C’è una differenza sostanziale tra un’azienda che è conforme alla NIS2 e un’azienda che sa di esserlo. La prima ha implementato i controlli richiesti dalla normativa; la seconda è in grado di dimostrarlo, documentarlo e difenderlo sotto la pressione di un’ispezione reale.
Questa distinzione non è un dettaglio tecnico: è il cuore della compliance normativa come disciplina di management.
Indice degli argomenti
Perché la compliance normativa è critica per le aziende e gli audit
Con l’entrata in vigore del D.lgs. 138/2024, che recepisce la Direttiva NIS2 nell’ordinamento italiano, e con il progressivo dispiegarsi delle attività di supervisione dell’Agenzia per la Cybersicurezza Nazionale (ACN), le organizzazioni classificate come soggetti essenziali o importanti si trovano per la prima volta esposte a un regime di audit strutturato, con poteri ispettivi, richieste documentali e possibilità di sanzione concreta.
Non è più sufficiente avere le policy in una cartella di SharePoint: bisogna essere in grado di aprire quella cartella davanti a un ispettore e dimostrare che ciò che c’è scritto corrisponde a ciò che accade nella realtà operativa.
Per arrivare a quella scena preparati è possibile addestrarsi con un “finto audit”: una simulazione interna che replica la logica, le domande e le aree di verifica di un’ispezione ACN reale, consentendo all’organizzazione di identificare le proprie lacune prima che lo facciano gli ispettori.
Ma prima di arrivarci, è necessario chiarire il quadro concettuale e normativo in cui ci si muove.
Definizione di compliance normativa e differenza rispetto ad altri concetti correlati
Il termine compliance normativa è usato in modo ampio e spesso impreciso nel linguaggio aziendale. Viene sovrapposto a concetti come conformità, governance, controllo interno, risk management, ciascuno dei quali ha un significato tecnico distinto.
Chiarire queste distinzioni non è un esercizio accademico: è necessario per costruire un sistema di compliance che funzioni davvero, e per comunicarlo con precisione agli ispettori.
Compliance vs conformità: chiarire termini e ambiti di applicazione
La conformità è uno stato: l’organizzazione soddisfa o non soddisfa un determinato requisito normativo o contrattuale in un dato momento. La compliance è un sistema: l’insieme di processi, strutture, controlli e culture organizzative che garantiscono il raggiungimento e il mantenimento della conformità nel tempo.
Un’organizzazione può essere conforme oggi e non esserlo domani, se non ha un sistema di compliance che monitora l’evoluzione della normativa, i cambiamenti interni e i segnali di deviazione.
Nel contesto della compliance normativa ACN, questa distinzione è particolarmente rilevante. Gli ispettori non verificano solo se i controlli esistono in un determinato momento: verificano se esiste un sistema che garantisce la loro efficacia nel tempo, chi ne è responsabile, come viene monitorato, come vengono gestite le non conformità quando emergono e come si documenta il tutto.
Un’organizzazione che ha implementato tutti i controlli tecnici richiesti ma non ha una governance della compliance strutturata rischia di fallire l’audit non per ciò che non ha fatto, ma per ciò che non riesce a dimostrare.
Componenti chiave di un sistema di compliance normativa
Un sistema di compliance normativa maturo si articola in quattro componenti fondamentali che devono essere presenti, integrate e documentate.
- La prima componente è il framework normativo di riferimento: il catalogo aggiornato delle norme, dei regolamenti e degli standard applicabili all’organizzazione, con l’indicazione delle aree aziendali coinvolte e dei requisiti specifici da soddisfare. Per un soggetto essenziale NIS2, questo framework include il D.lgs. 138/2024, le linee guida ACN, gli eventuali standard di settore e le normative trasversali come il GDPR.
- La seconda componente è la struttura di governance: chi è responsabile della compliance, con quale autorità, come vengono prese le decisioni e come vengono riportate al vertice.
- La terza è il sistema di controllo: l’insieme dei presidi tecnici, organizzativi e procedurali che traducono i requisiti normativi in pratiche operative.
- La quarta, infine, è il sistema di monitoraggio e miglioramento: i meccanismi attraverso cui l’organizzazione verifica l’efficacia dei controlli, rileva le non conformità e implementa azioni correttive.
Un audit di compliance verifica tutte e quattro le componenti, non solo la terza.
Perché prepararsi a un audit di compliance normativa e quali rischi si evitano
La preparazione a un audit non è una strategia difensiva: è una pratica di management.
Le organizzazioni che si preparano sistematicamente agli audit non lo fanno per ingannare gli ispettori, ma perché il processo di preparazione è esso stesso un meccanismo di miglioramento.
Identificare una lacuna prima dell’ispezione significa avere il tempo di correggerla; identificarla durante l’ispezione significa ricevere una non conformità, un piano d’azione imposto e, nei casi più gravi, una sanzione.
Conseguenze della non conformità normativa per le aziende
Le conseguenze della non conformità accertata in un audit ACN si articolano su più livelli.
Il livello sanzionatorio è quello più immediato e quantificabile: il D.Lgs. 138/2024 prevede sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per i soggetti essenziali, con la applicazione del valore più elevato.
Oltre alle sanzioni economiche, l’ACN può disporre misure cautelari temporanee che limitano o sospendono l’operatività e può rendere pubblica la non conformità come misura di enforcement.
Il livello reputazionale è spesso più impattante di quello sanzionatorio nel medio termine. La pubblicazione di una non conformità accertata dall’autorità di vigilanza ha effetti immediati sulla percezione di clienti, partner e investitori.
Nel settore B2B, dove la fiducia nella postura di sicurezza del fornitore è un criterio di selezione sempre più rilevante, una non conformità certificata da un’autorità nazionale può tradursi in perdita di contratti e opportunità commerciali.
Il livello operativo, infine, riguarda il costo delle azioni correttive imposte: intervenire sotto pressione e con scadenze stringenti è sistematicamente più costoso e meno efficace che intervenire in modo pianificato.
Audit di compliance normativa: processi, tecniche e attori coinvolti
Capire come funziona un audit di compliance è il prerequisito per simularlo in modo utile.
Un audit non è un’ispezione casuale: è un processo strutturato con fasi definite, tecniche standardizzate e attori con ruoli precisi.
Conoscere questa struttura consente all’organizzazione di prepararsi in modo mirato, anticipando le aree di verifica e i tipi di evidenza che verranno richiesti.
Fasi di un audit di compliance normativa aziendale
La fase di pianificazione precede l’audit vero e proprio e comprende la definizione del perimetro, degli obiettivi e dei criteri di audit, la selezione del team di auditor, la raccolta della documentazione preliminare e la comunicazione all’organizzazione auditata.
Per un audit ACN, questa fase include la notifica formale dell’ispezione, l’indicazione delle aree che verranno verificate e la richiesta di documentazione specifica da produrre prima dell’incontro.
La fase di esecuzione è quella in cui gli auditor raccolgono le evidenze attraverso tre tecniche principali:
- l’esame documentale (policy, procedure, registri, log, contratti);
- le interviste (con i responsabili delle aree verificate, dai vertici agli operatori tecnici);
- le verifiche sul campo (osservazione diretta dei controlli, test di funzionamento, verifica della corrispondenza tra quanto dichiarato e quanto effettivamente implementato).
La fase di reporting produce il rapporto di audit, che classifica i risultati in conformità, osservazioni e non conformità, con indicazione della severità di ciascuna. La fase di follow-up verifica l’implementazione delle azioni correttive concordate entro le scadenze stabilite.
Audit interno vs audit esterno: differenze e vantaggi
L’audit interno è condotto da personale dell’organizzazione o da consulenti incaricati dalla stessa, senza coinvolgimento di autorità esterne.
Ha il vantaggio della flessibilità, della profondità di accesso e della riservatezza dei risultati: le non conformità emerse rimangono interne e possono essere corrette senza conseguenze formali.
Il suo limite principale è il rischio di bias: chi conduce l’audit interno può essere influenzato, consciamente o meno, dalla conoscenza pregressa dell’organizzazione e dalle relazioni interpersonali con gli auditati.
L’audit esterno è condotto da organismi indipendenti (enti di certificazione, società di revisione specializzate o, nel caso della compliance normativa ACN, gli ispettori dell’autorità stessa) con standard e criteri predefiniti.
Produce risultati formalmente riconosciuti, è immune dal bias interno ma è meno flessibile e ha un costo organizzativo significativo.
La strategia ottimale prevede un programma di audit interni periodici che prepara l’organizzazione agli audit esterni: i primi identificano e correggono le lacune, i secondi le certificano.
Principali norme e standard di riferimento per la compliance normativa nelle aziende
La compliance normativa ACN si inserisce in un ecosistema di norme e standard internazionali che forniscono il framework metodologico per costruire e valutare i sistemi di gestione.
Conoscerli non è un obbligo normativo in sé, ma è una risorsa pratica: gli ispettori ACN si aspettano che le organizzazioni abbiano un approccio sistematico alla compliance, e gli standard ISO forniscono esattamente questo.
ISO 37301 e sistema di gestione della compliance
La norma ISO 37301:2021 (che ha sostituito la precedente ISO 19600) definisce i requisiti e le linee guida per un sistema di gestione della compliance (Compliance Management System, CMS).
È uno standard certificabile che si applica a qualsiasi tipo di organizzazione, indipendentemente dal settore o dalle dimensioni e che adotta la struttura ad alto livello comune a tutti i sistemi di gestione ISO (la cosiddetta Annex SL), facilitando l’integrazione con ISO 27001 per la sicurezza delle informazioni e ISO 22301 per la continuità operativa.
I requisiti fondamentali della ISO 37301 includono:
- la comprensione del contesto dell’organizzazione e delle obbligazioni di compliance applicabili;
- la leadership e il commitment del vertice;
- la pianificazione con valutazione del rischio di non conformità;
- il supporto (risorse, competenze, consapevolezza, comunicazione);
- l’operatività con controlli proporzionati al rischio;
- la valutazione delle prestazioni attraverso monitoraggio e audit;
- il miglioramento continuo.
Per un soggetto NIS2, implementare un CMS conforme alla ISO 37301 significa avere un framework strutturato che soddisfa in modo sistematico le aspettative degli ispettori ACN in termini di governance della compliance.
ISO 19011: linee guida per audit dei sistemi di gestione
La norma ISO 19011:2018 fornisce le linee guida per la pianificazione, l’esecuzione e la gestione dei programmi di audit dei sistemi di gestione.
Non è uno standard certificabile, ma è la riferimento metodologico adottato dagli auditor professionisti e dagli enti di certificazione di tutto il mondo. Conoscerla significa capire come ragionano gli auditor, quali criteri applicano nella valutazione delle evidenze e come distinguono una conformità reale da una conformità formale.
La ISO 19011 definisce i principi dell’audit (integrità, presentazione imparziale, dovuta professionalità, riservatezza, indipendenza, approccio basato sull’evidenza, approccio basato sul rischio) e le competenze richieste agli auditor.
Dal punto di vista pratico, la norma fornisce indicazioni dettagliate su come raccogliere e verificare le evidenze, come condurre le interviste, come gestire i conflitti durante l’audit e come produrre un rapporto che sia utile per il miglioramento dell’organizzazione. Utilizzare la ISO 19011 come riferimento metodologico per il proprio programma di audit interno è il modo più diretto per garantire che i propri audit interni abbiano la stessa rigorosità di quelli esterni.
Il “finto audit”: come simulare un controllo reale
Arriviamo al cuore operativo di questa guida. Il finto audit (nella letteratura anglosassone spesso chiamato mock audit o readiness assessment) è una simulazione interna che replica le condizioni, le aree di verifica e le tecniche di un audit ACN reale, con l’obiettivo esplicito di identificare le lacune prima che lo facciano gli ispettori.
Non è una revisione documentale generica, non è un gap analysis standard: è un esercizio che mette deliberatamente sotto pressione il sistema di compliance dell’organizzazione per rivelarne i punti deboli.
La differenza tra un finto audit ben condotto e una revisione interna ordinaria sta nell’atteggiamento.
Gli ispettori ACN non si accontentano delle risposte di prima battuta: chiedono evidenze, incrociano le informazioni ricevute da persone diverse, verificano la coerenza tra la documentazione e la realtà operativa, pongono domande scomode.
Un finto audit efficace replica questa pressione in modo controllato, creando le condizioni perché emergano le stesse lacune che emergerebbe durante l’ispezione reale.
Progettare una simulazione di audit interno
Il primo passo è la scelta del team di simulazione: gli auditor interni non devono essere le stesse persone che gestiscono il sistema di compliance quotidianamente. Idealmente, vengono coinvolti colleghi di altre funzioni aziendali (legal, internal audit, risk management) o consulenti esterni specializzati, per garantire un livello di indipendenza sufficiente a replicare la prospettiva di un ispettore esterno.
Se l’organizzazione ha un responsabile compliance, questo coordina la simulazione ma non la conduce: deve essere tra gli auditati, non tra gli auditor.
Il secondo passo è la definizione del perimetro e degli scenari. Un finto audit completo copre le stesse aree che un ispettore ACN verificherebbe:
- la governance della sicurezza informatica (esistenza e aggiornamento della policy di sicurezza, struttura di reporting al vertice, designazione delle figure responsabili);
- la gestione del rischio ICT (processo di risk assessment, registro dei rischi, misure di trattamento documentate);
- la gestione degli incidenti (procedure, log, registro degli incidenti passati, prove di test del processo);
- la sicurezza della supply chain (registro dei fornitori, contratti con clausole di sicurezza, procedure di valutazione);
- i test di resilienza (piano di test, risultati documentati, azioni correttive implementate);
- il rispetto degli obblighi di notifica (procedure, tempi, canali verso ACN e CSIRT).
Il terzo passo è la replica delle tecniche di audit: esame documentale, interviste agli owner dei processi, verifica sul campo. Le interviste sono la parte più rivelatrice: le domande tipiche di un ispettore ACN includono “chi approva la policy di sicurezza e con quale frequenza viene aggiornata?”, “come viene gestita una segnalazione di incidente alle 3 di notte di un sabato?”, “quando avete condotto l’ultimo risk assessment e chi ha partecipato?”, “come verificate che i vostri fornitori critici mantengano i livelli di sicurezza richiesti?”. Se le risposte variano significativamente a seconda di chi viene intervistato, è un segnale che il sistema di compliance è documentato ma non interiorizzato.
Strumenti e metriche per valutare i risultati del finto audit
I risultati del finto audit devono essere classificati con la stessa tassonomia che userebbe un auditor reale:
- conformità (il requisito è soddisfatto con evidenze adeguate);
- osservazione (il requisito è soddisfatto ma con margini di miglioramento o rischi emergenti);
- non conformità minore (il requisito è parzialmente soddisfatto, con lacune specifiche ma non sistemiche);
- non conformità maggiore (il requisito non è soddisfatto o le lacune sono sistemiche e impattano significativamente sull’efficacia del sistema).
Questa classificazione consente di prioritizzare le azioni correttive in funzione della severità e del rischio associato.
Le metriche più utili per misurare i risultati del finto audit includono: il tasso di conformità per area di verifica (percentuale di requisiti soddisfatti sul totale per ciascun dominio), il numero e la distribuzione delle non conformità per severità, il tempo medio di risposta degli intervistati alle domande di processo (un indicatore della maturità operativa), la completezza e l’aggiornamento della documentazione (percentuale di documenti privi di data di revisione o con revisione scaduta) e la coerenza delle risposte tra i diversi intervistati sugli stessi processi.
Il report del finto audit deve essere presentato al management con la stessa struttura e formalità di un report di audit esterno: è un documento che il board deve leggere e rispetto al quale deve prendere decisioni.
Best practice per consolidare e monitorare la compliance normativa aziendale
Il finto audit è un momento nel tempo: fotografia utile, ma non sufficiente a garantire una compliance normativa stabile nel lungo periodo.
Le organizzazioni più mature trattano la compliance non come un progetto con una data di fine ma come una capacità operativa continua, sostenuta da governance chiara, processi strutturati e strumenti adeguati.
Governance e responsabilità interne per la compliance
La compliance normativa richiede una struttura di governance che definisca con precisione chi fa cosa, con quale autorità e con quale accountability.
Il modello delle tre linee di difesa (adottato da IIA, Institute of Internal Auditors e riconosciuto dagli ispettori come riferimento consolidato) articola la governance della compliance in tre livelli:
- la prima linea è il management operativo, responsabile dell’implementazione quotidiana dei controlli;
- la seconda linea è la funzione di compliance e risk management, responsabile del framework, del monitoraggio e della reportistica;
- la terza linea è l’internal audit, responsabile della verifica indipendente dell’efficacia del sistema.
Per le organizzazioni di medie dimensioni, dove queste funzioni non sempre esistono come unità separate, è fondamentale almeno che i ruoli siano esplicitamente assegnati e documentati, con chiare procedure di escalation verso il vertice.
Il CISO e il DPO non sono sostituti del responsabile compliance: sono interlocutori con competenze specifiche che contribuiscono al sistema di compliance ma non ne esauriscono la governance
L’organo di gestione (il CDA o l’amministratore delegato, a seconda della struttura societaria) deve ricevere reportistica periodica sullo stato della compliance normativa e prendere decisioni consapevoli sui rischi residui accettati.
Strumenti digitali per il monitoraggio continuo della compliance
Il monitoraggio manuale della compliance normativa, basato su fogli Excel e revisioni periodiche, non è scalabile né affidabile per le organizzazioni soggette a normative complesse come NIS2 e DORA.
Il mercato offre una categoria crescente di strumenti GRC (Governance, Risk and Compliance) che automatizzano il monitoraggio dei controlli, la raccolta delle evidenze, la gestione delle non conformità e la produzione della reportistica.
Le funzionalità chiave da cercare in una piattaforma GRC per la compliance normativa includono:
- il mapping automatico dei requisiti normativi ai controlli implementati, con tracciabilità delle evidenze;
- la gestione del workflow di audit interno con assegnazione dei task, scadenze e notifiche automatiche;
- il registro centralizzato delle non conformità e delle azioni correttive con monitoraggio dello stato;
- la dashboard di compliance con indicatori in tempo reale per il management;
- l’integrazione con i sistemi tecnici di sicurezza (SIEM, vulnerability scanner, endpoint protection) per raccogliere automaticamente le evidenze di funzionamento dei controlli.
Conclusioni
In definitiva, quando si parla di andare “oltre la compliance”, il messaggio che lo attraversa è sempre lo stesso: la compliance normativa non è un traguardo da raggiungere una volta per tutte, è una capacità organizzativa da costruire e mantenere nel tempo.
Il finto audit è lo strumento più diretto per misurare questa capacità in modo onesto, con gli occhi di chi, un giorno, arriverà a verificarla sul serio.
