Applicabilità: soggetti NIS che strutturano evidenze documentali e approvazioni governance per gli obblighi di base.
La matrice evidenze è il ponte operativo tra testo della policy e prova verificabile di conformità. Nel metodo Aegister Compliance Documentation Audit, la matrice collega ogni punto requisito agli artefatti attesi (piani, procedure, registri, report) e ne valuta la maturità. In parallelo, i controlli di prontezza approvativa verificano se i documenti governance-sensitive includono un percorso formale di approvazione dove la baseline lo richiede.
Punti Chiave
- Le evidenze vanno misurate per maturità, non solo per presenza/assenza.
- I controlli approval-sensitive richiedono una traccia governance dedicata.
- La matrice deve separare famiglie di artefatti (elenchi, piani, procedure, registri, report).
- L'output deve essere una coda remediation prioritizzata per rischio compliance.
Ambito di Questo Articolo
Questo articolo copre:
- Come progettare e usare una matrice evidenze in audit documentale.
- Come valutare la prontezza approvativa dei controlli board-sensitive.
- Come trasformare i risultati della matrice in priorità operative di remediation.
Questo articolo non copre:
- Evidenze identificative di clienti.
- Template proprietari completi.
Framework Ufficiale di Riferimento
| Fonte | Rilevanza per evidenze e approvazioni |
|---|---|
| D.Lgs. 138/2024 | Definisce obblighi su governance, misure di gestione rischio e gestione incidenti. |
| Determinazione ACN obblighi di base | Definisce struttura baseline per misura/punto e logica controlli da allegati tecnici. |
| Guida ACN alla lettura | Chiarisce aspettative sulle evidenze e contesto approvativo (Appendice C). |
| Pagina ACN NIS modalità/specifiche base | Fornisce contesto applicativo per gli obblighi di base. |
Perché le Matrici Evidenze Falliscono senza Metodo
- Riferimenti alle evidenze dispersi nel testo e non collegati ai requisiti.
- Procedure citate ma non tracciabili in un artefatto controllato.
- Piani dichiarati a livello narrativo ma non formalizzati.
- Workflow approvativo dato per implicito, ma non codificato nella governance documentale.
Design della Matrice: due viste collegate
1) Vista copertura evidenze
Mappa i punti requisito agli artefatti attesi per famiglia:
- Elenchi
- Inventari
- Piani
- Procedure
- Registri e report
2) Vista prontezza approvativa
Mappa i punti requisito board-sensitive ai controlli approvativi:
- soggetto approvatore
- fase di approvazione
- traccia su registro revisioni
- percorso evidenziale firma/data
Scala Maturità Evidenze (operativa)
| Livello | Etichetta | Interpretazione |
|---|---|---|
| 0 | Assente | Nessun riferimento a evidenza |
| 1 | Menzionata senza localizzatore | Evidenza nominata ma non tracciabile |
| 2 | Menzionata con localizzatore | Riferimento tracciabile senza mappatura esplicita al requisito |
| 3 | Tracciabile e mappata | Collegamento requisito-evidenza esplicito |
| 4 | Artefatto verificato | Evidenza disponibile nel corpus controllato |
Scala Prontezza Approvativa (operativa)
| Livello | Etichetta | Interpretazione |
|---|---|---|
| 0 | Nessuna menzione approvazione | Percorso governance assente |
| 1 | Menzione generica approvazione | Approvazione implicita, attore/percorso non chiari |
| 2 | Menzione esplicita organo approvante | Attore governance identificato, processo ancora debole |
| 3 | Processo definito | Workflow approvativo e controlli documentati |
| 4 | Evidenza approvativa verificata | Workflow documentato ed evidenza di approvazione tracciabile |
Controlli Board-Sensitive: gestione pratica
Il framework baseline richiede attenzione dedicata ai controlli approval-sensitive (contesto Appendice C). In audit operativo, questi item vengono trattati come cluster separato rispetto alla sola qualità tecnica del documento.
Regola pratica:
- la qualità tecnica può essere elevata,
- ma la readiness resta limitata se manca l'architettura di approvazione.
L'interpretazione ufficiale resta quella della documentazione baseline ACN e relativi allegati (Guida ACN, Determinazione ACN).
Campi Minimi della Matrice per Uso Audit
| Campo | Obbligatorio | Perché conta |
|---|---|---|
| Codice punto requisito | Sì | Tracciabilità atomica |
| Documento primario | Sì | Accountability |
| Artefatto evidenziale atteso | Sì | Chiarezza del disegno di controllo |
| Livello maturità evidenza | Sì | Misura oggettiva del progresso |
| Tag approval-sensitive | Condizionale | Instradamento controlli governance |
| Livello maturità approvazione | Condizionale | Stato di prontezza verso board |
| Owner | Sì | Responsabilità esecutiva |
| Data target remediation | Sì | Controllo programma |
Esecuzione Audit Evidenze + Approvazioni
- Caricare la mappatura baseline requisito-documento.
- Identificare evidenze attese per ogni punto requisito.
- Assegnare livello maturità evidenza (0-4).
- Identificare punti approval-sensitive e assegnare livello maturità approvazione.
- Segnalare gap per severità e dipendenza.
- Costruire coda remediation con quick win e interventi strutturali.
- Rieseguire matrice dopo il ciclo di remediation.
Finding ad Alto Impatto Tipici
- Documenti approval-sensitive senza percorso approvativo esplicito in architettura bozza.
- Procedure critiche richiamate in policy ma assenti come artefatti recuperabili.
- Evidenze di comunicazione incidenti mancanti nella catena documentale.
- Artefatti su protezione dati e logging non collegati ai punti requisito.
- Conflitti terminologici tra documenti su governance, ruoli ed escalation.
Deliverable Generati dalla Matrice
- Matrice copertura evidenze (requisito -> artefatto -> maturità).
- Registro prontezza approvativa per item governance-sensitive.
- Log gap per severità e dipendenza.
- Dashboard executive per monitoraggio remediation.
FAQ
La matrice evidenze serve solo in audit?
No. È anche uno strumento di governance per il ciclo di vita dei controlli.
Si può valutare la prontezza approvativa prima delle firme formali?
Sì. È raccomandato, perché il blocco principale è spesso l'assenza di workflow, non la firma finale.
I documenti di gruppo esterni possono valere come evidenze?
Possono supportare la copertura, ma devono essere mappati esplicitamente e, ove possibile, resi verificabili nel corpus compliance locale.
Se abbiamo dubbi su un requisito approvativo, dove verifichiamo?
Nelle fonti ufficiali baseline: Guida ACN, Determinazione ACN, D.Lgs. 138/2024.
Conclusione
La matrice evidenze diventa realmente utile quando è integrata con controlli espliciti di prontezza approvativa. Questa doppia vista permette di passare da dichiarazioni documentali a prova auditabile, riducendo i blocchi governance nelle fasi finali dei programmi NIS2 sugli obblighi di base.
Letture correlate
- Compliance Documentation Audit per gli Obblighi di Base NIS2: panoramica del metodo
- Mappatura Requisiti-Documenti NIS2: come costruire una struttura audit difendibile
- Compliance Documentation Audit NIS2: come funziona la metodologia di scoring
- Servizio Aegister NIS2 Compliance
- Servizio Aegister Virtual CISO