Kiedy zarząd ostatnio otrzymał raport o stanie bezpieczeństwa IT — przygotowany przez podmiot niezależny od działu IT?
NIS2 wskazuje zarząd jako podmiot odpowiedzialny za nadzór. Raport wewnętrzny IT nie spełnia wymogu niezależnej weryfikacji.
A
W ciągu ostatnich 12 miesięcy
Zewnętrzny audyt lub niezależna ocena — udokumentowana
B
Ponad rok temu
Audyt był, ale aktualność wyników jest wątpliwa
C
Nigdy — mamy tylko raporty od własnego IT
Wewnętrzna samoocena bez zewnętrznej weryfikacji
D
Nie wiem / temat nie był poruszany na poziomie zarządu
Brak świadomości wymogu niezależnego nadzoru
Wybierz odpowiedź, aby przejść dalej
1 z 10
Pytanie 02 / 10 — Dostępy i uprawnienia
Czy istnieje aktualna lista podmiotów mających dostęp do systemów firmy — z podziałem na poziomy uprawnień?
UODO traktuje brak inwentaryzacji dostępów jako naruszenie niezależnie od incydentu. Dotyczy to nie tylko pracowników, ale też agencji, dostawców IT i software house'ów.
A
Tak — lista jest aktualna i regularnie przeglądana
Wiadomo kto, do czego, od kiedy i z jakim poziomem uprawnień
B
Częściowo — mamy listę pracowników, ale nie dostawców zewnętrznych
Agencje, partnerzy i podwykonawcy nie są ujęci
C
Lista istnieje, ale nie pamiętamy kiedy była aktualizowana
Prawdopodobnie nieaktualna — bez systematycznych przeglądów
D
Nie — dostępami zarządza IT bez formalnej inwentaryzacji
Zarząd nie ma wglądu w to, kto ma dostęp do czego
2 z 10
Pytanie 03 / 10 — Offboarding pracowników
Co dzieje się z dostępami pracownika w momencie rozwiązania umowy o pracę?
Były pracownik z aktywnym dostępem do CRM, poczty lub systemów finansowych stanowi naruszenie RODO — niezależnie od jego intencji. Kluczowe jest istnienie udokumentowanej procedury.
A
Formalna procedura — kadry informują IT tego samego dnia, IT potwierdza odbiór na piśmie
Udokumentowany, systematyczny proces z weryfikacją
B
IT odbiera dostępy, ale bez formalnej procedury i dokumentacji
Działa w praktyce, ale nie ma dowodów na wypadek kontroli
C
Kadry informują IT — ale czas reakcji jest różny, czasem kilka tygodni
Brak standardowego terminu i weryfikacji realizacji
D
Nie mamy formalnej procedury — odbywa się to ad hoc
Dostępy są odbierane jeśli ktoś o tym pamięta
3 z 10
Pytanie 04 / 10 — Agencje i dostawcy zewnętrzni
Jaki poziom uprawnień mają Twoje agencje marketingowe w systemach firmy?
Agencja z uprawnieniami administratora ma dostęp do danych wszystkich klientów, historii transakcji i konfiguracji bezpieczeństwa. UODO ukarało firmy za brak weryfikacji uprawnień dostawców (350 000 zł).
A
Uprawnienia użytkownika — tylko do zadań, które zleciliśmy
Brak dostępu do danych klientów i paneli administracyjnych
B
Mają szerszy dostęp, ale formalnie udokumentowany w umowie
Umowa powierzenia przetwarzania danych jest podpisana
C
Mają uprawnienia administratora — tak jest prościej we współpracy
Brak formalnego podziału na poziomy uprawnień
D
Nie wiem dokładnie — tym zarządza IT lub agencja sama sobie ustawia
Zarząd nie ma wglądu w zakres uprawnień podmiotów zewnętrznych
4 z 10
Pytanie 05 / 10 — Weryfikacja dostawców IT
Gdy firma doradcza IT proponuje zakup infrastruktury lub wdrożenie systemu — jak zarząd weryfikuje tę ofertę?
Dostawcy IT rekomendują rozwiązania, na których osiągają marżę. Brak niezależnej weryfikacji oznacza, że zarząd ponosi pełną odpowiedzialność za decyzję zakupową.
A
Zlecamy niezależną ocenę techniczną i prawną przed podpisaniem
Zewnętrzna weryfikacja adekwatności, ceny i bezpieczeństwa
B
Porównujemy oferty kilku dostawców — wybieramy najlepszą
Porównanie cenowe, bez niezależnej oceny bezpieczeństwa
C
Opieramy się na rekomendacji własnego IT lub zaufanego dostawcy
Brak niezależnej weryfikacji — decyzja na podstawie relacji
D
Akceptujemy ofertę dostawcy — ufamy specjalistom
Pełne zaufanie do dostawcy bez zewnętrznego sprawdzenia
5 z 10
Pytanie 06 / 10 — Dokumentacja bezpieczeństwa
Czy firma posiada aktualną politykę bezpieczeństwa informacji, rejestr czynności przetwarzania i procedurę reagowania na incydenty?
UODO weryfikuje te trzy dokumenty jako pierwsze podczas każdej kontroli. Ich brak lub nieaktualność skutkuje karą niezależnie od tego, czy doszło do naruszenia danych.
A
Tak — wszystkie trzy są aktualne i zatwierdzone przez zarząd
Zaktualizowane w ciągu ostatnich 12 miesięcy
B
Dokumenty istnieją, ale nie wiemy kiedy były aktualizowane
Prawdopodobnie nieaktualne lub niekompletne
C
Mamy część dokumentów — brakuje co najmniej jednego
Niekompletna dokumentacja — luki skutkują karą przy kontroli
D
Nie posiadamy tych dokumentów lub nie wiemy, czy istnieją
Brak podstawowej dokumentacji wymaganej przez RODO
6 z 10
Pytanie 07 / 10 — Umowy z podmiotami zewnętrznymi
Czy wszystkie podmioty mające dostęp do danych klientów mają podpisane umowy powierzenia przetwarzania danych?
Każdy podmiot zewnętrzny przetwarzający dane klientów w imieniu Twojej firmy musi mieć podpisaną umowę powierzenia. Brak umowy to naruszenie RODO — niezależnie od tego, czy dane wyciekły.
A
Tak — każdy podmiot zewnętrzny ma aktualną umowę powierzenia
Rejestr umów jest prowadzony i regularnie przeglądany
B
Większość ma — ale nie mamy pewności co do wszystkich
Brak systematycznej weryfikacji kompletności umów
C
Część ma umowy ogólne, bez sprawdzenia klauzul RODO
Umowy mogą nie spełniać wymogów art. 28 RODO
D
Nie wiemy / nie kontrolujemy tego na poziomie zarządu
Temat nie był weryfikowany — brak świadomości wymogu
7 z 10
Pytanie 08 / 10 — Gotowość incydentowa
Co się stanie w Twojej firmie w pierwszych 24 godzinach po wykryciu naruszenia danych lub ataku ransomware?
UODO wymaga zgłoszenia naruszenia w ciągu 72 godzin. Brak procedury reagowania i przekroczenie terminu to odrębna podstawa kary — niezależna od samego naruszenia.
A
Mamy udokumentowaną procedurę — zarząd zna kroki, role i terminy
Procedura przetestowana, kontakty do UODO i prawnika gotowe
B
IT wie co robić technicznie, ale nie ma planu po stronie zarządu
Brak procedury zgłoszenia do UODO i komunikacji kryzysowej
C
Nie mamy formalnej procedury — zarząd zdecydowałby ad hoc
Decyzje podejmowane na bieżąco, bez gotowego planu
D
Nie zastanawialiśmy się nad tym scenariuszem
Brak jakiegokolwiek przygotowania na przypadek incydentu
8 z 10
Pytanie 09 / 10 — NIS2 i łańcuch dostaw
Czy Twoja firma potrafi dziś udokumentować stan bezpieczeństwa IT — gdyby kontrahent enterprise poprosił o vendor audit?
Firmy w łańcuchu dostaw podmiotów objętych NIS2 są coraz częściej weryfikowane przez swoich klientów. Brak dokumentacji może skutkować utratą kontraktu — bez żadnego incydentu.
A
Tak — mamy dokumentację i byliśmy już poddani vendor audit
Gotowi na weryfikację przez kontrahenta enterprise w każdej chwili
B
Częściowo — mamy niektóre dokumenty, ale nie byliśmy weryfikowani
Nie wiemy czy dokumentacja wystarczy do przejścia audytu dostawcy
C
Nie — nie jesteśmy gotowi na vendor audit
Brak dokumentacji, która pozwoliłaby przejść zewnętrzną weryfikację
D
Nie słyszeliśmy o tym wymaganiu od naszych kontrahentów
Temat nie był poruszany — możliwe że klienci jeszcze nie wymagają
9 z 10
Pytanie 10 / 10 — Odpowiedzialność zarządu
Czy zarząd Twojej firmy przeanalizował swoje osobiste ryzyko finansowe wynikające z NIS2 i RODO — z pomocą prawnika?
NIS2 wprowadza osobistą odpowiedzialność finansową zarządu — z prywatnego majątku, niezależnie od kar nałożonych na spółkę. Standardowe OC spółki tej odpowiedzialności nie obejmuje.
A
Tak — przeprowadziliśmy formalną analizę ryzyka zarządczego z prawnikiem
Wiemy co naraża, co chroni i co należy zmienić
B
Mamy ogólną świadomość — ale nie analizowaliśmy tego formalnie
Wiemy że ryzyko istnieje, ale nie znamy jego dokładnego zakresu
C
Słyszeliśmy o NIS2, ale nie wiemy jak konkretnie dotyczy zarządu
Brak wiedzy o osobistej odpowiedzialności finansowej zarządu
D
Nie znaliśmy tego wymogu — pierwszy raz słyszę o osobistej odpowiedzialności
Brak świadomości regulacji — wysokie ryzyko prawne zarządu
10 z 10
POZIOM RYZYKA
Wynik
Opis
MAPA RYZYKA — 5 OBSZARÓW KONTROLI ZARZĄDCZEJ
Sprawdź, jak wygląda ta diagnoza w Twojej firmie
Bezpłatna 30-minutowa konsultacja dla zarządu. Omawiamy wyniki, identyfikujemy priorytety i ustalamy plan naprawczy.
