Przygotuj się na audyt NIS2 w 30 dni

22% naruszeń zaczyna się od skradzionych poświadczeń, a kary NIS2 za tę lukę sięgają 10 mln €. Przewodnik dostarcza Twojemu zespołowi mechanizmy kontrolne, dowody audytowe oraz 5-etapowy plan wdrożenia, aby osiągnąć pełną zgodność z NIS2.

Lista kontrolna audytu

Obejmuje kontrolę dostępu, łańcuch dostaw, MFA, rejestrowanie zdarzeń oraz artykuł 23

Sześć playbooków branżowych

Energetyka, transport, ochrona zdrowia, finanse, MSP, administracja publiczna

5-etapowy plan wdrożenia

Oceń, przeprowadź audyt, wdroż, skonfiguruj, monitoruj — struktura gotowa do bezpośredniego włączenia do planu projektu

Tabela mapowania do artykułu 21

Każde działanie jest przypisane do kontroli, która je spełnia, wraz z generowanymi dowodami

ISO 27001
Made in EU
Pentest
HackerOne
GDPR
zgodne
HIPAA gotowe
PCI DSS

Najczęściej zadawane pytania

NIS2 (Dyrektywa w sprawie bezpieczeństwa sieci i informacji 2) to unijne rozporządzenie dotyczące cyberbezpieczeństwa, które weszło w życie w styczniu 2023 r. i wymagało wdrożenia do prawa krajowego do października 2024 r. Obejmuje średnie i duże organizacje z 18 kluczowych sektorów — w tym energetyki, ochrony zdrowia, finansów, infrastruktury cyfrowej i administracji publicznej — działające na terenie Unii Europejskiej lub świadczące usługi na rzecz podmiotów z UE.

Artykuł 21 NIS2 nakłada na organizacje obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zarządzania ryzykiem cyberbezpieczeństwa. Obejmuje to polityki kontroli dostępu, bezpieczeństwo poświadczeń, uwierzytelnianie wieloskładnikowe (MFA) oraz możliwość wykazania tych mechanizmów podczas audytu. Dedykowany menedżer haseł z kontrolą dostępu opartą na rolach, logami audytowymi i szyfrowaniem bezpośrednio wspiera te wymagania.

Czas zależy od obecnego poziomu bezpieczeństwa, jednak organizacje dysponujące uporządkowanymi narzędziami mogą osiągnąć gotowość audytową w ciągu 30 dni. Kluczowe kroki to: wdrożenie menedżera haseł z kontrolą dostępu i logami audytowymi, egzekwowanie MFA, udokumentowanie polityk dotyczących poświadczeń oraz przypisanie uprawnień użytkowników do ról. Rozpoczęcie od jasnej listy kontrolnej znacząco skraca czas przygotowań.

Menedżer haseł centralizuje przechowywanie poświadczeń w zaszyfrowanym sejfie, egzekwuje silne polityki haseł, zapewnia pełną ścieżkę audytu działań użytkowników oraz umożliwia granularną kontrolę dostępu. Funkcje te bezpośrednio odpowiadają wymaganiom NIS2 w zakresie zarządzania dostępem, identyfikowalności incydentów i ograniczania ryzyka — oraz generują udokumentowane dowody oczekiwane przez audytorów.

Tak. Passwork to menedżer haseł typu on-premise, który działa w całości w ramach własnej infrastruktury. Wszystkie dane są szyfrowane przy użyciu AES-256, a żadne poświadczenia nie opuszczają Państwa serwerów. Taka architektura spełnia wymagania NIS2 dotyczące suwerenności danych, wewnętrznej kontroli dostępu oraz możliwości przeprowadzania niezależnych audytów bezpieczeństwa — w tym przeglądu kodu źródłowego.

Passwork generuje szczegółowe raporty aktywności obejmujące każde działanie użytkownika: dostęp do haseł, modyfikacje, zdarzenia udostępniania oraz zmiany uprawnień. Administratorzy mogą eksportować te logi, aby wykazać zgodność z kontrolami określonymi w artykule 21 NIS2. W połączeniu z ustawieniami dostępu opartymi na rolach oraz egzekwowaniem MFA daje to audytorom jasny i weryfikowalny obraz poziomu bezpieczeństwa poświadczeń.

Masz pytania? — Centrum pomocy