CyberTotem
Tutti gli articoli
NIS2auditcompliancedocumentazione

L'audit NIS2: quali documenti servono e come prepararsi

L'ACN può ispezionare la tua organizzazione in qualsiasi momento. Ecco la checklist documentale NIS2 e come strutturare la prova di compliance prima che arrivino.

Team CyberTotem

La NIS2 non è solo un obbligo di fare cose: è un obbligo di dimostrare di aver fatto quelle cose. L'ACN (Agenzia per la Cybersicurezza Nazionale) ha poteri di ispezione e audit nei confronti dei soggetti NIS2. Può avviare controlli su base programmatica o in seguito a un incidente.

La domanda da porsi ora — prima dell'ispezione — è: se l'ACN bussasse domani, cosa potresti mostrare?

Cosa può fare l'ACN in un'ispezione

Il D.Lgs. 138/2024 attribuisce all'ACN poteri ispettivi che includono:

  • Richiesta di documentazione e informazioni
  • Ispezioni in loco
  • Audit di sicurezza (anche tramite soggetti terzi)
  • Scansioni di sicurezza e vulnerability assessment
  • Richiesta di azioni correttive con scadenze precise

In caso di non conformità grave o ripetuta, l'ACN può irrogare sanzioni amministrative, disporre la sospensione temporanea di servizi o — per i dirigenti — vietare l'esercizio di funzioni manageriali.

La documentazione NIS2: le 6 aree

La compliance NIS2 si dimostra con documenti, non con intenzioni. Organizza la documentazione seguendo le 6 aree dell'Art. 21.

1. Governance e politiche di sicurezza

  • Politica di sicurezza informatica approvata (con data di approvazione e firma del management)
  • Verbale di approvazione del CDA o dell'organo di gestione
  • Organigramma della sicurezza (chi è responsabile di cosa)
  • Designazione della figura NIS2 (se prevista)
  • Registro dell'avvenuta registrazione sulla piattaforma ACN

2. Gestione del rischio

  • Registro dei rischi informatici aggiornato
  • Risultati del risk assessment periodico
  • Piano di trattamento dei rischi con priorità e scadenze
  • Registro degli asset (sistemi, applicazioni, dati sensibili)

3. Sicurezza operativa

  • Policy di gestione degli accessi e delle identità
  • Procedura di patch management
  • Log di configurazione dei sistemi critici
  • Risultati di vulnerability assessment o penetration test recenti (se effettuati)
  • Documentazione del monitoraggio della sicurezza

4. Gestione degli incidenti

  • Procedura di gestione degli incidenti documentata
  • Registro degli incidenti (anche quelli minori)
  • Eventuali notifiche all'ACN e relative risposte
  • Prova dei test delle procedure di risposta (esercitazioni, tabletop exercise)

5. Continuità operativa

  • Business Continuity Plan (BCP) approvato
  • Documentazione dei backup (policy, frequenza, verifica)
  • Risultati degli ultimi test di ripristino
  • Piano di disaster recovery
  • RTO e RPO definiti per i sistemi critici

6. Formazione del personale

Questa è l'area più facilmente verificabile in un'ispezione. L'ispettore chiederà:

  • Chi ha fatto formazione, quando e su quali argomenti
  • Gli attestati individuali di completamento
  • Il registro dei completamenti (chi, quando, punteggio)
  • Evidenza che la formazione del management è avvenuta (Art. 20)

Qui, avere un sistema che traccia automaticamente ogni accesso e genera attestati PDF è la differenza tra "ecco la documentazione" e "stiamo cercando di ricostruire".

Supply chain

  • Registro dei fornitori critici con livello di accesso
  • Evidenza della valutazione della sicurezza dei fornitori
  • Clausole contrattuali di sicurezza con fornitori critici (o evidenza della loro assenza e piano per inserirle)

Come organizzare la documentazione: il fascicolo NIS2

La pratica più efficiente è mantenere un fascicolo NIS2 — una cartella (fisica o digitale) che contiene tutta la documentazione di compliance, organizzata per area, con un indice e le date di aggiornamento.

Il fascicolo dovrebbe essere:

  • Aggiornato almeno annualmente (o dopo ogni modifica significativa)
  • Accessibile al responsabile della sicurezza e al management
  • Coerente — i diversi documenti non devono contraddirsi

Il self-assessment come strumento di preparazione

Prima di un'ispezione formale, condurre un self-assessment strutturato aiuta a identificare i gap. Il Check NIS2 gratuito di CyberTotem copre le 6 aree con domande specifiche e fornisce un report con lo score per area e le priorità di intervento.

Cosa fare se trovi dei gap

La scoperta di un gap non è una catastrofe — è informazione utile. L'importante è:

  1. Documentare il gap (sai dov'è il problema)
  2. Avere un piano di remediation con scadenze realistiche
  3. Aggiornare il piano di trattamento dei rischi

Un'organizzazione che ha identificato i propri gap e sta lavorando attivamente per chiuderli è in una posizione molto migliore, dal punto di vista regolatorio, rispetto a una che non ha mai fatto una valutazione.

Non sai da dove iniziare? Fai il check NIS2 gratuito per ottenere un report dettagliato dei tuoi gap e delle priorità di intervento.

CyberTotem

Porta la formazione cybersecurity in azienda.

10 minuti al mese per dipendente. 12 moduli l'anno. Attestati automatici.

Richiedi una demo