Narzędzie od nisd2.eu

Portal dostawców od nisd2.eu

Wypełnij jeden kwestionariusz bezpieczeństwa. Udostępnij każdemu klientowi.

Jeden kanoniczny kwestionariusz dostawcy, ustrukturyzowany według ENISA NIS 2 Technical Implementation Guidance v1.0. Każde pytanie cytuje CIR 2024/2690, BSIG §30 lub BSI IT-Grundschutz. Darmowy. Open source. Twoje dane pozostają przenośne.
Ustrukturyzowany według ENISA NIS 2 TIG v1.0 §5
Utwórz profil dostawcyCo znajduje się w kwestionariuszu?

Jak to działa.

Trzy kroki, od pierwszego logowania do pierwszego zaproszenia klienta.

1. Utwórz profil
Zaloguj się przez Google. Wprowadź nazwę firmy i główną domenę. Dwie minuty.
2. Wypełnij kwestionariusz
Trzy podstrony w portalu: profil i opis usługi, uniwersalne środki bezpieczeństwa cybernetycznego zgodnie z NIS 2 Art. 21(2), sekcje techniczne według typu usługi. 59 pytań, we własnym tempie, wersja robocza zapisuje się automatycznie.
3. Zaproś klientów
Każdy zaproszony klient otrzymuje prywatny magic link. Brak profilu publicznego, brak indeksowania przez wyszukiwarki.

Co znajduje się w kwestionariuszu.

Dziesięć sekcji, każda cytująca odpowiedni paragraf ENISA TIG, CIR 2024/2690 lub BSI IT-Grundschutz.

  • Tożsamość (CIR §5.2 / ENISA TIG §5.2 rejestr dostawców)
  • Kontakt w sprawie incydentów (skierowany do klienta)
  • Typ usługi
  • Obowiązkowe klauzule umowne (CIR / ENISA TIG §5.1.4)
  • Środki bezpieczeństwa cybernetycznego (NIS 2 Art. 21(2) / ENISA TIG §5.1.2)
  • Dodatkowe klauzule umowne (ENISA TIG §5.1.4 TIPS)
  • Część techniczna SaaS
  • Część techniczna oprogramowania on-prem
  • Usługi profesjonalne, szczegóły
  • Usługi zarządzane, szczegóły

Pełny schemat jest publicznie dostępny na GitHub i można go wyeksportować jako JSON.

Cztery sekcje techniczne na typ usługi.

Strona Typ usługi w portalu udostępnia cztery dodatkowe sekcje. Wypełnij tylko te, które odpowiadają temu, co oferujesz.

SaaS

Region hostingu, szyfrowanie w spoczynku i w tranzycie, MFA dla kont administracyjnych, docelowy czas odtworzenia.

Oprogramowanie on-prem

Zestawienie składników oprogramowania (SBOM), kryptograficznie podpisane wydania, opublikowana polityka ujawniania podatności, SLA poprawek dla krytycznych CVE.

Usługi profesjonalne

Zakres weryfikacji przeszłości, NDA ze wszystkimi konsultantami, udokumentowana polityka zachowania na terenie klienta.

Usługi zarządzane

Zarządzanie dostępem uprzywilejowanym, nagrywanie sesji administracyjnych, dyżur 24/7 w przypadku incydentów bezpieczeństwa.

Przykładowe pytania.

Sześć pytań z różnych sekcji, wraz z tekstem pomocniczym, który dostawcy widzą podczas ich wypełniania. Tożsamość, praktyki bezpieczeństwa, klauzule umowne, deklaracje AI, szczegóły techniczne.

Legal name

Your company's registered name, as it appears in the commercial register. Example: Müller GmbH or Acme Software Ltd.

ENISA TIG §5.2

Documented Information Security Management System (ISMS)

Tick yes if you have a written information security policy with assigned roles, regular reviews, and documented incident handling. ISO 27001 or BSI Grundschutz certification implies yes.

CIR 2024/2690 §5.1.2(a)

Accept customer right to audit (or provide audit reports)

Tick yes if you either grant customers an on-site audit right or provide substitute audit reports (for example SOC 2, ISAE 3402).

CIR 2024/2690 §5.1.4(e)

Provide incident assistance to customers at no / ex-ante cost

Tick yes if you commit to helping customers at no extra cost when an incident is caused by your product or service. If you agree a pre-defined day rate up front instead, also tick yes.

ENISA TIG §5.1.4 TIPS

We use, integrate or provide AI systems

Do your products or services process customer data through an AI or ML model? Includes external models you call through an API, for example OpenAI or Anthropic.

NIS2 Art. 21(2)(d)

Hosting region

The cloud region where customer data is hosted. Example: AWS eu-central-1, Azure West Europe. Name the primary region; secondary or backup regions can be added comma-separated.

ENISA TIG §5.2

Sześć z 59 pytań. Pełny zestaw w portalu.

Z zadowoleniem przyjmujemy obecne inicjatywy branżowe mające na celu opracowanie ujednoliconego katalogu kwestionariuszy dla dostawców."

BSI NIS-2 FAQ (łańcuch dostaw i bezpieczeństwo).

Ten portal dostawców JEST tą inicjatywą branżową. Prywatnie zbudowany, ujednolicony katalog kwestionariuszy, ustrukturyzowany według kanonicznej taksonomii UE (ENISA TIG §5), tak aby każdy podmiot regulowany przez NIS 2 mógł spełnić CIR §5.1.4 z jednego źródła.

Dwustronny i prywatny.

Zbudowany w Niemczech, hostowany w UE, zgodny z BSI Grundschutz. Twoje dane są udostępniane tylko klientom, których wyraźnie zaprosisz. Brak publicznego adresu URL, brak indeksowania przez wyszukiwarki.

Zacznij w dwie minuty.

Zaloguj się przez Google. Wprowadź nazwę firmy i główną domenę. Wypełnij kwestionariusz we własnym tempie. Gdy będziesz gotowy, zaproś swoich klientów.

Utwórz profil dostawcy

Kontynuuj na nisd2.eu.

To narzędzie jest częścią ekosystemu nisd2.eu. Reszta znajduje się tutaj.

Portal dostawców NIS 2

Ta sama funkcja, ujęta z perspektywy NIS 2: dla organów zarządzających wdrażających §30 BSIG.

Otwarty schemat kwestionariusza

Pełny schemat JSON z cytowaniami źródeł, darmowy do ponownego wykorzystania.

Wdrożenie NIS 2 z przewodnikiem

Jeśli potrzebujesz pomocy przy pełnym wdrożeniu: 500 euro miesięcznie, kein Lock-in.

Open source

Pełny kod źródłowy na GitHub na licencji AGPL-3.0.