Перейти к основному содержанию Перейти к навигации Перейти к нижнему колонтитулу
Ограниченное время: Программа Design Partner — тариф BUSINESS навсегда
By Muhammed Fatih Bayraktar Published Category guide

Что покупатели рассказали нам в первом аудиторском цикле NIS2

Пять инструментов соответствия, которые средний бизнес тихо собирает в 2026 году, что объединяет self-hosted control plane и какие статьи расходов останутся у вас в любом случае.

#nis2#buyer-guide#compliance#cost#mid-market

TL;DR. Первый цикл аудитов NIS2 для немецкой волны уже позади. Все покупатели, с которыми мы разговаривали с декабря, описывают одну и ту же картину: пять инструментов, три контракта, два пересекающихся журнала аудита и одна проблема, которую им не удаётся закрыть. Этот пост представляет структурную версию тех разговоров. Что объединяет self-hosted control plane, что остаётся в бюджете в любом случае и почему правильная постановка вопроса для цикла перезаключения контрактов в 2026 году — не “дешевле, чем Veeam”, а “меньше записей в реестре, меньше пересечений, те же пробелы названы честно”.

  • Frontier Economics оценила общеевропейские затраты на соответствие NIS2 в EUR 31,2 млрд в год. Реальность для среднего бизнеса: “у нас уже был стек безопасности; NIS2 показал, чего в нём не хватает”.
  • Пятиинструментный стек: backup, DR, маскировка или тестовые данные, контракт на пен-тест, GRC. Каждый выполняет часть задачи. Ни один не закрывает всё.
  • Rediacc объединяет backup, DR, fork-as-test-data и мгновенное восстановление в один control plane с единым журналом аудита. GRC, сертификации, обучение, широкое применение MFA, пен-тестирование, SIEM и SOC — вне его периметра.
  • Честная таблица “остаётся у вас” — это структурная ценность этого поста. Покупатель, который после её прочтения решит, что Rediacc заменяет Drata, разочарует своего аудитора.

В декабре 2025 года BSI в Германии выслал 47 официальных уведомлений организациям, которые находились в периметре NIS2, но не прошли регистрацию. ANSSI во Франции начал параллельную процедуру. ACN в Италии занялся примерно 2 000 незарегистрированных организаций. Первая волна существенных и важных субъектов среднего рынка вошла в первый аудиторский цикл NIS2.

С тех пор мы провели переговоры приблизительно с тридцатью из них. Разные отрасли, разные размеры, преимущественно Германия и Италия с несколькими компаниями из Нидерландов и Эстонии. Разговоры звучат похоже. У каждой команды есть поставщик резервного копирования, план DR, который, возможно, никогда не тестировался, история про тестовую среду, наполовину соответствующая действительности, и закупочный бюджет, утверждённый до того, как NIS2 появился в чьей-либо презентации.

Этот пост — структурная версия тех разговоров. Что CFO или покупатель фактически подписывает в 2026 году, что self-hosted control plane меняет в статьях расходов и как выглядят честные остаточные затраты. Это намеренно не калькулятор TCO. Покупателям, с которыми мы разговариваем, не нужна ещё одна таблица; им нужна структурная карта того, куда уходят деньги и какие статьи пересекаются.

Если вас интересует аргумент в пользу рисков цепочки поставок, стоящий за тезисом “self-hosted имеет значение”, см. сопутствующий пост о статье 21(2)(d). Если вас интересует аргумент уровня SRE о том, почему ежегодных пен-тестов больше недостаточно, см. сопутствующий пост о непрерывной эффективности. Этот пост находится между ними — на уровне разговора о бюджете.

Макроцифра: что она означает и чего не означает

Исследование Frontier Economics 2024 года, выполненное для Европейской комиссии, оценило прямые ежегодные затраты на соответствие NIS2 по всему ЕС в EUR 31,2 млрд. Эта цифра широко цитируется; она также широко интерпретируется неверно.

EUR 31,2 млрд распределены между примерно 160 000 существенных и важных субъектов. В пересчёте на организацию средние значения находятся в диапазоне EUR 150 000 — EUR 250 000, при этом основную часть разброса определяют отрасль и размер компании. Существенный субъект среднего рынка с 250 сотрудниками в производстве или здравоохранении располагается ближе к верхней границе диапазона. Важный субъект с 60 сотрудниками в менее data-интенсивной отрасли — ближе к нижней.

Собственное руководство ENISA по затратам на внедрение (Приложение IV к Implementing Regulation (EU) 2024/2690) согласуется с цифрой Frontier, но делит её по-другому: примерно 35—45 процентов на инструменты, 30—40 процентов на персонал и обучение, 15—20 процентов на сертификацию и аудит, 5—10 процентов на ретейнеры по реагированию на инциденты и управляемые сервисы.

Что это означает для CFO, подписывающего бюджет 2026 года: слой инструментов составляет примерно EUR 50 000 — EUR 120 000 в год для среднего рынка в зависимости от того, что уже есть. Этот слой мы и разберём.

Чего это не означает: что покупка готового NIS2-бандла решает проблему. Бюджеты на обучение персонала и сертификацию у большинства команд превышают бюджет на инструменты, и ни один поставщик инструментов их не снижает. Торговое предложение, заявляющее о снижении затрат на NIS2 на 50 процентов, почти всегда считает от строки “только инструменты”, а не от полной стоимости программы.

Пятиинструментный стек, который средний рынок тихо собрал

Во всех тридцати разговорах с покупателями стек выглядит одинаково в 90 процентах случаев. Пять категорий, по одному-двум именованным поставщикам в каждой. Названия категорий устойчивы; выбор поставщиков варьируется.

1. Поставщик резервного копирования. Наиболее распространённый ответ — Veeam Data Platform Foundation или Premium. У компаний меньшего размера — Cohesity DataProtect, Rubrik Security Cloud, Commvault, Acronis Cyber Protect. Годовая стоимость в диапазоне EUR 15 000 — EUR 60 000 для среднего рынка. Как правило, самая давняя статья расходов; появилась задолго до NIS2.

2. DR-площадка или DR-as-a-service. Это может быть вторичный облачный регион с runbook, аренда Veeam Cloud Connect или Rubrik Cloud Vault либо контракт с управляемым провайдером DR. Годовая стоимость EUR 8 000 — EUR 35 000. На практике тестируется редко; runbook обычно носит скорее декларативный, нежели операционный характер.

3. Инструмент тестовых данных или маскировки данных. Enterprise-стандарт — Delphix (теперь Perforce DevOps Data). Также Tonic.ai, Redgate Test Data Manager, иногда самописный rsync-and-mask-скрипт. Годовая стоимость лицензионных вариантов EUR 25 000 — EUR 90 000. У большинства команд в наших разговорах этой статьи расходов нет; вместо неё — тестовая среда, которую они надеются считать достаточной. Именно разговор в ходе аудита по статье 21(2)(e) переносит её в бюджет.

4. Контракт на пен-тест. Ретейнер с компанией по тестированию безопасности или автономная платформа — Pentera или Horizon3.ai. Годовая стоимость EUR 15 000 — EUR 50 000 для автономных инструментов, EUR 20 000 — EUR 80 000 для работы с участием людей. Большинство команд это имеют. Большинство проводит один-два пен-теста в год.

5. GRC-платформа. Drata, Vanta, OneTrust, AuditBoard, Hyperproof, DataGuard, Kertos. Иногда самодельная таблица у самых маленьких команд. Годовая стоимость EUR 12 000 — EUR 60 000. Применяется для реестра поставщиков, аттестации системы контролей, сбора доказательств и (всё чаще) поддержки аудитов SOC 2 или ISO 27001.

Пять статей расходов, три-пять именованных поставщиков, как правило EUR 75 000 — EUR 295 000 в год до учёта персонала и обучения. Разброс велик, но структура устойчива.

Пять контрактов зачастую не интегрированы между собой. Журналы аудита не унифицированы. Планы выхода пишутся отдельно. Проверки поставщиков проводятся отдельно, иногда разными специалистами по закупкам. Это структурная форма, которую NIS2 делает неудобной.

Где находятся пересечения

Каждая категория стека пересекается как минимум с одной другой.

Backup пересекается с DR. Все современные поставщики резервного копирования заявляют о возможностях DR. Veeam Data Platform с Cloud Connect — это DR-продукт. Rubrik с Cloud Vault — это DR-продукт. Две статьи расходов нередко оплачивают смежные возможности одного и того же поставщика. Покупатели, исторически не объединявшие эти статьи, имели операционные основания для этого (отдельные команды, отдельные SLA); при требовании NIS2 к “единому источнику истины для восстановления” это обоснование слабеет.

Backup пересекается с тестовыми данными. Veeam Instant Recovery, Rubrik Live Mount, Cohesity SmartFiles — все предоставляют ту или иную форму монтируемой резервной копии для тестирования. Они не являются полноценной заменой Delphix (слой маскировки отдельный, интеграция с базами данных поверхностнее), но для многих задач работы с тестовыми данными инструмент резервного копирования — это половина ответа. Большинство команд этого не осознают.

Пен-тест пересекается с автономным тестированием. Ретейнерный пен-тест с участием людей и непрерывное тестирование в стиле Pentera иногда позиционируются как альтернативы, иногда как дополнения. На практике покупатель, имеющий оба варианта, платит дважды за смежные возможности. Покупатель, не имеющий ни того ни другого, имеет пробел по статье 21(2)(f).

GRC пересекается со всем. Drata заявляет об интеграции с backup, DR, identity, vulnerability management, обучением и реагированием на инциденты. Глубина интеграций различается. GRC-платформа с поверхностной интеграцией с инструментом резервного копирования производит доказательства соответствия, не эквивалентные собственным доказательствам этого инструмента; аудиторы всё чаще задают вопрос о том, какой из них является каноническим.

Пересечения — не расточительство. Это следствие стека, который собирался в течение десятилетия, до того как NIS2 сделал вопрос консолидации структурным.

Где находятся пробелы

Пробелы интереснее пересечений, поскольку именно пробелы обнажает NIS2.

Валидация патчей на реальных производственных данных. Ни одна из пяти категорий не решает эту задачу эффективно. Инструменты резервного копирования монтируют резервную копию; смонтированная среда — это восстановленная резервная копия, а не актуальный production. Инструменты тестовых данных маскируют production-данные; замаскированная среда реалистична по форме, но теряет дельты конфигурации. Контракты на пен-тест тестируют то, на что направлены, а это в 90 процентах случаев тестовая среда. Разрыв между “у нас есть инструменты” и “мы можем протестировать CVE-патч в среде, эквивалентной актуальному production, менее чем за час” — реальный и структурный.

Непрерывная оценка эффективности. Большинство команд работает в годовом ритме. Статья 21(2)(f) требует более высокой частоты. Ни одна из пяти категорий по умолчанию не производит еженедельные или двухнедельные доказательства. Покупатель либо проводит специальные учения (редко, дорого), либо принимает годовой ритм и надеется, что аудитор его примет (всё чаще — нет).

Коллапс реестра цепочки поставок. Каждый из пяти поставщиков — это отдельная запись в реестре. Каждый несёт собственный DPA, SCC, список субпроцессоров и план выхода. Реестр уже содержит пять записей первого уровня до добавления инструментов обучения персонала, identity-инструментов, инструментов observability и IaaS. Разговор о цепочке поставок в терминах NIS2 — это разговор об управлении реестром не в меньшей степени, чем о безопасности. (Структурный аргумент см. в посте о цепочке поставок.)

Процедура отчётности по статье 23. 24-часовое раннее предупреждение, 72-часовое уведомление и отчёт через месяц не производятся автоматически ни одной из пяти категорий. Для этого требуются SIEM, SOC (внутренний или аутсорсинговый) и специалист, умеющий подавать отчёты в национальный CSIRT. Небольшие команды зачастую не имеют этого. Первый инцидент становится болезненным учебным опытом.

Что объединяет Rediacc

Rediacc — это один control plane с унифицированным журналом аудита, заменяющий основные возможности четырёх из пяти категорий для self-hosted инфраструктуры.

Backup: “горячие” (crash-consistent BTRFS-снимок, без downtime) и “холодные” (app-consistent stop-snapshot-start) стратегии резервного копирования, планируемые через systemd timers, мультиадресные через rclone. Тома зашифрованы с помощью LUKS; учётные данные хранятся у оператора; Rediacc как компания никогда не видит данные в открытом виде. Операционную форму см. в Backup & Restore и Cross Backup Strategy.

DR: тот же примитив, что и backup, плюс rdc repo migrate для перемещения данных между машинами, плюс примитив fork для быстрого развёртывания восстановленного состояния на параллельной машине. DR-площадкой может быть другая машина Hetzner, машина OVH, стойка on-prem — везде, куда достигает SSH. Облако DR-поставщика не включено в путь данных.

Тестовые данные и полное клонирование стека: fork на основе BTRFS reflink, постоянное время независимо от размера репозитория, полный стек (данные, конфигурации, состояние контейнеров, сервисы). 7,2 секунды для форка репозитория объёмом 128 ГБ в нашем тесте PocketOS. Fork — это актуальный production, а не урезанная тестовая среда. См. Risk-Free Upgrades.

Мгновенное восстановление: rdc repo backup pull из любой rclone-цели в свежий fork, запускаемый на поддомене, специфичном для fork, покрытом wildcard-сертификатом родительского репозитория. Никакой возни с DNS и сертификатами.

Унифицированный журнал аудита: более 70 типов событий, охватывающих весь control plane (аутентификация, API-токены, записи конфигурации, жизненный цикл репо, backup, синхронизация, терминальные сессии, операции с машинами). Hash-цепочки на рабочей станции оператора; rdc audit verify проверяет целостность сквозным образом.

Для существенного субъекта среднего рынка с 250 сотрудниками консолидация происходит от четырёх именованных поставщиков (backup, DR, тестовые данные, мгновенное восстановление) до одного. Одна лицензия, один журнал аудита, один набор решений по обновлению, одна запись в реестре.

Пятая категория, GRC, не объединяется. К этому вернёмся.

Что остаётся в вашем бюджете в любом случае

Этот раздел определяет, является ли остальная часть поста честной. Таблица из двух колонок:

Устраняет RediaccПо-прежнему остаётся у вас, статья за статьёй
Лицензия на backup-поставщикаGRC-платформа (Drata, Vanta, OneTrust, AuditBoard, DataGuard) для реестра поставщиков, аттестации системы контролей, сбора доказательств и поддержки аудитов SOC 2 или ISO 27001
Контракт на DR-площадку или аренда DR-as-a-serviceЗатраты на сертификационный аудит (ISO 27001, SOC 2, BSI C5, если необходимо; Rediacc пока не сертифицирован, поэтому эти расходы остаются на вас)
Лицензия на инструмент тестовых данных или маскировкиБюджет на обучение персонала и информирование о безопасности (NIS2 Article 21(2)(g))
Лицензия на мгновенное восстановление у backup-поставщикаШирокое корпоративное MFA-решение; у Rediacc есть TOTP на портале, но не корпоративная MFA-платформа
Контракт на пен-тест или автономная тестовая платформа; Rediacc предоставляет целевую среду, а не возможности тестирования
SIEM и SOC для обнаружения инцидентов и отчётности по статье 23; Rediacc предоставляет артефакты судебно-криминалистического качества, а не операционный слой отчётности
IaaS-провайдер (Hetzner, OVH, ваш colocation, ваше bare metal); Rediacc работает поверх инфраструктуры, а не вместо неё
Персонал, ведущий программу. Rediacc — это слой инструментария, а не команда безопасности

Правая колонка длиннее левой. Такова честная форма того, во что обходится NIS2. Устранение пересечения backup-DR-тестовые данные экономит реальные деньги и реальные записи в реестре; это не превращает программу безопасности в SaaS-подписку.

Покупатель, который после прочтения этого текста заключит “Rediacc может заменить Drata”, разочарует своего аудитора. Правильное прочтение таково: консолидация data-plane-поставщиков, которую обеспечивает Rediacc, — это то, чего не могут GRC-инструменты, а работа с реестром и доказательствами, которую выполняют GRC-инструменты, — это то, чего не делает Rediacc. Они дополняют друг друга.

Публичное соответствие возможностей статьям NIS2 см. в NIS2 and DORA. Более широкое архитектурное обоснование см. в Compliance Overview. Коммерческие детали по Rediacc см. в Subscription & Licensing.

Референсный сценарий: структурный, а не цифровой

Возьмём немецкую производственную компанию с 250 сотрудниками. Классификация по Приложению II — “важный субъект”. Производственные данные на 4—6 серверах, преимущественно self-hosted с одним-двумя SaaS-инструментами (CRM, расчёт заработной платы). Годовая выручка EUR 80 млн. Действующая команда безопасности из 3 человек.

До — стек data-plane:

  • Veeam Data Platform Foundation, EUR 24 000/год
  • Veeam Cloud Connect для DR, EUR 12 000/год
  • Самодельная схема rsync-plus-pg_dump для тестовых данных — бесплатная по лицензии, но требующая полдня работы SRE каждые две недели
  • Ежегодный пен-тест, EUR 22 000
  • Drata для GRC, EUR 18 000/год

Пять контрактов. Два из них (Veeam, Veeam Cloud Connect) — с одним поставщиком, но по разным SKU. Статьи data-plane суммарно составляют EUR 36 000/год без учёта пен-теста и GRC. Команда проводит ежегодный тест восстановления, не имеет непрерывных доказательств эффективности и ведёт реестр поставщиков с пятью записями только на стороне data-plane.

После — Rediacc на Hetzner для self-hosted нагрузок:

  • Rediacc Business tier, EUR 8 400/год (покрывает их объём репозитория)
  • Hetzner IaaS для основной и резервной площадки, EUR 9 600/год суммарно (уже в бюджете; новая статья не добавляется)
  • Контракт на пен-тест остаётся (EUR 22 000)
  • Drata остаётся (EUR 18 000)
  • Самодельная схема тестовых данных выводится из эксплуатации; полдня SRE каждые две недели теперь уходит на проведение еженедельной процедуры проверки эффективности

Консолидация data-plane: 5 статей сводятся к 1 (Rediacc) плюс существующая строка IaaS. Раздел data-plane в реестре поставщиков сокращается с 5 записей до 2. История непрерывной эффективности теперь — это еженедельные учения с доказательствами из журнала аудита с hash-цепочками; история тестов восстановления подкреплена выводом rdc machine backup status и еженедельными учениями по восстановлению.

Цифры носят иллюстративный, а не гарантийный характер. Ваш стек иной. Форма — четыре-пять статей, сводящихся к одной плюс существующий IaaS, — такова в реальных разговорах с покупателями.

Что этот пост не является

Этот пост не является опровержением Veeam или калькулятором TCO. Veeam удерживает наибольшую долю рынка VM-backup в Европе по веским причинам: их продукт зрелый, партнёрская сеть широкая, маркетинг NIS2 сильный, и покупатель, выбирающий Veeam в 2026 году, не совершает ошибки. Цифры в референсном сценарии носят иллюстративный характер, взятый из реальных разговоров с покупателями, а не из бенчмарков. Проведите структурный анализ применительно к своим собственным контрактам.

Что этот пост собой представляет: взгляд покупателя для CFO, который ведёт переговоры о перезаключении контракта на backup, DR или соответствие требованиям в ближайшие двенадцать месяцев и хочет понять, что self-hosted control plane меняет в статьях расходов.

Что делать дальше

Если вы входите в цикл перезаключения контрактов и бюджет открыт, три конкретных действия:

  1. Выгрузите три самые крупные статьи прошлогоднего бюджета на безопасность и инфраструктуру. Направьте их вашему DPO, CISO и аудитору. Спросите, какие из них были избыточны ещё до того, как NIS2 это обнажил. Большинство команд находят как минимум одно пересечение, за которое платят.
  2. Сопоставьте ваш текущий data-plane стек с приведённым выше списком пяти категорий. Отметьте, в каких категориях у вас один поставщик, в каких — два, а в каких — ни одного. Ячейки “ни одного” — это пробелы, которые NIS2 обнажит.
  3. Проведите упражнение по реестру поставщиков из поста о цепочке поставок для каждого data-plane-поставщика. Подсчитайте записи в реестре. Как правило, их оказывается больше, чем ожидала команда.

Если мы в шорт-листе, предложение конкретно. Пришлите три самые крупные статьи прошлогоднего бюджета на безопасность и инфраструктуру. Мы письменно укажем, какие из них можно объединить, а какие нельзя, — в течение недели. Ответ будет включать пробелы, потому что честное называние пробелов делает остальную часть ответа заслуживающей доверия.

По вопросам бесплатного резервного копирования (архитектурный аргумент в пользу того, почему мы работаем легче конкурентов на стороне хранения), Cross Backup Strategy (межконтинентальный DR) и Subscription & Licensing (коммерческая сторона) см. соответствующую документацию.