Porównanie oprogramowania do NIS 2: zamknięty amerykański SaaS kontra otwarta, suwerenna w UE zgodność
Co ma znaczenie w narzędziu, którym realizują Państwo unijne prawo.
Kwestia strukturalna, a nie spór o markę
Rynek oprogramowania do zgodności kształtują platformy amerykańskie. Są dobrze zbudowane. W przypadku NIS 2 pojawia się jednak kwestia strukturalna: realizują Państwo europejskie prawo o odporności za pomocą zamkniętego narzędzia, którego danych ani kodu nie mogą Państwo skontrolować.
Ten artykuł porównuje modele rzeczowo, bez deprecjonowania któregokolwiek pojedynczego dostawcy.
Zgodność opiera się na dowodach. Audytor pyta, w jaki sposób dane są przetwarzane, gdzie się znajdują i kto ma do nich dostęp. Przy oprogramowaniu open source mogą to Państwo sprawdzić bezpośrednio, zamiast polegać na zapewnieniach dostawcy.
To, że samo narzędzie do gromadzenia dowodów jest czarną skrzynką, stanowi słaby punkt modelu zamkniętego.
NIS 2 dąży do wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (art. 1 NIS 2). Przechowywanie danych dotyczących zgodności w amerykańskiej chmurze dodaje zależność oraz kwestię transferu danych, które prawo to stara się ograniczyć.
Narzędzia możliwe do samodzielnego hostowania lub hostowane w UE są bardziej spójne z tym celem.
Państwa rejestr obowiązków, Państwa dowody i Państwa proces powinny należeć do Państwa. Przy otwartych narzędziach mogą Państwo eksportować dane, hostować je samodzielnie lub zmienić dostawcę bez zaczynania od nowa.
Uzależnienie od dostawcy to koszt, który ujawnia się dopiero w dniu, w którym chcą Państwo odejść.
Jeśli potrzebują Państwo wielu certyfikowanych integracji oraz dedykowanego wsparcia i dysponują budżetem, narzędzie komercyjne może mieć sens. NIS 2 nakazuje skuteczne środki i dowody, a nie konkretny produkt (art. 21(2) NIS 2).
Dla firmy z sektora Mittelstand, która potrzebuje przede wszystkim struktury i czytelnej ścieżki audytu, integracje rzadko są wąskim gardłem.
Istnieje dojrzały rynek otwartych narzędzi, wśród nich verinice, CISO Assistant, ISMS Builder oraz nisd2.eu. Różnią się głębią i obszarem koncentracji.
Łączą je przejrzystość, brak uzależnienia od dostawcy oraz niski koszt wejścia.
Najczęściej zadawane pytania
Czy open source jest mniej bezpieczny?
Nie. Zasada wielu par oczu często prowadzi do szybszego łatania luk. Liczy się utrzymanie i aktualizacje, a nie to, czy kod jest otwarty.
Czy NIS 2 wymaga konkretnego narzędzia?
Nie. NIS 2 wymaga skutecznych środków i dowodów (art. 21 NIS 2), a nie konkretnego produktu.
Czy mogę używać amerykańskiego narzędzia do zgodności z prawem UE?
Często tak, pod względem prawnym. Należy jednak sprawdzić transfer danych oraz tworzoną zależność, ponieważ ograniczenie właśnie tych elementów jest częścią sensu NIS 2.
Czym jest suwerenność UE w tym kontekście?
Utrzymaniem danych oraz kontroli nad Państwa procesem zgodności w Państwa zasięgu: hosting w UE lub samodzielny hosting, dane możliwe do wyeksportowania, kod możliwy do skontrolowania.
Czy narzędzie komercyjne kiedykolwiek jest lepszym wyborem?
Tak, gdy certyfikowane integracje i dedykowane wsparcie w Państwa sytuacji ważą więcej niż otwartość i koszt.