Documento strategico interno · gap-driven

Evix Suite — Analisi Concorrenza & posizionamento Best-of-Breed

Obiettivo strategico: ogni modulo della suite Evix (i prodotti Agile) deve essere best-of-breed nel proprio dominio. Questo documento valuta onestamente dove lo siamo già e dove mancano feature per diventarlo, rispetto a piattaforme GRC internazionali e soluzioni NIS2/compliance italiane.

Nota metodologica (fonti certe). Le capacità di Evix/NIS2 Agile riportate sono verificate sul codice sorgente del prodotto (feature realmente implementate al 2026-05-29, v1.7.0). Le capacità dei concorrenti riflettono posizionamenti generali di pubblico dominio e vanno verificate prima di qualsiasi uso commerciale: le celle marcate [da verificare] richiedono una fonte primaria (sito vendor, demo, analyst report). Questo è un documento interno, non un materiale di marketing.

1. La suite Evix come insieme di moduli Evix = brand-ombrello; ciascun prodotto Agile è un "modulo" della suite, integrabile via API condivise (agile-services) e SSO centralizzato.

NIS2 Agile

Maturo
  • Compliance Direttiva (UE) 2022/2555 + D.Lgs. 138/2024
  • Oggetto principale di questa analisi

231 Agile

In suite
  • Modello Organizzativo 231
  • Integrato con NIS2 via Services API (mapping NIS2→MOG)

SustainAI Agile

In suite
  • Sostenibilità / ESG / CSRD
  • Stesso stack UI/RAG

TRPG Agile

In suite
  • Risk & privacy / governance
  • Allineamento Auth/SSO/Sessions in corso

Il vantaggio competitivo di suite (non del singolo modulo) è l'integrazione cross-prodotto + motore AI/RAG condiviso + multi-tenancy e white-label per studi di consulenza. Sotto, il dettaglio modulo-per-modulo del prodotto NIS2 (il più maturo); gli altri prodotti richiedono un audit analogo dedicato.

2. Scorecard Best-of-Breed — moduli di NIS2 Agile Verde = già best-of-breed nel segmento NIS2 Italia · Giallo = competitivo, gap colmabili · Rosso = gap rilevante vs leader di categoria

Gap Analysis Art.21

Best-of-breed (IT)
  • 80 domande su 10 categorie Art.21, scoring + analisi AI
  • Mapping ISO 27001 + ora NIST CSF 2.0 (43 controlli)
  • Gap: benchmark settoriale anonimizzato assente

Asset & Sistemi Rilevanti

Best-of-breed (IT)
  • Scoring rilevanza 0-100 a 6 criteri (GV.OC-04)
  • Registro formale stampabile + classi critico/alto/medio
  • Gap: auto-discovery asset e integrazione CMDB/cloud assenti

Gestione Incidenti

Best-of-breed (IT)
  • Art.23 24h/72h/30g + tassonomia IS-1..4 (Determina ACN 164179/2025)
  • PIR 5-Whys + metriche TTD/TTC/TTR; regime essenziale/importante
  • Gap: ingestion automatica da SIEM/SOC/EDR (oggi manuale)

Risk Management

Competitivo
  • Registro rischi, matrice 5×5 ISO 27005, AI suggest
  • Gap vs leader: scenari quantitativi (FAIR), monte-carlo, KRI dashboard

Audit & Evidence

Differenziante
  • Hash-chain SHA-256 immutabile (integrità forense) + export certificato
  • Mapping ISO27001 e NIST CSF 2.0
  • Gap: raccolta evidenze automatica (connettori) assente

Policy Management

Competitivo
  • Generazione bozze AI + workflow approvazione
  • Gap: versioning/diff avanzato, attestation dipendenti

Supply Chain

Competitivo
  • Valutazione fornitori + risk scoring + Art.21.2(d)
  • Gap: questionari self-assessment al fornitore, rating esterni

AI / Knowledge Base

Differenziante
  • RAG multi-livello (SYSTEM/FIRM/ORG) su Qdrant + Voyage
  • Grounding su testi normativi ufficiali con citazioni (fonti certe)
  • Gap: nessun gap critico; estendere copertura KB normativa

Continuous Monitoring

Gap rilevante
  • Assente: monitoraggio continuo dei controlli + evidence automation (core di Vanta/Drata)
  • Oggi: assessment puntuale + evidenze manuali

Integrazioni / Connettori

Gap rilevante
  • Assente catalogo connettori (M365, Google, AWS/Azure, Jira, IdP, EDR)
  • Presente: Services API + Webhook HMAC (base solida per costruirli)

3. Matrice comparativa NIS2 Agile (Evix) vs categorie concorrenti. Confronto sul caso d'uso "compliance NIS2 per PMI/Enterprise e studi di consulenza in Italia".

Sì / forte Parziale No / debole [dv] = dato concorrente da verificare
Capacità NIS2 Agile (Evix) GRC internazionali
(ServiceNow, OneTrust, Archer)		 Compliance automation
(Vanta, Drata)		 Soluzioni NIS2 IT
[da verificare]		 Consulenza + Excel
NIS2 / D.Lgs.138 nativo + Determine ACN 2025 Sì — aggiornato Determine 2025 Parziale, framework generici [dv] Debole (focus SOC2/ISO) [dv] Variabile [dv] Dipende dal consulente
AI nativa (gap, policy, classificazione incidenti) con grounding su fonti certe Sì — RAG citante testi ufficiali In crescita [dv] In crescita [dv] Raro [dv] No
Audit trail immutabile (hash-chain) Sì — SHA-256 chain [dv] Parziale [dv] Raro [dv] No
Continuous control monitoring + evidence automation No (gap) [dv] Sì — core [dv] No [dv] No
Catalogo connettori/integrazioni (cloud, IdP, EDR, ticketing) Parziale — API/webhook, no connettori pronti [dv] Sì — molti [dv] Raro [dv] No
Multi-tenant + white-label per studi di consulenza Sì — firm + branding + KB FIRM Parziale/costoso [dv] Programmi partner [dv] Variabile [dv] No
Integrazione cross-compliance (NIS2 ↔ 231 ↔ ESG) Sì — suite Evix + Services API Moduli separati [dv] No [dv] No [dv] No
Costo / time-to-value per PMI italiana Basso — onboarding guidato + visura Alto / enterprise [dv] Medio [dv] Variabile [dv] Alto in ore uomo
Reporting/dashboard enterprise & analytics Parziale — report esecutivo + CSV Forte [dv] Forte [dv] Variabile [dv] No

4. Dove siamo già Best-of-Breed Vantaggi difendibili, radicati su feature reali del prodotto.

🇮🇹 Aderenza normativa italiana

  • Unico a coprire Determina ACN 164179/2025 (IS-1..4, Allegati 3/4) e 333017/2025 a livello di workflow, non solo testo.

🤖 AI con fonti certe

  • Risposte AI ancorate ai testi normativi ufficiali con citazione esplicita e divieto di riferimenti inventati.

🔗 Integrità audit

  • Hash-chain SHA-256 + export certificato: integrità forense delle evidenze.

🏢 Modello consulenza/white-label

  • Multi-tenant, KB a 3 livelli, branding per studio: pensato per i consulenti, non solo l'azienda finale.

🧩 Suite integrata

  • NIS2 ↔ 231 ↔ ESG via Services API condivise: i competitor sono single-domain.

5. Gap → Roadmap per chiudere il "best-of-breed" su ogni modulo Priorità per impatto competitivo. Le voci P1 sono quelle che oggi ci fanno perdere confronti vs Vanta/Drata e GRC enterprise.

P1 · Colmare il gap "compliance automation"
Continuous Control Monitoring + Evidence Automation. Connettori per raccolta automatica evidenze (M365, Google Workspace, AWS/Azure, IdP, EDR). È il core di Vanta/Drata e oggi è il nostro gap più visibile. Base esistente: Services API + Webhook HMAC.
P1 · Ingestion incidenti
Integrazione SIEM/SOC/EDR per apertura automatica incidenti (i mockup analizzati già prevedevano "Alert SIEM/SOC" come fonte). Trasforma il modulo incidenti da reattivo a proattivo.
P2 · Asset
Auto-discovery asset + import CMDB/cloud per alimentare automaticamente lo scoring di rilevanza GV.OC-04 appena introdotto.
P2 · Risk quantitativo
Risk analysis quantitativa (FAIR) + dashboard KRI, per competere con i GRC enterprise sul risk management.
P2 · Reporting
Dashboard analytics e benchmark settoriale anonimizzato (già nei TODO di progetto) — chiude il gap su reporting e aggiunge un dato che i competitor non hanno (rete multi-tenant).
P3 · Supply chain & policy
Portale self-assessment fornitori e attestation/versioning policy per completare i due moduli "competitivi" verso il best-of-breed.
Fonti & verificabilità. Capacità Evix/NIS2 Agile: codice sorgente del prodotto (v1.7.0, 2026-05-29) e documentazione di progetto. Riferimenti normativi: Direttiva (UE) 2022/2555, D.Lgs. 138/2024, Determine ACN 164179/2025 e 333017/2025 (registro application/config/nis2_sources.php). Dati concorrenti marcati [da verificare]: posizionamenti generali di pubblico dominio, da confermare con fonte primaria prima di ogni uso esterno. I nomi dei vendor sono citati a scopo di benchmarking interno.