Complete the test

Assess your readiness

Get the result

Тест

Nis 2 Readiness assessment

The purpose of the readiness assessment against the NIS 2 requirements is to provide insight into the strengths and weaknesses associated with the organisation being assessed.

*The results of this assessment do not constitute a diagnosis and further remedial action, but rather information on the scope of the NIS 2 Directive and a specific organisation for non-experts. Please contact us if you require a professional assessment of your security position against the NIS 2 requirements.

Time

11 min

Questions

41 questions

Price

Free

Type

Readiness assessment

The test assesses readiness in the domains of:

    • Risk Management
    • Incident response
    • Supply chain security
    • Security measures
    • Compliance with regulatory requirements
    • Training and awareness
    • Business continuity and recovery
0%

NIS 2 Оценка на готовност

1 / 41

Има ли назначен служител или екип, отговарящ за управлението на риска в областта на киберсигурността?

2 / 41

Актуализират ли се плановете за непрекъсваемост на бизнес процесите въз основа на поуките, извлечени от действителни инциденти?

3 / 41

Извършват ли се редовни оценки на сигурността от вътрешни или външни лица с цел идентифициране на уязвимости и/или провеждане на тестове за проникване?

4 / 41

Осигуряват ли се семинари или обучения на персонала по конкретни заплахи за киберсигурността и мерки за противодействие?

5 / 41

Назначено ли е длъжностно лице по защита на данните (DPO - Data Protection Oficer), което да гарантира спазването на законите и разпоредбите за защита на данните?

6 / 41

Поддържате ли дублираща инфраструктура или услуги, за да осигурите непрекъснатост в случай на значителен инцидент в областта на киберсигурността?

7 / 41

Има ли специална функция или екип, който да следи за промените в нормативната уредба в областта на киберсигурността и да гарантира спазването им?

8 / 41

Имате ли включени права за одит в споразуменията с ключови доставчици, за да се гарантира спазването на вашите изисквания за сигурност?

9 / 41

Използвате ли анализ на поведението на потребителите за откриване на потенциално злонамерена дейност?

10 / 41

Извършвате ли постоянен мониторинг и преглед на практиките за сигурност на Вашите доставчици и доставчици на услуги от трети страни?

11 / 41

Обучени ли са служителите относно правните аспекти на киберсигурността, включително изискванията за защита на личните данни, данните и информацията, включително и директивата за МИС?

12 / 41

Добре документирани и достъпни ли са всички политики, процедури и мерки за киберсигурност и спазване на изискванията?

13 / 41

Извършвате ли се прегледи след инцидента, за да се анализира реакцията и да се идентифицират областите за подобрение?

14 / 41

Определени ли са и прилагани ли са минимални стандарти за киберсигурност за всички доставчици и доставчици на услуги от трети страни?

15 / 41

Редовно ли се актуализират системите и софтуерът, за да се отстранят уязвимостите в сигурността?

16 / 41

Съществува ли процес за непрекъснато усъвършенстване на стратегиите за управление на риска въз основа на нови заплахи и уязвимости?

17 / 41

Съществува ли ефективен механизъм, чрез който служителите да докладват за проблеми или инциденти, свързани с киберсигурността?

18 / 41

Определени ли са и тествани ли са целите за времето за възстановяване (RTO - recovery time objective) за критичните ИТ системи?

19 / 41

Оценявате ли редовно ефективността на програмите за обучение по киберсигурност?

20 / 41

Извършвате ли анализ на зависимостите, за да се диагностицира как смущенията и проблемите в една система или процес могат да се отразят на други такива?

21 / 41

Използвате ли съвременни технологии за откриване на заплахи и уязвимости в сферата на киберсигурността?

22 / 41

Програмите за обучение по киберсигурност съобразени ли са със специфичните роли и отговорности на служителите?

23 / 41

Разполагате ли с юридически съветник, който да управлява докладването на инциденти, свързани с киберсигурността, в съответствие с нормативните изисквания?

24 / 41

Извършвате ли редовни анализи на въздействието върху дейността, за да определите критичните системи и данни, които са от съществено значение за непрекъснатостта на вашата организация?

25 / 41

Интегрирано ли е управлението на риска във веригата на доставки в цялостната организационна рамка за управление на риска?

26 / 41

Имате ли специализиран екип за реакция при инциденти с ясно определени роли и отговорности?

27 / 41

Имате ли договорености с външни фирми за киберсигурност за допълнителна подкрепа по време на инцидент?

28 / 41

Провеждат ли се редовни, подробни симулации на инциденти, свързани с киберсигурността, за да се тества готовността?

29 / 41

Редовно ли се включват служителите и ръководството в идентифицирането, оценката и управлението на риска?

30 / 41

Съществуват ли официални клаузи за споразумение, които изискват от доставчиците да докладват за инциденти, свързани със сигурността?

31 / 41

Тестват ли се плановете за непрекъсваемост на бизнес процесите при различни сценарии, за да се провери тяхната ефективност при различни потенциални инциденти?

32 / 41

Разполагате ли с комуникационен план за координация с външните заинтересовани страни по време на инцидент в областта на киберсигурността?

33 / 41

Редовно ли тествате служителите със симулирани фишинг атаки, за да повишите тяхната бдителност?

34 / 41

Интегрирани ли са процесите за управление на риска в областта на киберсигурността с цялостната рамка за управление на риска в организацията?

35 / 41

Съществува ли официален механизъм за включване на обратната връзка от одитите и инцидентите в процеса на управление на риска?

36 / 41

Ясно ли са дефинирани и известни на целия компетентен персонал процедурите за ескалация на различни видове инциденти със сигурността и първоначална оценка на сериозността?

37 / 41

Имате ли конкретни планове за управление на инциденти, свързани с киберсигурността, които засягат вашата верига за доставки?

38 / 41

Изисква ли се от служителите да получат таргетирани обучения за киберсигурност?

39 / 41

Архитектурата за сигурност периодично ли се преразглежда и актуализира, за да отразява актуалните практики и заплахи за киберсигурността?

40 / 41

Възприемате ли и адаптирате ли нови технологии за подобряване на процесите за управление на риска?

41 / 41

Прилагате ли или планирате ли да приложите модел за сигурност с нулево доверие (Zero Trust Security model)?

Your score is

The main topics that are the subject of the evaluation are described below:

Risk Management

Cybersecurity risk management is the systematic identification, assessment and mitigation of risks to an organization’s information assets. It begins with identifying information assets, determining potential threats and vulnerabilities, assessing their likelihood and impact, and then implementing strategies to minimize those risks through preventive and reactive measures. Continuous monitoring and periodic reviews ensure the effectiveness of risk management practices, adapting as necessary to new threats. Effective communication and compliance are integral to the process, aligning risk management with regulatory requirements and informing all levels of the organization. This proactive approach is critical to maintaining robust cybersecurity defenses and ensuring the organization is resilient to a variety of cyber threats.

Incident response

Cybersecurity incident response is a structured approach to managing and mitigating the impact of security breaches or attacks. It includes preparation, detection, containment, remediation and recovery phases, coupled with detailed documentation and communication throughout the process. Incident response teams quickly assess and respond to threats to minimize damage and restore system functionality. They also analyze the incident to learn from and improve future responses. This cycle ensures that organizations can quickly adapt and strengthen their defenses against new threats. Effective incident response is critical to maintaining trust, business continuity and regulatory compliance.

Supply chain security

Supply chain security in cybersecurity focuses on protecting the integrity, confidentiality, and availability of goods and information flowing through the supply chain network. It involves assessing and mitigating risks posed by third-party partners and suppliers from sourcing to delivery. Effective supply chain security requires robust due diligence, continuous monitoring and integration of security practices among all stakeholders. This includes the implementation of stringent cybersecurity measures, contractual obligations and regular audits to ensure security standards are met. Because threats can compromise entire supply chains, proactive management is essential to protect against disruptions and maintain confidence in supply chain operations.

Security measures

Cybersecurity measures cover a range of strategies and tools designed to protect digital systems, networks and data from unauthorised access, attacks and damage. These measures include physical security controls, cybersecurity policies, user access management and technology solutions such as firewalls, antivirus software and encryption. Regular updates, vulnerability assessments and penetration testing are critical to ensure that these defences remain effective against evolving threats. Additionally, implementing security protocols such as multi-factor authentication and secure encryption practices will help mitigate risks. Organizations should take a layered approach to security, combining multiple defenses to increase resilience and protect sensitive information and critical infrastructure.

Compliance with regulatory requirements

Regulatory compliance in cybersecurity refers to compliance with laws, regulations, and guidelines designed to protect information and infrastructure from cyber threats. It involves implementing the necessary security policies, procedures, and controls to meet specific standards set by governing bodies. Compliance is critical not only to avoid legal penalties and financial loss, but also to maintain customer and stakeholder confidence. Organizations must regularly assess and update their compliance status in response to new and changing regulations. Effective compliance programs include employee training, regular audits, and continuous improvement to address the dynamic nature of cybersecurity threats and regulatory requirements.

Training and awareness

Cybersecurity training and awareness is a critical component of an organization’s security posture, which aims to provide employees with the knowledge and skills to recognize and respond effectively to cyber threats. These programs include regular training sessions on security best practices, the latest cyber threats, and organizational policies. Awareness initiatives aim to keep cybersecurity at the forefront of employees’ minds and help prevent breaches caused by human error. Interactive exercises, such as phishing simulations and workshops, increase employee engagement and retention. Ultimately, well-informed employees are a critical layer of defense against cyberattacks and foster a culture of security awareness throughout the organization.

Business continuity and recovery

Business continuity and disaster recovery in cybersecurity focus on maintaining and restoring business operations in the event of a cyberattack or other disruption. This process involves creating detailed plans that outline the actions necessary to minimize downtime and financial loss while ensuring the availability of critical services. These plans typically include data backup strategies, systems redundancy, and failover mechanisms to ensure rapid recovery. Regular testing and updating of these plans is essential to adapt to new threats and changing business requirements. Effective business continuity and recovery strategies ensure that an organization can recover quickly from disruptions while maintaining customer confidence and operational stability.