Evix Suite — Analisi Concorrenza & posizionamento Best-of-Breed
Obiettivo strategico: ogni modulo della suite Evix (i prodotti Agile) deve essere best-of-breed nel proprio dominio. Questo documento valuta onestamente dove lo siamo già e dove mancano feature per diventarlo, rispetto a piattaforme GRC internazionali e soluzioni NIS2/compliance italiane.
Nota metodologica (fonti certe). Le capacità di Evix/NIS2 Agile riportate sono verificate sul codice sorgente del prodotto (feature realmente implementate al 2026-05-29, v1.7.0). Le capacità dei concorrenti riflettono posizionamenti generali di pubblico dominio e vanno verificate prima di qualsiasi uso commerciale: le celle marcate [da verificare] richiedono una fonte primaria (sito vendor, demo, analyst report). Questo è un documento interno, non un materiale di marketing.
1. La suite Evix come insieme di moduli
Evix = brand-ombrello; ciascun prodotto Agile è un "modulo" della suite, integrabile via API condivise (agile-services) e SSO centralizzato.
Integrato con NIS2 via Services API (mapping NIS2→MOG)
SustainAI Agile
In suite
Sostenibilità / ESG / CSRD
Stesso stack UI/RAG
TRPG Agile
In suite
Risk & privacy / governance
Allineamento Auth/SSO/Sessions in corso
Il vantaggio competitivo di suite (non del singolo modulo) è l'integrazione cross-prodotto + motore AI/RAG condiviso + multi-tenancy e white-label per studi di consulenza. Sotto, il dettaglio modulo-per-modulo del prodotto NIS2 (il più maturo); gli altri prodotti richiedono un audit analogo dedicato.
2. Scorecard Best-of-Breed — moduli di NIS2 Agile
Verde = già best-of-breed nel segmento NIS2 Italia · Giallo = competitivo, gap colmabili · Rosso = gap rilevante vs leader di categoria
Gap Analysis Art.21
Best-of-breed (IT)
80 domande su 10 categorie Art.21, scoring + analisi AI
Mapping ISO 27001 + ora NIST CSF 2.0 (43 controlli)
Gap: benchmark settoriale anonimizzato assente
Asset & Sistemi Rilevanti
Best-of-breed (IT)
Scoring rilevanza 0-100 a 6 criteri (GV.OC-04)
Registro formale stampabile + classi critico/alto/medio
NEW: import bulk CMDB/cloud/CSV (POST /assets/import) con scoring GV.OC-04 automatico
Gap residuo: auto-discovery attiva (agent/scan) — l'import e gia disponibile
Gap: questionari self-assessment al fornitore, rating esterni
AI / Knowledge Base
Differenziante
RAG multi-livello (SYSTEM/FIRM/ORG) su Qdrant + Voyage
Grounding su testi normativi ufficiali con citazioni (fonti certe)
Gap: nessun gap critico; estendere copertura KB normativa
Continuous Monitoring
Competitivo (backend)
NEW: Evidence Automation (POST /services/evidence-ingest) + Continuous Control Monitoring con semafori freschezza healthy/warning/stale/failing
UI "Monitoraggio Continuo" in Audit & Report
Gap residuo: connettori per-vendor live (richiedono OAuth/credenziali) — il framework di ingestion e pronto
Integrazioni / Connettori
Competitivo (backend)
Services API + Webhook HMAC + NEW endpoint inbound: incidents-ingest, evidence-ingest, assets-ingest (scope dedicati ingest:*)
Catalogo connettori predisposto in area provider (M365/Google/AWS/Azure/IdP/EDR/SIEM/Ticketing)
Gap residuo: client per-vendor con OAuth (le credenziali/app registration sono lato cliente)
3. Matrice comparativa
NIS2 Agile (Evix) vs categorie concorrenti. Confronto sul caso d'uso "compliance NIS2 per PMI/Enterprise e studi di consulenza in Italia".
Sì / forte Parziale No / debole[dv] = dato concorrente da verificare
Capacità
NIS2 Agile (Evix)
GRC internazionali (ServiceNow, OneTrust, Archer)
Compliance automation (Vanta, Drata)
Soluzioni NIS2 IT [da verificare]
Consulenza + Excel
NIS2 / D.Lgs.138 nativo + Determine ACN 2025
Sì — aggiornato Determine 2025
Parziale, framework generici [dv]
Debole (focus SOC2/ISO) [dv]
Variabile [dv]
Dipende dal consulente
AI nativa (gap, policy, classificazione incidenti) con grounding su fonti certe
Sì — RAG citante testi ufficiali
In crescita [dv]
In crescita [dv]
Raro [dv]
No
Audit trail immutabile (hash-chain)
Sì — SHA-256 chain
Sì [dv]
Parziale [dv]
Raro [dv]
No
Continuous control monitoring + evidence automation
Si (backend) — evidence-ingest + CCM semafori; connettori live in roadmap
Endpoint inbound ingest:* + catalogo predisposto; client per-vendor in roadmap
Sì [dv]
Sì — molti [dv]
Raro [dv]
No
Multi-tenant + white-label per studi di consulenza
Sì — firm + branding + KB FIRM
Parziale/costoso [dv]
Programmi partner [dv]
Variabile [dv]
No
Integrazione cross-compliance (NIS2 ↔ 231 ↔ ESG)
Sì — suite Evix + Services API
Moduli separati [dv]
No [dv]
No [dv]
No
Costo / time-to-value per PMI italiana
Basso — onboarding guidato + visura
Alto / enterprise [dv]
Medio [dv]
Variabile [dv]
Alto in ore uomo
Reporting/dashboard enterprise & analytics
Parziale — report esecutivo + CSV
Forte [dv]
Forte [dv]
Variabile [dv]
No
4. Dove siamo già Best-of-Breed
Vantaggi difendibili, radicati su feature reali del prodotto.
🇮🇹 Aderenza normativa italiana
Unico a coprire Determina ACN 164179/2025 (IS-1..4, Allegati 3/4) e 333017/2025 a livello di workflow, non solo testo.
🤖 AI con fonti certe
Risposte AI ancorate ai testi normativi ufficiali con citazione esplicita e divieto di riferimenti inventati.
🔗 Integrità audit
Hash-chain SHA-256 + export certificato: integrità forense delle evidenze.
🏢 Modello consulenza/white-label
Multi-tenant, KB a 3 livelli, branding per studio: pensato per i consulenti, non solo l'azienda finale.
🧩 Suite integrata
NIS2 ↔ 231 ↔ ESG via Services API condivise: i competitor sono single-domain.
5. Gap → Roadmap per chiudere il "best-of-breed" su ogni modulo
Priorità per impatto competitivo. Le voci P1 sono quelle che oggi ci fanno perdere confronti vs Vanta/Drata e GRC enterprise.
✅ FATTO (2026-05-30) · P1 compliance automation
Continuous Control Monitoring + Evidence Automation. Implementato backend: POST /services/evidence-ingest (M365/Google/AWS/Azure/IdP/EDR/SIEM) + ricalcolo semafori freschezza + UI "Monitoraggio Continuo". Restano da attivare i client per-vendor con OAuth (credenziali lato cliente).
✅ FATTO (2026-05-30) · P1 ingestion incidenti
Integrazione SIEM/SOC/EDR implementata: POST /services/incidents-ingest apre automaticamente incidenti Art.23 con dedup e classificazione AI. Modulo incidenti ora proattivo.
Import CMDB/cloud (POST /assets/import) con scoring GV.OC-04 automatico, e Risk quantitativo FAIR (Monte Carlo, ALE EUR) + dashboard KRI. Restano: auto-discovery attiva asset; benchmark settoriale (P2 reporting).
P2 · Asset
Auto-discovery asset + import CMDB/cloud per alimentare automaticamente lo scoring di rilevanza GV.OC-04 appena introdotto.
P2 · Risk quantitativo
Risk analysis quantitativa (FAIR) + dashboard KRI, per competere con i GRC enterprise sul risk management.
P2 · Reporting
Dashboard analytics e benchmark settoriale anonimizzato (già nei TODO di progetto) — chiude il gap su reporting e aggiunge un dato che i competitor non hanno (rete multi-tenant).
P3 · Supply chain & policy
Portale self-assessment fornitori e attestation/versioning policy per completare i due moduli "competitivi" verso il best-of-breed.
Fonti & verificabilità. Capacità Evix/NIS2 Agile: codice sorgente del prodotto (v1.7.0, 2026-05-29) e documentazione di progetto. Riferimenti normativi: Direttiva (UE) 2022/2555, D.Lgs. 138/2024, Determine ACN 164179/2025 e 333017/2025 (registro application/config/nis2_sources.php). Dati concorrenti marcati [da verificare]: posizionamenti generali di pubblico dominio, da confermare con fonte primaria prima di ogni uso esterno. I nomi dei vendor sono citati a scopo di benchmarking interno.