---
title: "Audit Documentale NIS2: Panoramica Metodo"
description: "Panoramica completa del metodo di audit documentale NIS2. Scopri il modello a 6 categorie, il sistema di scoring e l'approccio alla remediation."
canonical: https://www.aegister.com/it/cms/insights/compliance-documentation-audit-nis2-master-overview/
url: /it/cms/insights/compliance-documentation-audit-nis2-master-overview/
lang: it
---

![](/static/images/header-contact.webp)

# Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo

---

![Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo](/static/images/cms/compliance-documentation-audit-nis2-master-overview.webp)

## Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo

13 Febbraio 2026

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
[approvazione del CdA](/it/cms/keyword/approvazione-del-cda/)
[ACN](/it/cms/keyword/acn/)
+5

**Applicabilità:** soggetti NIS essenziali e importanti nel perimetro delle specifiche di base ACN.

Un **Compliance Documentation Audit** è il modo più rapido per capire se un set documentale NIS2 è solo formalmente presente oppure realmente utilizzabile per governance, gestione del rischio ed evidenze verso l'autorità. Nel modello Aegister, l'audit mappa ogni documento richiesto ai requisiti applicabili e misura la maturità documentale su scala **0–4**. Verifica inoltre la tracciabilità delle evidenze e individua i casi in cui servono approvazioni degli organi direttivi.

Per i soggetti già notificati da ACN, l'obbligo di notifica incidenti segue la finestra di **9 mesi**, mentre le misure di sicurezza di base seguono la finestra di **18 mesi** dalla comunicazione di inserimento. Per le prime comunicazioni dal **12 aprile 2025**, queste scadenze cadono indicativamente a **gennaio 2026** e **ottobre 2026**.

## Punti chiave

- La qualità documentale NIS2 è un tema di governance, non di sola impaginazione.
- L'audit deve collegare obblighi normativi (articoli 23, 24, 25) a evidenze documentali concrete.
- I controlli di approvazione dell'Appendice C vanno testati presto per evitare blocchi finali.
- L'output utile è una coda di remediation ordinata per priorità (critico, maggiore, minore).

## Ambito di questo articolo

Questo articolo copre:

- Che cos'è il servizio Compliance Documentation Audit.
- Quali famiglie documentali vengono normalmente valutate.
- Come la metodologia trasforma i finding in piano di adeguamento prioritizzato.

Questo articolo non copre:

- Dati o finding identificativi di clienti.
- Template proprietari completi o schede di scoring interne complete.

## Riferimenti normativi e timeline

| Riferimento | Cosa significa lato documentazione | Implicazione operativa |
| --- | --- | --- |
| [D.Lgs. 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG) | Gli articoli **23**, **24**, **25** definiscono obblighi su governance, misure di rischio cyber e notifica incidenti. | Il set documentale deve essere orientato a board, rischio e processo incidenti. |
| [Determinazione ACN obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed) | Definisce specifiche di base e allegati tecnici per i soggetti NIS. | I requisiti vanno mappati a livello misura/punto, non solo per titolo policy. |
| [Guida ACN alla lettura delle specifiche](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base) | Chiarisce logica evidenze, clausole risk-based (Appendice B) e documenti con approvazione organi (Appendice C). | L'audit deve testare separatamente evidenze, collegamento al rischio e approvazioni. |
| [Portale ACN NIS - modalità/specifiche base](https://www.acn.gov.it/portale/nis/modalita-specifiche-base) | Fornisce contesto applicativo su obblighi di base e obblighi di notifica. | La pianificazione remediation deve allineare notifiche già attive e milestone documentali. |

## Cosa valutiamo operativamente

| Famiglia documentale | Esempi tipici in un programma NIS2 | Verifica audit |
| --- | --- | --- |
| Policy | Policy di rischio, governance, accessi, continuità, incidenti, fornitori | Copertura requisiti applicabili e ownership |
| Procedure | Accessi, incident response, logging, backup, monitoraggio, forniture | Operatività: ruoli, step, tempi, escalation |
| Piani | Trattamento rischio, continuità, disaster recovery, gestione incidenti | Coerenza tra documenti, rimandi e frequenze di riesame |
| Inventari e registri | Asset, fornitori, privilegi, formazione, backup, vulnerabilità | Esistenza evidenze, tracciabilità e aggiornamento |
| Evidenze di governance | Approvazioni, storico revisioni, accountability formale | Readiness per verifiche ispettive e board oversight |

## Workflow Aegister (5 fasi)

1. **Definizione perimetro e applicabilità**  
   Si definiscono perimetro, tipologia soggetto e obblighi in scope, normalizzando la baseline documentale.
2. **Mappatura requisito-documento**  
   Ogni requisito rilevante viene collegato ai controlli documentali attesi.
3. **Scoring qualitativo**  
   Ogni requisito viene valutato su cinque dimensioni con punteggio **0–4**.
4. **Coerenza trasversale ed evidenze**  
   Si verifica la coerenza tra policy, procedure, piani e riferimenti alle evidenze.
5. **Piano remediation e reporting esecutivo**  
   I finding vengono trasformati in piano di lavoro sequenziato per team operativi e board.

## Modello di scoring applicato

| Dimensione | Domanda di controllo | Red flag tipico |
| --- | --- | --- |
| Copertura | Il requisito è sostanzialmente trattato? | Requisito assente o solo implicito |
| Specificità | Ruoli, step e tempistiche sono operativi? | Solo enunciazioni di principio |
| Tracciabilità | C'è una tracciabilità esplicita a livello requisito? | Riferimenti normativi troppo generici |
| Evidenze | Le evidenze richieste sono rintracciabili? | Evidenze citate ma non localizzabili |
| Approvazione formale (dove applicabile) | È esplicito il percorso di approvazione governance? | Mancanza di percorso formale su documenti board-relevant |

### Scala di Maturità

| Punteggio | Etichetta | Significato pratico |
| --- | --- | --- |
| 0 | Non trattato | Rischio immediato di non conformità |
| 1 | Parzialmente menzionato | Alto rischio in verifica |
| 2 | Trattato con lacune | Rischio medio; remediation mirata necessaria |
| 3 | Sostanzialmente conforme | Servono rifiniture mirate |
| 4 | Pienamente conforme | Solido sia operativamente sia come evidenza |

## Checkpoint di approvazione organi (focus Appendice C)

Il framework ACN evidenzia elementi per cui è richiesta approvazione formale degli organi di amministrazione e direttivi (contesto Appendice C). In audit, verifichiamo almeno i seguenti **11** checkpoint:

| Punto misura | Area di checkpoint |
| --- | --- |
| GV.RM-03:p1 | Percorso di approvazione strategia/policy rischio cyber |
| GV.PO-01:p1 | Percorso di approvazione policy di sicurezza |
| GV.PO-01:p2 | Percorso di approvazione riesame/aggiornamento policy |
| ID.RA-06:p1 | Percorso di approvazione piano trattamento rischio |
| ID.IM-04:p1 | Percorso di approvazione piano continuità operativa |
| ID.IM-04:p2 | Percorso di approvazione piano disaster recovery |
| ID.IM-04:p3 | Percorso di approvazione piano gestione crisi |
| PR.AT-01:p1 | Percorso di approvazione piano formazione |
| RS.MA-01:p1 | Percorso di approvazione piano gestione incidenti |
| GV.SC-07:p1 | Percorso di approvazione valutazione rischio supply chain |
| GV.SC-07:p2 | Percorso di approvazione trattamento rischio supply chain |

L'interpretazione ufficiale resta definita nella documentazione ACN di riferimento.

## Gap tipici che rileviamo (anonymized)

- Policy con bassa profondità operativa (ruoli/tempi/escalation incompleti).
- Rimandi deboli tra documenti della catena incidenti.
- Evidenze citate nel testo ma non tracciabili nel set controllato.
- Frequenze di riesame incoerenti tra documenti correlati.
- Formalizzazione governance trattata troppo tardi nel ciclo documentale.

## Deliverable del servizio

- **Matrice audit**: tracciabilità requisito-documento con scoring.
- **Registro finding**: priorità critico/maggiore/minore con razionale.
- **Pacchetto esecutivo**: sintesi board-ready con linguaggio di rischio.
- **Roadmap remediation**: backlog per fasi (quick win + interventi strutturali).

## FAQ

### È solo una revisione di qualità redazionale?

No. È una verifica di readiness alla compliance che collega obblighi, controlli documentali ed evidenze di governance rispetto alla baseline NIS2.

### Possiamo farlo anche se i documenti non sono finali?

Sì. L'audit su set in bozza è di norma più efficiente perché intercetta gap strutturali prima del ciclo approvativo.

### Sostituisce i test tecnici di sicurezza?

No. Li completa, validando governance documentale, progettazione dei processi e tracciabilità evidenze.

### Perché verificare le approvazioni così presto?

Perché i requisiti approvativi possono diventare un blocco finale se il workflow di governance non è integrato da subito nell'architettura documentale.

### Se un punto resta ambiguo, come si procede?

I dettagli sono definiti nella documentazione ufficiale: [Guida ACN](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base), [pagina ACN su modalità/specifiche base](https://www.acn.gov.it/portale/nis/modalita-specifiche-base).

## Conclusione

Il Compliance Documentation Audit fornisce un controllo pratico tra “documenti esistenti” e “documenti verificabili in audit”. Sugli obblighi di base NIS2 questa differenza è decisiva: il target non è solo produrre policy, ma dimostrare ownership di governance, applicabilità operativa e prontezza delle evidenze entro la finestra temporale definita da ACN.

## Letture correlate

- [Checklist Operativa per Audit Documentale NIS2: metodo pratico per la baseline](/it/cms/insights/checklist-operativa-audit-documentale-nis2-baseline/)
- [Compliance Documentation Audit NIS2: come funziona la metodologia di scoring](/it/cms/insights/compliance-documentation-audit-metodologia-scoring/)
- [Mappatura Requisiti-Documenti NIS2: come costruire una struttura audit difendibile](/it/cms/insights/mappatura-requisiti-documenti-nis2-struttura-audit/)
- [Servizio Aegister NIS2 Compliance](/it/solutions/compliance/nis2/)
- [Servizio Aegister Virtual CISO](/it/solutions/virtual-ciso/)

## Fonti ufficiali

- [Decreto Legislativo 138/2024 (Gazzetta Ufficiale)](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG)
- [ACN – Determinazione obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed)
- [ACN – Guida alla lettura delle specifiche di base](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base)
- [ACN – Modalità e specifiche di base (NIS)](https://www.acn.gov.it/portale/nis/modalita-specifiche-base)

Condividi questo articolo:

## Notizie Correlate

[![Compliance Documentation Audit NIS2: come funziona la metodologia di scoring](/static/images/cms/compliance-documentation-audit-metodologia-scoring.webp)](/it/cms/insights/compliance-documentation-audit-metodologia-scoring/)

[Compliance Documentation Audit NIS2: come funziona la metodologia di scoring](/it/cms/insights/compliance-documentation-audit-metodologia-scoring/)

[La metodologia di scoring Aegister valuta i documenti NIS2 a livello punto requisito su 5 dimensioni con scala 0–4. Questa guida copre l’architettura di scoring, i livelli di maturità, la sotto-scala evidenze, le regole speciali Appendice B/C e il modello severità finding.](/it/cms/insights/compliance-documentation-audit-metodologia-scoring/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+8

[![Piano NIS2 di gestione delle vulnerabilità: guida pratica per approvazione ID.RA-08](/static/images/cms/nis2-piano-gestione-vulnerabilita-guida-template.webp)](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[Piano NIS2 di gestione delle vulnerabilità: guida pratica per approvazione ID.RA-08](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[Il piano di gestione delle vulnerabilità è obbligatorio ai sensi dell’Appendice C NIS2 (ID.RA-08). Questa guida copre cosa deve mostrare un piano approvabile, una struttura pratica con matrice SLA e gestione eccezioni, errori frequenti e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+7

[![Piano NIS2 di gestione incidenti e notifica CSIRT: guida pratica per un documento RS.MA-01 approvabile](/static/images/cms/nis2-piano-gestione-incidenti-notifica-csirt-guida-template.webp)](/it/cms/insights/nis2-piano-gestione-incidenti-notifica-csirt-guida-template/)

[Piano NIS2 di gestione incidenti e notifica CSIRT: guida pratica per un documento RS.MA-01 approvabile](/it/cms/insights/nis2-piano-gestione-incidenti-notifica-csirt-guida-template/)

[Il piano di gestione incidenti è obbligatorio ai sensi dell'Appendice C NIS2 (RS.MA-01). Questa guida copre cosa deve includere un piano approvabile, una struttura template con workflow notifica CSIRT e logica temporale, gap comuni e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-piano-gestione-incidenti-notifica-csirt-guida-template/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+8

### Conformità NIS 2 con Aegister

Soluzioni complete per la conformità alla Direttiva NIS 2: consulenza esperta, implementazione e supporto continuo.

[Scopri NIS 2](/it/solutions/compliance/nis2/)