Applicabilità: soggetti NIS che strutturano programmi documentali baseline in ottica audit readiness.
La mappatura requisiti-documenti è il controllo che evita frammentazione nella documentazione NIS2. Nel metodo Aegister, ogni punto requisito viene collegato in modo esplicito a documento primario, artefatti di supporto, ruoli responsabili e periodicità di riesame. Questo crea tracciabilità dall'obbligo normativo all'evidenza concreta, essenziale sia per governance interna sia per verifiche ispettive.
Punti Chiave
- La mappatura va fatta per punto requisito, non solo per titolo policy.
- Ogni requisito mappato deve indicare documento primario ed evidenze di supporto.
- Le sovrapposizioni sono fisiologiche, ma regole di ownership e precedenza devono essere esplicite.
- Gli item Appendice B e Appendice C richiedono tag dedicati in matrice.
Ambito di Questo Articolo
Questo articolo copre:
- Un metodo pratico di mappatura requisiti-documenti NIS2.
- Come strutturare tabelle di mappatura utili per audit e remediation.
- Come gestire sovrapposizioni, gap e requisiti governance-sensitive.
Questo articolo non copre:
- Evidenze identificative di cliente.
- Template proprietari completi o fogli interni completi.
Riferimenti Ufficiali Baseline
| Fonte | Perché è rilevante per la mappatura |
|---|---|
| D.Lgs. 138/2024 | Definisce il perimetro legale su governance, misure di rischio e obblighi incidenti. |
| Determinazione ACN obblighi di base | Definisce struttura a misura/punto e allegati tecnici da cui derivare la matrice. |
| Guida ACN alla lettura delle specifiche | Chiarisce logica evidenze e interpretazione Appendice B / Appendice C per i controlli documentali. |
| Pagina ACN NIS modalità/specifiche base | Fornisce contesto di attuazione e quadro temporale baseline. |
Per i soggetti importanti, la logica baseline richiama 37 misure e 87 punti requisito in prima applicazione (Guida ACN).
Perché la Mappatura Fallisce nella Pratica
- Le policy esistono, ma i punti requisito non sono assegnati in modo esplicito.
- Le evidenze sono elencate, ma non collegate ai singoli obblighi.
- Più documenti coprono lo stesso requisito senza regola di ownership.
- I checkpoint di approvazione governance vengono aggiunti troppo tardi.
Modello di Mappatura (4 Livelli)
| Livello | Oggetto di mappatura | Esempi campi obbligatori |
|---|---|---|
| L1 | Punto requisito | Codice misura, codice punto, categoria, ancoraggio normativo |
| L2 | Documento primario | ID documento, owner, stato, periodicità revisione |
| L3 | Evidenze di supporto | Riferimenti a procedure/piani/registri, livello maturità evidenza |
| L4 | Controlli governance | Tag approvazione, tag risk-linkage, tag dipendenza |
Struttura Tabella di Mappatura Consigliata
| Campo | Obbligatorio | Perché serve |
|---|---|---|
Codice requisito (es. ID.RA-05:p1) | Sì | Tracciabilità atomica |
| Documento primario | Sì | Punto unico di accountability |
| Evidenze/documenti di supporto | Sì | Catena di prova implementativa |
| Owner controllo | Sì | Responsabilità esecutiva |
| Periodicità riesame | Sì | Governance del ciclo vita |
Stato (bozza, approvato, da_aggiornare) | Sì | Pianificazione operativa |
| Tag Appendice B (se applicabile) | Condizionale | Controllo risk-linkage |
| Tag Appendice C (se applicabile) | Condizionale | Controllo approval-sensitive |
Workflow Operativo di Mappatura
- Costruire inventario requisiti applicabili dal framework baseline.
- Assegnare un documento primario per ogni punto requisito.
- Aggiungere riferimenti alle evidenze di supporto per ogni punto.
- Marcare le dipendenze di sovrapposizione e le regole di precedenza.
- Taggare item sensibili Appendice B e Appendice C.
- Validare ownership, periodicità riesame e stato documenti.
- Congelare versione matrice come baseline di audit.
Gestione Sovrapposizioni senza Perdita di Controllo
Quando un requisito è coperto da più documenti:
- Definire un documento primario accountable.
- Marcare gli altri documenti come supporto o complementari.
- Registrare esplicitamente la direzione dei cross-reference.
- Verificare coerenza di definizioni, ruoli e logica escalation.
Regole di Rilevazione Gap dalla Mappatura
Un requisito va segnalato come gap quando si verifica almeno una condizione:
- Nessun documento primario assegnato.
- Documento primario presente, ma nessuna evidenza tracciabile.
- Item Appendice B senza collegamento esplicito al rischio dove atteso.
- Item Appendice C senza percorso approvativo governance in architettura documentale.
- Owner o periodicità di riesame assenti.
Deliverable Generati da una Matrice Ben Costruita
- Matrice master requisito-documento.
- Mappa dipendenze evidenziali.
- Elenco controlli governance-sensitive (item taggati Appendice B/C).
- Backlog remediation ordinato per criticità e dipendenza.
Quality Check prima della Pubblicazione
- Codici requisito completi e coerenti.
- Ogni requisito ha un documento primario accountable.
- Evidenze di supporto tracciabili almeno a livello localizzatore.
- Cross-reference tra documenti coerenti e non contraddittori.
- Struttura EN/IT allineata per operatività compliance bilingue.
FAQ
Mappare equivale a scrivere le policy?
No. La mappatura è il livello governance/tracciabilità che guida scrittura, revisione e remediation.
Si può mappare prima che tutti i documenti siano finali?
Sì. La mappatura anticipata è raccomandata perché evidenzia gap di ownership e dipendenze prima dei cicli approvativi.
Se un requisito attraversa più processi?
Si definisce un documento primario accountable e si marcano gli altri riferimenti come dipendenze di supporto.
Se c'è ambiguità interpretativa, quale fonte prevale?
Prevalgono le fonti ufficiali baseline: Determinazione ACN, Guida ACN.
Conclusione
La mappatura requisiti-documenti è la base di un programma documentale NIS2 difendibile. Crea accountability esplicita, riduce il rischio da sovrapposizione e fornisce la struttura necessaria per passare dalla produzione documentale all'esecuzione compliance supportata da evidenze.
Letture correlate
- Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo
- Matrice Evidenze NIS2 e Prontezza Approvativa Organi: metodo operativo di audit
- Checklist Operativa per Audit Documentale NIS2: metodo pratico per la baseline
- Servizio Aegister NIS2 Compliance
- Servizio Aegister Virtual CISO