comprova
Prodotto · Rischi

Risk Register matrice 4×4, Art. 21.a NIS2.

Probabilità × impatto, treatment esplicito, responsabile, scadenza review. Catalogo seed di settore già pronto. Niente heatmap fancy o dashboard inutili: una tabella che l'auditor sa leggere in due minuti, e che il management può capire senza diventare risk specialist.

§01 · Cosa chiede Art. 21.aprocesso di gestione del rischio

La norma chiede un processo, non un foglio Excel.

L'Art. 21.a della NIS2 prescrive l'adozione di "politiche di analisi dei rischi e di sicurezza dei sistemi informatici" come misura minima obbligatoria. Tradotto: identificare i rischi, valutarli, decidere come trattarli, riesaminarli periodicamente, e dimostrare di averlo fatto.

In tante PMI italiane il Risk Register esiste come foglio Excel che qualcuno ha aggiornato due anni fa e poi è rimasto là. È esattamente il tipo di evidenza che l'auditor identifica come "processo non vivo" — spunta sì il controllo, ma con una nota che peserà al ciclo successivo.

Il Risk Register di Comprova è minimal di proposito: pochi campi ben pensati, scadenze automatiche, treatment esplicito, audit trail. L'obiettivo non è impressionare con il grafico più colorato, ma essere quello che un Lead Auditor riconosce come processo attivo e documentato.

§02 · Il flusso di un rischiodall'apertura alla review

Sei passi, una scheda rischio per ognuno.

Il register non è un campo libero in cui si butta tutto. È una sequenza guidata che produce un oggetto valutato, trattato, assegnato e riesaminabile. La differenza con il foglio Excel è tutta qui.

  1. Step 1

    Identificazione

    Apri una scheda rischio: titolo, descrizione, ambito (asset, processo, fornitore impattato). Puoi partire dal catalogo seed di settore (manifatturiero, servizi, sanità — in arrivo) o creare un rischio custom.

  2. Step 2

    Valutazione 4×4

    Probabilità (rara/possibile/probabile/quasi certa) e impatto (basso/moderato/alto/critico). Il sistema calcola lo score e classifica il rischio in basso/moderato/alto/critico. La scelta di una scala 4×4 (non 5×5) è deliberata: forza una posizione, non c'è il 'medio comodo' del 3×3.

  3. Step 3

    Treatment

    Per ogni rischio scegli: mitigazione (azioni concrete con scadenza), trasferimento (assicurazione, contratto con fornitore), accettazione (motivata, firmata). L'accettazione di un rischio alto/critico richiede approvazione esplicita dall'organo direttivo — l'audit trail tiene traccia della firma.

  4. Step 4

    Responsabile e scadenza

    Ogni rischio ha un responsabile (membro dell'organizzazione) e una scadenza review. L'Art. 21.a NIS2 richiede review periodica obbligatoria — Comprova suggerisce annuale per i rischi a rischio basso, semestrale per rischi alti, trimestrale per rischi critici.

  5. Step 5

    Review periodica

    Alla scadenza, il sistema notifica al responsabile. Apre il workflow di review: la valutazione è ancora valida? Le azioni di mitigazione sono state eseguite? Lo scenario è cambiato? La review aggiorna timestamp e firma; lo storico delle valutazioni precedenti resta tracciabile.

  6. Step 6

    Snapshot annuale come EvidenceFile

    Una volta all'anno il sistema può generare uno snapshot del Risk Register (PDF + JSON) e archiviarlo nel Vault come EvidenceFile per il controllo Art. 21.a. È quello che l'auditor chiede: non solo il register vivo, ma la sua evoluzione storica documentata anno su anno.

§03 · Catalogo seed di settoremanifatturiero · servizi · sanità

Eviti il foglio bianco anche sui rischi.

Quando attivi il Risk Register, parti da un catalogo seed di rischi tipici del tuo settore. Per il manifatturiero (disponibile al lancio): ransomware sul gestionale di produzione, indisponibilità del fornitore IT critico, fuga di dati di progettazione, attacco BEC al reparto amministrativo, impatto cibernetico su macchinari connessi.

I rischi seed arrivano già con valutazione preliminare suggerita (4×4) e treatment di partenza basati su pratiche difendibili. Tu li adatti: cambi probabilità e impatto sulla tua realtà, modifichi il treatment, assegni il responsabile. Niente è obbligatorio — puoi anche partire da zero — ma la maggior parte dei clienti risparmia 10-15 ore di lavoro iniziale.

I cataloghi seed per servizi professionali e sanità privata sono in arrivo nei prossimi sprint, allineati ai loro profili NIS2.

§04 · Domande frequenti

Quello che ci chiedono di solito.

Perché matrice 4×4 e non 5×5?
Per evitare il rifugio del 'medio'. Con scala 5 l'utente tende a parcheggiare i rischi al centro (3) e la classifica perde valore informativo. Con scala 4 sei costretto a decidere se è basso o alto — la matrice produce un Risk Register che dice qualcosa, non solo un elenco. Per chi proviene da framework che usano 5×5 (es. ISO 31000), la mappatura è diretta e l'esportazione configurabile.
Posso aggiungere rischi che non sono nel catalogo seed?
Sì, è la modalità prevista. Il catalogo seed è solo un punto di partenza per non dover affrontare il foglio bianco — copre i rischi NIS2-correlati più ricorrenti per il settore (manifatturiero al lancio, servizi e sanità in arrivo). Aggiungi rischi custom da zero quando ti serve, con tutti i campi della scheda standard.
L'accettazione di un rischio alto è davvero formalizzata?
Sì, ed è importante per la difendibilità in audit. Quando classifichi un rischio come 'alto' o 'critico' e scegli 'accettazione' come treatment, il sistema richiede una firma esplicita dell'organo direttivo (org_admin con ruolo apicale). La firma include: motivazione dell'accettazione, ambito, durata, condizioni di rivalutazione. È quello che l'Art. 20 NIS2 chiede al management quando prende decisioni informate sul rischio.
Il Risk Register si integra con gli incidenti?
In modo soft al lancio. Quando registri un incidente, puoi linkare uno o più rischi del Register che sono stati toccati. Questo serve per la review successiva: 'questo rischio si è materializzato — la mitigazione era adeguata? la valutazione era corretta?'. L'integrazione automatica più stretta (incidenti che bumpano automaticamente probabilità nel Risk Register) è prevista nei prossimi sprint, ma intenzionalmente non è automatica al lancio: è una decisione che vogliamo che il responsabile compliance faccia consapevolmente.
Il Risk Register Comprova è ISO 31000-compliant?
Si ispira ai principi ISO 31000 ma è volutamente minimal: probabilità, impatto, treatment, responsabile, review. Non gestisce indicatori chiave di rischio (KRI), modelli di rischio statistico, né simulazioni Monte Carlo. È pensato per la PMI italiana che deve dimostrare un processo di gestione del rischio in audit NIS2, non per il risk officer di una multinazionale. Quando le esigenze crescono ci sono strumenti dedicati — il dossier base resta compatibile.
Posso esportare il Risk Register in Excel?
Sì. Export CSV per l'analisi in Excel, export PDF per la condivisione formale, export JSON per integrazioni esterne (BI tools, GRC enterprise). Tutti gli export sono firmati con hash di integrità e lasciano traccia in audit trail.

Il Risk Register è incluso nella Piattaforma.

Funziona insieme a Policy, Incidenti, Fornitori e Audit Pack. L'Art. 21.a NIS2 non si copre con un solo modulo: serve la combinazione di policy che dice come gestire il rischio, register che lo gestisce davvero, incidenti che lo testano, audit pack che lo dimostra all'auditor.

Chiedi un preventivoTorna agli otto moduli