Проверете NIS2 готовността на вашата организация
Директивата NIS2 вече е транспонирана в българското законодателство чрез Закона за киберсигурност. Този инструмент ще ви помогне да определите дали вашата организация попада в обхвата и доколко сте подготвени.
Оценката отнема под 5 минути. Данните не се изпращат никъде - всичко работи в браузъра ви.
Стъпка 1: Профил на организацията
1 / 3Стъпка 2: Мерки за сигурност
2 / 31. Анализ на риска и политика за сигурност
чл. 22, ал. 2, т. 1
Политики за анализ на рисковете и сигурност на информационните системи.
- • Документирана политика за информационна сигурност, одобрена от ръководството
- • Формална методология за оценка на риска (идентификация на активи, заплахи, уязвимости)
- • Регистър на рисковете с план за третиране и отговорни лица
- • Редовен преглед на оценката на риска (минимум годишно или при значими промени)
2. Реагиране при инциденти
чл. 22, ал. 2, т. 2
Процедури за управление и докладване на инциденти, включително уведомяване на СЕРИКС.
- • Документиран план за реагиране при инциденти с ясни роли и ескалация
- • Процедура за уведомяване на СЕРИКС: 24ч ранно предупреждение, 72ч уведомление, 1м окончателен доклад
- • План за комуникация при инцидент (вътрешна и външна)
- • Тестване на процедурите чрез симулация поне веднъж годишно
3. Непрекъсваемост и управление на кризи
чл. 22, ал. 2, т. 3
Непрекъснатост на дейността, управление на резервни копия и възстановяване при бедствия.
- • План за непрекъснатост на дейността (BCP) с определени критични системи
- • План за възстановяване при бедствия (DRP) с документирани RTO/RPO
- • Редовни резервни копия с проверка за възстановяемост
- • Тестване на плановете поне веднъж годишно
4. Сигурност на веригата за доставки
чл. 22, ал. 2, т. 4
Управление на рисковете от доставчици и партньори, включително ИКТ доставчици.
- • Регистър на критичните доставчици с оценка на тяхната сигурност
- • Изисквания за киберсигурност в договорите с доставчици
- • Процедура за редовна преоценка на доставчиците
- • Клаузи за уведомяване при инциденти в средите на доставчиците
5. Сигурност при придобиване и разработка
чл. 22, ал. 2, т. 5
Сигурност при придобиване, разработка и поддръжка на мрежови и информационни системи.
- • Процедури за сигурна разработка (SDLC) с преглед на кода
- • Тестове за уязвимости преди внедряване в продукция
- • Процес за управление на промените (change management)
- • Оценка на сигурността при придобиване на нови системи
6. Оценка на ефективността на мерките
чл. 22, ал. 2, т. 6
Политики и процедури за оценяване на ефективността на мерките за управление на риска.
- • Програма за вътрешни одити на сигурността (минимум годишно)
- • Тестове за проникване от независим екип
- • Процес за проследяване на коригиращи действия с конкретни срокове
- • Доклади за ефективността на контролите, докладвани на ръководството
7. Кибер хигиена и обучение
чл. 22, ал. 2, т. 7
Основни практики за кибер хигиена и обучение по киберсигурност за персонала.
- • Програма за обучение по киберсигурност за всички служители
- • Обучение на ръководството поне на всеки 2 години (чл. 21)
- • Политика за пароли, актуализации и безопасно ползване на устройства
- • Документирано присъствие и оценка на ефективността на обученията
8. Криптография и криптиране
чл. 22, ал. 2, т. 8
Политики и процедури за използване на криптография, включително криптиране на данни.
- • Политика за криптиране с минимални стандарти за алгоритми
- • Криптиране на данни в покой и при пренос
- • Процедура за управление на криптографски ключове (генериране, съхранение, ротация)
- • Инвентар на системите, използващи криптография
9. Контрол на достъпа и управление на активи
чл. 22, ал. 2, т. 9
Политики за контрол на достъпа, управление на активи и сигурност на човешките ресурси.
- • Регистър на информационните активи с определени собственици
- • Контрол на достъпа по принципа на най-малките привилегии
- • Процедури при наемане, преместване и напускане на персонал
- • Редовен преглед на правата за достъп (минимум на тримесечие)
10. Многофакторно удостоверяване
чл. 22, ал. 2, т. 10
Решения за многофакторно удостоверяване или непрекъснато удостоверяване.
- • MFA за всички критични системи и административни акаунти
- • MFA за отдалечен достъп (VPN, RDP)
- • Политика за одобрени методи за удостоверяване (TOTP, FIDO2, хардуерни ключове)
- • Процедура за възстановяване при загуба на MFA фактор
11. Защитени комуникации
чл. 22, ал. 2, т. 11
Използване на защитени гласови, видео и текстови комуникации и защитени системи за спешна комуникация.
- • Криптирани канали за вътрешна комуникация (email, чат, видеоконференции)
- • Определен защитен канал за спешна комуникация при инцидент
- • Списък на одобрени комуникационни инструменти
- • Обучение на персонала кои канали да използва за чувствителна информация
12. Сигурност на мрежите
чл. 22, ал. 2, т. 12
Мерки за сигурност на мрежите, сегментиране и мониторинг на трафика.
- • Мрежова сегментация (разделяне на критични от общи мрежи)
- • Системи за наблюдение на трафика (IDS/IPS)
- • Редовно сканиране за уязвимости на мрежовата инфраструктура
- • Централизирано събиране и анализ на логове
NIS2 Самооценка - Доклад
isms.bg |
Готовност
Тип субект
Макс. санкция
Ключови срокове
- 1 юни 2026: Край на гратисния период - след тази дата санкциите са в пълен размер (§ 51).
- Мерки за сигурност: 12-те мерки по чл. 22 трябва да са внедрени към момента на определяне като субект.
- Докладване при инцидент: 24 часа за ранно предупреждение, 72 часа за уведомление, 1 месец за окончателен доклад.
Детайлна оценка по мерки
Препоръки и ISO 27001 съответствие
Приоритетен план за действие
Изтеглете пълния доклад
PDF докладът включва допълнително:
- • Конкретни препоръки за всеки пропуск
- • ISO 27001 съответствие за всяка мярка
- • Приоритетен план за действие
Ще получавате практични съвети за киберсигурност от isms.bg. Отписване с един клик.
Моля, въведете валиден имейл адрес.
Нещо се обърка. Моля, опитайте отново или се свържете с нас.
NIS2 Съответствие
Пълна програма за внедряване на NIS2 изискванията.
Безплатна консултация
Нека обсъдим вашата конкретна ситуация.
vCISO услуга
Външен директор по сигурността на достъпна цена.
Този доклад е генериран от NIS2 инструмента за самооценка на isms.bg и не представлява правна консултация.
Следващи стъпки: isms.bg/services/nis2/ | isms.bg/contact/