Checklist de Pregătire NIS 2 & DORA
Un checklist practic, fără jargon, pentru a evalua cât de pregătită este organizația ta pentru NIS 2 și DORA. Parcurge fiecare punct, bifează ce ai deja și transformă lipsurile într-un plan. Gratuit de folosit și distribuit.
Descarcă checklist-ul PDFPregătire NIS 2
NIS 2 (Directiva (UE) 2022/2555) extinde aria de aplicare și ridică măsurile minime de securitate. Articolul 21 listează baza; conducerea este responsabilă pentru aprobarea și supravegherea lor.
Guvernanță & responsabilitate
- Conducerea aprobă formal și supraveghează măsurile de management al riscului cibernetic.
- Conducerea și personalul-cheie urmează training de risc cibernetic.
- Sunt definite roluri, responsabilități și un responsabil pentru securitatea cibernetică.
Management al riscului & politici
- Analiză de risc documentată și politici de securitate a sistemelor informatice.
- Inventar de active și clasificare a datelor, ținute la zi.
- Politici și proceduri pentru evaluarea eficacității măsurilor (audituri, teste, pentest).
Gestionarea incidentelor
- Proceduri de detecție, gestionare și răspuns la incidente, implementate și testate.
- Capacitatea de a respecta termenele: avertizare în 24h, notificare în 72h, raport final.
Continuitate & lanț de aprovizionare
- Backup-uri, disaster recovery și management de criză, testate periodic.
- Securitatea lanțului de aprovizionare: cerințe și evaluare pentru furnizori și prestatori.
Bază tehnică
- Securitate în achiziție, dezvoltare și mentenanță, inclusiv gestionarea și raportarea vulnerabilităților.
- Practici de igienă cibernetică de bază și training de conștientizare pentru tot personalul.
- Politică de criptografie și criptare acolo unde e cazul.
- Securitatea resurselor umane, control acces și management al activelor (verificări, acces cu privilegii minime, revocare promptă).
- Autentificare multi-factor (MFA) sau continuă și comunicații securizate de voce, video și text.
Pregătire DORA
DORA (Regulamentul (UE) 2022/2554) stabilește reguli de reziliență operațională digitală pentru entitățile financiare și furnizorii lor ICT, pe cinci piloni.
Managementul riscului ICT
- Cadru de management al riscului ICT aprobat de board, revizuit periodic.
- Maparea activelor ICT, a funcțiilor de business și a dependențelor.
- Politică de continuitate ICT, planuri de răspuns și recuperare și backup-uri testate.
Managementul & raportarea incidentelor ICT
- Proces de detecție, clasificare și raportare a incidentelor ICT majore către autoritatea competentă.
Testarea rezilienței operaționale
- Program periodic de testare a rezilienței (evaluări de vulnerabilități, teste pe scenarii).
- Threat-Led Penetration Testing (TLPT) pentru entitățile vizate.
Terți & schimb de informații
- Registru al furnizorilor ICT terți, cerințe contractuale și monitorizarea riscului de concentrare.
- Mecanisme de schimb de threat intelligence cu alte entități.
Acest checklist este un ghid practic, nu consultanță juridică. Obligațiile depind de sectorul, dimensiunea și rolul tău sub fiecare cadru.
Ai nevoie de ajutor să închizi lipsurile?
Ajutăm organizațiile să testeze, să instruiască și să documenteze drumul către conformitatea NIS 2 și DORA — de la testare de penetrație la risc uman și dovezi pregătite pentru audit.