AdminGit2026/nis2-agile
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
f8f78b5ece
nis2-agile/public/guida.html
DevEnv nis2-agile 1d934e4e63 [FEAT] UI: guida online, landing EN, mobile-conversion, ai-assistant, bug-reporter + help/i18n 
- public/guida.html, index-en.html, service-continuity.html
- public/js/ai-assistant.js, bug-reporter.js (FAB supporto)
- public/mobile-conversion.css/js
- index.html, common.js, help.js, risks.html: aggiornamenti UI/help

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-05-29 15:42:00 +02:00

776 lines
46 KiB
HTML
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<!DOCTYPE html>
<html lang="it">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Guida all'uso - NIS2 Agile</title>
<link rel="stylesheet" href="css/style.css">
<style>
/* Stili specifici per la guida — non interferiscono col resto */
.guide-wrap { max-width: 920px; margin: 0 auto; }
.guide-toc {
position: sticky; top: 16px;
background: var(--surface, #fff);
border: 1px solid var(--border, #e5e7eb);
border-radius: 10px; padding: 16px 20px;
margin-bottom: 24px;
}
.guide-toc h4 { margin: 0 0 10px; font-size: 0.9rem; color: var(--text-muted, #6b7280); text-transform: uppercase; letter-spacing: 0.05em; }
.guide-toc ul { list-style: none; padding: 0; margin: 0; columns: 2; column-gap: 24px; }
.guide-toc li { padding: 4px 0; }
.guide-toc a { color: var(--primary, #1e40af); text-decoration: none; font-size: 0.93rem; }
.guide-toc a:hover { text-decoration: underline; }
.guide-section { margin: 40px 0; padding-top: 16px; scroll-margin-top: 16px; }
.guide-section h2 {
color: var(--primary, #1e40af);
border-bottom: 2px solid var(--primary, #1e40af);
padding-bottom: 8px; margin-bottom: 20px;
display: flex; align-items: center; gap: 12px;
}
.guide-section h2 .num {
background: var(--primary, #1e40af); color: #fff;
width: 32px; height: 32px; border-radius: 50%;
display: inline-flex; align-items: center; justify-content: center;
font-size: 0.9rem; font-weight: 700;
}
.guide-section h3 { color: #374151; margin-top: 24px; }
.plain-box {
background: #eff6ff; border-left: 4px solid #1e40af;
padding: 14px 18px; border-radius: 6px; margin: 14px 0;
}
.plain-box strong { color: #1e40af; }
.example-box {
background: #fef3c7; border-left: 4px solid #f59e0b;
padding: 14px 18px; border-radius: 6px; margin: 14px 0;
}
.example-box strong { color: #92400e; }
.norm-box {
background: #f3f4f6; border-left: 4px solid #6b7280;
padding: 14px 18px; border-radius: 6px; margin: 14px 0;
font-size: 0.93rem;
}
.norm-box .article-tag {
display: inline-block; background: #1e40af; color: #fff;
padding: 2px 8px; border-radius: 4px; font-size: 0.78rem;
font-weight: 600; margin-right: 8px;
}
.step-list { counter-reset: step; list-style: none; padding-left: 0; }
.step-list li {
counter-increment: step; padding: 12px 12px 12px 56px;
position: relative; margin: 8px 0;
background: #f9fafb; border-radius: 6px;
}
.step-list li::before {
content: counter(step);
position: absolute; left: 14px; top: 12px;
background: var(--primary, #1e40af); color: #fff;
width: 30px; height: 30px; border-radius: 50%;
display: flex; align-items: center; justify-content: center;
font-weight: 700;
}
.glossario dt {
font-weight: 700; color: var(--primary, #1e40af);
margin-top: 14px; font-size: 1.02rem;
}
.glossario dd { margin-left: 0; margin-bottom: 6px; color: #374151; }
.glossario .acro { font-family: 'Courier New', monospace; background: #e0e7ff; padding: 2px 6px; border-radius: 3px; }
.pillar-card {
border: 1px solid #e5e7eb; border-radius: 8px;
padding: 16px; margin: 10px 0;
background: #fff;
}
.pillar-card h4 {
margin: 0 0 8px; color: var(--primary, #1e40af);
display: flex; align-items: center; gap: 8px;
}
.pillar-card .pillar-num {
background: var(--primary, #1e40af); color: #fff;
padding: 2px 8px; border-radius: 4px; font-size: 0.8rem;
}
@media (max-width: 768px) {
.guide-toc ul { columns: 1; }
}
</style>
</head>
<body>
<div class="app-layout">
<aside class="sidebar" id="sidebar"></aside>
<main class="main-content">
<header class="content-header">
<h2>Guida all'uso di NIS2 Agile</h2>
<div class="content-header-actions">
<span class="text-muted">Per chi inizia da zero</span>
</div>
</header>
<div class="content-body">
<div class="guide-wrap">
<!-- Intro -->
<div class="card">
<div class="card-body">
<p style="font-size:1.05rem; line-height:1.7; margin:0;">
Benvenuto. Questa guida ti accompagna passo passo nell'uso della piattaforma <strong>NIS2 Agile</strong>,
spiegando con parole semplici cosa devi fare e perché — senza dare per scontato che tu sia un esperto
di cybersecurity. Troverai per ogni argomento <strong style="color:#1e40af;">la spiegazione in parole semplici</strong>,
un <strong style="color:#92400e;">esempio pratico</strong> e <strong style="color:#6b7280;">cosa dice la norma</strong>.
</p>
</div>
</div>
<!-- TOC -->
<nav class="guide-toc" aria-label="Indice">
<h4>Indice</h4>
<ul>
<li><a href="#cap-1">1. Cos'è la NIS2 (5 minuti)</a></li>
<li><a href="#cap-2">2. La tua azienda è "in scope"?</a></li>
<li><a href="#cap-3">3. Cosa fa la piattaforma</a></li>
<li><a href="#cap-4">4. Il percorso tipico</a></li>
<li><a href="#cap-5">5. Gap Analysis (Art. 21)</a></li>
<li><a href="#cap-6">6. Gestione dei Rischi</a></li>
<li><a href="#cap-7">7. Incidenti (Art. 23)</a></li>
<li><a href="#cap-8">8. Policy e procedure</a></li>
<li><a href="#cap-9">9. Fornitori (Supply Chain)</a></li>
<li><a href="#cap-10">10. Formazione (Art. 20)</a></li>
<li><a href="#cap-11">11. Asset</a></li>
<li><a href="#cap-12">12. Audit &amp; Report</a></li>
<li><a href="#cap-13">13. Segnalazioni interne</a></li>
<li><a href="#cap-14">14. AI: come usarla</a></li>
<li><a href="#cap-15">15. Glossario</a></li>
</ul>
</nav>
<!-- Cap 1 -->
<section id="cap-1" class="guide-section">
<h2><span class="num">1</span> Cos'è la NIS2 (in 5 minuti)</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> NIS2 è una legge europea (Direttiva UE 2022/2555, recepita in Italia
con il D.Lgs. 138/2024) che obbliga molte aziende a proteggere bene i propri sistemi informatici.
Lo scopo è evitare che attacchi hacker, fughe di dati o blocchi dei sistemi danneggino cittadini,
servizi essenziali (ospedali, energia, acqua, trasporti) e l'economia europea.
</div>
<p>NIS2 stabilisce quattro grandi obblighi:</p>
<ol>
<li><strong>Misurare il rischio cyber</strong> della propria azienda e migliorare le difese (Art. 21).</li>
<li><strong>Segnalare gli incidenti</strong> gravi alle autorità entro tempi precisi (Art. 23).</li>
<li><strong>Formare il personale</strong>, soprattutto i dirigenti (Art. 20).</li>
<li><strong>Controllare i fornitori</strong> che hanno accesso ai propri sistemi (Art. 21, lettera d).</li>
</ol>
<div class="example-box">
<strong>Esempio reale.</strong> Una clinica privata con 250 dipendenti è "in scope" NIS2 perché
opera nel settore sanitario (settore essenziale). Se subisce un ransomware che blocca le cartelle cliniche
per 8 ore, deve notificarlo al CSIRT Italia entro 24 ore con una prima segnalazione e poi entro 72 ore
con i dettagli completi.
</div>
<div class="norm-box">
<span class="article-tag">Considerando UE</span>
La direttiva sostituisce la "NIS1" del 2016 ampliando settori coinvolti, inasprendo le sanzioni
(fino al 2% del fatturato globale o 10 milioni €) e introducendo la responsabilità diretta degli
organi di vertice (amministratori) sulla cybersecurity.
</div>
</section>
<!-- Cap 2 -->
<section id="cap-2" class="guide-section">
<h2><span class="num">2</span> La tua azienda è "in scope"?</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> "In scope" vuol dire che la legge si applica a te. Dipende da
<em>cosa fai</em> (settore) e <em>quanto sei grande</em> (dipendenti e fatturato).
</div>
<h3>I settori coinvolti</h3>
<p>Sono divisi in due gruppi:</p>
<div class="pillar-card">
<h4>Settori <strong style="color:#dc2626;">essenziali</strong> (controlli più stringenti)</h4>
<p>Energia, trasporti, banche, finanza, sanità, acqua potabile e reflue, infrastrutture digitali
(data center, DNS, TLD), Pubblica Amministrazione, spazio.</p>
</div>
<div class="pillar-card">
<h4>Settori <strong style="color:#f59e0b;">importanti</strong> (controlli normali)</h4>
<p>Servizi postali, gestione rifiuti, chimica, alimentare, manifattura (apparecchi medici, computer,
veicoli, ecc.), provider digitali (motori di ricerca, social, marketplace), ricerca.</p>
</div>
<h3>Le soglie dimensionali</h3>
<ul>
<li><strong>Media impresa</strong> = 50249 dipendenti <em>oppure</em> fatturato tra 10 e 50 milioni €.</li>
<li><strong>Grande impresa</strong> = ≥250 dipendenti <em>oppure</em> fatturato &gt;50 milioni €.</li>
</ul>
<p>In generale: medie e grandi imprese nei settori sopra elencati sono in scope. Le piccole sono in scope
solo in casi particolari (es. fornitori di servizi DNS, TLD, registrar).</p>
<div class="example-box">
<strong>Esempio pratico.</strong> "Aurora Sanità S.p.A." con 480 dipendenti e 92 milioni € di fatturato,
settore sanitario → <strong>essenziale + grande</strong> → pienamente in scope. Deve registrarsi sul portale
ACN (Agenzia per la Cybersicurezza Nazionale) entro le scadenze.
</div>
<div class="norm-box">
<span class="article-tag">Art. 2 + Allegati I e II</span>
L'ambito di applicazione è definito dagli articoli 2 della Direttiva e specificato negli Allegati I (settori
essenziali) e II (settori importanti) del D.Lgs. 138/2024.
</div>
</section>
<!-- Cap 3 -->
<section id="cap-3" class="guide-section">
<h2><span class="num">3</span> Cosa fa la piattaforma NIS2 Agile</h2>
<p>La piattaforma ti aiuta a fare <strong>tutto quello che la NIS2 chiede</strong>, in modo organizzato e
documentabile. Non sostituisce il giudizio di un consulente o un CISO, ma ti dà gli strumenti per:</p>
<ul>
<li>Capire <strong>quanto sei conforme</strong> oggi (Gap Analysis con 80 domande).</li>
<li>Tenere un <strong>registro dei rischi</strong> aggiornato.</li>
<li>Gestire gli <strong>incidenti</strong> con i moduli di notifica già pronti per il CSIRT.</li>
<li>Generare <strong>policy</strong> di sicurezza usando l'AI.</li>
<li>Monitorare i <strong>fornitori critici</strong>.</li>
<li>Pianificare la <strong>formazione</strong> dei dipendenti.</li>
<li>Inventariare gli <strong>asset</strong> critici.</li>
<li>Estrarre <strong>report</strong> per audit interni o per le autorità.</li>
</ul>
</section>
<!-- Cap 4 -->
<section id="cap-4" class="guide-section">
<h2><span class="num">4</span> Il percorso tipico (cosa fare per primo)</h2>
<p>Se è la tua prima volta, segui questi passi in ordine:</p>
<ol class="step-list">
<li><strong>Completa l'Onboarding</strong> — inserisci i dati aziendali (puoi caricare la visura
e l'AI estrae i dati automaticamente). Classifica la tua azienda come essenziale/importante.</li>
<li><strong>Fai un primo Assessment (Gap Analysis)</strong> — rispondi alle 80 domande, anche se
in più sessioni. Otterrai un punteggio di maturità complessiva.</li>
<li><strong>Crea il Risk Register</strong> — parti dai rischi più ovvi (ransomware, phishing,
guasto sistemi). L'AI può suggerirti rischi tipici del tuo settore.</li>
<li><strong>Inserisci gli asset critici</strong> — i sistemi/dati senza i quali l'azienda si ferma.</li>
<li><strong>Mappa i fornitori critici</strong> — quelli con accesso ai tuoi sistemi o dati.</li>
<li><strong>Genera/approva le policy fondamentali</strong> — usa l'AI per le bozze, poi rivedile.</li>
<li><strong>Pianifica la formazione</strong> — soprattutto per i dirigenti (obbligo Art. 20).</li>
<li><strong>Quando arriva un incidente</strong> — usalo dal modulo Incidenti per gestire la notifica
24h/72h/30d.</li>
<li><strong>Genera il report esecutivo</strong> dalla sezione Report — utile per il board.</li>
</ol>
<div class="example-box">
<strong>Tempi indicativi.</strong> Un primo ciclo "decente" si fa in 68 settimane di lavoro
spalmate, con 2 persone (un IT e un compliance). Non puntare alla perfezione subito: meglio
coprire <em>tutte</em> le 10 categorie al 50% che 3 al 100% e 7 a zero.
</div>
</section>
<!-- Cap 5 -->
<section id="cap-5" class="guide-section">
<h2><span class="num">5</span> Gap Analysis — le 10 misure dell'Art. 21</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> L'Art. 21 elenca 10 famiglie di "cose che devi avere".
La Gap Analysis ti fa domande per ognuna e calcola quanto sei attrezzato. Non serve essere
perfetti — serve <strong>sapere dove sei messo male</strong> e <strong>aver iniziato a migliorare</strong>.
</div>
<p>Le 10 misure (semplificate):</p>
<div class="pillar-card">
<h4><span class="pillar-num">a)</span> Politiche di analisi del rischio</h4>
<p><em>Hai scritto come la tua azienda gestisce il rischio cyber?</em> Ti serve almeno una policy
approvata dall'amministratore delegato che descriva il metodo (es. ISO 27005).</p>
</div>
<div class="pillar-card">
<h4><span class="pillar-num">b)</span> Gestione degli incidenti</h4>
<p><em>Sai cosa fare quando succede qualcosa?</em> Devi avere una procedura scritta che dica:
chi viene chiamato, in che ordine, chi notifica al CSIRT, chi parla con i giornalisti.</p>
</div>
<div class="pillar-card">
<h4><span class="pillar-num">c)</span> Continuità operativa e gestione delle crisi</h4>
<p><em>Se cade un server, in quanto tempo riparti?</em> RTO (tempo per ripartire) e RPO (quanti dati
puoi perdere) vanno definiti e <strong>testati</strong> almeno una volta l'anno.</p>
</div>
<div class="pillar-card">
<h4><span class="pillar-num">d)</span> Sicurezza della supply chain</h4>
<p><em>I tuoi fornitori sono sicuri?</em> Manda loro un questionario sicurezza,
chiedi le loro certificazioni, metti clausole NIS2 nei contratti.</p>
</div>
<div class="pillar-card">
<h4><span class="pillar-num">e)</span> Sicurezza nell'acquisto, sviluppo e manutenzione</h4>
<p><em>Quando comprate software, è sicuro?</em> Patch management, test prima del go-live, gestione
vulnerabilità (CVE).</p>
</div>
<div class="pillar-card">
<h4><span class="pillar-num">f)</span> Politiche di valutazione dell'efficacia</h4>
<p><em>Misuri se le tue misure funzionano?</em> Audit periodici (interni o esterni), KPI cyber,
revisione annuale del SoA (Statement of Applicability).</p>
</div>
<div class="pillar-card">
<h4><span class="pillar-num">g)</span> Igiene cibernetica di base e formazione</h4>
<p><em>I tuoi dipendenti sanno riconoscere un phishing?</em> Password manager, MFA, formazione
almeno annuale per tutti i livelli.</p>
</div>
<div class="pillar-card">
<h4><span class="pillar-num">h)</span> Crittografia</h4>
<p><em>I dati sensibili sono cifrati?</em> AES-256 per i dati a riposo, TLS 1.3 per i dati in
transito. Gestione corretta delle chiavi.</p>
</div>
<div class="pillar-card">
<h4><span class="pillar-num">i)</span> Sicurezza del personale, controllo accessi e gestione asset</h4>
<p><em>Chi può accedere a cosa?</em> Principio del minimo privilegio, revisione accessi 2 volte
l'anno, offboarding rapido quando un dipendente esce.</p>
</div>
<div class="pillar-card">
<h4><span class="pillar-num">j)</span> Autenticazione a più fattori (MFA)</h4>
<p><em>Hai MFA almeno su email, VPN, amministrazione?</em> Obbligatorio per tutti gli accessi
critici. Anche SMS è meglio di nulla, app authenticator è meglio di SMS, hardware token (FIDO2)
è il top.</p>
</div>
<div class="example-box">
<strong>Esempio Aurora Sanità.</strong> Punteggio iniziale 58%. I gap principali sono in
Supply Chain (40%) e Crittografia (50%). Piano di azione: assessment dei 12 fornitori critici
entro 6 mesi, attivare TLS 1.3 ovunque e cifratura at-rest sui DB cartelle cliniche entro 9 mesi.
</div>
<h3>Come si fa nella piattaforma</h3>
<ol class="step-list">
<li>Vai su <strong>Gap Analysis</strong> e clicca "Nuovo Assessment".</li>
<li>Rispondi alle 80 domande (sei modalità: implementato / parziale / non implementato / non applicabile).</li>
<li>Per ogni risposta, indica il <strong>livello di maturità</strong> (15).</li>
<li>Salva: puoi continuare in più sessioni.</li>
<li>Quando finisci, clicca <strong>"Analisi AI"</strong> per ricevere raccomandazioni prioritarie.</li>
</ol>
</section>
<!-- Cap 6 -->
<section id="cap-6" class="guide-section">
<h2><span class="num">6</span> Gestione dei Rischi</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> Il "registro dei rischi" è un elenco di cose brutte che
<em>potrebbero</em> accadere, con quanto è probabile e quanto farebbe male. Per ognuna decidi
cosa fare: ridurla, accettarla, assicurarla, o eliminarla.
</div>
<h3>La matrice 5×5</h3>
<p>Ogni rischio ha due valori:</p>
<ul>
<li><strong>Probabilità (15)</strong>: 1 = quasi mai, 5 = quasi certo.</li>
<li><strong>Impatto (15)</strong>: 1 = trascurabile, 5 = catastrofico.</li>
</ul>
<p>Il prodotto (probabilità × impatto) dà il <strong>punteggio di rischio</strong> da 1 a 25.
Sopra 16 è critico, 915 alto, 48 medio, sotto 4 basso.</p>
<h3>Le quattro strategie di trattamento</h3>
<ul>
<li><strong>Mitigare</strong>: riduco probabilità o impatto (es. installo backup offsite per ridurre l'impatto di un ransomware).</li>
<li><strong>Trasferire</strong>: passo il rischio a un altro (es. cyber-insurance).</li>
<li><strong>Accettare</strong>: il rischio è basso, lo accetto consapevolmente (con firma del board).</li>
<li><strong>Evitare</strong>: smetto di fare l'attività che genera il rischio.</li>
</ul>
<div class="example-box">
<strong>Esempio.</strong> Rischio "Ransomware su sistema PACS" (Aurora Sanità) → probabilità 4,
impatto 5 → punteggio inerente 20 (critico). Trattamento: mitigazione = MFA su RDP + backup
immutabili + patch mensili. Dopo le misure: probabilità 2, impatto 4 → punteggio residuo 8 (medio).
</div>
<h3>Come si fa nella piattaforma</h3>
<ol class="step-list">
<li>Vai su <strong>Rischi</strong> e clicca "Nuovo Rischio" (o "AI Suggerisci" per partire dai
rischi tipici del tuo settore).</li>
<li>Compila titolo, descrizione, categoria, minaccia e vulnerabilità.</li>
<li>Imposta probabilità e impatto inerenti (15 ciascuno).</li>
<li>Scegli la strategia di trattamento e descrivi le azioni concrete.</li>
<li>Imposta probabilità e impatto residui (dopo le misure).</li>
<li>Assegna un responsabile e una data di revisione.</li>
</ol>
<div class="norm-box">
<span class="article-tag">Art. 21 (2)(a)</span>
Le politiche di analisi dei rischi e di sicurezza dei sistemi informatici devono essere documentate,
approvate dagli organi di vertice, e aggiornate almeno una volta l'anno.
</div>
</section>
<!-- Cap 7 -->
<section id="cap-7" class="guide-section">
<h2><span class="num">7</span> Incidenti — gli obblighi 24h / 72h / 30d</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> Se hai un incidente "significativo" devi avvisare il CSIRT
(la squadra nazionale di risposta cyber) in tre tappe: una prima allerta entro 24 ore, una
notifica completa entro 72 ore, e un report finale entro 30 giorni.
</div>
<h3>Quando un incidente è "significativo"?</h3>
<p>Almeno uno di questi criteri:</p>
<ul>
<li>Ha colpito <strong>≥ 500 utenti</strong>.</li>
<li>Ha bloccato i servizi per <strong>&gt; 4 ore</strong>.</li>
<li>Ha <strong>impatto transfrontaliero</strong> (altri Stati UE).</li>
<li>È un <strong>cyber attack</strong> intenzionale (ransomware, DDoS, intrusione…).</li>
<li>Ha generato danni economici diretti &gt; <strong>100.000 €</strong>.</li>
</ul>
<h3>La timeline</h3>
<div class="pillar-card">
<h4><span class="pillar-num">24h</span> Early Warning</h4>
<p>Prima segnalazione "veloce". Bastano: cosa è successo, sospetti di malevolenza, impatto preliminare.
Non devi avere ancora tutte le risposte.</p>
</div>
<div class="pillar-card">
<h4><span class="pillar-num">72h</span> Notifica completa</h4>
<p>Aggiornamento dettagliato: indicatori di compromissione, sistemi colpiti, misure di contenimento
applicate, stima impatto.</p>
</div>
<div class="pillar-card">
<h4><span class="pillar-num">30d</span> Final Report</h4>
<p>Analisi completa: root cause, azioni correttive, lezioni apprese, raccomandazioni per il futuro.</p>
</div>
<div class="example-box">
<strong>Esempio.</strong> Aurora Sanità subisce un DDoS sul portale prenotazioni alle 09:00 di lunedì.
Sono colpiti 8.500 utenti per 4 ore → significativo. Workflow: Early Warning entro martedì 09:00 →
Notifica entro giovedì 09:00 → Final Report entro mercoledì 28 (30 giorni dopo).
</div>
<h3>Come si fa nella piattaforma</h3>
<ol class="step-list">
<li>Vai su <strong>Incidenti</strong> e clicca "Registra Incidente".</li>
<li>Compila titolo, classificazione, severità, ora di rilevazione.</li>
<li>Il sistema calcola automaticamente le 3 scadenze (24h/72h/30d).</li>
<li>Quando arriva il momento, usa i bottoni <strong>"Invia Early Warning"</strong>,
<strong>"Invia Notifica"</strong> e <strong>"Invia Final Report"</strong>: le email partono verso
l'indirizzo CSIRT configurato.</li>
<li>Aggiorna lo stato dell'incidente (analisi → contenimento → eradicazione → recovery → chiuso).</li>
<li>Compila root cause e lezioni apprese alla chiusura.</li>
</ol>
<div class="norm-box">
<span class="article-tag">Art. 23</span>
Stabilisce gli obblighi di segnalazione degli incidenti significativi al CSIRT competente. Il mancato
rispetto delle scadenze è sanzionabile fino al 2% del fatturato globale per le entità essenziali.
</div>
</section>
<!-- Cap 8 -->
<section id="cap-8" class="guide-section">
<h2><span class="num">8</span> Policy e procedure</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> Una "policy" è un documento scritto che dice <em>come</em>
si fa una cosa in azienda. Serve sia per fare bene, sia per dimostrare alle autorità che ci hai pensato.
</div>
<p>Le policy minime per NIS2:</p>
<ol>
<li>Politica di Sicurezza delle Informazioni (master).</li>
<li>Procedura di Gestione Incidenti.</li>
<li>Politica di Continuità Operativa (BCP/DR).</li>
<li>Politica di Controllo Accessi.</li>
<li>Politica di Crittografia.</li>
<li>Politica Supply Chain.</li>
<li>Politica Vulnerability Management.</li>
<li>Acceptable Use Policy (per i dipendenti).</li>
</ol>
<div class="example-box">
<strong>Esempio.</strong> Genera con l'AI la bozza della "Politica di Crittografia": clicchi
"Genera con AI", indichi il settore (sanità), l'AI ti propone un documento di 45 pagine con
sezioni standard (algoritmi accettati, gestione chiavi, KMS, audit). Tu rivedi, adatti e fai
approvare dal CDA. Il sistema marca la versione, la data di approvazione e la prossima revisione.
</div>
<h3>Stati di una policy</h3>
<p>Bozza → In revisione → Approvata → Pubblicata → Archiviata (quando sostituita).</p>
</section>
<!-- Cap 9 -->
<section id="cap-9" class="guide-section">
<h2><span class="num">9</span> Supply Chain (Fornitori)</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> Se un tuo fornitore IT viene bucato, l'attaccante può entrare
in casa tua. NIS2 ti obbliga a valutare i fornitori "critici" (quelli con accesso ai tuoi sistemi
o dati sensibili).
</div>
<h3>Cosa fare per ogni fornitore critico</h3>
<ol>
<li>Inserirlo nell'anagrafica con dati di contratto.</li>
<li>Classificare la criticità (low/medium/high/critical).</li>
<li>Inviargli il questionario sicurezza (40+ domande standard).</li>
<li>Verificare la risposta e assegnare un risk score (010).</li>
<li>Rinnovare la valutazione almeno una volta l'anno.</li>
<li>Inserire clausole NIS2 nel contratto (right to audit, notifica incidenti, etc.).</li>
</ol>
<div class="example-box">
<strong>Esempio.</strong> "MedTech Manutenzione PACS S.r.l." ha accesso remoto al PACS di
Aurora Sanità → criticità "critical". Risk score iniziale 6/10 (ha ISO 27001, ma sub-appalto
non chiaro). Azione: clausola contrattuale che vieta sub-appalto senza autorizzazione e
impone notifica incidenti entro 24h.
</div>
</section>
<!-- Cap 10 -->
<section id="cap-10" class="guide-section">
<h2><span class="num">10</span> Formazione (Art. 20)</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> NIS2 è chiara: <em>gli amministratori (CDA, direttori)
devono essere formati sulla cybersecurity</em>. Non è un nice-to-have, è obbligatorio. E sono
loro che rispondono in prima persona se l'azienda non è conforme.
</div>
<h3>Chi formare</h3>
<ol>
<li><strong>Organi di vertice</strong> (CDA, amministratori): formazione specifica annuale.</li>
<li><strong>Personale IT/sicurezza</strong>: formazione tecnica continua.</li>
<li><strong>Tutto il personale</strong>: awareness training (phishing, password, segnalazioni)
almeno annuale.</li>
</ol>
<div class="example-box">
<strong>Esempio.</strong> Aurora Sanità organizza: 1 corso da 4h per CDA, 1 corso da 16h per il team
IT, una sessione obbligatoria di 1h per tutti i dipendenti più simulazioni di phishing trimestrali.
Tutto loggato nel modulo Formazione.
</div>
<h3>Come si fa nella piattaforma</h3>
<ol class="step-list">
<li>Vai su <strong>Formazione</strong> &rarr; "Nuovo Corso".</li>
<li>Definisci titolo, contenuti, durata, ruoli target.</li>
<li>Assegna il corso ai dipendenti (singoli o per gruppo).</li>
<li>Imposta scadenza e prerequisiti (es. obbligatorio prima dell'onboarding).</li>
<li>Monitora il completamento dal cruscotto "Compliance Status".</li>
</ol>
<div class="norm-box">
<span class="article-tag">Art. 20</span>
Gli organi di gestione delle entità essenziali e importanti devono seguire una formazione che
consenta loro di acquisire conoscenze e competenze sufficienti per individuare i rischi e valutare
le pratiche di gestione del rischio di cibersicurezza.
</div>
</section>
<!-- Cap 11 -->
<section id="cap-11" class="guide-section">
<h2><span class="num">11</span> Asset (cosa hai e cosa proteggi)</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> Non puoi proteggere quello che non sai di avere.
L'inventario asset elenca tutti i sistemi, applicazioni, database e infrastrutture critiche.
</div>
<h3>Tipi di asset</h3>
<ul>
<li><strong>Hardware</strong>: server, PLC, dispositivi mobili.</li>
<li><strong>Software</strong>: applicazioni gestionali, SCADA, CRM.</li>
<li><strong>Network</strong>: firewall, router, switch.</li>
<li><strong>Data</strong>: database, file storage, backup.</li>
<li><strong>Service</strong>: portali web, API.</li>
<li><strong>Personnel</strong>: utenti privilegiati, ruoli chiave.</li>
<li><strong>Facility</strong>: data center, sale server.</li>
</ul>
<div class="example-box">
<strong>Esempio.</strong> Aurora Sanità inserisce: il PACS, il database cartelle cliniche,
il portale prenotazioni. Per ognuno: criticità, vendor, location, owner. Quando arriva un incidente
o un rischio, può essere associato a uno o più asset → tracciabilità totale.
</div>
</section>
<!-- Cap 12 -->
<section id="cap-12" class="guide-section">
<h2><span class="num">12</span> Audit &amp; Report</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> Quando le autorità (ACN) verranno a chiederti conto della tua
compliance, devi poter mostrare documenti, evidenze, registri. Qui li trovi tutti.
</div>
<h3>Cosa puoi fare</h3>
<ul>
<li><strong>Controlli</strong>: lista dei 10 controlli Art. 21 + mapping ISO 27001 con stato di
implementazione (0100%).</li>
<li><strong>Evidence Files</strong>: carica documenti probatori (verbali, screenshot, certificati).</li>
<li><strong>Audit Log</strong>: registro immutabile di tutto quello che succede in piattaforma
(utenti, modifiche, accessi). Garantito con catena hash SHA-256.</li>
<li><strong>Report Esecutivo</strong>: PDF/HTML stampabile per il CDA.</li>
<li><strong>Export CSV</strong>: rischi, incidenti, controlli, asset.</li>
</ul>
<div class="example-box">
<strong>Esempio.</strong> Pre-audit ISO 27001: genera il report esecutivo, esporta in CSV
rischi e controlli, scarica l'audit log certificato. L'auditor ha tutto in 5 minuti.
</div>
</section>
<!-- Cap 13 -->
<section id="cap-13" class="guide-section">
<h2><span class="num">13</span> Segnalazioni interne (Whistleblowing)</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> NIS2 incoraggia (e in alcuni casi obbliga) ad avere un canale
anonimo dove dipendenti e collaboratori possono segnalare problemi di sicurezza senza paura di
ritorsioni.
</div>
<h3>Tipi di segnalazione</h3>
<ul>
<li><strong>Whistleblowing</strong>: anonimo, comportamenti illeciti.</li>
<li><strong>Feedback bug/UX</strong>: segnalazioni operative sulla piattaforma stessa,
classificate dall'AI e (opzionalmente) risolte automaticamente.</li>
</ul>
<div class="example-box">
<strong>Esempio.</strong> Un dipendente nota che le credenziali admin del CRM sono salvate in
un foglio Excel condiviso. Invia una segnalazione anonima → il responsabile compliance la riceve
con codice di tracciamento → il dipendente può seguire lo stato senza rivelare la propria identità.
</div>
</section>
<!-- Cap 14 -->
<section id="cap-14" class="guide-section">
<h2><span class="num">14</span> AI — come usarla bene</h2>
<div class="plain-box">
<strong>In parole semplici.</strong> La piattaforma usa Claude (Anthropic) per assisterti. L'AI
è bravissima a partire dal foglio bianco, ma <strong>non sostituisce</strong> il tuo giudizio:
rivedi sempre quello che produce prima di approvarlo.
</div>
<h3>Dove trovi l'AI</h3>
<ul>
<li><strong>Analisi Assessment</strong>: dopo aver completato la Gap Analysis, genera
un'analisi delle priorità con raccomandazioni.</li>
<li><strong>AI Suggerisci Rischi</strong>: parte dal tuo settore + asset e propone una lista
di rischi tipici.</li>
<li><strong>Genera Policy</strong>: bozza di policy a partire dalla categoria.</li>
<li><strong>Classifica Incidente</strong>: dato un incidente, suggerisce severità e classificazione.</li>
<li><strong>Knowledge Base RAG</strong>: chiedi all'AI partendo dai documenti che hai caricato.</li>
<li><strong>Classificazione Feedback</strong>: tag automatico per le segnalazioni di bug/UX.</li>
</ul>
<div class="example-box">
<strong>Buona pratica.</strong> Quando l'AI suggerisce 8 rischi, non importarli tutti ciecamente.
Scegli i 4 più rilevanti per il tuo contesto, scartane uno che è duplicato di un asset interno,
e personalizza descrizione/probabilità per la tua realtà.
</div>
<h3>Limiti che devi conoscere</h3>
<ul>
<li>L'AI non vede i tuoi dati grezzi: solo metadati anonimizzati (settore, range dipendenti,
categoria asset).</li>
<li>Le bozze di policy <strong>devono</strong> essere riviste da un umano competente prima
della pubblicazione.</li>
<li>L'AI non è un consulente legale né un sostituto del CISO.</li>
</ul>
</section>
<!-- Cap 15 -->
<section id="cap-15" class="guide-section">
<h2><span class="num">15</span> Glossario rapido</h2>
<dl class="glossario">
<dt><span class="acro">ACN</span> Agenzia per la Cybersicurezza Nazionale</dt>
<dd>L'autorità italiana che vigila sulla NIS2 e raccoglie le notifiche di incidenti.</dd>
<dt><span class="acro">CSIRT</span> Computer Security Incident Response Team</dt>
<dd>Squadra nazionale di risposta agli incidenti. Riceve le notifiche 24h/72h/30d.</dd>
<dt><span class="acro">ENISA</span> Agenzia UE per la Cybersicurezza</dt>
<dd>Coordina a livello europeo le linee guida operative NIS2.</dd>
<dt><span class="acro">RTO</span> Recovery Time Objective</dt>
<dd>Quanto tempo massimo puoi stare giù prima di tornare operativo. Esempio: RTO 4 ore.</dd>
<dt><span class="acro">RPO</span> Recovery Point Objective</dt>
<dd>Quanti dati puoi perderti al massimo. Esempio: RPO 1 ora = backup almeno orari.</dd>
<dt><span class="acro">MFA</span> Multi-Factor Authentication</dt>
<dd>Autenticazione a più fattori: password + codice OTP/app/hardware.</dd>
<dt><span class="acro">ISMS</span> Information Security Management System</dt>
<dd>Sistema di gestione della sicurezza delle informazioni (es. ISO 27001).</dd>
<dt><span class="acro">SoA</span> Statement of Applicability</dt>
<dd>Documento che elenca quali controlli ISO 27001 applichi e quali no, con motivazione.</dd>
<dt><span class="acro">BCP / DRP</span> Business Continuity Plan / Disaster Recovery Plan</dt>
<dd>I piani per garantire la continuità operativa e il ripristino dopo un disastro.</dd>
<dt><span class="acro">SCADA</span> Supervisory Control And Data Acquisition</dt>
<dd>Sistemi di controllo industriale (es. impianti di acqua, energia, manifattura).</dd>
<dt><span class="acro">PACS</span> Picture Archiving and Communication System</dt>
<dd>Sistema sanitario che archivia le immagini diagnostiche (TAC, RMN, ecografie).</dd>
<dt><span class="acro">TMS</span> Transport Management System</dt>
<dd>Software che gestisce le spedizioni e la flotta in azienda di logistica.</dd>
<dt><span class="acro">DDoS</span> Distributed Denial of Service</dt>
<dd>Attacco che satura un servizio con traffico inutile per metterlo offline.</dd>
<dt><span class="acro">BEC</span> Business Email Compromise</dt>
<dd>Frode via email che impersona dirigenti per ottenere bonifici fraudolenti.</dd>
<dt><span class="acro">NCR / CAPA</span> Non-Conformity Report / Corrective and Preventive Action</dt>
<dd>Non conformità (es. da audit) e relative azioni correttive/preventive.</dd>
<dt><span class="acro">RAG</span> Retrieval-Augmented Generation</dt>
<dd>Tecnica AI che fa rispondere l'assistente partendo da documenti caricati nella Knowledge Base.</dd>
</dl>
</section>
<div class="card" style="margin-top:40px;">
<div class="card-body" style="text-align:center;">
<p style="margin:0;color:var(--text-muted,#6b7280);">
Per dubbi specifici, in ogni pagina trovi il pulsante <strong>?</strong> in alto a destra
che apre la guida contestuale di quella sezione. Buon lavoro!
</p>
</div>
</div>
</div>
</div>
</main>
</div>
<script src="js/api.js"></script>
<script src="js/common.js"></script>
<script src="js/i18n.js"></script>
<script src="js/help.js"></script>
<script>
// La guida è accessibile anche da non autenticati (utile per onboarding)
// ma se sei loggato carichi sidebar + i18n normalmente.
if (typeof loadSidebar === 'function') loadSidebar();
if (typeof I18n !== 'undefined' && I18n.init) I18n.init();
</script>
</body>
</html>
Reference in New Issue View Git Blame Copy Permalink