NIS2COMPASS: Evidence-Linked AI pentru o securitate cibernetică verificabilă
O organizație poate desfășura activități serioase de securitate cibernetică și totuși să întâmpine dificultăți atunci când trebuie să le dovedească. Echipa poate să fi aplicat patch-uri pe sisteme, să fi revizuit drepturile de acces, să fi monitorizat infrastructura, să fi instruit personalul, să fi gestionat incidente și să fi documentat politici. Și totuși, când un client, un auditor, un organism de reglementare sau un membru al consiliului de administrație cere dovezi, acestea pot fi în continuare împrăștiate în fire de e-mail, sisteme de ticketing, exporturi din foi de calcul, rapoarte de vulnerabilități, tablouri de bord, rezultate ale scanerelor și note informale de status.
Acesta este exact decalajul pe care NIS2COMPASS este conceput să îl rezolve.
NIS2COMPASS — NIS2 Compliance, Monitoring, and Posture Assessment for Sectoral Security — este un accelerator de conformitate și reziliență bazat pe dovezi, coordonat de AI STM Learning împreună cu partenerul nostru SmartClover. Proiectul se concentrează pe o problemă practică generată de era NIS2: activitatea de securitate cibernetică nu mai este suficientă dacă organizația nu poate demonstra ce s-a întâmplat, când s-a întâmplat, ce obligație susține, cine a revizuit-o și dacă dovezile care stau la bază sunt demne de încredere.
La AI STM Learning, vedem acest lucru ca pe o problemă de sisteme AI cu nivel ridicat de încredere. Pregătirea pentru NIS2 depinde de mai mult decât politici și controale tehnice. Depinde de capacitatea de a conecta activitatea reală de securitate la dovezi structurate, verificabile și pregătite pentru audit. NIS2COMPASS construiește această conexiune printr-un Graf de dovezi pentru conformitate, o cartografiere asistată de AI și aprobată de oameni, monitorizare continuă, validarea vulnerabilităților, activități de conștientizare și ghiduri specifice fiecărui sector.
Figura 1. NIS2COMPASS transformă artefactele de securitate cibernetică împrăștiate în dovezi structurate, verificabile și pregătite pentru audit.
De ce NIS2 schimbă sensul dovezii în securitatea cibernetică
Directiva NIS2 ridică așteptările privind gestionarea riscurilor de securitate cibernetică, raportarea incidentelor, securitatea lanțului de aprovizionare, tratarea vulnerabilităților, continuitatea activității, supravegherea, aplicarea legii și responsabilizarea conducerii în sectoarele importante și esențiale. În practică, aceasta înseamnă că organizațiile trebuie să fie capabile să arate nu doar că există controale, ci și că acestea funcționează, sunt revizuite, întreținute și susținute de dovezi.
Partea dificilă este că dovezile rareori se găsesc într-un singur loc. O scanare de vulnerabilități poate arăta o slăbiciune, dar nu și decizia managerială privind remedierea. O politică poate descrie controlul accesului, dar nu poate dovedi că au avut loc revizuiri ale accesului. Un registru de instruire poate demonstra activitatea de conștientizare a personalului, dar nu se conectează în mod natural la zonele de control NIS2. Un raport de testare de penetrare poate conține constatări valoroase, însă, dacă acele constatări nu sunt legate de sistemele afectate, de acțiunile de remediere, de starea verificării și de pachetele de dovezi aprobate, ele rămân greu de reutilizat într-un context de conformitate.
Aici începe să cedeze documentația convențională. O foaie de calcul poate enumera constatări. Un dosar poate stoca politici. Un instrument de ticketing poate urmări sarcini. Dar niciunul dintre acestea, luat separat, nu păstrează argumentul de conformitate. NIS2COMPASS tratează acel argument ca pe ceva ce trebuie proiectat cu rigoare: dovezile ar trebui să aibă structură, proveniență, integritate, responsabil, stare de revizuire și o relație clară cu cerințele de reglementare și operaționale.
Graful de dovezi pentru conformitate
În centrul NIS2COMPASS se află Graful de dovezi pentru conformitate. Este un graf de cunoștințe structurat, versionat și trasabil, care conectează artefactele de securitate cibernetică la controalele NIS2, sisteme, responsabili, constatări, acțiuni de remediere, aprobări, marcaje temporale și verificări de integritate.
În loc să trateze conformitatea ca pe o listă de bifat plată, graful modelează relații. Un control poate fi legat de o politică. O politică poate fi legată de o aprobare. O constatare de vulnerabilitate poate fi legată de un activ afectat, de o acțiune de remediere, de un rezultat de testare și de o verificare finală. Un registru de instruire poate fi legat de un control al riscului uman. Un eveniment de monitorizare poate fi legat de acoperirea detecției, de procedurile de răspuns la incidente și de pachetul de dovezi necesar pentru audit.
Figura 2. Graful de dovezi pentru conformitate conectează controale, sisteme, dovezi, persoane, aprobări și proveniență într-o pistă de audit structurată.
Aspectul important nu este doar faptul că datele sunt colectate. Aspectul important este că fiecare element de dovadă își păstrează contextul. Fiecare artefact poate purta metadate precum sistemul sursă, marcajul temporal, versiunea, nivelul de clasificare, starea de revizuire și hash-ul de integritate. Sistemul poate păstra logica pistei de dovezi: acest artefact provine din acest sistem, susține acest control, a fost revizuit de acest rol, a fost modificat la acest moment și aparține acestui pachet de dovezi.
Aici devine util AI-ul. NIS2COMPASS folosește cartografierea asistată de AI pentru a ajuta la clasificarea artefactelor primite în raport cu controalele NIS2 candidate și pentru a rezuma contextul tehnic într-o formă mai ușor de citit. Dar AI-ul nu trage concluzii de conformitate în mod autonom. Rolul său este să reducă munca repetitivă, să identifice relații candidate și să sprijine revizorul uman. O cartografiere propusă devine autoritară doar după aprobarea explicită a unui om.
Acea limită contează. În medii reglementate și cu nivel ridicat de încredere, AI-ul nu poate fi o cutie neagră care produce text de conformitate convingător, deconectat de dovezile sursă. Abordarea STM este evidence-linked AI: rezultatele ar trebui să rămână legate de proveniența datelor, de raționament, de origine și de fluxurile de revizuire. Acest lucru este în concordanță cu modul în care construim sisteme AI de nivel cercetare la stm.ai și cu activitatea noastră mai amplă privind AI orientat spre securitate cibernetică prin CLARA.
De la activitatea de securitate la dovezi pregătite pentru audit
NIS2COMPASS nu este conceput pentru a înlocui instrumentele de securitate cibernetică pe care o organizație le folosește deja. Majoritatea echipelor au deja sisteme care generează semnale utile: alerte de monitorizare, rezultate ale scanărilor de vulnerabilități, inventare de active, note privind incidentele, revizuiri ale accesului, indicatori de informații despre amenințări, registre de instruire, tichete de remediere și constatări ale testelor de penetrare. Întrebarea practică este dacă acele semnale devin dovezi verificabile.
Proiectul urmează un parcurs operațional clar. Mai întâi, activitatea de securitate produce artefacte. Apoi acele artefacte sunt captate, normalizate, etichetate și legate de controalele relevante. AI-ul ajută propunând clasificări, rezumate și relații. Revizorii umani aprobă, corectează sau resping acele propuneri. Dovezile aprobate devin parte dintr-un pachet de dovezi, iar aceeași pistă de dovezi poate susține ulterior auditul, raportarea către conducere, urmărirea remedierii și îmbunătățirea continuă.
Figura 3. AI-ul accelerează cartografierea și rezumarea, în timp ce oamenii aprobă înregistrarea dovezilor și rămân la control.
Acest proces transformă semnalele operaționale împrăștiate într-o postură de conformitate care poate fi inspectată. Un eveniment de monitorizare devine mai mult decât o linie de jurnal. O vulnerabilitate devine mai mult decât un export de scaner. O acțiune de remediere devine mai mult decât un tichet marcat „finalizat”. O campanie de instruire devine mai mult decât un număr de participanți. Fiecare element poate fi conectat la controale, sisteme, responsabili, aprobări și pachete de dovezi.
Rezultatul este o trecere de la conformitate ca reconstituire periodică la conformitate ca strat viu de dovezi. În loc să se pregătească de la zero pe măsură ce se apropie un audit, organizația poate menține o imagine în continuă îmbunătățire a ceea ce a fost evaluat, a ceea ce a fost remediat, a ceea ce rămâne deschis și a dovezilor care susțin fiecare obligație.
O arhitectură stratificată de securitate și conformitate
NIS2COMPASS combină mai multe straturi complementare. Stratul de guvernanță și conformitate cartografiază politicile, procedurile, controalele și pachetele de dovezi. Graful de dovezi oferă legătura structurată dintre faptele tehnice și cerințele de reglementare. Stratul de monitorizare și informații despre amenințări sprijină detecția timpurie, corelarea evenimentelor, indicatorii relevanți pentru sector și regulile de detecție. Stratul de validare și reziliență aduce testarea de penetrare, simulările de breșe, trierea vulnerabilităților și verificarea remedierii în aceeași pistă de dovezi. Stratul factorului uman conectează activitatea de conștientizare, simulările de phishing, instruirea pe roluri și îmbunătățirea comportamentală la controalele relevante pentru NIS2.
Această arhitectură este intenționat practică. Conformitatea NIS2 nu poate fi rezolvată doar prin redactarea de politici. De asemenea, nu poate fi rezolvată doar prin instrumente tehnice. Valoarea reală apare atunci când guvernanța, monitorizarea, validarea, conștientizarea, remedierea și dovezile de audit se consolidează reciproc.
AI STM Learning coordonează arhitectura de conformitate și de dovezi: Graful de dovezi, cartografierea controalelor asistată de AI, fluxurile de aprobare umană, pachetele de dovezi pregătite pentru audit, logica de trasabilitate și coordonarea proiectului. SmartClover contribuie cu capacitate operațională de securitate cibernetică și de diseminare, incluzând dovezi de monitorizare, alinierea informațiilor despre amenințări, evaluarea vulnerabilităților și coordonarea testelor de penetrare, verificarea remedierii, activitatea de conștientizare și comunicarea sigură pentru public.
Împreună, consorțiul acoperă întregul parcurs de la arhitectura dovezilor la validarea operațională. Scopul nu este să producem încă un raport izolat. Scopul este să creăm un model repetabil care ajută IMM-urile să treacă de la o activitate de securitate fragmentată la o pregătire NIS2 demonstrabilă.
De ce AI trebuie să rămână aproape de dovezi
Există o scurtătură tentantă, dar periculoasă, în automatizarea conformității: generezi un raport bine pus la punct și îl numești pregătire. NIS2COMPASS urmează o cale diferită. Un raport generat este util doar dacă organizația poate inspecta artefactele sursă din spatele lui. Starea unui control are sens doar dacă sistemul poate arăta de ce este justificată acea stare. Un rezumat este demn de încredere doar dacă rămâne conectat la dovezi, la deciziile revizorului, la marcajele temporale și la proveniență.
De aceea NIS2COMPASS se concentrează pe evidence-linked AI, mai degrabă decât pe text de conformitate fără ancoră. AI-ul poate ajuta la clasificare, rezumare, normalizarea terminologiei și reducerea efortului manual. Dar valoarea durabilă vine din înregistrarea structurată de dedesubt: graful, legăturile către sursă, metadatele, istoricul aprobărilor și verificările de integritate.
Acest design este important și pentru suveranitatea datelor. Datele de securitate cibernetică sunt sensibile. Jurnalele pot dezvălui arhitectura sistemelor. Detaliile vulnerabilităților pot deveni îndrumar pentru atacatori. Metricile de conștientizare pot ridica preocupări de confidențialitate dacă sunt tratate fără grijă. De aceea, NIS2COMPASS urmează o mentalitate de tip on-prem mai întâi sau hibrid controlat, în care datele sensibile rămân în perimetrul controlat al organizației, iar rezultatele publice sunt igienizate, agregate sau sintetice, după caz.
Ghiduri de dovezi adaptate sectorului
NIS2COMPASS este construit pentru a fi transversal pe sectoare, dar nu generic. Aceeași obligație de reglementare poate necesita dovezi diferite în contexte operaționale diferite.
În MedTech și producție, pista de dovezi poate implica modificări de software și firmware, practici de dezvoltare securizată, controale ale furnizorilor, înregistrări de validare și testare, considerații privind mediul de producție, instruire pe roluri, răspuns la incidente și interfețe de management al calității. În infrastructura digitală și găzduire, pista de dovezi se poate concentra mai puternic pe inventare de active, guvernanța accesului, întărirea serverelor, reziliența copiilor de rezervă, pregătirea împotriva atacurilor DDoS, izolarea clienților, dovezi de capacitate, starea patch-urilor și manualele de răspuns la incidente.
Figura 4. NIS2COMPASS folosește același cadru de dovezi în toate sectoarele, adaptând în același timp tiparele de dovezi la realitățile specifice fiecărui domeniu.
De aceea NIS2COMPASS produce ghiduri sectoriale reutilizabile, mai degrabă decât o singură listă de bifat universală. Tiparul comun este Graful de dovezi, dar dovezile în sine rămân adaptate sectorului. Proiectul validează abordarea în medii de producție și de infrastructură digitală și extinde implicarea sectorială prin ecosistemul MedTech.
SmartClover aduce în această activitate experiență în AI pentru sănătate reglementată, prin activitatea sa publică legată de fluxurile de lucru AI conduse de clinicieni, CerviGuard, DataGems și materialele de produs orientate spre încredere. Acel context se aliniază în mod natural cu accentul pus de NIS2COMPASS pe dovezi controlate, revizuire umană, design conștient de confidențialitate și divulgare responsabilă.
Ce ar trebui să fie public și ce trebuie să rămână privat
Un proiect de securitate cibernetică nu ar trebui să creeze un nou risc de securitate cibernetică prin propria sa comunicare. De aceea, NIS2COMPASS separă metodologia publică de dovezile operaționale sensibile.
Rezultatele publice pot include ghiduri reutilizabile, exemple sintetice, descrieri de scheme, note de metodologie, tipare de instruire, lecții privind pregătirea sectorială și explicații despre modul în care ar trebui structurate dovezile. Aceste materiale pot ajuta IMM-urile să înțeleagă cum să își organizeze pregătirea NIS2 fără a expune slăbiciuni specifice proiectului-pilot.
Rezultatele private trebuie să rămână private. Vulnerabilitățile brute, detaliile de exploatare, arhitectura internă, credențialele, datele cu caracter personal, slăbiciunile specifice proiectului-pilot, jurnalele operaționale și detaliile sensibile de remediere nu ar trebui să apară în diseminarea publică. Ele aparțin mediilor controlate, fiind partajate doar cu părțile interesate autorizate, în conformitate cu procedurile convenite de divulgare responsabilă și de control al accesului.
Această distincție este centrală atât pentru o securitate cibernetică responsabilă, cât și pentru un AI responsabil. Permite proiectului să partajeze ceea ce este util, protejând în același timp organizațiile și sistemele care sunt îmbunătățite.
Către Compliance-as-a-Service
Ambiția pe termen mai lung pentru NIS2COMPASS este un model repetabil de Compliance-as-a-Service pentru organizațiile care au nevoie de sprijin NIS2, dar nu pot construi de la zero o capacitate completă de automatizare a conformității.
Un model de serviciu practic ar ajuta o organizație să stabilească o linie de bază, să identifice lacunele, să capteze dovezi, să conecteze artefactele la zonele de control NIS2, să aprobe cartografierile, să monitorizeze îmbunătățirile, să valideze reziliența, să instruiască personalul și să mențină în timp pachete de dovezi pregătite pentru audit. Acest lucru este mai util decât un raport de conformitate punctual, deoarece tratează securitatea și conformitatea ca pe o postură operațională vie.
Pentru IMM-urile din sectoarele esențiale și importante, această distincție contează. Multe nu au nevoie de mai mult limbaj abstract de conformitate. Au nevoie de o modalitate de a transforma munca de securitate pe care o desfășoară deja — și îmbunătățirile pe care încă trebuie să le facă — în dovezi structurate, verificabile și demne de încredere.
O busolă pentru o securitate cibernetică verificabilă
NIS2COMPASS este construit în jurul unei idei simple: munca de securitate cibernetică devine mai valoroasă atunci când poate fi dovedită.
Dovada nu vine dintr-un dosar de documente sau dintr-un rezumat generat de AI luat separat. Vine dintr-un strat de dovezi structurat care conectează controale, sisteme, artefacte, persoane, revizuiri, acțiuni de remediere și marcaje temporale. Vine dintr-un AI care ajută experții să lucreze mai rapid, rămânând în același timp aproape de datele sursă. Vine din aprobarea umană, din trasabilitate și dintr-o separare atentă între cunoștințele publice și detaliile private, sensibile din punct de vedere al securității.
Acesta este rolul NIS2COMPASS: să ajute organizațiile să treacă de la o activitate fragmentată la o practică de securitate cibernetică verificabilă. Busola nu înlocuiește responsabilitatea, iar AI-ul nu înlocuiește judecata expertului. Dar, împreună, arhitectura dovezilor, securitatea cibernetică operațională și AI-ul revizuit de oameni pot face pregătirea NIS2 mai clară, mai măsurabilă și mai demnă de încredere.
Lectură suplimentară: AI STM Learning, CLARA by stm.ai, SmartClover, Prezentarea generală a Directivei NIS2 a Comisiei Europene și Întrebări frecvente despre NIS2 ale Comisiei Europene.