Gli obblighi di notifica incidenti sono già in vigore nella prima applicazione. L’adozione delle misure di sicurezza di base resta in scadenza a ottobre 2026. Per la maggior parte dei soggetti, la priorità immediata è chiudere il pacchetto documentale obbligatorio dell’Appendice C e completare in tempo le approvazioni degli organi.
Punti chiave
- L’Appendice C individua 11 documenti che richiedono approvazione degli organi di amministrazione e direttivi.
- L’obbligo di notifica incidenti è già attivo; la governance documentale non può restare in stato bozza.
- La milestone per l’adozione delle misure di base resta ottobre 2026, quindi approvazioni ed evidenze vanno chiuse prima della scadenza.
- Un approccio basato su template accelera coerenza e velocità, ma la responsabilità resta in capo al soggetto.
Stato timeline (prima applicazione)
| Milestone | Tempistica ufficiale | Stato al 22/02/2026 | Significato operativo |
|---|---|---|---|
| Obblighi di notifica incidenti significativi | 9 mesi (gennaio 2026) | In vigore | Il processo di notifica deve essere operativo ora |
| Adozione misure di sicurezza di base | 18 mesi (ottobre 2026) | In scadenza | Pacchetto documentale e controlli da completare entro la data |
Matrice Appendice C: documenti obbligatori con approvazione organi
| Documento obbligatorio | Riferimento requisito | Approvazione organi richiesta |
|---|---|---|
| Organizzazione per la sicurezza informatica | GV.RR-02 punto 1 | Sì |
| Politiche di sicurezza informatica | GV.PO-01 punto 1 | Sì |
| Valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete | ID.RA-05 punto 3 | Sì |
| Piano di trattamento del rischio | ID.RA-06 punto 3 | Sì |
| Piano di gestione delle vulnerabilità | ID.RA-08 punto 4 | Sì |
| Piano di adeguamento | ID.IM-01 punto 1 | Sì |
| Piano di continuità operativa | ID.IM-04 punto 1 | Sì |
| Piano di ripristino in caso di disastro | ID.IM-04 punto 1 | Sì |
| Piano di gestione delle crisi | ID.IM-04 punto 1 | Sì |
| Piano di formazione | PR.AT-01 punto 1 | Sì |
| Piano per la gestione degli incidenti di sicurezza informatica | RS.MA-01 punto 2 | Sì |
Come strutturare il pacchetto obbligatorio senza esporre metodi sensibili
1. Rendere esplicita la governance approvativa
Ogni documento deve indicare owner, approvatore, data di approvazione, cadenza di riesame e storico versioni.
2. Rendere espliciti perimetro e confini
Specificare sistemi, servizi e unità organizzative coperte, oltre alle esclusioni motivate.
3. Integrare hook di evidenza
Per ciascuna policy/piano definire quali registri, log, report e verbali costituiscono prova di attuazione.
4. Mappare le dipendenze operative
Collegare ogni documento a procedure, inventari e team responsabili, evitando approvazioni scollegate dall’esecuzione.
Blocchi minimi da standardizzare su tutti gli 11 documenti
- Finalità e base normativa/di riferimento.
- Perimetro e condizioni di applicabilità.
- Ruoli e responsabilità (inclusi sostituti dove rilevante).
- Controlli richiesti o passaggi operativi.
- Requisiti di evidenza e conservazione documentale.
- Campi eccezioni e razionale risk-based.
- Ciclo di riesame/approvazione/aggiornamento.
Checklist di attivazione 30 giorni (board-ready)
- Costruire un registro unico dei 11 documenti obbligatori con owner assegnati.
- Allineare le versioni template eliminando definizioni incoerenti tra documenti.
- Inserire blocchi di approvazione e cadenza riesame in tutti i documenti obbligatori.
- Eseguire quality review legale/compliance prima del passaggio agli organi.
- Pianificare le sessioni di approvazione e tracciare gli esiti nei verbali.
- Collegare i documenti approvati alle procedure esecutive e ai registri evidenza.
FAQ
Tutti i documenti dell’Appendice C richiedono approvazione degli organi?
Sì. L’Appendice C elenca esplicitamente i documenti e i riferimenti di requisito che ne richiedono l’approvazione.
L’obbligo di notifica incidenti è ancora una milestone futura?
No. Nella prima applicazione ACN la milestone a 9 mesi è gennaio 2026, e l’obbligo è già in vigore.
Come accelerare questa fase senza ridurre la qualità?
Una libreria template standardizzata con raccolta dati guidata, versionamento controllato e workflow approvativo riduce rework e attriti di governance mantenendo l’accountability del soggetto.
Conclusione e prossimi passi
La sequenza più efficace è: chiudere il pacchetto obbligatorio Appendice C, ottenere le approvazioni formali degli organi, collegare ogni documento approvato ai flussi di evidenza operativa prima di ottobre 2026. I workflow Aegister basati su template sono progettati per supportare questa transizione con raccolta strutturata, drafting controllato e output pronti per governance.
Letture correlate
- Obblighi NIS2 di base in pratica: articolo master su governance, controlli e gestione incidenti
- Template operativi NIS2 per team GRC: cosa preparare e perché conta
- Evidenze Documentali NIS2 e Audit Readiness: Come Strutturare la Prova di Conformità
- Servizio Aegister NIS2 Compliance
- Servizio Aegister Virtual CISO