Stiamo attuando volontariamente le misure dell'articolo 21 usando Reglyze (il prodotto) sia come soggetto sia come strumento. È dogfooding, non un obbligo normativo. Pubblichiamo questa pagina perché possiate verificare come appare davvero una base di evidenza NIS2 costruita con AI prima di acquistare.
Ogni politica, registro di formazione, voce di fornitore e KPI di efficacia di seguito è stato generato, valutato e revisionato dentro Reglyze il prodotto, dal fondatore di Reglyze la società, sullo stesso piano che usano i nostri clienti paganti.
Abbiamo documentato l'intera base di evidenza NIS2 in meno di un'ora.
Stima consulente manuale per confronto: 80–120 ore.
Minuti wall-clock dal log timing del dogfooding (docs/research/self-compliance-timing.md). Include generazione AI, editing di Cyril e il pacchetto di revisione. Esclude il gap di 36 ore notturne tra fasi.
La baseline manuale è il limite inferiore degli ingaggi tipici di consulenza NIS2 UE per PMI (5–25 dipendenti): 10–15 giorni di consulente senior a 80–100 €/ora. Fonte: preventivi di mercato dai network CLUSIF, Clusit e APDC (2025–2026).
19 mag 2026
19 ago 2026
Auto-audit trimestrale ai sensi dell'articolo 21(2)(f). Il ciclo Q2-2026 si è tenuto il 19 maggio 2026 — 5 KPI rivisti, 4 « al target » + 1 « sopra il target », nessuno scostamento « sotto il target ». Il ciclo sostituisce in posto i PDF precedenti su questa pagina; metrica e date si aggiornano a ogni ciclo.
Reglyze (entità legale) è una società di 5 persone con fatturato sotto 10 M€ — esplicitamente sotto la soglia di piccola impresa che l'articolo 2(1) NIS2 usa per portare entità nell'ambito. Non potremmo presentare una notifica di incidente articolo 23 all'ACN nemmeno se volessimo; siamo fuori dall'ambito della direttiva. Le ragioni oneste per cui pubblichiamo comunque questa base di evidenza:
I 14 artefatti di seguito coprono le dieci misure di gestione del rischio cyber dell'articolo 21(2) più la formazione dell'organo di amministrazione (articolo 20(2)) e i test di efficacia (articolo 21(2)(f)). Ogni riga punta al PDF redatto una volta pubblicato; le card marcate Solo riassunto portano l'abstract finché Cyril non completa la pass di redazione per PDF.
Politica madre: analisi dei rischi, governance, ruoli e responsabilità. Approvata da Cyril (unico membro dell'organo di amministrazione) per l'entità Reglyze.
Rilevazione → triage → contenimento → eradicazione → ripristino → lezioni apprese. Il canale di comunicazione con l'autorità è volontario per Reglyze (fuori ambito ai sensi dell'articolo 2(1)) ma documentato per completezza.
Obiettivi RTO/RPO per livello di servizio, percorsi di failover (Hetzner primario + Google Drive backup freddo), e cadenza degli esercizi tabletop per il SaaS Reglyze.
Dump PostgreSQL giornalieri via rclone su Google Drive; rotazione di 7 giorni sulla macchina; esercizio di ripristino in deploy-rollback.md. Dimensionato per la portata di un solo fondatore.
Checklist di due diligence fornitori, aspettative DPA, cascata di notifica di violazione. Si applica allo stack SaaS di 7 fornitori (Cloudflare, Hetzner, Anthropic, Stripe, GitHub, Resend, Google Drive).
Modello del minimo privilegio, MFA su ogni superficie SaaS, flusso entrata/spostamento/uscita (formalmente banale a 5 persone ma documentato). Fissa il tetto di politica per le future assunzioni.
TLS 1.3 in transito, AES-256 a riposo (PostgreSQL, MinIO, backup GDrive), cadenza di rotazione delle chiavi, niente crittografia fai-da-te. Ereditata dai fornitori SaaS dove applicabile.
Perimetro dell'inventario degli asset (laptop + account cloud), etichettatura, ciclo di vita e dismissione. Auto-attestato in scala solitaria; rivisto trimestralmente.
Checklist di sicurezza onboarding, modello NDA, requisito di formazione e fasi di revoca degli accessi all'uscita. Dimensionato per la prima assunzione; stato attuale auto-attestato.
Dependabot + avvisi di sicurezza GitHub come canale in entrata; SLA per livello di gravità (critico < 7 giorni, alto < 30 giorni); evidenza delle patch nello storico dei commit.
MFA imposta su ogni superficie SaaS; app autenticatrice preferita (nessun fallback SMS); matrice di canali sicuri per le comunicazioni sensibili (Signal per incidenti, GitHub per codice).
Cadenza di auto-audit trimestrale, definizioni di KPI (oggi: Mean Time To Detect < 2 giorni), evidenze di revisione archiviate accanto al timestamp dell'ultimo audit di questa pagina.
Curriculum di formazione annuale per l'organo di amministrazione (articolo 20(2)) e per il personale (articolo 21(2)(g)). A 5 persone è Cyril; segnalato per validazione terza alla prossima assunzione.
Cyril ha completato la formazione organo di amministrazione Reglyze il 2026-05-17 (autogestita, auto-attestata). Valida fino al 2027-05-17. Onesta sulla limitazione in scala solitaria.
L'organo di amministrazione di Reglyze ha completato la formazione articolo 20(2) dentro il prodotto il 17 maggio 2026. A 5 persone con un unico fondatore, l'organo di amministrazione è una persona; segnaliamo onestamente questa limitazione in scala solitaria, che innescherà una formazione validata da terzi alla prossima assunzione.
NIS2 Article 20(2) — Management-Body Training
Scala solitaria, autogestita, auto-attestata. Validazione terza segnalata per la prossima assunzione.
Reglyze gira su uno stack SaaS di 7 fornitori. Il registro traccia dati condivisi, punteggio di rischio residuo e cadenza di revisione per fornitore. Pubblichiamo i nomi dei fornitori in chiaro — vedere la pagina Trust per la vista live.
| Fornitore | Servizio | Criticità |
|---|---|---|
| Cloudflare | CDN, DNS, WAF, terminazione TLS | Critica |
| Hetzner Online GmbH | Infrastruttura cloud / hosting | Critica |
| Anthropic | AI / LLM (API Claude per generazione documenti) | Critica |
| Stripe | Elaborazione pagamenti e fatturazione | Critica |
| GitHub | Hosting codice sorgente e CI/CD | Critica |
| Google Workspace + Drive (via rclone) | Destinazione di backup off-site | Alta |
| Resend | Consegna email transazionali | Media |
Il registro completo, inclusi punteggi di rischio residuo e date di revisione, vive nel prodotto. La classificazione di criticità sopra corrisponde al campo audit_classification (critico / importante / standard) usato dal cron di reminder di revisione fornitore.
Il ciclo Q2-2026 (primo audit trimestrale articolo 21(2)(f)) ha registrato 5 KPI di efficacia rispetto ai target dichiarati: Mean Time To Detect (MTTD), Mean Time To Restore (MTTR), conformità al SLA dei patch critici, esecuzione degli esercizi di restore, e tasso di revisione fornitori a giorno. Il numero di KPI crescerà con le nuove politiche — lo scheletro è in posto.
| KPI | Sotto-controllo articolo 21(2)(f) | Target | Osservato Q2-2026 | Stato |
|---|---|---|---|---|
Mean Time To Detect (MTTD) Tempo tra un evento di sicurezza e la sua rilevazione da parte di Reglyze. Sonda di uptime Hetzner + healthcheck Docker a scala solo-CTO; nessun SOC/SIEM. | nis2.21.2.f.1 | < 2 giorni | 0 incidenti | Al target |
Mean Time To Restore (MTTR) Tempo tra la rilevazione e il ripristino completo del servizio. Backup pre-deploy + auto-rollback validati in due esercizi di maggio 2026 in meno di 3 min wall-clock. | nis2.21.2.f.2 | < 4 ore | 0 incidenti | Al target |
Conformità al SLA dei patch critici Percentuale di PR Dependabot critici/alti mergiati entro 7 giorni. Q2-2026: 3/3 (drizzle-orm, Next.js, @xmldom/xmldom). | nis2.21.2.f.3 | 100% | 100% | Al target |
Esecuzione esercizio di restore Esercizi di restore riusciti per trimestre. Restore staging 2026-05-03 + auto-RESTORE_DB-on-smoke-fail validato 2026-05-15. | nis2.21.2.f.4 | ≥ 1 / trimestre | 2 esercizi | Sopra il target |
Tasso di revisione fornitori a giorno Percentuale di fornitori con revisione a giorno. 7/7 fornitori portano next_review_due_at nel futuro alla data dell'audit. | nis2.21.2.f.5 | 100% | 100% | Al target |
Constatazioni per KPI e azioni correttive sono memorizzate in effectiveness_reviews sul database di produzione (idempotente, append-only). Prossimo ciclo bloccato al 19 agosto 2026.
I KPI non testati (MTTD, MTTR, cadenza di revisione fornitori) sono artefatti onesti del dogfooding — Reglyze non ha avuto incidenti di cybersecurity nel Q2-2026, quindi i controlli di rilevazione e ripristino non hanno potuto essere validati empiricamente. Il SLA dei patch e l'esercizio di restore sono quantitativamente validati.
Un'unica riga audit_logs segna la chiusura del ciclo. La firma del revisore è digitale — la promessa dogfooding: l'organo di amministrazione è Cyril, l'unico admin che ha cliccato su ogni schermata.
Reglyze è fuori ambito NIS2 ai sensi dell'articolo 2(1); questo audit è volontario. Cadenza bloccata trimestrale — la stessa raccomandazione che facciamo ai clienti paganti.
Questa pagina fa parte del sito Reglyze, servita come rotta statica Next.js, e i PDF redatti vivono in versionamento accanto. Chiunque può verificare la cronologia:
Avvia uno scoping gratuito in cinque minuti. Se sei fuori ambito ai sensi dell'articolo 2(1) come noi, puoi comunque costruire la base di evidenza volontaria sul piano Free. Se sei in ambito, il piano Pro di Reglyze copre tutta la superficie dell'articolo 21 con generazione documenti AI, registro fornitori e audit trimestrali.