Sefthy e NIS2: come ti aiutiamo concretamente

TL;DR

Mappatura punto-per-punto fra le 10 misure dell'articolo 21 NIS2 e le funzionalità Sefthy. Cosa copriamo direttamente, cosa resta in carico al cliente, cosa documentiamo per i suoi audit.

La mappatura dei 10 punti

Punto 1 — Risk analysis

Cliente: deve fare la propria risk analysis aziendale. Sefthy: forniamo un template di assessment limitato al perimetro DR.

Punto 2 — Incident handling

Cliente: definisce procedura interna. Sefthy: notifichiamo il cliente entro 4h da incidenti rilevanti che impattano i suoi sistemi protetti.

Punto 3 — Continuità operativa

Sefthy copre interamente: backup off-site cifrati, DR cloud sovrano italiano, runbook personalizzato, test trimestrali documentati, RTO misurato.

Punto 4 — Supply chain

Cliente: gestisce la propria supply chain. Sefthy: forniamo attestazioni di sicurezza esportabili. Le nostre certificazioni (ISO 27001:2022, 27017, 27018, 9001) coprono il rischio supply chain "Sefthy".

Punto 5 — SDLC security

Sefthy: la nostra piattaforma è sviluppata con SDLC sicuro (SAST, vulnerability scanning, penetration test annuale). Per il cliente: Sefthy non è oggetto di sviluppo, è acquistato come servizio.

Punto 6 — Effectiveness assessment

Sefthy: i test trimestrali documentati misurano l'efficacia del DR. Esportabili come evidenza per audit.

Punto 7 — Cyber hygiene e formazione

Cliente: gestisce la formazione del proprio personale. Sefthy: il personale Sefthy è formato annualmente sulla cyber. Attestazione disponibile.

Punto 8 — Crittografia

Sefthy: tutti i dati cifrati at-rest (AES-256) e in-transit (TLS 1.3). Chiavi gestite con HSM.

Punto 9 — HR security e accessi

Sefthy: per i nostri ambienti, gestione accessi RBAC, MFA obbligatoria, log centralizzati. Cliente: gestisce le proprie credenziali per la console Sefthy.

Punto 10 — MFA

Sefthy: MFA disponibile e raccomandata per console; obbligatoria per ruoli amministratori.

Cosa Sefthy NON copre

Da specificare al cliente:

• la sua governance interna;
• la sua formazione del personale;
• la sicurezza delle sue altre piattaforme;
• la conformità documentale dei propri processi non DR.

Documentazione disponibile

Sefthy fornisce, su richiesta:

• attestazione di certificazioni in PDF firmato;
• report di test DR esportabile per cliente;
• log della piattaforma (rolling 90 giorni);
• procedura di notifica incidenti.

FAQ

Sefthy è "NIS2-compliant" per costruzione?

Sefthy è un fornitore NIS2-ready. Il cliente è soggetto, non Sefthy direttamente (a meno che il cliente NIS2 sia un'entità essenziale che ci classifica come fornitore critico).

Posso usare Sefthy come unica risposta al punto 3?

Sì, per il sotto-perimetro DR. Per gli altri 9 punti serve copertura aggiuntiva.

Sefthy partecipa agli audit del cliente?

Sì, una volta all'anno è incluso nei piani PRO. Audit aggiuntivi sono fatturati separatamente.

Per la mappatura ISO 27001 → NIS2, Misure tecniche minime NIS2. Per la checklist, Audit NIS2 checklist.