La guida ACN sulle specifiche baseline evidenzia che le evidenze documentali sono un requisito centrale di conformità, non un’attività a posteriori. Per governance e team GRC, la prontezza audit dipende da set documentali coerenti su policy, inventari, piani e registri operativi collegati agli obblighi baseline.
Fonti: Guida ACN lettura specifiche, Determinazione ACN obblighi di base
Punti chiave
- La qualità delle evidenze è importante quanto l’implementazione dei controlli.
- La guida baseline identifica famiglie ricorrenti di evidenze: inventari, piani, registri.
- I documenti approvati dagli organi devono essere identificabili e versionati.
- Le evidenze devono mappare in modo diretto obblighi e misure.
Fonti: Guida ACN lettura specifiche
Famiglie di evidenze da mantenere
1. Inventari
Mantenere inventari aggiornati di apparati fisici, servizi, sistemi e applicazioni rilevanti per il perimetro NIS.
2. Piani
Mantenere piani aggiornati come trattamento del rischio, gestione vulnerabilità, continuità operativa, disaster recovery e piani crisi/incidente, dove applicabile.
3. Registri e record
Mantenere registri tracciabili di riesami policy, attività formative, azioni del processo incidente e decisioni di governance.
4. Documenti approvati dalla governance
Assicurare che i documenti soggetti ad approvazione degli organi siano formalmente approvati, versionati e recuperabili.
Fonti: Guida ACN lettura specifiche, Determinazione ACN obblighi di base
Modello operativo di audit readiness
| Passo | Obiettivo di controllo | Output atteso |
|---|---|---|
| Mappatura evidenze | Collegare ogni obbligo alla prova documentale | Matrice obbligo-evidenza |
| Governance versioni | Assicurare tracciabilità ciclo documento | Registro versioni e storico approvazioni |
| Accessibilità | Consentire recupero rapido per verifiche/audit | Repository evidenze strutturato |
| Controlli completezza | Identificare evidenze mancanti o obsolete | Report periodico gap evidenze |
Fonti: Guida ACN lettura specifiche
Checklist operativa per 90 giorni
- Costruire matrice obbligo-evidenza per famiglia di controllo NIS.
- Standardizzare naming, ownership e regole di versioning documentale.
- Riconciliare i documenti approvati dagli organi rispetto alle approvazioni richieste.
- Attivare controlli periodici di freshness con escalation su evidenze obsolete.
- Eseguire mock audit interno focalizzato su completezza e tempi di retrieval.
FAQ
Le evidenze richieste riguardano solo le policy?
No. La guida ufficiale include inventari, piani e registri operativi oltre agli artefatti di policy. Fonte: Guida ACN lettura specifiche
Cosa rende un’evidenza “audit-ready”?
Completezza, aggiornamento, tracciabilità rispetto all’obbligo e recuperabilità con ownership e storico approvazioni chiari. Fonte: Guida ACN lettura specifiche
Quali documenti richiedono tipicamente approvazione degli organi?
I dettagli sono definiti nella documentazione ufficiale baseline, incluse sezioni dedicate ai documenti approvati dalla governance. Fonti: Guida ACN lettura specifiche, Determinazione ACN obblighi di base
Aegister offre supporto alla conformità NIS2 inclusa progettazione del framework documentale e guida alla preparazione audit.