Software pro NIS 2 ve srovnání: uzavřený americký SaaS versus otevřená, EU-suverénní compliance
Na čem záleží u nástroje, kterým plníte zákon EU.
Strukturální otázka, nikoli souboj značek
Trh se softwarem pro compliance utvářejí americké platformy. Jsou dobře postavené. U NIS 2 přesto existuje strukturální otázka: evropský zákon o odolnosti plníte uzavřeným nástrojem, do jehož dat a kódu nemůžete nahlédnout.
Tento článek srovnává modely věcně, aniž by jakéhokoli jednotlivého dodavatele shazoval.
Compliance stojí na dokladech. Auditor se ptá, jak jsou data zpracovávána, kde se nacházejí a kdo k nim má přístup. U open source softwaru si to můžete ověřit přímo, místo abyste spoléhali na ujištění dodavatele.
Skutečnost, že právě nástroj pro doklady je černá skříňka, je slabým místem uzavřeného modelu.
NIS 2 míří na vysokou společnou úroveň kybernetické bezpečnosti v rámci Unie (článek 1 NIS 2). Uchovávání dat o compliance v americkém cloudu přidává závislost a otázku přenosu, kterou se zákon snaží omezit.
Nástroje provozovatelné ve vlastní režii nebo hostované v EU jsou s tímto cílem konzistentnější.
Váš registr povinností, vaše doklady a váš proces by měly patřit vám. U otevřených nástrojů můžete exportovat, provozovat ve vlastní režii nebo změnit poskytovatele, aniž byste začínali znovu.
Lock-in je náklad, který se ukáže až v den, kdy chcete odejít.
Pokud potřebujete mnoho certifikovaných integrací a vyhrazenou podporu a máte rozpočet, může mít komerční nástroj smysl. NIS 2 předepisuje účinná opatření a doklady, nikoli konkrétní produkt (článek 21(2) NIS 2).
Pro společnost segmentu Mittelstand, která potřebuje především strukturu a čistou auditní stopu, jsou integrace jen zřídka úzkým hrdlem.
Existuje vyzrálý trh otevřených nástrojů, mezi nimi verinice, CISO Assistant, ISMS Builder a nisd2.eu. Liší se hloubkou a zaměřením.
Společná je jim transparentnost, žádný lock-in a nízké vstupní náklady.
Často kladené dotazy
Je open source méně bezpečný?
Ne. Princip mnoha očí často vede k rychlejšímu opravování chyb. Záleží na údržbě a aktualizacích, nikoli na tom, zda je kód otevřený.
Vyžaduje NIS 2 konkrétní nástroj?
Ne. NIS 2 vyžaduje účinná opatření a doklady (článek 21 NIS 2), nikoli konkrétní produkt.
Smím pro compliance v EU používat americký nástroj?
Právně často ano. Prověřte však přenos dat a závislost, kterou vytváří, neboť omezení právě těchto věcí je součástí smyslu NIS 2.
Co v této souvislosti znamená suverenita EU?
Udržet data a kontrolu nad vaším procesem compliance ve vašem dosahu: hosting v EU nebo provoz ve vlastní režii, exportovatelná data, nahlédnutelný kód.
Je komerční nástroj někdy lepší volbou?
Ano, pokud certifikované integrace a vyhrazená podpora ve vaší situaci převažují nad otevřeností a náklady.