2. Znalostní báze
  3. NIS2 Kybernetická bezpečnost
  4. Kontrolní seznam opatření a povinností pro NIS2

Kontrolní seznam opatření a povinností pro NIS2

Datum poslední aktualizace: 29. 03. 2024
Podívejte se na řešení:
Software pro řízení shody s NIS2
Pomohl Vám tento článek?
23 z celkových 23 článek pomohl.

NIS2 nastiňuje nezbytná vhodná a přiměřená technická a organizační opatření, která musí organizace přijmout. Následující seznam seznam deseti oblastí opatření obsahuje minimální povinnosti, které je třeba pokrýt.

  1. Řízení aktiv
  2. Řízení rizik
  3. Zvládnutý přístup k informacím, ochrana a bezpečnost dat
  4. Zvládání zaměstnanců
  5. Zvládání IT 
  6. Zvládání dodavatelů a IT služeb
  7. Reakce na útoky a havárie
  8. Obnova provozu po útoku nebo havárii
  9. Směrnice bezpečnosti
  10. Zlepšování

1. Řízení aktiv

Řízení aktiv je zavedené, pokud máte popsaná svoje primární aktiva a znáte jejich vzájemné závislosti, zejména na software, hardware a službách:

  • Jsou  identifikována a dokumentována klíčová data (Primární aktiva)
  • Podpůrná aktiva jsou známa, identifikována a popsána, kritické systémy a známé, identifikované a popsané
  • Závislosti primárních aktiv na podpůrných aktivech (IT infrastruktuře, software, hardware a službách) jsou popsané

2. Rizika a jejich řízení

Řízení rizik je zavedené, když máte splněné následující body

  • Kritická rizika jsou známá a popsaná a řízená
  • Hrozby jsou známé, popsané a řízené
  • Zranitelnosti jsou známé, popsané a řízené
  • Rizika jsou prioritizována, vyhodnocována a řízena
  • Rizika jsou vyhodnocena a opatření k nim jsou naplánována
  • Systém řízení rizik funguje ve vztahu k aktivům

3. Zvládnutý přístup k informacím, ochrana a bezpečnost dat

Máte zvládnuté procesy přístupu lidí a technologií k informacím a datům a řízení jejich oprávnění, když jsou splněné následující body:

  • Sdílení informací a dat mimo firmu je pod kontrolou
  • Zaměstnanci s přístupem k informacím jsou prověřováni
  • Přidělování oprávnění při nástupu zaměstnanců (onboarding) je pod kontrolou
  • Změny v oprávnění při změně pracovní pozice nebo jiné organizační změně je pod kontrolou
  • Změny oprávnění v průběhu zaměstnání jsou pod kontrolou
  • Proces odchodu zaměstnance a odebírání oprávnění je pod kontrolou
  • Privilegovaní uživatelé, účty a administrátoři a účty jsou pod kontrolou

4. Vzdělávání zaměstnanců

Vzdělávání zaměstnanců, je zavedené, když jsou splněné následující body.

  • Je zavedené vstupní školení zaměstnanců (v rámci onboardingu)
  • Je zavedený pravidelný trénink a školení stávajících zaměstnanců
  • Školicí procesy jsou plánované a dokumentované
  • Školení obsahuje znalosti informační gramotnosti, rizik informační a kybernetické bezpečnosti
  • Zaměstnanci jsou pravidelně a průběžně seznamováni s vnitřními předpisy a novinkami

5. Zvládání IT

Bezpečnost IT infrastruktury je zavedena a řízena, když jsou splněné následující body:

  • Pravidelná plánovaná údržba software, hardware a další IT infrastruktury (podpůrných aktiv) je zavedena
  • Je zavedena preventivní ochrana před útoky zvenku
  • Je zavedena preventivní ochrana před útoky zevnitř firmy
  • Je zavedena preventivní ochrana před útoky z mailů
  • Je zavedeno zálohování dat
  • Je zavedena obnova dat
  • Je zavedena přiměřená ochrana dat (kryptografie, šifrování)
  • Procesy vyřazení IT techniky jsou pod kontrolou

6. Zvládání dodavatelů a nakupovaných služeb

Nakupované IT služby jsou řízené, když jsou zavedena následující opatření.

  • Kritické služby zajišťované dodavateli jsou známé, identifikované a popsané
  • Dodavatelé IT služeb, podprůrných aktiv, jsou identifikováni a zdokumentováni a pod kontrolou
  • Dodavatelé údržby jsou pod kontrolou
  • Dodavatelé úklidových služeb jsou pod kontrolou
  • Smlouvy s dodavateli IT služeb jsou pod kontrolou
  • Smlouvy s dodavateli obsahují potřebné náležitosti na bezpečnost a ochranu informací i ukončení služeb

7. Reakce na útoky a incidenty

Řízení incidentů je zavedené když jsou splněné následující body.

  • Bezpečnostní incidenty jsou detekovány
  • Jsou zavedené procesy reakce na incidenty
  • Incidenty jsou zdokumentovány
  • Je zavedený systém hlášení incidentů

8. Obnova provozu po útoku nebo havárii

Obnova a kontinuita provozu je zavedená když jsou splněné následující body.

  • Jsou definované a zavedené procesy prevence ochrany (zálohování, školení, nezávislost na jednotlivcích) 
  • Jsou definované a zavedené procesy obnovy po havárii (disaster recovery)

9. Směrnice týkající se bezpečnosti dat

Směrnice bezpečnostní jsou zavedené, když jsou splněné následující body

  • Bezpečnostní zásady jsou dokumentovány, komunikovány a vyhodnocovány
  • Existuje směrnice k řešení incidentů
  • Existuje směrnice k nakládání s informacemi, hesly a přiřazování oprávnění
  • Existuje směrnice k údržbě IT infrastruktury
  • Existuje směrnice kontroly poskytovatelů služeb

10. Zlepšování 

Pravidelné hodnocení efektivnosti zavedených opatření formou kontrol, auditů a trvalého zlepšování je zavedené, když jsou splněné následující body.

  • Funguje pravidelné vyhodnocování, kontrola a audit aktiv, rizik, technických i organizačních opatření
  • Audity a kontroly jsou dokumentovány a závěry se uplatňují v praxi
  • Výstupy jsou použity pro zlepšování systému řízení bezpečnosti informací
Doporučujeme znát
Kam pokračovat dále