Uma ferramenta da nisd2.eu

Portal de fornecedores da nisd2.eu

Responda a um questionário de segurança. Partilhe com todos os clientes.

Um questionário canónico de fornecedor, estruturado pelo ENISA NIS 2 Technical Implementation Guidance v1.0. Cada pergunta cita o CIR 2024/2690, o BSIG §30 ou o BSI IT-Grundschutz. Gratuito. Open source. Os seus dados mantêm-se portáveis.
Estruturado pelo ENISA NIS 2 TIG v1.0 §5
Criar perfil de fornecedorO que contém o questionário?

Como funciona.

Três passos, do primeiro início de sessão ao primeiro convite a um cliente.

1. Criar um perfil
Inicie sessão com o Google. Indique o nome da empresa e o domínio principal. Dois minutos.
2. Responder ao questionário
Três subpáginas no portal: perfil e descrição do serviço, medidas universais de cibersegurança nos termos do art. 21.º, n.º 2, da NIS 2, secções técnicas por tipo de serviço. 59 perguntas, ao seu ritmo, com gravação automática do rascunho.
3. Convidar clientes
Cada cliente convidado recebe uma ligação mágica privada. Sem perfil público, sem indexação por motores de busca.

O que contém o questionário.

Dez secções, cada uma citando o parágrafo subjacente do ENISA TIG, do CIR 2024/2690 ou do BSI IT-Grundschutz.

  • Identidade (CIR §5.2 / registo de fornecedores do ENISA TIG §5.2)
  • Contacto para incidentes (voltado para o cliente)
  • Tipo de serviço
  • Cláusulas contratuais obrigatórias (CIR / ENISA TIG §5.1.4)
  • Medidas de cibersegurança (art. 21.º, n.º 2, da NIS 2 / ENISA TIG §5.1.2)
  • Cláusulas contratuais adicionais (ENISA TIG §5.1.4 TIPS)
  • Aspetos técnicos do SaaS
  • Aspetos técnicos do software on-prem
  • Serviços profissionais, detalhes
  • Serviços geridos, detalhes

O esquema completo é público no GitHub e exportável em JSON.

Quatro secções técnicas por tipo de serviço.

A página de Tipo de serviço no portal apresenta quatro secções adicionais. Preencha apenas as que correspondem ao que oferece.

SaaS

Região de alojamento, cifragem em repouso e em trânsito, MFA para contas de administrador, objetivo de tempo de recuperação.

Software on-prem

Software Bill of Materials (SBOM), versões assinadas criptograficamente, política publicada de divulgação de vulnerabilidades, SLA de correção para CVE críticos.

Serviços profissionais

Âmbito da verificação de antecedentes, NDA com todos os consultores, política documentada de comportamento nas instalações do cliente.

Serviços geridos

Gestão de acesso privilegiado, gravação das sessões de administrador, disponibilidade 24/7 para incidentes de segurança.

Exemplos de perguntas.

Seis perguntas de secções diferentes, com o texto de ajuda que os fornecedores veem ao preenchê-las. Identidade, práticas de segurança, cláusulas contratuais, declarações de IA, detalhes técnicos.

Legal name

Your company's registered name, as it appears in the commercial register. Example: Müller GmbH or Acme Software Ltd.

ENISA TIG §5.2

Documented Information Security Management System (ISMS)

Tick yes if you have a written information security policy with assigned roles, regular reviews, and documented incident handling. ISO 27001 or BSI Grundschutz certification implies yes.

CIR 2024/2690 §5.1.2(a)

Accept customer right to audit (or provide audit reports)

Tick yes if you either grant customers an on-site audit right or provide substitute audit reports (for example SOC 2, ISAE 3402).

CIR 2024/2690 §5.1.4(e)

Provide incident assistance to customers at no / ex-ante cost

Tick yes if you commit to helping customers at no extra cost when an incident is caused by your product or service. If you agree a pre-defined day rate up front instead, also tick yes.

ENISA TIG §5.1.4 TIPS

We use, integrate or provide AI systems

Do your products or services process customer data through an AI or ML model? Includes external models you call through an API, for example OpenAI or Anthropic.

NIS2 Art. 21(2)(d)

Hosting region

The cloud region where customer data is hosted. Example: AWS eu-central-1, Azure West Europe. Name the primary region; secondary or backup regions can be added comma-separated.

ENISA TIG §5.2

Seis das 59 perguntas. Conjunto completo no portal.

Saudamos as atuais iniciativas do setor para desenvolver um catálogo unificado de questionários para fornecedores."

BSI NIS-2 FAQ (cadeia de abastecimento e segurança).

Este portal de fornecedores É essa iniciativa do setor. Um catálogo de questionários unificado e desenvolvido de forma privada, estruturado pela taxonomia canónica da UE (ENISA TIG §5) para que qualquer entidade regulada pela NIS 2 possa cumprir o CIR §5.1.4 a partir de uma única fonte.

Bilateral e privado.

Construído na Alemanha, alojado na UE, alinhado com o BSI Grundschutz. Os seus dados são partilhados apenas com os clientes que convida explicitamente. Sem URL público, sem indexação por motores de busca.

Comece em dois minutos.

Inicie sessão com o Google. Indique o nome da empresa e o domínio principal. Preencha o questionário ao seu ritmo. Quando estiver pronto, convide os seus clientes.

Criar perfil de fornecedor

Continue na nisd2.eu.

Esta ferramenta faz parte do ecossistema nisd2.eu. O resto está aqui.

Portal de fornecedores NIS 2

A mesma função, vista da perspetiva da NIS 2: para órgãos de gestão que aplicam o §30 BSIG.

Esquema aberto do questionário

O esquema JSON completo com citações das fontes, livre para reutilizar.

Implementação guiada da NIS 2

Se quiser ajuda na implementação completa: 500 euros por mês, sem lock-in.

Open source

Código-fonte completo no GitHub sob AGPL-3.0.