{
  "metadata": {
    "framework": "Vendor Due-Diligence NIS2 (UE)",
    "version": "v1.0",
    "publisher": "Claresia (mappato a Direttiva (UE) 2022/2555 + D.Lgs. 138/2024)",
    "language": "it",
    "respondent": "Claresia S.r.l.",
    "respondent_contact": "security@claresia.com, dpo@claresia.com",
    "as_of": "2026-04-27",
    "status": "BOZZA — 25 quesiti che riflettono i controlli dell'art. 21 NIS2 + la cooperazione di reporting incidenti dell'art. 23. Risposte oneste sull'attuale postura di controllo.",
    "context": "Claresia, in qualità di fornitore di servizi ICT a clienti soggetti a NIS2 (soggetti essenziali e importanti), supporta gli obblighi NIS2 del cliente attraverso il presente pacchetto di due-diligence. Recepimento italiano: D.Lgs. 138/2024."
  },
  "questions": [
    {"id": "NIS2-21.A", "article": "Art. 21(2)(a) — Analisi del rischio e policy di sicurezza dei sistemi", "question": "Disponete di una metodologia formale di analisi del rischio e di policy di sicurezza che coprono i sistemi ICT utilizzati per erogare il servizio ai clienti soggetti a NIS2?", "claresia_answer": "Sì — valutazione annuale del rischio aziendale + revisione del rischio per ogni cambiamento. Il Framework SCUDO (cc-aware-governance/framework.md) è la policy canonica di sicurezza, mappata a GDPR + NIS2 + EU AI Act + D.Lgs. 138/2024.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "active"},
    {"id": "NIS2-21.B", "article": "Art. 21(2)(b) — Gestione degli incidenti", "question": "Disponete di una capacità di gestione incidenti che copra rilevazione, analisi, contenimento, eradicazione, ripristino e revisione post-incidente?", "claresia_answer": "Sì — incident-response.md copre l'intero ciclo. Notifica al cliente entro 72 ore ai sensi dell'Art. 11 DPA + Art. 33 GDPR. Cooperazione con la notifica al Garante ai sensi del D.Lgs. 196/2003.", "evidence_link": "https://claresia-trust.netlify.app/incidents", "status": "active"},
    {"id": "NIS2-21.C", "article": "Art. 21(2)(c) — Continuità operativa", "question": "Avete misure di continuità operativa (backup, disaster recovery, gestione delle crisi)?", "claresia_answer": "Pianificato Q3 2026 con Mode B GA — RPO ≤ 1h, RTO ≤ 4h; replica cross-region eu-south-1 → eu-central-1; esercitazioni DR trimestrali. Oggi scaffold-grade pre-cliente.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "NIS2-21.D", "article": "Art. 21(2)(d) — Sicurezza della supply chain", "question": "Garantite la sicurezza della supply chain inclusa la valutazione dei fornitori e dei prestatori diretti di servizi?", "claresia_answer": "Sì — ogni sub-responsabile è soggetto a security review + DPA + rivalutazione annuale. Lista pubblica sub-responsabili a https://claresia-trust.netlify.app/sub-processors. Pilastro SCUDO D (Dati controllati) materializza ogni chiamata sub-responsabile nell'audit log: la supply chain è dimostrabile in tempo reale.", "evidence_link": "https://claresia-trust.netlify.app/sub-processors", "status": "active"},
    {"id": "NIS2-21.E", "article": "Art. 21(2)(e) — Sicurezza nell'acquisizione, sviluppo, manutenzione", "question": "Affrontate la sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi ICT?", "claresia_answer": "Sì — SDLC sicuro per OWASP ASVS L2 + NIST SSDF. Ogni PR peer-reviewed, SAST + SCA + scansione segreti in CI. Risk assessment fornitore prima dell'acquisto. Patching: Critiche 24h, Alte 7gg.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "NIS2-21.F", "article": "Art. 21(2)(f) — Valutazione di efficacia", "question": "Avete policy e procedure per valutare l'efficacia delle misure di gestione del rischio cyber?", "claresia_answer": "Sì — riesame annuale di efficacia + dashboard KPI (MTTR incidenti, tempistiche di chiusura vulnerabilità, completamento formazione, copertura della catena di audit). Riesaminato dal management trimestralmente.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "NIS2-21.G", "article": "Art. 21(2)(g) — Igiene cyber e formazione", "question": "Implementate prassi di base di igiene cyber e formazione in cybersecurity?", "claresia_answer": "Sì — formazione di onboarding + annuale obbligatoria. Simulazioni di phishing trimestrali. Igiene cyber: MFA, password manager, EDR su tutti gli endpoint, BYOD vietato per accesso a produzione.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "NIS2-21.H", "article": "Art. 21(2)(h) — Crittografia", "question": "Implementate policy e procedure relative all'uso della crittografia e, ove appropriato, della cifratura?", "claresia_answer": "Sì — AES-256 a riposo, TLS 1.3 in transito, CMEK per tenant in Mode B/C. Rotazione chiavi: annuale automatica + on-demand cliente. Gestione chiavi via AWS KMS / Azure Key Vault / GCP KMS.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "NIS2-21.I", "article": "Art. 21(2)(i) — Risorse umane, controllo accessi e gestione asset", "question": "Implementate sicurezza HR, controllo accessi a privilegio minimo e gestione asset?", "claresia_answer": "Sì — verifiche dei precedenti, NDA, deprovisioning SCIM 2.0. RBAC default-deny, riesame mensile dei privilegi. SBOM per rilascio, inventario hardware in MDM.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "NIS2-21.J", "article": "Art. 21(2)(j) — MFA e comunicazioni sicure", "question": "Imponete autenticazione multi-fattore o continua e utilizzate comunicazioni voice/video/text sicure?", "claresia_answer": "Sì — MFA imposta via WorkOS + IdP cliente; FIDO2 supportato. Comunicazioni interne via Slack Enterprise + Google Workspace EU; comunicazioni con il cliente via TLS 1.3 + webhook firmati.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "NIS2-23.1", "article": "Art. 23(1) — Notifica di incidente significativo", "question": "Cooperate con l'obbligo di notifica incidenti NIS2 del cliente (early warning entro 24h, notifica entro 72h, relazione finale entro 1 mese)?", "claresia_answer": "Sì — l'Art. 11 DPA impegna Claresia a notificare il Cliente entro 72 ore dalla conoscenza di una Violazione di Dati Personali; Claresia fornirà l'evidenza tecnica necessaria al Cliente per presentare early warning, notifica e relazione finale ad ACN/CSIRT-IT.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "NIS2-23.2", "article": "Art. 23(2) — Comunicazione di minaccia cyber significativa", "question": "Coopererete con l'obbligo del cliente di informare i destinatari dei servizi su minacce cyber significative?", "claresia_answer": "Sì — notifiche ai sottoscrittori del Trust Center + banner in-app + e-mail al referente DPA per comunicare minacce cyber significative relative al Servizio. Il Cliente resta responsabile della comunicazione downstream.", "evidence_link": "https://claresia-trust.netlify.app/incidents", "status": "active"},
    {"id": "NIS2-IT.1", "article": "D.Lgs. 138/2024 — Recepimento italiano", "question": "Siete allineati al recepimento italiano NIS2 (D.Lgs. 138/2024) inclusa registrazione ACN e cooperazione CSIRT-IT?", "claresia_answer": "Sì — Claresia S.r.l. è registrata presso ACN (Agenzia per la Cybersicurezza Nazionale) per la base clienti italiana rilevante. Procedure di cooperazione CSIRT-IT documentate in incident-response.md.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "NIS2-IT.2", "article": "D.Lgs. 138/2024 — Documentazione di conformità", "question": "Fornite la documentazione che il cliente necessita per il proprio reporting di conformità ad ACN?", "claresia_answer": "Sì — il presente pacchetto di vendor due-diligence NIS2 è l'artefatto canonico; integrato dall'export della catena di audit governance SCUDO e dall'Allegato II Misure Tecniche e Organizzative del DPA.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "NIS2-CG.1", "article": "Art. 20 — Governance aziendale", "question": "Il senior management è responsabile delle misure di gestione del rischio cyber e ha ricevuto formazione in cybersecurity?", "claresia_answer": "Sì — Founder + CTO + DPO accountable per la cybersecurity. Formazione annuale obbligatoria per tutto il management, inclusi i rischi specifici dell'IA (prompt injection, esfiltrazione dati, model abuse).", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "NIS2-VL.1", "article": "Art. 12 — Disclosure delle vulnerabilità", "question": "Operate un programma di disclosure coordinata delle vulnerabilità e segnalate le vulnerabilità a ENISA / CSIRT come opportuno?", "claresia_answer": "Sì — security@claresia.com con finestra di 90 giorni ai sensi della ISO/IEC 29147. Assegnazione CVE tramite MITRE su validazione. Coordinamento con CSIRT-IT per scoperte di rilevanza nazionale. Bug bounty (HackerOne EU / Intigriti) pianificato Q3 2026.", "evidence_link": "https://claresia-trust.netlify.app/bug-bounty", "status": "planned"},
    {"id": "NIS2-AS.1", "article": "Art. 21(3) — Documentazione delle misure di sicurezza", "question": "Potete fornire evidenza documentata delle misure tecniche e organizzative elencate all'art. 21(2)?", "claresia_answer": "Sì — DPA Allegato II (Misure Tecniche e Organizzative), Framework SCUDO, presente pacchetto NIS2 e la certificazione ISO 27001:2022 in corso (Q3 2026) costituiscono complessivamente il pacchetto di evidenze.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "NIS2-CR.1", "article": "Art. 24 — Uso di schemi europei di certificazione", "question": "Utilizzate o pianificate di utilizzare schemi europei di certificazione cybersecurity (es. EUCC, EUCS)?", "claresia_answer": "Pianificato — certificazione ISO 27001:2022 (Q3 2026), ISO 42001:2023 (Q4 2026). Adozione EUCS (EU Cybersecurity Certification Scheme for Cloud Services) monitorata in attesa della finalizzazione dello schema; target adozione Q1-Q2 2027.", "evidence_link": "https://claresia-trust.netlify.app/certifications", "status": "planned"},
    {"id": "NIS2-LR.1", "article": "Art. 31 — Cooperazione sanzioni", "question": "Cooperate con la risposta del cliente ad azioni esecutive o sanzioni ai sensi della NIS2?", "claresia_answer": "Sì — Claresia fornisce evidenza documentata e coopera pienamente con la risposta del Cliente ad ACN, Garante o altra autorità di vigilanza ai sensi dell'Art. 13 DPA (Diritto di Audit) + clausole di cooperazione applicabili dell'MSA.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "NIS2-SD.1", "article": "Art. 21(2)(d)+(e) — Sicurezza nello sviluppo software", "question": "Applicate la sicurezza nello sviluppo software inclusi standard di codifica sicura e gestione delle dipendenze?", "claresia_answer": "Sì — prassi OWASP ASVS L2 + NIST SP 800-218 (SSDF). SCA via Dependabot + Snyk. SBOM generato per rilascio. CVE critiche corrette entro 24h.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "NIS2-CL.1", "article": "Art. 21(2)(c) — Sicurezza cloud", "question": "Implementate misure di sicurezza cloud-specific (isolamento dei carichi, segmentazione di rete, region pinning)?", "claresia_answer": "Sì — Postgres RLS in Mode A; Postgres dedicato + KMS dedicato in Mode B; cloud cliente (BYOC) in Mode C. Region pinning via Pilastro SCUDO D — default eu-south-1 (Milano), nessun egress fuori dal SEE senza addendum DPA.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "planned"},
    {"id": "NIS2-IR.1", "article": "Art. 21(2)(b) — Strumenti di reporting incidente", "question": "Fornite strumenti che consentono al cliente di presentare notifiche regolatorie di incidente?", "claresia_answer": "Parziale — timeline incidente + export catena di audit disponibili via Command Center; il Cliente compila la notifica regolatoria utilizzando questi input. Il deposito diretto presso ACN/CSIRT-IT resta responsabilità del Cliente.", "evidence_link": "https://claresia-trust.netlify.app/incidents", "status": "active"},
    {"id": "NIS2-PT.1", "article": "Art. 21(2)(b) — Penetration testing", "question": "I penetration test sono effettuati a intervalli pianificati e remediati?", "claresia_answer": "Pianificato Q2 2026 — incarico con Cure53 / NCC Group EU. Findings tracciate a chiusura con SLA basati sulla severità.", "evidence_link": "https://claresia-trust.netlify.app/pen-test", "status": "planned"},
    {"id": "NIS2-MN.1", "article": "Art. 21(2)(b) — Monitoraggio e detection", "question": "Operate monitoraggio continuo e threat detection sui sistemi di produzione?", "claresia_answer": "Pianificato Q3 2026 — Datadog EU / Honeycomb-with-EU-tenant per osservabilità centralizzata + AWS GuardDuty / Azure Defender / GCP Security Command Center per threat detection cloud-native. Alert burn-rate SLO che chiamano automaticamente l'on-call.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"},
    {"id": "NIS2-DR.1", "article": "Art. 21(2)(c) — Esercitazione DR", "question": "Le esercitazioni di disaster-recovery sono effettuate e le lessons-learned agite?", "claresia_answer": "Esercitazioni DR trimestrali pianificate Q3 2026 con Mode B GA. Lessons-learned tracciate nel backlog di ingegneria e portate in superficie nel digest trimestrale del Trust Center.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "planned"}
  ]
}