NIS – Modello operativo di base per il “Documento di Conformità NIS2” (template base utilizzabile come punto di partenza per le policy).

Linee guida per attestare che [Nome Azienda] – codice fiscale [XXX] – P.IVA [YYY], classificata come soggetto NIS2(soggetto essenziale/importante – barrare la voce), ha adottato un sistema di gestione della sicurezza informatica conforme alle disposizioni della Direttiva NIS2 (UE) 2022/2555, recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138, e alle specifiche di base ACN (determinazione n. 164179/2025 e successive).

1. Obiettivo del documento

L’obiettivo di questo documento è:

• descrivere il contesto dell’organizzazione e il perimetro dei servizi sottoposti all’obbligo NIS2,

• evidenziare le misure di sicurezza adottate,

• affermare il coinvolgimento del management e il processo di gestione del rischio,

• dichiarare la disponibilità delle policy, procedure e registri richiesti dalla normativa,

• affermare la conformità agli obblighi di notifica incidenti all’ACN/CSIRT Italia.

---

2. Classificazione NIS2

• Denominazione legale
  _

• Codice fiscale / P.IVA
  _

• Settore di appartenenza
  Esempio: Energia, Trasporti, Sanità, Servizi ICT, PA locale, Gestione rifiuti, Poste, ecc.

• Classificazione ACN
  ☐ Soggetto essenziale
  ☐ Soggetto importante
  ☐ In fase di valutazione

• Servizi/attività assoggettati alla NIS2 (lista sintetica)

  • Servizio 1: _ (es. ERP di gestione ordini)

  • Servizio 2: _ (es. servizio di posta interna)

  • Servizio 3: _ (es. piattaforma di pagamento online)

---

3. Politiche di sicurezza adottate

L’azienda ha adottato, approvato dal Board / Legale rappresentante in data [data], le seguenti politiche (elenca i principali documenti interni):

• Politica di sicurezza informatica

• Politica di gestione del rischio

• Politica di backup e continuità operativa

• Politica di gestione degli accessi e MFA

• Politica di gestione della supply chain (fornitori ICT)

• Politica di formazione e awareness (inclusi membri del management)

Le politiche sono redatte in conformità alle misure di base ACN (Allegati 1 e 2, a seconda della classificazione) e ai requisiti di:

• Art. 21 (misure di sicurezza e gestione del rischio),

• Art. 22 (gestione degli incidenti),

• Art. 23 (piano di continuità),

• Art. 24 (backup),

• Art. 25 (notifica incidenti).

---

4. Governance e responsabilità

Il Board / Legale rappresentante conferma:

• di avere assunto la responsabilità generale della cybersecurity,

• di avere nominato un responsabile NIS2 / CISO (o figura equivalente) con compiti definiti da [descrizione ruolo],

• di aver approvato il piano di adeguamento NIS2 e di monitorarne progressivamente l’implementazione.

Le riunioni periodiche sul rischio cibernetico, con partecipazione del management, vengono documentate in verbali e report di risk assessment.

---

5. Gestione del rischio

L’azienda:

• ha effettuato una valutazione iniziale del rischio riferita ai servizi NIS2,

• adotta una matrice di rischio strutturata (per processo, servizio, asset),

• esegue riesami periodici del rischio (almeno annuali),

• mantiene un registro delle azioni di mitigazione e dei rischi residui accettati dal management.

Per l’analisi del rischio, si seguono le indicazioni contenute in:

• Decreto 138/2024,

• Linee guida ACN sulle specifiche di base NIS2,

• Linee guida ENISA sulla gestione del rischio.

---

6. Backup e continuità operativa

L’azienda ha adottato una politica di backup e continuità secondo modalità che prevedono:

• Backup regolari e testati dei dati critici,

• RTO (Recovery Time Objective) e RPO (Recovery Point Objective) definiti e documentati per i servizi principali,

• procedure di ripristino testate almeno annualmente,

• registri dei test di ripristino e relativi esiti.

Tale politica è in linea con le misure di sicurezza di base ACN sulla gestione di backup e continuità operativa (Allegati 1 e 2).

---

7. Gestione delle vulnerabilità (Art. 21)

Per rispondere all’obbligo di Art. 21 NIS2, l’azienda mantiene:

• un registro delle vulnerabilità (con indicazione di asset, criticità, azioni correttive e tempi di remediation),

• un registro dei test di vulnerabilità (scan periodici, pentest, ecc.),

• un registro di evidenze (report, screenshot, ticket, comunicazioni interne).

Le misure adottate includono:

• aggiornamenti periodici dei sistemi,

• gestione proattiva delle vulnerabilità critiche,

• risk acceptance formale per i rischi che non possono essere mitigati immediatamente.

---

8. Incidenti e notifica all’ACN

L’azienda:

• ha un piano di gestione degli incidenti conforme alle linee guida ACN e alle linee guida ENISA,

• classifica gli incidenti significativi secondo i criteri indicati negli Allegati 3 e 4 ACN,

• notifica gli incidenti significativi all’ACN/CSIRT Italia entro 24 ore (pre‑allarme) e 72 ore (notifica formale), con relazione finale entro 30 giorni se richiesto,

• effettua tabletop e esercitazioni periodiche per testare il processo di incident response.

---

9. Formazione e awareness

L’azienda garantisce:

• formazione biennale obbligatoria per il personale,

• sessioni di cybersecurity awareness per il management (es. Cyber Awareness per Executive).

Le formazioni vengono documentate tramite registri, attestati e partecipazioni a sessioni pratiche.

---

10. Dichiarazione di conformità

Io sottoscritto/a

Nome e cognome: _
Ruolo: _ (es. Amministratore Unico, Presidente, Socio Amministratore)
Data: _

dichiaro di aver esaminato il presente documento e le politiche e procedure ad esso collegate, e attesto che:

• sono stati adottati misure di sicurezza conformi alla Direttiva NIS2 e alle specifiche di base ACN,

• è in vigore un sistema documentale che include policy, procedure, registri e evidenze,

• [Nome Azienda] è in grado di gestire e notificare incidenti significativi all’ACN/CSIRT Italia nei tempi previsti,

• Impegno dell’azienda a migliorare continuamente il sistema di gestione della sicurezza informatica.

Firma (digitale / cartacea)

---

---

Link utili Ufficiali:

• Decreto Legislativo 138/2024 – NIS2
  → Testo ufficiale – Gazzetta Ufficiale

• Specifiche di base NIS2 – ACN
  → Guida alle specifiche di base NIS2 – ACN

• Checklist di conformità NIS2 gratuita
  → Checklist NIS2 – Cyberlys

https://www.theryu.eu/category/nis/

AUDIT DI SICUREZZA A UNA PMI