Applicabilità: soggetti NIS essenziali e importanti nel perimetro delle specifiche di base ACN.
Un Compliance Documentation Audit è il modo più rapido per capire se un set documentale NIS2 è solo formalmente presente oppure realmente utilizzabile per governance, gestione del rischio ed evidenze verso l'autorità. Nel modello Aegister, l'audit mappa ogni documento richiesto ai requisiti applicabili e misura la maturità documentale su scala 0–4. Verifica inoltre la tracciabilità delle evidenze e individua i casi in cui servono approvazioni degli organi direttivi.
Per i soggetti già notificati da ACN, l'obbligo di notifica incidenti segue la finestra di 9 mesi, mentre le misure di sicurezza di base seguono la finestra di 18 mesi dalla comunicazione di inserimento. Per le prime comunicazioni dal 12 aprile 2025, queste scadenze cadono indicativamente a gennaio 2026 e ottobre 2026.
Punti chiave
- La qualità documentale NIS2 è un tema di governance, non di sola impaginazione.
- L'audit deve collegare obblighi normativi (articoli 23, 24, 25) a evidenze documentali concrete.
- I controlli di approvazione dell'Appendice C vanno testati presto per evitare blocchi finali.
- L'output utile è una coda di remediation ordinata per priorità (critico, maggiore, minore).
Ambito di questo articolo
Questo articolo copre:
- Che cos'è il servizio Compliance Documentation Audit.
- Quali famiglie documentali vengono normalmente valutate.
- Come la metodologia trasforma i finding in piano di adeguamento prioritizzato.
Questo articolo non copre:
- Dati o finding identificativi di clienti.
- Template proprietari completi o schede di scoring interne complete.
Riferimenti normativi e timeline
| Riferimento | Cosa significa lato documentazione | Implicazione operativa |
|---|---|---|
| D.Lgs. 138/2024 | Gli articoli 23, 24, 25 definiscono obblighi su governance, misure di rischio cyber e notifica incidenti. | Il set documentale deve essere orientato a board, rischio e processo incidenti. |
| Determinazione ACN obblighi di base | Definisce specifiche di base e allegati tecnici per i soggetti NIS. | I requisiti vanno mappati a livello misura/punto, non solo per titolo policy. |
| Guida ACN alla lettura delle specifiche | Chiarisce logica evidenze, clausole risk-based (Appendice B) e documenti con approvazione organi (Appendice C). | L'audit deve testare separatamente evidenze, collegamento al rischio e approvazioni. |
| Portale ACN NIS - modalità/specifiche base | Fornisce contesto applicativo su obblighi di base e obblighi di notifica. | La pianificazione remediation deve allineare notifiche già attive e milestone documentali. |
Cosa valutiamo operativamente
| Famiglia documentale | Esempi tipici in un programma NIS2 | Verifica audit |
|---|---|---|
| Policy | Policy di rischio, governance, accessi, continuità, incidenti, fornitori | Copertura requisiti applicabili e ownership |
| Procedure | Accessi, incident response, logging, backup, monitoraggio, forniture | Operatività: ruoli, step, tempi, escalation |
| Piani | Trattamento rischio, continuità, disaster recovery, gestione incidenti | Coerenza tra documenti, rimandi e frequenze di riesame |
| Inventari e registri | Asset, fornitori, privilegi, formazione, backup, vulnerabilità | Esistenza evidenze, tracciabilità e aggiornamento |
| Evidenze di governance | Approvazioni, storico revisioni, accountability formale | Readiness per verifiche ispettive e board oversight |
Workflow Aegister (5 fasi)
- Definizione perimetro e applicabilità
Si definiscono perimetro, tipologia soggetto e obblighi in scope, normalizzando la baseline documentale. - Mappatura requisito-documento
Ogni requisito rilevante viene collegato ai controlli documentali attesi. - Scoring qualitativo
Ogni requisito viene valutato su cinque dimensioni con punteggio 0–4. - Coerenza trasversale ed evidenze
Si verifica la coerenza tra policy, procedure, piani e riferimenti alle evidenze. - Piano remediation e reporting esecutivo
I finding vengono trasformati in piano di lavoro sequenziato per team operativi e board.
Modello di scoring applicato
| Dimensione | Domanda di controllo | Red flag tipico |
|---|---|---|
| Copertura | Il requisito è sostanzialmente trattato? | Requisito assente o solo implicito |
| Specificità | Ruoli, step e tempistiche sono operativi? | Solo enunciazioni di principio |
| Tracciabilità | C'è una tracciabilità esplicita a livello requisito? | Riferimenti normativi troppo generici |
| Evidenze | Le evidenze richieste sono rintracciabili? | Evidenze citate ma non localizzabili |
| Approvazione formale (dove applicabile) | È esplicito il percorso di approvazione governance? | Mancanza di percorso formale su documenti board-relevant |
Scala di Maturità
| Punteggio | Etichetta | Significato pratico |
|---|---|---|
| 0 | Non trattato | Rischio immediato di non conformità |
| 1 | Parzialmente menzionato | Alto rischio in verifica |
| 2 | Trattato con lacune | Rischio medio; remediation mirata necessaria |
| 3 | Sostanzialmente conforme | Servono rifiniture mirate |
| 4 | Pienamente conforme | Solido sia operativamente sia come evidenza |
Checkpoint di approvazione organi (focus Appendice C)
Il framework ACN evidenzia elementi per cui è richiesta approvazione formale degli organi di amministrazione e direttivi (contesto Appendice C). In audit, verifichiamo almeno i seguenti 11 checkpoint:
| Punto misura | Area di checkpoint |
|---|---|
| GV.RM-03:p1 | Percorso di approvazione strategia/policy rischio cyber |
| GV.PO-01:p1 | Percorso di approvazione policy di sicurezza |
| GV.PO-01:p2 | Percorso di approvazione riesame/aggiornamento policy |
| ID.RA-06:p1 | Percorso di approvazione piano trattamento rischio |
| ID.IM-04:p1 | Percorso di approvazione piano continuità operativa |
| ID.IM-04:p2 | Percorso di approvazione piano disaster recovery |
| ID.IM-04:p3 | Percorso di approvazione piano gestione crisi |
| PR.AT-01:p1 | Percorso di approvazione piano formazione |
| RS.MA-01:p1 | Percorso di approvazione piano gestione incidenti |
| GV.SC-07:p1 | Percorso di approvazione valutazione rischio supply chain |
| GV.SC-07:p2 | Percorso di approvazione trattamento rischio supply chain |
L'interpretazione ufficiale resta definita nella documentazione ACN di riferimento.
Gap tipici che rileviamo (anonymized)
- Policy con bassa profondità operativa (ruoli/tempi/escalation incompleti).
- Rimandi deboli tra documenti della catena incidenti.
- Evidenze citate nel testo ma non tracciabili nel set controllato.
- Frequenze di riesame incoerenti tra documenti correlati.
- Formalizzazione governance trattata troppo tardi nel ciclo documentale.
Deliverable del servizio
- Matrice audit: tracciabilità requisito-documento con scoring.
- Registro finding: priorità critico/maggiore/minore con razionale.
- Pacchetto esecutivo: sintesi board-ready con linguaggio di rischio.
- Roadmap remediation: backlog per fasi (quick win + interventi strutturali).
FAQ
È solo una revisione di qualità redazionale?
No. È una verifica di readiness alla compliance che collega obblighi, controlli documentali ed evidenze di governance rispetto alla baseline NIS2.
Possiamo farlo anche se i documenti non sono finali?
Sì. L'audit su set in bozza è di norma più efficiente perché intercetta gap strutturali prima del ciclo approvativo.
Sostituisce i test tecnici di sicurezza?
No. Li completa, validando governance documentale, progettazione dei processi e tracciabilità evidenze.
Perché verificare le approvazioni così presto?
Perché i requisiti approvativi possono diventare un blocco finale se il workflow di governance non è integrato da subito nell'architettura documentale.
Se un punto resta ambiguo, come si procede?
I dettagli sono definiti nella documentazione ufficiale: Guida ACN, pagina ACN su modalità/specifiche base.
Conclusione
Il Compliance Documentation Audit fornisce un controllo pratico tra “documenti esistenti” e “documenti verificabili in audit”. Sugli obblighi di base NIS2 questa differenza è decisiva: il target non è solo produrre policy, ma dimostrare ownership di governance, applicabilità operativa e prontezza delle evidenze entro la finestra temporale definita da ACN.
Letture correlate
- Checklist Operativa per Audit Documentale NIS2: metodo pratico per la baseline
- Compliance Documentation Audit NIS2: come funziona la metodologia di scoring
- Mappatura Requisiti-Documenti NIS2: come costruire una struttura audit difendibile
- Servizio Aegister NIS2 Compliance
- Servizio Aegister Virtual CISO