COMPLIANCE — udowodnij zgodność
Filar COMPLIANCE tłumaczy stan techniczny na język regulacji — z dowodami, artykuł po artykule. To różnica między „mamy jakieś bezpieczeństwo" a „oto dowód zgodności z NIS2 Art. 21(2)(e)".
NIS2 i DORA — poziom artykułu
ZEUS scoruje żywą postawę względem każdego artykułu dyrektywy/rozporządzenia:
- NIS2 — Art. 21(2)(a)–(j) (10 podpunktów) + Art. 23 (zgłaszanie incydentów),
- DORA — Art. 5-15 (ramy zarządzania ryzykiem ICT), 17-23 (testy odporności), 28-31 (ryzyko stron trzecich).
Każda kontrola ma ślad dowodowy (nazwa sygnału + próg + status) i agregację „worst-of" (status = najgorszy z sygnałów), więc wynik jest obronny przed audytorem:
Art. 21(2)(e) — Vulnerability handling and disclosure
status: partial
evidence:
- { signal: critical_vulns, status: partial, text: "2 critical CVE (w progu 3)" }
- { signal: monitoring_active, status: compliant, text: "47 aktywnych agentów Wazuh" }
ISO 27001 + CIS
ISO 27001:2022 (rodziny kontroli Annex A), CIS Critical Security Controls v8 oraz CIS Benchmarks per-OS. Dowody linkowane w czasie rzeczywistym z sygnałów (Wazuh SCA, skany CNAPP, posture chmury). Plus mapowanie UKSC (polska implementacja NIS2).
Custom Frameworks (SCAP / OSCAL)
Wgrywasz własny framework — branżowy (HIPAA, IEC 62443) lub wewnętrzny:
- ingest SCAP XCCDF (.xml) oraz OSCAL (JSON),
- mapowanie kontroli na zapytania sygnałów,
- multi-tenant (każdy klient ma własny zestaw frameworków).
Reports & Audit Exports
Raporty na żądanie i zaplanowane — PDF/JSON/CSV dla audytorów, regulatorów, zarządu:
- raport incydentu NIS2 Art. 23 (24h/72h/finalny),
- raport „Major ICT Incident" DORA,
- pakiet management review ISO 27001,
- miesięczny executive summary dla CISO.
Wskazówka demo: pokaż zakładkę Articles w studiu Compliance — to nasz wyróżnik. Konkurencja zwykle mapuje na „domeny", my schodzimy do artykułu z dowodem na żywo.
Compliance w ZEUS jest ciągłe, nie raz-na-kwartał. To zamienia „pożar przed audytem" w eksportowalny PDF odświeżany codziennie.