AdminGit2026/nis2-agile
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
21909994c2
nis2-agile/docs/EVIX_ANALISI_CONCORRENZA.html
DevEnv nis2-agile 5c545ea3d0 [FEAT] Integrazione analisi docs/nis2 v1.7.0 — scoring asset, tassonomia incidenti, PIR, NIST CSF, fonti certe 
Fase 1 - Asset Relevance Scoring NIS2 (GV.OC-04): metodologia 0-100 a 6 criteri,
  AssetScoringService + endpoint scoringGrid/score/relevantSystems + UI assets.html + registro stampabile.
Fase 2 - Tassonomia incidenti Determina ACN 164179/2025: IS-1..4 + regime essenziale/importante (Allegati 3/4).
Fase 3 - Post-Incident Review (5-Whys) + metriche TTD/TTC/TTR + timestamp di fase.
Fase 4 - Mapping NIST CSF 2.0 (43 controlli) reference-only.
Fonti certe: registry config/nis2_sources.php + grounding AI (vieta riferimenti inventati) +
  citazioni help.js + ingest PDF normativi nella KB RAG (scripts/ingest-nis2-sources.php).
Migrazioni 020/021/022 (additive idempotenti). Fix VectorService IP Qdrant (drift .5->.3).
Analisi concorrenza Evix (docs/EVIX_ANALISI_CONCORRENZA.html, gap-driven).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-05-29 17:15:13 +02:00

264 lines
17 KiB
HTML
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<!DOCTYPE html>
<html lang="it">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>Evix Suite — Analisi Concorrenza & Best-of-Breed (Strategico/Interno)</title>
<style>
:root{
--cy:#06B6D4; --cy-d:#0e7490; --ink:#0f172a; --mut:#64748b; --line:#e2e8f0;
--ok:#16a34a; --warn:#ea580c; --bad:#dc2626; --bg:#f8fafc; --card:#fff;
--partial:#ca8a04;
}
*{box-sizing:border-box}
body{font-family:'Segoe UI',system-ui,Arial,sans-serif;color:var(--ink);background:var(--bg);margin:0;line-height:1.55;font-size:15px}
.wrap{max-width:1180px;margin:0 auto;padding:32px 24px 80px}
header.hero{background:linear-gradient(135deg,#0f172a,#0e7490);color:#fff;border-radius:18px;padding:36px 40px;margin-bottom:14px}
header.hero .tag{display:inline-block;background:rgba(255,255,255,.15);padding:4px 12px;border-radius:999px;font-size:12px;letter-spacing:1px;text-transform:uppercase}
header.hero h1{margin:14px 0 6px;font-size:30px}
header.hero p{margin:0;opacity:.9;max-width:760px}
.disclaimer{background:#fff7ed;border:1px solid #fed7aa;color:#9a3412;border-radius:12px;padding:14px 18px;font-size:13.5px;margin:14px 0 30px}
h2{font-size:22px;margin:40px 0 6px;border-left:5px solid var(--cy);padding-left:12px}
h2 .sub{display:block;font-size:13px;color:var(--mut);font-weight:400;margin-top:3px;padding-left:1px}
h3{font-size:17px;margin:26px 0 8px;color:var(--cy-d)}
p.lead{color:var(--mut)}
.grid{display:grid;gap:16px}
.modules{grid-template-columns:repeat(auto-fill,minmax(250px,1fr))}
.card{background:var(--card);border:1px solid var(--line);border-radius:14px;padding:18px}
.card h4{margin:0 0 4px;font-size:16px}
.badge{display:inline-block;font-size:11px;font-weight:700;padding:3px 9px;border-radius:999px;text-transform:uppercase;letter-spacing:.5px}
.b-ok{background:#dcfce7;color:#166534} .b-near{background:#fef9c3;color:#854d0e}
.b-gap{background:#fee2e2;color:#991b1b}
.card ul{margin:8px 0 0;padding-left:18px;font-size:13.5px;color:#334155}
.card ul.gap li{color:#9a3412}
table{width:100%;border-collapse:collapse;background:#fff;border:1px solid var(--line);border-radius:12px;overflow:hidden;font-size:13.5px;margin-top:10px}
th,td{padding:10px 12px;text-align:left;border-bottom:1px solid var(--line);vertical-align:top}
thead th{background:#ecfeff;color:var(--cy-d);font-size:12.5px;position:sticky;top:0}
tbody tr:last-child td{border-bottom:none}
.col-evix{background:#f0fdff}
.y{color:var(--ok);font-weight:700}.n{color:var(--bad);font-weight:700}.pp{color:var(--partial);font-weight:700}
.v{font-size:11px;color:var(--mut);font-style:italic}
.legend{display:flex;gap:18px;flex-wrap:wrap;font-size:13px;color:var(--mut);margin:10px 0 0}
.legend span{display:inline-flex;align-items:center;gap:6px}
.dot{width:11px;height:11px;border-radius:50%;display:inline-block}
.roadmap{border-left:3px solid var(--cy);padding-left:18px;margin-top:10px}
.roadmap .item{margin-bottom:14px}
.roadmap .when{font-size:12px;font-weight:700;color:var(--cy-d);text-transform:uppercase;letter-spacing:.5px}
footer{margin-top:50px;border-top:1px solid var(--line);padding-top:18px;font-size:12.5px;color:var(--mut)}
.src{background:#f1f5f9;border-radius:10px;padding:14px 18px;font-size:12.5px;color:#475569;margin-top:14px}
@media(max-width:680px){header.hero{padding:24px}.wrap{padding:18px}}
</style>
</head>
<body>
<div class="wrap">
<header class="hero">
<span class="tag">Documento strategico interno · gap-driven</span>
<h1>Evix Suite — Analisi Concorrenza & posizionamento Best-of-Breed</h1>
<p>Obiettivo strategico: ogni modulo della suite Evix (i prodotti Agile) deve essere <strong>best-of-breed</strong> nel proprio dominio. Questo documento valuta onestamente dove lo siamo già e dove mancano feature per diventarlo, rispetto a piattaforme GRC internazionali e soluzioni NIS2/compliance italiane.</p>
</header>
<div class="disclaimer">
<strong>Nota metodologica (fonti certe).</strong> Le capacità di <strong>Evix/NIS2 Agile</strong> riportate sono verificate sul codice sorgente del prodotto (feature realmente implementate al 2026-05-29, v1.7.0). Le capacità dei <strong>concorrenti</strong> riflettono posizionamenti generali di pubblico dominio e <em>vanno verificate</em> prima di qualsiasi uso commerciale: le celle marcate <span class="v">[da verificare]</span> richiedono una fonte primaria (sito vendor, demo, analyst report). Questo è un documento <strong>interno</strong>, non un materiale di marketing.
</div>
<h2>1. La suite Evix come insieme di moduli
<span class="sub">Evix = brand-ombrello; ciascun prodotto Agile è un "modulo" della suite, integrabile via API condivise (agile-services) e SSO centralizzato.</span>
</h2>
<div class="grid modules">
<div class="card">
<h4>NIS2 Agile</h4>
<span class="badge b-ok">Maturo</span>
<ul><li>Compliance Direttiva (UE) 2022/2555 + D.Lgs. 138/2024</li><li>Oggetto principale di questa analisi</li></ul>
</div>
<div class="card">
<h4>231 Agile</h4>
<span class="badge b-near">In suite</span>
<ul><li>Modello Organizzativo 231</li><li>Integrato con NIS2 via Services API (mapping NIS2→MOG)</li></ul>
</div>
<div class="card">
<h4>SustainAI Agile</h4>
<span class="badge b-near">In suite</span>
<ul><li>Sostenibilità / ESG / CSRD</li><li>Stesso stack UI/RAG</li></ul>
</div>
<div class="card">
<h4>TRPG Agile</h4>
<span class="badge b-near">In suite</span>
<ul><li>Risk &amp; privacy / governance</li><li>Allineamento Auth/SSO/Sessions in corso</li></ul>
</div>
</div>
<p class="lead" style="margin-top:12px">Il vantaggio competitivo di suite (non del singolo modulo) è l'<strong>integrazione cross-prodotto</strong> + <strong>motore AI/RAG condiviso</strong> + <strong>multi-tenancy e white-label per studi di consulenza</strong>. Sotto, il dettaglio modulo-per-modulo del prodotto NIS2 (il più maturo); gli altri prodotti richiedono un audit analogo dedicato.</p>
<h2>2. Scorecard Best-of-Breed — moduli di NIS2 Agile
<span class="sub">Verde = già best-of-breed nel segmento NIS2 Italia · Giallo = competitivo, gap colmabili · Rosso = gap rilevante vs leader di categoria</span>
</h2>
<div class="grid modules">
<div class="card"><h4>Gap Analysis Art.21</h4><span class="badge b-ok">Best-of-breed (IT)</span>
<ul><li>80 domande su 10 categorie Art.21, scoring + analisi AI</li><li>Mapping ISO 27001 + ora NIST CSF 2.0 (43 controlli)</li></ul>
<ul class="gap gap"><li>Gap: benchmark settoriale anonimizzato assente</li></ul>
</div>
<div class="card"><h4>Asset &amp; Sistemi Rilevanti</h4><span class="badge b-ok">Best-of-breed (IT)</span>
<ul><li>Scoring rilevanza 0-100 a 6 criteri (GV.OC-04)</li><li>Registro formale stampabile + classi critico/alto/medio</li></ul>
<ul class="gap"><li>Gap: auto-discovery asset e integrazione CMDB/cloud assenti</li></ul>
</div>
<div class="card"><h4>Gestione Incidenti</h4><span class="badge b-ok">Best-of-breed (IT)</span>
<ul><li>Art.23 24h/72h/30g + tassonomia IS-1..4 (Determina ACN 164179/2025)</li><li>PIR 5-Whys + metriche TTD/TTC/TTR; regime essenziale/importante</li></ul>
<ul class="gap"><li>Gap: ingestion automatica da SIEM/SOC/EDR (oggi manuale)</li></ul>
</div>
<div class="card"><h4>Risk Management</h4><span class="badge b-near">Competitivo</span>
<ul><li>Registro rischi, matrice 5×5 ISO 27005, AI suggest</li></ul>
<ul class="gap"><li>Gap vs leader: scenari quantitativi (FAIR), monte-carlo, KRI dashboard</li></ul>
</div>
<div class="card"><h4>Audit &amp; Evidence</h4><span class="badge b-ok">Differenziante</span>
<ul><li>Hash-chain SHA-256 immutabile (integrità forense) + export certificato</li><li>Mapping ISO27001 e NIST CSF 2.0</li></ul>
<ul class="gap"><li>Gap: raccolta evidenze automatica (connettori) assente</li></ul>
</div>
<div class="card"><h4>Policy Management</h4><span class="badge b-near">Competitivo</span>
<ul><li>Generazione bozze AI + workflow approvazione</li></ul>
<ul class="gap"><li>Gap: versioning/diff avanzato, attestation dipendenti</li></ul>
</div>
<div class="card"><h4>Supply Chain</h4><span class="badge b-near">Competitivo</span>
<ul><li>Valutazione fornitori + risk scoring + Art.21.2(d)</li></ul>
<ul class="gap"><li>Gap: questionari self-assessment al fornitore, rating esterni</li></ul>
</div>
<div class="card"><h4>AI / Knowledge Base</h4><span class="badge b-ok">Differenziante</span>
<ul><li>RAG multi-livello (SYSTEM/FIRM/ORG) su Qdrant + Voyage</li><li>Grounding su testi normativi ufficiali con citazioni (fonti certe)</li></ul>
<ul class="gap"><li>Gap: nessun gap critico; estendere copertura KB normativa</li></ul>
</div>
<div class="card"><h4>Continuous Monitoring</h4><span class="badge b-gap">Gap rilevante</span>
<ul class="gap"><li>Assente: monitoraggio continuo dei controlli + evidence automation (core di Vanta/Drata)</li><li>Oggi: assessment puntuale + evidenze manuali</li></ul>
</div>
<div class="card"><h4>Integrazioni / Connettori</h4><span class="badge b-gap">Gap rilevante</span>
<ul class="gap"><li>Assente catalogo connettori (M365, Google, AWS/Azure, Jira, IdP, EDR)</li><li>Presente: Services API + Webhook HMAC (base solida per costruirli)</li></ul>
</div>
</div>
<h2>3. Matrice comparativa
<span class="sub">NIS2 Agile (Evix) vs categorie concorrenti. Confronto sul caso d'uso "compliance NIS2 per PMI/Enterprise e studi di consulenza in Italia".</span>
</h2>
<div class="legend">
<span><span class="dot" style="background:var(--ok)"></span> Sì / forte</span>
<span><span class="dot" style="background:var(--partial)"></span> Parziale</span>
<span><span class="dot" style="background:var(--bad)"></span> No / debole</span>
<span class="v">[dv] = dato concorrente da verificare</span>
</div>
<table>
<thead><tr>
<th>Capacità</th>
<th class="col-evix">NIS2 Agile (Evix)</th>
<th>GRC internazionali<br><span class="v">(ServiceNow, OneTrust, Archer)</span></th>
<th>Compliance automation<br><span class="v">(Vanta, Drata)</span></th>
<th>Soluzioni NIS2 IT<br><span class="v">[da verificare]</span></th>
<th>Consulenza + Excel</th>
</tr></thead>
<tbody>
<tr><td>NIS2 / D.Lgs.138 nativo + Determine ACN 2025</td>
<td class="col-evix y">Sì — aggiornato Determine 2025</td>
<td class="pp">Parziale, framework generici <span class="v">[dv]</span></td>
<td class="n">Debole (focus SOC2/ISO) <span class="v">[dv]</span></td>
<td class="pp">Variabile <span class="v">[dv]</span></td>
<td class="pp">Dipende dal consulente</td></tr>
<tr><td>AI nativa (gap, policy, classificazione incidenti) con grounding su fonti certe</td>
<td class="col-evix y">Sì — RAG citante testi ufficiali</td>
<td class="pp">In crescita <span class="v">[dv]</span></td>
<td class="pp">In crescita <span class="v">[dv]</span></td>
<td class="n">Raro <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Audit trail immutabile (hash-chain)</td>
<td class="col-evix y">Sì — SHA-256 chain</td>
<td class="y"><span class="v">[dv]</span></td>
<td class="pp">Parziale <span class="v">[dv]</span></td>
<td class="n">Raro <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Continuous control monitoring + evidence automation</td>
<td class="col-evix n">No (gap)</td>
<td class="y"><span class="v">[dv]</span></td>
<td class="y">Sì — core <span class="v">[dv]</span></td>
<td class="n">No <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Catalogo connettori/integrazioni (cloud, IdP, EDR, ticketing)</td>
<td class="col-evix pp">Parziale — API/webhook, no connettori pronti</td>
<td class="y"><span class="v">[dv]</span></td>
<td class="y">Sì — molti <span class="v">[dv]</span></td>
<td class="n">Raro <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Multi-tenant + white-label per studi di consulenza</td>
<td class="col-evix y">Sì — firm + branding + KB FIRM</td>
<td class="pp">Parziale/costoso <span class="v">[dv]</span></td>
<td class="pp">Programmi partner <span class="v">[dv]</span></td>
<td class="pp">Variabile <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Integrazione cross-compliance (NIS2 ↔ 231 ↔ ESG)</td>
<td class="col-evix y">Sì — suite Evix + Services API</td>
<td class="pp">Moduli separati <span class="v">[dv]</span></td>
<td class="n">No <span class="v">[dv]</span></td>
<td class="n">No <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
<tr><td>Costo / time-to-value per PMI italiana</td>
<td class="col-evix y">Basso — onboarding guidato + visura</td>
<td class="n">Alto / enterprise <span class="v">[dv]</span></td>
<td class="pp">Medio <span class="v">[dv]</span></td>
<td class="pp">Variabile <span class="v">[dv]</span></td>
<td class="pp">Alto in ore uomo</td></tr>
<tr><td>Reporting/dashboard enterprise &amp; analytics</td>
<td class="col-evix pp">Parziale — report esecutivo + CSV</td>
<td class="y">Forte <span class="v">[dv]</span></td>
<td class="y">Forte <span class="v">[dv]</span></td>
<td class="pp">Variabile <span class="v">[dv]</span></td>
<td class="n">No</td></tr>
</tbody>
</table>
<h2>4. Dove siamo già Best-of-Breed
<span class="sub">Vantaggi difendibili, radicati su feature reali del prodotto.</span>
</h2>
<div class="grid modules">
<div class="card"><h4>🇮🇹 Aderenza normativa italiana</h4><ul><li>Unico a coprire Determina ACN 164179/2025 (IS-1..4, Allegati 3/4) e 333017/2025 a livello di workflow, non solo testo.</li></ul></div>
<div class="card"><h4>🤖 AI con fonti certe</h4><ul><li>Risposte AI ancorate ai testi normativi ufficiali con citazione esplicita e divieto di riferimenti inventati.</li></ul></div>
<div class="card"><h4>🔗 Integrità audit</h4><ul><li>Hash-chain SHA-256 + export certificato: integrità forense delle evidenze.</li></ul></div>
<div class="card"><h4>🏢 Modello consulenza/white-label</h4><ul><li>Multi-tenant, KB a 3 livelli, branding per studio: pensato per i consulenti, non solo l'azienda finale.</li></ul></div>
<div class="card"><h4>🧩 Suite integrata</h4><ul><li>NIS2 ↔ 231 ↔ ESG via Services API condivise: i competitor sono single-domain.</li></ul></div>
</div>
<h2>5. Gap → Roadmap per chiudere il "best-of-breed" su ogni modulo
<span class="sub">Priorità per impatto competitivo. Le voci P1 sono quelle che oggi ci fanno perdere confronti vs Vanta/Drata e GRC enterprise.</span>
</h2>
<div class="roadmap">
<div class="item"><div class="when">P1 · Colmare il gap "compliance automation"</div>
<strong>Continuous Control Monitoring + Evidence Automation.</strong> Connettori per raccolta automatica evidenze (M365, Google Workspace, AWS/Azure, IdP, EDR). È il core di Vanta/Drata e oggi è il nostro gap più visibile. Base esistente: Services API + Webhook HMAC.</div>
<div class="item"><div class="when">P1 · Ingestion incidenti</div>
<strong>Integrazione SIEM/SOC/EDR</strong> per apertura automatica incidenti (i mockup analizzati già prevedevano "Alert SIEM/SOC" come fonte). Trasforma il modulo incidenti da reattivo a proattivo.</div>
<div class="item"><div class="when">P2 · Asset</div>
<strong>Auto-discovery asset + import CMDB/cloud</strong> per alimentare automaticamente lo scoring di rilevanza GV.OC-04 appena introdotto.</div>
<div class="item"><div class="when">P2 · Risk quantitativo</div>
<strong>Risk analysis quantitativa (FAIR)</strong> + dashboard KRI, per competere con i GRC enterprise sul risk management.</div>
<div class="item"><div class="when">P2 · Reporting</div>
<strong>Dashboard analytics e benchmark settoriale anonimizzato</strong> (già nei TODO di progetto) — chiude il gap su reporting e aggiunge un dato che i competitor non hanno (rete multi-tenant).</div>
<div class="item"><div class="when">P3 · Supply chain &amp; policy</div>
<strong>Portale self-assessment fornitori</strong> e <strong>attestation/versioning policy</strong> per completare i due moduli "competitivi" verso il best-of-breed.</div>
</div>
<div class="src">
<strong>Fonti &amp; verificabilità.</strong> Capacità Evix/NIS2 Agile: codice sorgente del prodotto (v1.7.0, 2026-05-29) e documentazione di progetto. Riferimenti normativi: Direttiva (UE) 2022/2555, D.Lgs. 138/2024, Determine ACN 164179/2025 e 333017/2025 (registro <code>application/config/nis2_sources.php</code>). <strong>Dati concorrenti marcati [da verificare]</strong>: posizionamenti generali di pubblico dominio, da confermare con fonte primaria prima di ogni uso esterno. I nomi dei vendor sono citati a scopo di benchmarking interno.
</div>
<footer>
Evix Suite — Analisi Concorrenza (strategico/interno) · generato 2026-05-29 (CEST) · NIS2 Agile v1.7.0 ·
Documento di lavoro: <strong>non distribuire esternamente senza validazione dei dati concorrenti</strong>.
</footer>
</div>
</body>
</html>
Reference in New Issue View Git Blame Copy Permalink