Przejdź do treści głównej
NIS2Certify
Powrót do przeglądu

Czy potrafisz odpowiedzieć na te 10 pytań o NIS2? Większość organizacji nie potrafi

Autor: NIS2Certify
nis2zgodnoscocenaautotestartykul-21

Przeczytałeś artykuły. Znasz termin. Być może zacząłeś nawet wewnętrzną inwentaryzację.

Ale czy naprawdę potrafisz odpowiedzieć na te 10 pytań?

Pochodzą z naszej oceny zgodności z NIS2 składającej się z 50 pytań i każde z nich celuje w konkretny martwy punkt, który organizacje konsekwentnie niedoceniają. To nie są podchwytliwe pytania — to pytania, które zadadzą regulatorzy, gdy rozpocznie się egzekwowanie.

Bądź ze sobą szczery. Jeśli zawahasz się przy więcej niż trzech, masz luki wymagające uwagi.

Jak to działa

Każde poniższe pytanie odpowiada jednej z 10 kategorii środków zarządzania ryzykiem z Artykułu 21 Dyrektywy NIS2. Razem te kategorie definiują, jak w praktyce wygląda „odpowiednia i proporcjonalna cyberbezpieczeństwo".

Wybraliśmy najtrudniejsze pytanie z każdej kategorii — takie, które oddziela organizacje rzeczywiście przygotowane od tych, które przeczytały tylko streszczenie.

10 pytań

1. Analiza ryzyka i bezpieczeństwo systemów informacyjnych

Czy potrafisz przedstawić udokumentowaną ocenę ryzyka zatwierdzoną przez zarząd, obejmującą wszystkie aktywa, zagrożenia i podatności istotne dla NIS2 — zaktualizowaną w ciągu ostatnich 12 miesięcy?

Większość organizacji ma jakąś formę rejestru ryzyk. Niewiele ma taki, który jest kompleksowy, aktualny i zatwierdzony przez organ zarządzający, jak wymaga tego Artykuł 20 NIS2. Ocena ryzyka z 2022 roku obejmująca IT, ale ignorująca OT, zależności w łańcuchu dostaw lub usługi chmurowe nie usatysfakcjonuje regulatora.

2. Obsługa incydentów

Czy masz przetestowany proces wykrywania, klasyfikacji i zgłaszania istotnego incydentu organowi krajowemu w ciągu 24 godzin?

NIS2 wymaga wczesnego ostrzeżenia w ciągu 24 godzin, pełnego zgłoszenia w ciągu 72 godzin i raportu końcowego w ciągu miesiąca. Kluczowe słowo to „przetestowany". Udokumentowana procedura, która nigdy nie była przećwiczona, to udokumentowana porażka czekająca, aż się wydarzy.

3. Ciągłość działania i zarządzanie kryzysowe

Kiedy ostatnio przetestowałeś end-to-end odtwarzanie z kopii zapasowych i plan odtworzenia po awarii — i czy potrafisz to udowodnić?

Posiadanie kopii zapasowych to nie to samo, co ciągłość działania. NIS2 wymaga, abyś rzeczywiście potrafił przywrócić operacje po incydencie. Jeśli twój ostatni test odtwarzania polegał na „sprawdziliśmy, że zadanie backupu zakończyło się sukcesem", to nie był test — to była nadzieja.

4. Bezpieczeństwo łańcucha dostaw

Czy potrafisz wykazać, że oceniasz i monitorujesz praktyki cyberbezpieczeństwa swoich kluczowych dostawców — według udokumentowanych kryteriów i regularnych przeglądów?

Bezpieczeństwo łańcucha dostaw to obszar, w którym większość organizacji ma największą lukę. Artykuł 21(3) NIS2 wprost wymaga zajęcia się ryzykami bezpieczeństwa wynikającymi z relacji z bezpośrednimi dostawcami i usługodawcami. Standardowa ankieta dla dostawcy wysłana jednorazowo na etapie wdrożenia nie spełnia tego progu.

5. Bezpieczeństwo w zakresie nabywania, rozwoju i utrzymania sieci i systemów informacyjnych

Czy twoje procesy zakupów i rozwoju uwzględniają wymagania cyberbezpieczeństwa od projektu po wdrożenie — w tym obsługę i ujawnianie podatności?

Nie chodzi tylko o łatanie. NIS2 oczekuje, że bezpieczeństwo będzie wbudowane w sposób, w jaki nabywasz, budujesz i utrzymujesz systemy. Jeśli twój proces zakupowy ocenia koszt, funkcje i czas dostawy, ale nie bezpieczeństwo, masz lukę strukturalną.

6. Polityki i procedury oceny skuteczności środków cyberbezpieczeństwa

Jak mierzysz, czy twoje środki cyberbezpieczeństwa faktycznie działają — i kiedy ostatnio to robiłeś?

To pytanie zatrzymuje większość organizacji. Wdrożenie środków to krok pierwszy. Udowodnienie, że są skuteczne, to krok drugi — i jest to krok, którego NIS2 wprost wymaga. Jeśli twoja odpowiedź brzmi „nie zostaliśmy zaatakowani", to nie jest pomiar.

7. Podstawowe praktyki cyberhigieny i szkolenia z cyberbezpieczeństwa

Czy potrafisz udowodnić, że cały personel — w tym kadra zarządzająca — przeszedł w ciągu ostatnich 12 miesięcy szkolenie świadomościowe z cyberbezpieczeństwa dostosowane do roli?

Artykuł 20(2) wprost wymaga, aby organy zarządzające odbywały szkolenia. Nie jest to opcjonalne. Nie „kiedy będzie wygodnie". A „cały personel" oznacza wszystkich, w tym kontraktorów i pracowników tymczasowych z dostępem do twoich systemów. Pojedyncza coroczna symulacja phishingu to nie szkolenie.

8. Polityki i procedury dotyczące stosowania kryptografii i szyfrowania

Czy masz udokumentowaną politykę określającą, kiedy i jak stosuje się szyfrowanie danych w spoczynku i w tranzycie — z określonymi standardami i procedurami zarządzania kluczami?

Wiele organizacji szyfruje dane w tranzycie (HTTPS, VPN), ale nie ma polityki dla danych w spoczynku. NIS2 wymaga udokumentowanych polityk i procedur, a nie doraźnych praktyk. Jeśli twoje podejście do kryptografii to „używamy tego, co ustawi dostawca", to nie jest polityka.

9. Bezpieczeństwo zasobów ludzkich, kontrola dostępu i zarządzanie aktywami

Czy istnieje udokumentowany proces nadawania, przeglądania i odbierania praw dostępu — także gdy ktoś zmienia rolę lub odchodzi z organizacji?

Osierocone konta to jeden z najczęstszych wektorów ataku. NIS2 oczekuje zarządzania prawami dostępu jako procesem ciągłym, a nie jednorazową konfiguracją. Jeśli pełne odebranie dostępu odchodzącemu pracownikowi do wszystkich systemów zajmuje więcej niż 24 godziny, twój proces ma luki.

10. Uwierzytelnianie wieloskładnikowe i bezpieczna komunikacja

Czy MFA jest wymuszone dla wszystkich dostępów uprzywilejowanych, połączeń zdalnych i administracji krytycznych systemów — z udokumentowanymi wyjątkami i harmonogramem zamykania luk?

NIS2 nie narzuca konkretnych technologii, ale wymaga stosowania uwierzytelniania wieloskładnikowego „tam, gdzie jest to właściwe". W praktyce każda organizacja, która nie wymusza MFA dla dostępu administracyjnego i pracy zdalnej, będzie miała trudności z uzasadnieniem, że jej środki są „odpowiednie".

Co mówi twój wynik

Policz pytania, na które możesz odpowiedzieć pewnym, udokumentowanym „tak":

Twój wynikCo to oznacza
8–10 pewnych „tak"Solidna podstawa. Wyprzedzasz większość organizacji. Skup się na dokumentacji i ciągłym doskonaleniu.
5–7 pewnych „tak"Istotne luki. Rozumiesz podstawy, ale brakuje ci głębi, której wymaga NIS2. Priorytetowo zajmij się obszarami, w których się zawahałeś.
Mniej niż 5Pilna potrzeba działania. Twoja organizacja ma istotne luki w zgodności, które mogą narazić cię na środki egzekucyjne wykraczające poza grzywny.

Pamiętaj: regulatorzy nie zapytają, czy próbowałeś. Zapytają, czy potrafisz wykazać, że twoje środki są odpowiednie i proporcjonalne. Dokumentacja to nie biurokracja — to twoje dowody.

To tylko 10 z 50

Te pytania są próbką z naszej pełnej oceny zgodności z NIS2 składającej się z 50 pytań, która szczegółowo obejmuje wszystkie 10 kategorii środków z Artykułu 21.

Bezpłatny quickscan daje ci uporządkowany przegląd sytuacji. Pełna ocena tworzy szczegółowy raport PDF — taki, który możesz położyć przed zarządem i powiedzieć: „tu jest dokładnie, gdzie jesteśmy, i tu jest to, co musimy zrobić".

Niezależnie od tego, czy jesteś konsultantem IT oceniającym klientów, specjalistą ds. zgodności raportującym do zarządu, czy CISO budującym business case — ocena daje ci uporządkowany, oparty na dowodach punkt wyjścia, którego wymaga NIS2.

Wykonaj bezpłatny quickscan →

    Czy potrafisz odpowiedzieć na te 10 pytań o NIS2? Większość organizacji nie potrafi — NIS2Certify