Conformità NIS2: documento, policy, risk assessment e vulnerabilità – guida operativa

Il “documento” di conformità NIS2: cos’è davvero?

La domanda che molti chiedono è: “Serve redigere un documento di conformità NIS2 da firmare?”.
La risposta giuridica e operativa è:
serve un sistema documentale coerente, che dimostra di:

• Avere misure di sicurezza allineate alle misure di base ACN (Allegati 1 e 2),

• Applicare risk assessment periodico,

• Gestire incidenti, backup e vulnerabilità secondo il quadro NIS2/Decreto 138/2024,

• Far intervenire in modo documentato il management e gli stakeholder.

In pratica, il “Documento di Conformità NIS2” può essere un file unico (es. Word/PDF firmato dal Board) che fa da “frontdoor” a tutti i documenti interni (policy, procedure, registri).

1. Modelli di documento di conformità NIS2 scaricabili

Esistono diversi kit documentali già strutturati su misura NIS2, che ti possono servire come traccia o da cui partire per costruire il tuo sistema.
Ne consiglio alcuni “di riferimento” per il tuo articolo:

• Kit Documentazione NIS2 – Advisera
  → Contiene modelli di documentazione (policy, procedure, registri, checklist) basati su ENISA, NIS2, regolamento di esecuzione UE 2024/2690 e Decreto 138/2024. Kit Documentazione NIS2 – Advisera

• Kit Documentazione NIS2 2026 – Edirama
  → Modelli in Word, già adattati al Decreto 138/2024 e alle determinazioni ACN (incluse 164179/2025). Kit Documentazione NIS 2 – Edirama

• Modello di Piano di Adeguamento NIS2 (PDF gratuito)
  → Documento operativo suddiviso in fasi, con obiettivi, azioni e tempi, adatto a soggetti essenziali e importanti. Modello Piano Adeguamento NIS2

• Kit documentale Sistema Gestione Direttiva NIS2
  → Manuale, policy, procedure, checklist e registri (es. registro vulnerabilità, registro test di penetrazione, registri di esercitazione). Kit Documentale Sistema Gestione Direttiva NIS2

Questi modelli sono un punto di partenza, ma con forte enfasi sul contestualizzare le policy al proprio settore, dimensione e servizi critici.

2. Esempi di Policy di Backup e Ripristino

Una delle misure di base ACN (Allegati 1 e 2) è la gestione del backup e della continuità operativa.

DetACN_nis_specifiche_2025_164179_allegato1

DetACN_nis_specifiche_2025_164179_allegato2

Esempio di Policy di Backup e Ripristino

Una “buona” policy NIS2 su backup e ripristino dovrebbe includere:

• Principi generali
  Tutti i dati critici e i sistemi core devono essere sottoposti a backup periodico e testato, in linea con RTO (Recovery Time Objective) e RPO (Recovery Point Objective) definiti dall’azienda.

• Metodologia
  Adozione del modello 3‑2‑1 (3 copie, 2 tipi di supporto, 1 copia off‑site) e, se possibile, estensione a 3‑2‑1‑1‑0con immutabilità e verifica automatica dei backup.

• Frequenza e conservazione
  Backup giornalieri/istante‑per‑istante per i servizi critici, backup settimanali/mensili per dati storici, conservazione in base a valutazione del rischio e a obblighi normativi (es. privacy, fiscali).

• Procedura di ripristino

  • Definizione chiara di chi esegue il ripristino, come, in quanto tempo, chi lo verifica.

  • Test periodici (es. annuali) e risultati documentati.

• Accessi e protezione

  • Gli accessi ai backup devono essere protetti con MFA e controllo dei privilegi.

  • Backup critici devono essere crittografati e salvati in ambienti sicuri (fisici e logici).

• Registro degli eventi
  Log di backup e ripristino, con tracciatura di errori, inconsistenze, tempi di completamento.

Link utile per policy di backup

• La gestione di backup e ridondanza alla luce della NIS2 (esempi e linee guida operative per RTO/RPO, 3‑2‑1, immutabilità): Guida NIS2 backup e ridondanza – CipsLegal

3. Tabelle di Risk Assessment (esempi)

La gestione del rischio (Art. 21 NIS2) è uno dei pilastri della conformità.

Un risk assessment NIS2 tipico si traduce in una matrice di rischio organizzata per:

• Processo e/o Servizio

• Minaccia

• Vulnerabilità

• Probabilità

• Impatto

• Rischio totale

• Misure di mitigazione

• Evidenze

Esempio di struttura tabella:

Una fonte molto utile per la struttura del risk assessment:

• Direttiva NIS2: l’analisi dei rischi – Exasys
  → Descrive nel dettaglio come costruire una matrice di rischio per processo, con asset, probabilità, impatto e rischio finale. NIS2 – analisi dei rischi – Exasys

• Guida operativa per risk assessment NIS2, GDPR, DORA, AI Act
  → Checklist operativa che collega obblighi normativi a requisiti verificabili e registri. Guida Risk Assessment NIS2, GDPR, DORA, AI Act

4. Come redigere la documentazione sulle vulnerabilità rilevate (Art. 21)

L’Art. 21 della NIS2 impone misure tecniche, organizzative e operative per gestire i rischi cyber e reduzione dell’impatto degli incidenti, in modo proporzionato a rischio, dimensione e impatto.

In pratica, dev’essere redato un:

Registro delle vulnerabilità

• Identificazione vulnerabilità,

• asset colpiti,

• Criticità (CVSS o scala proprietaria),

• Data di rilevamento,

• Azione correttiva,

• Data di chiusura.

Registro dei test di vulnerabilità

Scan periodici, pentest interni/esterni, test di sicurezza, con report e backlog di remediation.

Documentazione delle evidenze

• Certificati di Scansione
• Report di Pentest
• Comunicazioni tra IT e Security
• Verbali di riunioni su decisioni di budget per inerenti la Cyber Security

Una fonte utile per Art. 21 e vulnerabilità: NIS2 Art. 21 Spiega in modo operativo cosa chiede l’articolo 21, con casi pratici e checklist di evidenze da conservare. NIS2 Art. 21 – Best practices e evidenze

5. Obblighi documentali: soggetti essenziali vs importanti

Le determinazioni ACN (es. 164179/2025, 379907/2025) e il Decreto 138/2024 stabiliscono un quadro comune, ma con livelli di obbligo differenziati per soggetti essenziali e importanti.

Cosa cambia in termini di documentazione

Questa distinzione è fondamentale perché definisce quanto lavoro documentale devi portare in casa:
i soggetti essenziali devono avere un sistema di conformità quasi “regulatory grade”;
i soggetti importanti devono dimostrare di fare la stessa cosa, ma con struttura più leggera e flessibile.

Link utili e fonti (per questo capitolo)

• Decreto legislativo 138/2024 – NIS2 in Italia: Testo ufficiale sulla Gazzetta Ufficiale

• Specifiche di base NIS2 – ACN, Allegati 1 e 2: Guida alle specifiche di base NIS2 – ACN

• Kit documentazione NIS2 (modelli scaricabili): Kit Documentazione NIS2 – Advisera & Kit Documentazione NIS2 – Edirama

• Modello di Piano di adeguamento NIS2: Modello Piano di Adeguamento NIS2 – CDSW

• Risk assessment e matrice di rischio NIS2: Analisi dei rischi NIS2 – Exasys

• Backup e ripristino in linea con NIS2: Backup e ridondanza NIS2 – CipsLegal

• Art. 21 NIS2 – gestione vulnerabilità e evidenze: NIS2 Art. 21 – BITIL.COM

• Registro vulnerabilità, pentest e esercitazioni: Kit Documentale Sistema Gestione Direttiva NIS2