--- title: "NIS2 Piano Trattamento Rischio: Guida" description: Come costruire un piano NIS2 di trattamento del rischio (ID.RA-06). Guida pratica con opzioni di trattamento, rischio residuo e workflow approvativo. canonical: https://www.aegister.com/it/cms/insights/nis2-piano-trattamento-rischio-guida-template/ url: /it/cms/insights/nis2-piano-trattamento-rischio-guida-template/ lang: it --- ![](/static/images/header-contact.webp) # Piano NIS2 di trattamento del rischio: guida pratica per approvazione ID.RA-06 --- ![Piano NIS2 di trattamento del rischio: guida pratica per approvazione ID.RA-06](/static/images/cms/nis2-requisiti-di-base.webp) ## Piano NIS2 di trattamento del rischio: guida pratica per approvazione ID.RA-06 30 Gennaio 2026 [NIS2](/it/cms/keyword/nis2/) [Appendix C](/it/cms/keyword/appendix-c/) [approvazione del CdA](/it/cms/keyword/approvazione-del-cda/) [ACN](/it/cms/keyword/acn/) +5 Il piano di trattamento del rischio è esplicitamente elencato in Appendice C e richiede approvazione degli organi ai sensi di **ID.RA-06 punto 3**. La sua funzione è tradurre gli esiti della valutazione rischio in azioni prioritarie, assegnate, time-bound e con evidenze di chiusura verificabili. ## Punti chiave - Il piano di trattamento è obbligatorio e guidato da approvazione, non un semplice backlog operativo. - Ogni azione pianificata deve essere tracciabile al rischio valutato e al relativo razionale di rischio residuo. - Il valore governance dipende da qualità della prioritizzazione, chiarezza ownership e disciplina sulle scadenze. - Un template efficace impone coerenza tra strategie di mitigazione, trasferimento, accettazione ed evitamento. ## Cosa deve mostrare un piano ID.RA-06 approvabile | Obiettivo | Output minimo | Evidenze | | --- | --- | --- | | Collegamento al rischio | Ogni azione collegata a un risk ID | Tabella mapping rischio-azione | | Ownership | Owner accountable nominato per azione | Registro azioni con owner | | Disciplina temporale | Data avvio, milestone, data target | Tracker avanzamento e status log | | Trasparenza decisionale | Strategia di trattamento + razionale | Verbali approvazione e registro eccezioni | ## Struttura pratica del piano ### 1. Finalità, perimetro e riferimenti Dichiarare che il piano è il layer di trattamento degli esiti ID.RA-05 e definire sistemi/servizi coperti. ### 2. Modello decisionale di trattamento Definire strategie ammesse: mitigare, trasferire, evitare, accettare e relativi criteri decisionali. ### 3. Portafoglio azioni prioritario Elencare azioni per criticità rischio, dipendenze e sequenza di esecuzione. ### 4. Ownership e governance Assegnare owner accountable, percorsi di escalation e cadenza reportistica. ### 5. Milestone e criteri di chiusura Definire cosa significa azione completata e quali evidenze dimostrano la chiusura. ### 6. Gestione rischio residuo Documentare accettazioni di rischio residuo con approvatore e data di riesame. ### 7. Ciclo aggiornamento piano Impostare cadenza periodica e trigger di ri-prioritizzazione. ## Errori tipici che degradano il piano 1. Azioni senza riferimento a risk ID. 2. Scadenze presenti ma owner accountable assente. 3. Accettazione rischio usata senza razionale formale e approvatore. 4. Assenza mappa dipendenze con azioni bloccate. 5. Chiusura azione dichiarata senza criteri di evidenza. ## Checklist hardening in 20 giorni 1. Importare i rischi top dalla valutazione approvata con ID stabili. 2. Classificare strategia di trattamento per ogni rischio e motivarla. 3. Assegnare owner, data target e milestone per ciascuna azione. 4. Definire evidenze richieste per marcare ogni azione come chiusa. 5. Inserire workflow di accettazione rischio residuo con sign-off formale. 6. Sottoporre il piano consolidato all’approvazione degli organi. ## FAQ ### Il piano di trattamento è un documento obbligatorio da approvare? Sì. L’Appendice C elenca il piano di trattamento del rischio con riferimento ID.RA-06 punto 3. ### Un unico piano può coprire più domini? Sì, se tracciabilità rischio e ownership restano chiare. Molti team usano un piano master con sezioni per dominio. ### Ogni quanto aggiornare le priorità? Almeno secondo la cadenza governance definita e prima quando cambia in modo rilevante il profilo di rischio. ## Conclusione e prossimi passi Un piano ID.RA-06 robusto trasforma l’analisi rischio in delivery accountable. La priorità è mantenere esplicita la tracciabilità rischio-azione, imporre disciplina ownership e richiedere chiusura basata su evidenze prima di dichiarare riduzione del rischio. ## Letture correlate - [Guida master ai documenti obbligatori NIS2: cosa va approvato dagli organi e cosa preparare subito](/it/cms/insights/nis2-documenti-obbligatori-master-e-firme-organi/) - [Documento NIS2 di valutazione del rischio SIR: guida pratica per approvazione ID.RA-05](/it/cms/insights/nis2-valutazione-rischio-sir-guida-template/) - [Piano NIS2 di adeguamento: guida pratica per approvazione ID.IM-01](/it/cms/insights/nis2-piano-adeguamento-guida-template/) - [Servizio Aegister NIS2 Compliance](/it/solutions/compliance/nis2/) - [Assessment NIS2 Gratuito](/it/assessment/) ## Fonti ufficiali - [ACN – Guida alla lettura delle specifiche di base](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base) - [ACN – Determinazione obblighi di base 379907/2025](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed) - [Gazzetta Ufficiale – Decreto Legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG) Condividi questo articolo: ## Notizie Correlate [![Documento NIS2 di valutazione del rischio SIR: guida pratica per approvazione ID.RA-05](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-valutazione-rischio-sir-guida-template/) [Documento NIS2 di valutazione del rischio SIR: guida pratica per approvazione ID.RA-05](/it/cms/insights/nis2-valutazione-rischio-sir-guida-template/) [La valutazione del rischio dei sistemi informativi e di rete è obbligatoria ai sensi dell’Appendice C NIS2 (ID.RA-05). Questa guida copre cosa deve mostrare una valutazione approvabile, una struttura template pratica, errori comuni sulle clausole risk-based e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-valutazione-rischio-sir-guida-template/) [NIS2](/it/cms/keyword/nis2/) [Appendix C](/it/cms/keyword/appendix-c/) +7 [![Piano NIS2 di gestione delle vulnerabilità: guida pratica per approvazione ID.RA-08](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/) [Piano NIS2 di gestione delle vulnerabilità: guida pratica per approvazione ID.RA-08](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/) [Il piano di gestione delle vulnerabilità è obbligatorio ai sensi dell’Appendice C NIS2 (ID.RA-08). Questa guida copre cosa deve mostrare un piano approvabile, una struttura pratica con matrice SLA e gestione eccezioni, errori frequenti e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/) [NIS2](/it/cms/keyword/nis2/) [Appendix C](/it/cms/keyword/appendix-c/) +7 [![Documento NIS2 sulle politiche di sicurezza informatica: guida pratica per approvazione GV.PO-01](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-politiche-sicurezza-informatica-guida-template/) [Documento NIS2 sulle politiche di sicurezza informatica: guida pratica per approvazione GV.PO-01](/it/cms/insights/nis2-politiche-sicurezza-informatica-guida-template/) [Le politiche di sicurezza informatica sono obbligatorie ai sensi dell’Appendice C NIS2 (GV.PO-01). Questa guida copre cosa deve contenere un pacchetto policy approvabile, un’architettura template modulare, la distinzione policy/procedura e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-politiche-sicurezza-informatica-guida-template/) [NIS2](/it/cms/keyword/nis2/) [Appendix C](/it/cms/keyword/appendix-c/) +7 ### Conformità NIS 2 con Aegister Soluzioni complete per la conformità alla Direttiva NIS 2: consulenza esperta, implementazione e supporto continuo. [Scopri NIS 2](/it/solutions/compliance/nis2/)