AdminGit2026/nis2-agile
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

[DOCS] guida.html: completate le 7 sezioni novita mancanti (ingestion SIEM, attestation+versioning policy, self-assessment fornitori, import CMDB, monitoraggio continuo, connettori per-azienda)

Browse Source 
Completa l'allineamento iniziato in 5e2534e (FAIR/KRI/benchmark). Ora tutte e 10 le nuove
funzionalita sono documentate nei capitoli pertinenti. Ancore cap-X intatte, HTML bilanciato.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
This commit is contained in:
DevEnv nis2-agile 2026-05-30 12:37:38 +02:00
parent 5e2534e23a
commit 397d1814d2
1 changed files with 74 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

74
public/guida.html
View File

@ -245,6 +245,17 @@
<li>Inventariare gli <strong>asset</strong> critici.</li> <li>Inventariare gli <strong>asset</strong> critici.</li>
<li>Estrarre <strong>report</strong> per audit interni o per le autorità.</li> <li>Estrarre <strong>report</strong> per audit interni o per le autorità.</li>
</ul> </ul>
<h3>Connettori per azienda (Evidence Automation)</h3>
<p>Dalla scheda di ogni azienda cliente puoi configurare i <strong>connettori</strong> verso i sistemi
esterni (Microsoft 365, Google Workspace, AWS, Azure, Identity Provider, EDR, SIEM, ticketing): sono le
fonti da cui la piattaforma raccoglie automaticamente le evidenze di conformità.</p>
<div class="callout-tip">
<strong>Sicurezza dei segreti.</strong> Nella scheda inserisci solo i parametri non sensibili (es.
tenant id, client id). Le <strong>credenziali segrete</strong> non vengono mai salvate nel prodotto:
sono custodite separatamente nel vault cifrato. Dopo il salvataggio la piattaforma indica il
comando per caricare il segreto nel vault.
</div>
</section> </section>
<!-- Cap 4 --> <!-- Cap 4 -->
@ -509,6 +520,18 @@
Stabilisce gli obblighi di segnalazione degli incidenti significativi al CSIRT competente. Il mancato Stabilisce gli obblighi di segnalazione degli incidenti significativi al CSIRT competente. Il mancato
rispetto delle scadenze è sanzionabile fino al 2% del fatturato globale per le entità essenziali. rispetto delle scadenze è sanzionabile fino al 2% del fatturato globale per le entità essenziali.
</div> </div>
<h3>Apertura automatica da SIEM/SOC/EDR</h3>
<p>Oltre all'inserimento manuale, gli incidenti possono essere <strong>creati in automatico</strong>
dai tuoi sistemi di sicurezza (SIEM, SOC, EDR) tramite la Services API. Quando un alert arriva, la
piattaforma crea l'incidente, ne propone la <strong>classificazione con l'AI</strong> (tipologia
IS-1…IS-4, gravità) e fa partire i tempi Art. 23. Gli alert duplicati vengono riconosciuti e non
creano doppioni.</p>
<div class="callout-tip">
<strong>Per chi integra.</strong> L'endpoint è <code>POST /api/services/incidents-ingest</code>
con una API key dedicata (scope <code>ingest:incidents</code>). Trasforma il modulo incidenti da
reattivo a proattivo.
</div>
</section> </section>
<!-- Cap 8 --> <!-- Cap 8 -->
@ -541,6 +564,21 @@
<h3>Stati di una policy</h3> <h3>Stati di una policy</h3>
<p>Bozza → In revisione → Approvata → Pubblicata → Archiviata (quando sostituita).</p> <p>Bozza → In revisione → Approvata → Pubblicata → Archiviata (quando sostituita).</p>
<h3>Presa visione dei dipendenti (attestation)</h3>
<p>Non basta scrivere una policy: devi poter <strong>dimostrare</strong> che il personale l'ha letta.
Per ogni policy approvata, i dipendenti registrano la <strong>presa visione</strong> con un clic; la
piattaforma tiene la copertura (es. "32 su 40 hanno preso visione") e mostra chi manca.</p>
<div class="callout-tip">
<strong>Importante.</strong> L'attestation è <strong>legata alla versione</strong>: se aggiorni la
policy e la riapprovi con una nuova versione, chi aveva firmato la versione precedente deve
prendere visione di nuovo. Così la prova di lettura è sempre sulla versione corrente.
</div>
<h3>Storico versioni e confronto (diff)</h3>
<p>Ad ogni approvazione la piattaforma salva uno <strong>snapshot</strong> del contenuto. Puoi vedere
lo <strong>storico delle versioni</strong> e confrontare due versioni (<strong>diff</strong>) per
capire esattamente cosa è cambiato — righe aggiunte e rimosse — utile in sede di audit.</p>
</section> </section>
<!-- Cap 9 --> <!-- Cap 9 -->
@ -569,6 +607,18 @@
non chiaro). Azione: clausola contrattuale che vieta sub-appalto senza autorizzazione e non chiaro). Azione: clausola contrattuale che vieta sub-appalto senza autorizzazione e
impone notifica incidenti entro 24h. impone notifica incidenti entro 24h.
</div> </div>
<h3>Questionario self-assessment al fornitore</h3>
<p>Dalla scheda di un fornitore puoi <strong>inviare un questionario di sicurezza</strong>: la
piattaforma genera un link con scadenza che il fornitore compila <strong>senza dover avere un
account</strong>. Le domande coprono i temi NIS2 (ISO 27001, MFA, patch, backup, gestione incidenti,
cifratura, sub-fornitori).</p>
<p>Alla consegna, il sistema calcola in automatico un <strong>punteggio</strong> e aggiorna la scheda
del fornitore, così il suo livello di rischio si allinea da solo alle risposte ricevute.</p>
<div class="example-box">
<strong>Esempio.</strong> Invii il questionario al provider cloud. Compila il link entro 30 giorni:
7 "sì" e 1 "parziale" → punteggio 94/100, requisiti di sicurezza soddisfatti.
</div>
</section> </section>
<!-- Cap 10 --> <!-- Cap 10 -->
@ -637,6 +687,18 @@
il portale prenotazioni. Per ognuno: criticità, vendor, location, owner. Quando arriva un incidente il portale prenotazioni. Per ognuno: criticità, vendor, location, owner. Quando arriva un incidente
o un rischio, può essere associato a uno o più asset → tracciabilità totale. o un rischio, può essere associato a uno o più asset → tracciabilità totale.
</div> </div>
<h3>Scoring di rilevanza NIS2 e import da CMDB/cloud/CSV</h3>
<p>La piattaforma calcola un <strong>punteggio di rilevanza (0100)</strong> per ogni asset, su 6
criteri (criticità operativa, impatto, dati trattati, dipendenze, esposizione, obblighi normativi).
Invece di inserirli uno a uno, puoi <strong>importarli in blocco</strong> con il pulsante "Importa":
carichi un CSV (o un export dal CMDB/cloud) e la piattaforma crea gli asset calcolando
<strong>automaticamente</strong> il punteggio per ciascuno.</p>
<div class="callout-tip">
<strong>Niente duplicati.</strong> Se indichi un identificativo esterno (<code>external_ref</code>),
re-importare lo stesso asset lo <strong>aggiorna</strong> invece di duplicarlo: ideale per
sincronizzazioni periodiche dal CMDB.
</div>
</section> </section>
<!-- Cap 12 --> <!-- Cap 12 -->
@ -659,6 +721,18 @@
<li><strong>Export CSV</strong>: rischi, incidenti, controlli, asset.</li> <li><strong>Export CSV</strong>: rischi, incidenti, controlli, asset.</li>
</ul> </ul>
<h3>Monitoraggio continuo dei controlli</h3>
<p>La scheda "Monitoraggio Continuo" mostra lo stato di <strong>freschezza</strong> di ogni controllo,
alimentato dalle <strong>evidenze raccolte automaticamente</strong> dai connettori (Evidence
Automation). Invece di una verifica "una tantum", vedi a colpo d'occhio cosa è ancora valido e cosa va
rinnovato, con un semaforo: <strong>verde</strong> (sano), <strong>ambra</strong> (attenzione),
<strong>arancio</strong> (evidenza scaduta), <strong>rosso</strong> (non conforme), grigio (non
monitorato). La copertura indica quanti controlli sono alimentati da evidenze automatiche.</p>
<div class="callout-tip">
<strong>Perché conta.</strong> Avvicina l'azienda a una compliance <em>continua</em> anziché
fotografata una volta l'anno: è il modello dei migliori strumenti internazionali.
</div>
<div class="example-box"> <div class="example-box">
<strong>Esempio.</strong> Pre-audit ISO 27001: genera il report esecutivo, esporta in CSV <strong>Esempio.</strong> Pre-audit ISO 27001: genera il report esecutivo, esporta in CSV
rischi e controlli, scarica l'audit log certificato. L'auditor ha tutto in 5 minuti. rischi e controlli, scarica l'audit log certificato. L'auditor ha tutto in 5 minuti.