Una sola piattaforma che unisce GRC (Governance, Risk & Compliance), cybersecurity e privacy per la Pubblica Amministrazione: dal Piano di Audit al Registro dei Trattamenti, dalla postura NIST CSF 2.0 alla gestione delle vulnerabilità, dei data breach entro le 72 ore e dei sistemi di IA ai sensi dell'AI Act.
L'applicazione è gratuita. Sei una Pubblica Amministrazione? Richiedi le informazioni per ottenere l'accesso gratuito.
Premessa
Un progetto senza finalità commerciali, pensato per le Pubbliche Amministrazioni di piccole e medie dimensioni.
La trasformazione digitale della Pubblica Amministrazione ha reso sempre più centrale la necessità di garantire un'efficace tutela dei dati personali e un adeguato livello di cybersicurezza. In questo contesto, la diffusione di una cultura della privacy, della sicurezza delle informazioni e della gestione del rischio rappresenta un fattore essenziale per assicurare la qualità dei servizi pubblici e la protezione del patrimonio informativo delle amministrazioni.
Questa esigenza è particolarmente avvertita nelle Pubbliche Amministrazioni di piccole e medie dimensioni, che spesso devono affrontare gli adempimenti normativi e organizzativi con risorse economiche e professionali limitate. Da questa consapevolezza nasce AuditManagement, un'applicazione sviluppata e resa disponibile gratuitamente per offrire un concreto supporto alle amministrazioni nel percorso di miglioramento della propria organizzazione in materia di privacy e cybersicurezza.
L'iniziativa non persegue finalità commerciali, ma nasce esclusivamente con l'intento di contribuire alla diffusione della cultura della conformità normativa, della responsabilizzazione organizzativa e della gestione del rischio informatico, mettendo a disposizione uno strumento semplice, intuitivo e facilmente accessibile.
AuditManagement supporta la gestione strutturata delle attività di audit e di controllo, consentendo di pianificare e documentare le verifiche, monitorare gli adempimenti previsti dalla normativa, gestire le azioni correttive e disporre di una reportistica utile a supportare i processi decisionali e il miglioramento continuo. L'applicazione favorisce un approccio sistematico alla governance della privacy e della cybersicurezza, contribuendo a trasformare gli obblighi normativi in un'opportunità di crescita organizzativa.
L'applicazione può essere installata sia in modalità on-premise presso l'infrastruttura dell'ente, sia in ambiente cloud all'interno di data center sotto il controllo dell'amministrazione, nel pieno rispetto della normativa vigente in materia di protezione dei dati personali e, in particolare, del Regolamento (UE) 2016/679 (GDPR).
L'auspicio è che questo progetto possa rappresentare un punto di riferimento, in particolare per le amministrazioni che dispongono di minori risorse, aiutandole a sviluppare una maggiore consapevolezza dei rischi, a rafforzare i propri processi organizzativi e a promuovere una gestione sempre più efficace della protezione dei dati personali e della sicurezza delle informazioni, a beneficio dei cittadini e dell'intera collettività.
Costruito sugli standard che la PA deve rispettare
Release · Versione 12
La Versione 12 introduce il nuovo editor dei permessi granulare e consolida la suite completa che porta la piattaforma dal piano di audit alla governance completa dell'ente — tutto da provare subito nella Demo Live.
Controlla con precisione chi vede e chi modifica cosa: assegna i permessi per ruolo su oltre 60 aree della piattaforma, da sola lettura a gestione completa. In più il nuovo ruolo «Utente» per dare accessi mirati senza esporre l'intero ente.
Registro delle vulnerabilità con CVSS, esposizione, exploit status e valutazione del rischio integrata sulla stessa matrice 5×5 del Risk Register. Processo NIST SP 800-40, SLA per severità e promozione a rischio formale.
Adotta i framework di governance dal catalogo — COBIT 2019, NIST CSF 2.0, ISO 31000, TOGAF 10, ISO 37301 (119 elementi) — designane uno primario e valuta ogni elemento con capability 0-5, gap verso il target e piani d'azione.
Valutazione d'impatto sui diritti fondamentali per i sistemi di IA ad alto rischio: diritti della Carta UE con scoring gravità×probabilità, sorveglianza umana, misure, parere DPO e notifica all'autorità.
Tre registri che mappano ciò che i framework governano: Processi & Servizi (con RTO/RPO), Banche Dati (classificazione e retention) e Obblighi Normativi con stato di conformità — tutti collegati tra loro.
Due nuove librerie di controlli pronte all'uso: ENISA Technical Implementation Guidance (161 requisiti del Reg. 2024/2690 NIS2) e NIST SP 800-61r3 Incident Response (106 controlli sulla CSF 2.0).
Registro dei Trattamenti, DPIA, FRIA, Sistema Privacy, Registro Incidenti, Registro Data Breach, Risk Management con RACI, Vulnerability Management e Programma GRC: generati in un click, pronti per firma e protocollo.
Una sola piattaforma
Governance & Risk, Cybersecurity, Privacy e Compliance non sono più silos separati su fogli Excel. Audit Management li unifica in un unico modello dati, con tracciabilità totale e multi-tenant nativo per gestire più enti dalla stessa console.
Framework GRC con capability 0-5 e gap analysis, registro dei rischi ISO 31000/27005, piano di trattamento, matrice RACI e maturità multi-framework. Il rischio diventa misurabile e governabile.
Un vero Security Operations Center: vulnerabilità con CVSS e SLA, registro incidenti, data breach con timer 72h GDPR, playbook di risposta e metriche MTTR/MTTD allineate a NIS2.
Registro dei Trattamenti ex Art. 30, DPIA e FRIA per i sistemi di IA ad alto rischio, ruoli privacy (responsabili, autorizzati, designati) e informative. Lo strumento operativo del DPO.
Campagne di audit su 5 librerie di controlli, raccolta evidenze, KPI, rilievi e remediation. Obblighi normativi con stato di conformità e 13 documenti Word generati in un click.
Dentro la piattaforma
Schermate reali del prodotto — le stesse che esplori liberamente nella Demo Live. Ogni vista è un cruscotto pensato per chi deve capire al volo dove agire.
Compliance ponderata, maturità media, criticità aperte e scadenze imminenti. Il radar multi-area e i KPI ti dicono subito cosa funziona e cosa no.
Ogni vulnerabilità è censita con CVSS, esposizione, stato di exploit e KEV, e valutata sulla stessa matrice 5×5 del registro dei rischi: severità tecnica e rischio d'impresa finalmente nello stesso quadro, con SLA automatici per severità.
Incidenti, data breach e notifiche normative monitorati in un'unica sala di controllo, con soglia delle 72 ore GDPR, coda dei breach in scadenza e indicatori MTTR/MTTD.
Scegli i framework dal catalogo — COBIT 2019, NIST CSF 2.0, ISO 31000, TOGAF 10, ISO 37301 — designane uno primario e valuta ogni elemento con capability 0-5: il gap verso il target alimenta il piano di miglioramento.
Ogni trattamento con titolare, responsabile, finalità, basi giuridiche, livello di rischio e collegamento ad asset, processi e DPIA. Import da Excel e governance completa per il DPO.
Tre registri collegati tra loro e al resto della piattaforma: Processi & Servizi con criticità e RTO/RPO, Banche Dati con classificazione e retention, Obblighi Normativi con stato di conformità e scadenze.
Aree, controlli, maturità, campagna, valutazioni e conformità: ogni fase del flusso è visualizzata con stato di avanzamento, distribuzione di maturità e colli di bottiglia.
Dentro la piattaforma · modulo per modulo
I moduli della suite, illustrati con schermate reali del prodotto. I dati mostrati appartengono al Comune di Paperopoli, l'ente dimostrativo interamente fittizio che trovi anche nella demo.
Definisci i ruoli organizzativi dell'ente e collegali a persone e responsabilità: sono la base della matrice RACI e dei permessi per area.
Configura le categorie di risorsa — hardware, software, servizi, banche dati — per classificare l'inventario in modo coerente e riutilizzabile.
Gestisci ogni risorsa con i suoi legami a fornitori, uffici e owner. Le risorse prive di presidio emergono immediatamente.
Contratti dei fornitori con valore, durata, CIG, clausole DPA/SLA/NIS2 e scadenze: il presidio contrattuale della supply chain.
Censisci processi e servizi dell'ente con owner, criticità, RTO/RPO e collegamenti ad asset, fornitori e trattamenti GDPR.
Il patrimonio informativo: classificazione (pubblica→critica), dati personali, retention e legami con sistemi e processi.
GDPR, NIS2, CAD, AI Act, accessibilità: ogni obbligo con fonte, stato di conformità, priorità, scadenze e processi impattati.
Organizza le aree di controllo — funzioni NIST CSF e sezioni personalizzate — che strutturano l'intero impianto di audit.
Scale L0→L4 multi-framework (NIST, COBIT, conformità, Modello PA), personalizzabili con etichette, descrizioni e colori.
Una campagna per ogni libreria di controlli — Cyber, AGID, Piano Triennale, NIST 800-61r3, ENISA — attivabile in un click.
I controlli dell'area con maturità, stato, evidenze, KPI e remediation: il posto di lavoro quotidiano dell'auditor.
Assegna Responsible, Accountable, Consulted e Informed su ogni controllo: responsabilità sempre chiare e tracciate.
Censisci i rischi con probabilità, impatto, livello e stato secondo ISO 31000/27005, collegati ad asset, controlli e processi.
Pianifica le azioni di mitigazione per ciascun rischio: misure, responsabili, scadenze e avanzamento del trattamento.
Definisci la metodologia di rischio dell'ente: scale di probabilità e impatto, soglie di accettabilità e matrice di valutazione.
Il catalogo dei 5 framework di governance: adotta quelli adatti all'ente, designa il primario e definisci il perimetro.
Ogni elemento valutato 0-5 con gap verso il target, owner, evidenze, azioni e collegamenti a controlli, rischi e processi.
Valutazioni d'impatto con rischi, misure, parere del DPO e decisione del titolare, collegate ai trattamenti del registro.
La valutazione d'impatto sui diritti fondamentali per i sistemi di IA ad alto rischio: diritti della Carta UE, sorveglianza umana, misure e notifica.
Gestisci i responsabili esterni ex Art. 28 GDPR: nomine, ambiti di trattamento e collegamenti a trattamenti e fornitori.
Raccogli e organizza le informative ex Artt. 13-14 GDPR, collegate ai trattamenti e sempre pronte all'uso.
Traccia gli incidenti di sicurezza con severità, stato e tempi di risposta. Metriche MTTR/MTTD allineate a NIS2.
Gestisci le violazioni ex Art. 33 GDPR con il timer delle 72 ore, valutazione del rischio e notifiche al Garante.
Procedure operative pronte per reagire agli incidenti: fasi, ruoli e azioni per una risposta rapida e uniforme.
CVE, CVSS, esposizione, exploit status e SLA per severità: ogni vulnerabilità con il suo rischio inerente e residuo sulla matrice 5×5.
Il ciclo NIST SP 800-40 in 6 fasi con la metodologia di valutazione integrata e la tabella SLA: dal rilevamento alla chiusura verificata.
Conserva policy, evidenze e deliverable in un archivio centralizzato, con versioni e collegamenti agli elementi dell'audit.
Lo stato del patrimonio documentale a colpo d'occhio: copertura, versioni, scadenze di revisione e documenti mancanti.
Cuore metodologico
Sette funzioni e cinque librerie di controlli pronte all'uso, mappate su ISO 27001, AgID, CAD, GDPR e NIS2. Ogni controllo porta con sé riferimenti normativi, evidenze richieste e priorità.
Governance della sicurezza e gestione del rischio
Identificazione degli asset e del contesto
Protezione delle infrastrutture e dei dati
Rilevazione di anomalie e incidenti
Risposta agli incidenti di sicurezza
Ripristino e continuità operativa
Conformità normativa specifica PA
Ogni controllo è valutato su una scala di maturità: da Inesistente a Gestito.
Tutto incluso
Dieci aree funzionali coese, con permessi granulari per ruolo. Attiva ciò che serve, quando serve.
Niente schema rigido: Audit Management è costruita per essere configurata e ampliata. Non aspetti un aggiornamento del fornitore — crei tu ciò che ti serve, quando ti serve.
Definisci controlli di sicurezza su misura: descrizione, riferimenti normativi, evidenze richieste, priorità e campi personalizzati. Organizzali per area e sezione.
Oltre ai modelli NIST CSF 2.0, COBIT e ISO già pronti, costruisci le tue scale di maturità con etichette, descrizioni e colori adatti al linguaggio del tuo ente.
Crea campagne su misura, seleziona i controlli da valutare, assegna gli auditor e traccia avanzamento ed evidenze in tempo reale, su uno o più enti.
Output che fanno fede
La piattaforma genera automaticamente 13 deliverable in formato Word (.docx), pronti per la firma e il protocollo. Niente più copia-incolla tra file diversi.
By design
I dati di un ente pubblico sono tra i più sensibili che esistano. Audit Management è progettata per proteggerli — e per restare dove devono restare: dentro l'ente.
Hashing scrypt con salt e confronto a tempo costante. Policy di lunghezza e cambio forzato al primo accesso.
Query interamente parametrizzate e sanitizzazione dell'HTML rich-text contro gli attacchi XSS.
Ruoli dedicati — Admin, CAE, Lead Auditor, Auditor, Comitato Audit, Utente, Sola Lettura — con il nuovo editor dei permessi per ruolo su oltre 60 aree, da sola lettura a gestione completa.
Installala sull'infrastruttura dell'ente (on-premise/LAN) oppure usala in cloud: scegli la modalità più adatta. I dati restano sotto il controllo dell'ente.
Gestisci più Comuni dalla stessa installazione, con dati isolati per ente e clonazione delle configurazioni.
Backup e ripristino integrati, con storico delle modifiche per una piena tracciabilità delle valutazioni.
Accesso gratuito
Cliccando l'indirizzo si apre il tuo programma di posta con una bozza già pronta. Questo sito non raccoglie alcun dato personale.
