---
title: "NIS2 Valutazione Rischio SIR: Guida ID.RA-05"
description: Come redigere il documento NIS2 di valutazione del rischio SIR (ID.RA-05). Guida pratica con metodologia, matrice dei rischi e approccio di scoring.
canonical: https://www.aegister.com/it/cms/insights/nis2-valutazione-rischio-sir-guida-template/
url: /it/cms/insights/nis2-valutazione-rischio-sir-guida-template/
lang: it
---

![](/static/images/header-contact.webp)

# Documento NIS2 di valutazione del rischio SIR: guida pratica per approvazione ID.RA-05

---

![Documento NIS2 di valutazione del rischio SIR: guida pratica per approvazione ID.RA-05](/static/images/cms/nis2-requisiti-di-base.webp)

## Documento NIS2 di valutazione del rischio SIR: guida pratica per approvazione ID.RA-05

29 Gennaio 2026

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
[approvazione del CdA](/it/cms/keyword/approvazione-del-cda/)
[ACN](/it/cms/keyword/acn/)
+5

La valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete è un documento obbligatorio dell’Appendice C e richiede approvazione degli organi ai sensi di **ID.RA-05 punto 3**. Questo documento deve dimostrare come il soggetto identifica scenari di rischio cyber, valuta impatto/probabilità e giustifica le scelte di controllo risk-based.

## Punti chiave

- La valutazione del rischio non è un allegato opzionale: è un documento baseline soggetto ad approvazione.
- La guida ACN collega in modo ricorrente molte clausole attuative agli esiti di ID.RA-05.
- Una valutazione difendibile deve collegare metodologia, perimetro, assunzioni e scelte di controllo.
- Un template/workbook riusabile riduce incoerenze tra funzioni aziendali e fornitori.

## Cosa deve mostrare una valutazione ID.RA-05 approvabile

| Obiettivo | Output minimo | Evidenze |
| --- | --- | --- |
| Chiarezza perimetro | Sistemi/servizi in perimetro e dipendenze | Registro perimetro e riferimento inventari |
| Trasparenza modello rischio | Criteri definiti per probabilità/impatto | Sezione metodologia e regole di scoring |
| Copertura scenari | Scenari minaccia/failure rilevanti | Voci del risk register |
| Tracciabilità decisionale | Collegamento rischio-priorità controlli | Mapping rischio-controllo e approvazioni |

## Struttura template consigliata

### 1. Finalità, base normativa e perimetro

Dichiarare riferimento ID.RA-05, soggetti/servizi coperti e confini dell’analisi.

### 2. Metodologia e modello di scoring

Definire scale, soglie di rischio e assunzioni per garantire coerenza valutativa.

### 3. Contesto asset e dipendenze

Mappare sistemi critici, flussi dati, fornitori e infrastrutture di supporto.

### 4. Analisi scenari e rischio inerente

Valutare scenari cyber realistici prima dei controlli in essere.

### 5. Controlli esistenti e rischio residuo

Stimare efficacia dei controlli e esposizione residua.

### 6. Output di prioritizzazione

Classificare i rischi prioritari e definire priorità di trattamento.

### 7. Ciclo approvazione e riesame

Inserire blocco approvativo formale e cadenza di rivalutazione.

## Gestione clausole risk-based: errori ricorrenti

1. Clausole risk-based giustificate con frasi generiche.
2. Riduzioni di perimetro senza criteri oggettivi documentati.
3. Rischio fornitori trattato separatamente e non integrato.
4. Accettazione rischio residuo senza approvatore accountable.
5. Esiti valutazione non collegati a piano trattamento/miglioramento.

## Checklist hardening in 20 giorni

1. Confermare inventario sistemi/servizi critici e ownership.
2. Standardizzare modello di scoring rischio tra le funzioni.
3. Riesaminare scenari top-risk con assunzioni ed evidenze esplicite.
4. Collegare ogni rischio alto a controlli pianificati e owner.
5. Documentare rischi residui accettati con tracciamento approvativo.
6. Trasmettere la valutazione finale agli organi per approvazione.

## FAQ

### La valutazione ID.RA-05 è un documento da approvare dagli organi?

Sì. L’Appendice C elenca esplicitamente la valutazione del rischio con riferimento ID.RA-05 punto 3.

### Possiamo usare solo rating qualitativi?

Sì, se la metodologia è coerente e i criteri decisionali sono espliciti. In pratica, modelli misti (qualitativo + indicatori quantitativi) aumentano la tracciabilità.

### Con quale frequenza va aggiornata la valutazione?

Almeno secondo la cadenza di riesame definita e prima, quando cambiano in modo significativo esposizione, architettura o contesto operativo.

## Conclusione e prossimi passi

Un documento ID.RA-05 solido è il motore decisionale dell’intero stack documentale NIS. La priorità è garantire coerenza metodologica, tracciabilità rischio-controllo e prontezza approvativa per rendere difendibili i piani downstream.

## Letture correlate

- [Guida master ai documenti obbligatori NIS2: cosa va approvato dagli organi e cosa preparare subito](/it/cms/insights/nis2-documenti-obbligatori-master-e-firme-organi/)
- [Piano NIS2 di trattamento del rischio: guida pratica per approvazione ID.RA-06](/it/cms/insights/nis2-piano-trattamento-rischio-guida-template/)
- [Controlli NIS2 di Identificazione (ID): Inventari, Valutazione del Rischio e Ciclo di Miglioramento](/it/cms/insights/nis2-identificazione-id-inventario-valutazione-rischio/)
- [Servizio Aegister NIS2 Compliance](/it/solutions/compliance/nis2/)
- [Assessment NIS2 Gratuito](/it/assessment/)

## Fonti ufficiali

- [ACN – Guida alla lettura delle specifiche di base](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base)
- [ACN – Determinazione obblighi di base 379907/2025](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed)
- [Gazzetta Ufficiale – Decreto Legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG)

Condividi questo articolo:

## Notizie Correlate

[![Piano NIS2 di trattamento del rischio: guida pratica per approvazione ID.RA-06](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-piano-trattamento-rischio-guida-template/)

[Piano NIS2 di trattamento del rischio: guida pratica per approvazione ID.RA-06](/it/cms/insights/nis2-piano-trattamento-rischio-guida-template/)

[Il piano di trattamento del rischio è obbligatorio ai sensi dell’Appendice C NIS2 (ID.RA-06). Questa guida copre cosa deve mostrare un piano approvabile, una struttura pratica con ownership e criteri di chiusura, errori tipici e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-piano-trattamento-rischio-guida-template/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+7

[![Piano NIS2 di gestione delle vulnerabilità: guida pratica per approvazione ID.RA-08](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[Piano NIS2 di gestione delle vulnerabilità: guida pratica per approvazione ID.RA-08](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[Il piano di gestione delle vulnerabilità è obbligatorio ai sensi dell’Appendice C NIS2 (ID.RA-08). Questa guida copre cosa deve mostrare un piano approvabile, una struttura pratica con matrice SLA e gestione eccezioni, errori frequenti e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-piano-gestione-vulnerabilita-guida-template/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+7

[![Documento NIS2 sulle politiche di sicurezza informatica: guida pratica per approvazione GV.PO-01](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-politiche-sicurezza-informatica-guida-template/)

[Documento NIS2 sulle politiche di sicurezza informatica: guida pratica per approvazione GV.PO-01](/it/cms/insights/nis2-politiche-sicurezza-informatica-guida-template/)

[Le politiche di sicurezza informatica sono obbligatorie ai sensi dell’Appendice C NIS2 (GV.PO-01). Questa guida copre cosa deve contenere un pacchetto policy approvabile, un’architettura template modulare, la distinzione policy/procedura e una checklist di hardening a 20 giorni.](/it/cms/insights/nis2-politiche-sicurezza-informatica-guida-template/)

[NIS2](/it/cms/keyword/nis2/)
[Appendix C](/it/cms/keyword/appendix-c/)
+7

### Conformità NIS 2 con Aegister

Soluzioni complete per la conformità alla Direttiva NIS 2: consulenza esperta, implementazione e supporto continuo.

[Scopri NIS 2](/it/solutions/compliance/nis2/)