NIS2 governance, technical validation, and incident response —Governance NIS2, validazione tecnica e gestione incidenti — under one roof. in un'unica piattaforma.
The open-source platform for the EU NIS2 Directive (2022/2555). Bridge the gap between Art. 21 policy and what your network actually does — without sending a single byte of scan data to a third party.La piattaforma open-source per la Direttiva NIS2 (UE 2022/2555). Colma il divario tra ciò che dichiarano le tue policy ex Art. 21 e ciò che fa realmente la tua rete — senza inviare un solo byte a terze parti.
Need a guided tour? Read the GuideServe un tour guidato? Leggi la guida
- automated checkscontrolli automatici
- 30+
- EU languageslingue UE
- 5
- NIS2 coveragecopertura NIS2
- Art. 18 / 21 / 23
- SaaS dependenciesdipendenze SaaS
- 0
Six modules, one workspaceSei moduli, un solo workspace
Everything Art. 21 asks for, in one auditable platform.Tutto ciò che chiede l'Art. 21, in una piattaforma auditabile.
Most NIS2 work is human work. The platform automates the parts that should be automated, and tracks the parts that legally require a person to sign their name to.La maggior parte del lavoro NIS2 resta lavoro umano. La piattaforma automatizza ciò che è automatizzabile e tiene traccia di ciò che richiede legalmente la firma di una persona.
- Art. 21
Governance FrameworkFramework di Governance
30-item checklist mapped to NIS2 Art. 21 (a)–(j), with owner, evidence, and review-cadence tracking. Cross-referenced to the Italian D.Lgs 138/2024 transposition and ACN determine.Checklist a 30 punti mappata sull'Art. 21 NIS2 (a)–(j), con tracciamento di responsabile, evidenze e cadenza di revisione. Riferimenti incrociati al D.Lgs 138/2024 e alle determine ACN.
Learn moreScopri di più - Scanner
Technical ValidationValidazione Tecnica
30+ async checks on TLS, DNS, certificates, HTTP headers, port exposure, secrets, and resilience. The probe that verifies if the policy your governance framework documents is actually enforced on the wire.Oltre 30 controlli asincroni su TLS, DNS, certificati, header HTTP, esposizione porte, secret e resilienza. La sonda che verifica se le policy del framework sono davvero applicate sulla rete.
Learn moreScopri di più - Art. 23
Incident ResponseGestione Incidenti
Art. 23 lifecycle with the 24h / 72h / 1-month deadlines tracked as live countdowns. The Red Button generates a CSIRT-ready Early Warning JSON from three fields plus the latest asset inventory.Ciclo di vita Art. 23 con countdown in tempo reale per le scadenze 24h / 72h / 1 mese. Il Red Button genera in pochi secondi un payload Early Warning pronto per il CSIRT, da 3 campi più l'inventario asset.
Learn moreScopri di più - Art. 18
Supply Chain RiskRischio Supply Chain
Vendor inventory with 4-level criticality, security scoring, contract tracking (SLA, audit rights, security clauses), and ACN Art. 18 fields for Italian transposition.Inventario fornitori con criticità a 4 livelli, scoring di sicurezza, tracciamento dei contratti (SLA, diritti di audit, clausole di sicurezza) e i campi specifici per l'Art. 18 e l'ACN.
Learn moreScopri di più - BIA
Business Impact AnalysisBusiness Impact Analysis
Process inventory with RTO / RPO / MTPD, five-dimension impact scoring, asset and vendor dependency mapping, and automatic BCP / DRP gap detection.Inventario processi con RTO / RPO / MTPD, scoring d'impatto su 5 dimensioni, mappatura delle dipendenze tra asset e fornitori e rilevamento automatico dei gap BCP / DRP.
Learn moreScopri di più - MCP
AI Copilot + MCPCopilot AI + MCP
Optional remediation copilot via Ollama (air-gapped) or OpenAI. Native Model Context Protocol server lets Claude, Cursor, and other AI agents query your compliance posture directly.Copilot opzionale di remediation via Ollama (air-gapped) o OpenAI. Server Model Context Protocol nativo: Claude, Cursor e altri agenti AI possono interrogare direttamente la tua postura di compliance.
Learn moreScopri di più
Posture you can read in 30 seconds.Una postura leggibile in 30 secondi.
One dashboard for total scans, average compliance score, open findings, and monitored assets — with the recent-scan trend on the same screen.Una sola dashboard per scansioni totali, score medio di conformità, finding aperti e asset monitorati — con il trend delle scansioni recenti sulla stessa schermata.
How it worksCome funziona
From clone to first executive report in an afternoon.Dal clone al primo report direzionale in un pomeriggio.
- 01
Clone and run locallyClona e avvia in locale
make dev — the platform comes up on http://localhost:8077 with Postgres, Redis, and the API in one compose file.make dev — la piattaforma si avvia su http://localhost:8077 con Postgres, Redis e l'API in un unico file compose.
$ git clone … && make dev - 02
Map your governanceMappa la tua governance
Walk the 30-item Art. 21 checklist with owners and evidence. Add assets, vendors, and processes. Generate the executive PDF for the board.Percorri la checklist a 30 punti dell'Art. 21 con responsabili ed evidenze. Aggiungi asset, fornitori e processi. Genera il PDF direzionale per il consiglio.
- 03
Run the technical probeAvvia la sonda tecnica
Schedule scans against your domains and IP ranges. Findings flow into the same workspace as the governance posture. Cross-reference each finding to the Art. 21 sub-paragraph it weakens.Pianifica scansioni su domini e range IP. I finding confluiscono nello stesso workspace della governance. Ogni finding può essere collegato alla lettera dell'Art. 21 che indebolisce.
Built with the people who actually use it.Costruita con le persone che la usano davvero.
One platform that speaks fluently to the boardroom and to the SOC.Una piattaforma che parla con scioltezza sia al CdA sia al SOC.
For CISOPer CISO
Bridge the gap between the policy you signed off and what the network actually does. Boardroom-ready evidence on a deadline.Colma il divario tra la policy che hai firmato e ciò che fa la rete. Evidenze pronte per il CdA, in tempo per la scadenza.
For DPOPer DPO
GDPR / ePrivacy posture surfaced separately from NIS2 — never aggregated into the wrong score. Vendor risk and incident workflows aligned to your obligations.Postura GDPR / ePrivacy gestita separatamente da NIS2 — mai aggregata nello score sbagliato. Workflow di rischio fornitore e gestione incidenti allineati ai tuoi obblighi.
For NIS2 ConsultantPer Consulente NIS2
Multi-tenant by design. Manage every client in one self-hosted instance. White-label PDF reports per organisation; switch tenants without logging out.Multi-tenant per design. Gestisci ogni cliente in un'unica istanza self-hosted. Report PDF white-label per organizzazione; cambia tenant senza fare logout.
For IT / SecOpsPer IT / SecOps
30+ async checks shipped, MCP-ready for AI agents, Prometheus-friendly metrics, scheduled scans via cron. No third-party SaaS in your tenant blast radius.Oltre 30 controlli asincroni inclusi, server MCP per agenti AI, metriche compatibili con Prometheus, scansioni pianificate via cron. Nessun SaaS terzo nel perimetro del tuo tenant.
Your scan data never leaves your infrastructure.I tuoi dati non lasciano mai la tua infrastruttura.
A CISO of an essential entity will not upload their vulnerability data to a third-party SaaS. So we built the platform around the assumption that it won't.Un CISO di un soggetto essenziale non caricherà mai i propri dati di vulnerabilità su un SaaS terzo. La piattaforma è costruita partendo da questo presupposto.
- Your PostgreSQL, your data — no telemetry, no external calls, no cloud dependencies.Il tuo PostgreSQL, i tuoi dati — nessuna telemetria, nessuna chiamata esterna, nessuna dipendenza cloud.
- Air-gapped support: Ollama AI copilot runs entirely local. OpenAI is opt-in.Supporto air-gapped: il copilot Ollama gira interamente in locale. OpenAI è opt-in.
- Postgres FORCE ROW LEVEL SECURITY enforces tenant isolation in the database, not just the app.FORCE ROW LEVEL SECURITY di Postgres garantisce l'isolamento tra tenant nel database, non solo nell'applicazione.
- AGPL-3.0 — own your fork forever. Commercial dual-licensing available.AGPL-3.0 — il tuo fork è tuo, per sempre. Doppia licenza commerciale disponibile.
Tech stackStack tecnologico
- Next.js 15
- React 19
- FastAPI
- PostgreSQL 16
- Celery
- Tailwind v4
- MCP
Run itAvvialo
# 60 seconds, one compose file60 secondi, un solo file compose
$ git clone https://github.com/fabriziosalmi/nis2-public.git
$ cd nis2-public
$ cp .env.example .env
$ make devProduction: make prod — Caddy auto-HTTPS, all services healthy-gated.Produzione: make prod — Caddy con HTTPS automatico, tutti i servizi vincolati all'healthcheck.
Stop talking about NIS2. Start showing the matrix.Smetti di parlare di NIS2. Inizia a mostrare la matrice di conformità.
Self-host the platform in 60 seconds. AGPL-3.0 — yours, forever. Need a hand? Reach out.Self-host della piattaforma in 60 secondi. AGPL-3.0 — tua, per sempre. Serve una mano? Scrivimi.