nis2-agile/application/config/nis2_sources.php

<?php
/**
 * NIS2 Agile - Registro Fonti Normative Certe
 * ----------------------------------------------------------------------------
 * SINGLE SOURCE OF TRUTH per le fonti normative autoritative citabili.
 *
 * Principio (richiesta utente 2026-05-29): ogni scelta/risposta della
 * piattaforma — sia nell'AI sia nell'help — DEVE riferirsi a fonti certe e
 * citarle esplicitamente. Vietato inventare riferimenti normativi.
 *
 * I PDF originali risiedono in docs/nis2/ (repo) e sono ingeriti nella
 * Knowledge Base (collection Qdrant nis2_kb, scope SYSTEM) per il grounding RAG.
 *
 * Usato da:
 *  - AIService (iniezione nei system prompt: "cita queste fonti")
 *  - public/js/help.js (riferimenti normativi nell'help contestuale, via /api/... o statico)
 *  - scripts/ingest-nis2-sources.php (ingest PDF -> KB)
 */

return [
    'nis2_directive' => [
        'key'       => 'nis2_directive',
        'short'     => 'Direttiva NIS2',
        'citation'  => 'Direttiva (UE) 2022/2555 (NIS2)',
        'full'      => 'Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell\'Unione (NIS2)',
        'file'      => 'docs/nis2/Dir2022_2555_UE_NIS2_ITA.pdf',
        'authority' => 'Parlamento europeo e Consiglio UE',
        'url'       => 'https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555',
    ],
    'cer_directive' => [
        'key'       => 'cer_directive',
        'short'     => 'Direttiva CER',
        'citation'  => 'Direttiva (UE) 2022/2557 (CER)',
        'full'      => 'Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa alla resilienza dei soggetti critici (Critical Entities Resilience)',
        'file'      => 'docs/nis2/Dir2022_2557_UE_ITA.pdf',
        'authority' => 'Parlamento europeo e Consiglio UE',
        'url'       => 'https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2557',
    ],
    'dlgs_138_2024' => [
        'key'       => 'dlgs_138_2024',
        'short'     => 'D.Lgs. 138/2024',
        'citation'  => 'D.Lgs. 4 settembre 2024, n. 138',
        'full'      => 'Decreto legislativo 4 settembre 2024, n. 138 - Recepimento della direttiva (UE) 2022/2555 (decreto NIS)',
        'file'      => null,
        'authority' => 'Repubblica Italiana',
        'url'       => 'https://www.gazzettaufficiale.it/eli/id/2024/09/01/24G00155/sg',
    ],
    'determina_164179_2025' => [
        'key'       => 'determina_164179_2025',
        'short'     => 'Determina ACN 164179/2025',
        'citation'  => 'Determinazione ACN n. 164179 del 14 aprile 2025',
        'full'      => 'Determinazione del Direttore generale dell\'Agenzia per la Cybersicurezza Nazionale n. 164179 del 14 aprile 2025, in attuazione del D.Lgs. 138/2024, che stabilisce modalita e specifiche di base per gli obblighi di cui agli articoli 23, 24, 25, 29 e 32 (incluse classificazione e notifica degli incidenti significativi, Allegati 3 e 4).',
        'file'      => 'docs/nis2/Determina164179_apr2025.pdf',
        'authority' => 'Agenzia per la Cybersicurezza Nazionale (ACN)',
        'url'       => 'https://www.acn.gov.it/',
    ],
    'determina_333017_2025' => [
        'key'       => 'determina_333017_2025',
        'short'     => 'Determina ACN 333017/2025',
        'citation'  => 'Determinazione ACN n. 333017 del settembre 2025',
        'full'      => 'Determinazione del Direttore generale ACN n. 333017 (settembre 2025): termini, modalita e procedimenti di utilizzo e accesso alla piattaforma digitale ACN, ulteriori informazioni che i soggetti devono fornire e designazione dei rappresentanti NIS sul territorio nazionale.',
        'file'      => 'docs/nis2/Determina333017_sett2025.pdf',
        'authority' => 'Agenzia per la Cybersicurezza Nazionale (ACN)',
        'url'       => 'https://www.acn.gov.it/',
    ],
    'ambiti_nis2' => [
        'key'       => 'ambiti_nis2',
        'short'     => 'Ambiti NIS2 (Allegati I/II)',
        'citation'  => 'Allegati I e II - Settori NIS2',
        'full'      => 'Ambiti di applicazione NIS2 - Allegato I (Settori ad alta criticita: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione servizi TIC B2B, PA, spazio) e Allegato II (Altri settori critici).',
        'file'      => 'docs/nis2/AmbitiNIS2_ITA.pdf',
        'authority' => 'ACN / Allegati al D.Lgs. 138/2024',
        'url'       => 'https://www.acn.gov.it/',
    ],
    'acn_specifiche_base_2025' => [
        'key'       => 'acn_specifiche_base_2025',
        'short'     => 'Specifiche di base ACN (Framework Nazionale 2025)',
        'citation'  => 'ACN, Misure di sicurezza di base NIS - Allegati 1 e 2 alla Determinazione n. 164179/2025',
        'full'      => 'Misure di sicurezza di base (Determinazione ACN 164179/2025) articolate secondo il Framework Nazionale per la Cybersecurity e la Data Protection (ed. 2025): funzioni Governance (GV), Identificazione (ID), Protezione (PR), Rilevazione (DE), Risposta (RS), Ripristino (RC), poi categorie, sottocategorie e requisiti. Soggetti importanti: 37 misure / 87 requisiti (Allegato 1). Soggetti essenziali: 43 misure / 116 requisiti (Allegato 2), codifica identica con requisiti aggiuntivi. Esempi: GV.RR-04 (cybersicurezza nelle risorse umane, adeguatezza al ruolo), GV.PO-01 (policy di gestione del rischio). Adozione: 18 mesi dalla notifica di inserimento nell elenco NIS.',
        'file'      => 'docs/nis2/Determina164179_apr2025.pdf',
        'authority' => 'Agenzia per la Cybersicurezza Nazionale (ACN)',
        'url'       => 'https://www.acn.gov.it/portale/nis/modalita-specifiche-base',
    ],
];