NIS 2 e documentazione: cosa deve produrre concretamente un’azienda
La Direttiva NIS 2, recepita in Italia con il Dlgs 138/2024, non si limita a imporre misure di sicurezza informatica. Infatti, introduce obblighi documentali precisi, che ricadono direttamente sugli organi di vertice e sulle funzioni di compliance, ICT e legale. Capire cosa produrre, come strutturarlo e con quale logica aggiornarlo, viste le scadenze imminenti, è oggi uno dei nodi operativi più critici per aziende ed altre organizzazioni che vi sono soggette.
Perché la documentazione NIS 2 non è una formalità - Il Dlgs 138/2024 — in linea con l’art. 21 della direttiva madre — richiede che le misure di gestione del rischio di cybersicurezza siano adottate, verificabili e dimostrabili. Questo significa che l’assenza di documentazione adeguata non è una lacuna amministrativa ma si configura come un inadempimento, sanzionabile dalle autorità competenti.
Il regime di responsabilità, inoltre, è esplicito; gli organi di amministrazione e direttivi rispondono personalmente dell’approvazione e della supervisione delle misure. La documentazione, da tali organi approvata, è, di fatto, lo strumento con cui il vertice dimostra di aver esercitato quella supervisione.
Il quadro documentale minimo: cosa prevede il decreto - Partendo dall’analisi sistematica degli artt. 20, 21 e 23 del Dlgs 138/2024 e delle deliberazioni ACN, si possono individuare le seguenti categorie di documenti che ogni soggetto essenziale o importante deve essere in grado di produrre.
Analisi multirischio - Il punto di partenza è la valutazione dei rischi, che nella NIS 2 assume una dimensione "multirischio": non solo rischi informatici in senso stretto, ma anche rischi fisici, di continuità operativa e di supply chain. Il documento deve contenere, come minimo: il perimetro organizzativo e tecnologico analizzato (asset inventory), le minacce considerate e le fonti di rischio rilevanti per il settore, la metodologia utilizzata (coerenza con framework come ISO/IEC 27005 o NIST è un plus, non un obbligo), l’esito della valutazione per ciascun rischio (probabilità × impatto) e le misure di trattamento associate.
L’analisi non è un documento statico, ma deve essere riesaminata periodicamente e ogni volta che si verifichino cambiamenti significativi nel contesto tecnologico o organizzativo.
Policy di sicurezza delle informazioni - Le deliberazioni ACN richiedono l’adozione di politiche documentate per ciascuna delle misure previste dall’art. 21. In pratica, si tratta di un corpo di policy organizzative che copra almeno i seguenti aspetti: gestione degli accessi e autenticazione (inclusa MFA), gestione delle vulnerabilità e patch management; sicurezza della supply chain, uso della crittografia, sicurezza fisica e ambientale, gestione degli asset.
Ogni policy deve indicare: ambito di applicazione, responsabilità, requisiti minimi, modalità di verifica e frequenza di revisione. Non è sufficiente un documento unico generico; le misure devono essere granulari e verificabili.
Piano di gestione degli incidenti - L’art. 23 disciplina l’obbligo di segnalazione degli incidenti "significativi" secondo una tempistica stringente: pre-notifica entro 24 ore, notifica entro 72 ore, relazione finale entro un mese. Per poter rispettare questi termini, è indispensabile disporre di una procedura di incident management già redatta e testata, che includa almeno: i criteri per la classificazione della significatività dell’incidente (con riferimento alle soglie ACN/CSIRT-IT ed al calcolo degli SLA), la catena di escalation interna e contatti del CSIRT nazionale, i template dei moduli di notifica, i log delle comunicazioni effettuate.
La procedura deve essere nota alle figure coinvolte (CISO, referente ACN, team IT) e oggetto di esercitazioni periodiche.
Documentazione della supply chain - Uno degli aspetti più complessi riguarda la sicurezza della catena di fornitura, espressamente richiamata dall’art. 21, comma 2, lettera d). Il soggetto NIS 2 deve documentare l’inventario dei fornitori e sub-fornitori rilevanti per i servizi essenziali o importanti, la valutazione del rischio associato a ciascun fornitore (criticità, livello di accesso, dipendenza), i requisiti contrattuali di sicurezza imposti ai fornitori (clausole NIS 2-compliant) e le evidenze di verifica periodica (audit, questionari, certificazioni richieste).
Questo ha implicazioni dirette anche per i fornitori e sub-fornitori stessi. Chi eroga servizi a un soggetto NIS 2 si trova di fatto a dover rispondere a richieste documentali strutturate, e in molti casi a dover adottare misure analoghe a quelle del committente.
(L'Ing. Monica Perego, docente del corso "NIS 2 in pratica: progettare, integrare e mantenere l’impianto documentale")
Piano di adeguamento e stato di avanzamento - L’ACN riconosce che l’adeguamento non avviene istantaneamente. È tuttavia richiesta una pianificazione formale che dimostri che quanto previsto dalla gap analysis sia stato tradotto in misure concrete con identificate le azioni i responsabili e le scadenze.
Ad intervalli devono essere riportatati i progressi raggiunti e rendicontati al vertice che documenta in specifici verbali. Tali documenti hanno una doppia valenza in quanto sono strumento di governance interna e, in caso di ispezione, prova della "presa in carico" degli obblighi da parte dell’organizzazione.
Verbali e delibere degli organi di vertice - Spesso sottovalutata, questa categoria è invece di primaria importanza. Il Dlgs 138/2024 pone esplicitamente in capo agli organi di amministrazione l’approvazione delle misure e la supervisione della loro attuazione. Ne consegue che i verbali di tale organo in cui questi temi vengono trattati costituiscono prova dell’assolvimento degli obblighi di governance.
La natura dinamica della documentazione - Un elemento spesso trascurato è che la NIS 2 non richiede una documentazione "fotografica" ma dinamica. Le deliberazioni ACN parlano di misure da rivalutare in funzione dell’evoluzione del contesto di rischio. Questo implica che è necessario prevedere il versionamento dei documenti con traccia delle modifiche, procedure di revisione periodica (almeno annuale, o al verificarsi di eventi rilevanti) e l’integrazione con eventuali sistemi di gestione già in uso, come il SGSI ISO/IEC 27001 e/o il BMS ISO 22301.
Chi possiede già una certificazione ISO/IEC 27001:2022 parte da una posizione di vantaggio: molti dei controlli previsti dalla Annex A sono allineati alle misure ACN, e la documentazione del SGSI può costituire la base su cui innestare gli adempimenti NIS 2. Tuttavia, la sovrapposizione non è totale e richiede un’analisi puntuale delle lacune. In ogni caso sono molto utili le indicazioni fornite dalla UNI PdR 174/2025 “Sistema di gestione per la cybersicurezza e la sicurezza delle informazioni armonizzato alla norma UNI CEI EN ISO/IEC 27001 e al Framework NIST CSF 2.0 – Requisiti”.
Conclusioni - La complessità, in particolare quella documentale, degli adempimenti documentali NIS 2 richiede competenze che spaziano dal diritto alla cybersecurity, dalla gestione del rischio all’audit di terza parte. Una preparazione strutturata — che integri la lettura del quadro normativo con la conoscenza operativa delle deliberazioni ACN e delle prassi di settore — è una condizione necessaria per chiunque sia chiamato a guidare o supportare un processo di adeguamento.
