Бесплатная самооценка

Готова ли ваша компания к NIS2?

20 вопросов · ~8 минут · Все требования ст. 21 NIS2 охвачены Анонимно — данные не собираются
Вопрос 1 / 200%
Вопрос 1 / 20
В каком секторе работает ваша компания?
NIS2 применяется прежде всего к компаниям в критических и важных секторах.
Энергетика, транспорт, здравоохранение, банки, финансовые рынки, вода, цифровая инфраструктура, госуправление
Точно под NIS2
ИТ-услуги, облако, ЦОД, продукты питания, химикаты, утилизация, почта, цифровые услуги, производство
Вероятно под NIS2
Другой сектор (розница, строительство, недвижимость и т.д.)
Вероятно вне сферы
Вопрос 2 / 20
Какого размера ваша компания?
NIS2 в целом применяется к средним и крупным компаниям.
250+ сотрудников или оборот свыше 50 млн €
Существенная
50–249 сотрудников или оборот 10–50 млн €
Важная
10–49 сотрудников или оборот 2–10 млн €
Может применяться
Менее 10 сотрудников и оборот менее 2 млн €
Вне сферы действия
Вопрос 3 / 20
Есть ли у вас письменная политика информационной безопасности и система управления рисками?
Статья 21.2a NIS2 требует задокументированного анализа рисков и политик безопасности.
Да — актуальная, пересмотренная в течение последних 12 месяцев
В порядке
Есть, но старше 2 лет и не обновлялась
Требует обновления
Нет — письменной политики не существует
Критический пробел
Вопрос 4 / 20
Проводите ли вы регулярную оценку рисков информационной безопасности (напр., по ISO 27005)?
Оценка рисков — основа соответствия NIS2: без неё вы не знаете, что защищать.
Да — не реже раза в год, результаты задокументированы
Отлично
Проводилась разово, но не регулярно
Недостаточно
Нет — оценка рисков не проводится
Критический пробел
Вопрос 5 / 20
Есть ли у вас задокументированная процедура реагирования на киберинциденты?
NIS2 требует первичного уведомления в течение 24 ч, промежуточного — 72 ч, итогового — 30 дней.
Да — процедура задокументирована, сотрудники обучены, шаблоны готовы
В порядке
Процедура есть, но сроки отчётности не чёткие
Требует доработки
Нет — инциденты обрабатываются хаотично
Критический пробел
Вопрос 6 / 20
Есть ли у вас инструменты обнаружения и логирования киберинцидентов?
Без логирования вы не сможете обнаружить инцидент и уложиться в 24-часовой срок.
Да — SIEM, журналы аудита или иная система обнаружения используется
В порядке
Некоторые журналы есть, но централизованного обнаружения нет
Требует улучшения
Нет — киберинциденты систематически не отслеживаются
Критический пробел
Вопрос 7 / 20
Есть ли у вас план обеспечения непрерывности бизнеса (BCP)?
Статья 21.2c NIS2 требует планирования резервного копирования, аварийного восстановления и непрерывности.
Да — задокументирован, протестирован и доведён до сотрудников
В порядке
Есть, но не тестировался и не обновлялся
Недостаточно
Нет — BCP отсутствует
Критический пробел
Вопрос 8 / 20
Выполняется ли регулярное резервное копирование и тестируется ли восстановление?
Непроверенная резервная копия — это не резервная копия, а надежда.
Да — автоматические резервные копии, восстановление тестировалось в последние 6 месяцев
В порядке
Резервные копии делаются, но восстановление никогда не тестировалось
Требует внимания
Резервное копирование нерегулярно или отсутствует
Критический пробел
Вопрос 9 / 20
Оценивали ли вы уровень кибербезопасности критических поставщиков?
Статья 21.2d NIS2 распространяет ответственность на поставщиков — их уязвимости становятся вашим риском.
Да — поставщики классифицированы, высокорисковые оценены
В порядке
Некоторые поставщики оценивались, но несистематически
Требует расширения
Нет — риски цепочки поставок не оценивались
Критический пробел
Вопрос 10 / 20
Включают ли ваши ИТ-договоры с поставщиками требования по безопасности и уведомлению об инцидентах?
Без договорных обязательств по безопасности вы не получите нужную информацию при инциденте.
Да — во всех критических ИТ-договорах есть требования и обязательства по уведомлению
В порядке
В некоторых договорах есть, в других — нет
Требует доработки
Нет — в договорах нет обязательств по безопасности
Пробел
Вопрос 11 / 20
Есть ли у вас процесс управления уязвимостями и патчами программного обеспечения?
Непропатченные системы — основная цель киберзлоумышленников.
Да — уязвимости сканируются регулярно, патчи применяются в рамках SLA
В порядке
Патчи применяются, но процесс нерегулярный
Требует улучшения
Нет — управление уязвимостями не ведётся систематически
Критический пробел
Вопрос 12 / 20
Есть ли у вас актуальная инвентаризация всех ИТ-активов (устройства, ПО, данные)?
Нельзя защитить то, о чём не знаешь — инвентаризация активов — основа безопасности.
Да — актуальный реестр активов ведётся и постоянно обновляется
В порядке
Частичная инвентаризация есть, но не полная и не актуальная
Требует доработки
Нет — инвентаризации активов нет
Критический пробел
Вопрос 13 / 20
Проводите ли вы регулярные аудиты безопасности, тесты на проникновение или иные оценки эффективности?
Статья 21.2f NIS2 требует оценки реальной эффективности ваших мер безопасности.
Да — аудиты и/или пентесты проводятся не реже раза в год
Отлично
Проводились разово, но не регулярно
Недостаточно
Нет — оценка эффективности мер не проводится
Пробел
Вопрос 14 / 20
Проходят ли сотрудники регулярное обучение по кибербезопасности?
Человеческий фактор — главный риск безопасности; обучение существенно его снижает.
Да — ежегодное обучение, включая симуляции фишинга
Отлично
Разовый вводный инструктаж для новых сотрудников
Недостаточно
Нет — обучение по кибербезопасности не проводится
Критический пробел
Вопрос 15 / 20
Проходило ли руководство обучение по кибербезопасности и знает ли оно о своей ответственности по NIS2?
NIS2 возлагает личную ответственность на руководство — незнание не является оправданием.
Да — руководство обучено и официально утвердило меры безопасности
Отлично
Руководство в курсе, но официального утверждения нет
Требует внимания
Нет — руководство не проходило обучение по кибербезопасности
Риск ответственности
Вопрос 16 / 20
Шифруются ли конфиденциальные данные как при передаче, так и при хранении?
Статья 21.2h NIS2 требует применения криптографии для защиты данных.
Да — TLS/HTTPS при передаче, шифрование в базах данных и на устройствах
В порядке
При передаче зашифровано, при хранении — не полностью
Частично
Нет — конфиденциальные данные систематически не шифруются
Критический пробел
Вопрос 17 / 20
Внедрена ли многофакторная аутентификация (MFA) во всех критических системах?
Статья 21.2i NIS2 требует строгой аутентификации — одного пароля недостаточно.
Да — MFA активна во всех критических системах, включая почту, VPN, облако
В порядке
MFA есть в некоторых системах, но не во всех критических
Требует расширения
Нет — MFA не используется
Критический пробел
Вопрос 18 / 20
Основаны ли права доступа на принципе минимальных привилегий и пересматриваются ли регулярно?
Избыточные права существенно расширяют поверхность атаки.
Да — ролевой доступ, пересматривается не реже раза в год
В порядке
Ролевой, но пересмотры нерегулярные
Требует улучшения
Нет — у многих пользователей избыточные или никогда не пересматривавшиеся права
Критический пробел
Вопрос 19 / 20
Проводятся ли проверки биографических данных перед предоставлением доступа к чувствительным системам?
Кадровый риск — один из недооценённых элементов требований NIS2.
Да — проверки являются стандартной процедурой для чувствительных должностей
В порядке
Для некоторых должностей проводятся, но несистематически
Частично
Нет — проверки не проводятся
Пробел
Вопрос 20 / 20
Назначен ли в вашей организации сотрудник, ответственный за ИБ и соответствие NIS2?
Чёткое распределение ответственности — обязательное условие внедрения NIS2.
Да — CISO, ИТ-руководитель или иное ответственное лицо официально назначено
В порядке
Ответственность неформально понятна, но официально не закреплена
Требует уточнения
Нет — никто официально не отвечает за информационную безопасность
Критический пробел
Критических
Требует внимания
В порядке
Хотите забронировать? →

Получите персональные рекомендации

Укажите контактные данные — я свяжусь с вами, чтобы обсудить результаты и наметить дальнейшие шаги.

Хотите забронировать звонок сразу? →