AdminGit2026/nis2-agile
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
109aa57d04
nis2-agile/docs/EVIX_ANALISI_CONCORRENZA.html
DevEnv nis2-agile 372ccb5ec1 [FEAT] UI frontend gap competitivi + help/i18n + OpenAPI + scorecard EVIX 
UI delle 4 feature backend (ora usabili dagli utenti, non solo via API):
- risks.html: vista 'Quantitativo (FAIR)' con form + istogramma distribuzione ALE + registro portafoglio; vista 'KRI' con dashboard semafori green/amber/red + CRUD
- reports.html: tab 'Monitoraggio Continuo' con semafori freschezza controlli (healthy/warning/stale/failing) + copertura
- assets.html: bottone 'Importa' CSV/CMDB con parsing client + anteprima + scoring auto GV.OC-04
- api.js: metodi computeFair/getFairRegister/listKri/createKri/updateKri/importAssets/getControlsMonitoring

Trasversale:
- help.js: sezioni guida FAIR+KRI (risks), import CMDB (assets), monitoraggio continuo (reports)
- i18n.js: chiavi IT/EN (risks.fair_tab, risks.kri_tab, assets.import_btn, audit.monitoring_tab)
- ServicesController::openapi esteso con incidents-ingest/evidence-ingest/assets-ingest/controls-monitoring + securityScheme ApiKeyAuth
- AuditController::controlsMonitoring (versione JWT per la UI) + route audit/controlsMonitoring
- EVIX scorecard: gap P1/P2 marcati chiusi (backend), roadmap aggiornata

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-05-30 09:52:21 +02:00

266 lines
18 KiB
HTML
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<!DOCTYPE html>
<html lang="it">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>Evix Suite — Analisi Concorrenza & Best-of-Breed (Strategico/Interno)</title>
<style>
:root{
--cy:#06B6D4; --cy-d:#0e7490; --ink:#0f172a; --mut:#64748b; --line:#e2e8f0;
--ok:#16a34a; --warn:#ea580c; --bad:#dc2626; --bg:#f8fafc; --card:#fff;
--partial:#ca8a04;
}
*{box-sizing:border-box}
body{font-family:'Segoe UI',system-ui,Arial,sans-serif;color:var(--ink);background:var(--bg);margin:0;line-height:1.55;font-size:15px}
.wrap{max-width:1180px;margin:0 auto;padding:32px 24px 80px}
header.hero{background:linear-gradient(135deg,#0f172a,#0e7490);color:#fff;border-radius:18px;padding:36px 40px;margin-bottom:14px}
header.hero .tag{display:inline-block;background:rgba(255,255,255,.15);padding:4px 12px;border-radius:999px;font-size:12px;letter-spacing:1px;text-transform:uppercase}
header.hero h1{margin:14px 0 6px;font-size:30px}
header.hero p{margin:0;opacity:.9;max-width:760px}
.disclaimer{background:#fff7ed;border:1px solid #fed7aa;color:#9a3412;border-radius:12px;padding:14px 18px;font-size:13.5px;margin:14px 0 30px}
h2{font-size:22px;margin:40px 0 6px;border-left:5px solid var(--cy);padding-left:12px}
h2 .sub{display:block;font-size:13px;color:var(--mut);font-weight:400;margin-top:3px;padding-left:1px}
h3{font-size:17px;margin:26px 0 8px;color:var(--cy-d)}
p.lead{color:var(--mut)}
.grid{display:grid;gap:16px}
.modules{grid-template-columns:repeat(auto-fill,minmax(250px,1fr))}
.card{background:var(--card);border:1px solid var(--line);border-radius:14px;padding:18px}
.card h4{margin:0 0 4px;font-size:16px}
.badge{display:inline-block;font-size:11px;font-weight:700;padding:3px 9px;border-radius:999px;text-transform:uppercase;letter-spacing:.5px}
.b-ok{background:#dcfce7;color:#166534} .b-near{background:#fef9c3;color:#854d0e}
.b-gap{background:#fee2e2;color:#991b1b}
.card ul{margin:8px 0 0;padding-left:18px;font-size:13.5px;color:#334155}
.card ul.gap li{color:#9a3412}
table{width:100%;border-collapse:collapse;background:#fff;border:1px solid var(--line);border-radius:12px;overflow:hidden;font-size:13.5px;margin-top:10px}
th,td{padding:10px 12px;text-align:left;border-bottom:1px solid var(--line);vertical-align:top}
thead th{background:#ecfeff;color:var(--cy-d);font-size:12.5px;position:sticky;top:0}
tbody tr:last-child td{border-bottom:none}
.col-evix{background:#f0fdff}
.y{color:var(--ok);font-weight:700}.n{color:var(--bad);font-weight:700}.pp{color:var(--partial);font-weight:700}
.v{font-size:11px;color:var(--mut);font-style:italic}
.legend{display:flex;gap:18px;flex-wrap:wrap;font-size:13px;color:var(--mut);margin:10px 0 0}
.legend span{display:inline-flex;align-items:center;gap:6px}
.dot{width:11px;height:11px;border-radius:50%;display:inline-block}
.roadmap{border-left:3px solid var(--cy);padding-left:18px;margin-top:10px}
.roadmap .item{margin-bottom:14px}
.roadmap .when{font-size:12px;font-weight:700;color:var(--cy-d);text-transform:uppercase;letter-spacing:.5px}
footer{margin-top:50px;border-top:1px solid var(--line);padding-top:18px;font-size:12.5px;color:var(--mut)}
.src{background:#f1f5f9;border-radius:10px;padding:14px 18px;font-size:12.5px;color:#475569;margin-top:14px}
@media(max-width:680px){header.hero{padding:24px}.wrap{padding:18px}}
</style>
</head>
<body>
<div class="wrap">
<header class="hero">
<span class="tag">Documento strategico interno · gap-driven</span>
<h1>Evix Suite — Analisi Concorrenza & posizionamento Best-of-Breed</h1>
<p>Obiettivo strategico: ogni modulo della suite Evix (i prodotti Agile) deve essere <strong>best-of-breed</strong> nel proprio dominio. Questo documento valuta onestamente dove lo siamo già e dove mancano feature per diventarlo, rispetto a piattaforme GRC internazionali e soluzioni NIS2/compliance italiane.</p>
</header>
<div class="disclaimer">
<strong>Nota metodologica (fonti certe).</strong> Le capacità di <strong>Evix/NIS2 Agile</strong> riportate sono verificate sul codice sorgente del prodotto (feature realmente implementate al 2026-05-29, v1.7.0). Le capacità dei <strong>concorrenti</strong> riflettono posizionamenti generali di pubblico dominio e <em>vanno verificate</em> prima di qualsiasi uso commerciale: le celle marcate <span class="v">[da verificare]</span> richiedono una fonte primaria (sito vendor, demo, analyst report). Questo è un documento <strong>interno</strong>, non un materiale di marketing.
</div>
<h2>1. La suite Evix come insieme di moduli
<span class="sub">Evix = brand-ombrello; ciascun prodotto Agile è un "modulo" della suite, integrabile via API condivise (agile-services) e SSO centralizzato.</span>
</h2>
<div class="grid modules">
<div class="card">
<h4>NIS2 Agile</h4>
<span class="badge b-ok">Maturo</span>
<ul><li>Compliance Direttiva (UE) 2022/2555 + D.Lgs. 138/2024</li><li>Oggetto principale di questa analisi</li></ul>
</div>
<div class="card">
<h4>231 Agile</h4>
<span class="badge b-near">In suite</span>
<ul><li>Modello Organizzativo 231</li><li>Integrato con NIS2 via Services API (mapping NIS2→MOG)</li></ul>
</div>
<div class="card">
<h4>SustainAI Agile</h4>
<span class="badge b-near">In suite</span>
<ul><li>Sostenibilità / ESG / CSRD</li><li>Stesso stack UI/RAG</li></ul>
</div>
<div class="card">
<h4>TRPG Agile</h4>
<span class="badge b-near">In suite</span>
<ul><li>Risk &amp; privacy / governance</li><li>Allineamento Auth/SSO/Sessions in corso</li></ul>
</div>
</div>
<p class="lead" style="margin-top:12px">Il vantaggio competitivo di suite (non del singolo modulo) è l'<strong>integrazione cross-prodotto</strong> + <strong>motore AI/RAG condiviso</strong> + <strong>multi-tenancy e white-label per studi di consulenza</strong>. Sotto, il dettaglio modulo-per-modulo del prodotto NIS2 (il più maturo); gli altri prodotti richiedono un audit analogo dedicato.</p>
<h2>2. Scorecard Best-of-Breed — moduli di NIS2 Agile
<span class="sub">Verde = già best-of-breed nel segmento NIS2 Italia · Giallo = competitivo, gap colmabili · Rosso = gap rilevante vs leader di categoria</span>
</h2>
<div class="grid modules">
<div class="card"><h4>Gap Analysis Art.21</h4><span class="badge b-ok">Best-of-breed (IT)</span>
<ul><li>80 domande su 10 categorie Art.21, scoring + analisi AI</li><li>Mapping ISO 27001 + ora NIST CSF 2.0 (43 controlli)</li></ul>
<ul class="gap gap"><li>Gap: benchmark settoriale anonimizzato assente</li></ul>
</div>
<div class="card"><h4>Asset &amp; Sistemi Rilevanti</h4><span class="badge b-ok">Best-of-breed (IT)</span>
<ul><li>Scoring rilevanza 0-100 a 6 criteri (GV.OC-04)</li><li>Registro formale stampabile + classi critico/alto/medio</li><li><strong>NEW</strong>: import bulk CMDB/cloud/CSV (POST /assets/import) con scoring GV.OC-04 automatico</li></ul>
<ul class="gap"><li>Gap residuo: auto-discovery attiva (agent/scan) — l'import e gia disponibile</li></ul>
</div>
<div class="card"><h4>Gestione Incidenti</h4><span class="badge b-ok">Best-of-breed (IT)</span>
<ul><li>Art.23 24h/72h/30g + tassonomia IS-1..4 (Determina ACN 164179/2025)</li><li>PIR 5-Whys + metriche TTD/TTC/TTR; regime essenziale/importante</li><li><strong>NEW</strong>: ingestion automatica SIEM/SOC/EDR (POST /services/incidents-ingest) con classificazione AI</li></ul>
</div>
<div class="card"><h4>Risk Management</h4><span class="badge b-ok">Best-of-breed (IT)</span>
<ul><li>Registro rischi, matrice 5×5 ISO 27005, AI suggest</li><li><strong>NEW</strong>: analisi quantitativa <strong>FAIR</strong> (Monte Carlo, ALE EUR P10/P50/P90) + dashboard <strong>KRI</strong> con semafori</li></ul>
</div>
<div class="card"><h4>Audit &amp; Evidence</h4><span class="badge b-ok">Differenziante</span>
<ul><li>Hash-chain SHA-256 immutabile (integrità forense) + export certificato</li><li>Mapping ISO27001 e NIST CSF 2.0</li></ul>
<ul class="gap"><li>Gap: raccolta evidenze automatica (connettori) assente</li></ul>
</div>
<div class="card"><h4>Policy Management</h4><span class="badge b-near">Competitivo</span>
<ul><li>Generazione bozze AI + workflow approvazione</li></ul>
<ul class="gap"><li>Gap: versioning/diff avanzato, attestation dipendenti</li></ul>
</div>
<div class="card"><h4>Supply Chain</h4><span class="badge b-near">Competitivo</span>
<ul><li>Valutazione fornitori + risk scoring + Art.21.2(d)</li></ul>
<ul class="gap"><li>Gap: questionari self-assessment al fornitore, rating esterni</li></ul>
</div>
<div class="card"><h4>AI / Knowledge Base</h4><span class="badge b-ok">Differenziante</span>
<ul><li>RAG multi-livello (SYSTEM/FIRM/ORG) su Qdrant + Voyage</li><li>Grounding su testi normativi ufficiali con citazioni (fonti certe)</li></ul>
<ul class="gap"><li>Gap: nessun gap critico; estendere copertura KB normativa</li></ul>
</div>
<div class="card"><h4>Continuous Monitoring</h4><span class="badge b-near">Competitivo (backend)</span>
<ul><li><strong>NEW</strong>: Evidence Automation (POST /services/evidence-ingest) + Continuous Control Monitoring con semafori freschezza healthy/warning/stale/failing</li><li>UI "Monitoraggio Continuo" in Audit &amp; Report</li></ul>
<ul class="gap"><li>Gap residuo: connettori per-vendor live (richiedono OAuth/credenziali) — il framework di ingestion e pronto</li></ul>
</div>
<div class="card"><h4>Integrazioni / Connettori</h4><span class="badge b-near">Competitivo (backend)</span>
<ul><li>Services API + Webhook HMAC + <strong>NEW</strong> endpoint inbound: incidents-ingest, evidence-ingest, assets-ingest (scope dedicati ingest:*)</li><li>Catalogo connettori predisposto in area provider (M365/Google/AWS/Azure/IdP/EDR/SIEM/Ticketing)</li></ul>
<ul class="gap"><li>Gap residuo: client per-vendor con OAuth (le credenziali/app registration sono lato cliente)</li></ul>
</div>
</div>
<h2>3. Matrice comparativa
<span class="sub">NIS2 Agile (Evix) vs categorie concorrenti. Confronto sul caso d'uso "compliance NIS2 per PMI/Enterprise e studi di consulenza in Italia".</span>
</h2>
<div class="legend">
<span><span class="dot" style="background:var(--ok)"></span> Sì / forte</span>
<span><span class="dot" style="background:var(--partial)"></span> Parziale</span>
<span><span class="dot" style="background:var(--bad)"></span> No / debole</span>
<span class="v">[dv] = dato concorrente da verificare</span>
</div>
<table>
<thead><tr>
<th>Capacità</th>
<th class="col-evix">NIS2 Agile (Evix)</th>
<th>GRC internazionali<br><span class="v">(ServiceNow, OneTrust, Archer)</span></th>
<th>Compliance automation<br><span class="v">(Vanta, Drata)</span></th>
<th>Soluzioni NIS2 IT<br><span class="v">[da verificare]</span></th>
<th>Consulenza + Excel</th>
</tr></thead>
<tbody>
<tr><td>NIS2 / D.Lgs.138 nativo + Determine ACN 2025</td>
<td class="col-evix y">Sì — aggiornato Determine 2025</td>
<td class="pp">Parziale, framework generici <span class="v">[dv]</span></td>
<td class="n">Debole (focus SOC2/ISO) <span class="v">[dv]</span></td>
<td class="pp">Variabile <span class="v">[dv]</span></td>
<td class="pp">Dipende dal consulente</td></tr>
<tr><td>AI nativa (gap, policy, classificazione incidenti) con grounding su fonti certe</td>
<td class="col-evix y">Sì — RAG citante testi ufficiali</td>
<td class="pp">In crescita <span class="v">[dv]</span></td>
<td class="pp">In crescita <span class="v">[dv]</span></td>
<td class="n">Raro <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Audit trail immutabile (hash-chain)</td>
<td class="col-evix y">Sì — SHA-256 chain</td>
<td class="y"><span class="v">[dv]</span></td>
<td class="pp">Parziale <span class="v">[dv]</span></td>
<td class="n">Raro <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Continuous control monitoring + evidence automation</td>
<td class="col-evix pp">Si (backend) — evidence-ingest + CCM semafori; connettori live in roadmap</td>
<td class="y"><span class="v">[dv]</span></td>
<td class="y">Sì — core <span class="v">[dv]</span></td>
<td class="n">No <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Catalogo connettori/integrazioni (cloud, IdP, EDR, ticketing)</td>
<td class="col-evix pp">Endpoint inbound ingest:* + catalogo predisposto; client per-vendor in roadmap</td>
<td class="y"><span class="v">[dv]</span></td>
<td class="y">Sì — molti <span class="v">[dv]</span></td>
<td class="n">Raro <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Multi-tenant + white-label per studi di consulenza</td>
<td class="col-evix y">Sì — firm + branding + KB FIRM</td>
<td class="pp">Parziale/costoso <span class="v">[dv]</span></td>
<td class="pp">Programmi partner <span class="v">[dv]</span></td>
<td class="pp">Variabile <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Integrazione cross-compliance (NIS2 ↔ 231 ↔ ESG)</td>
<td class="col-evix y">Sì — suite Evix + Services API</td>
<td class="pp">Moduli separati <span class="v">[dv]</span></td>
<td class="n">No <span class="v">[dv]</span></td>
<td class="n">No <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Costo / time-to-value per PMI italiana</td>
<td class="col-evix y">Basso — onboarding guidato + visura</td>
<td class="n">Alto / enterprise <span class="v">[dv]</span></td>
<td class="pp">Medio <span class="v">[dv]</span></td>
<td class="pp">Variabile <span class="v">[dv]</span></td>
<td class="pp">Alto in ore uomo</td></tr>
<tr><td>Reporting/dashboard enterprise &amp; analytics</td>
<td class="col-evix pp">Parziale — report esecutivo + CSV</td>
<td class="y">Forte <span class="v">[dv]</span></td>
<td class="y">Forte <span class="v">[dv]</span></td>
<td class="pp">Variabile <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
</tbody>
</table>
<h2>4. Dove siamo già Best-of-Breed
<span class="sub">Vantaggi difendibili, radicati su feature reali del prodotto.</span>
</h2>
<div class="grid modules">
<div class="card"><h4>🇮🇹 Aderenza normativa italiana</h4><ul><li>Unico a coprire Determina ACN 164179/2025 (IS-1..4, Allegati 3/4) e 333017/2025 a livello di workflow, non solo testo.</li></ul></div>
<div class="card"><h4>🤖 AI con fonti certe</h4><ul><li>Risposte AI ancorate ai testi normativi ufficiali con citazione esplicita e divieto di riferimenti inventati.</li></ul></div>
<div class="card"><h4>🔗 Integrità audit</h4><ul><li>Hash-chain SHA-256 + export certificato: integrità forense delle evidenze.</li></ul></div>
<div class="card"><h4>🏢 Modello consulenza/white-label</h4><ul><li>Multi-tenant, KB a 3 livelli, branding per studio: pensato per i consulenti, non solo l'azienda finale.</li></ul></div>
<div class="card"><h4>🧩 Suite integrata</h4><ul><li>NIS2 ↔ 231 ↔ ESG via Services API condivise: i competitor sono single-domain.</li></ul></div>
</div>
<h2>5. Gap → Roadmap per chiudere il "best-of-breed" su ogni modulo
<span class="sub">Priorità per impatto competitivo. Le voci P1 sono quelle che oggi ci fanno perdere confronti vs Vanta/Drata e GRC enterprise.</span>
</h2>
<div class="roadmap">
<div class="item" style="opacity:.7"><div class="when">✅ FATTO (2026-05-30) · P1 compliance automation</div>
<strong>Continuous Control Monitoring + Evidence Automation.</strong> Implementato backend: POST /services/evidence-ingest (M365/Google/AWS/Azure/IdP/EDR/SIEM) + ricalcolo semafori freschezza + UI "Monitoraggio Continuo". Restano da attivare i client per-vendor con OAuth (credenziali lato cliente).</div>
<div class="item" style="opacity:.7"><div class="when">✅ FATTO (2026-05-30) · P1 ingestion incidenti</div>
<strong>Integrazione SIEM/SOC/EDR</strong> implementata: POST /services/incidents-ingest apre automaticamente incidenti Art.23 con dedup e classificazione AI. Modulo incidenti ora proattivo.</div>
<div class="item" style="opacity:.7"><div class="when">✅ FATTO (2026-05-30) · P2 asset import + P2 risk quantitativo</div>
<strong>Import CMDB/cloud</strong> (POST /assets/import) con scoring GV.OC-04 automatico, e <strong>Risk quantitativo FAIR</strong> (Monte Carlo, ALE EUR) + dashboard KRI. Restano: auto-discovery attiva asset; benchmark settoriale (P2 reporting).</div>
<div class="item"><div class="when">P2 · Asset</div>
<strong>Auto-discovery asset + import CMDB/cloud</strong> per alimentare automaticamente lo scoring di rilevanza GV.OC-04 appena introdotto.</div>
<div class="item"><div class="when">P2 · Risk quantitativo</div>
<strong>Risk analysis quantitativa (FAIR)</strong> + dashboard KRI, per competere con i GRC enterprise sul risk management.</div>
<div class="item"><div class="when">P2 · Reporting</div>
<strong>Dashboard analytics e benchmark settoriale anonimizzato</strong> (già nei TODO di progetto) — chiude il gap su reporting e aggiunge un dato che i competitor non hanno (rete multi-tenant).</div>
<div class="item"><div class="when">P3 · Supply chain &amp; policy</div>
<strong>Portale self-assessment fornitori</strong> e <strong>attestation/versioning policy</strong> per completare i due moduli "competitivi" verso il best-of-breed.</div>
</div>
<div class="src">
<strong>Fonti &amp; verificabilità.</strong> Capacità Evix/NIS2 Agile: codice sorgente del prodotto (v1.7.0, 2026-05-29) e documentazione di progetto. Riferimenti normativi: Direttiva (UE) 2022/2555, D.Lgs. 138/2024, Determine ACN 164179/2025 e 333017/2025 (registro <code>application/config/nis2_sources.php</code>). <strong>Dati concorrenti marcati [da verificare]</strong>: posizionamenti generali di pubblico dominio, da confermare con fonte primaria prima di ogni uso esterno. I nomi dei vendor sono citati a scopo di benchmarking interno.
</div>
<footer>
Evix Suite — Analisi Concorrenza (strategico/interno) · generato 2026-05-29 (CEST) · NIS2 Agile v1.7.0 ·
Documento di lavoro: <strong>non distribuire esternamente senza validazione dei dati concorrenti</strong>.
</footer>
</div>
</body>
</html>
Reference in New Issue View Git Blame Copy Permalink