Tasuta enesehindamine

Kas teie ettevõte on NIS2-valmis?

20 küsimust · ~8 minutit · Kõik NIS2 art. 21 valdkonnad kaetud Anonüümne — andmeid ei koguta
Küsimus 1 / 20 | 0%
Küsimus 1 / 20
Mis sektoris tegutseb teie ettevõte?
NIS2 kohaldub eelkõige kriitilistes ja olulistes sektorites.
Energia, transport, tervishoid, pangandus, finantsturutaristu, joogivesi, digitaristu, avalik haldus
Kindlasti NIS2 alla
IT-teenused, pilv, andmekeskused, toiduaine, kemikaalid, jäätmekäitlus, post, digitaalteenused, tootmine
Tõenäoliselt NIS2 alla
Muu sektor (jaekaubandus, ehitus, kinnisvara jmt)
Tõenäoliselt väljaspool
Küsimus 2 / 20
Kui suur on teie ettevõte?
NIS2 kohaldub üldreeglina keskmistele ja suurettevõtetele.
250+ töötajat või käive üle 50 mln €
Oluline suurettevõte
50–249 töötajat või käive 10–50 mln €
Oluline ettevõte
10–49 töötajat või käive 2–10 mln €
Võib kohalduda
Alla 10 töötaja ja käive alla 2 mln €
Mikroettevõte — üldjuhul väljaspool
Küsimus 3 / 20
Kas teil on kirjalik infoturbepoliitika ja riskijuhtimisraamistik?
NIS2 art 21.2a nõuab dokumenteeritud riskianalüüsi ja turbepoliitikat.
Jah — kehtiv, üle vaadatud viimase 12 kuu jooksul
Korras
On olemas, kuid üle 2 aasta vana ja uuendamata
Vajab uuendamist
Ei — mingit kirjalikku poliitikat ei ole
Kriitiline lünk
Küsimus 4 / 20
Kas teete regulaarset infoturbe riskianalüüsi (nt ISO 27005 alusel)?
Riskianalüüs on NIS2 vastavuse alus — ilma selleta ei tea te, mida kaitsta.
Jah — vähemalt kord aastas, tulemused dokumenteeritud
Väga hea
Tehtud ühekordselt, kuid mitte regulaarselt
Ebapiisav
Ei — riskianalüüsi ei tehta
Kriitiline lünk
Küsimus 5 / 20
Kas teil on dokumenteeritud protseduur küberiintsidenide käitlemiseks?
NIS2 nõuab esialgset teatamist 24 tunni, vahearuannet 72 tunni ja lõpparuannet 30 päeva jooksul.
Jah — protseduur on kirjas, töötajad koolitatud, aruandlusvormid olemas
Korras
Osaliselt — protseduur on, kuid aruandluse tähtajad ebaselged
Vajab täiendamist
Ei — intsidentidega tegeldakse juhuslikult
Kriitiline lünk
Küsimus 6 / 20
Kas teil on vahendid küberintsidentide tuvastamiseks ja logimiseks?
Ilma logimiseta ei suuda te intsidenti tuvastada ega 24 tunni tähtajast kinni pidada.
Jah — SIEM, auditlogid või muu tuvastussüsteem on kasutusel
Korras
Osaliselt — mõned logid on, kuid tsentraliseeritud tuvastust pole
Vajab täiendamist
Ei — küberintsidente ei jälgita süsteemselt
Kriitiline lünk
Küsimus 7 / 20
Kas teil on äritegevuse järjepidevuse plaan (BCP)?
NIS2 art 21.2c nõuab tagavaraplaanikamist, varukoopiad ja katastroofijärgset taastumist.
Jah — BCP on dokumenteeritud, testitud ja töötajatele teatavaks tehtud
Korras
On olemas, kuid testimata ja mitte uuendatud
Ebapiisav
Ei — BCPd pole
Kriitiline lünk
Küsimus 8 / 20
Kas varukoopiaid tehakse regulaarselt ja taastamist testitakse?
Varukoopia, mida pole testitud, ei ole varukoopia — see on lootus.
Jah — automaatsed varukoopiad, taastamine testitud viimase 6 kuu jooksul
Korras
Varukoopiad tehakse, kuid taastamist ei ole testitud
Vajab tähelepanu
Varukoopiad on ebakorrapärased või puuduvad
Kriitiline lünk
Küsimus 9 / 20
Kas olete hinnanud oma kriitiliste tarnijate küberturvataset?
NIS2 art 21.2d laiendab vastutuse ka tarnijatele — nende haavatavus on teie risk.
Jah — tarnijad on klassifitseeritud ja kõrge riskiga tarnijaid on hinnatud
Korras
Mõnda tarnijat on hinnatud, kuid süstemaatiliselt mitte
Vajab laiendamist
Ei — tarneahela turveriske pole hinnatud
Kriitiline lünk
Küsimus 10 / 20
Kas teie IT-tarnijate lepingud sisaldavad turbe- ja intsidentide teatamise nõudeid?
Ilma lepinguliste turvakohustuste täid ei saa te tarnijalt vajalikku teavet intsidendi korral.
Jah — kõigis kriitilistes IT-lepingutes on turbenõuded ja teatamiskohustused
Korras
Osades lepingutes on, osades mitte
Vajab täiendamist
Ei — lepingutes pole turvakohustusi
Lünk
Küsimus 11 / 20
Kas teil on protsess tarkvara haavatavuste ja turvapaikade haldamiseks?
Paikamata süsteemid on küberründajate eelisobjekt.
Jah — haavatavusi skaneeritakse regulaarselt ja paigad rakendatakse SLA piires
Korras
Paigad rakendatakse, kuid protsess on ebakorrapärane
Vajab parendamist
Ei — haavatavuste haldust ei toimu süstemaatiliselt
Kriitiline lünk
Küsimus 12 / 20
Kas teil on ajakohane inventuur kõigi IT-varade kohta (seadmed, tarkvara, andmed)?
Ei saa kaitsta seda, mida ei tea — varade inventuur on turbe alus.
Jah — ajakohane varade register on olemas ja pidevalt uuendatav
Korras
Osaline inventuur on, kuid mitte täielik ega ajakohane
Vajab täiendamist
Ei — varade inventuuri pole
Kriitiline lünk
Küsimus 13 / 20
Kas teete regulaarselt turvaauditeid, läbitungimisteste või muid meetmete hindamisi?
NIS2 art 21.2f nõuab, et hindate oma turbemeetmete tegelikku tõhusust.
Jah — auditid ja/või pentestid toimuvad vähemalt kord aastas
Väga hea
Ühekordselt tehtud, kuid mitte regulaarselt
Ebapiisav
Ei — turbemeetmete hindamist ei toimu
Lünk
Küsimus 14 / 20
Kas töötajad saavad regulaarset küberturvalisuse koolitust?
Inimlik eksimus on suurim turvarisk — koolitus vähendab seda oluliselt.
Jah — regulaarne koolitus kord aastas, sh andmepüügi simulatsioonid
Väga hea
Ühekordne sissejuhatav koolitus uutele töötajatele
Ebapiisav
Ei — küberturvalisuse koolitust ei toimu
Kriitiline lünk
Küsimus 15 / 20
Kas juhtkond on saanud küberturvalisuse koolituse ja teab oma NIS2 vastutust?
NIS2 paneb isikliku vastutuse juhtkonnale — teadmatus ei ole kaitsev asjaolu.
Jah — juhtkond on koolitatud ja kinnitanud turvameetmed ametlikult
Väga hea
Juhtkond on teadlik, kuid ametlikku kinnitust pole
Vajab tähelepanu
Ei — juhtkond ei ole küberturvalisuse koolitust saanud
Isiklik vastutusrisk
Küsimus 16 / 20
Kas tundlikud andmed on krüpteeritud nii edastamisel kui säilitamisel?
NIS2 art 21.2h nõuab krüptograafia kasutamist andmete kaitsmiseks.
Jah — TLS/HTTPS edastamisel, krüpteering andmebaasides ja seadmetes
Korras
Edastamisel krüpteeritud, kuid säilitamisel mitte täielikult
Osaliselt
Ei — tundlikke andmeid ei krüpteerita süsteemselt
Kriitiline lünk
Küsimus 17 / 20
Kas multifaktoriline autentimine (MFA) on juurutatud kõigis kriitilistes süsteemides?
NIS2 art 21.2i nõuab tugevat autentimist — parool üksi ei ole piisav.
Jah — MFA on kasutusel kõigis kriitilistes süsteemides sh e-post, VPN, pilveteenused
Korras
MFA on mõnes süsteemis, kuid mitte kõigis kriitilistes
Vajab laiendamist
Ei — MFA-d ei kasutata
Kriitiline lünk
Küsimus 18 / 20
Kas juurdepääsuõigused põhinevad vähimate privileegide põhimõttel ja ülevaadatakse regulaarselt?
Liiga laiad õigused suurendavad ründepinda oluliselt.
Jah — õigused on rollipõhised, ülevaadatakse vähemalt kord aastas
Korras
Osaliselt — rollipõhised, kuid ülevaatused on ebakorrapärased
Vajab parendamist
Ei — paljudel töötajatel on liiga laiad või kunagi üle vaatamata õigused
Kriitiline lünk
Küsimus 19 / 20
Kas töötajate taustauuringud tehakse enne tundlikele süsteemidele ligipääsu andmist?
Personalirisk on üks alahinnatud NIS2 nõuete osa.
Jah — taustauuringud on standardprotsess tundlikel ametikohtadel
Korras
Mõnel ametikohal tehakse, kuid mitte süstemaatiliselt
Osaliselt
Ei — taustauuringuid ei tehta
Lünk
Küsimus 20 / 20
Kas teie organisatsioonil on määratud isik, kes vastutab infoturbe ja NIS2 vastavuse eest?
Vastutuse selge määramine on NIS2 rakendamise eeldus.
Jah — CISO, IT-juht või muu vastutav isik on ametlikult määratud
Korras
Vastutus on mitteametlikult mõistetud, kuid pole ametlikult määratud
Vajab selgitamist
Ei — keegi ei vastuta ametlikult infoturbe eest
Kriitiline lünk
Kriitilisi
Vajab tähelepanu
Korras

Saage personaalsed soovitused

Sisestage kontaktandmed ja võtan teiega ühendust — arutame läbi tulemused ja planeerime järgmised sammud.