AdminGit2026/nis2-agile
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

[DOCS] guida.html: recepite note tester con fonti certe ACN (soglie/Agile, requisiti ACN, terminologia incidenti, sanzioni FAIR)

Browse Source 
- cap-2: ambito size-independent (DNS/TLD/cloud/data center/CDN/IXP/comunicazioni/servizi fiduciari/MSP-MSSP) + Agile caso reale (servizi gestiti B2B). Fonte: Dir.(UE)2022/2555 art.2 + Ambiti NIS2.
- cap-5: livello requisiti operativi ACN. Determina 164179/2025 + Framework Nazionale 2025 (GV/ID/PR/DE/RS/RC). Importanti 37 misure/87 req (All.1); essenziali 43/116 (All.2), codifica identica + requisiti aggiuntivi. Esempi GV.RR-04 (adeguatezza al ruolo)/GV.PO-01. Chiarito framing 80 domande.
- cap-6: FAIR collegato alle soglie sanzionatorie (NIS2 art.34: essenziali 10M/2%, importanti 7M/1,4%; GDPR art.83 20M/4%).
- cap-7: terminologia normativa IT (preallarme/notifica/relazione finale) accanto ai termini EN.
- nis2_sources.php: nuova fonte certa acn_specifiche_base_2025 (numeri allegati + URL ACN).
Numeri 37/87 e 43/116 verificati su fonti ACN concordanti (acn.gov.it).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
This commit is contained in:
DevEnv nis2-agile 2026-05-31 07:49:01 +02:00
parent 74e36d2474
commit 4caaa97c60
2 changed files with 84 additions and 7 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

9
application/config/nis2_sources.php
View File

@ -72,4 +72,13 @@ return [
'authority' => 'ACN / Allegati al D.Lgs. 138/2024', 'authority' => 'ACN / Allegati al D.Lgs. 138/2024',
'url' => 'https://www.acn.gov.it/', 'url' => 'https://www.acn.gov.it/',
], ],
'acn_specifiche_base_2025' => [
'key' => 'acn_specifiche_base_2025',
'short' => 'Specifiche di base ACN (Framework Nazionale 2025)',
'citation' => 'ACN, Misure di sicurezza di base NIS - Allegati 1 e 2 alla Determinazione n. 164179/2025',
'full' => 'Misure di sicurezza di base (Determinazione ACN 164179/2025) articolate secondo il Framework Nazionale per la Cybersecurity e la Data Protection (ed. 2025): funzioni Governance (GV), Identificazione (ID), Protezione (PR), Rilevazione (DE), Risposta (RS), Ripristino (RC), poi categorie, sottocategorie e requisiti. Soggetti importanti: 37 misure / 87 requisiti (Allegato 1). Soggetti essenziali: 43 misure / 116 requisiti (Allegato 2), codifica identica con requisiti aggiuntivi. Esempi: GV.RR-04 (cybersicurezza nelle risorse umane, adeguatezza al ruolo), GV.PO-01 (policy di gestione del rischio). Adozione: 18 mesi dalla notifica di inserimento nell elenco NIS.',
'file' => 'docs/nis2/Determina164179_apr2025.pdf',
'authority' => 'Agenzia per la Cybersicurezza Nazionale (ACN)',
'url' => 'https://www.acn.gov.it/portale/nis/modalita-specifiche-base',
],
]; ];

82
public/guida.html
View File

@ -212,8 +212,29 @@
<li><strong>Media impresa</strong> = 50249 dipendenti <em>oppure</em> fatturato tra 10 e 50 milioni €.</li> <li><strong>Media impresa</strong> = 50249 dipendenti <em>oppure</em> fatturato tra 10 e 50 milioni €.</li>
<li><strong>Grande impresa</strong> = ≥250 dipendenti <em>oppure</em> fatturato &gt;50 milioni €.</li> <li><strong>Grande impresa</strong> = ≥250 dipendenti <em>oppure</em> fatturato &gt;50 milioni €.</li>
</ul> </ul>
<p>In generale: medie e grandi imprese nei settori sopra elencati sono in scope. Le piccole sono in scope <p>In generale: medie e grandi imprese nei settori sopra elencati sono in scope.</p>
solo in casi particolari (es. fornitori di servizi DNS, TLD, registrar).</p>
<h3>In scope a prescindere dalla dimensione</h3>
<p>Attenzione: alcune <strong>tipologie di soggetto sono in ambito anche se piccole o microimprese</strong>,
indipendentemente dalle soglie dimensionali. Tra queste (Direttiva (UE) 2022/2555, art. 2; D.Lgs. 138/2024):</p>
<ul>
<li>fornitori di servizi <strong>DNS</strong>, gestori di registri di <strong>TLD</strong> e di
<strong>registrazione nomi di dominio</strong>;</li>
<li>fornitori di <strong>cloud computing</strong>, <strong>data center</strong>, <strong>CDN</strong>,
<strong>IXP</strong> (punti di interscambio Internet);</li>
<li>fornitori di <strong>reti e servizi di comunicazione elettronica</strong> pubblici;
prestatori di <strong>servizi fiduciari</strong>;</li>
<li><strong>fornitori di servizi gestiti (MSP)</strong> e <strong>fornitori di servizi di sicurezza
gestiti (MSSP)</strong> — la categoria "Gestione dei servizi TIC (business-to-business)";</li>
<li>la <strong>Pubblica Amministrazione</strong> nei casi previsti.</li>
</ul>
<div class="callout-tip">
<strong>Caso reale: Agile Technology.</strong> Una software house che eroga a terzi una piattaforma SaaS
e servizi ICT gestiti (come NIS2 Agile stessa) rientra tipicamente tra i <strong>fornitori di servizi
gestiti B2B</strong>: in questo caso è in ambito <em>a prescindere dal numero di dipendenti o dal
fatturato</em>. La qualificazione formale (essenziale/importante) va confermata caso per caso, ma
l'esenzione "piccola impresa" qui non si applica.
</div>
<div class="example-box"> <div class="example-box">
<strong>Esempio pratico.</strong> "Aurora Sanità S.p.A." con 480 dipendenti e 92 milioni € di fatturato, <strong>Esempio pratico.</strong> "Aurora Sanità S.p.A." con 480 dipendenti e 92 milioni € di fatturato,
@ -384,6 +405,42 @@
<li>Salva: puoi continuare in più sessioni.</li> <li>Salva: puoi continuare in più sessioni.</li>
<li>Quando finisci, clicca <strong>"Analisi AI"</strong> per ricevere raccomandazioni prioritarie.</li> <li>Quando finisci, clicca <strong>"Analisi AI"</strong> per ricevere raccomandazioni prioritarie.</li>
</ol> </ol>
<h3>Dalle 10 misure ai requisiti operativi ACN (specifiche di base)</h3>
<p>Le 10 categorie dell'Art. 21 sono il <strong>livello "cosa"</strong>. Il <strong>livello "come"
operativo</strong> in Italia è dettagliato dall'ACN nella <strong>Determinazione n. 164179 del 14 aprile
2025</strong>, che adotta le <em>specifiche di base</em> articolate secondo il <strong>Framework Nazionale
per la Cybersecurity e la Data Protection (ed. 2025)</strong>. Struttura: <strong>funzioni → categorie →
sottocategorie → requisiti</strong>, con sei funzioni — <strong>GV</strong> Governance, <strong>ID</strong>
Identificazione, <strong>PR</strong> Protezione, <strong>DE</strong> Rilevazione, <strong>RS</strong>
Risposta, <strong>RC</strong> Ripristino.</p>
<p>La codifica dei requisiti è <strong>la stessa per soggetti importanti ed essenziali</strong>; gli
essenziali hanno semplicemente <strong>requisiti aggiuntivi</strong>:</p>
<ul>
<li><strong>Soggetti importanti</strong> — 37 misure, 87 requisiti (<em>Allegato 1</em>).</li>
<li><strong>Soggetti essenziali</strong> — 43 misure, 116 requisiti (<em>Allegato 2</em>): cioè
<strong>+6 misure e +29 requisiti</strong> rispetto agli importanti.</li>
</ul>
<div class="example-box">
<strong>Esempio (requisiti di governance).</strong> <code>GV.RR-04</code> richiede che la cybersicurezza
sia integrata nella gestione delle risorse umane: chi accede ai sistemi (utenti e amministratori) deve
avere <strong>competenze e affidabilità adeguate al ruolo</strong>, valutate e documentate.
<code>GV.PO-01</code> richiede una <strong>policy di gestione del rischio cyber</strong> formalizzata,
comunicata e applicata. È il "controllo di adeguatezza al ruolo" delle figure chiave dell'organigramma.
</div>
<div class="callout-tip">
<strong>Come si collega alla piattaforma.</strong> Le <strong>80 domande</strong> della Gap Analysis
(8 × 10 categorie Art. 21) danno il quadro di maturità di primo livello; le <strong>specifiche di base
ACN</strong> (Allegati 12) sono il dettaglio operativo verso cui portare l'implementazione. Il modulo
<em>Audit &amp; Report</em> include il mapping ai controlli del framework (es. <code>GV.OC-04</code>,
<code>GV.RR-04</code>, <code>GV.PO-01</code>).
</div>
<div class="norm-box">
<span class="article-tag">Determina ACN 164179/2025 + Framework Nazionale 2025</span>
Misure di sicurezza di base: Allegato 1 (importanti) e Allegato 2 (essenziali); incidenti significativi
di base: Allegato 3 (importanti) e Allegato 4 (essenziali). Termine di adozione: 18 mesi dalla notifica
di inserimento nell'elenco NIS. Fonte: Agenzia per la Cybersicurezza Nazionale (acn.gov.it).
</div>
</section> </section>
<!-- Cap 6 --> <!-- Cap 6 -->
@ -450,6 +507,16 @@
<p>Il <strong>Registro Quantitativo</strong> somma l'ALE di tutti i rischi quantificati, dando <p>Il <strong>Registro Quantitativo</strong> somma l'ALE di tutti i rischi quantificati, dando
l'esposizione economica complessiva del portafoglio.</p> l'esposizione economica complessiva del portafoglio.</p>
<div class="callout-tip">
<strong>Perché serve quantificare in euro.</strong> L'ALE va sempre confrontata con il <em>costo</em>
della non-conformità, non solo con il costo delle misure. Le sanzioni NIS2 (art. 34 Direttiva (UE)
2022/2555, recepito dal D.Lgs. 138/2024) arrivano fino a <strong>10 milioni € o il 2% del fatturato
mondiale annuo</strong> (il maggiore) per i soggetti <strong>essenziali</strong>, e fino a
<strong>7 milioni € o l'1,4%</strong> per gli <strong>importanti</strong>. Se l'incidente comporta anche
una violazione di dati personali, si aggiunge la sanzione GDPR (art. 83) fino a <strong>20 milioni €
o il 4%</strong>. Mettere l'ALE accanto a queste soglie aiuta la Direzione a decidere quanto investire.
</div>
<h3>Indicatori chiave di rischio KRI (vista "KRI")</h3> <h3>Indicatori chiave di rischio KRI (vista "KRI")</h3>
<p>I KRI sono <strong>sensori</strong> che monitorano nel tempo segnali di rischio (es. "% endpoint <p>I KRI sono <strong>sensori</strong> che monitorano nel tempo segnali di rischio (es. "% endpoint
senza MFA", "n. vulnerabilità critiche aperte"). Per ogni indicatore definisci un valore corrente e senza MFA", "n. vulnerabilità critiche aperte"). Per ogni indicatore definisci un valore corrente e
@ -483,18 +550,19 @@
<h3>La timeline</h3> <h3>La timeline</h3>
<div class="pillar-card"> <div class="pillar-card">
<h4><span class="pillar-num">24h</span> Early Warning</h4> <h4><span class="pillar-num">24h</span> Preallarme <span style="font-weight:400;color:#64748b;">(early warning)</span></h4>
<p>Prima segnalazione "veloce". Bastano: cosa è successo, sospetti di malevolenza, impatto preliminare. <p>Prima segnalazione "veloce". Bastano: cosa è successo, sospetti di malevolenza, impatto preliminare.
Non devi avere ancora tutte le risposte.</p> Non devi avere ancora tutte le risposte. <em>Termine normativo: preallarme (art. 23 D.Lgs. 138/2024).</em></p>
</div> </div>
<div class="pillar-card"> <div class="pillar-card">
<h4><span class="pillar-num">72h</span> Notifica completa</h4> <h4><span class="pillar-num">72h</span> Notifica dell'incidente <span style="font-weight:400;color:#64748b;">(notification)</span></h4>
<p>Aggiornamento dettagliato: indicatori di compromissione, sistemi colpiti, misure di contenimento <p>Aggiornamento dettagliato: indicatori di compromissione, sistemi colpiti, misure di contenimento
applicate, stima impatto.</p> applicate, stima impatto.</p>
</div> </div>
<div class="pillar-card"> <div class="pillar-card">
<h4><span class="pillar-num">30d</span> Final Report</h4> <h4><span class="pillar-num">30d</span> Relazione finale <span style="font-weight:400;color:#64748b;">(final report)</span></h4>
<p>Analisi completa: root cause, azioni correttive, lezioni apprese, raccomandazioni per il futuro.</p> <p>Analisi completa: causa radice, azioni correttive, lezioni apprese, raccomandazioni per il futuro.
<em>Termine normativo: relazione finale, entro 1 mese (art. 23 D.Lgs. 138/2024).</em></p>
</div> </div>
<div class="example-box"> <div class="example-box">