[
  {
    "categoria": "documentale",
    "numero": 1,
    "punto": "Politica di classificazione degli incidenti scritta e firmata dalla direzione (matrice severita verso reporting DORA e NIS2)",
    "priorita": "Critica",
    "prova_richiesta": "Documento PDF firmato dal COMEX + matrice severita/reporting versionata"
  },
  {
    "categoria": "documentale",
    "numero": 2,
    "punto": "Procedura di notifica DORA 4 ore documentata, validata dalla direzione legale, aggiornata annualmente",
    "priorita": "Critica",
    "prova_richiesta": "Runbook DORA + visto della direzione legale + log della revisione annuale"
  },
  {
    "categoria": "documentale",
    "numero": 3,
    "punto": "Procedura di notifica NIS2 24 ore documentata, allineata al portale nazionale (MonEspaceNIS2, BSI, ACN)",
    "priorita": "Critica",
    "prova_richiesta": "Runbook NIS2 + mapping del portale per giurisdizione + account utente"
  },
  {
    "categoria": "documentale",
    "numero": 4,
    "punto": "DPA GDPR firmato con il fornitore di status page, comprendente l elenco dei subappaltatori",
    "priorita": "Alta",
    "prova_richiesta": "DPA controfirmato + allegato subappaltatori aggiornato"
  },
  {
    "categoria": "documentale",
    "numero": 5,
    "punto": "Registro dei fornitori ICT aggiornato, conforme a DORA Articolo 28 paragrafo 3",
    "priorita": "Critica",
    "prova_richiesta": "Registro Excel/SaaS + campo CIFA + data ultima revisione"
  },
  {
    "categoria": "documentale",
    "numero": 6,
    "punto": "Exit strategy del fornitore di status page testata annualmente e documentata",
    "priorita": "Alta",
    "prova_richiesta": "Piano di uscita + verbale del test annuale"
  },
  {
    "categoria": "documentale",
    "numero": 7,
    "punto": "Piano di comunicazione di crisi validato dal COMEX (ruoli, messaggi tipo, canali)",
    "priorita": "Alta",
    "prova_richiesta": "Documento firmato dal COMEX + RACI + template di comunicazione"
  },
  {
    "categoria": "tecnico",
    "numero": 8,
    "punto": "Status page ospitata fuori dall infrastruttura applicativa, con prova di indipendenza testata",
    "priorita": "Critica",
    "prova_richiesta": "Diagramma di architettura + risultato del test di isolamento (chaos test)"
  },
  {
    "categoria": "tecnico",
    "numero": 9,
    "punto": "Marca temporale RFC 3339 UTC ovunque, senza eccezione (interfaccia, API, esportazioni)",
    "priorita": "Critica",
    "prova_richiesta": "Screenshot interfaccia + payload API + export JSON/RSS datato UTC"
  },
  {
    "categoria": "tecnico",
    "numero": 10,
    "punto": "Severita codificata su 4 livelli minimo (operational, degraded, partial outage, major outage)",
    "priorita": "Alta",
    "prova_richiesta": "Documentazione di prodotto + screenshot stati + tabella di corrispondenza interna"
  },
  {
    "categoria": "tecnico",
    "numero": 11,
    "punto": "Export strutturato disponibile in JSON, RSS e Atom, integrato da ICS per la manutenzione",
    "priorita": "Alta",
    "prova_richiesta": "URL pubblici dei feed + esempi di payload archiviati"
  },
  {
    "categoria": "tecnico",
    "numero": 12,
    "punto": "Audit trail visibile su ogni aggiornamento, che identifica l autore (ruolo minimo)",
    "priorita": "Critica",
    "prova_richiesta": "Screenshot interfaccia + estratto log di audit + politica dei ruoli"
  },
  {
    "categoria": "tecnico",
    "numero": 13,
    "punto": "Versionamento degli aggiornamenti incidente, mai sovrascrittura retroattiva",
    "priorita": "Critica",
    "prova_richiesta": "Dimostrazione storico di un incidente + politica di modifica"
  },
  {
    "categoria": "tecnico",
    "numero": 14,
    "punto": "Monitoraggio multi-regioni in almeno 4 zone (UE, US, APAC, UK)",
    "priorita": "Alta",
    "prova_richiesta": "Elenco sonde per regione + report di copertura mensile"
  },
  {
    "categoria": "tecnico",
    "numero": 15,
    "punto": "Notifiche cross-canale operative: e-mail, webhook, RSS, SMS opzionale",
    "priorita": "Media",
    "prova_richiesta": "Elenco canali attivi + test di invio trimestrale"
  },
  {
    "categoria": "tecnico",
    "numero": 16,
    "punto": "Archiviazione immutabile WORM o registro firmato per almeno 6 anni",
    "priorita": "Critica",
    "prova_richiesta": "Strategia di archiviazione + prova di immutabilita (hash, S3 Object Lock, Glacier)"
  },
  {
    "categoria": "tecnico",
    "numero": 17,
    "punto": "Sicurezza del dominio status: DNSSEC attivo, HTTPS strict, HSTS, CAA, test HSTS validato",
    "priorita": "Alta",
    "prova_richiesta": "Report DNSSEC + screenshot HSTS preload + record CAA + scan TLS"
  },
  {
    "categoria": "organizzativo",
    "numero": 18,
    "punto": "Ruolo DORA Incident Notifier designato per iscritto, con backup (equivalente CSSF eDesk role)",
    "priorita": "Critica",
    "prova_richiesta": "Lettera di nomina + backup + estratto organigramma"
  },
  {
    "categoria": "organizzativo",
    "numero": 19,
    "punto": "Reperibilita 24/7 sul canale status page, con rotazione documentata e calendario annuale",
    "priorita": "Critica",
    "prova_richiesta": "Calendario di reperibilita + strumento di paging + politica di rotazione"
  },
  {
    "categoria": "organizzativo",
    "numero": 20,
    "punto": "Drill 4 ore trimestrale sotto forma di tabletop exercise, seguito da un post-mortem del drill",
    "priorita": "Alta",
    "prova_richiesta": "Verbale del drill + piano d azione + post-mortem firmato"
  },
  {
    "categoria": "organizzativo",
    "numero": 21,
    "punto": "Mapping documentato delle autorita nazionali per giurisdizione (ACPR / BaFin / ACN / CSSF / Banca d'Italia + CSIRT NIS2 + CNIL/Garante e equivalenti GDPR)",
    "priorita": "Alta",
    "prova_richiesta": "Tabella di corrispondenza + URL e contatti ufficiali per paese"
  },
  {
    "categoria": "organizzativo",
    "numero": 22,
    "punto": "KPI delay-to-publish seguito in continuo, con obiettivo inferiore a 15 minuti",
    "priorita": "Alta",
    "prova_richiesta": "Dashboard interna + report mensile + soglie di allerta"
  },
  {
    "categoria": "organizzativo",
    "numero": 23,
    "punto": "Comunicazioni clienti pre-redatte per scenario, validate dal DPO e dalla direzione legale",
    "priorita": "Media",
    "prova_richiesta": "Biblioteca di messaggi tipo + visto DPO + visto direzione legale"
  },
  {
    "categoria": "organizzativo",
    "numero": 24,
    "punto": "Formazione annuale dei team SRE e comunicazione sugli obblighi DORA e NIS2",
    "priorita": "Alta",
    "prova_richiesta": "Piano di formazione + elenco presenze + scheda di valutazione"
  },
  {
    "categoria": "organizzativo",
    "numero": 25,
    "punto": "Revisione annuale COMEX e consiglio di amministrazione sugli incidenti gravi (DORA Articolo 17)",
    "priorita": "Critica",
    "prova_richiesta": "Verbale COMEX + delibera del consiglio + indicatori di incidenti"
  }
]