Software de NIS 2 em comparação: SaaS americano fechado versus conformidade aberta e soberana na UE
O que importa numa ferramenta que utiliza para cumprir uma lei da UE.
Uma questão estrutural, não uma disputa entre marcas
O mercado de software de conformidade é moldado por plataformas americanas. Estão bem construídas. Ainda assim, para a NIS 2 há uma questão estrutural: está a cumprir uma lei de resiliência europeia com uma ferramenta fechada cujos dados e código não consegue inspecionar.
Este artigo compara os modelos pelos seus méritos, sem denegrir nenhum fornecedor em particular.
A conformidade vive da prova. Um auditor pergunta como os dados são tratados, onde se encontram e quem tem acesso. Com software de código aberto, pode verificar isso diretamente em vez de depender das garantias do fornecedor.
O facto de a própria ferramenta de prova ser uma caixa negra é o ponto fraco do modelo fechado.
A NIS 2 visa um elevado nível comum de cibersegurança em toda a União (artigo 1 NIS 2). Manter dados de conformidade numa nuvem americana acrescenta uma dependência e uma questão de transferência que a lei procura reduzir.
As ferramentas que podem ser alojadas pelo próprio ou alojadas na UE são mais coerentes com esse objetivo.
O seu registo de obrigações, as suas provas e o seu processo devem pertencer-lhe. Com ferramentas abertas, pode exportar, alojar você mesmo ou mudar de fornecedor sem começar do zero.
O lock-in é um custo que só se revela no dia em que quer sair.
Se precisa de muitas integrações certificadas e de apoio dedicado, e tem orçamento para tal, uma ferramenta comercial pode fazer sentido. A NIS 2 prescreve medidas eficazes e provas, não um produto específico (artigo 21(2) NIS 2).
Para uma empresa do Mittelstand que sobretudo precisa de estrutura e de um registo de auditoria limpo, as integrações raramente são o estrangulamento.
Existe um mercado maduro de ferramentas abertas, entre elas o verinice, o CISO Assistant, o ISMS Builder e o nisd2.eu. Diferem em profundidade e foco.
O que têm em comum é a transparência, a ausência de lock-in e um baixo custo de entrada.
Perguntas frequentes
O código aberto é menos seguro?
Não. O princípio dos muitos olhos conduz muitas vezes a correções mais rápidas. O que importa é a manutenção e as atualizações, não se o código é aberto.
A NIS 2 exige uma ferramenta específica?
Não. A NIS 2 exige medidas eficazes e provas (artigo 21 NIS 2), não um produto específico.
Posso usar uma ferramenta americana para a conformidade na UE?
Muitas vezes sim, do ponto de vista legal. Mas verifique a transferência de dados e a dependência que cria, pois reduzir precisamente isso faz parte do propósito da NIS 2.
O que é a soberania da UE neste contexto?
Manter os dados e o controlo sobre o seu processo de conformidade ao seu alcance: alojamento na UE ou alojamento próprio, dados exportáveis, código inspecionável.
Uma ferramenta comercial é alguma vez a melhor escolha?
Sim, quando as integrações certificadas e o apoio dedicado pesam mais do que a abertura e o custo na sua situação.