From fffee8e0bc5056989aed1343ad7c3571348899bd Mon Sep 17 00:00:00 2001
From: DevEnv nis2-agile <dev@certisource.it>
Date: Sun, 31 May 2026 08:14:51 +0200
Subject: [PATCH] [DOCS] guida: fix review giurista (cap-7 criteri
 significativo=indicatori prodotto+art.23c.3; cap-2 criterio bilancio 43M/10M
 + data center/DORA/fiduciari)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

🔴 cap-7: i criteri 500utenti/4h/100k€ NON sono legge -> marcati come indicatori di triage del prodotto; criterio legale reale = art.23 c.3 (grave perturbazione/perdite o impatto considerevole su terzi); soglie quantitative -> Allegati 3/4 ACN + Reg.(UE)2024/2690. Plain-box: 30 giorni -> un mese, terminologia preallarme/notifica/relazione finale.
🔴 cap-2: aggiunto terzo criterio dimensionale (totale bilancio: grande >43M, media >=10M); data center spostati tra importanti; nota DORA lex specialis banche/finanza; servizi fiduciari qualificati/non qualificati.
Fonti: Dir.(UE)2022/2555 art.23/art.34, AmbitiNIS2, Determina 164179/2025.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
---
 public/guida.html | 41 +++++++++++++++++++++++++++++------------
 1 file changed, 29 insertions(+), 12 deletions(-)

diff --git a/public/guida.html b/public/guida.html
index 8647af8..419abef 100644
--- a/public/guida.html
+++ b/public/guida.html
@@ -197,8 +197,12 @@
 
                     <div class="pillar-card">
                         <h4>Settori <strong style="color:#dc2626;">essenziali</strong> (controlli più stringenti)</h4>
-                        <p>Energia, trasporti, banche, finanza, sanità, acqua potabile e reflue, infrastrutture digitali
-                        (data center, DNS, TLD), Pubblica Amministrazione, spazio.</p>
+                        <p>Energia, trasporti, banche e finanza (per i quali vale spesso <strong>DORA</strong> come disciplina
+                        speciale), sanità, acqua potabile e reflue, infrastrutture digitali (DNS, TLD, cloud, IXP, CDN),
+                        Pubblica Amministrazione, spazio.</p>
+                        <p style="font-size:.85rem;color:#64748b;">Nota: dentro le infrastrutture digitali la qualifica può
+                        variare — es. i <strong>data center</strong> figurano tra gli <em>importanti</em>; i
+                        <strong>servizi fiduciari</strong> sono essenziali se qualificati, importanti se non qualificati.</p>
                     </div>
 
                     <div class="pillar-card">
@@ -209,9 +213,13 @@
 
                     <h3>Le soglie dimensionali</h3>
                     <ul>
-                        <li><strong>Media impresa</strong> = 50–249 dipendenti <em>oppure</em> fatturato tra 10 e 50 milioni €.</li>
-                        <li><strong>Grande impresa</strong> = ≥250 dipendenti <em>oppure</em> fatturato &gt;50 milioni €.</li>
+                        <li><strong>Media impresa</strong> = ≥50 dipendenti <em>oppure</em> fatturato ≥10 milioni €
+                        <em>oppure</em> totale di bilancio ≥10 milioni €.</li>
+                        <li><strong>Grande impresa</strong> = ≥250 dipendenti <em>oppure</em> fatturato &gt;50 milioni €
+                        <em>oppure</em> totale di bilancio &gt;43 milioni €.</li>
                     </ul>
+                    <p style="font-size:.85rem;color:#64748b;">Basta soddisfare <strong>uno</strong> dei tre criteri (dipendenti,
+                    fatturato o bilancio): un'azienda può rientrare anche solo per il totale di bilancio.</p>
                     <p>In generale: medie e grandi imprese nei settori sopra elencati sono in scope.</p>
 
                     <h3>In scope a prescindere dalla dimensione</h3>
@@ -534,19 +542,28 @@
 
                     <div class="plain-box">
                         <strong>In parole semplici.</strong> Se hai un incidente "significativo" devi avvisare il CSIRT
-                        (la squadra nazionale di risposta cyber) in tre tappe: una prima allerta entro 24 ore, una
-                        notifica completa entro 72 ore, e un report finale entro 30 giorni.
+                        (la squadra nazionale di risposta cyber) in tre tappe: un preallarme entro 24 ore, una
+                        notifica entro 72 ore, e una relazione finale entro un mese.
                     </div>
 
                     <h3>Quando un incidente è "significativo"?</h3>
-                    <p>Almeno uno di questi criteri:</p>
+                    <p>Il criterio <strong>legale</strong> (art. 23, comma 3, D.Lgs. 138/2024 e Direttiva (UE) 2022/2555)
+                    è qualitativo: un incidente è significativo se</p>
                     <ul>
-                        <li>Ha colpito <strong>≥ 500 utenti</strong>.</li>
-                        <li>Ha bloccato i servizi per <strong>&gt; 4 ore</strong>.</li>
-                        <li>Ha <strong>impatto transfrontaliero</strong> (altri Stati UE).</li>
-                        <li>È un <strong>cyber attack</strong> intenzionale (ransomware, DDoS, intrusione…).</li>
-                        <li>Ha generato danni economici diretti &gt; <strong>100.000 €</strong>.</li>
+                        <li>ha causato o può causare una <strong>grave perturbazione operativa</strong> dei servizi o
+                        <strong>perdite finanziarie</strong> per il soggetto; <em>oppure</em></li>
+                        <li>si è ripercosso su <strong>altre persone</strong> (fisiche o giuridiche) causando perdite
+                        materiali o immateriali <strong>considerevoli</strong>.</li>
                     </ul>
+                    <p>Le <strong>soglie quantitative</strong> precise sono fissate dagli <strong>Allegati 3 (importanti)
+                    e 4 (essenziali) della Determina ACN 164179/2025</strong> (e, per i fornitori digitali, dal Reg. (UE)
+                    2024/2690) e variano per tipologia di soggetto.</p>
+                    <div class="callout-tip">
+                        <strong>Indicatori usati dalla piattaforma per il triage</strong> (non sono soglie di legge, ma
+                        aiutano a capire se sei vicino alla significatività): ≥ 500 utenti colpiti · blocco servizi &gt; 4 ore ·
+                        impatto transfrontaliero · attacco intenzionale (ransomware, DDoS, intrusione) · danni diretti
+                        &gt; 100.000 €. Verifica sempre la soglia ufficiale ACN applicabile al tuo caso.
+                    </div>
 
                     <h3>La timeline</h3>
                     <div class="pillar-card">