---
title: "Audit Documentale NIS2: Panoramica Metodo"
description: "Panoramica completa del metodo di audit documentale NIS2. Scopri il modello a 6 categorie, il sistema di scoring e l'approccio alla remediation."
canonical: https://www.aegister.com/it/cms/insights/compliance-documentation-audit-nis2-master-overview/
url: /it/cms/insights/compliance-documentation-audit-nis2-master-overview/
lang: it
---

![](/static/images/header-contact.webp)

# Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo

---

![Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo](/static/images/cms/compliance-documentation-audit-nis2.webp)

## Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo

13 Febbraio 2026

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
[approvazione del CdA](/it/cms/keyword/approvazione-del-cda/)
[ACN](/it/cms/keyword/acn/)
+5

**Applicabilità:** soggetti NIS essenziali e importanti nel perimetro delle specifiche di base ACN.

Un **Compliance Documentation Audit** è il modo più rapido per capire se un set documentale NIS2 è solo formalmente presente oppure realmente utilizzabile per governance, gestione del rischio ed evidenze verso l'autorità. Nel modello Aegister, l'audit mappa ogni documento richiesto ai requisiti applicabili, misura la maturità documentale su scala **0–4**, verifica la tracciabilità delle evidenze e controlla dove servono approvazioni degli organi direttivi.

Per i soggetti già notificati da ACN, l'obbligo di notifica incidenti segue la finestra di **9 mesi**, mentre le misure di sicurezza di base seguono la finestra di **18 mesi** dalla comunicazione di inserimento; per le prime comunicazioni dal **12 aprile 2025**, questo porta indicativamente a **gennaio 2026** e **ottobre 2026**.

## Punti Chiave

- La qualità documentale NIS2 è un tema di governance, non di sola impaginazione.
- L'audit deve collegare obblighi normativi (articoli 23, 24, 25) a evidenze documentali concrete.
- I controlli di approvazione dell'Appendice C vanno testati presto per evitare blocchi finali.
- L'output utile è una coda di remediation ordinata per priorità (critico, maggiore, minore).

## Ambito di Questo Articolo

Questo articolo copre:

- Che cos'è il servizio Compliance Documentation Audit.
- Quali famiglie documentali vengono normalmente valutate.
- Come la metodologia trasforma i finding in piano di adeguamento prioritizzato.

Questo articolo non copre:

- Dati o finding identificativi di clienti.
- Template proprietari completi o schede di scoring interne complete.

## Riferimenti Normativi e Timeline

| Riferimento | Cosa significa lato documentazione | Implicazione operativa |
| --- | --- | --- |
| [D.Lgs. 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG) | Gli articoli **23**, **24**, **25** definiscono obblighi su governance, misure di rischio cyber e notifica incidenti. | Il set documentale deve essere orientato a board, rischio e processo incidenti. |
| [Determinazione ACN obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed) | Definisce specifiche di base e allegati tecnici per i soggetti NIS. | I requisiti vanno mappati a livello misura/punto, non solo per titolo policy. |
| [Guida ACN alla lettura delle specifiche](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base) | Chiarisce logica evidenze, clausole risk-based (Appendice B) e documenti con approvazione organi (Appendice C). | L'audit deve testare separatamente evidenze, collegamento al rischio e approvazioni. |
| [Portale ACN NIS - modalità/specifiche base](https://www.acn.gov.it/portale/nis/modalita-specifiche-base) | Fornisce contesto applicativo su obblighi di base e obblighi di notifica. | La pianificazione remediation deve allineare notifiche già attive e milestone documentali. |

## Cosa Valutiamo Operativamente

| Famiglia documentale | Esempi tipici in un programma NIS2 | Verifica audit |
| --- | --- | --- |
| Policy | Policy di rischio, governance, accessi, continuità, incidenti, fornitori | Copertura requisiti applicabili e ownership |
| Procedure | Accessi, incident response, logging, backup, monitoraggio, forniture | Operatività: ruoli, step, tempi, escalation |
| Piani | Trattamento rischio, continuità, disaster recovery, gestione incidenti | Coerenza tra documenti, rimandi e frequenze di riesame |
| Inventari e registri | Asset, fornitori, privilegi, formazione, backup, vulnerabilità | Esistenza evidenze, tracciabilità e aggiornamento |
| Evidenze di governance | Approvazioni, storico revisioni, accountability formale | Readiness per verifiche ispettive e board oversight |

## Workflow Aegister (5 Fasi)

1. **Definizione perimetro e applicabilità**  
   Si definiscono perimetro, tipologia soggetto e obblighi in scope, normalizzando la baseline documentale.
2. **Mappatura requisito-documento**  
   Ogni requisito rilevante viene collegato ai controlli documentali attesi.
3. **Scoring qualitativo**  
   Ogni requisito viene valutato su cinque dimensioni con punteggio **0–4**.
4. **Coerenza trasversale ed evidenze**  
   Si verifica la coerenza tra policy, procedure, piani e riferimenti alle evidenze.
5. **Piano remediation e reporting esecutivo**  
   I finding vengono trasformati in piano di lavoro sequenziato per team operativi e board.

## Modello di Scoring Applicato

| Dimensione | Domanda di controllo | Red flag tipico |
| --- | --- | --- |
| Copertura | Il requisito è sostanzialmente trattato? | Requisito assente o solo implicito |
| Specificità | Ruoli, step e tempistiche sono operativi? | Solo enunciazioni di principio |
| Tracciabilità | C'è una tracciabilità esplicita a livello requisito? | Riferimenti normativi troppo generici |
| Evidenze | Le evidenze richieste sono rintracciabili? | Evidenze citate ma non localizzabili |
| Approvazione formale (dove applicabile) | È esplicito il percorso di approvazione governance? | Mancanza di percorso formale su documenti board-relevant |

### Scala di Maturità

| Punteggio | Etichetta | Significato pratico |
| --- | --- | --- |
| 0 | Non trattato | Rischio immediato di non conformità |
| 1 | Parzialmente menzionato | Alto rischio in verifica |
| 2 | Trattato con lacune | Rischio medio; remediation mirata necessaria |
| 3 | Sostanzialmente conforme | Servono rifiniture mirate |
| 4 | Pienamente conforme | Solido sia operativamente sia come evidenza |

## Checkpoint di Approvazione Organi (Focus Appendice C)

Il framework ACN evidenzia elementi per cui è richiesta approvazione formale degli organi di amministrazione e direttivi (contesto Appendice C). In audit, verifichiamo almeno i seguenti **11** checkpoint:

| Punto misura | Area di checkpoint |
| --- | --- |
| GV.RM-03:p1 | Percorso di approvazione strategia/policy rischio cyber |
| GV.PO-01:p1 | Percorso di approvazione policy di sicurezza |
| GV.PO-01:p2 | Percorso di approvazione riesame/aggiornamento policy |
| ID.RA-06:p1 | Percorso di approvazione piano trattamento rischio |
| ID.IM-04:p1 | Percorso di approvazione piano continuità operativa |
| ID.IM-04:p2 | Percorso di approvazione piano disaster recovery |
| ID.IM-04:p3 | Percorso di approvazione piano gestione crisi |
| PR.AT-01:p1 | Percorso di approvazione piano formazione |
| RS.MA-01:p1 | Percorso di approvazione piano gestione incidenti |
| GV.SC-07:p1 | Percorso di approvazione valutazione rischio supply chain |
| GV.SC-07:p2 | Percorso di approvazione trattamento rischio supply chain |

L'interpretazione ufficiale resta definita nella documentazione ACN di riferimento.

## Gap Tipici che Rileviamo (Anonymized)

- Policy con bassa profondità operativa (ruoli/tempi/escalation incompleti).
- Rimandi deboli tra documenti della catena incidenti.
- Evidenze citate nel testo ma non tracciabili nel set controllato.
- Frequenze di riesame incoerenti tra documenti correlati.
- Formalizzazione governance trattata troppo tardi nel ciclo documentale.

## Deliverable del Servizio

- **Matrice audit**: tracciabilità requisito-documento con scoring.
- **Registro finding**: priorità critico/maggiore/minore con razionale.
- **Pacchetto esecutivo**: sintesi board-ready con linguaggio di rischio.
- **Roadmap remediation**: backlog per fasi (quick win + interventi strutturali).

## FAQ

### È solo una revisione di qualità redazionale?

No. È una verifica di readiness alla compliance che collega obblighi, controlli documentali ed evidenze di governance rispetto alla baseline NIS2.

### Possiamo farlo anche se i documenti non sono finali?

Sì. L'audit su set in bozza è di norma più efficiente perché intercetta gap strutturali prima del ciclo approvativo.

### Sostituisce i test tecnici di sicurezza?

No. Li completa, validando governance documentale, progettazione dei processi e tracciabilità evidenze.

### Perché verificare le approvazioni così presto?

Perché i requisiti approvativi possono diventare un blocco finale se il workflow di governance non è integrato da subito nell'architettura documentale.

### Se un punto resta ambiguo, come si procede?

I dettagli sono definiti nella documentazione ufficiale: [Guida ACN](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base), [pagina ACN su modalità/specifiche base](https://www.acn.gov.it/portale/nis/modalita-specifiche-base).

## Conclusione

Il Compliance Documentation Audit fornisce un controllo pratico tra “documenti esistenti” e “documenti verificabili in audit”. Sugli obblighi di base NIS2 questa differenza è decisiva: il target non è solo produrre policy, ma dimostrare ownership di governance, applicabilità operativa e prontezza delle evidenze entro la finestra temporale definita da ACN.

## Letture correlate

- [Checklist Operativa per Audit Documentale NIS2: metodo pratico per la baseline](/it/cms/insights/checklist-operativa-audit-documentale-nis2-baseline/)
- [Compliance Documentation Audit NIS2: come funziona la metodologia di scoring](/it/cms/insights/compliance-documentation-audit-metodologia-scoring/)
- [Mappatura Requisiti-Documenti NIS2: come costruire una struttura audit difendibile](/it/cms/insights/mappatura-requisiti-documenti-nis2-struttura-audit/)
- [Servizio Aegister NIS2 Compliance](/it/solutions/compliance/nis2/)
- [Servizio Aegister Virtual CISO](/it/solutions/virtual-ciso/)

## Fonti Ufficiali

- [Decreto Legislativo 138/2024 (Gazzetta Ufficiale)](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG)
- [ACN – Determinazione obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed)
- [ACN – Guida alla lettura delle specifiche di base](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base)
- [ACN – Modalità e specifiche di base (NIS)](https://www.acn.gov.it/portale/nis/modalita-specifiche-base)

Condividi questo articolo:

## Notizie Correlate

[![Compliance Documentation Audit NIS2: come funziona la metodologia di scoring](/static/images/cms/compliance-documentation-audit-nis2.webp)](/it/cms/insights/compliance-documentation-audit-metodologia-scoring/)

[Compliance Documentation Audit NIS2: come funziona la metodologia di scoring](/it/cms/insights/compliance-documentation-audit-metodologia-scoring/)

[La metodologia di scoring Aegister valuta i documenti NIS2 a livello punto requisito su 5 dimensioni con scala 0–4. Questa guida copre l’architettura di scoring, i livelli di maturità, la sotto-scala evidenze, le regole speciali Appendice B/C e il modello severità finding.](/it/cms/insights/compliance-documentation-audit-metodologia-scoring/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+8

[![Piano NIS2 di gestione delle vulnerabilità: guida pratica per approvazione ID.RA-08](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[Piano NIS2 di gestione delle vulnerabilità: guida pratica per approvazione ID.RA-08](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[Il piano di gestione delle vulnerabilità è obbligatorio ai sensi dell’Appendice C NIS2 (ID.RA-08). Questa guida copre cosa deve mostrare un piano approvabile, una struttura pratica con matrice SLA e gestione eccezioni, errori frequenti e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+7

[![Piano NIS2 di gestione incidenti e notifica CSIRT: guida pratica per un documento RS.MA-01 approvabile](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-piano-gestione-incidenti-notifica-csirt-guida-template/)

[Piano NIS2 di gestione incidenti e notifica CSIRT: guida pratica per un documento RS.MA-01 approvabile](/it/cms/insights/nis2-piano-gestione-incidenti-notifica-csirt-guida-template/)

[Il piano di gestione incidenti è obbligatorio ai sensi dell'Appendice C NIS2 (RS.MA-01). Questa guida copre cosa deve includere un piano approvabile, una struttura template con workflow notifica CSIRT e logica temporale, gap comuni e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-piano-gestione-incidenti-notifica-csirt-guida-template/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+8

### Conformità NIS 2 con Aegister

Soluzioni complete per la conformità alla Direttiva NIS 2: consulenza esperta, implementazione e supporto continuo.

[Scopri NIS 2](/it/solutions/compliance/nis2/)