Applicabilità: soggetti NIS essenziali e importanti in programmi di attuazione degli obblighi di base.
La metodologia di scoring Aegister traduce la qualità documentale NIS2 in decisioni misurabili. Il modello valuta ogni punto requisito su scala 0–4, lungo 5 dimensioni, poi aggrega i risultati in livelli di maturità e priorità di remediation. L'obiettivo è operativo: distinguere la conformità solo formale dalla conformità supportata da evidenze verificabili e sequenza di intervento chiara.
Punti Chiave
- Lo scoring viene fatto a livello di punto requisito, non solo a livello titolo documento.
- Ogni punteggio combina 5 dimensioni: copertura, specificità, tracciabilità, evidenze, approvazione (dove applicabile).
- I finding sono prioritizzati in critico, maggiore, minore, osservazione.
- Le regole Appendice B e Appendice C richiedono controlli specifici nella logica di scoring.
Ambito di Questo Articolo
Questo articolo copre:
- L'architettura di scoring usata nel servizio Compliance Documentation Audit.
- Come i punteggi diventano livelli di maturità e priorità di adeguamento.
- Come vengono applicate le regole speciali NIS2 (collegamento al rischio e approvazioni organi).
Questo articolo non copre:
- Risultati cliente-specifici.
- Checklist proprietarie complete e template interni completi.
Baseline Normativa Usata nel Metodo
| Fonte ufficiale | Perché conta nello scoring |
|---|---|
| D.Lgs. 138/2024 | Definisce gli obblighi degli articoli 23, 24, 25 e il perimetro di accountability governance. |
| Determinazione ACN obblighi di base | Definisce misure baseline e punti requisito per tipologia di soggetto. |
| Guida ACN alla lettura delle specifiche | Chiarisce aspettative sulle evidenze, clausole risk-based (Appendice B) e punti sensibili di approvazione (Appendice C). |
| Pagina ACN modalità/specifiche base NIS | Fornisce contesto applicativo e timeline degli obblighi di base. |
Per i soggetti importanti, il framework ACN richiama 37 misure e 87 punti requisito nella logica baseline di prima applicazione.
Unità di Scoring e Logica di Calcolo
Unità di scoring
L'unità atomica è un singolo punto requisito (formato esempio: ID.RA-05:p1), non l'intera policy.
Punteggio del punto requisito
Ogni punto requisito riceve un punteggio su 5 dimensioni. Punteggio finale del requisito = media delle dimensioni applicabili.
Se una dimensione non è applicabile, viene esclusa dal denominatore.
Scala di Valutazione 0–4
| Punteggio | Etichetta | Significato operativo |
|---|---|---|
| 0 | Non trattato | Requisito assente; rischio di non conformità immediato |
| 1 | Parzialmente menzionato | Enunciazione generica senza profondità operativa |
| 2 | Trattato con lacune | Requisito presente ma incompleto in modo sostanziale |
| 3 | Sostanzialmente conforme | Requisito ampiamente coperto, con lacune minori |
| 4 | Pienamente conforme | Requisito coperto in modo completo, operativo ed evidenziale |
Le 5 Dimensioni di Valutazione
| Dimensione | Domanda di controllo | Failure mode tipico |
|---|---|---|
| Copertura | Il requisito è effettivamente trattato nel documento? | Requisito assente o solo implicito |
| Specificità | Ruoli, azioni e tempi sono definiti operativamente? | Solo principi generici |
| Tracciabilità | Esiste tracciabilità esplicita a misura/punto NIS2? | Solo richiami legali generici |
| Evidenze | Gli artefatti di supporto richiesti sono identificabili e utilizzabili? | Evidenze citate ma non tracciabili |
| Approvazione (dove applicabile) | Il percorso approvativo governance è esplicito dove richiesto? | Assenza workflow formale su documenti board-sensitive |
Sotto-scala di Maturità dei Riferimenti alle Evidenze
Per evitare una logica binaria “presente/assente”, i riferimenti alle evidenze sono graduati:
| Livello | Etichetta | Interpretazione pratica |
|---|---|---|
| 0 | Assente | Nessun riferimento a evidenza |
| 1 | Menzionata senza localizzatore | Evidenza nominata ma non rintracciabile |
| 2 | Menzionata con localizzatore | Evidenza rintracciabile senza mappatura esplicita NIS2 |
| 3 | Localizzatore + mappatura NIS2 | Evidenza tracciabile e mappata al requisito |
| 4 | Evidenza disponibile per verifica | Evidenza tracciabile e disponibile nel corpus controllato |
Livelli di Maturità Documentale
Dopo lo scoring per punto requisito, la maturità documentale è classificata in:
| Media punteggi | Livello maturità | Lettura executive |
|---|---|---|
| <1.0 | Inadeguato | Richiesta riscrittura sostanziale |
| 1.0–1.9 | Iniziale | Richiesti interventi significativi |
| 2.0–2.9 | In sviluppo | Copertura di base presente, remediation mirata necessaria |
| 3.0–3.5 | Adeguato | Richiesti interventi minori di completamento |
| 3.6–4.0 | Ottimale | Prontezza baseline robusta |
Modello di Severità dei Finding
| Severità | Fascia punteggio tipica | Azione attesa |
|---|---|---|
| Critico | 0 | Traccia di remediation immediata |
| Maggiore | 1 | Traccia di remediation prioritaria |
| Minore | 2 | Traccia di remediation pianificata |
| Osservazione | 3 | Miglioramento raccomandato |
Regole Speciali del Motore di Scoring
1) Regola Appendice B (risk-linkage)
La logica baseline ACN identifica punti requisito che devono mostrare collegamento esplicito agli esiti della valutazione del rischio. Nello scoring pratico questi item hanno un controllo più stringente sul linkage, in coerenza con l'interpretazione ufficiale baseline.
2) Regola Appendice C (approvazioni organi)
Gli item con obbligo di approvazione da parte degli organi di amministrazione e direttivi sono valutati con controlli espliciti sul percorso approvativo e sulla governance documentale. In pianificazione audit tracciamo 11 checkpoint approval-sensitive in coerenza con l'interpretazione Appendix C nella baseline ufficiale.
3) Gestione documenti in bozza
Quando la documentazione è esplicitamente in bozza, l'assenza di firma finale viene trattata come stato del ciclo documentale, mentre la mancanza dell'architettura di approvazione (ruoli, percorso approvativo, governance revisioni) resta un gap valutabile.
Workflow Esecutivo Pratico (Lato Audit)
- Definizione del perimetro documentale e tipologia soggetto.
- Mappatura documento -> punti requisito NIS2.
- Scoring di ciascun punto sulle 5 dimensioni.
- Marcatura esplicita delle dimensioni non applicabili.
- Aggregazione punteggi a livello requisito e documento.
- Classificazione severità dei gap.
- Costruzione coda remediation per dipendenze e impatto rischio.
- Produzione sintesi executive e backlog operativo.
Output per il Management
- Matrice di scoring a livello requisito.
- Mappa di maturità documentale.
- Coda remediation prioritizzata con logica di dipendenza.
- Sintesi board-ready che collega rischio documentale e azioni governance.
Errori di Scoring da Evitare
- Valutare policy intere senza granularità per punto requisito.
- Considerare il solo titolo policy come equivalente a evidenza operativa.
- Confondere richiamo normativo generico con tracciabilità a punto misura.
- Rinviare il disegno del percorso approvativo alla fase finale.
- Ignorare coerenza trasversale nei flussi incidenti e continuità.
FAQ
È un parere legale?
No. È una metodologia di readiness alla compliance che rende operativi i controlli documentali rispetto alla baseline ufficiale NIS2.
Lo stesso modello vale per soggetti essenziali e importanti?
Sì, ma mappatura requisiti e profondità attesa devono seguire il set baseline applicabile secondo documentazione ACN ufficiale.
Un punteggio alto significa che non serve altro?
No. Un punteggio alto indica migliore readiness documentale. Restano necessari test tecnici e verifica implementativa dei controlli.
Se alcuni punti non sono chiari nelle fonti?
I dettagli sono definiti nella documentazione ufficiale baseline e relativi allegati: Determinazione ACN, Guida ACN.
Conclusione
Una metodologia di scoring robusta trasforma la revisione documentale NIS2 in una disciplina esecutiva. Combinando scoring per punto requisito, maturità delle evidenze e controlli sensibili di governance, l'organizzazione può definire la sequenza di remediation corretta e ridurre il rischio di gap nell'ultimo miglio prima delle verifiche.
Letture correlate
- Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo
- Matrice Evidenze NIS2 e Prontezza Approvativa Organi: metodo operativo di audit
- Prioritizzazione dei Finding NIS2: dalla gap list all'esecuzione remediation
- Servizio Aegister NIS2 Compliance
- Servizio Aegister Virtual CISO