Strona główna
Czy poprawnie wdrożyliśmy NIS-2? [ANKIETA SAMOOCENY]

Czy poprawnie wdrożyliśmy NIS-2? [ANKIETA SAMOOCENY]

Jeśli Twoja firma jeszcze nie rozpoczęła wdrożenia, skorzystaj z tej ankiety „Sprawdź, czy firma podlega pod dyrektywę NIS-2”

Dlaczego należy sprawdzić poprawność wdrożenia NIS 2?

NIS 2 istotnie zaostrza wymagania w zakresie zarządzania cyberbezpieczeństwem, a jednocześnie przesuwa ciężar odpowiedzialności bezpośrednio na kierownika jednostki, w praktyce: na zarząd. Brak spójnego i udokumentowanego systemu zarządzania ryzykiem cybernetycznym może skutkować nie tylko karami finansowymi, ale także osobistą odpowiedzialnością osób zarządzających. Weryfikacja wdrożenia pozwala zidentyfikować luki, które często pozostają niewidoczne przy „papierowym” spełnieniu wymogów, a ujawniają się dopiero w sytuacji incydentu lub kontroli.

Co należy sprawdzić, oceniając wdrożenie NIS 2?

Ocena wdrożenia NIS 2 powinna obejmować wszystkie kluczowe obszary wskazane w ustawie i dyrektywie, od zarządzania ryzykiem i ciągłości działania, przez obsługę incydentów i raportowanie do CSIRT, aż po bezpieczeństwo łańcucha dostaw, monitorowanie systemów czy edukację pracowników. Równie istotne są kwestie ładu organizacyjnego: zatwierdzone polityki, przypisane role i odpowiedzialności, udział zarządu w nadzorze nad bezpieczeństwem oraz gotowość do audytu. Ankieta pozwala spojrzeć na NIS 2 nie jak na zbiór pojedynczych obowiązków, lecz jak na spójny system dojrzałości organizacyjnej.

Kto powinien dokonać samooceny wdrożenia NIS 2?

Samoocena wdrożenia NIS 2 nie jest wyłącznie zadaniem działu IT czy cyberbezpieczeństwa. Ze względu na charakter regulacji powinna angażować osoby odpowiedzialne za obszary biznesowe, compliance, HR oraz, co kluczowe, zarząd. To właśnie kierownictwo jednostki odpowiada za nadzór, zatwierdzanie decyzji i zapewnienie adekwatnych zasobów. Ankieta została zaprojektowana tak, aby wspierać organizacje w rzetelnej ocenie poziomu dojrzałości i stanowić punkt wyjścia do dalszych działań: od usunięcia luk po przygotowanie do audytu ustawowego.

Odpowiedz na 20 pytań i otrzymaj wynik.

Skontaktuj się

Adam Woźniak

Partner

Czy poprawnie wdrożyliśmy NIS-2? ANKIETA SAMOOCENY

Skala: 1 = brak rozwiązań, 2 = fragmentaryczne, 3 = częściowe, 4 = zaawansowane, 5 = pełne

Instrukcja

Pytania

Wynik

Ankieta samooceny obejmuje 20 kluczowych obszarów wynikających bezpośrednio z wymogów znowelizowanej ustawy o KSC oraz dyrektywy NIS-2. Kwestionariusz został uzupełniony o pytania pomocnicze, które ułatwiają precyzyjne określenie stopnia dojrzałości organizacji w skali 1-5. Po odpowiedzi na pytania otrzymają Państwo wynik, który odzwierciedli poziom wdrożenia obowiązków nałożonych przez Dyrektywę NIS-2 i nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa.

Wdrożono proces systematycznego szacowania ryzyka incydentów dla wszystkich usług kluczowych.

Czy prowadzona jest analiza BIA (Business Impact Analysis)? Czy zidentyfikowano krytyczne procesy biznesowe?

1 2 3 4 5

Organizacja posiada kompletny i zatwierdzony zestaw polityk bezpieczeństwa systemów informacyjnych.

Czy polityki są regularnie przeglądane i komunikowane pracownikom oraz interesariuszom?

1 2 3 4 5

Posiadamy procedury wykrywania, rejestrowania i obsługi incydentów umożliwiające raportowanie w ustawowym czasie.

Czy wiemy jak zgłosić incydent do CSIRT w 24h (ostrzeżenie) i 72h (zgłoszenie)?

1 2 3 4 5

Plany ciągłości działania oraz odtwarzania po awarii (DRP) są udokumentowane i regularnie testowane.

Czy określono parametry RTO (czas odzyskiwania) i RPO (punkt odzyskiwania) dla systemów?

1 2 3 4 5

Umowy z dostawcami ICT zawierają precyzyjne wymogi bezpieczeństwa i podlegają ocenie ryzyka.

Czy oceniamy ryzyko związane z konkretnymi dostawcami produktów i usług ICT?

1 2 3 4 5

Prowadzona jest pełna i aktualna inwentaryzacja aktywów ICT (sprzęt, oprogramowanie, dane).

Czy każdy zasób ma przypisanego właściciela i klasyfikację wrażliwości danych?

1 2 3 4 5

W organizacji obowiązują i są egzekwowane podstawowe zasady cyberhigieny.

Czy ograniczamy instalowanie nieautoryzowanego oprogramowania? Czy wymuszamy silne hasła?

1 2 3 4 5

Dostęp do danych i systemów jest zarządzany centralnie w oparciu o uprawnienia minimalne (least privilege).

Czy konta byłych pracowników są niezwłocznie usuwane? Czy zarządzamy kontami uprzywilejowanymi?

1 2 3 4 5

Stosujemy uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich dostępów zdalnych i kont administratorów.

Czy MFA jest wymagane przy logowaniu do poczty i usług chmurowych?

1 2 3 4 5

Wdrożono polityki stosowania mechanizmów kryptograficznych i szyfrowania danych.

Czy dane wrażliwe są szyfrowane w spoczynku i podczas transmisji? Czy zarządzamy kluczami kryptograficznymi?

1 2 3 4 5

Infrastruktura sieciowa jest chroniona (firewalle, IPS) i odpowiednio segmentowana.

Czy oddzielono logicznie systemy krytyczne od sieci ogólnodostępnych?

1 2 3 4 5

Prowadzimy regularne skanowanie podatności oraz testy bezpieczeństwa systemów.

Czy wyniki testów penetracyjnych są analizowane i przekuwane w plany naprawcze?

1 2 3 4 5

Wdrożono proces bezzwłocznego instalowania krytycznych poprawek bezpieczeństwa.

Czy posiadamy harmonogram aktualizacji systemów operacyjnych i aplikacji?

1 2 3 4 5

Pomieszczenia z infrastrukturą ICT (serwerownie) są chronione przed dostępem osób postronnych.

Czy monitorujemy warunki środowiskowe (temperatura, wilgotność, zasilanie awaryjne)?

1 2 3 4 5

Systemy informacyjne są objęte ciągłym monitorowaniem w celu wykrywania anomalii.

Czy zbieramy i chronimy logi systemowe? Czy mamy mechanizmy automatycznych alertów?

1 2 3 4 5

Obowiązki z zakresu cyberbezpieczeństwa są wpisane w umowy o pracę i kontrakty.

Czy weryfikujemy niekaralność osób na kluczowych stanowiskach IT/Security?

1 2 3 4 5

Personel wszystkich szczebli przechodzi regularne szkolenia z zakresu cyberbezpieczeństwa.

Czy kierownictwo przechodzi coroczne szkolenia obowiązkowe? Czy robimy testy phishingu?

1 2 3 4 5

Bezpieczeństwo jest uwzględniane na etapie projektowania i nabywania nowych systemów (Security by Design).

Czy testujemy nowe rozwiązania pod kątem bezpieczeństwa przed wdrożeniem?

1 2 3 4 5

Kierownik jednostki bierze czynny udział w nadzorze nad systemem zarządzania bezpieczeństwem (SZBI).

Czy Zarząd zatwierdza budżet i plany działań w zakresie cyberbezpieczeństwa?

1 2 3 4 5

Organizacja uczestniczy w wymianie informacji o zagrożeniach w ramach krajowego systemu.

Czy mamy wyznaczone osoby do kontaktu z CSIRT? Czy dzielimy się danymi o zagrożeniach?

1 2 3 4 5

Twój wynik:

Średnia samooceny:

Poziom dojrzałości:

Nasza ocena:

Zalecane kolejne kroki:

Uwaga: Ankieta opiera się o ogólne, uproszczone założenia. Weryfikacja podlegania pod nowe regulacje wymaga szczegółowej analizy, w której możemy z przyjemnością Państwa wesprzeć.

Potwierdź swój wynik z ekspertem cyberbezpieczeństwa Grant Thornton Adamem Woźniakiem:
Zadzwoń: +48 600 805 785
Napisz wiadomość: adam.wozniak@pl.gt.com

Twoje odpowiedzi

Adam Woźniak

Partner

Skontaktuj się z Adamem Woźniakiem , by skonsultować swój wynik.

Twój e-mail

Podając dane kontaktowe potwierdzam, że wyrażam zgodę na otrzymanie informacji handlowej od Grant Thornton Technology P.S.A. z siedzibą w Warszawie, za pomocą środków komunikacji elektronicznej, a zwłaszcza za pośrednictwem podanego przeze mnie adresu e-mail.*

*Zgoda obowiązkowa

Informacje o sposobach przetwarzania danych osobowych znajdziesz w Polityce prywatności i Klauzuli informacyjnej .

Skorzystaj z naszych usług z zakresu: Cyberbezpieczeństwo i outsourcing IT

Dowiedz się więcej

Czy poprawnie wdrożyliśmy NIS-2? [ANKIETA SAMOOCENY]

Dlaczego należy sprawdzić poprawność wdrożenia NIS 2?

Co należy sprawdzić, oceniając wdrożenie NIS 2?

Kto powinien dokonać samooceny wdrożenia NIS 2?

Czy poprawnie wdrożyliśmy NIS-2? ANKIETA SAMOOCENY

Twój wynik:

NIS2 i UKSC. Nowelizacja opublikowana w Dzienniku Ustaw. Obowiązki i kogo dotyczą zmiany?

vCISO: rośnie popyt na wirtualnego szefa bezpieczeństwa informacji

KSeF: aspekty techniczne i bezpieczeństwo. CHECKLISTA gotowości

Czy poprawnie wdrożyliśmy NIS-2? [ANKIETA SAMOOCENY]

Dlaczego należy sprawdzić poprawność wdrożenia NIS 2?

Co należy sprawdzić, oceniając wdrożenie NIS 2?

Kto powinien dokonać samooceny wdrożenia NIS 2?

Czy poprawnie wdrożyliśmy NIS-2? ANKIETA SAMOOCENY

Twój wynik:

Najczęściej czytane

NIS2 i UKSC. Nowelizacja opublikowana w Dzienniku Ustaw. Obowiązki i kogo dotyczą zmiany?

vCISO: rośnie popyt na wirtualnego szefa bezpieczeństwa informacji

KSeF: aspekty techniczne i bezpieczeństwo. CHECKLISTA gotowości