Salta al contenuto
Guida

Checklist operativa NIS2: template Excel per il registro di adeguamento art. 21

Template Excel scaricabile con la checklist operativa NIS2: 40 controlli sulle 10 famiglie di misure dell'articolo 21, stato a colori, owner, scadenze, piano azioni prioritizzato e riepilogo di conformità per PMI.

SynSphere Italia
Checklist operativa NIS2: template Excel per il registro di adeguamento art. 21

C’è un punto preciso in cui l’adeguamento NIS2 si inceppa in molte PMI italiane: subito dopo la fotografia iniziale. L’azienda ha verificato di rientrare nel perimetro, magari ha completato un’autovalutazione o si è fatta accompagnare da un consulente. Poi la domanda della direzione — a che punto siamo? — resta senza una risposta documentata, perché i gap sono sparsi fra email, appunti di riunione e un report di assessment che invecchia in una cartella.

La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, non chiede una certificazione una tantum: chiede misure di gestione dei rischi adeguate e proporzionate, elencate per famiglie all’articolo 21, e la capacità di dimostrare che vengono attuate e mantenute nel tempo — con una responsabilità che la norma attribuisce esplicitamente agli organi di amministrazione. Tradotto in pratica: serve un registro di lavoro che tenga insieme controlli, responsabili, scadenze ed evidenze, e che non muoia dopo la prima riunione.

Questa guida presenta un template Excel scaricabile costruito per quel lavoro: una checklist operativa con 40 controlli mappati sulle 10 famiglie di misure dell’articolo 21, un piano azioni prioritizzato e un riepilogo di conformità che si aggiorna da solo. Fa parte della serie “Template Excel per PMI” di SynSphere.

Una premessa doverosa, trattandosi di un obbligo normativo: il template è uno strumento informativo e operativo, non sostituisce una valutazione legale. Perimetro di applicabilità, obbligo di registrazione sul portale ACN e termini di notifica degli incidenti vanno verificati con il proprio consulente e sulle fonti ufficiali dell’Agenzia per la Cybersicurezza Nazionale.

Checklist operativa, non un altro questionario

Gli strumenti NIS2 non mancano, ma rispondono a domande diverse. Il self-assessment NIS2 gratuito ti dà la fotografia iniziale: ti guida nella valutazione del perimetro (soggetto essenziale o importante) e dello stato delle misure, e restituisce un punteggio. La guida operativa completa al D.Lgs. 138/2024 spiega obblighi, ruoli e adempimenti nel dettaglio.

Quello che di solito manca è il passaggio successivo: il file con cui l’adeguamento si porta avanti settimana dopo settimana. Un registro dove ogni controllo ha uno stato, un owner e una scadenza; dove i gap diventano azioni con una priorità; dove le evidenze si accumulano in vista di un audit o di una richiesta dell’autorità. È il ruolo di questa checklist: non fotografare, ma tracciare il percorso.

Scarica il template

Scarica il template “Checklist operativa NIS2” (.xlsx)

Il file arriva già compilato con 40 esempi realistici di una PMI italiana su stack Microsoft: controlli conformi con la loro evidenza, controlli parziali con la scadenza di completamento, controlli mancanti già trasformati in azioni nel piano. Non parti dal foglio bianco: adatti, elimini e aggiungi righe sulla tua realtà.

Com’è costruito il file

Il workbook ha una copertina di istruzioni e tre fogli operativi, pensati per essere letti in quest’ordine.

Foglio 1 — Checklist art. 21

Il cuore del template: 40 controlli concreti raggruppati per famiglia di misure, una riga ciascuno. Le famiglie ricalcano l’elenco dell’articolo 21, comma 2:

  • analisi dei rischi e politiche di sicurezza;
  • gestione degli incidenti;
  • continuità operativa e gestione delle crisi;
  • sicurezza della supply chain;
  • acquisizione e sviluppo sicuri di sistemi e reti;
  • verifica dell’efficacia delle misure;
  • igiene informatica di base e formazione;
  • crittografia e cifratura;
  • risorse umane, controllo degli accessi e gestione degli asset;
  • autenticazione a più fattori e comunicazioni sicure.

Per ogni controllo compili quattro cose: lo stato, scelto da menu a tendina con evidenza a colori (verde = conforme, giallo = parziale, rosso = mancante, grigio = non applicabile), l’owner, la scadenza e la colonna evidenza/nota — dove annoti il documento, la configurazione o il verbale che dimostra quanto dichiari.

I controlli sono scritti in linguaggio operativo, non giuridico. Nella famiglia della gestione degli incidenti, ad esempio, trovi il flusso di notifica a CSIRT Italia con i suoi tempi — pre-allerta entro 24 ore, notifica entro 72 ore, relazione finale entro un mese — accanto al registro degli incidenti e al sistema di rilevazione. Nella continuità operativa ci sono backup verificati con copia immutabile, piano di disaster recovery con RTO e RPO, test di ripristino verbalizzati.

Foglio 2 — Piano azioni

I gap emersi dalla checklist diventano attività: ogni azione ha una priorità (alta, media o bassa, con la stessa logica a colori), un responsabile, una scadenza e uno stato di avanzamento — da fare, in corso, completata. Il foglio arriva con dodici azioni d’esempio coerenti con i gap della checklist precompilata, più righe vuote pronte per le tue.

È il foglio che trasforma la compliance in gestione: invece di “siamo indietro su tutto”, la direzione vede quattro azioni ad alta priorità con un nome e una data accanto.

Il quadro di sintesi, calcolato in automatico con formule COUNTIFS sulla checklist: per ogni famiglia di misure, quanti controlli sono conformi, parziali, mancanti o non applicabili, e la percentuale di conformità — che esclude correttamente i non applicabili dal denominatore. Un semaforo colora la percentuale per famiglia, e una riga di totale generale chiude il foglio.

È la pagina da proiettare in riunione di direzione: a colpo d’occhio si vede dove l’azienda è coperta e dove serve investire, senza aprire i 40 controlli uno per uno.

Come usarlo, passo dopo passo

  1. Verifica il perimetro. Prima di compilare qualsiasi cosa, accerta con il tuo consulente legale se e come la tua azienda rientra nella NIS2 — settore, dimensione, ruolo nella filiera — e se è dovuta la registrazione sul portale ACN. Se ti serve una prima fotografia guidata, parti dal self-assessment online.
  2. Adatta i 40 controlli. Scorri la checklist e modellala sulla tua realtà: elimina ciò che non ti riguarda, aggiungi righe per sistemi o processi specifici. I 40 esempi indicano il livello di dettaglio giusto, né generico né maniacale.
  3. Fai la prima passata di stato. Per ogni controllo assegna stato, owner e — per i parziali e i mancanti — una scadenza realistica. Regola d’oro: un “conforme” senza evidenza nella colonna note non è un conforme.
  4. Costruisci il piano azioni. Porta i gap nel secondo foglio e dai una priorità a ciascuno. Le priorità alte tipiche di una PMI sono quasi sempre le stesse: flusso di notifica incidenti, test di ripristino dei backup, formazione della direzione sugli obblighi NIS2.
  5. Dai un ritmo al registro. Una revisione operativa periodica degli stati e delle azioni, e un passaggio in direzione con il foglio Riepilogo. Senza una cadenza fissata in agenda, il file diventa l’ennesimo documento compilato una volta sola.
  6. Conserva le evidenze. Politiche approvate, verbali dei test, report del fornitore, registri di formazione: la colonna evidenze della checklist è l’indice del fascicolo che esibirai in caso di audit o ispezione.

Gli errori che svuotano la checklist

  • Compilarla una volta e archiviarla. L’articolo 21 chiede misure mantenute, non dichiarate. Una checklist ferma da mesi documenta soltanto che il processo si è interrotto.
  • Dichiarare “conforme” senza evidenza. Davanti a un auditor — o all’autorità — un conforme non documentato pesa quanto un mancante. La colonna evidenze è la più importante del file.
  • Abusare del “non applicabile”. Lo stato esiste ed è legittimo, ma ogni esclusione va motivata nella nota e riesaminata quando l’azienda cambia: un servizio esposto sviluppato l’anno prossimo riapre controlli oggi esclusi.
  • Owner generici. “IT” non è un owner: è un reparto. Ogni controllo ha bisogno di una persona o di un fornitore preciso — e se l’operatività è delegata a un MSP, la responsabilità verso la norma resta comunque dell’azienda e dei suoi organi di amministrazione.
  • Inseguire la percentuale. Una conformità alta con la gestione incidenti scoperta vale meno di una più bassa con gli incidenti coperti. Il numero del Riepilogo orienta, ma le decisioni si prendono sul piano azioni e sulle priorità.
  • Dimenticare la filiera. La sicurezza della supply chain è una famiglia dell’articolo 21 spesso trascurata, e funziona in entrambe le direzioni: anche le PMI fuori perimetro si vedono girare obblighi NIS2 dai clienti soggetti attraverso clausole contrattuali.

Quando la checklist non basta

Il file Excel organizza il percorso, ma i controlli vanno poi attuati davvero — e qui contano gli strumenti. Buona parte delle misure tecniche dell’articolo 21 si implementa con tecnologie che molte PMI su Microsoft 365 hanno già in licenza, almeno in parte: Microsoft Defender copre rilevazione e allerta, gestione delle vulnerabilità e simulazioni di phishing per la formazione, mentre MFA, accesso condizionale e cifratura dei dispositivi vivono nel resto della suite. Il white paper NIS2 per PMI mappa famiglia per famiglia le misure sullo stack Microsoft.

C’è poi il tema delle persone: una PMI senza un team di sicurezza interno difficilmente riesce a presidiare rilevazione, risposta e aggiornamento continuo delle misure. In quel caso il modello sostenibile è un servizio di cyber security gestita, con monitoraggio e risposta delegati a un partner — che nella checklist diventa l’owner operativo di una parte dei controlli, con report periodici come evidenza.

Infine, alcuni controlli rimandano a documenti che devono esistere per conto proprio. Per i principali ci sono già template dedicati nella stessa serie: il piano di risposta agli incidenti, il piano di disaster recovery, la policy di sicurezza informatica e l’inventario degli asset IT.

Da dove cominciare

  1. Scarica la checklist operativa NIS2 e leggi la copertina di istruzioni.
  2. Chiarisci perimetro e registrazione ACN con il tuo consulente legale.
  3. Fai la prima passata sui 40 controlli e porta i gap nel piano azioni con una priorità.
  4. Fissa in agenda la revisione periodica e il passaggio in direzione con il Riepilogo.
  5. Per il contesto normativo più ampio — NIS2 accanto a DORA, AI Act e GDPR — tieni come riferimento la guida alla compliance IT per PMI.

Se preferisci non affrontare il percorso da solo, SynSphere affianca le PMI italiane con assessment NIS2 approfonditi, remediation sullo stack Microsoft e sicurezza gestita: contattaci per una valutazione iniziale gratuita del tuo stato di adeguamento.

Tag

Prodotti SynSphere correlati

I prodotti del catalogo SynSphere richiamati in questo articolo.

Potrebbe interessarti anche

Articoli correlati per argomento e categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci