Chestionar pentru furnizori NIS 2
Întrebările pe care o entitate reglementată NIS 2 trebuie să le adreseze furnizorilor săi. Ancorate o singură dată în dreptul UE. Gratuit de utilizat.
Aproape fiecare echipă de achiziții din segmentul mediu european își redactează în prezent propriul chestionar pentru furnizori NIS 2. Aceleași aproximativ cincizeci de întrebări ancorate în dreptul UE, în forme ușor diferite, trimise unor furnizori care ajung să completeze cinci versiuni ale aceluiași lucru. Acest chestionar este baza comună.
Fiecare câmp este ancorat într-o sursă primară de nivel UE: NIS 2 art. 21(2), CIR 2024/2690, Ghidul tehnic de implementare al ENISA, GDPR art. 28 sau Cyber Resilience Act. Suprapunerile sectoriale precum TISAX, VDA ISA, BSI C5 sau cataloagele de audit KRITIS se așază peste această bază, nu în locul ei.
- Versiune
- 3.1.0
- Ultima actualizare
- 2026-05-15
- Câmpuri
- 59
- Licență
- MIT (schemă) + CC BY 4.0 (conținut)
Profilul furnizorului
18 câmpuriDenumirea legală
Denumirea înregistrată a companiei dumneavoastră, astfel cum apare în registrul comerțului. Exemplu: Müller GmbH sau Acme Software Ltd.
Temei juridic: ENISA TIG §5.2
Adresa sediului social
Adresa comercială înregistrată a companiei dumneavoastră. Este suficientă o singură adresă, chiar dacă aveți mai multe locații.
Temei juridic: ENISA TIG §5.2
Țară
Țara în care compania dumneavoastră este stabilită legal. Două litere, de exemplu DE pentru Germania.
Temei juridic: ENISA TIG §5.2
Domeniu principal
Domeniul dumneavoastră principal, de obicei adresa URL a site-ului web. Exemplu: acmesoftware.com.
Temei juridic: ENISA TIG §5.2(b)
Slogan (un rând, vizibil pentru clienți)
Un rând care rezumă ceea ce oferiți. Clienții îl văd în profilul dumneavoastră de furnizor. Exemplu: ERP pentru producția din IMM-uri.
Temei juridic: ENISA TIG §5.2(b)
Descriere publică (mai lungă)
Două sau trei propoziții despre compania dumneavoastră și ceea ce faceți. Apare în profilul dumneavoastră de furnizor. Argument de vânzare, postură de securitate sau ambele.
Temei juridic: ENISA TIG §5.2(b)
Descrierea serviciilor furnizate
Un paragraf despre ceea ce compania dumneavoastră livrează din punct de vedere tehnic clienților. Produse, module sau servicii concrete. Evitați limbajul pur de marketing.
Temei juridic: ENISA TIG §5.2(b) + §5.1.4 TIPS
Țări / regiuni în care sunt prelucrate datele clienților
Toate țările în care datele clienților dumneavoastră sunt stocate sau prelucrate. Separate prin virgule, coduri de țară ISO. Exemplu: DE, NL, US. Dacă prelucrați integral în interiorul UE, este suficient să enumerați țările UE.
Temei juridic: ENISA TIG §5.1.4 TIPS
Numele persoanei de contact pentru securitate
Persoana pe care clienții o contactează atunci când are loc un incident de securitate. În companiile mai mici, adesea directorul general sau responsabilul IT. Este suficientă o singură persoană.
Temei juridic: CIR 2024/2690 §5.1.4(d)
E-mail de contact pentru incidente
Adresa de e-mail pe care clienții o folosesc pentru a raporta un incident de securitate. În mod ideal, o listă de distribuție precum security@example.com care ajunge la mai multe persoane.
Temei juridic: CIR 2024/2690 §5.1.4(d)
Telefon de contact pentru incidente (24/7)
Număr de telefon pentru raportările urgente de incidente. Dacă nu aveți serviciu de permanență 24/7, indicați programul de lucru între paranteze.
Temei juridic: CIR 2024/2690 §5.1.4(d)
SLA de notificare a incidentelor (ore)
Numărul de ore de la detectarea unui incident până la notificarea clientului, cel târziu. Autoevaluare realistă, nu o valoare aspirațională. Valori uzuale: 24, 48 sau 72 de ore.
Temei juridic: NIS2 Art. 23
ID de înregistrare BSI (numai dacă firma dumneavoastră este ea însăși reglementată de NIS2)
Dacă firma dumneavoastră este ea însăși supusă NIS 2 și înregistrată la BSI, introduceți aici ID-ul de înregistrare. Opțional. Le permite clienților să vadă dintr-o privire că îndepliniți aceeași obligație ca o entitate reglementată.
Temei juridic: ENISA TIG §5.1.2
Furnizăm servicii SaaS / găzduite
Rulați software pentru clienți pe propria infrastructură și îl livrați prin internet. Bifați mai multe casete dacă oferiți mai multe modele.
Temei juridic: ENISA TIG §5.2(b)
Livrăm software on-premise
Livrați software pe care clienții îl instalează și îl rulează pe propria infrastructură.
Temei juridic: ENISA TIG §5.2(b)
Furnizăm servicii profesionale / consultanță
Principalul dumneavoastră livrabil este munca umană: consultanță, implementare, instruire, audit sau personalizare.
Temei juridic: ENISA TIG §5.2(b)
Furnizăm servicii gestionate / MSP
Operați pentru client părți din infrastructura sa IT, cu personal propriu. Tipic pentru modelele MSP și MSSP.
Temei juridic: ENISA TIG §5.2(b)
Utilizăm, integrăm sau furnizăm sisteme de IA
Produsele sau serviciile dumneavoastră prelucrează datele clienților printr-un model de IA sau ML? Include modele externe pe care le apelați printr-un API, de exemplu OpenAI sau Anthropic.
Temei juridic: NIS2 Art. 21(2)(d)
Practici de securitate
26 câmpuriSistem documentat de management al securității informației (ISMS)
Bifați da dacă aveți o politică scrisă de securitate a informației cu roluri atribuite, revizuiri periodice și gestionarea documentată a incidentelor. O certificare ISO 27001 sau BSI Grundschutz implică da.
Temei juridic: CIR 2024/2690 §5.1.2(a)
Deținerea certificării ISO 27001, BSI Grundschutz sau echivalente
Bifați da dacă societatea dumneavoastră deține în prezent o certificare ISO 27001, BSI Grundschutz, SOC 2 Type II sau echivalentă. Încărcați certificatul în fila Certificări.
Temei juridic: CIR 2024/2690 §5.1.2(b)
Instruire anuală de conștientizare a securității pentru tot personalul
Bifați da dacă fiecare angajat beneficiază de cel puțin o instruire anuală de conștientizare a securității informației. E-learningul contează, simulările de phishing se adaugă.
Temei juridic: CIR 2024/2690 §5.1.4(b)
Verificarea antecedentelor personalului cu acces la datele clienților
Bifați da dacă efectuați o verificare a antecedentelor personalului cu acces la datele clienților. Nivel comun: cazier judiciar sau document echivalent la angajare.
Temei juridic: CIR 2024/2690 §5.1.4(c)
Proces documentat de gestionare a vulnerabilităților și de aplicare a corecțiilor
Bifați da dacă aveți un proces scris pentru gestionarea vulnerabilităților de securitate: detectare, evaluare, prioritizare, aplicarea corecțiilor sau atenuare. Monitorizarea CVE și aplicarea corecțiilor pe baza SLA sunt standardul.
Temei juridic: CIR 2024/2690 §5.1.4(f)
Acceptarea dreptului de audit al clientului (sau furnizarea de rapoarte de audit)
Bifați da dacă fie acordați clienților un drept de audit la fața locului, fie furnizați rapoarte de audit substitutive (de exemplu SOC 2, ISAE 3402).
Temei juridic: CIR 2024/2690 §5.1.4(e)
Utilizarea de subîmputerniciți / subfurnizori
Bifați da dacă, pentru a vă presta serviciul, utilizați alte societăți care au acces la datele sau la infrastructura clienților. Exemple tipice: AWS, Azure, Cloudflare, Stripe.
Temei juridic: CIR 2024/2690 §5.1.4(g)
Lista subîmputerniciților
Enumerați fiecare subîmputernicit cu numele, locul prelucrării și activitatea pe care o desfășoară pentru dumneavoastră. Este suficient un tabel sau o listă cu marcatori. Actualizați-o ori de câte ori adăugați sau eliminați unul.
Temei juridic: CIR 2024/2690 §5.1.4(g)
Angajamentul de a returna / distruge datele clientului la încetare
Bifați da dacă vă angajați contractual să returnați sau să distrugeți datele clientului la sfârșitul contractului. Practică comună: export și returnare, apoi ștergere în termen de 30 de zile.
Temei juridic: CIR 2024/2690 §5.1.4(h)
Acord standard de prelucrare a datelor (DPA) disponibil
Bifați da dacă aveți un acord standard de prelucrare a datelor în temeiul articolului 28 din GDPR pe care clienții îl pot semna. Necesar de îndată ce prelucrați date cu caracter personal.
Temei juridic: GDPR Art. 28
Politicile de securitate sunt revizuite cel puțin o dată pe an
Bifați da dacă politicile dumneavoastră de securitate sunt revizuite cel puțin o dată pe an și actualizate după caz. O notă scrisă în document este o dovadă suficientă.
Temei juridic: NIS2 Art. 21(2)(a) / ENISA TIG §1.1
Plan documentat de răspuns la incidente
Bifați da dacă aveți un plan scris pentru gestionarea incidentelor de securitate: cine decide, cine comunică, cine documentează. Cel puțin un exercițiu de simulare pe an este o bună practică.
Temei juridic: NIS2 Art. 21(2)(b) / ENISA TIG §3
Plan documentat de continuitate a activității / recuperare în caz de dezastru
Bifați da dacă aveți un plan care explică modul în care vă mențineți funcționarea sau vă recuperați rapid în timpul unei întreruperi: sisteme critice, soluții de rezervă, obiective RTO și RPO.
Temei juridic: NIS2 Art. 21(2)(c) / ENISA TIG §4
Politică de criptografie documentată
Bifați da dacă ați consemnat în scris ce criptografie utilizați și unde: date în tranzit (TLS 1.2+), date în repaus (AES-256), gestionarea cheilor, algoritmi de hash.
Temei juridic: NIS2 Art. 21(2)(h) / ENISA TIG §9
Gestionarea accesului privilegiat (PAM) pentru personalul intern
Bifați da dacă administratorii și conturile privilegiate beneficiază de controale suplimentare: autentificare separată, MFA, jurnalizarea sesiunilor sau acces just-in-time.
Temei juridic: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
MFA impus pentru toate conturile interne de administrare / privilegiate
Bifați da dacă fiecare cont intern de administrare sau privilegiat trebuie să utilizeze MFA. Tokenurile hardware sau aplicațiile de autentificare contează, SMS-ul nu.
Temei juridic: NIS2 Art. 21(2)(j)
Menținerea unui inventar al activelor informaționale
Bifați da dacă mențineți o listă actualizată a fiecărui sistem informatic pe care îl utilizați pentru a vă presta serviciul: servere, baze de date, instrumente SaaS, puncte finale. Este suficient un tabel de calcul.
Temei juridic: NIS2 Art. 21(2)(i) / ENISA TIG §12.4
Program de testare a penetrării anual sau bienal
Bifați da dacă comandați un test de penetrare extern cel puțin o dată la unu sau doi ani. Pentru societățile mai mici, o scanare externă a vulnerabilităților ca pas minim este acceptabilă.
Temei juridic: NIS2 Art. 21(2)(e) / ENISA TIG §6.5
Divulgăm evenimentele de securitate cibernetică notificabile din trecut la cererea clienților
Bifați da dacă, la cererea clientului, divulgați deschis dacă și ce incidente de securitate notificabile a avut societatea dumneavoastră în trecut. Interval comun: ultimii trei până la cinci ani.
Temei juridic: ENISA TIG §5.1.2
Furnizăm clienților asistență în caz de incident fără costuri / la cost stabilit în prealabil
Bifați da dacă vă angajați să ajutați clienții fără costuri suplimentare atunci când un incident este cauzat de produsul sau serviciul dumneavoastră. Dacă în schimb conveniți în prealabil o tarifă zilnică predefinită, bifați de asemenea da.
Temei juridic: ENISA TIG §5.1.4 TIPS
Cooperarea deplină cu autoritățile competente (BSI, ENISA, CSIRT naționale)
Bifați da dacă vă angajați să cooperați pe deplin cu autoritățile competente, precum BSI, ENISA sau CSIRT-urile naționale, în timpul inspecțiilor, auditurilor și gestionării incidentelor. Standard pentru furnizorii serioși.
Temei juridic: ENISA TIG §5.1.4 TIPS
Notificarea clienților cu privire la orice modificare substanțială care afectează prestarea serviciului
Bifați da dacă vă angajați să notificați clienții cu privire la orice modificare substanțială care afectează capacitatea dumneavoastră de a presta serviciul: achiziții, schimbări de subîmputernicit, modificări tehnice majore.
Temei juridic: ENISA TIG §5.1.4 TIPS
Notificarea clienților în avans dacă se schimbă locurile de prelucrare a datelor
Bifați da dacă notificați clienții în avans înainte ca locul de prelucrare a datelor lor să se schimbe. Important pentru protecția datelor și pentru o supraveghere a lanțului de aprovizionare conformă cu GDPR.
Temei juridic: ENISA TIG §5.1.4 TIPS
Strategie de ieșire documentată cu perioadă de tranziție obligatorie
Bifați da dacă aveți o strategie de ieșire scrisă: cât durează o predare ordonată, ce date și cunoștințe se transferă, la ce vă angajați în timpul tranziției.
Temei juridic: ENISA TIG §5.1.4 TIPS
Furnizarea unui SBOM-for-AI conform elementelor minime G7
Opțional. Bifați da dacă puteți furniza un SBOM-for-AI conform elementelor minime G7 (mai 2026). Documentează metadate, modele, date de antrenament, infrastructură, proprietăți de securitate, KPI și comportamentul sistemului. Standard voluntar.
Temei juridic: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2
URL-ul documentului SBOM-for-AI
URL public sau partajat către documentul dumneavoastră SBOM-for-AI. Poate fi un PDF, un fișier JSON sau o pagină de proiect.
Temei juridic: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2
Specific SaaS
5 câmpuriRegiunea de găzduire
Regiunea cloud în care sunt găzduite datele clienților. Exemplu: AWS eu-central-1, Azure West Europe. Indicați regiunea principală; regiunile secundare sau de rezervă pot fi adăugate separate prin virgule.
Temei juridic: ENISA TIG §5.2
Criptarea datelor în repaus
Bifați da dacă datele clienților de pe disc sunt criptate în repaus cu AES-256 sau echivalent. Criptarea discului gestionată de cloud (AWS EBS, Azure Disk Encryption) este luată în calcul.
Temei juridic: NIS2 Art. 21(2)(h) / ENISA TIG §9
Criptarea în tranzit (TLS ≥ 1.2)
Bifați da dacă toate punctele finale orientate către clienți impun TLS 1.2 sau o versiune superioară. Este de preferat TLS 1.3. HTTP simplu trebuie să redirecționeze către HTTPS.
Temei juridic: NIS2 Art. 21(2)(h) / ENISA TIG §9
MFA impusă pentru toate conturile de administrare
Bifați da dacă fiecare cont de administrare intern de pe platforma SaaS trebuie să utilizeze MFA. Același standard ca politica dumneavoastră internă de administrare.
Temei juridic: NIS2 Art. 21(2)(j) / ENISA TIG §11.3
Obiectivul de timp de recuperare (RTO) în ore
Numărul maxim de ore în care serviciul dumneavoastră poate fi indisponibil înainte de recuperare. Valoare SLA realistă, nu aspirațională. Valori SaaS frecvente: 4, 8 sau 24 de ore.
Temei juridic: NIS2 Art. 21(2)(c) / ENISA TIG §4
Specific on-premise
4 câmpuriFurnizarea unei liste de materiale software (SBOM)
Bifați da dacă livrați o listă de materiale software (SBOM) cu fiecare versiune. CycloneDX sau SPDX sunt formatele standard. Obligatoriu în temeiul Cyber Resilience Act pentru produsele introduse pe piața UE începând cu decembrie 2027.
Temei juridic: CRA / NIS2 Art. 21(2)(d)
Versiunile sunt semnate criptografic
Bifați da dacă fiecare artefact al versiunii poartă o semnătură criptografică pe care clienții o pot verifica. Cheile de semnare sunt documentate și rotite. Sunt valabile atât semnăturile Sigstore, cât și cele PGP.
Temei juridic: NIS2 Art. 21(2)(e) / ENISA TIG §6.5
Politică de divulgare a vulnerabilităților publicată
Bifați da dacă dispuneți de o modalitate documentată public pentru raportarea vulnerabilităților de securitate. Este suficient un fișier security.txt pe domeniul dumneavoastră (conform RFC 9116) sau o adresă de e-mail dedicată, precum security@example.com.
Temei juridic: NIS2 Art. 21(2)(e) / ENISA TIG §3
SLA de corecție pentru CVE critice (ore)
Ore de la divulgarea publică a unei CVE până la o versiune corectată pentru vulnerabilitățile critice (CVSS 9.0+). Angajament realist, nu o valoare aspirațională. Valori uzuale: 24, 48 sau 72 de ore.
Temei juridic: CIR 2024/2690 §5.1.4(f)
Servicii profesionale
3 câmpuriDomeniul verificării antecedentelor
Descrieți modul în care evaluați consultanții pentru rolurile sensibile. Exemplu: cazier judiciar pentru toți consultanții, plus verificarea referințelor pentru misiunile care implică date clasificate.
Temei juridic: NIS2 Art. 21(2)(i) / CIR 2024/2690 §5.1.4(c)
NDA încheiat cu toți consultanții
Bifați da dacă fiecare consultant semnează un acord de confidențialitate înainte de a fi repartizat la activitatea pentru client. Fie ca parte a contractului de muncă, fie ca un NDA separat.
Temei juridic: NIS2 Art. 21(2)(i) / ENISA TIG §11.4
Politică de conduită documentată la sediul clientului
Bifați da dacă dispuneți de un cod de conduită scris pentru consultanții care lucrează la sediul clientului: gestionarea ecusoanelor, regula de blocare a ecranului, ce trebuie făcut dacă datele părăsesc locația.
Temei juridic: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
Servicii gestionate
3 câmpuriGestionarea accesului privilegiat (PAM) implementată
Bifați da dacă utilizați un instrument de gestionare a accesului privilegiat pentru sesiunile administrative la distanță pe sistemele clienților. Exemple: CyberArk, BeyondTrust, Teleport. O configurație jump-host cu jurnalizare contează.
Temei juridic: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
Sesiunile de administrare sunt înregistrate
Bifați da dacă sesiunile de administrare pe sistemele clienților sunt înregistrate și păstrate pentru verificare. Păstrare uzuală: de la 90 de zile la 1 an. Necesară pentru reconstrucția criminalistică după incidente.
Temei juridic: NIS2 Art. 21(2)(f) / ENISA TIG §10
Acoperire de gardă 24/7
Bifați da dacă mențineți o gardă 24/7 care răspunde la incidentele de securitate de pe sistemele clienților. Suportul limitat la programul de lucru nu îndeplinește cerința.
Temei juridic: NIS2 Art. 21(2)(b) / ENISA TIG §3
Acest chestionar acoperă substanța juridică a UE pentru diligența privind furnizorii NIS 2. Este conceput ca o bază comună, nu ca un șablon complet specific unui sector.
TISAX, VDA ISA, BSI C5, cataloagele de audit KRITIS și propriile dumneavoastră suprapuneri de risc se așază deasupra ca extensii. Adaptați depozitul, adăugați întrebările specifice sectorului dumneavoastră sau folosiți câmpurile comune ca fundament pentru propriul șablon.