Risk Assessment e audit: come dimostrare la due diligence

Nel 2025, i CISO, IT Manager e Compliance Officer devono dimostrare non solo quello che hanno fatto, ma anche come e quando è stato valutato il rischio.
Audit normativi come ISO/IEC 27001:2022, GDPR, NIS2 e DORA richiedono prove concrete e tracciabili di due diligence nella gestione del Risk Assessment.

Troppe aziende tuttora considerano il RA come un’attività una tantum, senza un archivio documentale strutturato. Il risultato? Mancanza di evidenze coerenti con i controlli stessi, difficoltà nel rispondere a verifiche ufficiali e gap organizzativi.

Questa guida ti mostra come rendere il Risk Assessment audit-ready: quali evidenze raccogliere, come strutturare il processo, e come creare documentazione difendibile e pronta per ogni controllo.

Perché il Risk Assessment è centrale negli audit

Il RA non è solo un obbligo, ma uno strumento chiave di governance, richiesto espressamente da standard e normative:

• ISO/IEC 27001:2022, punto A.5.4: gestione dei rischi per la sicurezza delle informazioni
• GDPR, Art. 32: sicurezza del trattamento
• NIS2, Art. 21: misure tecniche e organizzative
• DORA, Art. 10: gestione dei rischi ICT

Funzioni chiave del RA in ottica compliance:

• Collegare rischi a contromisure reali
• Giustificare la proporzionalità degli investimenti
• Tracciare ownership e decisioni
• Supportare la resilienza digitale e il miglioramento continuo

Come costruire un Risk Assessment a prova di audit

Metodo formale e replicabile

Adotta framework riconosciuti come:

• ISO/IEC 27005
• NIST SP 800-30
• FAIR Risk Model

→ Documenta: scope, fonti, criteri, assunzioni. Conserva tutte le revisioni, firmate o approvate.

→ Evidenza: RA firmato + changelog delle revisioni

Buone pratiche:

• Validare il metodo con il comitato sicurezza
• Documentare fonti, assunzioni, criteri di valutazione
• Conservare le revisioni precedenti

Registro elettronico dei rischi

Crea un registro digitale (Excel, GRC, SIEM) con:

• Codice rischio (es. RSK-2025-04)
• Minaccia, impatto, probabilità
• Contromisure, rischio residuo
• Owner, stato, revisione

→ Evidenza: file timestamped + link a ticket, log, workflow

Tool consigliati:

• Integrazione con SIEM e ITSM
• Excel avanzato con macro
• Piattaforme GRC (Governance, Risk, Compliance)

Mapping rischio-controlli

Ogni rischio ad alto impatto deve essere collegato a controlli specifici, es. policy, procedure, tool.

→ Evidenza: mapping rischio → misura tecnica → log di implementazione

Esempio: Rischio → Mitigazione → Policy → Evidenza tecnica

Audit trail e approvazioni formali

Assicurati che ogni rischio accettato o trattato sia tracciato tramite:

• Verbali di comitati o board
• Email di approvazione
• Ticket di gestione

→ Evidenza: PDF verbali, log GRC, ticket approval

Revisione ciclica e aggiornamenti

Stabilisci una frequenza minima (es. annuale) e trigger di aggiornamento:

• Cambiamenti infrastrutturali
• Incidenti o breach
• Nuove normative

→ Evidenza: cronologia revisioni, note di aggiornamento

I 5 obiettivi principali del RA in ambito audit:

1. Giustificare le misure adottate con dati e logica oggettiva
2. Dimostrare la proporzionalità degli investimenti di sicurezza
3. Collegare i rischi ai controlli documentati
4. Tracciare ownership e responsabilità
5. Supportare la revisione e il miglioramento continuo

Un RA ben strutturato permette anche di comunicare in modo efficace con auditor, stakeholder e comitati, riducendo il rischio di non conformità e rafforzando la fiducia nella governance cyber.

Risk Assessment come vantaggio competitivo e leva di resilienza

Oggi il RA non è solo uno strumento tecnico. È una vera leva strategica che comunica al mercato, ai partner e alle autorità un messaggio chiaro: “Siamo pronti ad affrontare e gestire il rischio, con trasparenza e competenza.”

Benefici strategici di un RA audit-ready:

• Accelera certificazioni e audit (ISO, ACN/AGID, NIS2)
• Riduce i costi assicurativi legati al cyber risk
• Rafforza la fiducia di clienti, board e investitori
• Favorisce il procurement B2B in settori regolati
• Supporta la compliance ESG su risk governance

Nel contesto attuale, dove i dati sono l’asset più prezioso e la compliance è scrutinata in ogni settore, la capacità di dimostrare la gestione del rischio è un vantaggio competitivo reale.

Focus settoriali: esempi pratici

Finanza (DORA)

Rischio: interruzione servizi home banking
Contromisure: alta disponibilità, backup offsite, esercitazioni BCP
Evidenze: test DRP, ticket patching, log alert SIEM

Sanità (GDPR)

Rischio: accessi non autorizzati a cartelle cliniche
Contromisure: MFA, DLP, log centralizzato
Evidenze: export log, policy accesso, attestato formazione

Manifattura (NIS2)

Rischio: sabotaggio reti OT/ICS
Contromisure: segmentazione rete, IDS, hardening
Evidenze: schema architettura, output scansioni, verbali change management

Mini checklist operativa RA

• Metodo RA formalizzato (ISO/FAIR/NIST)
• Registro rischi aggiornato
• Mapping rischio → controllo → owner
• Evidenze tecniche tracciate (log, ticket, export)
• Audit trail e approvazioni salvate
• Cronologia revisioni conservata

❓FAQ

• Che framework RA è meglio adottare nel 2025?
• Dipende dal settore. ISO/IEC 27005 è ideale per organizzazioni ISO-compliant. Il FAIR è preferito in ambito bancario per la sua precisione quantitativa. NIST SP 800-30 è molto diffuso in ambienti USA e Pubblica Amministrazione.
• Come evitare le non conformità più comuni?
  • RA obsoleto o non firmato
  • Registro rischi senza timestamp
  • Assenza di evidenze tecniche (es. log, report)
  • Nessun mapping con policy e misure
  • Nessuna approvazione formale documentata
• Devo per forza avere una piattaforma GRC?
• No, ma è altamente consigliata. Automatizza la tracciabilità, centralizza le evidenze e rende l’audit più fluido. Per PMI, anche un Excel ben strutturato può essere accettabile, purché tracciabile

Glossario tecnico

• Rischio residuo: ciò che rimane dopo l’attuazione delle misure di mitigazione
• Impatto: conseguenza di un evento minaccioso su asset aziendali
• Vulnerabilità: debolezza tecnica o organizzativa
• Contromisura: azione volta a ridurre impatto o probabilità
• GRC: Governance Risk Compliance, piattaforma di gestione integrata
• Audit trail: insieme di log, note, approvazioni che documentano il processo decisionale

📥 Scarica ora la checklist “Audit & Risk Assessment”

Per agevolare la preparazione all’audit, ISGroup ha creato una checklist operativa scaricabile gratuitamente. Include le 20 evidenze fondamentali richieste per audit conformi a:

Checklist delle evidenze per audit ISO/GDPR/NIS2

• ISO/IEC 27001:2022
• GDPR (Art. 32)
• NIS2 (Art. 21)
• DORA (Art. 10)

👉🏻 Download immediato – PDF gratuito, nessuna registrazione