Guida all'uso - NIS2 Agile

1 Cos'è la NIS2 (in 5 minuti)

In parole semplici. NIS2 è una legge europea (Direttiva UE 2022/2555, recepita in Italia con il D.Lgs. 138/2024) che obbliga molte aziende a proteggere bene i propri sistemi informatici. Lo scopo è evitare che attacchi hacker, fughe di dati o blocchi dei sistemi danneggino cittadini, servizi essenziali (ospedali, energia, acqua, trasporti) e l'economia europea.

NIS2 stabilisce quattro grandi obblighi:

Misurare il rischio cyber della propria azienda e migliorare le difese (Art. 21).
Segnalare gli incidenti gravi alle autorità entro tempi precisi (Art. 23).
Formare il personale, soprattutto i dirigenti (Art. 20).
Controllare i fornitori che hanno accesso ai propri sistemi (Art. 21, lettera d).

Esempio reale. Una clinica privata con 250 dipendenti è "in scope" NIS2 perché opera nel settore sanitario (settore essenziale). Se subisce un ransomware che blocca le cartelle cliniche per 8 ore, deve notificarlo al CSIRT Italia entro 24 ore con una prima segnalazione e poi entro 72 ore con i dettagli completi.

Considerando UE La direttiva sostituisce la "NIS1" del 2016 ampliando settori coinvolti, inasprendo le sanzioni (fino al 2% del fatturato globale o 10 milioni €) e introducendo la responsabilità diretta degli organi di vertice (amministratori) sulla cybersecurity.

2 La tua azienda è "in scope"?

In parole semplici. "In scope" vuol dire che la legge si applica a te. Dipende da cosa fai (settore) e quanto sei grande (dipendenti e fatturato).

I settori coinvolti

Sono divisi in due gruppi:

Settori essenziali (controlli più stringenti)

Energia, trasporti, banche e finanza (per i quali vale spesso DORA come disciplina speciale), sanità, acqua potabile e reflue, infrastrutture digitali (DNS, TLD, cloud, IXP, CDN), Pubblica Amministrazione, spazio.

Nota: dentro le infrastrutture digitali la qualifica può variare — es. i data center figurano tra gli importanti; i servizi fiduciari sono essenziali se qualificati, importanti se non qualificati.

Settori importanti (controlli normali)

Servizi postali, gestione rifiuti, chimica, alimentare, manifattura (apparecchi medici, computer, veicoli, ecc.), provider digitali (motori di ricerca, social, marketplace), ricerca.

Le soglie dimensionali

Media impresa = ≥50 dipendenti oppure fatturato ≥10 milioni € oppure totale di bilancio ≥10 milioni €.
Grande impresa = ≥250 dipendenti oppure fatturato >50 milioni € oppure totale di bilancio >43 milioni €.

Basta soddisfare uno dei tre criteri (dipendenti, fatturato o bilancio): un'azienda può rientrare anche solo per il totale di bilancio.

In generale: medie e grandi imprese nei settori sopra elencati sono in scope.

In scope a prescindere dalla dimensione

Attenzione: alcune tipologie di soggetto sono in ambito anche se piccole o microimprese, indipendentemente dalle soglie dimensionali. Tra queste (Direttiva (UE) 2022/2555, art. 2; D.Lgs. 138/2024):

fornitori di servizi DNS, gestori di registri di TLD e di registrazione nomi di dominio;
fornitori di cloud computing, data center, CDN, IXP (punti di interscambio Internet);
fornitori di reti e servizi di comunicazione elettronica pubblici; prestatori di servizi fiduciari;
fornitori di servizi gestiti (MSP) e fornitori di servizi di sicurezza gestiti (MSSP) — la categoria "Gestione dei servizi TIC (business-to-business)";
la Pubblica Amministrazione nei casi previsti.

Caso reale: Agile Technology. Una software house che eroga a terzi una piattaforma SaaS e servizi ICT gestiti (come NIS2 Agile stessa) rientra tipicamente tra i fornitori di servizi gestiti B2B: in questo caso è in ambito a prescindere dal numero di dipendenti o dal fatturato. La qualificazione formale (essenziale/importante) va confermata caso per caso, ma l'esenzione "piccola impresa" qui non si applica.

Esempio pratico. "Aurora Sanità S.p.A." con 480 dipendenti e 92 milioni € di fatturato, settore sanitario → essenziale + grande → pienamente in scope. Deve registrarsi sul portale ACN (Agenzia per la Cybersicurezza Nazionale) entro le scadenze.

Art. 2 + Allegati I e II L'ambito di applicazione è definito dagli articoli 2 della Direttiva e specificato negli Allegati I (settori essenziali) e II (settori importanti) del D.Lgs. 138/2024.

3 Cosa fa la piattaforma NIS2 Agile

La piattaforma ti aiuta a fare tutto quello che la NIS2 chiede, in modo organizzato e documentabile. Non sostituisce il giudizio di un consulente o un CISO, ma ti dà gli strumenti per:

Capire quanto sei conforme oggi (Gap Analysis con 80 domande).
Tenere un registro dei rischi aggiornato.
Gestire gli incidenti con i moduli di notifica già pronti per il CSIRT.
Generare policy di sicurezza usando l'AI.
Monitorare i fornitori critici.
Pianificare la formazione dei dipendenti.
Inventariare gli asset critici.
Estrarre report per audit interni o per le autorità.

Connettori per azienda (Evidence Automation)

Dalla scheda di ogni azienda cliente puoi configurare i connettori verso i sistemi esterni (Microsoft 365, Google Workspace, AWS, Azure, Identity Provider, EDR, SIEM, ticketing): sono le fonti da cui la piattaforma raccoglie automaticamente le evidenze di conformità.

Sicurezza dei segreti. Nella scheda inserisci solo i parametri non sensibili (es. tenant id, client id). Le credenziali segrete non vengono mai salvate nel prodotto: sono custodite separatamente nel vault cifrato. Dopo il salvataggio la piattaforma indica il comando per caricare il segreto nel vault.

4 Il percorso tipico (cosa fare per primo)

Punto zero: accesso e ruoli

Prima dell'onboarding: registrati (pagina di registrazione) → conferma l'email → al primo login parte automaticamente l'onboarding. Ogni utente ha un ruolo che determina cosa vede e può fare:

org_admin — amministra l'organizzazione (membri, impostazioni, tutto).
compliance_manager — gestisce assessment, rischi, policy, fornitori.
board_member — vista direzionale (dashboard, report, KRI).
auditor — sola lettura su controlli, evidenze, audit log.
employee — operatività limitata + presa visione policy/formazione.
consultant — gestisce più aziende clienti (sezioni "Aziende" e "Connettori").

Nota. Le sezioni Aziende e Connettori sono pensate per consulenti/studi che gestiscono più clienti: se sei un utente singolo potresti non vederle.

Se è la tua prima volta, segui questi passi in ordine:

Completa l'Onboarding — inserisci i dati aziendali (puoi caricare la visura e l'AI estrae i dati automaticamente). Classifica la tua azienda come essenziale/importante.
Fai un primo Assessment (Gap Analysis) — rispondi alle 80 domande, anche se in più sessioni. Otterrai un punteggio di maturità complessiva.
Crea il Risk Register — parti dai rischi più ovvi (ransomware, phishing, guasto sistemi). L'AI può suggerirti rischi tipici del tuo settore.
Inserisci gli asset critici — i sistemi/dati senza i quali l'azienda si ferma.
Mappa i fornitori critici — quelli con accesso ai tuoi sistemi o dati.
Genera/approva le policy fondamentali — usa l'AI per le bozze, poi rivedile.
Pianifica la formazione — soprattutto per i dirigenti (obbligo Art. 20).
Quando arriva un incidente — usalo dal modulo Incidenti per gestire la notifica 24h/72h/30d.
Genera il report esecutivo dalla sezione Report — utile per il board.

Tempi indicativi. Un primo ciclo "decente" si fa in 6–8 settimane di lavoro spalmate, con 2 persone (un IT e un compliance). Non puntare alla perfezione subito: meglio coprire tutte le 10 categorie al 50% che 3 al 100% e 7 a zero.

Benchmark settoriale (anonimo)

Nella Dashboard trovi un confronto del tuo punteggio di compliance con la media del tuo settore, calcolata sulla rete delle aziende che usano la piattaforma. Vedi dove ti collochi (top 25%, sopra/sotto la mediana) e lo scarto rispetto alla media. È un dato che i tool tradizionali non possono offrire, perché serve una rete multi-azienda.

Privacy. Il confronto è anonimo e aggregato: appare solo se nel tuo settore ci sono almeno 3 organizzazioni, e non mostra mai i dati di una singola azienda.

5 Gap Analysis — le 10 misure dell'Art. 21

In parole semplici. L'Art. 21 elenca 10 famiglie di "cose che devi avere". La Gap Analysis ti fa domande per ognuna e calcola quanto sei attrezzato. Non serve essere perfetti — serve sapere dove sei messo male e aver iniziato a migliorare.

Le 10 misure (semplificate):

a) Politiche di analisi del rischio

Hai scritto come la tua azienda gestisce il rischio cyber? Ti serve almeno una policy approvata dall'amministratore delegato che descriva il metodo (es. ISO 27005).

b) Gestione degli incidenti

Sai cosa fare quando succede qualcosa? Devi avere una procedura scritta che dica: chi viene chiamato, in che ordine, chi notifica al CSIRT, chi parla con i giornalisti.

c) Continuità operativa e gestione delle crisi

Se cade un server, in quanto tempo riparti? RTO (tempo per ripartire) e RPO (quanti dati puoi perdere) vanno definiti e testati almeno una volta l'anno.

d) Sicurezza della supply chain

I tuoi fornitori sono sicuri? Manda loro un questionario sicurezza, chiedi le loro certificazioni, metti clausole NIS2 nei contratti.

e) Sicurezza nell'acquisto, sviluppo e manutenzione

Quando comprate software, è sicuro? Patch management, test prima del go-live, gestione vulnerabilità (CVE).

f) Politiche di valutazione dell'efficacia

Misuri se le tue misure funzionano? Audit periodici (interni o esterni), KPI cyber, revisione annuale del SoA (Statement of Applicability).

g) Igiene cibernetica di base e formazione

I tuoi dipendenti sanno riconoscere un phishing? Password manager, MFA, formazione almeno annuale per tutti i livelli.

h) Crittografia

I dati sensibili sono cifrati? AES-256 per i dati a riposo, TLS 1.3 per i dati in transito. Gestione corretta delle chiavi.

i) Sicurezza del personale, controllo accessi e gestione asset

Chi può accedere a cosa? Principio del minimo privilegio, revisione accessi 2 volte l'anno, offboarding rapido quando un dipendente esce.

j) Autenticazione a più fattori (MFA)

Hai MFA almeno su email, VPN, amministrazione? Obbligatorio per tutti gli accessi critici. Anche SMS è meglio di nulla, app authenticator è meglio di SMS, hardware token (FIDO2) è il top.

Esempio Aurora Sanità. Punteggio iniziale 58%. I gap principali sono in Supply Chain (40%) e Crittografia (50%). Piano di azione: assessment dei 12 fornitori critici entro 6 mesi, attivare TLS 1.3 ovunque e cifratura at-rest sui DB cartelle cliniche entro 9 mesi.

Come si fa nella piattaforma

Vai su Gap Analysis e clicca "Nuovo Assessment".
Rispondi alle 80 domande (sei modalità: implementato / parziale / non implementato / non applicabile).
Per ogni risposta, indica il livello di maturità (0–5).
Salva: puoi continuare in più sessioni.
Quando finisci, clicca "Analisi AI" per ricevere raccomandazioni prioritarie.

Dalle 10 misure ai requisiti operativi ACN (specifiche di base)

Le 10 categorie dell'Art. 21 sono il livello "cosa". Il livello "come" operativo in Italia è dettagliato dall'ACN nella Determinazione n. 164179 del 14 aprile 2025, che adotta le specifiche di base articolate secondo il Framework Nazionale per la Cybersecurity e la Data Protection (ed. 2025). Struttura: funzioni → categorie → sottocategorie → requisiti, con sei funzioni — GV Governance, ID Identificazione, PR Protezione, DE Rilevazione, RS Risposta, RC Ripristino.

La codifica dei requisiti è la stessa per soggetti importanti ed essenziali; gli essenziali hanno semplicemente requisiti aggiuntivi:

Soggetti importanti — 37 misure, 87 requisiti (Allegato 1).
Soggetti essenziali — 43 misure, 116 requisiti (Allegato 2): cioè +6 misure e +29 requisiti rispetto agli importanti.

Esempio (requisiti di governance). GV.RR-04 richiede che la cybersicurezza sia integrata nella gestione delle risorse umane: chi accede ai sistemi (utenti e amministratori) deve avere competenze e affidabilità adeguate al ruolo, valutate e documentate. GV.PO-01 richiede una policy di gestione del rischio cyber formalizzata, comunicata e applicata. È il "controllo di adeguatezza al ruolo" delle figure chiave dell'organigramma.

Come si collega alla piattaforma. Le 80 domande della Gap Analysis (8 × 10 categorie Art. 21) danno il quadro di maturità di primo livello; le specifiche di base ACN (Allegati 1–2) sono il dettaglio operativo verso cui portare l'implementazione. Il modulo Audit & Report include il mapping ai controlli del framework (es. GV.OC-04, GV.RR-04, GV.PO-01).

Determina ACN 164179/2025 + Framework Nazionale 2025 Misure di sicurezza di base: Allegato 1 (importanti) e Allegato 2 (essenziali); incidenti significativi di base: Allegato 3 (importanti) e Allegato 4 (essenziali). Termine di adozione: 18 mesi dalla notifica di inserimento nell'elenco NIS. Fonte: Agenzia per la Cybersicurezza Nazionale (acn.gov.it).

6 Gestione dei Rischi

In parole semplici. Il "registro dei rischi" è un elenco di cose brutte che potrebbero accadere, con quanto è probabile e quanto farebbe male. Per ognuna decidi cosa fare: ridurla, accettarla, assicurarla, o eliminarla.

La matrice 5×5

Ogni rischio ha due valori:

Probabilità (1–5): 1 = quasi mai, 5 = quasi certo.
Impatto (1–5): 1 = trascurabile, 5 = catastrofico.

Il prodotto (probabilità × impatto) dà il punteggio di rischio da 1 a 25. Sopra 16 è critico, 9–15 alto, 4–8 medio, sotto 4 basso.

Le quattro strategie di trattamento

Mitigare: riduco probabilità o impatto (es. installo backup offsite per ridurre l'impatto di un ransomware).
Trasferire: passo il rischio a un altro (es. cyber-insurance).
Accettare: il rischio è basso, lo accetto consapevolmente (con firma del board).
Evitare: smetto di fare l'attività che genera il rischio.

Esempio. Rischio "Ransomware su sistema PACS" (Aurora Sanità) → probabilità 4, impatto 5 → punteggio inerente 20 (critico). Trattamento: mitigazione = MFA su RDP + backup immutabili + patch mensili. Dopo le misure: probabilità 2, impatto 4 → punteggio residuo 8 (medio).

Come si fa nella piattaforma

Vai su Rischi e clicca "Nuovo Rischio" (o "AI Suggerisci" per partire dai rischi tipici del tuo settore).
Compila titolo, descrizione, categoria, minaccia e vulnerabilità.
Imposta probabilità e impatto inerenti (1–5 ciascuno).
Scegli la strategia di trattamento e descrivi le azioni concrete.
Imposta probabilità e impatto residui (dopo le misure).
Assegna un responsabile e una data di revisione.

Art. 21 (2)(a) + Art. 20 Le politiche di analisi dei rischi e di sicurezza dei sistemi informatici devono essere documentate e approvate dagli organi di amministrazione (art. 20). L'aggiornamento periodico (es. almeno annuale) è una buona pratica raccomandata, non una cadenza fissata letteralmente dall'art. 21.

Analisi quantitativa FAIR (vista "Quantitativo")

Oltre alla matrice qualitativa, puoi stimare il rischio in euro: quanto ti costerebbe mediamente all'anno. Inserisci la frequenza attesa degli eventi (TEF: minimo, probabile, massimo), la vulnerabilità (da 0 a 1) e la perdita per evento (minima, probabile, massima). La piattaforma esegue una simulazione Monte Carlo e restituisce la Perdita Annua Attesa (ALE) con i percentili P10 / P50 / P90 e un istogramma.

Esempio. Ransomware: 0,5–2 attacchi/anno (probabile 1), vulnerabilità 0,3, perdita 50k–2M € (probabile 300k). Risultato: ALE media ≈ 175.000 € l'anno. Un numero così parla alla Direzione meglio di "rischio alto" e aiuta a giustificare gli investimenti di sicurezza.

Il Registro Quantitativo somma l'ALE di tutti i rischi quantificati, dando l'esposizione economica complessiva del portafoglio.

Perché serve quantificare in euro. L'ALE va sempre confrontata con il costo della non-conformità, non solo con il costo delle misure. Le sanzioni NIS2 (art. 34 Direttiva (UE) 2022/2555, recepito dal D.Lgs. 138/2024) arrivano fino a 10 milioni € o il 2% del fatturato mondiale annuo (il maggiore) per i soggetti essenziali, e fino a 7 milioni € o l'1,4% per gli importanti. Se l'incidente comporta anche una violazione di dati personali, si aggiunge la sanzione GDPR (art. 83) fino a 20 milioni € o il 4%. Mettere l'ALE accanto a queste soglie aiuta la Direzione a decidere quanto investire.

Indicatori chiave di rischio – KRI (vista "KRI")

I KRI sono sensori che monitorano nel tempo segnali di rischio (es. "% endpoint senza MFA", "n. vulnerabilità critiche aperte"). Per ogni indicatore definisci un valore corrente e due soglie (attenzione e critica): la piattaforma calcola da sola lo stato a semaforo – verde, ambra, rosso – in base al valore e alla direzione (se valori alti o bassi sono peggio).

Esempio. KRI "% endpoint senza MFA": soglia attenzione 10%, critica 25%. Valore attuale 18% → semaforo ambra. Sale a 30% → rosso: intervento prioritario.

7 Incidenti — gli obblighi 24h / 72h / 30d

In parole semplici. Se hai un incidente "significativo" devi avvisare il CSIRT (la squadra nazionale di risposta cyber) in tre tappe: un preallarme entro 24 ore, una notifica entro 72 ore, e una relazione finale entro un mese.

Quando un incidente è "significativo"?

Il criterio legale (art. 23, comma 3, D.Lgs. 138/2024 e Direttiva (UE) 2022/2555) è qualitativo: un incidente è significativo se

ha causato o può causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto; oppure
si è ripercosso su altre persone (fisiche o giuridiche) causando perdite materiali o immateriali considerevoli.

Le soglie quantitative precise sono fissate dagli Allegati 3 (importanti) e 4 (essenziali) della Determina ACN 164179/2025 (e, per i fornitori digitali, dal Reg. (UE) 2024/2690) e variano per tipologia di soggetto.

Indicatori usati dalla piattaforma per il triage (non sono soglie di legge, ma aiutano a capire se sei vicino alla significatività): ≥ 500 utenti colpiti · blocco servizi > 4 ore · impatto transfrontaliero · attacco intenzionale (ransomware, DDoS, intrusione) · danni diretti > 100.000 €. Verifica sempre la soglia ufficiale ACN applicabile al tuo caso.

La timeline

24h Preallarme (early warning)

Prima segnalazione "veloce". Bastano: cosa è successo, sospetti di malevolenza, impatto preliminare. Non devi avere ancora tutte le risposte. Termine normativo: preallarme (art. 23 D.Lgs. 138/2024).

72h Notifica dell'incidente (notification)

Aggiornamento dettagliato: indicatori di compromissione, sistemi colpiti, misure di contenimento applicate, stima impatto.

1 mese Relazione finale (final report)

Analisi completa: causa radice, azioni correttive, lezioni apprese, raccomandazioni per il futuro. Termine normativo: relazione finale entro un mese dalla notifica (cioè dal momento delle 72h), non dall'incidente — art. 23 D.Lgs. 138/2024.

Esempio. Aurora Sanità subisce un DDoS sul portale prenotazioni alle 09:00 di lunedì. Sono colpiti 8.500 utenti per 4 ore → significativo. Workflow: preallarme entro martedì 09:00 → notifica entro giovedì 09:00 → relazione finale entro un mese dalla notifica (giovedì + 1 mese).

Come si fa nella piattaforma

Vai su Incidenti e clicca "+ Nuovo Incidente".
Compila titolo, classificazione, severità, ora di rilevazione.
Il sistema calcola automaticamente le 3 scadenze (24h / 72h / 1 mese).
Quando arriva il momento, usa i bottoni "Invia Early Warning", "Invia Notifica" e "Invia Final Report": le email partono verso l'indirizzo CSIRT configurato.
Aggiorna lo stato dell'incidente (analisi → contenimento → eradicazione → recovery → chiuso).
Compila root cause e lezioni apprese alla chiusura.

Art. 23 Stabilisce gli obblighi di segnalazione degli incidenti significativi al CSIRT competente. Il mancato rispetto delle scadenze è sanzionabile fino al 2% del fatturato globale per le entità essenziali.

Apertura automatica da SIEM/SOC/EDR

Oltre all'inserimento manuale, gli incidenti possono essere creati in automatico dai tuoi sistemi di sicurezza (SIEM, SOC, EDR) tramite la Services API. Quando un alert arriva, la piattaforma crea l'incidente, ne propone la classificazione con l'AI (tipologia IS-1…IS-4, gravità) e fa partire i tempi Art. 23. Gli alert duplicati vengono riconosciuti e non creano doppioni.

Per chi integra. L'endpoint è POST /api/services/incidents-ingest con una API key dedicata (scope ingest:incidents). Trasforma il modulo incidenti da reattivo a proattivo.

8 Policy e procedure

In parole semplici. Una "policy" è un documento scritto che dice come si fa una cosa in azienda. Serve sia per fare bene, sia per dimostrare alle autorità che ci hai pensato.

Le policy minime per NIS2:

Politica di Sicurezza delle Informazioni (master).
Procedura di Gestione Incidenti.
Politica di Continuità Operativa (BCP/DR).
Politica di Controllo Accessi.
Politica di Crittografia.
Politica Supply Chain.
Politica Vulnerability Management.
Acceptable Use Policy (per i dipendenti).

Esempio. Genera con l'AI la bozza della "Politica di Crittografia": clicchi "Genera con AI", indichi il settore (sanità), l'AI ti propone un documento di 4–5 pagine con sezioni standard (algoritmi accettati, gestione chiavi, KMS, audit). Tu rivedi, adatti e fai approvare dal CDA. Il sistema marca la versione, la data di approvazione e la prossima revisione.

Stati di una policy

Bozza → In revisione → Approvata → Pubblicata → Archiviata (quando sostituita).

Presa visione dei dipendenti (attestation)

Non basta scrivere una policy: devi poter dimostrare che il personale l'ha letta. Per ogni policy approvata, i dipendenti registrano la presa visione con un clic; la piattaforma tiene la copertura (es. "32 su 40 hanno preso visione") e mostra chi manca.

Importante. L'attestation è legata alla versione: se aggiorni la policy e la riapprovi con una nuova versione, chi aveva firmato la versione precedente deve prendere visione di nuovo. Così la prova di lettura è sempre sulla versione corrente.

Storico versioni e confronto (diff)

Ad ogni approvazione la piattaforma salva uno snapshot del contenuto. Puoi vedere lo storico delle versioni e confrontare due versioni (diff) per capire esattamente cosa è cambiato — righe aggiunte e rimosse — utile in sede di audit.

9 Supply Chain (Fornitori)

In parole semplici. Se un tuo fornitore IT viene bucato, l'attaccante può entrare in casa tua. NIS2 ti obbliga a valutare i fornitori "critici" (quelli con accesso ai tuoi sistemi o dati sensibili).

Cosa fare per ogni fornitore critico

Inserirlo nell'anagrafica con dati di contratto.
Classificare la criticità (low/medium/high/critical).
Inviargli il questionario sicurezza (40+ domande standard).
Verificare la risposta e assegnare un risk score (0–10).
Rinnovare la valutazione almeno una volta l'anno.
Inserire clausole NIS2 nel contratto (right to audit, notifica incidenti, etc.).

Esempio. "MedTech Manutenzione PACS S.r.l." ha accesso remoto al PACS di Aurora Sanità → criticità "critical". Risk score iniziale 6/10 (ha ISO 27001, ma sub-appalto non chiaro). Azione: clausola contrattuale che vieta sub-appalto senza autorizzazione e impone notifica incidenti entro 24h.

Questionario self-assessment al fornitore

Dalla scheda di un fornitore puoi inviare un questionario di sicurezza: la piattaforma genera un link con scadenza che il fornitore compila senza dover avere un account. Le domande coprono i temi NIS2 (ISO 27001, MFA, patch, backup, gestione incidenti, cifratura, sub-fornitori).

Alla consegna, il sistema calcola in automatico un punteggio e aggiorna la scheda del fornitore, così il suo livello di rischio si allinea da solo alle risposte ricevute.

Esempio. Invii il questionario al provider cloud. Compila il link entro 30 giorni: 7 "sì" e 1 "parziale" → punteggio 94/100, requisiti di sicurezza soddisfatti.

10 Formazione (Art. 20)

In parole semplici. NIS2 è chiara: gli amministratori (CDA, direttori) devono essere formati sulla cybersecurity. Non è un nice-to-have, è obbligatorio. E sono loro che rispondono in prima persona se l'azienda non è conforme.

Chi formare

Organi di vertice (CDA, amministratori): formazione specifica annuale.
Personale IT/sicurezza: formazione tecnica continua.
Tutto il personale: awareness training (phishing, password, segnalazioni) almeno annuale.

Esempio. Aurora Sanità organizza: 1 corso da 4h per CDA, 1 corso da 16h per il team IT, una sessione obbligatoria di 1h per tutti i dipendenti più simulazioni di phishing trimestrali. Tutto loggato nel modulo Formazione.

Come si fa nella piattaforma

Vai su Formazione → "Nuovo Corso".
Definisci titolo, contenuti, durata, ruoli target.
Assegna il corso ai dipendenti (singoli o per gruppo).
Imposta scadenza e prerequisiti (es. obbligatorio prima dell'onboarding).
Monitora il completamento dal cruscotto "Compliance Status".

Art. 20 Gli organi di gestione delle entità essenziali e importanti devono seguire una formazione che consenta loro di acquisire conoscenze e competenze sufficienti per individuare i rischi e valutare le pratiche di gestione del rischio di cibersicurezza.

11 Asset (cosa hai e cosa proteggi)

In parole semplici. Non puoi proteggere quello che non sai di avere. L'inventario asset elenca tutti i sistemi, applicazioni, database e infrastrutture critiche.

Tipi di asset

Hardware: server, PLC, dispositivi mobili.
Software: applicazioni gestionali, SCADA, CRM.
Network: firewall, router, switch.
Data: database, file storage, backup.
Service: portali web, API.
Personnel: utenti privilegiati, ruoli chiave.
Facility: data center, sale server.

Esempio. Aurora Sanità inserisce: il PACS, il database cartelle cliniche, il portale prenotazioni. Per ognuno: criticità, vendor, location, owner. Quando arriva un incidente o un rischio, può essere associato a uno o più asset → tracciabilità totale.

Scoring di rilevanza NIS2 e import da CMDB/cloud/CSV

La piattaforma calcola un punteggio di rilevanza (0–100) per ogni asset, su 6 criteri (criticità operativa, impatto, dati trattati, dipendenze, esposizione, obblighi normativi). Invece di inserirli uno a uno, puoi importarli in blocco con il pulsante "Importa": carichi un CSV (o un export dal CMDB/cloud) e la piattaforma crea gli asset calcolando automaticamente il punteggio per ciascuno.

Niente duplicati. Se indichi un identificativo esterno (external_ref), re-importare lo stesso asset lo aggiorna invece di duplicarlo: ideale per sincronizzazioni periodiche dal CMDB.

12 Audit & Report

In parole semplici. Quando le autorità (ACN) verranno a chiederti conto della tua compliance, devi poter mostrare documenti, evidenze, registri. Qui li trovi tutti.

Cosa puoi fare

Controlli: lista dei 10 controlli Art. 21 + mapping ISO 27001 con stato di implementazione (0–100%).
Evidence Files: carica documenti probatori (verbali, screenshot, certificati).
Audit Log: registro immutabile di tutto quello che succede in piattaforma (utenti, modifiche, accessi). Garantito con catena hash SHA-256.
Report Esecutivo: PDF/HTML stampabile per il CDA.
Export CSV: rischi, incidenti, controlli, asset.

Monitoraggio continuo dei controlli

La scheda "Monitoraggio Continuo" mostra lo stato di freschezza di ogni controllo, alimentato dalle evidenze raccolte automaticamente dai connettori (Evidence Automation). Invece di una verifica "una tantum", vedi a colpo d'occhio cosa è ancora valido e cosa va rinnovato, con un semaforo: verde (sano), ambra (attenzione), arancio (evidenza scaduta), rosso (non conforme), grigio (non monitorato). La copertura indica quanti controlli sono alimentati da evidenze automatiche.

Perché conta. Avvicina l'azienda a una compliance continua anziché fotografata una volta l'anno: è il modello dei migliori strumenti internazionali.

Prerequisito. Questa vista si popola man mano che configuri i Connettori (vedi cap. 3): senza connettori i controlli restano "non monitorati" (grigio) e la copertura è 0%.

Esempio. Pre-audit ISO 27001: genera il report esecutivo, esporta in CSV rischi e controlli, scarica l'audit log certificato. L'auditor ha tutto in 5 minuti.

13 Segnalazioni interne (Whistleblowing)

In parole semplici. Due cose distinte gestite in un unico modulo: la segnalazione anonima di vulnerabilità (prevista da NIS2, art. 12, divulgazione coordinata) e il whistleblowing dei dipendenti (segnalazione di illeciti), che deriva dal D.Lgs. 24/2023 (non da NIS2). In entrambi i casi si segnala senza paura di ritorsioni.

Tipi di segnalazione

Whistleblowing: anonimo, comportamenti illeciti.
Feedback bug/UX: segnalazioni operative sulla piattaforma stessa, classificate dall'AI e (opzionalmente) risolte automaticamente.

Esempio. Un dipendente nota che le credenziali admin del CRM sono salvate in un foglio Excel condiviso. Invia una segnalazione anonima → il responsabile compliance la riceve con codice di tracciamento → il dipendente può seguire lo stato senza rivelare la propria identità.

14 AI — come usarla bene

In parole semplici. La piattaforma usa Claude (Anthropic) per assisterti. L'AI è bravissima a partire dal foglio bianco, ma non sostituisce il tuo giudizio: rivedi sempre quello che produce prima di approvarlo.

Dove trovi l'AI

Analisi Assessment: dopo aver completato la Gap Analysis, genera un'analisi delle priorità con raccomandazioni.
AI Suggerisci Rischi: parte dal tuo settore + asset e propone una lista di rischi tipici.
Genera Policy: bozza di policy a partire dalla categoria.
Classifica Incidente: dato un incidente, suggerisce severità e classificazione.
Knowledge Base RAG: chiedi all'AI partendo dai documenti che hai caricato.
Classificazione Feedback: tag automatico per le segnalazioni di bug/UX.

Buona pratica. Quando l'AI suggerisce 8 rischi, non importarli tutti ciecamente. Scegli i 4 più rilevanti per il tuo contesto, scartane uno che è duplicato di un asset interno, e personalizza descrizione/probabilità per la tua realtà.

Limiti che devi conoscere

L'AI non vede i tuoi dati grezzi: solo metadati anonimizzati (settore, range dipendenti, categoria asset).
Le bozze di policy devono essere riviste da un umano competente prima della pubblicazione.
L'AI non è un consulente legale né un sostituto del CISO.

15 Glossario rapido

ACN Agenzia per la Cybersicurezza Nazionale: L'autorità italiana che vigila sulla NIS2 e raccoglie le notifiche di incidenti.
CSIRT Computer Security Incident Response Team: Squadra nazionale di risposta agli incidenti. Riceve le notifiche 24h/72h/30d.
ENISA Agenzia UE per la Cybersicurezza: Coordina a livello europeo le linee guida operative NIS2.
RTO Recovery Time Objective: Quanto tempo massimo puoi stare giù prima di tornare operativo. Esempio: RTO 4 ore.
RPO Recovery Point Objective: Quanti dati puoi perderti al massimo. Esempio: RPO 1 ora = backup almeno orari.
MFA Multi-Factor Authentication: Autenticazione a più fattori: password + codice OTP/app/hardware.
ISMS Information Security Management System: Sistema di gestione della sicurezza delle informazioni (es. ISO 27001).
SoA Statement of Applicability: Documento che elenca quali controlli ISO 27001 applichi e quali no, con motivazione.
BCP / DRP Business Continuity Plan / Disaster Recovery Plan: I piani per garantire la continuità operativa e il ripristino dopo un disastro.
SCADA Supervisory Control And Data Acquisition: Sistemi di controllo industriale (es. impianti di acqua, energia, manifattura).
PACS Picture Archiving and Communication System: Sistema sanitario che archivia le immagini diagnostiche (TAC, RMN, ecografie).
TMS Transport Management System: Software che gestisce le spedizioni e la flotta in azienda di logistica.
DDoS Distributed Denial of Service: Attacco che satura un servizio con traffico inutile per metterlo offline.
BEC Business Email Compromise: Frode via email che impersona dirigenti per ottenere bonifici fraudolenti.
NCR / CAPA Non-Conformity Report / Corrective and Preventive Action: Non conformità (es. da audit) e relative azioni correttive/preventive.
RAG Retrieval-Augmented Generation: Tecnica AI che fa rispondere l'assistente partendo da documenti caricati nella Knowledge Base.
FAIR Factor Analysis of Information Risk: Metodo per stimare il rischio in valore economico (€). Standard The Open Group.
ALE Annualized Loss Expectancy: Perdita annua attesa: l'output economico dell'analisi FAIR.
TEF Threat Event Frequency: Frequenza attesa degli eventi minaccia in un anno (input del calcolo FAIR).
KRI Key Risk Indicator: Indicatore con soglie e semaforo per monitorare un rischio nel tempo.
CVE Common Vulnerabilities and Exposures: Identificativo standard di una vulnerabilità nota.
KMS Key Management System: Sistema di gestione delle chiavi crittografiche.
MSP / MSSP Managed (Security) Service Provider: Fornitore di servizi IT (di sicurezza) gestiti: in ambito NIS2 a prescindere dalla dimensione.
SIEM / EDR Security Information and Event Management / Endpoint Detection and Response: Sistemi che rilevano e segnalano eventi di sicurezza (sorgenti per ingestion incidenti ed evidence automation).
CMDB Configuration Management Database: Inventario degli asset IT, importabile nella piattaforma.
ATECO Classificazione delle attività economiche: Codice che identifica il settore dell'impresa (usato anche per il benchmark settoriale).