NIS2 самооценка за първоначална готовност
Тази самооценка помага да видите дали темата за NIS2 е подредена като реална управленска и оперативна готовност, а не само като документално усилие.
Преминавате през ключови области като управление, риск, достъп, инциденти, непрекъсваемост, доставчици и доказателства.
Резултатът не замества пълен одит или правна оценка, но дава практична отправна точка за разговор за пропуски, приоритети и следващи действия.
NIS2 готовност
Проверете дали организацията има подредени роли, мерки, процеси, доставчици и доказателства за първоначална NIS2 готовност.
8-10 минути
Кратък входен преглед, който помага да видите основните пропуски без тежък одитен процес.
20 въпроса
Въпросите подреждат темата през практически сценарии, зависимости, готовност и следващи действия.
7 секции
Секциите помагат резултатът да не бъде общ, а разпределен по области, които могат да се обсъдят и проверят.
Основен фокус
Управление, обхват и отговорности
Следваща посока
Риск, достъп, инциденти и непрекъсваемост
Практичен резултат
Доставчици, доказателства, регистрация и надзор
Резултатът е ориентир за действие
След попълване ще имате по-ясна картина кои теми изискват приоритет: риск, достъп, бекъп, възстановяване, NIS2 готовност или оперативна устойчивост.
Прогрес
Попълнени 0 от 20 въпроса
Резултатът се обновява веднага. Отговорите „Н/П" не участват в крайния процент, когато даден въпрос не е приложим за вашия обхват.
Текущ резултат
0%
Управление, обхват и отговорности
Тази секция проверява дали NIS2 темата е подредена като управленска отговорност, а не само като техническа задача.
Ясно ли е дали организацията попада в обхвата на NIS2?
Нужно е да има преценка за сектора, услугите, размера, ролята във веригата на доставки и регулаторния контекст.
Има ли ясно определена отговорност на ръководството за управление на киберриска?
NIS2 изисква темата да бъде управлявана на ниво организация, а не да остане само в ИТ екипа.
Определени ли са конкретни роли за координация, изпълнение и проследяване на мерките?
Трябва да е ясно кой отговаря за риска, инцидентите, доставчиците, доказателствата и комуникацията.
Управление на риска и политики
Тук се вижда дали организацията има подреден модел за оценка на риска и работещи правила за защита на информацията.
Има ли приети мерки за управление на риска, одобрени и разбираеми за организацията?
Мерките трябва да са свързани с реалните системи, процеси, данни и зависимости, а не да бъдат само формален документ.
Има ли политика за анализ на риска и сигурност на информацията?
Политиката трябва да описва как се оценяват рисковете, как се избират мерки и как се проследява изпълнението им.
Оценява ли се периодично дали въведените мерки реално работят?
Не е достатъчно мерките да съществуват на хартия. Нужно е да има проверка, преглед и корекция при промени или слаб резултат.
Достъп, системи и технически мерки
Тази секция проверява дали основните технически контроли намаляват риска от компрометирани акаунти, неоторизиран достъп и прекъсване на системи.
Има ли подреден контрол на достъпа до системи, данни и администраторски акаунти?
Достъпът трябва да се дава според реална нужда, с отделени роли и по-строг контрол върху привилегированите права.
Използва ли се многофакторна автентикация и защитена комуникация за критични акаунти и услуги?
МФА и защитените канали намаляват риска от компрометирани пароли, неоторизиран достъп и злоупотреба с акаунти.
Има ли мерки за сигурност при придобиване, разработка, промяна и поддръжка на системи?
Промените в системи, приложения и инфраструктура трябва да се управляват така, че да не създават нови критични слабости.
Инциденти, уведомяване и координация
Тук се проверява дали организацията може да реагира навреме, да ограничи щетите и да подготви нужната информация при сериозен инцидент.
Има ли ясен процес за обработка, ескалация и управление на киберинциденти?
Трябва да е ясно кой открива, кой оценява, кой взема решения и кой координира реакцията при инцидент.
Подготвен ли е ред за ранно предупреждение при значим инцидент?
При сериозен инцидент организацията трябва бързо да прецени дали има задължение за ранно уведомяване и каква информация да подаде.
Ясно ли е как се подготвят последващо уведомление и финален доклад за инцидент?
Освен първоначална реакция е нужна проследимост: какво се е случило, какви мерки са предприети и какъв е ефектът върху услугите.
Непрекъсваемост, бекъп и възстановяване
Тази секция оценява дали организацията може да продължи работа или да се възстанови при срив, криптовирус, човешка грешка или проблем с доставчик.
Има ли план за непрекъсваемост на работата и възстановяване при критичен инцидент?
Планът трябва да свързва критични процеси, системи, хора, доставчици и ред за възстановяване.
Проверява ли се дали бекъпът и възстановяването реално работят?
Нетестваният бекъп често създава фалшиво усещане за сигурност. Нужно е да се знае какво се възстановява, за колко време и с каква загуба на данни.
Доставчици и външни зависимости
Тук се вижда дали организацията управлява риска от външни услуги, партньори, подизпълнители и критични технологични зависимости.
Има ли регистър на критичните ИКТ доставчици и външни услуги?
Важно е да е ясно кои доставчици поддържат критични процеси, системи, данни или инфраструктура.
Оценяват ли се договорните изисквания и клаузи за сигурност към критични доставчици?
Договорите трябва да покриват отговорности, уведомяване при инцидент, защита на данни, достъп и очаквания при прекъсване.
Прави ли се предварителна проверка на критични доставчици във веригата на услуги?
Когато външен доставчик може да спре ключов процес, неговият риск става част от риска на организацията.
Доказателства, регистрация и надзор
Наличието на мерки не е достатъчно, ако организацията не може да покаже текущ статус, пропуски и предприети действия.
Може ли организацията да покаже текущ статус, пропуски и план за действие при проверка?
Нужно е да има ясна картина кое е изпълнено, кое е частично, кое липсва и какви действия са планирани.
Проверено ли е дали има задължение за регистрация или самоидентификация пред компетентен орган?
За засегнатите организации е важно да има яснота не само за мерките, но и за административните задължения.
Подготвени ли са актуални точки за контакт за комуникация при инцидент или регулаторна проверка?
Контактите трябва да са актуални, достъпни и известни на хората, които участват в реакция, уведомяване и координация.
Резултат
Висок риск
Ниво на готовност
Висок рискОбщ процент
0%
Попълнете въпросите, за да видите оценка на готовността.
Разбивка по секции
Управление, обхват и отговорности
0 / 3 въпроса
0%
Управление на риска и политики
0 / 3 въпроса
0%
Достъп, системи и технически мерки
0 / 3 въпроса
0%
Инциденти, уведомяване и координация
0 / 3 въпроса
0%
Непрекъсваемост, бекъп и възстановяване
0 / 2 въпроса
0%
Доставчици и външни зависимости
0 / 3 въпроса
0%
Доказателства, регистрация и надзор
0 / 3 въпроса
0%
Действие
Преведете NIS2 темата към практична следваща стъпка
Попълнете въпросите, за да получите конкретна препоръка.