diff --git a/docs/commercial/presentazione.html b/docs/commercial/presentazione.html new file mode 100644 index 0000000..c825a39 --- /dev/null +++ b/docs/commercial/presentazione.html @@ -0,0 +1,1144 @@ + + + + + +NIS2 Agile — Presentazione + + + + + +
+
+
+
+
+
+ +
+
+

NIS2 Agile

+ Compliance Platform +
+
+
La compliance NIS2 non deve essere un problema.
Con NIS2 Agile, diventa un vantaggio.
+
Piattaforma SaaS multi-tenant per la gestione integrata della conformità alla Direttiva UE 2022/2555 e al D.Lgs. 138/2024. Con intelligenza artificiale integrata, dashboard real-time e strumenti per l'intero ciclo di vita della compliance.
+
+ D.Lgs. 138/2024 + Direttiva UE 2022/2555 NIS2 + AI Powered by Anthropic + ISO 27001 Aligned + Multi-Tenant SaaS +
+
+
Presentazione Commerciale · Febbraio 2026 · nis2.certisource.it
+
+ + +
+
02 / 10
+
+
Il Contesto: NIS2 è Obbligatoria
+
La Direttiva UE 2022/2555 recepita in Italia con D.Lgs. 138/2024 impone obblighi stringenti — e sanzioni severe
+
+
+ Il Problema +
Le organizzazioni non sono pronte
+
    +
  • Sanzioni fino a €10M o 2% del fatturato globale per i soggetti essenziali
    • +
  • Responsabilità personale dei dirigenti e degli organi di gestione (Art. 20)
    • +
  • Notifiche obbligatorie al CSIRT entro 24h/72h/30gg per incidenti significativi
    • +
  • Gap analysis manuale su 10 categorie Art. 21 = mesi di lavoro
    • +
  • Processi dispersi in Excel, email, cartelle condivise non strutturate
    • +
  • Assenza di un registro rischi formalizzato e audit trail
    • +
+
+
+ L'Opportunità +
La compliance come leva competitiva
+
    +
  • +18.000 organizzazioni italiane coinvolte dalla NIS2 (stima ACN/AGID 2024)
    • +
  • Adesione volontaria possibile anche per soggetti non obbligati — differenziale di mercato
    • +
  • La certificazione NIS2 diventa requisito per gare d'appalto e supply chain
    • +
  • Management training obbligatorio (Art. 20.2) → formazione strutturata e tracciata
    • +
  • Riduzione del rischio cyber misurabile con KPI di compliance
    • +
  • Audit e ispezioni semplificate con evidenze pronte e log immutabili
    • +
+
+
+
+
NIS2 Agile — Presentazione Commerciale 2026nis2.certisource.it
+
+ + +
+
03 / 10
+
+
A Chi È Destinato
+
Tre profili utente principali, un'unica piattaforma — con isolamento multi-tenant garantito
+
+
+
+
01
+
PMI
+
Soggetti Importanti (Allegato I-II)
+
+
+
Medie imprese nei settori energia, trasporti, sanità, acque, digitale che rientrano nell'obbligo NIS2 senza avere un team compliance dedicato.
+
    +
  • Wizard guidato per l'onboarding
    • +
  • AI che genera policy in minuti
    • +
  • Costo compliance ridotto dell'80%
    • +
  • Report pronti per le ispezioni ACN
    • +
+
+
+
+
+
02
+
Enterprise
+
Soggetti Essenziali (Allegato I)
+
+
+
Grandi organizzazioni (>250 dipendenti, >€50M fatturato) in settori ad alta criticità, soggette a vigilanza proattiva AGID e audit frequenti.
+
    +
  • Audit trail immutabile e completo
    • +
  • Ruoli granulari (7 livelli di accesso)
    • +
  • Dashboard executive per il CDA
    • +
  • Export multi-formato per auditor
    • +
+
+
+
+
+
03
+
Consulenti & CISO
+
Multi-client management
+
+
+
Professionisti della sicurezza informatica, studi di consulenza e CISO as a Service che gestiscono la compliance di più clienti da un unico pannello.
+
    +
  • Org-switcher nella sidebar
    • +
  • Vista aggregata tutte le aziende
    • +
  • Isolamento dati garantito
    • +
  • Onboarding rapido nuovi clienti
    • +
+
+
+
+
+
NIS2 Agile — Presentazione Commerciale 2026nis2.certisource.it
+
+ + +
+
04 / 10
+
+
I Moduli della Piattaforma
+
15 controller, 22 tabelle, 80+ endpoint REST — ogni modulo copre uno o più obblighi NIS2
+
+
+
+
Gap Analysis
+
Wizard 80 domande sui 10 requisiti Art. 21. Score automatico, progress bar, report per categoria.
+ Art. 21.2 (a-j) +
+
+
+
Risk Management
+
Register rischi con matrice 5×5 ISO 27005. Ownership, trattamenti, monitoraggio scadenze.
+ Art. 21.1 +
+
+
+
Incident Management
+
Timeline automatica 24h/72h/30gg. Decision tree significatività. Notifiche CSIRT via email.
+ Art. 23 +
+
+
+
Policy Management
+
Ciclo di vita: bozza → revisione → approvazione → pubblicazione. Template per ogni categoria NIS2.
+ Art. 21.2(a) +
+
+
+
Supply Chain
+
Registro fornitori, scoring rischio, valutazioni periodiche, monitoraggio SLA e contratti.
+ Art. 21.2(d) +
+
+
+
Training
+
Corsi NIS2, assegnazioni con scadenze, tracciamento compliance Art. 20.2 per il management.
+ Art. 20.2 +
+
+
+
Asset Inventory
+
Catalogo ICT (hardware/software/rete/dati), livelli criticità, mappa dipendenze, ciclo di vita.
+ Art. 21.2(i) +
+
+
+
Audit & Report
+
Log immutabili, evidenze, report esecutivo HTML, export CSV multi-modulo, ISO 27001 mapping.
+ Art. 32-33 +
+
+
+
NIS2 Agile — Presentazione Commerciale 2026nis2.certisource.it
+
+ + +
+
05 / 10
+
+
Intelligenza Artificiale Integrata
+
4 funzionalità AI che riducono il lavoro manuale di compliance fino al 70% — con dati anonimizzati
+
+
+ +
AI che lavora per la tua compliance
+
Powered by Claude (Anthropic)
+
    +
  • Analisi intelligente dei gap e raccomandazioni prioritizzate
    • +
  • Suggerimento rischi contestuali per settore e tipologia di asset
    • +
  • Generazione automatica di policy NIS2 complete
    • +
  • Classificazione automatica della gravità degli incidenti
    • +
+
Privacy by Design: Ragione sociale e dati finanziari mai inviati ad Anthropic. Solo dati settore e range dimensionale (micro/piccola/media/grande).
+
+
+
+
1
+
+
Gap Analysis AI
+
Dopo il completamento delle 80 domande, l'AI analizza le risposte e genera un report con gap prioritizzati, impatto normativo e piano d'azione per categoria Art. 21.
+
→ Da 2 settimane di analisi manuale a 30 secondi
+
+
+
+
2
+
+
Risk Suggest AI
+
L'AI suggerisce rischi tipici del settore, con probabilità e impatto precompilati, categorie NIS2, riferimenti normativi e misure di mitigazione consigliate.
+
→ Risk register completo in minuti invece di giorni
+
+
+
+
3
+
+
Policy Generate AI
+
Selezioni la categoria (es. sicurezza reti, gestione incidenti, crittografia) e l'AI genera una policy strutturata con scopo, ambito, responsabilità e procedure.
+
→ Policy pronta per revisione umana in 60 secondi
+
+
+
+
4
+
+
Incident Classify AI
+
L'AI analizza la descrizione dell'incidente e suggerisce automaticamente la classificazione, la gravità Art. 23 e se sia significativo ai fini della notifica CSIRT.
+
→ Valutazione Art. 23 immediata — no errori manuali
+
+
+
+
+
+
NIS2 Agile — Presentazione Commerciale 2026nis2.certisource.it
+
+ + +
+
06 / 10
+
+
Copertura Normativa Completa
+
Ogni articolo NIS2 e D.Lgs. 138/2024 rilevante è coperto da almeno un modulo operativo della piattaforma
+ + + + + + + + + + + + + + + + + + + + + + +
ArticoloObbligo NormativoModulo NIS2 AgileCoperturaEvidenza Audit
Art. 20Governance e responsabilità managementTraining + Formazione Management✓ CompletoReport completamento corsi
Art. 21.1Approccio basato sul rischioRisk Management + Assessment✓ CompletoRisk register + matrice
Art. 21.2(a)Politiche di analisi dei rischiGap Analysis + Policy Management✓ CompletoAssessment + policy approvate
Art. 21.2(b)Gestione degli incidentiIncident Management + NCR/CAPA✓ CompletoRegistro incidenti + timeline
Art. 21.2(c)Business continuity e backupAsset Inventory + Risk✓ ParzialeAsset critici + SPOF map
Art. 21.2(d)Sicurezza supply chainSupply Chain Security✓ CompletoValutazioni fornitori
Art. 21.2(g)Igiene informatica e formazioneTraining + Policy✓ CompletoAssegnazioni + completamenti
Art. 21.2(i)Sicurezza risorse umane e assetAsset Inventory + Settings (ruoli)✓ CompletoInventario asset + ruoli utente
Art. 23Notifica incidenti significativiIncident Management (24h/72h/30gg)✓ CompletoEmail CSIRT + timestamp
Art. 32-33Vigilanza e auditAudit & Report + Log immutabili✓ CompletoAudit log + evidenze
+
+
NIS2 Agile — Presentazione Commerciale 2026nis2.certisource.it
+
+ + +
+
07 / 10
+
+
Sicurezza by Design
+
La piattaforma che gestisce la tua compliance NIS2 deve essere essa stessa sicura — ogni componente è progettato con questo principio
+
+
+
+
Autenticazione JWT + Refresh Atomico
+
Access token con durata 2h, refresh token 7gg. Rinnovo con SELECT FOR UPDATE — nessuna race condition possibile. Revoca immediata al logout su tutti i dispositivi.
+
+
+
SQL Injection Prevention — 100%
+
PDO esclusivo con prepared statements per ogni query. Zero concatenazioni dinamiche. Validazione input lato server su tutti gli endpoint.
+
+
+
CORS Configurato — No Wildcard
+
Origin verificata contro lista bianca configurabile. Rimosso il Access-Control-Allow-Origin: * anche in modalità debug. Header personalizzati sicuri.
+
+
+
XSS Prevention — escapeHtml() ovunque
+
Funzione escapeHtml() applicata a ogni output HTML dinamico nel frontend. Content-Security-Policy header configurato.
+
+
+
+
+
Rate Limiting Proxy-Aware
+
File-based per IP con supporto X-Forwarded-For per deployment dietro reverse proxy. Login: 5/min, 20/h. Register: 3/10min. AI: 10/min, 100/h.
+
+
+
Idle Session Timeout — 30 Minuti
+
Logout automatico dopo 30 minuti di inattività. Avviso con countdown 5 minuti prima. Monitoraggio eventi mouse, tastiera, scroll e touch. Conforme best practice OWASP.
+
+
+
Audit Log Immutabile (DB Trigger)
+
Trigger MySQL prevent_audit_log_update e prevent_audit_log_delete rendono impossibile la modifica o cancellazione dei log anche con accesso diretto al DB.
+
+
+
AI Data Privacy — Prompt Anonimizzati
+
Ragione sociale e fatturato mai trasmessi ad Anthropic. Dipendenti convertiti in range generico (micro/piccola/media/grande). Solo settore e contesto funzionale.
+
+
+
+
+
NIS2 Agile — Presentazione Commerciale 2026nis2.certisource.it
+
+ + +
+
08 / 10
+
+
ROI e Benefici Misurabili
+
La compliance NIS2 con NIS2 Agile è un investimento a rapido ritorno — confrontato con alternative manuali o consulenziali
+
+
+
+
-80%
+
Riduzione del tempo dedicato alla compliance rispetto a processi manuali con Excel e documenti
+
+
+
+
+
30s
+
Gap analysis AI sui 10 Art. 21
vs. 2-3 settimane manuale
+
+
+
📄
+
60s
+
Policy generata con AI
vs. 2-4 ore con consulente
+
+
+
🔔
+
Auto
+
Notifiche CSIRT 24h/72h/30gg
vs. gestione manuale con rischio scadenze
+
+
+
+
+
+
+
+
Riduzione del rischio sanzionatorio
+
Sanzioni NIS2 fino a €10M o 2% del fatturato globale. La compliance documentata e dimostrabile riduce drasticamente l'esposizione in caso di ispezione ACN/AGID.
+
+
+
+
+
+
Risparmio costi di consulenza
+
Un progetto NIS2 da consulente senior costa €40-80k/anno. NIS2 Agile fornisce strumenti, AI e automazione per una frazione del costo, mantenendo il controllo interno.
+
+
+
+
+
+
Vantaggio competitivo
+
La certificazione NIS2 diventa requisito per partecipare a gare d'appalto PA e supply chain di grandi gruppi. Documenta il livello di maturità cyber verso clienti e partner.
+
+
+
+
+
+
Audit sempre pronti
+
Audit log immutabili, evidenze allegate, report esecutivo HTML e export CSV sempre disponibili. Zero preparazione ad-hoc in caso di ispezione o audit improvvisi.
+
+
+
+
+
+
Visibilità real-time sul rischio
+
Dashboard con score di compliance aggiornato, risk heatmap, scadenze NIS2 e attività recenti. Il management ha visibilità immediata per prendere decisioni informate.
+
+
+
+
+
+
NIS2 Agile — Presentazione Commerciale 2026nis2.certisource.it
+
+ + +
+
09 / 10
+
+
Roadmap e Stato di Sviluppo
+
Piattaforma 100% completata e deployata in produzione — audit di conformità completato a Febbraio 2026
+
+
+
Q3 2025
Lug – Set
+
+
+
Core Platform Completato
+
    +
  • Auth JWT multi-tenant, 15 controller REST, 20 tabelle DB
    • +
  • Frontend 17 pagine HTML5/CSS3/JS vanilla
    • +
  • Gap Analysis wizard 80 domande (10 categorie Art. 21)
    • +
  • Risk Management matrice 5×5 + Incident Management Art. 23
    • +
+
+
+
+
Q4 2025
Ott – Dic
+
+
+
AI Integration + Moduli Avanzati Completato
+
    +
  • Integrazione Anthropic Claude (4 funzionalità AI)
    • +
  • Supply Chain, Training, Assets, NCR/CAPA, Onboarding wizard
    • +
  • i18n IT/EN, help contestuale, modulo architettura
    • +
  • Ruolo Consulente + org-switcher multi-client
    • +
+
+
+
+
Gen 2026
Migrazione
+
+
+
Production Deploy + E2E Testing Completato
+
    +
  • Migrazione a subdomain dedicato nis2.certisource.it (Hetzner)
    • +
  • E2E testing completo, bug fixing, UI polish, Docker verificato
    • +
  • 6 migrazioni SQL, indici performance, soft delete, trigger immutabili
    • +
+
+
+
+
Feb 2026
Hardening
+
+
+
Security Hardening Pre-Audit Completato
+
    +
  • CORS no-wildcard, refresh token atomico, rate limiting proxy-aware
    • +
  • Idle timeout 30min, loading states, UX polish completo
    • +
  • AI privacy: prompt anonimizzati, range dipendenti
    • +
  • Schede commerciali, scheda tecnica, presentazione
    • +
+
+
+
+
Q2 2026
Prossimo
+
+
+
Evoluzione Prodotto Pianificato
+
    +
  • Integrazione DORA (Digital Operational Resilience Act) per settore finanziario
    • +
  • API pubblica per integrazione con SIEM/SOC e tool di vulnerability management
    • +
  • Mobile app (React Native) per notifiche push incidenti urgenti
    • +
  • Dashboard benchmark settoriale anonimizzato
    • +
+
+
+
+
+
NIS2 Agile — Presentazione Commerciale 2026nis2.certisource.it
+
+ + +
+
+
+
+
+ +
+
La compliance NIS2
inizia oggi.
+
NIS2 Agile è pronto in produzione, audit-ready e scalabile. Con AI integrata, sicurezza by design e copertura completa degli obblighi D.Lgs. 138/2024, riduce il tempo di compliance dell'80% rispetto alle alternative manuali.
+ Accedi alla Piattaforma → +
+
+ Piattaforma + nis2.certisource.it +
+
+ Versione + 1.0 · Febbraio 2026 +
+
+ Stack + PHP 8.4 · MySQL 8 · Claude AI +
+
+
+
+ + + diff --git a/docs/commercial/scheda-commerciale.html b/docs/commercial/scheda-commerciale.html new file mode 100644 index 0000000..b8a9ed7 --- /dev/null +++ b/docs/commercial/scheda-commerciale.html @@ -0,0 +1,499 @@ + + + + + +NIS2 Agile — Scheda Commerciale + + + +
+ + +
+
+
+ +
+
+

NIS2 Agile

+ Compliance Platform +
+
+
La piattaforma SaaS che rende semplice la conformità alla Direttiva NIS2
+
Gestione integrata di rischi, incidenti, policy e audit — con AI integrata — per soggetti essenziali e importanti ai sensi del D.Lgs. 138/2024
+
+ D.Lgs. 138/2024 + Direttiva UE 2022/2555 + AI Powered + Multi-Tenant SaaS + ISO 27001 Aligned +
+
+ + +
+
+
Il Problema
+
La NIS2 è obbligatoria. La compliance è complessa.
+
    +
  • Sanzioni fino a €10M o 2% fatturato globale
    • +
  • Responsabilità personale dei dirigenti
    • +
  • Obblighi stringenti su notifiche, rischi, policy, formazione
    • +
  • Processi dispersi tra Excel, email e documenti non strutturati
    • +
  • Assenza di visibilità real-time sul livello di compliance
    • +
+
+
+
La Soluzione
+
NIS2 Agile centralizza e automatizza tutto.
+
    +
  • Gap analysis automatica sui 10 requisiti Art. 21
    • +
  • Gestione incidenti con timeline Art. 23 (24h/72h/30gg)
    • +
  • Risk register con matrice ISO 27005
    • +
  • Policy generate dall'AI e approvabili con un clic
    • +
  • Dashboard di compliance con score aggiornato in real-time
    • +
+
+
+ + +
+
Moduli Inclusi
+
+
+
+ +
+
Gap Analysis NIS2
+
Wizard di assessment con 80 domande sui 10 requisiti Art. 21. Punteggio automatico e report di priorità.
+ Art. 21 +
+
+
+ +
+
Gestione Rischi
+
Risk register completo con matrice 5×5, trattamenti e ownership. Conforme ISO 27005.
+ ISO 27005 +
+
+
+ +
+
Gestione Incidenti
+
Timeline automatica 24h/72h/30gg con notifiche CSIRT. Decision tree per incidenti significativi.
+ Art. 23 +
+
+
+ +
+
Policy Management
+
Ciclo di vita completo con approvazione. Template per tutte le categorie NIS2.
+ Art. 21 +
+
+
+ +
+
Supply Chain Security
+
Valutazione fornitori critici con scoring automatico e monitoraggio scadenze contrattuali.
+ Art. 21(d) +
+
+
+ +
+
Audit & Report
+
Audit log immutabile, evidenze allegabili, report esecutivo e export CSV multi-modulo.
+ Art. 32-33 +
+
+
+ + +
+
+ +
+
+
AI Integrata con Claude (Anthropic)
+
NIS2 Agile integra l'AI generativa per ridurre drasticamente il tempo dedicato alla compliance. L'AI analizza i gap, suggerisce rischi specifici per settore, genera policy complete e classifica automaticamente la gravità degli incidenti.
+
+ Gap Analysis AI + Risk Suggest AI + Policy Generate AI + Incident Classify AI + Dati anonimizzati +
+
+
+ + +
+
+
15
+
Moduli Integrati
+
+
+
+
80
+
Domande Assessment
+
+
+
+
22
+
Tabelle DB / 7 Ruoli
+
+
+
+
100%
+
Art. 21 Copertura
+
+
+
+
SaaS
+
Multi-Tenant
+
+
+ + +
+
A chi è destinato
+
+
+
1
+
+
PMI — Soggetti Importanti
+
Medie imprese nei settori Allegato I e II che necessitano di compliance NIS2 strutturata senza un team IT dedicato.
+
+
+
+
2
+
+
Enterprise — Soggetti Essenziali
+
Grandi organizzazioni in settori critici (energia, trasporti, sanità, finanza, ICT) soggette a vigilanza proattiva AGID/ACN.
+
+
+
+
3
+
+
Consulenti & CISO
+
Consulenti di sicurezza e CISO che gestiscono la compliance NIS2 per conto di più organizzazioni clienti da un'unica piattaforma.
+
+
+
+
+ + +
+
+
NIS2 Agile
+
nis2.certisource.it
+
+
+ Conforme a D.Lgs. 138/2024 (recepimento Direttiva UE 2022/2555)
+ Allineato ISO 27001 · GDPR · ACN Framework +
+
+ +
+ + diff --git a/docs/commercial/scheda-tecnica.html b/docs/commercial/scheda-tecnica.html new file mode 100644 index 0000000..3818357 --- /dev/null +++ b/docs/commercial/scheda-tecnica.html @@ -0,0 +1,660 @@ + + + + + +NIS2 Agile — Scheda Tecnica + + + +
+ + +
+
+

NIS2 Agile — Scheda Tecnica

+

Specifiche di architettura, stack tecnologico e integrazione

+
+
+
v1.0 — Febbraio 2026
+

nis2.certisource.it

+
+
+ +
+ + +
+
+
1
+
Stack Tecnologico
+
+
+
+
Backend
+
PHP 8.4 — vanilla, Front Controller pattern, zero dipendenze framework. Router personalizzato con pattern matching per URI gerarchici.
+
+
+
Database
+
MySQL 8.0 — 22 tabelle, indici ottimizzati, soft delete, trigger immutabili su audit_log. PDO con prepared statements.
+
+
+
Frontend
+
HTML5 / CSS3 / JavaScript — vanilla, nessun framework JS. 17 pagine HTML + 3 admin. CSS custom ~1.600 righe. i18n IT/EN integrato.
+
+
+
Autenticazione
+
JWT HS256 — access token 2h, refresh token 7d. Refresh atomico con SELECT FOR UPDATE. Idle timeout 30min con avviso.
+
+
+
AI Integration
+
Anthropic Claude — modello claude-sonnet-4-5. Prompt anonimizzati (no ragione sociale, no fatturato). 4 funzionalità AI.
+
+
+
Infrastruttura
+
Hetzner CPX31 — Ubuntu, Apache 2.4, subdomain dedicato. Docker-ready (Dockerfile + nginx.conf inclusi).
+
+
+
+ + +
+
+
2
+
Architettura Sistema
+
+
+
+
+
Browser
+
+ HTML5 Pages + api.js Client + i18n.js IT/EN + common.js Utils + help.js +
+
+
↓ HTTPS / JWT Bearer
+
+
Router
+
+ public/index.php — Front Controller + .htaccess Rewrite +
+
+
↓ /api/{controller}/{action}/{id?}
+
+
Controllers
+
+ Auth + Assessment + Risk + Incident + Policy + SupplyChain + Audit + + 8 altri +
+
+
↓ PDO / Services
+
+
Services
+
+ AIService (Claude) + EmailService + ReportService + RateLimitService + VisuraService +
+
+
↓ PDO Singleton
+
+
Database
+
+ MySQL 8.0 — nis2_agile_db — 22 tabelle +
+
+
+
+
+ + +
+
+
3
+
API REST — Endpoint Principali
+
+

Base URL: https://nis2.certisource.it/api/{controller}/{action}/{id?} — Auth: Bearer JWT + X-Organization-Id header

+ + + + + + + + + + + + + + + + + + + + + + + + + +
ModuloMetodoEndpointDescrizione
AuthPOST/auth/login, /register, /refreshLogin, registrazione, rinnovo token JWT
AuthGET/auth/meDati utente autenticato e organizzazioni
OrganizationsPOST/organizations/create, /classifyCrea org, classifica soggetto NIS2
AssessmentGET/assessments/{id}/questions80 domande gap analysis (10 categorie Art.21)
AssessmentPOST/assessments/{id}/ai-analyzeAnalisi AI dei gap con raccomandazioni
RisksGET/risks/matrixMatrice rischi 5×5 aggregata
RisksPOST/risks/ai-suggestSuggerimenti rischi AI per settore/asset
IncidentsPOST/incidents/{id}/early-warningEarly warning CSIRT entro 24h (Art.23)
IncidentsPOST/incidents/{id}/final-reportReport finale CSIRT entro 30gg (Art.23)
PoliciesPOST/policies/ai-generateGenera policy NIS2 con AI (per categoria)
AuditGET/audit/executive-reportReport esecutivo HTML stampabile
AuditGET/audit/export?type=risksExport CSV (rischi/incidenti/controlli/asset)
NCR/CAPAPOST/ncr/from-assessmentGenera NCR automatiche dai gap assessment
OnboardingPOST/onboarding/upload-visuraEstrazione AI da PDF visura camerale
+
+ + +
+
+
4
+
Schema Database — 22 Tabelle
+
+
+
organizations
Tenant principale + classificazione NIS2
+
users
Utenti (7 ruoli, multi-org)
+
user_organizations
Mapping utente↔org + ruolo
+
refresh_tokens
Token refresh JWT indicizzati
+
assessments
Sessioni gap analysis
+
assessment_responses
Risposte singole domande
+
risks
Register rischi (soft delete)
+
risk_treatments
Piani di trattamento
+
incidents
Incidenti + flag significativo
+
incident_timeline
Aggiornamenti e notifiche
+
policies
Policy (soft delete, versioning)
+
suppliers
Fornitori catena approvv.
+
training_courses
Catalogo corsi formazione
+
training_assignments
Assegnazioni e completamenti
+
assets
Inventario ICT (4 tipi)
+
compliance_controls
Controlli NIS2 per org
+
evidence_files
Allegati e documenti audit
+
audit_logs
Log immutabili (trigger MySQL)
+
ai_interactions
Storico chiamate API AI
+
email_log
Log notifiche email CSIRT
+
non_conformities
NCR — Non Conformity Reports
+
corrective_actions
CAPA — Azioni correttive
+
+
+ + +
+
+
5
+
Sicurezza Applicativa
+
+
+
+
JWT + Refresh Token Atomico
+
Access token 2h, refresh 7d. Rinnovo con SELECT FOR UPDATE (no race conditions). Revoca token al logout.
+
+
+
CORS Configurato
+
No wildcard. Origin verificata contro lista bianca configurabile. Header personalizzati sicuri.
+
+
+
Rate Limiting
+
File-based per IP (proxy-aware, X-Forwarded-For). Login: 5/min, 20/h. Register: 3/10min. AI: 10/min.
+
+
+
SQL Injection Prevention
+
PDO esclusivo con prepared statements. Nessuna concatenazione di query. Input validato lato server.
+
+
+
XSS Prevention
+
escapeHtml() su ogni output frontend. Content-Security-Policy header configurato.
+
+
+
Audit Log Immutabile
+
Trigger MySQL prevent_update + prevent_delete su audit_logs. Ogni operazione registrata con utente, azione e timestamp.
+
+
+
AI Data Privacy
+
Prompt anonimizzati: ragione sociale e fatturato mai inviati ad Anthropic. Dipendenti convertiti in range (micro/piccola/media/grande).
+
+
+
Idle Session Timeout
+
Logout automatico dopo 30 min di inattività. Avviso con countdown 5 min. Monitoraggio eventi mouse/keyboard/scroll.
+
+
+
+ + +
+
+
6
+
Performance Target
+
+
+
+
<1s
+
secondi
+
Caricamento Dashboard
+
+
+
<2s
+
secondi
+
Report Compliance
+
+
+
100+
+
rischi
+
Matrice Fluida
+
+
+
+
tenant
+
Multi-Tenant Isolati
+
+
+
+ + +
+
+
7
+
Opzioni di Deploy
+
+
+
+
Cloud SaaS
+
    +
  • Hosting su nis2.certisource.it
    • +
  • Zero configurazione client
    • +
  • Aggiornamenti automatici
    • +
  • Backup giornaliero incluso
    • +
  • SSL/TLS incluso
    • +
+
+
+
On-Premise / VPS
+
    +
  • PHP 8.4 + MySQL 8.0 + Apache/Nginx
    • +
  • Deploy via git pull + .env config
    • +
  • Supporto subdomain dedicato
    • +
  • Documentazione SQL migrations
    • +
  • Chiave SSH per accesso sicuro
    • +
+
+
+
Docker / Container
+
    +
  • Dockerfile ottimizzato incluso
    • +
  • docker-compose.yml pronto
    • +
  • nginx.conf + php.ini configurati
    • +
  • Compatibile Kubernetes
    • +
  • Multi-stage build support
    • +
+
+
+
+ + +
+
+
8
+
Copertura Normativa NIS2
+
+
+
Art. 20
Governance — Formazione obbligatoria management, responsabilità organi
+
Art. 21.1
Risk-based approach — Risk register, matrice rischi, trattamenti
+
Art. 21.2(a)
Politiche sicurezza — Gap analysis 80 domande, policy management
+
Art. 21.2(b)
Gestione incidenti — Ciclo di vita, classificazione AI, timeline
+
Art. 21.2(c)
Business continuity — Asset inventory, dipendenze, backup
+
Art. 21.2(d)
Supply chain — Registro fornitori, valutazione rischio, scoring
+
Art. 21.2(g)
Formazione — Training management, compliance tracking, report
+
Art. 23
Notifica incidenti — Early warning 24h, notifica 72h, report 30gg
+
Art. 32-33
Vigilanza — Audit log immutabili, evidenze, controlli compliance
+
D.Lgs. 138/2024
Recepimento italiano NIS2 — Classificazione soggetti, settori
+
+
+ +
+ + +
+
+ NIS2 Agile
+ Piattaforma SaaS compliance NIS2 per PMI e Enterprise +
+
+ nis2.certisource.it
+ Versione 1.0 · Febbraio 2026
+ 24.000+ righe di codice · 50+ file sorgente +
+
+ +
+ + diff --git a/public/js/common.js b/public/js/common.js index bc51b7a..b7a97c3 100644 --- a/public/js/common.js +++ b/public/js/common.js @@ -510,25 +510,26 @@ function _showIdleWarning() { 'background:rgba(0,0,0,0.55)', 'display:flex', 'align-items:center', 'justify-content:center' ].join(';'); + const _t = (key, fallback) => (typeof I18n !== 'undefined' ? I18n.t(key) : fallback); overlay.innerHTML = `
-

Sessione in scadenza

+

${_t('session.expiring_title', 'Sessione in scadenza')}

- Per motivi di sicurezza, verrai disconnesso tra
+ ${_t('session.expiring_msg', 'Per motivi di sicurezza, verrai disconnesso tra')}
5:00 - a causa di inattivita'. + ${_t('session.idle_reason', "a causa di inattivita'.")}

diff --git a/public/js/help.js b/public/js/help.js index 84f8d15..4b6c752 100644 --- a/public/js/help.js +++ b/public/js/help.js @@ -151,7 +151,8 @@ const HelpSystem = (function () { items: [ 'Ogni rischio registrato include: descrizione, categoria, asset coinvolti, owner e piano di trattamento.', 'Lo stato di ogni rischio e\' tracciato nel tempo con lo storico delle modifiche.', - 'I rischi possono essere collegati ad asset, incidenti e controlli di compliance.' + 'I rischi possono essere collegati ad asset, incidenti e controlli di compliance.', + 'La Matrice Rischi si aggiorna in tempo reale: eliminando un rischio dalla vista dettaglio, la matrice si ricalcola automaticamente senza richiedere un refresh manuale.' ] } ], @@ -234,7 +235,7 @@ const HelpSystem = (function () { 'La funzione Genera con AI crea automaticamente bozze di policy conformi NIS2.', 'L\'AI utilizza il contesto della tua organizzazione (settore, dimensione, classificazione) per personalizzare il contenuto.', 'Le policy generate includono: obiettivo, ambito di applicazione, responsabilita\', procedure e riferimenti normativi.', - 'Le bozze generate devono essere revisionate e personalizzate prima dell\'approvazione.' + 'Le bozze AI sono contrassegnate da un banner arancione di avviso che ricorda l\'obbligo di revisione prima dell\'approvazione. Il banner puo\' essere chiuso premendo la X.' ] }, { @@ -485,10 +486,11 @@ const HelpSystem = (function () { ] }, { - heading: 'Sicurezza', + heading: 'Sicurezza Account', items: [ - 'Modifica la password del tuo account.', - 'Visualizza le sessioni attive e disconnetti dispositivi remoti.', + 'Modifica la password del tuo account in qualsiasi momento.', + 'La piattaforma applica un timeout di sessione automatico dopo 30 minuti di inattivita\'. Un avviso con countdown appare 5 minuti prima del logout per permetterti di rimanere connesso.', + 'Il logout automatico protegge le informazioni sensibili in caso di postazione incustodita.', 'Configura le impostazioni di notifica per scadenze e alert.' ] } diff --git a/public/js/i18n.js b/public/js/i18n.js index 6c94cd1..92b7b40 100644 --- a/public/js/i18n.js +++ b/public/js/i18n.js @@ -168,6 +168,13 @@ const I18n = (function () { 'msg.error_connection': { it: 'Errore di connessione al server.', en: 'Server connection error.' }, 'msg.no_data': { it: 'Nessun dato disponibile.', en: 'No data available.' }, + // ── Sessione / Idle timeout ───────────────────── + 'session.expiring_title': { it: 'Sessione in scadenza', en: 'Session expiring' }, + 'session.expiring_msg': { it: 'Per motivi di sicurezza, verrai disconnesso tra', en: 'For security reasons, you will be logged out in' }, + 'session.idle_reason': { it: 'a causa di inattivita\'.', en: 'due to inactivity.' }, + 'session.stay': { it: 'Rimani connesso', en: 'Stay connected' }, + 'session.logout_now': { it: 'Disconnetti', en: 'Log out' }, + // ── Tempo relativo ───────────────────────────── 'time.now': { it: 'Adesso', en: 'Just now' }, 'time.min_ago': { it: 'min fa', en: 'min ago' },