CertMate CertMate /

NIS2 TLS Readiness

Checklist interattiva che mappa la tua postura TLS / cert all'art. 21(2)(h) NIS2 e al D.Lgs. 138/2024.

1 — Rispondi

Yes / No / N/A su ogni item. Le risposte restano in locale (localStorage).

2 — Verifica

Per ogni item, apri "come verificarlo" — link a tool interni ed esterni.

3 — Esporta

Scarica un evidence pack Markdown o JSON da allegare al fascicolo di audit.

Avviso: questa checklist riflette la lettura tecnica delle norme citate (NIS2, D.Lgs. 138/2024, DORA) ed è uno strumento di supporto. Non sostituisce una valutazione legale o un audit formale.

Score
0%
Metadati audit (opzionali, finiscono nell'export)

Art. 21(2)(h) NIS2 — Crittografia

  • 1.1

    Tutti i servizi pubblici espongono solo TLS 1.2+ con TLS 1.3 abilitato preferito.

    p0
    Come verificarlo

    Scansiona ogni endpoint pubblico con SSL Labs o internet.nl: la riga 'Protocols' deve mostrare TLS 1.2 e TLS 1.3 come unici abilitati.

  • 1.2

    TLS 1.0/1.1 disabilitati su ogni endpoint esposto in internet.

    p0
    Come verificarlo

    Stesse scansioni: 'TLS 1.0' e 'TLS 1.1' devono risultare disabilitati / non negoziabili. Verifica anche dietro ai load balancer.

  • 1.3

    Cipher suite legacy (RC4, 3DES, NULL, EXPORT) disabilitate.

    p0
    Come verificarlo

    Nella sezione 'Cipher Suites' di SSL Labs nessuna voce deve contenere RC4, 3DES, NULL, EXPORT, DES, MD5.

  • 1.4

    Catena di certificati completa servita (no AIA chasing client-side).

    p0
    Come verificarlo

    Usa Chain Builder con la bundle prodotta dal server: deve riportare 'chain valid' senza 'missing intermediate'.

  • 1.5

    HSTS abilitato su tutti i siti, con max-age ≥ 31536000.

    p1
    Come verificarlo

    curl -sI https://host | grep -i strict-transport-security. Il valore max-age deve essere ≥ 31536000 (1 anno). Considera l'invio al preload list.

Det. ACN 379907/2025 — Inventario e ciclo di vita

  • 2.1

    Inventario centralizzato dei certificati pubblici con scadenze monitorate.

    p0
    Come verificarlo

    Fornisci la sorgente dell'inventario (CMDB, spreadsheet, dashboard). Per la postura esterna, crt.sh elenca tutti i tuoi certificati pubblici.

  • 2.2

    Alert automatici su scadenza certificato (T-30 e T-7).

    p1
    Come verificarlo

    Mostra la configurazione di monitoring (Prometheus, Nagios, cron) o un servizio CT-monitor con notifiche.

  • 2.3

    Procedura documentata di rinnovo (chi, come, con quale CA).

    p1
    Come verificarlo

    Fornisci il documento di procedura: deve indicare owner, CA usate, trigger del rinnovo e tempistiche.

  • 2.4

    Procedura di revoca rapida documentata, testata negli ultimi 12 mesi.

    p1
    Come verificarlo

    Fornisci la procedura + il report dell'ultima esercitazione (data, esito, persone coinvolte).

Art. 23 NIS2 — Notifica incidenti

  • 3.1

    Runbook di notifica ACN per incidente PKI (24h early warning, 72h notifica, 1 mese report finale).

    p0
    Come verificarlo

    Fornisci il runbook. Verifica che le tempistiche siano allineate all'Art. 23 NIS2 e che indichi il canale ACN previsto.

  • 3.2

    Contatti di emergenza CA/registrar documentati e raggiungibili 24×7.

    p1
    Come verificarlo

    Mostra la rubrica con telefono/email H24 della CA e del registrar. Test di raggiungibilità almeno annuale raccomandato.

  • 3.3

    Procedura di rotazione chiave privata in caso di compromissione testata.

    p0
    Come verificarlo

    Fornisci procedura + report dell'ultima drill (key rotation completa: revoca, riemissione, redeploy, hsts/HPKP fallout).

DORA / eIDAS — Resilienza e qualified

  • 4.1

    Policy di cifratura documentata (data at rest / in transit / in use), allineata a RTS 2024/1774 art. 6.

    p0
    Come verificarlo

    Fornisci la policy. Deve mappare esplicitamente i tre stati del dato e richiamare l'art. 6(2) del Regolamento delegato (UE) 2024/1774.

  • 4.2

    Per servizi PSD2 / eIDAS Art. 45a: certificato QWAC presso TSP qualificato.

    p1
    Come verificarlo

    Solo se applicabile (PSD2 / open banking). Il certificato deve provenire da un TSP della EU Trust List e contenere il QcStatement PSD2.

  • 4.3

    Almeno un fornitore secondario di emergenza per i certificati pubblici (multi-CA).

    p1
    Come verificarlo

    Mostra l'evidenza contrattuale o operativa di una seconda CA usabile in caso di outage della primaria (es. Let's Encrypt + ZeroSSL).

Oltre la checklist

Vuoi continuous posture management, non solo un'autovalutazione?

nis2-public è la piattaforma open-source (AGPL-3.0) per la NIS2: governance, validazione tecnica e incident response sotto un solo tetto, self-hosted. I dati di scansione non lasciano la tua infrastruttura.

nis2-public su GitHub →