---
title: "NIS2 Documenti Obbligatori: Approvazione CdA"
description: "Guida master ai documenti obbligatori NIS2: cosa deve approvare il CdA, firme richieste e gerarchia documentale per la conformità baseline."
canonical: https://www.aegister.com/it/cms/insights/nis2-documenti-obbligatori-master-e-firme-organi/
url: /it/cms/insights/nis2-documenti-obbligatori-master-e-firme-organi/
lang: it
---

![](/static/images/header-contact.webp)

# Guida master ai documenti obbligatori NIS2: cosa va approvato dagli organi e cosa preparare subito

---

![Guida master ai documenti obbligatori NIS2: cosa va approvato dagli organi e cosa preparare subito](/static/images/cms/nis2-requisiti-di-base.webp)

## Guida master ai documenti obbligatori NIS2: cosa va approvato dagli organi e cosa preparare subito

26 Gennaio 2026

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
[approvazione del CdA](/it/cms/keyword/approvazione-del-cda/)
[ottobre 2026](/it/cms/keyword/ottobre-2026/)
+5

Gli obblighi di notifica incidenti sono già in vigore nella prima applicazione. L’adozione delle misure di sicurezza di base resta in scadenza a **ottobre 2026**. Per la maggior parte dei soggetti, la priorità immediata è chiudere il pacchetto documentale obbligatorio dell’Appendice C e completare in tempo le approvazioni degli organi.

## Punti chiave

- L’Appendice C individua **11 documenti** che richiedono approvazione degli organi di amministrazione e direttivi.
- L’obbligo di notifica incidenti è già attivo; la governance documentale non può restare in stato bozza.
- La milestone per l’adozione delle misure di base resta **ottobre 2026**, quindi approvazioni ed evidenze vanno chiuse prima della scadenza.
- Un approccio basato su template accelera coerenza e velocità, ma la responsabilità resta in capo al soggetto.

## Stato timeline (prima applicazione)

| Milestone | Tempistica ufficiale | Stato al 22/02/2026 | Significato operativo |
| --- | --- | --- | --- |
| Obblighi di notifica incidenti significativi | 9 mesi (gennaio 2026) | In vigore | Il processo di notifica deve essere operativo ora |
| Adozione misure di sicurezza di base | 18 mesi (ottobre 2026) | In scadenza | Pacchetto documentale e controlli da completare entro la data |

## Matrice Appendice C: documenti obbligatori con approvazione organi

| Documento obbligatorio | Riferimento requisito | Approvazione organi richiesta |
| --- | --- | --- |
| Organizzazione per la sicurezza informatica | GV.RR-02 punto 1 | Sì |
| Politiche di sicurezza informatica | GV.PO-01 punto 1 | Sì |
| Valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete | ID.RA-05 punto 3 | Sì |
| Piano di trattamento del rischio | ID.RA-06 punto 3 | Sì |
| Piano di gestione delle vulnerabilità | ID.RA-08 punto 4 | Sì |
| Piano di adeguamento | ID.IM-01 punto 1 | Sì |
| Piano di continuità operativa | ID.IM-04 punto 1 | Sì |
| Piano di ripristino in caso di disastro | ID.IM-04 punto 1 | Sì |
| Piano di gestione delle crisi | ID.IM-04 punto 1 | Sì |
| Piano di formazione | PR.AT-01 punto 1 | Sì |
| Piano per la gestione degli incidenti di sicurezza informatica | RS.MA-01 punto 2 | Sì |

## Come strutturare il pacchetto obbligatorio senza esporre metodi sensibili

### 1. Rendere esplicita la governance approvativa

Ogni documento deve indicare owner, approvatore, data di approvazione, cadenza di riesame e storico versioni.

### 2. Rendere espliciti perimetro e confini

Specificare sistemi, servizi e unità organizzative coperte, oltre alle esclusioni motivate.

### 3. Integrare hook di evidenza

Per ciascuna policy/piano definire quali registri, log, report e verbali costituiscono prova di attuazione.

### 4. Mappare le dipendenze operative

Collegare ogni documento a procedure, inventari e team responsabili, evitando approvazioni scollegate dall’esecuzione.

## Blocchi minimi da standardizzare su tutti gli 11 documenti

1. Finalità e base normativa/di riferimento.
2. Perimetro e condizioni di applicabilità.
3. Ruoli e responsabilità (inclusi sostituti dove rilevante).
4. Controlli richiesti o passaggi operativi.
5. Requisiti di evidenza e conservazione documentale.
6. Campi eccezioni e razionale risk-based.
7. Ciclo di riesame/approvazione/aggiornamento.

## Checklist di attivazione 30 giorni (board-ready)

1. Costruire un registro unico dei 11 documenti obbligatori con owner assegnati.
2. Allineare le versioni template eliminando definizioni incoerenti tra documenti.
3. Inserire blocchi di approvazione e cadenza riesame in tutti i documenti obbligatori.
4. Eseguire quality review legale/compliance prima del passaggio agli organi.
5. Pianificare le sessioni di approvazione e tracciare gli esiti nei verbali.
6. Collegare i documenti approvati alle procedure esecutive e ai registri evidenza.

## FAQ

### Tutti i documenti dell’Appendice C richiedono approvazione degli organi?

Sì. L’Appendice C elenca esplicitamente i documenti e i riferimenti di requisito che ne richiedono l’approvazione.

### L’obbligo di notifica incidenti è ancora una milestone futura?

No. Nella prima applicazione ACN la milestone a 9 mesi è gennaio 2026, e l’obbligo è già in vigore.

### Come accelerare questa fase senza ridurre la qualità?

Una libreria template standardizzata con raccolta dati guidata, versionamento controllato e workflow approvativo riduce rework e attriti di governance mantenendo l’accountability del soggetto.

## Conclusione e prossimi passi

La sequenza più efficace è: chiudere il pacchetto obbligatorio Appendice C, ottenere le approvazioni formali degli organi, collegare ogni documento approvato ai flussi di evidenza operativa prima di ottobre 2026. I workflow Aegister basati su template sono progettati per supportare questa transizione con raccolta strutturata, drafting controllato e output pronti per governance.

## Letture correlate

- [Obblighi NIS2 di base in pratica: articolo master su governance, controlli e gestione incidenti](/it/cms/insights/nis2-obblighi-base-master-overview/)
- [Template operativi NIS2 per team GRC: cosa preparare e perché conta](/it/cms/insights/nis2-template-operativi-per-team-grc/)
- [Evidenze Documentali NIS2 e Audit Readiness: Come Strutturare la Prova di Conformità](/it/cms/insights/nis2-evidenze-documentali-audit-readiness/)
- [Servizio Aegister NIS2 Compliance](/it/solutions/compliance/nis2/)
- [Servizio Aegister Virtual CISO](/it/solutions/virtual-ciso/)

## Fonti ufficiali

- [ACN – Guida alla lettura delle specifiche di base](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base)
- [ACN – Determinazione obblighi di base 379907/2025](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed)
- [ACN – Modalità e specifiche di base](https://www.acn.gov.it/portale/nis/modalita-specifiche-base)
- [Gazzetta Ufficiale – Decreto Legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG)

Condividi questo articolo:

## Notizie Correlate

[![Documento NIS2 sulle politiche di sicurezza informatica: guida pratica per approvazione GV.PO-01](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-politiche-sicurezza-informatica-guida-template/)

[Documento NIS2 sulle politiche di sicurezza informatica: guida pratica per approvazione GV.PO-01](/it/cms/insights/nis2-politiche-sicurezza-informatica-guida-template/)

[Le politiche di sicurezza informatica sono obbligatorie ai sensi dell’Appendice C NIS2 (GV.PO-01). Questa guida copre cosa deve contenere un pacchetto policy approvabile, un’architettura template modulare, la distinzione policy/procedura e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-politiche-sicurezza-informatica-guida-template/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+7

[![Piano NIS2 di gestione delle vulnerabilità: guida pratica per approvazione ID.RA-08](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[Piano NIS2 di gestione delle vulnerabilità: guida pratica per approvazione ID.RA-08](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[Il piano di gestione delle vulnerabilità è obbligatorio ai sensi dell’Appendice C NIS2 (ID.RA-08). Questa guida copre cosa deve mostrare un piano approvabile, una struttura pratica con matrice SLA e gestione eccezioni, errori frequenti e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+7

[![Piano NIS2 di adeguamento: guida pratica per approvazione ID.IM-01](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-piano-adeguamento-guida-template/)

[Piano NIS2 di adeguamento: guida pratica per approvazione ID.IM-01](/it/cms/insights/nis2-piano-adeguamento-guida-template/)

[Il piano di adeguamento è obbligatorio ai sensi dell’Appendice C NIS2 (ID.IM-01). Questa guida copre come consolidare i gap, prioritizzare le azioni, allineare le milestone a ottobre 2026 e costruire un piano approvabile con evidenze di chiusura.](/it/cms/insights/nis2-piano-adeguamento-guida-template/)

[NIS2](/it/cms/keyword/nis2/)
[piano di rimedio](/it/cms/keyword/piano-di-rimedio/)
+7

### Conformità NIS 2 con Aegister

Soluzioni complete per la conformità alla Direttiva NIS 2: consulenza esperta, implementazione e supporto continuo.

[Scopri NIS 2](/it/solutions/compliance/nis2/)