.
- Gli obblighi di approvazione sono citati in principio ma non tradotti in artefatti espliciti di workflow approvativo.

## Workflow Pratico in 6 Passi

1. Costruire il piano interviste per dominio e ownership ruolo.
2. Eseguire interviste con approccio evidence-first (richiedere artefatto, non solo spiegazione).
3. Classificare ogni risposta con la scala di maturità evidenze.
4. Mappare ogni gap evidenziale ai punti requisito NIS2 impattati.
5. Prioritizzare i finding per impatto compliance e impatto operativo.
6. Emettere backlog remediation con owner, data target e criteri evidenziali di chiusura.

## Deliverable Minimi della Fase Interviste/Evidenze

| Deliverable | Scopo |
| --- | --- |
| Log interviste per dominio e owner | Tracciabilità di dichiarazioni e impegni |
| Matrice evidenze con livello maturità | Baseline oggettiva di readiness |
| Registro gap con severità e impatto | Governance della prioritizzazione remediation |
| Tracker remediation con ownership | Controllo esecuzione e follow-up |

## FAQ

### Le interviste servono anche se i documenti sono già completi?

Sì. Le interviste validano se i controlli sono operativi e supportati da evidenze, non solo documentati.

### Le interviste devono essere solo tecniche?

No. Devono includere stakeholder governance e process owner, perché sono richieste sia accountability legale sia esecuzione operativa.

### Si può chiudere un audit con molte evidenze a Livello 1?

In genere no. Il Livello 1 raramente è sufficiente per una chiusura affidabile; i controlli critici vanno portati a evidenza verificabile.

### Cosa fare se un fatto richiesto non è chiaro nella documentazione?

Va trattato come gap formale e riallineato alle fonti ufficiali. I dettagli sono definiti nella documentazione ufficiale di riferimento.

## Conclusione

Interviste e raccolta evidenze sono il livello di controllo che rende difendibile un audit documentale NIS2. Se strutturate per dominio, mappate alla maturità evidenziale e collegate a ownership di remediation, danno a team operativi e governance un percorso affidabile dalla qualità documentale alla compliance audit-ready.

## Letture correlate

- [Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo](/it/cms/insights/compliance-documentation-audit-nis2-master-overview/)
- [Checklist Operativa per Audit Documentale NIS2: metodo pratico per la baseline](/it/cms/insights/checklist-operativa-audit-documentale-nis2-baseline/)
- [Reporting Esecutivo NIS2 al Board: come trasformare gli output di audit in decisioni di governance](/it/cms/insights/reporting-esecutivo-nis2-board-audit-governance/)
- [Servizio Aegister NIS2 Compliance](/it/solutions/compliance/nis2/)
- [Servizio Aegister Virtual CISO](/it/solutions/virtual-ciso/)

## Fonti Ufficiali

- [Decreto Legislativo 138/2024 (Gazzetta Ufficiale)](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG)
- [ACN - Determinazione obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed)
- [ACN - Guida alla lettura delle specifiche di base](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base)
- [ACN - Guida alla notifica degli incidenti informatici](https://www.acn.gov.it/portale/w/guida-alla-notifica-degli-incidenti-informatici)
- [ACN - Modalità e specifiche di base (NIS)](https://www.acn.gov.it/portale/nis/modalita-specifiche-base)

Condividi questo articolo:

## Notizie Correlate

[![Mappatura Requisiti-Documenti NIS2: come costruire una struttura audit difendibile](/static/images/cms/compliance-documentation-audit-nis2.webp)](/it/cms/insights/mappatura-requisiti-documenti-nis2-struttura-audit/)

[Mappatura Requisiti-Documenti NIS2: come costruire una struttura audit difendibile](/it/cms/insights/mappatura-requisiti-documenti-nis2-struttura-audit/)

[Metodo pratico per mappare i requisiti baseline NIS2 a documenti primari, evidenze di supporto e controlli governance per costruire una struttura audit difendibile.](/it/cms/insights/mappatura-requisiti-documenti-nis2-struttura-audit/)

[NIS2](/it/cms/keyword/nis2/)
[ACN](/it/cms/keyword/acn/)
+7

[![Reporting Esecutivo NIS2 al Board: come trasformare gli output di audit in decisioni di governance](/static/images/cms/compliance-documentation-audit-nis2.webp)](/it/cms/insights/reporting-esecutivo-nis2-board-audit-governance/)

[Reporting Esecutivo NIS2 al Board: come trasformare gli output di audit in decisioni di governance](/it/cms/insights/reporting-esecutivo-nis2-board-audit-governance/)

[Modello pratico di reporting esecutivo per esiti di audit NIS2 con set KPI minimo, escalation semaforica e visibilità chiusure basate su evidenze per la governance di board.](/it/cms/insights/reporting-esecutivo-nis2-board-audit-governance/)

[NIS2](/it/cms/keyword/nis2/)
[ACN](/it/cms/keyword/acn/)
+8

[![Prioritizzazione dei Finding NIS2: dalla gap list all'esecuzione remediation](/static/images/cms/compliance-documentation-audit-nis2.webp)](/it/cms/insights/prioritizzazione-finding-nis2-gap-list-remediation/)

[Prioritizzazione dei Finding NIS2: dalla gap list all'esecuzione remediation](/it/cms/insights/prioritizzazione-finding-nis2-gap-list-remediation/)

[Modello severità-esecuzione per finding di audit NIS2 con sequenziamento basato su dipendenze, criteri di triage e tracciamento chiusure basato su evidenze per programmi remediation.](/it/cms/insights/prioritizzazione-finding-nis2-gap-list-remediation/)

[NIS2](/it/cms/keyword/nis2/)
[ACN](/it/cms/keyword/acn/)
+8

### Conformità NIS 2 con Aegister

Soluzioni complete per la conformità alla Direttiva NIS 2: consulenza esperta, implementazione e supporto continuo.

[Scopri NIS 2](/it/solutions/compliance/nis2/)