JDA Advisory

Audyt NIS-2 check lista audytowa – audyt zgodności NIS-2

Zyskaj przewagę dzięki precyzyjnemu audytowi NIS-2. Nasz audyt zgodności NIS-2 pozwala szybko ocenić poziom przygotowania organizacji.

Zapewniamy kompleksową analizę zgodności, która pomaga spełnić najnowsze wymogi bezpieczeństwa i normy prawne.

Szczegółowa check-lista obejmująca ponad 200 punktów.

Dokładna kontrola każdego aspektu zgodności, gwarantująca identyfikację i eliminację potencjalnych ryzyk bezpieczeństwa.

Profesjonalne wsparcie eksperckie na każdym etapie audytu.

Nasza wiedza i doświadczenie umożliwiają skuteczne wdrożenie wymagań NIS-2, zwiększając ochronę Twojej organizacji.

Raporty i rekomendacje dostosowane do specyfiki działalności.

Dostarczamy klarowne i praktyczne wskazówki, które ułatwiają wdrożenie zaleceń i podnoszą poziom bezpieczeństwa.

Audyt zgodności z NIS-2, dostosowany do wyzwań Twojej organizacji.

Opisujemy kluczowe wyzwania bezpieczeństwa i prezentujemy, jak nasz audyt NIS-2 gwarantuje pełną zgodność i spokój ducha.

Kompleksowa analiza wymagań NIS-2 – audyt zgodności NIS-2

Szczegółowo weryfikujemy ponad 200 punktów zgodności, abyś mógł skutecznie przygotować się do wymogów prawnych.

Raport z rekomendacjami i planem działań

Dostarczamy praktyczne wskazówki, które przekształcają wyniki audytu w konkretne kroki zwiększające bezpieczeństwo.

Wsparcie ekspertów na każdym etapie

Zapewniamy profesjonalne doradztwo, które pomaga eliminować ryzyka i optymalizować procesy zgodności.

Szkolenia i podnoszenie świadomości zespołu

Organizujemy szkolenia, które zwiększają kompetencje i przygotowują pracowników do wymogów NIS-2.

Kompleksowa analiza najważniejszych wskaźników

Sekcja prezentuje kluczowe dane, ukazując najistotniejsze wskaźniki efektywności i rezultaty.

215

Audyt zgodności

Dokładny opis pierwszego kryterium audytu bezpieczeństwa.

220

Lista kontrolna

Opis drugiego kluczowego elementu zgodności z NIS-2.

305

Ocena ryzyka

Analiza trzeciego aspektu bezpieczeństwa infrastruktury.

410

Weryfikacja dokumentacji

Szczegółowy przegląd czwartego istotnego punktu audytu.

Jak przebiega audyt – check lista audytowa

Przedstawiamy szczegółowy proces audytu NIS-2, który prowadzi krok po kroku przez analizę i ocenę zgodności z wymaganiami bezpieczeństwa. Poniżej przedstawiam pełną checklistę, podzieloną na 14 obszarów zgodnych z art. 21 NIS‑2 + wytycznymi ENISA. Łącznie ponad 220 punktów kontrolnych

Governance i nadzór zarządu (18 punktów)

  • Czy zarząd formalnie zatwierdził politykę cyberbezpieczeństwa?
  • Czy zarząd otrzymuje regularne raporty o ryzykach cyber?
  • Czy istnieje komitet ds. bezpieczeństwa?
  • Czy zarząd ma przypisane obowiązki wynikające z NIS‑2?
  • Czy zarząd uczestniczy w szkoleniach cyber?
  • Czy istnieje formalny proces eskalacji incydentów do zarządu?
  • Czy istnieje roczny plan przeglądu bezpieczeństwa?
  • Czy zarząd zatwierdza budżet bezpieczeństwa?
  • Czy istnieje formalny apetyt na ryzyko?
  • Czy role i odpowiedzialności są zdefiniowane?
  • Czy istnieje polityka zarządzania zgodnością?
  • Czy istnieje proces nadzoru nad outsourcingiem ICT?
  • Czy istnieje proces zatwierdzania wyjątków od polityk?
  • Czy istnieje formalny model governance (RACI)?
  • Czy istnieje proces raportowania do regulatora?
  • Czy istnieje proces zarządzania zmianą w obszarze bezpieczeństwa?
  • Czy istnieje polityka nadzoru nad projektami ICT?
  • Czy istnieje proces oceny skuteczności SZBI?

Zarządzanie incydentami ICT (20 punktów)

  • Czy istnieje procedura obsługi incydentów?
  • Czy incydenty są klasyfikowane wg NIS‑2?
  • Czy istnieje proces zgłaszania incydentów do CSIRT?

Czy organizacja spełnia wymogi:

  • 24h – zgłoszenie wstępne
  • 72h – raport szczegółowy
  • 1 miesiąc – raport końcowy
  • Czy istnieje rejestr incydentów?
  • Czy incydenty są analizowane pod kątem przyczyn?
  • Czy istnieje proces eskalacji incydentów?
  • Czy istnieje proces komunikacji kryzysowej?
  • Czy istnieje proces powiadamiania klientów?
  • Czy istnieje proces powiadamiania dostawców?
  • Czy istnieje proces powiadamiania regulatora?
  • Czy istnieje proces analizy skutków incydentów?
  • Czy istnieje proces testowania gotowości?
  • Czy istnieje proces integracji incydentów z ryzykiem?
  • Czy istnieje proces integracji incydentów z podatnościami?
  • Czy istnieje proces integracji incydentów z SOC/SIEM?
  • Czy istnieje proces integracji incydentów z BCP/DRP?
  • Czy istnieje proces integracji incydentów z zarządzaniem zmianą?
  • Czy istnieje proces integracji incydentów z dostawcami?
  • Czy istnieje proces integracji incydentów z zarządem?

Zarządzanie podatnościami (14 punktów)

  • Czy istnieje proces skanowania podatności?
  • Czy istnieje harmonogram skanów?
  • Czy istnieje klasyfikacja podatności?
  • Czy istnieje proces remediacji?
  • Czy istnieje proces akceptacji ryzyka?
  • Czy istnieje integracja z CVE/CVSS?
  • Czy istnieje integracja z SIEM?
  • Czy istnieje integracja z SOC?
  • Czy istnieje integracja z zarządzaniem zmianą?
  • Czy istnieje integracja z incydentami?
  • Czy istnieje integracja z dostawcami?
  • Czy istnieje integracja z BCP/DRP?
  • Czy istnieje proces raportowania podatności?
  • Czy istnieje proces testowania remediacji?

Zarządzanie tożsamością i dostępem (IAM) (14 punktów)

  • Czy istnieje zasada minimalnych uprawnień?
  • Czy istnieją cykliczne przeglądy dostępów?
  • Czy istnieje MFA?
  • Czy istnieje PAM?
  • Czy istnieje SSO?
  • Czy istnieje IAM?
  • Czy istnieje proces nadawania dostępów?
  • Czy istnieje proces odbierania dostępów?
  • Czy istnieje proces przeglądu dostępów?
  • Czy istnieje proces zarządzania kontami uprzywilejowanymi?
  • Czy istnieje proces zarządzania kontami technicznymi?
  • Czy istnieje proces zarządzania kontami serwisowymi?
  • Czy istnieje proces zarządzania kontami zewnętrznymi?
  • Czy istnieje proces zarządzania dostępem fizycznym?

Dokumentacja i dowody zgodności (14 punktów)

  • Czy dokumentacja jest kompletna?
  • Czy dokumentacja jest aktualna?
  • Czy istnieją rejestry incydentów?
  • Czy istnieją rejestry ryzyk?
  • Czy istnieją rejestry podatności?
  • Czy istnieją rejestry dostępów?
  • Czy istnieją rejestry dostawców?
  • Czy istnieją rejestry zmian?
  • Czy istnieją rejestry testów?
  • Czy istnieją rejestry audytów?
  • Czy istnieją rejestry szkoleń?
  • Czy istnieją rejestry backupów?
  • Czy istnieją rejestry logów?
  • Czy istnieją dowody zgodności?

Identyfikacja i ocena ryzyka (22 punkty)

  • Czy istnieje metodyka oceny ryzyka zgodna z NIS‑2?
  • Czy ryzyka ICT są powiązane z ryzykiem operacyjnym?
  • Czy istnieje rejestr ryzyk ICT?
  • Czy ryzyka są klasyfikowane wg wpływu na usługi kluczowe?
  • Czy istnieje analiza wpływu (BIA)?
  • Czy ryzyka są aktualizowane min. raz w roku?
  • Czy istnieje proces akceptacji ryzyka?
  • Czy istnieje proces monitorowania ryzyk?
  • Czy ryzyka dostawców są uwzględnione?
  • Czy ryzyka łańcucha dostaw są analizowane?
  • Czy istnieje proces oceny ryzyk projektów ICT?
  • Czy istnieje proces oceny ryzyk zmian?
  • Czy istnieje proces oceny ryzyk incydentów?
  • Czy istnieje proces oceny ryzyk podatności?
  • Czy istnieje proces oceny ryzyk fizycznych?
  • Czy istnieje proces oceny ryzyk środowiskowych?
  • Czy istnieje proces oceny ryzyk związanych z personelem?
  • Czy istnieje proces oceny ryzyk związanych z danymi?
  • Czy istnieje proces oceny ryzyk związanych z dostępami?
  • Czy istnieje proces oceny ryzyk związanych z chmurą?
  • Czy istnieje proces oceny ryzyk związanych z IoT?
  • Czy istnieje proces oceny ryzyk związanych z usługami krytycznymi?

Ciągłość działania i odporność (18 punktów)

  • Czy istnieje BCP?
  • Czy istnieje DRP?
  • Czy istnieje analiza BIA?
  • Czy istnieją scenariusze zakłóceń ICT?
  • Czy istnieją scenariusze awarii dostawców?
  • Czy istnieją scenariusze cyberataków?
  • Czy istnieją scenariusze utraty danych?
  • Czy istnieją scenariusze awarii infrastruktury?
  • Czy istnieją scenariusze awarii chmury?
  • Czy istnieją scenariusze awarii sieci?
  • Czy istnieją scenariusze awarii fizycznych?
  • Czy istnieją testy BCP?
  • Czy istnieją testy DRP?
  • Czy istnieją testy cyber‑resilience?
  • Czy istnieją testy komunikacji kryzysowej?
  • Czy istnieją testy gotowości zespołów?
  • Czy istnieje proces aktualizacji planów?
  • Czy istnieje proces raportowania wyników testów?

Bezpieczeństwo łańcucha dostaw (20 punktów)

  • Czy istnieje rejestr dostawców ICT?
  • Czy dostawcy są klasyfikowani wg krytyczności?
  • Czy istnieje ocena ryzyka dostawców?
  • Czy istnieją umowy z klauzulami bezpieczeństwa?
  • Czy istnieją SLA?
  • Czy istnieją OLA?
  • Czy istnieje nadzór nad dostawcami?
  • Czy istnieje proces monitorowania dostawców?
  • Czy istnieje proces audytowania dostawców?
  • Czy istnieje proces raportowania incydentów dostawców?
  • Czy istnieje proces zarządzania zmianą u dostawców?
  • Czy istnieje proces zarządzania podatnościami dostawców?
  • Czy istnieje proces zarządzania ryzykiem dostawców?
  • Czy istnieje proces exit plan?
  • Czy istnieje proces backupu usług dostawców?
  • Czy istnieje proces testowania usług dostawców?
  • Czy istnieje proces integracji dostawców z BCP/DRP?
  • Czy istnieje proces integracji dostawców z incydentami?
  • Czy istnieje proces integracji dostawców z ryzykiem?
  • Czy istnieje proces integracji dostawców z governance?

Rejestrowanie i monitorowanie (16 punktów)

  • Czy istnieje SIEM?
  • Czy istnieje SOC?
  • Czy istnieje monitoring 24/7?
  • Czy istnieje rejestr zdarzeń bezpieczeństwa?
  • Czy istnieje retencja logów?
  • Czy istnieje analiza anomalii?
  • Czy istnieje korelacja zdarzeń?
  • Czy istnieje alertowanie?
  • Czy istnieje monitoring sieci?
  • Czy istnieje monitoring systemów?
  • Czy istnieje monitoring aplikacji?
  • Czy istnieje monitoring chmury?
  • Czy istnieje monitoring dostawców?
  • Czy istnieje monitoring fizyczny?
  • Czy istnieje monitoring środowiskowy?
  • Czy istnieje proces raportowania zdarzeń?

Zgodność regulacyjna i raportowanie (10 punktów)

  • Czy organizacja spełnia wymogi NIS‑2?
  • Czy organizacja spełnia wymogi krajowe?
  • Czy organizacja spełnia wymogi sektorowe?
  • Czy istnieje proces raportowania do CSIRT?
  • Czy istnieje proces raportowania do regulatora?
  • Czy istnieje proces raportowania do klientów?
  • Czy istnieje proces raportowania do dostawców?
  • Czy istnieje proces raportowania do zarządu?
  • Czy istnieje proces raportowania do audytu?
  • Czy istnieje proces raportowania do compliance?

Polityki i procedury bezpieczeństwa (14 punktów)

  • Czy istnieje polityka bezpieczeństwa informacji?
  • Czy istnieje polityka cyberbezpieczeństwa?
  • Czy istnieje polityka zarządzania dostępem?
  • Czy istnieje polityka haseł?
  • Czy istnieje polityka backupów?
  • Czy istnieje polityka logowania i monitoringu?
  • Czy istnieje polityka aktualizacji i patchowania?
  • Czy istnieje polityka zarządzania podatnościami?
  • Czy istnieje polityka bezpieczeństwa fizycznego?
  • Czy istnieje polityka bezpieczeństwa środowiskowego?
  • Czy istnieje polityka klasyfikacji informacji?
  • Czy istnieje polityka retencji danych?
  • Czy istnieje polityka korzystania z urządzeń mobilnych?
  • Czy istnieje polityka korzystania z chmury?

Bezpieczeństwo sieci i systemów ICT (26 punktów)

  • Czy sieć jest segmentowana?
  • Czy istnieją firewalle?
  • Czy istnieją IDS/IPS?
  • Czy istnieje EDR/XDR?
  • Czy istnieje SIEM?
  • Czy istnieje monitoring 24/7?
  • Czy istnieje ochrona przed malware?
  • Czy istnieje ochrona przed phishingiem?
  • Czy istnieje ochrona przed ransomware?
  • Czy istnieje szyfrowanie danych w spoczynku?
  • Czy istnieje szyfrowanie danych w transmisji?
  • Czy istnieje kontrola dostępu?
  • Czy istnieje MFA?
  • Czy istnieje PAM?
  • Czy istnieje NAC?
  • Czy istnieje DLP?
  • Czy istnieje WAF?
  • Czy istnieje VPN?
  • Czy istnieje zarządzanie konfiguracją?
  • Czy istnieje zarządzanie aktualizacjami?
  • Czy istnieje zarządzanie podatnościami?
  • Czy istnieje zarządzanie logami?
  • Czy istnieje retencja logów?
  • Czy istnieje analiza anomalii?
  • Czy istnieje ochrona IoT?
  • Czy istnieje ochrona OT (jeśli dotyczy)?

Bezpieczeństwo zasobów ludzkich (12 punktów)

  • Czy istnieją szkolenia cyber?
  • Czy istnieją szkolenia dla zarządu?
  • Czy istnieją szkolenia dla zespołów technicznych?
  • Czy istnieją szkolenia phishingowe?
  • Czy istnieją testy socjotechniczne?
  • Czy istnieją NDA?
  • Czy istnieje proces onboardingu?
  • Czy istnieje proces offboardingu?
  • Czy istnieje proces weryfikacji pracowników?
  • Czy istnieje proces nadawania dostępów?
  • Czy istnieje proces odbierania dostępów?
  • Czy istnieje proces przeglądu dostępów?

Testy i audyty (12 punktów)

  • Czy istnieją audyty wewnętrzne?
  • Czy istnieją audyty zewnętrzne?
  • Czy istnieją testy penetracyjne?
  • Czy istnieją testy odporności?
  • Czy istnieją testy BCP?
  • Czy istnieją testy DRP?
  • Czy istnieją testy incydentów?
  • Czy istnieją testy phishingowe?
  • Czy istnieją testy socjotechniczne?
  • Czy istnieją testy dostawców?
  • Czy istnieje proces raportowania wyników testów?
  • Czy istnieje proces aktualizacji po testach?

Mapowanie NIS‑2 → ISO 27001 → DORA → ENISA

Governance i nadzór zarządu

NIS-2ISO 27001DORAENISA
Art. 21 ust. 1–35.1, 5.2, 5.3Art. 5–7Cyber Governance Framework
Odpowiedzialność zarządu, nadzór, politykiPolityka bezpieczeństwa, role, odpowiedzialnościZarządzanie ICT risk, accountabilityGovernance maturity model

Zarządzanie ryzykiem ICT

NIS-2ISO 27001DORA
Art. 21 ust. 2 lit. a–b6.1, 6.2, A.5–A.8Art. 5–6, RTS ICT RiskENISA Risk Management Guidelines
Identyfikacja, ocena, klasyfikacja ryzykMetodyka ryzyka, rejestr ryzykICT risk framework, apetyt na ryzykoENISA Threat Landscape

Polityki i procedury bezpieczeństwa

NIS-2ISO 27001DORAENISA
Art. 21 ust. 2 lit. cA.5–A.18Art. 6, RTS/ITSENISA Good Practices
Polityki cyber, dostępów, logowania, aktualizacjiKompletny zestaw polityk SZBIICT policies, governanceENISA Baseline Security Recommendations

Zarządzanie incydentami ICT

NIS-2ISO 27001DORAENISA
Art. 23A.5.24, A.5.25Art. 17–20ENISA Incident Handling
Wykrywanie, klasyfikacja, raportowanie (24h/72h/1m)Procedury incydentówIncident reporting, harmonogramyCSIRT maturity model

Ciągłość działania i odporność operacyjna

NIS-2ISO 27001DORAENISA
Art. 21 ust. 2 lit. dA.5.29–A.5.31Art. 11–15ENISA Business Continuity
BCP, DRP, testy, gotowośćPlany ciągłości, testyDigital Operational ResilienceENISA BCM Guidelines

Bezpieczeństwo sieci i systemów ICT

NIS-2ISO 27001DORAENISA
Art. 21 ust. 2 lit. eA.8–A.14Art. 8–10ENISA Technical Guidelines
Segmentacja, monitoring, szyfrowanie, aktualizacjeKontrole techniczneICT Security RequirementsENISA Cyber Hygiene

Zarządzanie podatnościami

NIS-2ISO 27001DORAENISA
Art. 21 ust. 2 lit. fA.8.8, A.8.9RTS Vulnerability ManagementENISA Vulnerability Management
Skanowanie, remediacja, CVE/CVSSPatch managementICT vulnerability lifecycleENISA Threat Landscape

Bezpieczeństwo łańcucha dostaw

NIS-2ISO 27001DORAENISA
Art. 21 ust. 2 lit. gA.5.19, A.5.20Art. 28–30ENISA Supply Chain Security
Klasyfikacja dostawców, SLA, nadzórZarządzanie dostawcamiCritical ICT providers, oversightENISA SCRM Framework

Bezpieczeństwo zasobów ludzkich

NIS-2ISO 27001DORAENISA
Art. 21 ust. 2 lit. hA.6Art. 6 ust. 5ENISA Awareness & Training
Szkolenia, świadomość, NDAKompetencje, szkoleniaICT training requirementsENISA Cyber Awareness

Zarządzanie tożsamością i dostępem (IAM)

NIS-2ISO 27001DORAENISA
Art. 21 ust. 2 lit. eA.5.15–A.5.18RTS ICT SecurityENISA IAM Guidelines
MFA, PAM, minimalne uprawnieniaIAM, kontrola dostępuIdentity & Access ControlsENISA IAM Best Practices

Rejestrowanie i monitorowanie

NIS-2ISO 27001DORAENISA
Art. 21 ust. 2 lit. iA.8.15–A.8.16RTS Logging & MonitoringENISA Monitoring Framework
Logi, SIEM, monitoring 24/7Rejestrowanie zdarzeńICT monitoring obligationsENISA SOC Guidelines

Testy i audyty

Dokumentacja i dowody zgodności

NIS-2ISO 27001DORAENISA
Art. 21 ust. 2 lit. j9.2, A.5.30Art. 11–15ENISA Testing Framework
Testy odporności, audytyAudyty wewnętrzneThreat‑led penetration testingENISA TLPT

Raportowanie i zgodność regulacyjna

NIS-2ISO 27001DORAENISA
Art. 21 ust. 27.5Art. 5–30ENISA Documentation Guidelines
Kompletny zestaw dokumentówNadzór nad dokumentacjąRegulatory evidenceENISA Compliance Toolkit
NIS-2ISO 27001DORAENISA
Art. 23–249.1Art. 17–20ENISA Reporting Guidelines
Raportowanie incydentów, zgodnośćMonitorowanie skutecznościIncident reportingENISA CSIRT Framework

Rozpocznij audyt zgodności z NIS-2 już teraz.

Zapewniamy kompleksowy audyt NIS-2, który pomoże Twojej organizacji spełnić wymagania bezpieczeństwa. Audyt zgodności NIS-2 oparty na check-liście 200+ punktów realnie zabezpiecza Twój biznes.

Poznaj szczegóły