Applicabilità: soggetti NIS essenziali e importanti nel perimetro delle specifiche di base ACN.
Un Compliance Documentation Audit è il modo più rapido per capire se un set documentale NIS2 è solo formalmente presente oppure realmente utilizzabile per governance, gestione del rischio ed evidenze verso l'autorità. Nel modello Aegister, l'audit mappa ogni documento richiesto ai requisiti applicabili, misura la maturità documentale su scala 0–4, verifica la tracciabilità delle evidenze e controlla dove servono approvazioni degli organi direttivi.
Per i soggetti già notificati da ACN, l'obbligo di notifica incidenti segue la finestra di 9 mesi, mentre le misure di sicurezza di base seguono la finestra di 18 mesi dalla comunicazione di inserimento; per le prime comunicazioni dal 12 aprile 2025, questo porta indicativamente a gennaio 2026 e ottobre 2026.
Punti Chiave
- La qualità documentale NIS2 è un tema di governance, non di sola impaginazione.
- L'audit deve collegare obblighi normativi (articoli 23, 24, 25) a evidenze documentali concrete.
- I controlli di approvazione dell'Appendice C vanno testati presto per evitare blocchi finali.
- L'output utile è una coda di remediation ordinata per priorità (critico, maggiore, minore).
Ambito di Questo Articolo
Questo articolo copre:
- Che cos'è il servizio Compliance Documentation Audit.
- Quali famiglie documentali vengono normalmente valutate.
- Come la metodologia trasforma i finding in piano di adeguamento prioritizzato.
Questo articolo non copre:
- Dati o finding identificativi di clienti.
- Template proprietari completi o schede di scoring interne complete.
Riferimenti Normativi e Timeline
| Riferimento | Cosa significa lato documentazione | Implicazione operativa |
|---|---|---|
| D.Lgs. 138/2024 | Gli articoli 23, 24, 25 definiscono obblighi su governance, misure di rischio cyber e notifica incidenti. | Il set documentale deve essere orientato a board, rischio e processo incidenti. |
| Determinazione ACN obblighi di base | Definisce specifiche di base e allegati tecnici per i soggetti NIS. | I requisiti vanno mappati a livello misura/punto, non solo per titolo policy. |
| Guida ACN alla lettura delle specifiche | Chiarisce logica evidenze, clausole risk-based (Appendice B) e documenti con approvazione organi (Appendice C). | L'audit deve testare separatamente evidenze, collegamento al rischio e approvazioni. |
| Portale ACN NIS - modalità/specifiche base | Fornisce contesto applicativo su obblighi di base e obblighi di notifica. | La pianificazione remediation deve allineare notifiche già attive e milestone documentali. |
Cosa Valutiamo Operativamente
| Famiglia documentale | Esempi tipici in un programma NIS2 | Verifica audit |
|---|---|---|
| Policy | Policy di rischio, governance, accessi, continuità, incidenti, fornitori | Copertura requisiti applicabili e ownership |
| Procedure | Accessi, incident response, logging, backup, monitoraggio, forniture | Operatività: ruoli, step, tempi, escalation |
| Piani | Trattamento rischio, continuità, disaster recovery, gestione incidenti | Coerenza tra documenti, rimandi e frequenze di riesame |
| Inventari e registri | Asset, fornitori, privilegi, formazione, backup, vulnerabilità | Esistenza evidenze, tracciabilità e aggiornamento |
| Evidenze di governance | Approvazioni, storico revisioni, accountability formale | Readiness per verifiche ispettive e board oversight |
Workflow Aegister (5 Fasi)
- Definizione perimetro e applicabilità
Si definiscono perimetro, tipologia soggetto e obblighi in scope, normalizzando la baseline documentale. - Mappatura requisito-documento
Ogni requisito rilevante viene collegato ai controlli documentali attesi. - Scoring qualitativo
Ogni requisito viene valutato su cinque dimensioni con punteggio 0–4. - Coerenza trasversale ed evidenze
Si verifica la coerenza tra policy, procedure, piani e riferimenti alle evidenze. - Piano remediation e reporting esecutivo
I finding vengono trasformati in piano di lavoro sequenziato per team operativi e board.
Modello di Scoring Applicato
| Dimensione | Domanda di controllo | Red flag tipico |
|---|---|---|
| Copertura | Il requisito è sostanzialmente trattato? | Requisito assente o solo implicito |
| Specificità | Ruoli, step e tempistiche sono operativi? | Solo enunciazioni di principio |
| Tracciabilità | C'è una tracciabilità esplicita a livello requisito? | Riferimenti normativi troppo generici |
| Evidenze | Le evidenze richieste sono rintracciabili? | Evidenze citate ma non localizzabili |
| Approvazione formale (dove applicabile) | È esplicito il percorso di approvazione governance? | Mancanza di percorso formale su documenti board-relevant |
Scala di Maturità
| Punteggio | Etichetta | Significato pratico |
|---|---|---|
| 0 | Non trattato | Rischio immediato di non conformità |
| 1 | Parzialmente menzionato | Alto rischio in verifica |
| 2 | Trattato con lacune | Rischio medio; remediation mirata necessaria |
| 3 | Sostanzialmente conforme | Servono rifiniture mirate |
| 4 | Pienamente conforme | Solido sia operativamente sia come evidenza |
Checkpoint di Approvazione Organi (Focus Appendice C)
Il framework ACN evidenzia elementi per cui è richiesta approvazione formale degli organi di amministrazione e direttivi (contesto Appendice C). In audit, verifichiamo almeno i seguenti 11 checkpoint:
| Punto misura | Area di checkpoint |
|---|---|
| GV.RM-03:p1 | Percorso di approvazione strategia/policy rischio cyber |
| GV.PO-01:p1 | Percorso di approvazione policy di sicurezza |
| GV.PO-01:p2 | Percorso di approvazione riesame/aggiornamento policy |
| ID.RA-06:p1 | Percorso di approvazione piano trattamento rischio |
| ID.IM-04:p1 | Percorso di approvazione piano continuità operativa |
| ID.IM-04:p2 | Percorso di approvazione piano disaster recovery |
| ID.IM-04:p3 | Percorso di approvazione piano gestione crisi |
| PR.AT-01:p1 | Percorso di approvazione piano formazione |
| RS.MA-01:p1 | Percorso di approvazione piano gestione incidenti |
| GV.SC-07:p1 | Percorso di approvazione valutazione rischio supply chain |
| GV.SC-07:p2 | Percorso di approvazione trattamento rischio supply chain |
L'interpretazione ufficiale resta definita nella documentazione ACN di riferimento.
Gap Tipici che Rileviamo (Anonymized)
- Policy con bassa profondità operativa (ruoli/tempi/escalation incompleti).
- Rimandi deboli tra documenti della catena incidenti.
- Evidenze citate nel testo ma non tracciabili nel set controllato.
- Frequenze di riesame incoerenti tra documenti correlati.
- Formalizzazione governance trattata troppo tardi nel ciclo documentale.
Deliverable del Servizio
- Matrice audit: tracciabilità requisito-documento con scoring.
- Registro finding: priorità critico/maggiore/minore con razionale.
- Pacchetto esecutivo: sintesi board-ready con linguaggio di rischio.
- Roadmap remediation: backlog per fasi (quick win + interventi strutturali).
FAQ
È solo una revisione di qualità redazionale?
No. È una verifica di readiness alla compliance che collega obblighi, controlli documentali ed evidenze di governance rispetto alla baseline NIS2.
Possiamo farlo anche se i documenti non sono finali?
Sì. L'audit su set in bozza è di norma più efficiente perché intercetta gap strutturali prima del ciclo approvativo.
Sostituisce i test tecnici di sicurezza?
No. Li completa, validando governance documentale, progettazione dei processi e tracciabilità evidenze.
Perché verificare le approvazioni così presto?
Perché i requisiti approvativi possono diventare un blocco finale se il workflow di governance non è integrato da subito nell'architettura documentale.
Se un punto resta ambiguo, come si procede?
I dettagli sono definiti nella documentazione ufficiale: Guida ACN, pagina ACN su modalità/specifiche base.
Conclusione
Il Compliance Documentation Audit fornisce un controllo pratico tra “documenti esistenti” e “documenti verificabili in audit”. Sugli obblighi di base NIS2 questa differenza è decisiva: il target non è solo produrre policy, ma dimostrare ownership di governance, applicabilità operativa e prontezza delle evidenze entro la finestra temporale definita da ACN.
Letture correlate
- Checklist Operativa per Audit Documentale NIS2: metodo pratico per la baseline
- Compliance Documentation Audit NIS2: come funziona la metodologia di scoring
- Mappatura Requisiti-Documenti NIS2: come costruire una struttura audit difendibile
- Servizio Aegister NIS2 Compliance
- Servizio Aegister Virtual CISO