Metodologia di Scoring

Cyber Assessment – Third Party Risk Management

NIST CSF 2.0 · NIS2 (D.Lgs. 138/2024) · ACN 2025/164179

Versione 2.0 – Maggio 2026 · Argo Platform

NIST CSF 2.0 NIS2 / D.Lgs. 138/2024 ACN 2025/164179 ISO/IEC 27001:2022 (bonus) Mio Score & Rischio Combinato

1. Scopo del documento

Il presente documento descrive in modo trasparente la metodologia utilizzata da Argo Platform per calcolare il punteggio di maturità cyber di un'organizzazione o di un fornitore terzo nel contesto del Third Party Risk Management (TPRM), conforme ai seguenti standard normativi:

NIST Cybersecurity Framework 2.0 (NIST CSF 2.0) — framework americano di riferimento internazionale
Direttiva NIS2 — D.Lgs. 138/2024 (recepimento italiano)
Circolare ACN n. 2025/164179 — Requisiti minimi di sicurezza informatica
ISO/IEC 27001:2022 (riconoscimento bonus)

Il punteggio finale (scala 0–100) permette di classificare il livello di rischio cyber e di definire le azioni di remediation prioritarie per il fornitore valutato.

Il questionario è composto da 67 domande suddivise nelle 6 funzioni del framework NIST CSF 2.0. Ogni domanda contribuisce al punteggio finale con un peso che riflette la sua criticità normativa e operativa.

2. Struttura del questionario – Funzioni NIST CSF 2.0

Le 67 domande sono organizzate nelle 6 funzioni del NIST CSF 2.0:

Funzione	Sigla	Domande	N°	Peso	Ambito
GOVERN	GV	ID.1–12	12	1.0	Governance, organizzazione e politiche di sicurezza
IDENTIFY	ID	ID.13–26	14	1.1	Inventario asset, risk assessment, vulnerabilità e continuità
PROTECT	PR	ID.27–59	33	1.4	Utenze, MFA, cifratura, backup, patch, log, firewall
DETECT	DE	ID.60–64	5	1.3	Monitoraggio, SIEM, antimalware e rilevamento incidenti
RESPOND	RS	ID.65–66	2	1.2	Piano e procedure di gestione degli incidenti
RECOVER	RC	ID.67	1	1.2	Procedure di ripristino post-incidente

La funzione PROTECT ha il peso più alto (1.4) perché contiene il maggior numero di controlli tecnici operativi (33 domande) e impatta direttamente sulla riduzione del rischio cyber. GOVERN ha il peso base (1.0) perché è prevalentemente dichiarativa.

3. Punteggi base (Self Evaluation)

Per ogni domanda si seleziona un'opzione di valutazione. Il punteggio base verrà poi moltiplicato per i fattori di peso e qualità:

Opzione di risposta	Punteggio base	Significato
Implementato	100	Controllo completamente adottato e operativo
Implementato Parzialmente	50	Controllo presente ma non completo o non documentato adeguatamente
Non Implementato	0	Controllo assente
Non risposto ( – )	−10	Penalità per risposta mancante (incentiva il completamento)

È possibile indicare "Non Applicabile" per domande che non riguardano la propria realtà. Le domande escluse non influiscono sul calcolo.

4. Criticità delle domande

Ogni domanda ha un livello di criticità normativa che moltiplica il punteggio base:

Livello	Moltiplicatore	N° domande	Descrizione
CRITICO	× 1.5 (× 2.0 se NIS2)	14	Controlli obbligatori NIS2/ACN a massima priorità
ALTO	× 1.2	13	Controlli importanti con forte impatto sulla maturità
STANDARD	× 1.0	40	Controlli rilevanti ma non obbligatori per legge

Per i fornitori classificati come soggetti NIS2 il moltiplicatore CRITICO sale da 1.5 a 2.0 — la non implementazione di un controllo critico pesa il doppio nel calcolo finale.

4.1 Domande classificate CRITICO (14 domande)

ID.2 – Piano di gestione dei rischi cyber
ID.7 – Politiche di sicurezza informatica (16 ambiti ACN obbligatori)
ID.17 – Risk Assessment documentato
ID.19 – Piano di trattamento del rischio
ID.22 – Piano di gestione delle vulnerabilità
ID.23 – Piano di continuità operativa (BCP)
ID.24 – Piano di ripristino in caso di disastro (DRP)
ID.32 – Autenticazione multifattore (MFA)
ID.46 – Backup periodici con copie offline
ID.49 – Patch management: aggiornamenti di sicurezza senza ritardo
ID.60 – Strumenti tecnici di rilevamento incidenti (SIEM/IDS)
ID.63 – Sistemi antimalware aggiornati su tutti gli endpoint
ID.65 – Piano di gestione degli incidenti di sicurezza informatica
ID.67 – Procedure di ripristino post-incidente documentate

5. Pesi per Funzione NIST CSF 2.0

Lo score finale è una media ponderata degli score delle 6 funzioni:

Funzione	Peso	Quota sul totale	Motivazione
GOVERN	1.0	14.7%	Governance – base dichiarativa e documentale
IDENTIFY	1.1	16.2%	Risk management e asset inventory – fondamentale conoscenza dell'ambiente
PROTECT	1.4	20.6%	Controlli tecnici operativi – massima criticità per la riduzione del rischio
DETECT	1.3	19.1%	Rilevamento incidenti – impatto diretto sulla resilienza
RESPOND	1.2	17.6%	Risposta incidenti – critico per continuità del servizio
RECOVER	1.2	17.6%	Ripristino – critico per minimizzare l'impatto di incidenti

6. Formula di calcolo per singola domanda

Il punteggio di ogni domanda si calcola con la seguente formula:

Punteggio = Punteggio_base × Peso_funzione × Peso_criticità × Mult_evidenza × Mult_coerenza

Variabile	Range	Descrizione
`Punteggio_base`	0 / 50 / 100 / −10	Dipende dalla Self Evaluation scelta
`Peso_funzione`	1.0 – 1.4	Peso della funzione NIST CSF 2.0 di appartenenza
`Peso_criticità`	1.0 – 2.0	Peso normativo NIS2/ACN della domanda specifica
`Mult_evidenza`	0.70 – 1.30	Qualità delle evidenze a supporto della risposta
`Mult_coerenza`	0.85 o 1.0	Penalità se la risposta è incoerente con domande correlate

Lo score di ciascuna funzione NIST è calcolato come:

Score_funzione = ( Σ punteggi domande ) / ( Σ punteggi massimi teorici ) × 100

7. Valutazione delle evidenze

Il campo "Evidenze / Note" viene analizzato automaticamente per determinare la qualità della documentazione a supporto della risposta:

Tipo di evidenza	Moltiplicatore	Effetto
Evidenze concrete (documento, policy, audit, contratto)	+5% per parola chiave, max +25%	Premio per documentazione formale citata
Evidenza molto dettagliata (30+ parole)	Ulteriore +5%	Bonus per evidenza articolata e precisa
Nessuna evidenza + "Implementato"	0.85	Penalità: controllo dichiarato ma non documentato
Nessuna evidenza + "Implementato Parzialmente"	0.90	Lieve penalità, coerente con la risposta
Evidenze vaghe ("in corso", "previsto", "da definire")	−10% per parola negativa, max −30%	Penalità per risposte con intento futuro non realizzato
Placeholder generico ("xxxxx")	0.70 (minimo assoluto)	Penalità massima: risposta non valida

Downgrade automatico: se l'evidenza contiene frasi come "in corso", "previsto", "da definire", il sistema interpreta la risposta come dichiarazione di intento futuro non realizzato — applica una penalità progressiva.

Suggerimento: citare il nome del documento (es. "Politica di Sicurezza v2.1, approvata il 15/01/2025"), lo strumento (es. "EDR CrowdStrike su tutti gli endpoint dal 2024") o il processo formale (es. "audit ISO 27001 chiuso il 03/02/2025 da BSI Italia").

8. Controllo di coerenza tra domande correlate

Il sistema verifica la coerenza logica tra domande padre–figlio. Se una domanda "figlio" dichiara un livello superiore alla domanda "padre", viene applicata una penalità del 15% (moltiplicatore 0.85) alla domanda figlio.

Esempio: se ID.17 (Risk Assessment) = "Non Implementato", è incoerente dichiarare ID.19 (Piano di trattamento del rischio) = "Implementato".

Gruppo	Padre	Figli	Motivazione
Politiche di sicurezza	ID.7	ID.8, ID.9	Non si può riesaminare politiche non formali
Risk Assessment	ID.17	ID.18, ID.19	Non si può trattare un rischio non valutato
Gestione utenze	ID.27	ID.28, ID.29, ID.30	Non si gestiscono credenziali senza censimento
Autenticazione	ID.31	ID.32, ID.33	Non si ha MFA senza autenticazione proporzionale al rischio
Backup	ID.46	ID.47	Non si documentano procedure di backup senza i backup
Log e conservazione	ID.51	ID.52, ID.53, ID.54	Non si conservano log non raccolti
Continuità	ID.23	ID.24, ID.25, ID.26	BCP è prerequisito di DRP e gestione crisi
Incidenti	ID.65	ID.66, ID.67	Le procedure di risposta dipendono dal piano incidenti

9. Bonus ISO/IEC 27001

In presenza di una certificazione ISO/IEC 27001:2022 valida, viene applicato un bonus allo score finale:

Tipo di certificazione	Bonus	Condizione
ISO 27001 – Scope completo	+8%	Copre l'intera organizzazione / tutti i sistemi rilevanti
ISO 27001 – Scope parziale	+4%	Copre solo una parte dei sistemi o delle sedi

Formula applicata:

Score_finale = min( 100, Score_base × (1 + bonus_ISO) )

Il bonus riconosce che la certificazione ISO 27001 implica un audit di terza parte indipendente e un sistema di gestione della sicurezza delle informazioni (ISMS) maturo.

Il bonus ISO non supera mai il cap di 100. Se lo score base è già 95, il bonus +8% porterebbe a 102.6 ma viene troncato a 100.

10. Score finale e classificazione del rischio

Il calcolo dello score finale avviene in 3 fasi sequenziali:

Fase 1 — Score per funzione NIST CSF 2.0

Per ciascuna funzione:
Score_funzione = (Σ punteggi ottenuti) / (Σ punteggi massimi teorici) × 100

Fase 2 — Media ponderata tra funzioni

Score_base = Σ(Score_funzione × Peso_funzione) / Σ(Pesi_funzione)

Fase 3 — Applicazione bonus ISO 27001

Score_finale = min(100, Score_base × (1 + Bonus_ISO))

Il punteggio finale (0–100) determina la classificazione del rischio:

Livello rischio	Score	Esito	Azione raccomandata
BASSO	85 – 100	✓ Approvato	Monitoraggio annuale
MEDIO-BASSO	70 – 84	⚠ Condizionato	Remediation plan entro 12 mesi
MEDIO	55 – 69	⚠ Condizionato	Remediation plan entro 6 mesi con milestone trimestrali
MEDIO-ALTO	40 – 54	✗ Limitato	Solo forniture non critiche. Remediation obbligatoria
ALTO	0 – 39	✗ Non approvato	Clausole contrattuali stringenti o esclusione dal panel

11. Esempio di calcolo completo

Esempio pratico per la domanda ID.32 – Autenticazione multifattore (MFA):

Parametro	Valore	Effetto
Self Evaluation	"Implementato"	→ Punteggio base: 100
Funzione NIST	PROTECT	→ Peso funzione: 1.4
Criticità	CRITICO	→ Peso criticità: 1.5
Evidenza	"MFA abilitato con Microsoft Authenticator su tutti gli account amministrativi dal 03/2024 — verbale di rollout disponibile"	→ Moltiplicatore: 1.20
Coerenza	ID.31 = "Implementato"	→ Nessuna penalità (coerente)

Calcolo: 100 × 1.4 × 1.5 × 1.20 × 1.0 = 252 punti (per questa domanda)

12. ⭐ Mio Score (override soggettivo del valutatore)

Lo Score Assessment calcolato automaticamente con la metodologia sopra riflette la postura di sicurezza dichiarata dal fornitore. Tuttavia il tenant (cliente che gestisce la pratica NIS) può avere informazioni aggiuntive — esperienze pregresse, audit indipendenti, incidenti noti — che il questionario non cattura.

Il Mio Score permette al tenant di registrare una valutazione soggettiva motivata che concorre al rischio combinato.

12.1 Quando usarlo

Scenario	Esempio
Incidente recente noto	Il fornitore risponde "MFA implementata" (score 90), ma sai che ha avuto data breach nel 2025-Q3 con esposizione credenziali. Mio Score: 60 con motivazione "incidente leak credenziali Q3/2025, MFA solo su account admin"
Audit interno con esito diverso	Il fornitore dichiara backup offline (score 95), ma il tuo audit ha trovato copie tutte su NAS unico. Mio Score: 55, motivazione: "audit interno 04/2026: backup non realmente segregati"
Trust verticale documentato	Vendor di livello hyperscale (Microsoft, AWS, …) con SOC 2 Type II + ISO 27001 multipli + FedRAMP. Score questionario non significativo. Mio Score: 95, motivazione: "Trust Portal pubblico verificato il 05/2026, scope completo"
SLA effettivi diversi dal dichiarato	Fornitore dichiara SLA 99.5% (score 85), ma SLA reali ultimi 12 mesi sono 97%. Mio Score: 65, motivazione: "SLA effettivi 12m: 97% vs dichiarato 99.5%"
Vendor lock-in critico	Score tecnico alto (80) ma fornitore single-source senza piano d'uscita. Mio Score: 50, motivazione: "lock-in alto, no piano d'uscita, tempo switching > RTO"

12.2 Come impostarlo

Passo 1 — Vai su Fornitori NIS → Elenco

Trova la riga del fornitore che vuoi valutare.

Passo 2 — Clicca sulla colonna "Mio Score"

Se è vuota, vedrai un pulsante "+ assegna". Cliccalo. Se ha già un valore, lo cliki per modificarlo.

Passo 3 — Inserisci punteggio + motivazione

Si apre un modal con:

Punteggio (0–100) — numero intero o decimale (es. 65.5). Stesso significato dello Score Assessment: 0 = rischio massimo, 100 = rischio minimo
Motivazione — obbligatoria quando imposti un punteggio. Spiega perché stai assegnando questo valore. Memorizzata cifrata per audit (AES-256-GCM con tenant key).

Passo 4 — Salva

Il Mio Score appare nella colonna con il chip colorato (stessa logica del rating: A 85-100 / B 70-84 / C 55-69 / D 40-54 / E <40). Hover sul chip per leggere la motivazione (troncata a 80 caratteri).

Per rimuovere il Mio Score: apri il modal, svuota il campo punteggio, salva (il sistema conferma la cancellazione). Lo score sparisce e la valutazione torna a basarsi solo sull'assessment automatico.

12.3 Tracciamento e audit

Ogni modifica del Mio Score viene tracciata in activity_log con:

Utente che ha effettuato la modifica
Timestamp ISO
Valore precedente → valore nuovo
Motivazione (in chiaro nel log per consultazione audit)

I campi memorizzati nel record del cliente:

custom_score — valore numerico 0–100
custom_score_motivation_enc — motivazione cifrata AES-256-GCM
custom_score_updated_at — timestamp ultimo aggiornamento
custom_score_updated_by — uid dell'utente

13. ⭐ Trust Portal Score (vendor con cert indipendenti)

I fornitori hyperscaler (Microsoft, AWS, Google Cloud, Cisco, Salesforce…) pubblicano la propria postura di sicurezza in un Trust Portal pubblico con audit di ente terzo indipendente. Per questi fornitori la compilazione del questionario NIS2 da parte del vendor sarebbe ridondante — meglio leggere la documentazione esistente e tracciarla in Argo.

Quando in NIS si imposta "Modalità di valutazione" = Trust Portal nello step 1 del wizard, lo score viene calcolato in automatico dalle 8 certificazioni attive spuntate dall'utente, con i seguenti pesi:

Certificazione	Peso	Rilevanza NIS2
ISO/IEC 27001	+5	SGSI base — copre intero perimetro Govern/Identify/Protect
SOC 2 Type II	+5	Audit di controlli su periodo (≥6 mesi) — alta affidabilità
FedRAMP	+5	Standard US gov High/Moderate — controlli severi continuativi
ENS Alto	+4	Esquema Nacional de Seguridad — Spagna PA Alto
ISO 22301	+3	Business Continuity — direttamente richiesto da NIS2 art. 21
ISO 27017	+3	Cloud security controls — chiave per fornitori ICT
ISO 27018	+3	Privacy in cloud — utile per DPIA
PCI-DSS	+2	Settoriale pagamenti — meno generale

13.1 Formula

tp_score = 70 (base)
         + Σ(cert_attive × peso)
         − 5  se ultima_verifica > 180 giorni fa
         − 10 se cert_expiry < oggi+90 giorni
         − 15 se cert_expiry < oggi (scadute)
         (tetto a 95, mai 100)

Base 70 (B – Buono): il fatto stesso di pubblicare un Trust Portal verificabile è già un segnale di maturità organizzativa superiore alla media. Vendor che non pubblicano nulla restano alla valutazione tramite questionario.

Tetto 95 (mai 100): nemmeno il fornitore con tutte le 8 certificazioni può arrivare a 100. Lo shared responsibility model dei provider cloud richiede che tu cliente configuri bene IAM, encryption-at-rest, network policies, sub-procesori, ecc. Il vendor non risponde per gli errori tuoi di configurazione.

13.2 Esempi pratici

Profilo	Cert attive	Score	Rating
Microsoft Azure / M365	Tutte e 8 (ISO 27001, SOC 2 II, FedRAMP, ENS Alto, ISO 22301, 27017, 27018, PCI-DSS)	95.0	A – Eccellente
AWS	Tutte e 8	95.0	A – Eccellente
Google Cloud	7 (no ENS Alto)	91.0	A – Eccellente
Cisco Webex/Duo	5 (ISO 27001, SOC 2, FedRAMP, ISO 27017, 27018)	89.0	B – Buono / A−
Vendor cloud minore	2 (ISO 27001, SOC 2)	80.0	B – Buono
Trust Portal "minimo"	1 (solo ISO 27001 con check >6 mesi)	70.0 (75 − 5)	B / C
Cert. scaduta	ISO 27001 expiry < oggi	60.0 (75 − 15)	C – Sufficiente

13.3 Profili consigliati nel wizard

Per velocità, il wizard offre un selettore "Carica un profilo consigliato" con preset per i principali hyperscaler. Selezionando "Microsoft (Azure, M365, Dynamics)" si pre-spuntano automaticamente tutte e 8 le certificazioni tipicamente attive sul loro Trust Portal pubblico (servicetrust.microsoft.com). L'utente deve poi adattare in base al servizio specifico che usa (es. Azure US Government ≠ Azure Italy region per ENS Alto).

Suggerimento operativo: verifica almeno una volta l'anno (e annota in Data ultima verifica) il Trust Portal del vendor. Se l'ultima verifica risale a oltre 6 mesi fa il sistema applica una penalità di -5 punti per ricordarti di rinnovare la due diligence.

13.4 Quando usare Trust Portal vs Questionario

Tipo fornitore	Modalità consigliata
Hyperscaler con Trust Portal completo	Trust Portal (tp_score 90+)
SaaS enterprise con SOC 2 / ISO 27001	Trust Portal (tp_score 75-88)
Fornitore senza Trust Portal pubblico ma con cert ISO/SOC scaricabile	Trust Portal (con tp_score) oppure questionario abbreviato
SME/freelance/agenzia ICT	Questionario (NIST CSF 2.0)
Fornitore con sola autocertificazione	Questionario + richiesta evidenze allegate

NB: lo score Trust Portal calcolato resta come tp_score nella dichiarazione NIS, è visibile in dashboard, viene incluso nei dossier ACN ed è confrontabile con lo score del questionario perché entrambi usano la stessa scala 0-100 e i rating A-E.

14. ⭐ Rischio Combinato (Assessment + KPI manuali + Mio Score)

Il Rischio Combinato è il punteggio "definitivo" mostrato in Dashboard NIS e usato per la classificazione del fornitore. Combina 3 contributi:

13.1 I 3 contributi

Contributo	Fonte	Range
Score Assessment	Calcolato automaticamente dal questionario completato (vedi sezioni 1–11)	0–100
KPI manuali	Compilati dall'admin tenant sulla scheda del fornitore (criticità, accesso dati, SLA, qualità, incidenti, impatto operativo, dipendenza, lock-in)	Convertiti in score 0–100
Mio Score (opzionale)	Override soggettivo (vedi sezione 12)	0–100

13.2 Formula del Rischio Combinato

Se il Mio Score è valorizzato, ha la priorità assoluta:

Rischio_Combinato = Mio_Score

Se il Mio Score è vuoto, il sistema applica la media pesata tra assessment e KPI manuali:

Rischio_Combinato = (Score_Assessment × W_assess) + (Score_KPI_manuali × W_manuale)
con W_assess + W_manuale = 1.0

I default sono W_assess = 0.6 (60%) e W_manuale = 0.4 (40%) — configurabili dal tenant (sezione 14).

13.3 Calcolo dello Score_KPI_manuali

I KPI manuali compilati sulla scheda fornitore vengono convertiti in un punteggio aggregato 0–100. La formula (semplificata):

Componente	Peso (default)	Note
Criticità	30%	Alta=0, Media=50, Bassa=100
Impatto operativo	25%	Alto=0, Medio=50, Basso=100
Dipendenza	20%	Alta=0, Media=50, Bassa=100
Accesso dati sensibili	15%	Sì=0, No=100
SLA gap (target vs actual)	10%	Se actual ≥ target = 100, scala lineare verso 0

Ulteriori contributi (incidenti 12m, quality %, lock-in) modificano il punteggio finale di KPI manuali secondo regole documentate nel modulo nis_validators.py::compute_manual_risk_score.

13.4 Classificazione finale (ALTO / MEDIO / BASSO)

Il Rischio Combinato (0–100) viene classificato in 3 livelli secondo soglie configurabili:

Livello	Soglia (default)	Visualizzazione
ALTO	Score ≥ 60 (alto rischio)	Rosso
MEDIO	30 ≤ Score < 60	Giallo
BASSO	Score < 30	Verde

Attenzione alla convenzione: nel Rischio Combinato un valore più alto indica un rischio maggiore (logica "score-as-risk"), mentre nello Score Assessment è il contrario (100 = rischio minimo). Il sistema applica la conversione automatica internamente. La classificazione finale che vedi in Dashboard usa la convenzione "score-as-risk".

14. ⭐ Configurazione dei pesi e delle soglie

Tutti i pesi e le soglie del Rischio Combinato sono configurabili dal tenant in Fornitori NIS → ⚙️ Impostazioni (sub-tab interna al modulo NIS).

14.1 Soglie del livello di rischio

Setting DB	Default	Effetto
`risk_threshold_medium`	`30`	Sotto questa soglia = BASSO. Sopra fino a high = MEDIO
`risk_threshold_high`	`60`	Sopra questa soglia = ALTO

14.2 Pesi della media combinata

Setting DB	Default	Note
`nis_weight_assessment`	`0.6` (60%)	Peso del punteggio derivato dal questionario
`nis_weight_manual`	`0.4` (40%)	Peso dei KPI manuali

I due pesi devono sommare a 1.0 (il sistema valida e respinge configurazioni non coerenti).

14.3 Threshold qualità e SLA

Setting DB	Default	Effetto
`nis_sla_target`	`0.95` (95%)	Uptime atteso dal fornitore
`nis_quality_threshold`	`0.85` (85%)	Qualità minima accettabile

14.4 Esempio configurazione "conservativa"

Se vuoi una valutazione più stringente (ad es. per fornitori critici sanitari/finanziari), abbassa la soglia ALTO:

Setting	Default	Configurazione conservativa
risk_threshold_medium	30	20
risk_threshold_high	60	50
nis_weight_assessment	0.6	0.4 (più peso ai KPI manuali)
nis_weight_manual	0.4	0.6
nis_sla_target	0.95	0.99

Le modifiche alle soglie/pesi hanno effetto immediato su tutti i fornitori esistenti (no ricalcolo manuale necessario). La Dashboard si aggiorna alla prossima visualizzazione.

15. Glossario

Termine	Definizione
ACN	Agenzia per la Cybersicurezza Nazionale – autorità italiana competente per NIS2
BCP	Business Continuity Plan – piano di continuità operativa
CERT / CSIRT	Computer Emergency Response Team – centri di coordinamento incidenti
DRP	Disaster Recovery Plan – piano di ripristino in caso di disastro
EDR	Endpoint Detection and Response – soluzione avanzata di protezione endpoint
MFA	Multi-Factor Authentication – autenticazione a più fattori
NIS2	Network and Information Security Directive 2 – direttiva UE 2022/2555
NIST CSF 2.0	NIST Cybersecurity Framework 2.0 – framework americano di riferimento internazionale
Patch Management	Processo di gestione e installazione degli aggiornamenti di sicurezza
RTO / RPO	Recovery Time/Point Objective – obiettivi di ripristino post-incidente
SIEM	Security Information and Event Management – monitoraggio centralizzato eventi sicurezza
TLS	Transport Layer Security – protocollo crittografico per comunicazioni sicure
Zero Trust	Architettura "mai fidarsi, sempre verificare" per la sicurezza degli accessi
TPRM	Third Party Risk Management – gestione del rischio dei fornitori terzi
Trust Portal	Portale pubblico (es. Cisco, Microsoft) con certificazioni e report di compliance del vendor
Mio Score	Override soggettivo del punteggio assessment, motivato dall'admin tenant
Rischio Combinato	Punteggio finale 0–100 che combina assessment automatico, KPI manuali ed eventuale Mio Score