Σ
OASI
Hermes Console
oasi · core.ai · hermes console
Hermes/Legal/nis2-mapping
compliance · nis2-mapping

NIS2 — mapping Art. 21

come Hermes copre i 10 punti dell'Art. 21(2) della Direttiva

Premessa

La Direttiva (UE) 2022/2555 ("NIS2") è stata recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. Si applica a soggetti "essenziali" e "importanti" in settori critici (energia, trasporti, banche, infrastrutture sanitarie, pubblica amministrazione, fornitori ICT, ecc.) sopra determinate soglie dimensionali.

OASI S.r.l. — fornitore di Hermes — non è di per sé un soggetto NIS2-scope (dimensioni e settore non rientrano nei criteri della Direttiva).

Hermes facilita la conformità del CLIENTE NIS2-scope rispetto all'Articolo 21 della Direttiva ("Misure di gestione dei rischi di cibersicurezza"), comma 2, lettere a-j. Questo documento mappa puntualmente ciascuna lettera a ciò che Hermes fa.

Nota: questa è una mappatura strumentale. L'adozione di Hermes non solleva il soggetto NIS2-scope dai propri obblighi di conformità complessiva — ma fornisce evidenze documentali concrete per le lettere d, e, f, h dell'Art. 21(2).

Mapping puntuale — Art. 21(2)

(a) Politiche di analisi del rischio e di sicurezza dei sistemi informatici

Cosa richiede la Direttiva: il soggetto adotta politiche scritte di risk assessment e gestione del rischio di cibersicurezza.

Contributo di Hermes: ✅ moderato.

  • Il Discovery Report (PDF su carta intestata + Markdown) prodotto da Hermes è un artefatto datato del risk assessment tecnico del software in scope.
  • La sezione "2 · Vulnerabilità delle dipendenze" è una evidence formale del rischio dipendenze; la sezione "1 · Cosa fa l'applicazione" + "5 · Soluzioni proposte" sono evidence del code- level risk.
  • Output: datato, archiviabile, presentabile al CIO o agli ispettori.

(b) Gestione degli incidenti

Cosa richiede: procedure di detection, classificazione, risposta, notifica entro 24h (early warning) e 72h (notifica di incident).

Contributo di Hermes: 🟡 indiretto.

  • Non è un IDS/IRP. Tuttavia, l'HermesAuditLog indelebile dei ruoli operatore può essere parte dell'evidence forense ("chi ha attivato cosa, da quale IP, con quale credenziale").
  • Out of scope: response orchestration, ticketing, notifiche.

(c) Continuità operativa (BCP) e gestione delle crisi

Cosa richiede: backup, disaster recovery, gestione delle crisi, piani di continuità.

Contributo di Hermes: ⛔ N/A.

  • Hermes è uno strumento di audit/remediation statico. Non è un sistema business-critical del cliente. La continuità del cliente non dipende da Hermes.
  • Lato OASI: Hermes ha proprio BCP (Security Whitepaper §7 / DPA §X).

(d) Sicurezza della catena di approvvigionamento (supply chain)

Cosa richiede: il soggetto valuta i rischi di sicurezza nei fornitori, nelle dipendenze software/hardware, nelle componenti terze.

Contributo di Hermes: ✅ forte — questo è il caso d'uso primario.

  • VulnScanner (osv-scanner reale) produce inventario CVE delle dipendenze: npm/PyPI/Maven/NuGet/Composer/Go.
  • StackDetector produce inventario degli stack + framework
    • runtime — equivalente di un mini-SBOM operativo del software del cliente.
  • RemediationPlanner produce per ogni dipendenza vulnerabile un piano deterministico di upgrade (con versione, severità, ecosystem-aware command dotnet add package / pnpm update / etc.).
  • La PR di onboarding (modalità GitHub) o il .patch scaricabile (modalità sovrana) committano la patch dipendenze + la copia di docs/hermes/discovery-report.md come trace di audit permanente dentro la cronologia del repo cliente.

(e) Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi informatici (SDLC)

Cosa richiede: il soggetto applica controlli di sicurezza nello sviluppo, integra security testing, gestisce vulnerabilità nel ciclo di vita del software.

Contributo di Hermes: ✅ forte — secondo caso d'uso primario.

  • CodeComprehender (LLM grounded sui file source reali) identifica pattern di rischio code-level: credenziali hard-coded, mancata autenticazione, crypto debole, chiavi prevedibili, file sensibili committati.
  • RemediationPlanner produce per ciascun rischio una proposta concreta (categoria, severità, snippet incriminato, passi proposti) in italiano, allineata al codice reale.
  • L'InstrumentationPlanner aggiunge telemetria standard (Sentry + OpenTelemetry + logging strutturato) al codice del cliente — abilita monitoring continuo come parte del SDLC.
  • Esecuzione ripetibile ad ogni release per chiudere il loop detect→fix→deploy.

(f) Politiche e procedure per valutare l'efficacia delle misure di gestione del rischio

Cosa richiede: il soggetto verifica nel tempo l'efficacia dei controlli di sicurezza adottati (continuous assurance).

Contributo di Hermes: ✅ moderato/forte.

  • Re-Discovery periodico → confronto longitudinale dei finding (oggi: gli artifact storici sono in HermesDiscovery per repo; vista comparativa fra Discovery nello stesso repo è in roadmap).
  • /threat (vista 4.6) aggrega per repo il livello di rischio proiettato — anche per dirigenti non-tecnici.
  • /audit (vista 4.4) registra tutte le decisioni operatore (Apply→PR, .patch, modifica plan tenant, ecc.) come evidence per audit interni.

(g) Pratiche di igiene di base e formazione in cibersicurezza

Cosa richiede: training periodico del personale.

Contributo di Hermes: ⛔ N/A.

  • Tema HR / formazione, fuori scope di un tool tecnico.

(h) Politiche e procedure relative all'uso della crittografia

Cosa richiede: standard crittografici applicati ai dati at-rest e in transito; policies sulla gestione delle chiavi.

Contributo di Hermes: ✅ moderato.

  • CodeComprehender segnala come rischio uso di crypto debole o di chiavi prevedibili nel codice del cliente (es. il caso PermessiWS reale: "Chiavi prevedibili da DateTime.Now.Ticks").
  • RemediationPlanner propone migrazioni concrete a primitive moderne.
  • Hermes stesso applica crypto-by-default su tutti i propri segreti (vedi Security Whitepaper §4.1).

(i) Sicurezza delle risorse umane (HR security)

Cosa richiede: politiche su access provisioning/deprovisioning, NDA, segregazione dei ruoli.

Contributo di Hermes: 🟡 indiretto.

  • Hermes implementa proprio access management (passkey, ruoli, tenant scope, superAdmin gate, audit log) → può servire da modello o da componente per il flusso del cliente.

(j) Soluzioni di autenticazione a più fattori o di autenticazione continua, comunicazioni vocali, video e di testo cifrate, sistemi di comunicazione interna d'emergenza cifrati

Cosa richiede: MFA / continuous auth, comms cifrate end-to-end.

Contributo di Hermes: 🟡 parziale.

  • Hermes usa WebAuthn passkey (phishing-resistant, factor = qualcosa-che-hai + qualcosa-che-sei via biometria del device) come unico fattore di autenticazione — superiore a "MFA basato su SMS/TOTP".
  • Step-up richiesto per azioni elevate (autenticazione continua a granularità funzionale).
  • Comms vocali / video: fuori scope.

Tabella sintetica

Art. 21(2) lett.TemaContributo Hermes
aRisk assessment policy✅ moderato
bGestione incidenti🟡 indiretto (audit log)
cBCP / DR⛔ N/A (irrilevante per il cliente)
dSupply chain securityforte (caso d'uso primario)
eSDLC + vulnerability mgmtforte (caso d'uso primario)
fEfficacy assessment✅ moderato/forte
gTraining⛔ N/A
hCrypto✅ moderato
iHR security🟡 indiretto
jMFA + comms cifrate🟡 parziale (WebAuthn passkey)

Uso operativo presso il cliente NIS2-scope

Suggerimenti pratici per integrare Hermes nel programma di conformità:

  1. Frequenza: una Discovery completa per ogni release maggiore del software in scope + una Discovery aggregativa trimestrale per il dashboard di rischio (vista /threat).
  2. Evidence trail: archiviare il PDF Discovery firmato/datato nella propria document management (GED) come evidence art. 21(2)(d)+(e). La cronologia git del repo cliente contiene già una copia (docs/hermes/discovery-report.md) quando si adotta il flusso Apply→PR.
  3. Audit trail: /audit Hermes mostra decisioni operative; nel proprio SIEM, esportare via API GET /api/hermes/audit (PowerShell / Python in roadmap-cliente; in modalità on-prem direttamente da DB).
  4. Notifica incidenti: nel caso un finding venga successivamente sfruttato in incidente, il PDF Discovery datato pre-incident è evidence per la notifica NIS2 Art. 23 (early warning) e per la relazione finale (Art. 23(4)).
  5. Forniture critiche: includere "annual Hermes audit" nei requisiti contrattuali per software acquisito o sviluppato da terzi (clausola modello fornita su richiesta).

Per chiarimenti applicativi su specifici scenari NIS2 contattare hermes@oasi.systems. Per quesiti legali interpretativi sulla Direttiva, si raccomanda al cliente di consultare il proprio DPO e/o legal counsel — questo documento è un riferimento operativo, non parere legale.