78758f6d65
Gli edit a guida.html nel commitb53d2aferano falliti (file non riletto) eb53d2afconteneva solo version.json: questo applica DAVVERO le modifiche. - Intro: box Avvertenza (non parere legale, valutazioni caso per caso). - cap-9: paragrafi Categorie/template configurabili + Import CSV/CMDB/API + nota interpretativa perimetro fornitori (GV.SC come famiglia Framework, Det.ACN 164179 All.2). HTML bilanciato (15 section, 199 div). Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
1063 lines
71 KiB
HTML
1063 lines
71 KiB
HTML
<!DOCTYPE html>
|
||
<html lang="it">
|
||
<head>
|
||
<meta charset="UTF-8">
|
||
<meta name="viewport" content="width=device-width, initial-scale=1.0">
|
||
<title>Guida all'uso - NIS2 Agile</title>
|
||
<link rel="stylesheet" href="css/style.css">
|
||
<style>
|
||
/* Stili specifici per la guida — non interferiscono col resto */
|
||
.guide-wrap { max-width: 920px; margin: 0 auto; }
|
||
.guide-toc {
|
||
position: sticky; top: 16px;
|
||
background: var(--surface, #fff);
|
||
border: 1px solid var(--border, #e5e7eb);
|
||
border-radius: 10px; padding: 16px 20px;
|
||
margin-bottom: 24px;
|
||
}
|
||
.guide-toc h4 { margin: 0 0 10px; font-size: 0.9rem; color: var(--text-muted, #6b7280); text-transform: uppercase; letter-spacing: 0.05em; }
|
||
.guide-toc ul { list-style: none; padding: 0; margin: 0; columns: 2; column-gap: 24px; }
|
||
.guide-toc li { padding: 4px 0; }
|
||
.guide-toc a { color: var(--primary, #1e40af); text-decoration: none; font-size: 0.93rem; }
|
||
.guide-toc a:hover { text-decoration: underline; }
|
||
|
||
.guide-section { margin: 40px 0; padding-top: 16px; scroll-margin-top: 16px; }
|
||
.guide-section h2 {
|
||
color: var(--primary, #1e40af);
|
||
border-bottom: 2px solid var(--primary, #1e40af);
|
||
padding-bottom: 8px; margin-bottom: 20px;
|
||
display: flex; align-items: center; gap: 12px;
|
||
}
|
||
.guide-section h2 .num {
|
||
background: var(--primary, #1e40af); color: #fff;
|
||
width: 32px; height: 32px; border-radius: 50%;
|
||
display: inline-flex; align-items: center; justify-content: center;
|
||
font-size: 0.9rem; font-weight: 700;
|
||
}
|
||
.guide-section h3 { color: #374151; margin-top: 24px; }
|
||
|
||
.plain-box {
|
||
background: #eff6ff; border-left: 4px solid #1e40af;
|
||
padding: 14px 18px; border-radius: 6px; margin: 14px 0;
|
||
}
|
||
.plain-box strong { color: #1e40af; }
|
||
|
||
.example-box {
|
||
background: #fef3c7; border-left: 4px solid #f59e0b;
|
||
padding: 14px 18px; border-radius: 6px; margin: 14px 0;
|
||
}
|
||
.example-box strong { color: #92400e; }
|
||
|
||
.norm-box {
|
||
background: #f3f4f6; border-left: 4px solid #6b7280;
|
||
padding: 14px 18px; border-radius: 6px; margin: 14px 0;
|
||
font-size: 0.93rem;
|
||
}
|
||
.norm-box .article-tag {
|
||
display: inline-block; background: #1e40af; color: #fff;
|
||
padding: 2px 8px; border-radius: 4px; font-size: 0.78rem;
|
||
font-weight: 600; margin-right: 8px;
|
||
}
|
||
|
||
.step-list { counter-reset: step; list-style: none; padding-left: 0; }
|
||
.step-list li {
|
||
counter-increment: step; padding: 12px 12px 12px 56px;
|
||
position: relative; margin: 8px 0;
|
||
background: #f9fafb; border-radius: 6px;
|
||
}
|
||
.step-list li::before {
|
||
content: counter(step);
|
||
position: absolute; left: 14px; top: 12px;
|
||
background: var(--primary, #1e40af); color: #fff;
|
||
width: 30px; height: 30px; border-radius: 50%;
|
||
display: flex; align-items: center; justify-content: center;
|
||
font-weight: 700;
|
||
}
|
||
|
||
.glossario dt {
|
||
font-weight: 700; color: var(--primary, #1e40af);
|
||
margin-top: 14px; font-size: 1.02rem;
|
||
}
|
||
.glossario dd { margin-left: 0; margin-bottom: 6px; color: #374151; }
|
||
.glossario .acro { font-family: 'Courier New', monospace; background: #e0e7ff; padding: 2px 6px; border-radius: 3px; }
|
||
|
||
.pillar-card {
|
||
border: 1px solid #e5e7eb; border-radius: 8px;
|
||
padding: 16px; margin: 10px 0;
|
||
background: #fff;
|
||
}
|
||
.pillar-card h4 {
|
||
margin: 0 0 8px; color: var(--primary, #1e40af);
|
||
display: flex; align-items: center; gap: 8px;
|
||
}
|
||
.pillar-card .pillar-num {
|
||
background: var(--primary, #1e40af); color: #fff;
|
||
padding: 2px 8px; border-radius: 4px; font-size: 0.8rem;
|
||
}
|
||
|
||
@media (max-width: 768px) {
|
||
.guide-toc ul { columns: 1; }
|
||
}
|
||
</style>
|
||
</head>
|
||
<body>
|
||
<div class="app-layout">
|
||
<aside class="sidebar" id="sidebar"></aside>
|
||
|
||
<main class="main-content">
|
||
<header class="content-header">
|
||
<h2>Guida all'uso di NIS2 Agile</h2>
|
||
<div class="content-header-actions">
|
||
<span class="text-muted">Per chi inizia da zero</span>
|
||
</div>
|
||
</header>
|
||
|
||
<div class="content-body">
|
||
<div class="guide-wrap">
|
||
|
||
<!-- Intro -->
|
||
<div class="card">
|
||
<div class="card-body">
|
||
<p style="font-size:1.05rem; line-height:1.7; margin:0;">
|
||
Benvenuto. Questa guida ti accompagna passo passo nell'uso della piattaforma <strong>NIS2 Agile</strong>,
|
||
spiegando con parole semplici cosa devi fare e perché — senza dare per scontato che tu sia un esperto
|
||
di cybersecurity. Troverai per ogni argomento <strong style="color:#1e40af;">la spiegazione in parole semplici</strong>,
|
||
un <strong style="color:#92400e;">esempio pratico</strong> e <strong style="color:#6b7280;">cosa dice la norma</strong>.
|
||
</p>
|
||
<div style="margin-top:16px; padding:14px 16px; background:#fffbeb; border-left:4px solid #f59e0b; border-radius:6px; font-size:0.92rem; line-height:1.6;">
|
||
<strong>Avvertenza.</strong> Questa guida ha finalità operative e divulgative: spiega come usare la
|
||
piattaforma e riassume in modo semplificato la normativa. <strong>Non costituisce un parere legale</strong>
|
||
e non sostituisce la consulenza di un professionista né le indicazioni ufficiali dell'ACN (Agenzia per la
|
||
Cybersicurezza Nazionale). Le valutazioni di ambito (in/out scope), di classificazione
|
||
(soggetto essenziale/importante) e di significatività degli incidenti vanno sempre confermate
|
||
caso per caso sulle fonti ufficiali e, se necessario, con un consulente qualificato.
|
||
Riferimenti: Direttiva (UE) 2022/2555, D.Lgs. 138/2024, Determinazioni ACN.
|
||
</div>
|
||
</div>
|
||
</div>
|
||
|
||
<!-- TOC -->
|
||
<nav class="guide-toc" aria-label="Indice">
|
||
<h4>Indice</h4>
|
||
<ul>
|
||
<li><a href="#cap-1">1. Cos'è la NIS2 (5 minuti)</a></li>
|
||
<li><a href="#cap-2">2. La tua azienda è "in scope"?</a></li>
|
||
<li><a href="#cap-3">3. Cosa fa la piattaforma</a></li>
|
||
<li><a href="#cap-4">4. Il percorso tipico</a></li>
|
||
<li><a href="#cap-5">5. Gap Analysis (Art. 21)</a></li>
|
||
<li><a href="#cap-6">6. Gestione dei Rischi</a></li>
|
||
<li><a href="#cap-7">7. Incidenti (Art. 23)</a></li>
|
||
<li><a href="#cap-8">8. Policy e procedure</a></li>
|
||
<li><a href="#cap-9">9. Fornitori (Supply Chain)</a></li>
|
||
<li><a href="#cap-10">10. Formazione (Art. 20)</a></li>
|
||
<li><a href="#cap-11">11. Asset</a></li>
|
||
<li><a href="#cap-12">12. Audit & Report</a></li>
|
||
<li><a href="#cap-13">13. Segnalazioni interne</a></li>
|
||
<li><a href="#cap-14">14. AI: come usarla</a></li>
|
||
<li><a href="#cap-15">15. Glossario</a></li>
|
||
</ul>
|
||
</nav>
|
||
|
||
<!-- Cap 1 -->
|
||
<section id="cap-1" class="guide-section">
|
||
<h2><span class="num">1</span> Cos'è la NIS2 (in 5 minuti)</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> NIS2 è una legge europea (Direttiva UE 2022/2555, recepita in Italia
|
||
con il D.Lgs. 138/2024) che obbliga molte aziende a proteggere bene i propri sistemi informatici.
|
||
Lo scopo è evitare che attacchi hacker, fughe di dati o blocchi dei sistemi danneggino cittadini,
|
||
servizi essenziali (ospedali, energia, acqua, trasporti) e l'economia europea.
|
||
</div>
|
||
|
||
<p>NIS2 stabilisce quattro grandi obblighi:</p>
|
||
<ol>
|
||
<li><strong>Misurare il rischio cyber</strong> della propria azienda e migliorare le difese (Art. 21).</li>
|
||
<li><strong>Segnalare gli incidenti</strong> gravi alle autorità entro tempi precisi (Art. 23).</li>
|
||
<li><strong>Formare il personale</strong>, soprattutto i dirigenti (Art. 20).</li>
|
||
<li><strong>Controllare i fornitori</strong> che hanno accesso ai propri sistemi (Art. 21, lettera d).</li>
|
||
</ol>
|
||
|
||
<div class="example-box">
|
||
<strong>Esempio reale.</strong> Una clinica privata con 250 dipendenti è "in scope" NIS2 perché
|
||
opera nel settore sanitario (settore essenziale). Se subisce un ransomware che blocca le cartelle cliniche
|
||
per 8 ore, deve notificarlo al CSIRT Italia entro 24 ore con una prima segnalazione e poi entro 72 ore
|
||
con i dettagli completi.
|
||
</div>
|
||
|
||
<div class="norm-box">
|
||
<span class="article-tag">Considerando UE</span>
|
||
La direttiva sostituisce la "NIS1" del 2016 ampliando settori coinvolti, inasprendo le sanzioni
|
||
(fino al 2% del fatturato globale o 10 milioni €) e introducendo la responsabilità diretta degli
|
||
organi di vertice (amministratori) sulla cybersecurity.
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 2 -->
|
||
<section id="cap-2" class="guide-section">
|
||
<h2><span class="num">2</span> La tua azienda è "in scope"?</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> "In scope" vuol dire che la legge si applica a te. Dipende da
|
||
<em>cosa fai</em> (settore) e <em>quanto sei grande</em> (dipendenti e fatturato).
|
||
</div>
|
||
|
||
<h3>I settori coinvolti</h3>
|
||
<p>Sono divisi in due gruppi:</p>
|
||
|
||
<div class="pillar-card">
|
||
<h4>Settori <strong style="color:#dc2626;">essenziali</strong> (controlli più stringenti)</h4>
|
||
<p>Energia, trasporti, banche e finanza (per i quali vale spesso <strong>DORA</strong> come disciplina
|
||
speciale), sanità, acqua potabile e reflue, infrastrutture digitali (DNS, TLD, cloud, IXP, CDN),
|
||
Pubblica Amministrazione, spazio.</p>
|
||
<p style="font-size:.85rem;color:#64748b;">Nota: dentro le infrastrutture digitali la qualifica può
|
||
variare — es. i <strong>data center</strong> figurano tra gli <em>importanti</em>; i
|
||
<strong>servizi fiduciari</strong> sono essenziali se qualificati, importanti se non qualificati.</p>
|
||
</div>
|
||
|
||
<div class="pillar-card">
|
||
<h4>Settori <strong style="color:#f59e0b;">importanti</strong> (controlli normali)</h4>
|
||
<p>Servizi postali, gestione rifiuti, chimica, alimentare, manifattura (apparecchi medici, computer,
|
||
veicoli, ecc.), provider digitali (motori di ricerca, social, marketplace), ricerca.</p>
|
||
</div>
|
||
|
||
<h3>Le soglie dimensionali</h3>
|
||
<ul>
|
||
<li><strong>Media impresa</strong> = ≥50 dipendenti <em>oppure</em> fatturato ≥10 milioni €
|
||
<em>oppure</em> totale di bilancio ≥10 milioni €.</li>
|
||
<li><strong>Grande impresa</strong> = ≥250 dipendenti <em>oppure</em> fatturato >50 milioni €
|
||
<em>oppure</em> totale di bilancio >43 milioni €.</li>
|
||
</ul>
|
||
<p style="font-size:.85rem;color:#64748b;">Basta soddisfare <strong>uno</strong> dei tre criteri (dipendenti,
|
||
fatturato o bilancio): un'azienda può rientrare anche solo per il totale di bilancio.</p>
|
||
<p>In generale: medie e grandi imprese nei settori sopra elencati sono in scope.</p>
|
||
|
||
<h3>In scope a prescindere dalla dimensione</h3>
|
||
<p>Attenzione: alcune <strong>tipologie di soggetto sono in ambito anche se piccole o microimprese</strong>,
|
||
indipendentemente dalle soglie dimensionali. Tra queste (Direttiva (UE) 2022/2555, art. 2; D.Lgs. 138/2024):</p>
|
||
<ul>
|
||
<li>fornitori di servizi <strong>DNS</strong>, gestori di registri di <strong>TLD</strong> e di
|
||
<strong>registrazione nomi di dominio</strong>;</li>
|
||
<li>fornitori di <strong>cloud computing</strong>, <strong>data center</strong>, <strong>CDN</strong>,
|
||
<strong>IXP</strong> (punti di interscambio Internet);</li>
|
||
<li>fornitori di <strong>reti e servizi di comunicazione elettronica</strong> pubblici;
|
||
prestatori di <strong>servizi fiduciari</strong>;</li>
|
||
<li><strong>fornitori di servizi gestiti (MSP)</strong> e <strong>fornitori di servizi di sicurezza
|
||
gestiti (MSSP)</strong> — la categoria "Gestione dei servizi TIC (business-to-business)";</li>
|
||
<li>la <strong>Pubblica Amministrazione</strong> nei casi previsti.</li>
|
||
</ul>
|
||
<div class="callout-tip">
|
||
<strong>Caso reale: Agile Technology.</strong> Una software house che eroga a terzi una piattaforma SaaS
|
||
e servizi ICT gestiti (come NIS2 Agile stessa) rientra tipicamente tra i <strong>fornitori di servizi
|
||
gestiti B2B</strong>: in questo caso è in ambito <em>a prescindere dal numero di dipendenti o dal
|
||
fatturato</em>. La qualificazione formale (essenziale/importante) va confermata caso per caso, ma
|
||
l'esenzione "piccola impresa" qui non si applica.
|
||
</div>
|
||
|
||
<div class="example-box">
|
||
<strong>Esempio pratico.</strong> "Aurora Sanità S.p.A." con 480 dipendenti e 92 milioni € di fatturato,
|
||
settore sanitario → <strong>essenziale + grande</strong> → pienamente in scope. Deve registrarsi sul portale
|
||
ACN (Agenzia per la Cybersicurezza Nazionale) entro le scadenze.
|
||
</div>
|
||
|
||
<div class="norm-box">
|
||
<span class="article-tag">Art. 2 + Allegati I e II</span>
|
||
L'ambito di applicazione è definito dagli articoli 2 della Direttiva e specificato negli Allegati I (settori
|
||
essenziali) e II (settori importanti) del D.Lgs. 138/2024.
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 3 -->
|
||
<section id="cap-3" class="guide-section">
|
||
<h2><span class="num">3</span> Cosa fa la piattaforma NIS2 Agile</h2>
|
||
|
||
<p>La piattaforma ti aiuta a fare <strong>tutto quello che la NIS2 chiede</strong>, in modo organizzato e
|
||
documentabile. Non sostituisce il giudizio di un consulente o un CISO, ma ti dà gli strumenti per:</p>
|
||
|
||
<ul>
|
||
<li>Capire <strong>quanto sei conforme</strong> oggi (Gap Analysis con 80 domande).</li>
|
||
<li>Tenere un <strong>registro dei rischi</strong> aggiornato.</li>
|
||
<li>Gestire gli <strong>incidenti</strong> con i moduli di notifica già pronti per il CSIRT.</li>
|
||
<li>Generare <strong>policy</strong> di sicurezza usando l'AI.</li>
|
||
<li>Monitorare i <strong>fornitori critici</strong>.</li>
|
||
<li>Pianificare la <strong>formazione</strong> dei dipendenti.</li>
|
||
<li>Inventariare gli <strong>asset</strong> critici.</li>
|
||
<li>Estrarre <strong>report</strong> per audit interni o per le autorità.</li>
|
||
</ul>
|
||
|
||
<h3>Connettori per azienda (Evidence Automation)</h3>
|
||
<p>Dalla scheda di ogni azienda cliente puoi configurare i <strong>connettori</strong> verso i sistemi
|
||
esterni (Microsoft 365, Google Workspace, AWS, Azure, Identity Provider, EDR, SIEM, ticketing): sono le
|
||
fonti da cui la piattaforma raccoglie automaticamente le evidenze di conformità.</p>
|
||
<div class="callout-tip">
|
||
<strong>Sicurezza dei segreti.</strong> Nella scheda inserisci solo i parametri non sensibili (es.
|
||
tenant id, client id). Le <strong>credenziali segrete</strong> non vengono mai salvate nel prodotto:
|
||
sono custodite separatamente nel vault cifrato. Dopo il salvataggio la piattaforma indica il
|
||
comando per caricare il segreto nel vault.
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 4 -->
|
||
<section id="cap-4" class="guide-section">
|
||
<h2><span class="num">4</span> Il percorso tipico (cosa fare per primo)</h2>
|
||
|
||
<h3>Punto zero: accesso e ruoli</h3>
|
||
<p>Prima dell'onboarding: <strong>registrati</strong> (pagina di registrazione) → conferma l'email →
|
||
al primo <strong>login</strong> parte automaticamente l'onboarding. Ogni utente ha un <strong>ruolo</strong>
|
||
che determina cosa vede e può fare:</p>
|
||
<ul>
|
||
<li><strong>org_admin</strong> — amministra l'organizzazione (membri, impostazioni, tutto).</li>
|
||
<li><strong>compliance_manager</strong> — gestisce assessment, rischi, policy, fornitori.</li>
|
||
<li><strong>board_member</strong> — vista direzionale (dashboard, report, KRI).</li>
|
||
<li><strong>auditor</strong> — sola lettura su controlli, evidenze, audit log.</li>
|
||
<li><strong>employee</strong> — operatività limitata + presa visione policy/formazione.</li>
|
||
<li><strong>consultant</strong> — gestisce <em>più aziende clienti</em> (sezioni "Aziende" e "Connettori").</li>
|
||
</ul>
|
||
<div class="callout-tip">
|
||
<strong>Nota.</strong> Le sezioni <strong>Aziende</strong> e <strong>Connettori</strong> sono pensate per
|
||
consulenti/studi che gestiscono più clienti: se sei un utente singolo potresti non vederle.
|
||
</div>
|
||
|
||
<p>Se è la tua prima volta, segui questi passi in ordine:</p>
|
||
|
||
<ol class="step-list">
|
||
<li><strong>Completa l'Onboarding</strong> — inserisci i dati aziendali (puoi caricare la visura
|
||
e l'AI estrae i dati automaticamente). Classifica la tua azienda come essenziale/importante.</li>
|
||
<li><strong>Fai un primo Assessment (Gap Analysis)</strong> — rispondi alle 80 domande, anche se
|
||
in più sessioni. Otterrai un punteggio di maturità complessiva.</li>
|
||
<li><strong>Crea il Risk Register</strong> — parti dai rischi più ovvi (ransomware, phishing,
|
||
guasto sistemi). L'AI può suggerirti rischi tipici del tuo settore.</li>
|
||
<li><strong>Inserisci gli asset critici</strong> — i sistemi/dati senza i quali l'azienda si ferma.</li>
|
||
<li><strong>Mappa i fornitori critici</strong> — quelli con accesso ai tuoi sistemi o dati.</li>
|
||
<li><strong>Genera/approva le policy fondamentali</strong> — usa l'AI per le bozze, poi rivedile.</li>
|
||
<li><strong>Pianifica la formazione</strong> — soprattutto per i dirigenti (obbligo Art. 20).</li>
|
||
<li><strong>Quando arriva un incidente</strong> — usalo dal modulo Incidenti per gestire la notifica
|
||
24h/72h/30d.</li>
|
||
<li><strong>Genera il report esecutivo</strong> dalla sezione Report — utile per il board.</li>
|
||
</ol>
|
||
|
||
<div class="example-box">
|
||
<strong>Tempi indicativi.</strong> Un primo ciclo "decente" si fa in 6–8 settimane di lavoro
|
||
spalmate, con 2 persone (un IT e un compliance). Non puntare alla perfezione subito: meglio
|
||
coprire <em>tutte</em> le 10 categorie al 50% che 3 al 100% e 7 a zero.
|
||
</div>
|
||
|
||
<h3>Benchmark settoriale (anonimo)</h3>
|
||
<p>Nella Dashboard trovi un confronto del tuo punteggio di compliance con la <strong>media del tuo
|
||
settore</strong>, calcolata sulla rete delle aziende che usano la piattaforma. Vedi dove ti collochi
|
||
(top 25%, sopra/sotto la mediana) e lo scarto rispetto alla media. È un dato che i tool tradizionali
|
||
non possono offrire, perché serve una rete multi-azienda.</p>
|
||
<div class="callout-tip">
|
||
<strong>Privacy.</strong> Il confronto è <strong>anonimo e aggregato</strong>: appare solo se nel
|
||
tuo settore ci sono almeno 3 organizzazioni, e non mostra mai i dati di una singola azienda.
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 5 -->
|
||
<section id="cap-5" class="guide-section">
|
||
<h2><span class="num">5</span> Gap Analysis — le 10 misure dell'Art. 21</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> L'Art. 21 elenca 10 famiglie di "cose che devi avere".
|
||
La Gap Analysis ti fa domande per ognuna e calcola quanto sei attrezzato. Non serve essere
|
||
perfetti — serve <strong>sapere dove sei messo male</strong> e <strong>aver iniziato a migliorare</strong>.
|
||
</div>
|
||
|
||
<p>Le 10 misure (semplificate):</p>
|
||
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">a)</span> Politiche di analisi del rischio</h4>
|
||
<p><em>Hai scritto come la tua azienda gestisce il rischio cyber?</em> Ti serve almeno una policy
|
||
approvata dall'amministratore delegato che descriva il metodo (es. ISO 27005).</p>
|
||
</div>
|
||
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">b)</span> Gestione degli incidenti</h4>
|
||
<p><em>Sai cosa fare quando succede qualcosa?</em> Devi avere una procedura scritta che dica:
|
||
chi viene chiamato, in che ordine, chi notifica al CSIRT, chi parla con i giornalisti.</p>
|
||
</div>
|
||
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">c)</span> Continuità operativa e gestione delle crisi</h4>
|
||
<p><em>Se cade un server, in quanto tempo riparti?</em> RTO (tempo per ripartire) e RPO (quanti dati
|
||
puoi perdere) vanno definiti e <strong>testati</strong> almeno una volta l'anno.</p>
|
||
</div>
|
||
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">d)</span> Sicurezza della supply chain</h4>
|
||
<p><em>I tuoi fornitori sono sicuri?</em> Manda loro un questionario sicurezza,
|
||
chiedi le loro certificazioni, metti clausole NIS2 nei contratti.</p>
|
||
</div>
|
||
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">e)</span> Sicurezza nell'acquisto, sviluppo e manutenzione</h4>
|
||
<p><em>Quando comprate software, è sicuro?</em> Patch management, test prima del go-live, gestione
|
||
vulnerabilità (CVE).</p>
|
||
</div>
|
||
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">f)</span> Politiche di valutazione dell'efficacia</h4>
|
||
<p><em>Misuri se le tue misure funzionano?</em> Audit periodici (interni o esterni), KPI cyber,
|
||
revisione annuale del SoA (Statement of Applicability).</p>
|
||
</div>
|
||
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">g)</span> Igiene cibernetica di base e formazione</h4>
|
||
<p><em>I tuoi dipendenti sanno riconoscere un phishing?</em> Password manager, MFA, formazione
|
||
almeno annuale per tutti i livelli.</p>
|
||
</div>
|
||
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">h)</span> Crittografia</h4>
|
||
<p><em>I dati sensibili sono cifrati?</em> AES-256 per i dati a riposo, TLS 1.3 per i dati in
|
||
transito. Gestione corretta delle chiavi.</p>
|
||
</div>
|
||
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">i)</span> Sicurezza del personale, controllo accessi e gestione asset</h4>
|
||
<p><em>Chi può accedere a cosa?</em> Principio del minimo privilegio, revisione accessi 2 volte
|
||
l'anno, offboarding rapido quando un dipendente esce.</p>
|
||
</div>
|
||
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">j)</span> Autenticazione a più fattori (MFA)</h4>
|
||
<p><em>Hai MFA almeno su email, VPN, amministrazione?</em> Obbligatorio per tutti gli accessi
|
||
critici. Anche SMS è meglio di nulla, app authenticator è meglio di SMS, hardware token (FIDO2)
|
||
è il top.</p>
|
||
</div>
|
||
|
||
<div class="example-box">
|
||
<strong>Esempio Aurora Sanità.</strong> Punteggio iniziale 58%. I gap principali sono in
|
||
Supply Chain (40%) e Crittografia (50%). Piano di azione: assessment dei 12 fornitori critici
|
||
entro 6 mesi, attivare TLS 1.3 ovunque e cifratura at-rest sui DB cartelle cliniche entro 9 mesi.
|
||
</div>
|
||
|
||
<h3>Come si fa nella piattaforma</h3>
|
||
<ol class="step-list">
|
||
<li>Vai su <strong>Gap Analysis</strong> e clicca "Nuovo Assessment".</li>
|
||
<li>Rispondi alle 80 domande (quattro modalità: implementato / parziale / non implementato / non applicabile).</li>
|
||
<li>Per ogni risposta, indica il <strong>livello di maturità</strong> (0–5).</li>
|
||
<li>Salva: puoi continuare in più sessioni.</li>
|
||
<li>Quando finisci, clicca <strong>"Analisi AI"</strong> per ricevere raccomandazioni prioritarie.</li>
|
||
</ol>
|
||
|
||
<h3>Dalle 10 misure ai requisiti operativi ACN (specifiche di base)</h3>
|
||
<p>Le 10 categorie dell'Art. 21 sono il <strong>livello "cosa"</strong>. Il <strong>livello "come"
|
||
operativo</strong> in Italia è dettagliato dall'ACN nella <strong>Determinazione n. 164179 del 14 aprile
|
||
2025</strong>, che adotta le <em>specifiche di base</em> articolate secondo il <strong>Framework Nazionale
|
||
per la Cybersecurity e la Data Protection (ed. 2025)</strong>. Struttura: <strong>funzioni → categorie →
|
||
sottocategorie → requisiti</strong>, con sei funzioni — <strong>GV</strong> Governance, <strong>ID</strong>
|
||
Identificazione, <strong>PR</strong> Protezione, <strong>DE</strong> Rilevazione, <strong>RS</strong>
|
||
Risposta, <strong>RC</strong> Ripristino.</p>
|
||
<p>La codifica dei requisiti è <strong>la stessa per soggetti importanti ed essenziali</strong>; gli
|
||
essenziali hanno semplicemente <strong>requisiti aggiuntivi</strong>:</p>
|
||
<ul>
|
||
<li><strong>Soggetti importanti</strong> — 37 misure, 87 requisiti (<em>Allegato 1</em>).</li>
|
||
<li><strong>Soggetti essenziali</strong> — 43 misure, 116 requisiti (<em>Allegato 2</em>): cioè
|
||
<strong>+6 misure e +29 requisiti</strong> rispetto agli importanti.</li>
|
||
</ul>
|
||
<div class="example-box">
|
||
<strong>Esempio (requisiti di governance).</strong> <code>GV.RR-04</code> richiede che la cybersicurezza
|
||
sia integrata nella gestione delle risorse umane: chi accede ai sistemi (utenti e amministratori) deve
|
||
avere <strong>competenze e affidabilità adeguate al ruolo</strong>, valutate e documentate — è il
|
||
"controllo di adeguatezza al ruolo" delle figure chiave dell'organigramma.
|
||
<code>GV.PO-01</code> richiede una <strong>policy di gestione del rischio cyber</strong> formalizzata,
|
||
comunicata e applicata.
|
||
</div>
|
||
<div class="callout-tip">
|
||
<strong>Come si collega alla piattaforma.</strong> Le <strong>80 domande</strong> della Gap Analysis
|
||
(8 × 10 categorie Art. 21) danno il quadro di maturità di primo livello; le <strong>specifiche di base
|
||
ACN</strong> (Allegati 1–2) sono il dettaglio operativo verso cui portare l'implementazione. Il modulo
|
||
<em>Audit & Report</em> include il mapping ai controlli del framework (es. <code>GV.OC-04</code>,
|
||
<code>GV.RR-04</code>, <code>GV.PO-01</code>).
|
||
</div>
|
||
<div class="norm-box">
|
||
<span class="article-tag">Determina ACN 164179/2025 + Framework Nazionale 2025</span>
|
||
Misure di sicurezza di base: Allegato 1 (importanti) e Allegato 2 (essenziali); incidenti significativi
|
||
di base: Allegato 3 (importanti) e Allegato 4 (essenziali). Termine di adozione: 18 mesi dalla notifica
|
||
di inserimento nell'elenco NIS. Fonte: Agenzia per la Cybersicurezza Nazionale (acn.gov.it).
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 6 -->
|
||
<section id="cap-6" class="guide-section">
|
||
<h2><span class="num">6</span> Gestione dei Rischi</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> Il "registro dei rischi" è un elenco di cose brutte che
|
||
<em>potrebbero</em> accadere, con quanto è probabile e quanto farebbe male. Per ognuna decidi
|
||
cosa fare: ridurla, accettarla, assicurarla, o eliminarla.
|
||
</div>
|
||
|
||
<h3>La matrice 5×5</h3>
|
||
<p>Ogni rischio ha due valori:</p>
|
||
<ul>
|
||
<li><strong>Probabilità (1–5)</strong>: 1 = quasi mai, 5 = quasi certo.</li>
|
||
<li><strong>Impatto (1–5)</strong>: 1 = trascurabile, 5 = catastrofico.</li>
|
||
</ul>
|
||
<p>Il prodotto (probabilità × impatto) dà il <strong>punteggio di rischio</strong> da 1 a 25.
|
||
Sopra 16 è critico, 9–15 alto, 4–8 medio, sotto 4 basso.</p>
|
||
|
||
<h3>Le quattro strategie di trattamento</h3>
|
||
<ul>
|
||
<li><strong>Mitigare</strong>: riduco probabilità o impatto (es. installo backup offsite per ridurre l'impatto di un ransomware).</li>
|
||
<li><strong>Trasferire</strong>: passo il rischio a un altro (es. cyber-insurance).</li>
|
||
<li><strong>Accettare</strong>: il rischio è basso, lo accetto consapevolmente (con firma del board).</li>
|
||
<li><strong>Evitare</strong>: smetto di fare l'attività che genera il rischio.</li>
|
||
</ul>
|
||
|
||
<div class="example-box">
|
||
<strong>Esempio.</strong> Rischio "Ransomware su sistema PACS" (Aurora Sanità) → probabilità 4,
|
||
impatto 5 → punteggio inerente 20 (critico). Trattamento: mitigazione = MFA su RDP + backup
|
||
immutabili + patch mensili. Dopo le misure: probabilità 2, impatto 4 → punteggio residuo 8 (medio).
|
||
</div>
|
||
|
||
<h3>Come si fa nella piattaforma</h3>
|
||
<ol class="step-list">
|
||
<li>Vai su <strong>Rischi</strong> e clicca "Nuovo Rischio" (o "AI Suggerisci" per partire dai
|
||
rischi tipici del tuo settore).</li>
|
||
<li>Compila titolo, descrizione, categoria, minaccia e vulnerabilità.</li>
|
||
<li>Imposta probabilità e impatto inerenti (1–5 ciascuno).</li>
|
||
<li>Scegli la strategia di trattamento e descrivi le azioni concrete.</li>
|
||
<li>Imposta probabilità e impatto residui (dopo le misure).</li>
|
||
<li>Assegna un responsabile e una data di revisione.</li>
|
||
</ol>
|
||
|
||
<div class="norm-box">
|
||
<span class="article-tag">Art. 21 (2)(a) + Art. 20</span>
|
||
Le politiche di analisi dei rischi e di sicurezza dei sistemi informatici devono essere documentate
|
||
e <strong>approvate dagli organi di amministrazione</strong> (art. 20). L'aggiornamento periodico
|
||
(es. almeno annuale) è una <em>buona pratica raccomandata</em>, non una cadenza fissata
|
||
letteralmente dall'art. 21.
|
||
</div>
|
||
|
||
<h3>Analisi quantitativa FAIR (vista "Quantitativo")</h3>
|
||
<p>Oltre alla matrice qualitativa, puoi stimare il rischio in <strong>euro</strong>: quanto ti
|
||
costerebbe mediamente all'anno. Inserisci la frequenza attesa degli eventi (TEF: minimo, probabile,
|
||
massimo), la vulnerabilità (da 0 a 1) e la perdita per evento (minima, probabile, massima). La
|
||
piattaforma esegue una <strong>simulazione Monte Carlo</strong> e restituisce la
|
||
<strong>Perdita Annua Attesa (ALE)</strong> con i percentili P10 / P50 / P90 e un istogramma.</p>
|
||
<div class="example-box">
|
||
<strong>Esempio.</strong> Ransomware: 0,5–2 attacchi/anno (probabile 1), vulnerabilità 0,3,
|
||
perdita 50k–2M € (probabile 300k). Risultato: ALE media ≈ 175.000 € l'anno. Un numero così parla
|
||
alla Direzione meglio di "rischio alto" e aiuta a giustificare gli investimenti di sicurezza.
|
||
</div>
|
||
<p>Il <strong>Registro Quantitativo</strong> somma l'ALE di tutti i rischi quantificati, dando
|
||
l'esposizione economica complessiva del portafoglio.</p>
|
||
|
||
<div class="callout-tip">
|
||
<strong>Perché serve quantificare in euro.</strong> L'ALE va sempre confrontata con il <em>costo</em>
|
||
della non-conformità, non solo con il costo delle misure. Le sanzioni NIS2 (art. 34 Direttiva (UE)
|
||
2022/2555, recepito dal D.Lgs. 138/2024) arrivano fino a <strong>10 milioni € o il 2% del fatturato
|
||
mondiale annuo</strong> (il maggiore) per i soggetti <strong>essenziali</strong>, e fino a
|
||
<strong>7 milioni € o l'1,4%</strong> per gli <strong>importanti</strong>. Se l'incidente comporta anche
|
||
una violazione di dati personali, si aggiunge la sanzione GDPR (art. 83) fino a <strong>20 milioni €
|
||
o il 4%</strong>. Mettere l'ALE accanto a queste soglie aiuta la Direzione a decidere quanto investire.
|
||
</div>
|
||
|
||
<h3>Indicatori chiave di rischio – KRI (vista "KRI")</h3>
|
||
<p>I KRI sono <strong>sensori</strong> che monitorano nel tempo segnali di rischio (es. "% endpoint
|
||
senza MFA", "n. vulnerabilità critiche aperte"). Per ogni indicatore definisci un valore corrente e
|
||
due soglie (attenzione e critica): la piattaforma calcola da sola lo stato a <strong>semaforo</strong>
|
||
– verde, ambra, rosso – in base al valore e alla direzione (se valori alti o bassi sono peggio).</p>
|
||
<div class="example-box">
|
||
<strong>Esempio.</strong> KRI "% endpoint senza MFA": soglia attenzione 10%, critica 25%. Valore
|
||
attuale 18% → semaforo <strong>ambra</strong>. Sale a 30% → <strong>rosso</strong>: intervento prioritario.
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 7 -->
|
||
<section id="cap-7" class="guide-section">
|
||
<h2><span class="num">7</span> Incidenti — gli obblighi 24h / 72h / 30d</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> Se hai un incidente "significativo" devi avvisare il CSIRT
|
||
(la squadra nazionale di risposta cyber) in tre tappe: un preallarme entro 24 ore, una
|
||
notifica entro 72 ore, e una relazione finale entro un mese.
|
||
</div>
|
||
|
||
<h3>Quando un incidente è "significativo"?</h3>
|
||
<p>Il criterio <strong>legale</strong> (art. 23, comma 3, D.Lgs. 138/2024 e Direttiva (UE) 2022/2555)
|
||
è qualitativo: un incidente è significativo se</p>
|
||
<ul>
|
||
<li>ha causato o può causare una <strong>grave perturbazione operativa</strong> dei servizi o
|
||
<strong>perdite finanziarie</strong> per il soggetto; <em>oppure</em></li>
|
||
<li>si è ripercosso su <strong>altre persone</strong> (fisiche o giuridiche) causando perdite
|
||
materiali o immateriali <strong>considerevoli</strong>.</li>
|
||
</ul>
|
||
<p>Le <strong>soglie quantitative</strong> precise sono fissate dagli <strong>Allegati 3 (importanti)
|
||
e 4 (essenziali) della Determina ACN 164179/2025</strong> (e, per i fornitori digitali, dal Reg. (UE)
|
||
2024/2690) e variano per tipologia di soggetto.</p>
|
||
<div class="callout-tip">
|
||
<strong>Indicatori usati dalla piattaforma per il triage</strong> (non sono soglie di legge, ma
|
||
aiutano a capire se sei vicino alla significatività): ≥ 500 utenti colpiti · blocco servizi > 4 ore ·
|
||
impatto transfrontaliero · attacco intenzionale (ransomware, DDoS, intrusione) · danni diretti
|
||
> 100.000 €. Verifica sempre la soglia ufficiale ACN applicabile al tuo caso.
|
||
</div>
|
||
|
||
<h3>La timeline</h3>
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">24h</span> Preallarme <span style="font-weight:400;color:#64748b;">(early warning)</span></h4>
|
||
<p>Prima segnalazione "veloce". Bastano: cosa è successo, sospetti di malevolenza, impatto preliminare.
|
||
Non devi avere ancora tutte le risposte. <em>Termine normativo: preallarme (art. 23 D.Lgs. 138/2024).</em></p>
|
||
</div>
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">72h</span> Notifica dell'incidente <span style="font-weight:400;color:#64748b;">(notification)</span></h4>
|
||
<p>Aggiornamento dettagliato: indicatori di compromissione, sistemi colpiti, misure di contenimento
|
||
applicate, stima impatto.</p>
|
||
</div>
|
||
<div class="pillar-card">
|
||
<h4><span class="pillar-num">1 mese</span> Relazione finale <span style="font-weight:400;color:#64748b;">(final report)</span></h4>
|
||
<p>Analisi completa: causa radice, azioni correttive, lezioni apprese, raccomandazioni per il futuro.
|
||
<em>Termine normativo: relazione finale entro <strong>un mese dalla notifica</strong> (cioè dal momento delle 72h), non dall'incidente — art. 23 D.Lgs. 138/2024.</em></p>
|
||
</div>
|
||
|
||
<div class="example-box">
|
||
<strong>Esempio.</strong> Aurora Sanità subisce un DDoS sul portale prenotazioni alle 09:00 di lunedì.
|
||
Sono colpiti 8.500 utenti per 4 ore → significativo. Workflow: preallarme entro martedì 09:00 →
|
||
notifica entro giovedì 09:00 → relazione finale entro un mese <em>dalla notifica</em> (giovedì + 1 mese).
|
||
</div>
|
||
|
||
<h3>Come si fa nella piattaforma</h3>
|
||
<ol class="step-list">
|
||
<li>Vai su <strong>Incidenti</strong> e clicca "+ Nuovo Incidente".</li>
|
||
<li>Compila titolo, classificazione, severità, ora di rilevazione.</li>
|
||
<li>Il sistema calcola automaticamente le 3 scadenze (24h / 72h / 1 mese).</li>
|
||
<li>Quando arriva il momento, usa i bottoni <strong>"Invia Early Warning (24h)"</strong>,
|
||
<strong>"Invia Notifica (72h)"</strong> e <strong>"Invia Report Finale (30gg)"</strong>: le email partono verso
|
||
l'indirizzo CSIRT configurato.</li>
|
||
<li>Aggiorna lo stato dell'incidente (analisi → contenimento → eradicazione → recovery → chiuso).</li>
|
||
<li>Compila root cause e lezioni apprese alla chiusura.</li>
|
||
</ol>
|
||
|
||
<div class="norm-box">
|
||
<span class="article-tag">Art. 23</span>
|
||
Stabilisce gli obblighi di segnalazione degli incidenti significativi al CSIRT competente. Il mancato
|
||
rispetto delle scadenze è sanzionabile fino al 2% del fatturato globale per le entità essenziali.
|
||
</div>
|
||
|
||
<h3>Apertura automatica da SIEM/SOC/EDR</h3>
|
||
<p>Oltre all'inserimento manuale, gli incidenti possono essere <strong>creati in automatico</strong>
|
||
dai tuoi sistemi di sicurezza (SIEM, SOC, EDR) tramite la Services API. Quando un alert arriva, la
|
||
piattaforma crea l'incidente, ne propone la <strong>classificazione con l'AI</strong> (tipologia
|
||
IS-1…IS-4, gravità) e fa partire i tempi Art. 23. Gli alert duplicati vengono riconosciuti e non
|
||
creano doppioni.</p>
|
||
<div class="callout-tip">
|
||
<strong>Per chi integra.</strong> L'endpoint è <code>POST /api/services/incidents-ingest</code>
|
||
con una API key dedicata (scope <code>ingest:incidents</code>). Trasforma il modulo incidenti da
|
||
reattivo a proattivo.
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 8 -->
|
||
<section id="cap-8" class="guide-section">
|
||
<h2><span class="num">8</span> Policy e procedure</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> Una "policy" è un documento scritto che dice <em>come</em>
|
||
si fa una cosa in azienda. Serve sia per fare bene, sia per dimostrare alle autorità che ci hai pensato.
|
||
</div>
|
||
|
||
<p>Le policy minime per NIS2:</p>
|
||
<ol>
|
||
<li>Politica di Sicurezza delle Informazioni (master).</li>
|
||
<li>Procedura di Gestione Incidenti.</li>
|
||
<li>Politica di Continuità Operativa (BCP/DR).</li>
|
||
<li>Politica di Controllo Accessi.</li>
|
||
<li>Politica di Crittografia.</li>
|
||
<li>Politica Supply Chain.</li>
|
||
<li>Politica Vulnerability Management.</li>
|
||
<li>Acceptable Use Policy (per i dipendenti).</li>
|
||
</ol>
|
||
|
||
<div class="example-box">
|
||
<strong>Esempio.</strong> Genera con l'AI la bozza della "Politica di Crittografia": clicchi
|
||
"Genera con AI", indichi il settore (sanità), l'AI ti propone un documento di 4–5 pagine con
|
||
sezioni standard (algoritmi accettati, gestione chiavi, KMS, audit). Tu rivedi, adatti e fai
|
||
approvare dal CDA. Il sistema marca la versione, la data di approvazione e la prossima revisione.
|
||
</div>
|
||
|
||
<h3>Stati di una policy</h3>
|
||
<p>Bozza → In revisione → Approvata → Pubblicata → Archiviata (quando sostituita).</p>
|
||
|
||
<h3>Presa visione dei dipendenti (attestation)</h3>
|
||
<p>Non basta scrivere una policy: devi poter <strong>dimostrare</strong> che il personale l'ha letta.
|
||
Per ogni policy approvata, i dipendenti registrano la <strong>presa visione</strong> con un clic; la
|
||
piattaforma tiene la copertura (es. "32 su 40 hanno preso visione") e mostra chi manca.</p>
|
||
<div class="callout-tip">
|
||
<strong>Importante.</strong> L'attestation è <strong>legata alla versione</strong>: se aggiorni la
|
||
policy e la riapprovi con una nuova versione, chi aveva firmato la versione precedente deve
|
||
prendere visione di nuovo. Così la prova di lettura è sempre sulla versione corrente.
|
||
</div>
|
||
|
||
<h3>Storico versioni e confronto (diff)</h3>
|
||
<p>Ad ogni approvazione la piattaforma salva uno <strong>snapshot</strong> del contenuto. Puoi vedere
|
||
lo <strong>storico delle versioni</strong> e confrontare due versioni (<strong>diff</strong>) per
|
||
capire esattamente cosa è cambiato — righe aggiunte e rimosse — utile in sede di audit.</p>
|
||
</section>
|
||
|
||
<!-- Cap 9 -->
|
||
<section id="cap-9" class="guide-section">
|
||
<h2><span class="num">9</span> Supply Chain (Fornitori)</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> Se un tuo fornitore IT viene bucato, l'attaccante può entrare
|
||
in casa tua. NIS2 ti obbliga a valutare i fornitori "critici" (quelli con accesso ai tuoi sistemi
|
||
o dati sensibili).
|
||
</div>
|
||
|
||
<h3>Cosa fare per ogni fornitore critico</h3>
|
||
<ol>
|
||
<li>Inserirlo nell'anagrafica con dati di contratto.</li>
|
||
<li>Classificare la criticità (low/medium/high/critical).</li>
|
||
<li>Inviargli il questionario sicurezza (40+ domande standard).</li>
|
||
<li>Verificare la risposta e assegnare un risk score (0–10).</li>
|
||
<li>Rinnovare la valutazione almeno una volta l'anno.</li>
|
||
<li>Inserire clausole NIS2 nel contratto (right to audit, notifica incidenti, etc.).</li>
|
||
</ol>
|
||
|
||
<div class="example-box">
|
||
<strong>Esempio.</strong> "MedTech Manutenzione PACS S.r.l." ha accesso remoto al PACS di
|
||
Aurora Sanità → criticità "critical". Risk score iniziale 6/10 (ha ISO 27001, ma sub-appalto
|
||
non chiaro). Azione: clausola contrattuale che vieta sub-appalto senza autorizzazione e
|
||
impone notifica incidenti entro 24h.
|
||
</div>
|
||
|
||
<h3>Questionario self-assessment al fornitore</h3>
|
||
<p>Dalla scheda di un fornitore puoi <strong>inviare un questionario di sicurezza</strong>: la
|
||
piattaforma genera un link con scadenza che il fornitore compila <strong>senza dover avere un
|
||
account</strong>. Le domande coprono i temi NIS2 (ISO 27001, MFA, patch, backup, gestione incidenti,
|
||
cifratura, sub-fornitori).</p>
|
||
<p>Alla consegna, il sistema calcola in automatico un <strong>punteggio</strong> e aggiorna la scheda
|
||
del fornitore, così il suo livello di rischio si allinea da solo alle risposte ricevute.</p>
|
||
<div class="example-box">
|
||
<strong>Esempio.</strong> Invii il questionario al provider cloud. Compila il link entro 30 giorni:
|
||
7 "sì" e 1 "parziale" → punteggio 94/100, requisiti di sicurezza soddisfatti.
|
||
</div>
|
||
|
||
<h3>Categorie fornitore e questionari configurabili</h3>
|
||
<p>Puoi classificare i fornitori per <strong>categoria</strong> (es. provider cloud, MSP/MSSP, data center,
|
||
manutenzione, consulenza): la piattaforma offre categorie <strong>preimpostate</strong> e ti permette di
|
||
crearne di <strong>personalizzate</strong> per la tua organizzazione. A ogni categoria puoi associare un
|
||
<strong>template di questionario</strong> dedicato. I template sono <strong>configurabili</strong> (puoi
|
||
aggiungere/modificare le domande, fissare una soglia di superamento e gestirne le versioni) ed
|
||
estensibili anche per esigenze di procedure interne (privacy, 231, ESG, qualità), così invii a ogni tipo
|
||
di fornitore le domande davvero pertinenti.</p>
|
||
|
||
<h3>Import massivo dei fornitori (CSV / CMDB)</h3>
|
||
<p>Invece di inserire i fornitori uno a uno, usa il pulsante <strong>"Importa"</strong>: incolli o carichi un
|
||
<strong>CSV</strong> (prima riga = intestazioni). Colonne riconosciute: <code>name</code> (obbligatoria),
|
||
<code>vat_number</code>, <code>contact_email</code>, <code>contact_name</code>, <code>service_type</code>,
|
||
<code>criticality</code>, <code>category_slug</code>, <code>external_ref</code>. Indicando un identificativo
|
||
esterno (<code>external_ref</code>), reimportare lo stesso fornitore lo <strong>aggiorna</strong> invece di
|
||
duplicarlo: utile per sincronizzazioni periodiche da un CMDB o da un gestionale aziendale. È disponibile anche
|
||
un'<strong>API key</strong> per l'integrazione automatica dal sistema dell'azienda cliente.</p>
|
||
|
||
<div class="callout-tip" style="margin-top:16px; padding:14px 16px; background:#eff6ff; border-left:4px solid #1e40af; border-radius:6px; font-size:0.92rem; line-height:1.6;">
|
||
<strong>Nota interpretativa sul perimetro.</strong> NIS2 non fornisce una lista chiusa di "fornitori
|
||
da censire": l'obbligo (Direttiva (UE) 2022/2555, art. 21.2(d) — sicurezza della catena di
|
||
approvvigionamento) richiede di valutare i fornitori in funzione del rischio che introducono, dando
|
||
priorità a quelli con <strong>accesso ai tuoi sistemi/dati</strong> o critici per la continuità dei
|
||
servizi. La classificazione di criticità e la selezione dei fornitori "rilevanti" è quindi una
|
||
<strong>valutazione caso per caso</strong> della tua organizzazione e non costituisce parere legale.
|
||
Sul piano operativo italiano, la catena di approvvigionamento è trattata nelle misure di Governance/Supply
|
||
Chain del Framework Nazionale (famiglia <strong>GV.SC</strong>, Determinazione ACN 164179/2025, Allegato 2).
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 10 -->
|
||
<section id="cap-10" class="guide-section">
|
||
<h2><span class="num">10</span> Formazione (Art. 20)</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> NIS2 è chiara: <em>gli amministratori (CDA, direttori)
|
||
devono essere formati sulla cybersecurity</em>. Non è un nice-to-have, è obbligatorio. E sono
|
||
loro che rispondono in prima persona se l'azienda non è conforme.
|
||
</div>
|
||
|
||
<h3>Chi formare</h3>
|
||
<ol>
|
||
<li><strong>Organi di vertice</strong> (CDA, amministratori): formazione specifica annuale.</li>
|
||
<li><strong>Personale IT/sicurezza</strong>: formazione tecnica continua.</li>
|
||
<li><strong>Tutto il personale</strong>: awareness training (phishing, password, segnalazioni)
|
||
almeno annuale.</li>
|
||
</ol>
|
||
|
||
<div class="example-box">
|
||
<strong>Esempio.</strong> Aurora Sanità organizza: 1 corso da 4h per CDA, 1 corso da 16h per il team
|
||
IT, una sessione obbligatoria di 1h per tutti i dipendenti più simulazioni di phishing trimestrali.
|
||
Tutto loggato nel modulo Formazione.
|
||
</div>
|
||
|
||
<h3>Come si fa nella piattaforma</h3>
|
||
<ol class="step-list">
|
||
<li>Vai su <strong>Formazione</strong> → "Nuovo Corso".</li>
|
||
<li>Definisci titolo, contenuti, durata, ruoli target.</li>
|
||
<li>Assegna il corso ai dipendenti (singoli o per gruppo).</li>
|
||
<li>Imposta scadenza e prerequisiti (es. obbligatorio prima dell'onboarding).</li>
|
||
<li>Monitora il completamento dal cruscotto "Compliance Status".</li>
|
||
</ol>
|
||
|
||
<div class="norm-box">
|
||
<span class="article-tag">Art. 20</span>
|
||
Gli organi di gestione delle entità essenziali e importanti devono seguire una formazione che
|
||
consenta loro di acquisire conoscenze e competenze sufficienti per individuare i rischi e valutare
|
||
le pratiche di gestione del rischio di cibersicurezza.
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 11 -->
|
||
<section id="cap-11" class="guide-section">
|
||
<h2><span class="num">11</span> Asset (cosa hai e cosa proteggi)</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> Non puoi proteggere quello che non sai di avere.
|
||
L'inventario asset elenca tutti i sistemi, applicazioni, database e infrastrutture critiche.
|
||
</div>
|
||
|
||
<h3>Tipi di asset</h3>
|
||
<ul>
|
||
<li><strong>Hardware</strong>: server, PLC, dispositivi mobili.</li>
|
||
<li><strong>Software</strong>: applicazioni gestionali, SCADA, CRM.</li>
|
||
<li><strong>Network</strong>: firewall, router, switch.</li>
|
||
<li><strong>Data</strong>: database, file storage, backup.</li>
|
||
<li><strong>Service</strong>: portali web, API.</li>
|
||
<li><strong>Personnel</strong>: utenti privilegiati, ruoli chiave.</li>
|
||
<li><strong>Facility</strong>: data center, sale server.</li>
|
||
</ul>
|
||
|
||
<div class="example-box">
|
||
<strong>Esempio.</strong> Aurora Sanità inserisce: il PACS, il database cartelle cliniche,
|
||
il portale prenotazioni. Per ognuno: criticità, vendor, location, owner. Quando arriva un incidente
|
||
o un rischio, può essere associato a uno o più asset → tracciabilità totale.
|
||
</div>
|
||
|
||
<h3>Scoring di rilevanza NIS2 e import da CMDB/cloud/CSV</h3>
|
||
<p>La piattaforma calcola un <strong>punteggio di rilevanza (0–100)</strong> per ogni asset, su 6
|
||
criteri (criticità operativa, impatto, dati trattati, dipendenze, esposizione, obblighi normativi).
|
||
Invece di inserirli uno a uno, puoi <strong>importarli in blocco</strong> con il pulsante "Importa":
|
||
carichi un CSV (o un export dal CMDB/cloud) e la piattaforma crea gli asset calcolando
|
||
<strong>automaticamente</strong> il punteggio per ciascuno.</p>
|
||
<div class="callout-tip">
|
||
<strong>Niente duplicati.</strong> Se indichi un identificativo esterno (<code>external_ref</code>),
|
||
re-importare lo stesso asset lo <strong>aggiorna</strong> invece di duplicarlo: ideale per
|
||
sincronizzazioni periodiche dal CMDB.
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 12 -->
|
||
<section id="cap-12" class="guide-section">
|
||
<h2><span class="num">12</span> Audit & Report</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> Quando le autorità (ACN) verranno a chiederti conto della tua
|
||
compliance, devi poter mostrare documenti, evidenze, registri. Qui li trovi tutti.
|
||
</div>
|
||
|
||
<h3>Cosa puoi fare</h3>
|
||
<ul>
|
||
<li><strong>Controlli</strong>: lista dei 10 controlli Art. 21 + mapping ISO 27001 con stato di
|
||
implementazione (0–100%).</li>
|
||
<li><strong>Evidence Files</strong>: carica documenti probatori (verbali, screenshot, certificati).</li>
|
||
<li><strong>Audit Log</strong>: registro immutabile di tutto quello che succede in piattaforma
|
||
(utenti, modifiche, accessi). Garantito con catena hash SHA-256.</li>
|
||
<li><strong>Report Esecutivo</strong>: PDF/HTML stampabile per il CDA.</li>
|
||
<li><strong>Export CSV</strong>: rischi, incidenti, controlli, asset.</li>
|
||
</ul>
|
||
|
||
<h3>Monitoraggio continuo dei controlli</h3>
|
||
<p>La scheda "Monitoraggio Continuo" mostra lo stato di <strong>freschezza</strong> di ogni controllo,
|
||
alimentato dalle <strong>evidenze raccolte automaticamente</strong> dai connettori (Evidence
|
||
Automation). Invece di una verifica "una tantum", vedi a colpo d'occhio cosa è ancora valido e cosa va
|
||
rinnovato, con un semaforo: <strong>verde</strong> (sano), <strong>ambra</strong> (attenzione),
|
||
<strong>arancio</strong> (evidenza scaduta), <strong>rosso</strong> (non conforme), grigio (non
|
||
monitorato). La copertura indica quanti controlli sono alimentati da evidenze automatiche.</p>
|
||
<div class="callout-tip">
|
||
<strong>Perché conta.</strong> Avvicina l'azienda a una compliance <em>continua</em> anziché
|
||
fotografata una volta l'anno: è il modello dei migliori strumenti internazionali.
|
||
</div>
|
||
<div class="callout-tip">
|
||
<strong>Prerequisito.</strong> Questa vista si popola man mano che configuri i <strong>Connettori</strong>
|
||
(vedi cap. 3): senza connettori i controlli restano "non monitorati" (grigio) e la copertura è 0%.
|
||
</div>
|
||
|
||
<div class="example-box">
|
||
<strong>Esempio.</strong> Pre-audit ISO 27001: genera il report esecutivo, esporta in CSV
|
||
rischi e controlli, scarica l'audit log certificato. L'auditor ha tutto in 5 minuti.
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 13 -->
|
||
<section id="cap-13" class="guide-section">
|
||
<h2><span class="num">13</span> Segnalazioni interne (Whistleblowing)</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> Due cose distinte gestite in un unico modulo: la
|
||
<strong>segnalazione anonima di vulnerabilità</strong> (prevista da NIS2, art. 12, divulgazione
|
||
coordinata) e il <strong>whistleblowing</strong> dei dipendenti (segnalazione di illeciti),
|
||
che deriva dal <strong>D.Lgs. 24/2023</strong> (non da NIS2). In entrambi i casi si segnala senza
|
||
paura di ritorsioni.
|
||
</div>
|
||
|
||
<h3>Tipi di segnalazione</h3>
|
||
<ul>
|
||
<li><strong>Whistleblowing</strong>: anonimo, comportamenti illeciti.</li>
|
||
<li><strong>Feedback bug/UX</strong>: segnalazioni operative sulla piattaforma stessa,
|
||
classificate dall'AI e (opzionalmente) risolte automaticamente.</li>
|
||
</ul>
|
||
|
||
<div class="example-box">
|
||
<strong>Esempio.</strong> Un dipendente nota che le credenziali admin del CRM sono salvate in
|
||
un foglio Excel condiviso. Invia una segnalazione anonima → il responsabile compliance la riceve
|
||
con codice di tracciamento → il dipendente può seguire lo stato senza rivelare la propria identità.
|
||
</div>
|
||
</section>
|
||
|
||
<!-- Cap 14 -->
|
||
<section id="cap-14" class="guide-section">
|
||
<h2><span class="num">14</span> AI — come usarla bene</h2>
|
||
|
||
<div class="plain-box">
|
||
<strong>In parole semplici.</strong> La piattaforma usa Claude (Anthropic) per assisterti. L'AI
|
||
è bravissima a partire dal foglio bianco, ma <strong>non sostituisce</strong> il tuo giudizio:
|
||
rivedi sempre quello che produce prima di approvarlo.
|
||
</div>
|
||
|
||
<h3>Dove trovi l'AI</h3>
|
||
<ul>
|
||
<li><strong>Analisi Assessment</strong>: dopo aver completato la Gap Analysis, genera
|
||
un'analisi delle priorità con raccomandazioni.</li>
|
||
<li><strong>AI Suggerisci Rischi</strong>: parte dal tuo settore + asset e propone una lista
|
||
di rischi tipici.</li>
|
||
<li><strong>Genera Policy</strong>: bozza di policy a partire dalla categoria.</li>
|
||
<li><strong>Classifica Incidente</strong>: dato un incidente, suggerisce severità e classificazione.</li>
|
||
<li><strong>Knowledge Base RAG</strong>: chiedi all'AI partendo dai documenti che hai caricato.</li>
|
||
<li><strong>Classificazione Feedback</strong>: tag automatico per le segnalazioni di bug/UX.</li>
|
||
</ul>
|
||
|
||
<div class="example-box">
|
||
<strong>Buona pratica.</strong> Quando l'AI suggerisce 8 rischi, non importarli tutti ciecamente.
|
||
Scegli i 4 più rilevanti per il tuo contesto, scartane uno che è duplicato di un asset interno,
|
||
e personalizza descrizione/probabilità per la tua realtà.
|
||
</div>
|
||
|
||
<h3>Limiti che devi conoscere</h3>
|
||
<ul>
|
||
<li>L'AI non vede i tuoi dati grezzi: solo metadati anonimizzati (settore, range dipendenti,
|
||
categoria asset).</li>
|
||
<li>Le bozze di policy <strong>devono</strong> essere riviste da un umano competente prima
|
||
della pubblicazione.</li>
|
||
<li>L'AI non è un consulente legale né un sostituto del CISO.</li>
|
||
</ul>
|
||
</section>
|
||
|
||
<!-- Cap 15 -->
|
||
<section id="cap-15" class="guide-section">
|
||
<h2><span class="num">15</span> Glossario rapido</h2>
|
||
<dl class="glossario">
|
||
<dt><span class="acro">ACN</span> Agenzia per la Cybersicurezza Nazionale</dt>
|
||
<dd>L'autorità italiana che vigila sulla NIS2 e raccoglie le notifiche di incidenti.</dd>
|
||
|
||
<dt><span class="acro">CSIRT</span> Computer Security Incident Response Team</dt>
|
||
<dd>Squadra nazionale di risposta agli incidenti. Riceve le notifiche 24h/72h/30d.</dd>
|
||
|
||
<dt><span class="acro">ENISA</span> Agenzia UE per la Cybersicurezza</dt>
|
||
<dd>Coordina a livello europeo le linee guida operative NIS2.</dd>
|
||
|
||
<dt><span class="acro">RTO</span> Recovery Time Objective</dt>
|
||
<dd>Quanto tempo massimo puoi stare giù prima di tornare operativo. Esempio: RTO 4 ore.</dd>
|
||
|
||
<dt><span class="acro">RPO</span> Recovery Point Objective</dt>
|
||
<dd>Quanti dati puoi perderti al massimo. Esempio: RPO 1 ora = backup almeno orari.</dd>
|
||
|
||
<dt><span class="acro">MFA</span> Multi-Factor Authentication</dt>
|
||
<dd>Autenticazione a più fattori: password + codice OTP/app/hardware.</dd>
|
||
|
||
<dt><span class="acro">ISMS</span> Information Security Management System</dt>
|
||
<dd>Sistema di gestione della sicurezza delle informazioni (es. ISO 27001).</dd>
|
||
|
||
<dt><span class="acro">SoA</span> Statement of Applicability</dt>
|
||
<dd>Documento che elenca quali controlli ISO 27001 applichi e quali no, con motivazione.</dd>
|
||
|
||
<dt><span class="acro">BCP / DRP</span> Business Continuity Plan / Disaster Recovery Plan</dt>
|
||
<dd>I piani per garantire la continuità operativa e il ripristino dopo un disastro.</dd>
|
||
|
||
<dt><span class="acro">SCADA</span> Supervisory Control And Data Acquisition</dt>
|
||
<dd>Sistemi di controllo industriale (es. impianti di acqua, energia, manifattura).</dd>
|
||
|
||
<dt><span class="acro">PACS</span> Picture Archiving and Communication System</dt>
|
||
<dd>Sistema sanitario che archivia le immagini diagnostiche (TAC, RMN, ecografie).</dd>
|
||
|
||
<dt><span class="acro">TMS</span> Transport Management System</dt>
|
||
<dd>Software che gestisce le spedizioni e la flotta in azienda di logistica.</dd>
|
||
|
||
<dt><span class="acro">DDoS</span> Distributed Denial of Service</dt>
|
||
<dd>Attacco che satura un servizio con traffico inutile per metterlo offline.</dd>
|
||
|
||
<dt><span class="acro">BEC</span> Business Email Compromise</dt>
|
||
<dd>Frode via email che impersona dirigenti per ottenere bonifici fraudolenti.</dd>
|
||
|
||
<dt><span class="acro">NCR / CAPA</span> Non-Conformity Report / Corrective and Preventive Action</dt>
|
||
<dd>Non conformità (es. da audit) e relative azioni correttive/preventive.</dd>
|
||
|
||
<dt><span class="acro">RAG</span> Retrieval-Augmented Generation</dt>
|
||
<dd>Tecnica AI che fa rispondere l'assistente partendo da documenti caricati nella Knowledge Base.</dd>
|
||
|
||
<dt><span class="acro">FAIR</span> Factor Analysis of Information Risk</dt>
|
||
<dd>Metodo per stimare il rischio in valore economico (€). Standard The Open Group.</dd>
|
||
|
||
<dt><span class="acro">ALE</span> Annualized Loss Expectancy</dt>
|
||
<dd>Perdita annua attesa: l'output economico dell'analisi FAIR.</dd>
|
||
|
||
<dt><span class="acro">TEF</span> Threat Event Frequency</dt>
|
||
<dd>Frequenza attesa degli eventi minaccia in un anno (input del calcolo FAIR).</dd>
|
||
|
||
<dt><span class="acro">KRI</span> Key Risk Indicator</dt>
|
||
<dd>Indicatore con soglie e semaforo per monitorare un rischio nel tempo.</dd>
|
||
|
||
<dt><span class="acro">CVE</span> Common Vulnerabilities and Exposures</dt>
|
||
<dd>Identificativo standard di una vulnerabilità nota.</dd>
|
||
|
||
<dt><span class="acro">KMS</span> Key Management System</dt>
|
||
<dd>Sistema di gestione delle chiavi crittografiche.</dd>
|
||
|
||
<dt><span class="acro">MSP / MSSP</span> Managed (Security) Service Provider</dt>
|
||
<dd>Fornitore di servizi IT (di sicurezza) gestiti: in ambito NIS2 a prescindere dalla dimensione.</dd>
|
||
|
||
<dt><span class="acro">SIEM / EDR</span> Security Information and Event Management / Endpoint Detection and Response</dt>
|
||
<dd>Sistemi che rilevano e segnalano eventi di sicurezza (sorgenti per ingestion incidenti ed evidence automation).</dd>
|
||
|
||
<dt><span class="acro">CMDB</span> Configuration Management Database</dt>
|
||
<dd>Inventario degli asset IT, importabile nella piattaforma.</dd>
|
||
|
||
<dt><span class="acro">ATECO</span> Classificazione delle attività economiche</dt>
|
||
<dd>Codice che identifica il settore dell'impresa (usato anche per il benchmark settoriale).</dd>
|
||
</dl>
|
||
</section>
|
||
|
||
<div class="card" style="margin-top:40px;">
|
||
<div class="card-body" style="text-align:center;">
|
||
<p style="margin:0;color:var(--text-muted,#6b7280);">
|
||
Per dubbi specifici, in ogni pagina trovi il pulsante <strong>?</strong> in alto a destra
|
||
che apre la guida contestuale di quella sezione. Buon lavoro!
|
||
</p>
|
||
</div>
|
||
</div>
|
||
|
||
</div>
|
||
</div>
|
||
</main>
|
||
</div>
|
||
|
||
<script src="js/api.js"></script>
|
||
<script src="js/common.js"></script>
|
||
<script src="js/i18n.js"></script>
|
||
<script src="js/help.js"></script>
|
||
<script>
|
||
// La guida è accessibile anche da non autenticati (utile per onboarding)
|
||
// ma se sei loggato carichi sidebar + i18n normalmente.
|
||
if (typeof loadSidebar === 'function') loadSidebar();
|
||
if (typeof I18n !== 'undefined' && I18n.init) I18n.init();
|
||
</script>
|
||
</body>
|
||
</html>
|