Applicabilità: soggetti NIS che preparano documentazione ed evidenze sugli obblighi di base.
Un audit documentale NIS2 è affidabile solo quando la review delle policy è integrata con interviste strutturate e tracciabilità delle evidenze. Il solo testo documentale mostra spesso l'intento, non l'esecuzione. Un workflow controllato di interviste e raccolta evidenze consente di validare accountability, dimostrare operatività dei controlli e prioritizzare la remediation prima delle milestone baseline di ottobre 2026, mentre gli obblighi di notifica incidenti sono già attivi.
Punti Chiave
- Il design delle interviste deve seguire i domini di controllo NIS2, non questionari ad-hoc.
- Ogni domanda deve mappare a una tipologia di evidenza richiesta.
- La qualità delle evidenze va valutata con una scala di maturità coerente.
- Evidenze mancanti rappresentano un rischio di governance anche con policy formalmente complete.
Ambito di Questo Articolo
Questo articolo copre:
- Come strutturare interviste per audit documentali sugli obblighi di base NIS2.
- Come mappare le risposte alle evidenze documentali e operative.
- Come trasformare i gap evidenziali in azioni di remediation prioritarie.
Questo articolo non copre:
- Finding identificativi di cliente.
- Template proprietari completi e questionari completi.
Framework Ufficiale di Riferimento
| Fonte | Perché conta |
|---|---|
| D.Lgs. 138/2024 | Definisce obblighi legali e responsabilità di governance nel perimetro NIS2 in Italia. |
| Determinazione ACN sugli obblighi di base | Definisce punti misura e artefatti attesi di implementazione. |
| Guida ACN alla lettura delle specifiche di base | Chiarisce interpretazione requisiti e logica evidenziale attesa. |
| Guida ACN alla notifica degli incidenti informatici | Definisce logica operativa per comunicazione incidenti e readiness di reportistica. |
| ACN - Modalità e specifiche di base NIS | Fornisce contesto applicativo e timeline degli obblighi di base. |
Perché Serve una Validazione Basata su Interviste
Una review puramente documentale in genere non intercetta tre realtà operative:
- controlli non documentati ma esistenti,
- controlli documentati ma non operativizzati,
- gap di accountability tra governance e operation.
L'intervista a process owner e control owner chiude questo divario, validando chi fa cosa, con quali evidenze e con quale periodicità.
Modello di Disegno Interviste (6 Domini)
| Dominio | Obiettivo | Focus tipico |
|---|---|---|
| Governance | Validare catena decisionale e approvativa | Reporting al board, workflow approvazione policy, gestione deroghe |
| Identificazione | Validare definizione del perimetro e del rischio | Perimetro sistemi rilevanti, periodicità risk review |
| Protezione | Validare evidenze dei controlli preventivi | Access control, log, patching, registri formazione |
| Rilevamento | Validare efficacia del monitoraggio | Livelli di servizio, copertura monitoraggio, triage alert |
| Risposta | Validare readiness del workflow incidenti | Ownership notifica, escalation, procedure di comunicazione |
| Ripristino | Validare esecuzione resilienza | Piani continuità/crisi, priorità recovery, evidenze di ripristino |
Scala di Maturità Evidenze per Decisioni di Audit
| Livello | Classificazione | Interpretazione |
|---|---|---|
| 0 | Assente | Evidenza non disponibile o non referenziata |
| 1 | Solo menzionata | Evidenza dichiarata ma non tracciabile |
| 2 | Referenziata | Evidenza collegata a documento esterno o di supporto |
| 3 | Referenziata + mappata | Evidenza collegata e mappata alla logica requisiti NIS2 |
| 4 | Presente e verificabile | Evidenza disponibile per verifica diretta di audit |
Questa scala separa la qualità narrativa dalla reale readiness di compliance.
Logica di Mapping tra Intervista ed Evidenze
| Output intervista | Evidenza richiesta | Domanda di validazione |
|---|---|---|
| "Il controllo esiste" | Procedura o standard | La procedura è aggiornata, con owner e versione? |
| "Il controllo è applicato" | Estratto log/report/registro | Esistono evidenze recenti con data e owner? |
| "La governance è informata" | Artefatto di reporting al board | Esiste periodicità di reporting agli organi direttivi? |
| "Il processo incidenti è pronto" | Playbook/template notifica | Tempistiche e passi di comunicazione sono formalizzati? |
| "Il ripristino è coperto" | Piani continuità/ripristino e test | Priorità di ripristino e target attesi sono documentati? |
Gap Ricorrenti negli Audit Anonimizzati
- Le policy menzionano piani richiesti, ma i piani mancano come documenti autonomi controllati.
- Le evidenze sono citate ad alto livello ma non sono producibili in verifica.
- Le sezioni di notifica includono parte della timeline ma omettono flussi intermedi o ricorrenti di reportistica.
- La documentazione di ripristino è presente come narrativa backup ma senza struttura di continuità e crisi orientata alla governance.
- Gli obblighi di approvazione sono citati in principio ma non tradotti in artefatti espliciti di workflow approvativo.
Workflow Pratico in 6 Passi
- Costruire il piano interviste per dominio e ownership ruolo.
- Eseguire interviste con approccio evidence-first (richiedere artefatto, non solo spiegazione).
- Classificare ogni risposta con la scala di maturità evidenze.
- Mappare ogni gap evidenziale ai punti requisito NIS2 impattati.
- Prioritizzare i finding per impatto compliance e impatto operativo.
- Emettere backlog remediation con owner, data target e criteri evidenziali di chiusura.
Deliverable Minimi della Fase Interviste/Evidenze
| Deliverable | Scopo |
|---|---|
| Log interviste per dominio e owner | Tracciabilità di dichiarazioni e impegni |
| Matrice evidenze con livello maturità | Baseline oggettiva di readiness |
| Registro gap con severità e impatto | Governance della prioritizzazione remediation |
| Tracker remediation con ownership | Controllo esecuzione e follow-up |
FAQ
Le interviste servono anche se i documenti sono già completi?
Sì. Le interviste validano se i controlli sono operativi e supportati da evidenze, non solo documentati.
Le interviste devono essere solo tecniche?
No. Devono includere stakeholder governance e process owner, perché sono richieste sia accountability legale sia esecuzione operativa.
Si può chiudere un audit con molte evidenze a Livello 1?
In genere no. Il Livello 1 raramente è sufficiente per una chiusura affidabile; i controlli critici vanno portati a evidenza verificabile.
Cosa fare se un fatto richiesto non è chiaro nella documentazione?
Va trattato come gap formale e riallineato alle fonti ufficiali. I dettagli sono definiti nella documentazione ufficiale di riferimento.
Conclusione
Interviste e raccolta evidenze sono il livello di controllo che rende difendibile un audit documentale NIS2. Se strutturate per dominio, mappate alla maturità evidenziale e collegate a ownership di remediation, danno a team operativi e governance un percorso affidabile dalla qualità documentale alla compliance audit-ready.
Letture correlate
- Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo
- Checklist Operativa per Audit Documentale NIS2: metodo pratico per la baseline
- Reporting Esecutivo NIS2 al Board: come trasformare gli output di audit in decisioni di governance
- Servizio Aegister NIS2 Compliance
- Servizio Aegister Virtual CISO