diff --git a/docs/supplier-portal/template-nis2-base.questions.json b/docs/supplier-portal/template-nis2-base.questions.json
index 41a3f08..06aab8f 100644
--- a/docs/supplier-portal/template-nis2-base.questions.json
+++ b/docs/supplier-portal/template-nis2-base.questions.json
@@ -10,10 +10,10 @@
     { "order_index": 1, "code": "gvsc07_a_access_level", "text": "Qual e' il livello di accesso che la vostra fornitura richiede ai sistemi informativi e di rete del cliente?", "type": "single_choice", "options": ["nessun_accesso","accesso_applicativo_limitato","accesso_rete_segmentato","accesso_amministrativo_privilegiato"], "weight": 5, "required": true, "help_text": "ACN Allegato 2, GV.SC-07 §1.a: «il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS».", "nis2_ref": "GV.SC-07.a", "vuln_flag": "access_privileged_unmanaged", "high_criticality_only": false },
     { "order_index": 2, "code": "gvsc07_b_data_access", "text": "A quali tipologie di dati o proprieta' intellettuale del cliente avete accesso?", "type": "multi_choice", "options": ["nessun_dato","dati_aziendali_non_sensibili","dati_personali","dati_critici_o_segreti","proprieta_intellettuale"], "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-07 §1.b: «l'accesso del fornitore alla proprieta' intellettuale e ai dati anche sulla base della loro criticita'».", "nis2_ref": "GV.SC-07.b", "vuln_flag": "sensitive_data_access", "high_criticality_only": false },
     { "order_index": 3, "code": "gvsc07_c_disruption_impact", "text": "Disponete di misure che limitano l'impatto sul cliente in caso di grave interruzione della vostra fornitura?", "type": "yes_no_partial", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-07 §1.c: «l'impatto di una grave interruzione della fornitura».", "nis2_ref": "GV.SC-07.c", "vuln_flag": "no_continuity_for_client", "high_criticality_only": false },
-    { "order_index": 4, "code": "gvsc07_d_rto", "text": "Qual e' il vostro RTO (Recovery Time Objective) dichiarato, in ore, per il ripristino del servizio in caso di indisponibilita'?", "type": "number", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-07 §1.d: «i tempi e i costi di ripristino in caso di indisponibilita' dei servizi».", "nis2_ref": "GV.SC-07.d", "vuln_flag": "rto_undefined_or_high", "high_criticality_only": false },
+    { "order_index": 4, "code": "gvsc07_d_rto", "text": "Qual e' il vostro RTO (Recovery Time Objective) dichiarato, in ore, per il ripristino del servizio in caso di indisponibilita'?", "type": "number", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-07 §1.d: «i tempi e i costi di ripristino in caso di indisponibilita' dei servizi». [Interpretazione del prodotto: GV.SC-07.d richiede di valutare i tempi e i costi di ripristino ma non impone un valore di RTO ne soglie numeriche; la richiesta di un RTO in ore e le soglie di flag per criticita' sono una scelta metodologica della piattaforma.]", "nis2_ref": "GV.SC-07.d", "vuln_flag": "rto_undefined_or_high", "high_criticality_only": false },
     { "order_index": 5, "code": "gvsc07_d_recovery_cost", "text": "Avete documentato una stima dei tempi e dei costi di ripristino dei servizi forniti al cliente?", "type": "yes_no_partial", "options": null, "weight": 3, "required": true, "help_text": "ACN Allegato 2, GV.SC-07 §1.d: «i tempi e i costi di ripristino in caso di indisponibilita' dei servizi».", "nis2_ref": "GV.SC-07.d", "vuln_flag": "recovery_cost_unknown", "high_criticality_only": true },
     { "order_index": 6, "code": "gvsc07_e_roles", "text": "I ruoli e le responsabilita' del vostro personale nel governo dei sistemi informativi e di rete del cliente sono formalizzati (es. a contratto)?", "type": "yes_no_partial", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-07 §1.e: «i ruoli e le responsabilita' del fornitore nel governo dei sistemi informativi e di rete».", "nis2_ref": "GV.SC-07.e", "vuln_flag": "no_security_roles_defined", "high_criticality_only": false },
-    { "order_index": 7, "code": "iso27001", "text": "Disponete di una certificazione ISO/IEC 27001 (o equivalente) in corso di validita'?", "type": "yes_no_partial", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-01 §2.d «conformita' e audit di sicurezza»; affidabilita' del fornitore ex GV.SC-01 §2.a.", "nis2_ref": "GV.SC-01.2.d", "vuln_flag": "no_iso27001", "high_criticality_only": false },
+    { "order_index": 7, "code": "iso27001", "text": "Disponete di una certificazione ISO/IEC 27001 (o equivalente) in corso di validita'?", "type": "yes_no_partial", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-01 §2.d «conformita' e audit di sicurezza»; affidabilita' del fornitore ex GV.SC-01 §2.a. [Interpretazione del prodotto: l'Allegato 2 non richiede la certificazione ISO/IEC 27001; il suo possesso e' usato come indicatore (proxy) di «conformita' e audit di sicurezza», non come obbligo di legge.]", "nis2_ref": "GV.SC-01.2.d", "vuln_flag": "no_iso27001", "high_criticality_only": false },
     { "order_index": 8, "code": "mfa", "text": "Imponete l'autenticazione a piu' fattori (MFA) per gli accessi ai sistemi che trattano dati del cliente?", "type": "yes_no_partial", "options": null, "weight": 5, "required": true, "help_text": "ACN Allegato 2, GV.SC-01 §2.g «gestione dell'autenticazione, delle identita' digitali e del controllo accessi»; cfr. Direttiva (UE) 2022/2555, Art. 21.2.j (autenticazione a piu' fattori).", "nis2_ref": "GV.SC-01.2.g", "vuln_flag": "no_mfa", "high_criticality_only": false },
     { "order_index": 9, "code": "patching", "text": "Avete un processo formale di patch management e gestione delle vulnerabilita'?", "type": "yes_no_partial", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-01 §2.e «gestione delle vulnerabilita'»; cfr. Direttiva (UE) 2022/2555, Art. 21.2.e.", "nis2_ref": "GV.SC-01.2.e", "vuln_flag": "no_patch_mgmt", "high_criticality_only": false },
     { "order_index": 10, "code": "backup", "text": "Eseguite backup regolari con test di ripristino documentati?", "type": "yes_no_partial", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-01 §2.f «continuita' operativa e ripristino in caso di disastro».", "nis2_ref": "GV.SC-01.2.f", "vuln_flag": "no_backup_tested", "high_criticality_only": false },
@@ -28,10 +28,10 @@
     { "order_index": 19, "code": "gvsc01_c_hr_reliability", "text": "Verificate l'affidabilita' del personale (es. background check) prima di assegnarlo ad attivita' con accesso ai dati/sistemi del cliente?", "type": "yes_no_partial", "options": null, "weight": 3, "required": true, "help_text": "ACN Allegato 2, GV.SC-01 §2.c «affidabilita' delle risorse umane».", "nis2_ref": "GV.SC-01.2.c", "vuln_flag": "no_hr_screening", "high_criticality_only": false },
     { "order_index": 20, "code": "gvsc01_f_dr_plan", "text": "Disponete di un piano di continuita' operativa e di disaster recovery documentato e testato?", "type": "yes_no_partial", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-01 §2.f «continuita' operativa e ripristino in caso di disastro».", "nis2_ref": "GV.SC-01.2.f", "vuln_flag": "no_dr_plan", "high_criticality_only": false },
     { "order_index": 21, "code": "gvsc01_n_secdev_sdlc", "text": "In che misura il vostro ciclo di sviluppo prevede test di sicurezza pre-rilascio (SAST/DAST/code review)?", "type": "scale_1_5", "options": ["1_assenti","2_occasionali","3_su_progetti_chiave","4_sistematici","5_automatizzati_in_pipeline"], "weight": 2, "required": false, "help_text": "ACN Allegato 2, GV.SC-01 §2.n «sviluppo sicuro del codice e sicurezza fin dalla progettazione e per impostazione predefinita».", "nis2_ref": "GV.SC-01.2.n", "vuln_flag": "weak_sdlc", "high_criticality_only": true },
-    { "order_index": 22, "code": "gvsc02_security_contact", "text": "Avete designato un referente/punto di contatto per la sicurezza informatica per questa fornitura?", "type": "yes_no_partial", "options": null, "weight": 3, "required": true, "help_text": "ACN Allegato 2, GV.SC-02 §1 (ruoli e responsabilita' di sicurezza per fornitori «stabiliti, comunicati e coordinati internamente ed esternamente»).", "nis2_ref": "GV.SC-02.1", "vuln_flag": "no_security_contact", "high_criticality_only": false },
+    { "order_index": 22, "code": "gvsc02_security_contact", "text": "Avete designato un referente/punto di contatto per la sicurezza informatica per questa fornitura?", "type": "yes_no_partial", "options": null, "weight": 3, "required": true, "help_text": "ACN Allegato 2, GV.SC-02 (titolo): «I ruoli e le responsabilita' in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente». [Interpretazione del prodotto: la designazione di un punto di contatto sicurezza del fornitore e' una buona pratica per attuare GV.SC-02, non un obbligo testuale della misura.]", "nis2_ref": "GV.SC-02.1", "vuln_flag": "no_security_contact", "high_criticality_only": false },
     { "order_index": 23, "code": "gvsc02_staff_roles", "text": "I ruoli e le responsabilita' in materia di sicurezza del vostro personale che opera presso/per il cliente sono definiti e comunicati?", "type": "yes_no_partial", "options": null, "weight": 3, "required": true, "help_text": "ACN Allegato 2, GV.SC-02 §1: «i ruoli e responsabilita' in materia di sicurezza informatica assegnati al personale delle terze parti».", "nis2_ref": "GV.SC-02.1", "vuln_flag": "no_staff_security_roles", "high_criticality_only": false },
-    { "order_index": 24, "code": "gvsc05_contract_clauses", "text": "Siete disponibili ad accettare clausole contrattuali di sicurezza informatica richieste dal cliente?", "type": "yes_no_partial", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-05 §1 (requisiti di sicurezza «integrati nei contratti e in altri tipi di accordi con i fornitori»).", "nis2_ref": "GV.SC-05.1", "vuln_flag": "no_security_clauses", "high_criticality_only": false },
+    { "order_index": 24, "code": "gvsc05_contract_clauses", "text": "Siete disponibili ad accettare clausole contrattuali di sicurezza informatica richieste dal cliente?", "type": "yes_no_partial", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-05 §1: «i requisiti di sicurezza di cui alla misura GV.SC-01, punto 1, lettera b) sono inseriti nelle richieste di offerta, bandi di gara, contratti, accordi e convenzioni relativi alle forniture con potenziale impatto sulla sicurezza dei sistemi informativi e di rete».", "nis2_ref": "GV.SC-05.1", "vuln_flag": "no_security_clauses", "high_criticality_only": false },
     { "order_index": 25, "code": "gvsc05_audit_right", "text": "Consentite al cliente di verificare periodicamente, anche tramite audit, la conformita' della fornitura ai requisiti di sicurezza?", "type": "yes_no_partial", "options": null, "weight": 3, "required": true, "help_text": "ACN Allegato 2, GV.SC-07 §2: «E' verificata periodicamente e documentata la conformita' delle forniture ai requisiti di cui alla misura GV.SC-05».", "nis2_ref": "GV.SC-07.2", "vuln_flag": "no_audit_right", "high_criticality_only": true },
-    { "order_index": 26, "code": "gvsc05_breach_notify", "text": "Vi impegnate contrattualmente a notificare al cliente incidenti/violazioni di sicurezza entro termini definiti?", "type": "yes_no_partial", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-05 §1 (requisiti integrati nei contratti) in combinato con GV.SC-01 §2.m «gestione e segnalazione degli incidenti».", "nis2_ref": "GV.SC-05.1", "vuln_flag": "no_contractual_breach_notify", "high_criticality_only": false }
+    { "order_index": 26, "code": "gvsc05_breach_notify", "text": "Vi impegnate contrattualmente a notificare al cliente incidenti/violazioni di sicurezza entro termini definiti?", "type": "yes_no_partial", "options": null, "weight": 4, "required": true, "help_text": "ACN Allegato 2, GV.SC-05 §1 (inserimento nei contratti dei requisiti di sicurezza di cui a GV.SC-01 punto 1 lett. b) in combinato con GV.SC-01 §2.m «gestione e segnalazione degli incidenti». [Interpretazione: la notifica al cliente entro termini definiti e' una clausola contrattuale derivata, coerente con GV.SC-01 §2.m + GV.SC-05.]", "nis2_ref": "GV.SC-05.1", "vuln_flag": "no_contractual_breach_notify", "high_criticality_only": false }
   ]
 }