Febbraio 2026. Con l’avvio dell’anno operativo, molte aziende iniziano a ricevere richieste di evidenze da parte di committenti e filiere e necessitano di comprendere rapidamente se rientrano nel perimetro applicativo (in scope).
Il dubbio prolungato è la variabile più costosa: senza una chiara definizione di perimetro e filiera, ogni decisione successiva genera dispersione di risorse.
Quando si lavora su compliance e resilienza, l’obiettivo non è “fare molte attività”, ma eseguire poche azioni corrette, testarle e produrre evidenze verificabili.
Di seguito un approccio operativo, pensato per aziende con sede o attività in Lombardia.
Contesto operativo del periodo
Nel primo trimestre si definiscono priorità, budget e capacità di risposta alle richieste esterne. È in questa fase che si decide se l’azienda sarà in grado di dimostrare ciò che dichiara.
Attendere l’urgenza — audit, richiesta cliente o incidente — comporta scelte meno strutturate ed evidenze meno difendibili.
Criteri di qualità: cosa deve essere vero al termine della fase iniziale
Al termine di questa attività preliminare, dovrebbe risultare:
perimetro definito (entità giuridiche, sedi, servizi critici, ambienti IT/OT)
mappatura della filiera: chi richiede evidenze, con quale frequenza e in quale forma
identificazione dei decision maker (IT, compliance, direzione) e dei tempi di risposta
prima fotografia dei controlli già in essere (gestione accessi, backup, logging, gestione incidenti)
Questi elementi costituiscono la base per qualsiasi roadmap coerente.
Percorso operativo essenziale
1) Raccolta dati minima
Settore e filiera di riferimento, dimensione aziendale, sedi operative, servizi erogati, presenza di ambienti OT.
2) Triage del perimetro
Anche in assenza di obbligo diretto, valutare l’impatto della supply chain (questionari, clausole contrattuali, audit richiesti).
3) Identificazione degli asset/processi critici
Selezionare cinque asset o processi che, in caso di interruzione, bloccherebbero il business.
4) Definizione di un percorso essenziale
Avviare con una combinazione concreta di:
▪ 3 controlli prioritari
▪ 3 evidenze documentali verificabili
L’obiettivo è partire senza generare paralisi organizzativa.
Errori frequenti da evitare
Attendere una “certezza legale assoluta” prima di agire
Ridurre la compliance all’acquisto di uno strumento
Rispondere a questionari senza un repository strutturato di evidenze
Non coinvolgere la direzione: la NIS2 riguarda anche governance e responsabilità.
.
Checklist di autovalutazione
Ho chiarito se sono in scope o coinvolto indirettamente tramite la filiera?
Ho identificato gli asset critici e i rispettivi responsabili interni?
Dispongo di un canale unico per la gestione di questionari ed evidenze?
Ho definito un livello di urgenza (30 / 60 / 90 giorni) e un prossimo step operativo?
