Software NIS 2 în comparație: SaaS american închis versus conformitate deschisă, suverană la nivel UE
Ce contează la un instrument cu care îndepliniți o lege a UE.
O întrebare structurală, nu o dispută între branduri
Piața software-ului de conformitate este modelată de platforme americane. Sunt bine construite. Pentru NIS 2 există totuși o întrebare structurală: îndepliniți o lege europeană privind reziliența cu un instrument închis ale cărui date și cod nu le puteți inspecta.
Acest articol compară modelele după meritele lor, fără a denigra vreun furnizor anume.
Conformitatea trăiește din probe. Un auditor întreabă cum sunt prelucrate datele, unde se află și cine are acces. Cu software open-source puteți verifica acest lucru direct, în loc să vă bazați pe asigurările furnizorului.
Faptul că tocmai instrumentul de probă este o cutie neagră reprezintă punctul slab al modelului închis.
NIS 2 vizează un nivel comun ridicat de securitate cibernetică la nivelul Uniunii (articolul 1 NIS 2). Păstrarea datelor de conformitate într-un cloud american adaugă o dependență și o problemă de transfer pe care legea încearcă tocmai să le reducă.
Instrumentele care pot fi găzduite pe cont propriu sau găzduite în UE sunt mai coerente cu acest obiectiv.
Registrul obligațiilor, probele și procesul dumneavoastră ar trebui să vă aparțină. Cu instrumente deschise puteți exporta, găzdui pe cont propriu sau schimba furnizorul fără a o lua de la capăt.
Lock-in-ul este un cost care apare abia în ziua în care doriți să plecați.
Dacă aveți nevoie de multe integrări certificate și de suport dedicat și dispuneți de buget, un instrument comercial poate avea sens. NIS 2 prescrie măsuri eficace și probe, nu un anumit produs (articolul 21(2) NIS 2).
Pentru o companie din Mittelstand care are nevoie în principal de structură și de o pistă de audit clară, integrările sunt rareori obstacolul principal.
Există o piață matură de instrumente deschise, printre care verinice, CISO Assistant, ISMS Builder și nisd2.eu. Ele diferă ca profunzime și ca accent.
Ceea ce au în comun sunt transparența, lipsa lock-in-ului și un cost de intrare redus.
Întrebări frecvente
Este open source mai puțin sigur?
Nu. Principiul multor ochi duce adesea la corectarea mai rapidă a vulnerabilităților. Ceea ce contează sunt întreținerea și actualizările, nu dacă codul este deschis.
Impune NIS 2 un anumit instrument?
Nu. NIS 2 impune măsuri eficace și probe (articolul 21 NIS 2), nu un anumit produs.
Pot folosi un instrument american pentru conformitatea UE?
Adesea da, din punct de vedere juridic. Dar verificați transferul de date și dependența pe care o creează, întrucât reducerea exact a acestora face parte din rostul NIS 2.
Ce înseamnă suveranitatea UE în acest context?
Păstrarea datelor și a controlului asupra procesului dumneavoastră de conformitate la îndemâna dumneavoastră: găzduire în UE sau găzduire pe cont propriu, date exportabile, cod inspectabil.
Este vreodată un instrument comercial alegerea mai bună?
Da, atunci când integrările certificate și suportul dedicat cântăresc mai greu decât deschiderea și costul în situația dumneavoastră.