NIS2 аудит и внедрение

Соответствие директиве ЕС 2022/2555: gap-анализ, политики безопасности, план внедрения и подготовка к надзору.

NIS2

RISK

CONTROL

EVIDENCE

DIRECTIVE COMPLIANCE AUDIT

Что такое NIS2

NIS2 (Директива ЕС 2022/2555) — это обновлённая директива по кибербезопасности для критической инфраструктуры. Она устанавливает обязательные требования к управлению рисками, сообщению об инцидентах и безопасности цепочки поставок.

Мы помогаем организациям пройти gap-анализ, разработать политики безопасности, внедрить технические контроли (EDR, SIEM, резервные копии) и подготовиться к проверкам регуляторов.

Gap-анализ

Оценка текущего состояния и выявление несоответствий директиве.

Политики и процедуры

Разработка документации по управлению рисками и инцидентами.

Технические контроли

Внедрение EDR, SIEM, журналирования и резервного копирования.

Обучение и аудит

Подготовка команды и сбор доказательств соответствия.

Кому обязателен NIS2

Директива применима к существенным и важным субъектам в критических секторах: энергетика, транспорт, здравоохранение, финансы, ИКТ-инфраструктура и управляемые услуги.

Операторы критической инфраструктуры (энергетика, транспорт, вода)
ИКТ-провайдеры и управляемые услуги (MSP/MSSP, дата-центры)

Цифровые услуги и облачные провайдеры
Организации с влиянием на непрерывность услуг

Pārbaudīt uzņēmumu

Ievadiet uzņēmuma reģistrācijas numuru un saņemiet pamatinformāciju par uzņēmumu.

Dati tiek ņemti no Latvijas Republikas Uzņēmumu reģistra atvērtajiem datiem un VID publiskojamo datu bāzes PVN maksātāju reģistra (data.gov.lv). Šis rīks ir informatīvs un neaizstāj oficiālas izziņas.

ERP

Jūsu sistēma

Valsts reģistri

gov

Чем можем помочь

Полный цикл: от первичного gap-анализа до внедрения технических контролей и подготовки к надзору.

Связаться →

Gap-анализ NIS2

Оценка текущего состояния безопасности и выявление несоответствий директиве.

Дорожная карта

План внедрения с приоритетами, сроками и ответственными.

Политики и процедуры

Разработка документации: управление рисками, инциденты, доступ, резервные копии.

Технические контроли

Внедрение EDR, SIEM, журналирования, резервного копирования и мониторинга.

Управление инцидентами

Процедуры обнаружения, эскалации и сообщения об инцидентах (24ч/72ч).

Обучение и аудит

Обучение команды, tabletop exercises и сбор доказательств соответствия.

COMPLIANCE

MANAGE

REPORT

IMPROVE

Ответственность руководства

Руководители несут личную ответственность за кибербезопасность.

Сообщение об инцидентах

Обязательное сообщение в течение 24ч (первичное) и 72ч (полное).

Ключевые требования NIS2

Мы помогаем выполнить все обязательные требования директивы: от управления рисками до технических контролей.

Gap-анализ и оценка соответствия требованиям NIS2
Политики управления рисками и безопасности цепочки поставок
Процедуры управления инцидентами и сообщения регуляторам
Технические контроли: EDR, SIEM, журналирование событий
Резервное копирование и планы восстановления
Управление доступом и многофакторная аутентификация
Обучение персонала и повышение осведомлённости
Evidence pack и подготовка к проверкам регуляторов

Как мы работаем

Типичный срок: 4–12 недель в зависимости от объёма и готовности организации.

Интервью и картирование

Изучаем системы, потоки данных, поставщиков и текущие контроли безопасности.

Gap-анализ NIS2

Сравниваем требования директивы с реальным состоянием и выявляем риски.

Дорожная карта

Составляем план внедрения с приоритетами, quick wins и критическими действиями.

Документация и внедрение

Разрабатываем политики, внедряем технические контроли (EDR, SIEM, резервные копии).

Обучение и аудит

Обучаем команду, проводим tabletop exercises и собираем доказательства соответствия.

RESULT

GAP

CONTROLS

EVIDENCE

Вы получите

Отчёт gap-анализа с рисками и приоритетами
Политики и процедуры безопасности
Реестр активов и карту зависимостей
План управления инцидентами (24ч/72ч)
Настроенные технические контроли (EDR, SIEM)
Evidence pack для регуляторов

Кейсы соответствия NIS2

Типовые ситуации и как мы доводим организацию до управляемого соответствия.

Связаться →

MSP/MSSP: управление инцидентами и отчётность

72h

IR SIEM MSP

Проблема

Нужны процессы и доказательства для требований 24ч/72ч, централизованное логирование.

Решение

Процессы IR, шаблоны уведомлений, журналирование, SIEM и обучение команды.

Результат

Готовый контур реагирования + evidence pack.

Здравоохранение: сегментация и контроль доступа

−40%

MFA Segmentation Backup

Проблема

Риск распространения инцидентов, слабые политики доступа.

Решение

Сегментация, MFA, привилегированный доступ, резервные копии и тесты восстановления.

Результат

Снижение рисков и управляемость инфраструктуры.

Цепочка поставок: требования к подрядчикам

SLA

Supply chain Audit Policy

Проблема

Нет критериев и контроля рисков поставщиков.

Решение

Чек-листы, требования к договорам, аудит поставщиков и план корректирующих мер.

Результат

Понятная модель управления рисками цепочки поставок.

Kā strādā integrācija ar VID EDS (demo)

Deklarācijas tips

ERP

Jūsu sistēma

VID EDS

VID

Klikšķiniet "Nosūtīt uz VID (demo)", lai redzētu, kā deklarācija ceļo uz EDS un kā sistēma saņem tehnisko atbildi.

RISK CHECK

Типично допущенные ошибки при подготовке к NIS2

Частые проблемы, из-за которых аудит затягивается или не даёт результата.

Связаться →

Ставка только на документы

Пишут политики, но не внедряют реальные технические контроли и процессы.

Последствие:

На проверке нет доказательств (evidence), риск штрафов и предписаний.

Нет реестра активов и зависимостей

Не ясно, какие системы критичны и кто их обслуживает.

Последствие:

Невозможно управлять рисками и приоритизировать меры.

Не готов процесс инцидентов (24ч/72ч)

Нет ролей, шаблонов сообщений, критериев эскалации и обучения.

Последствие:

Срыв сроков уведомления регулятора и хаос при инциденте.

Слабая безопасность цепочки поставок

Подрядчики имеют доступ, но их риски не оцениваются и не контролируются.

Последствие:

Инциденты через поставщиков — один из самых частых сценариев.

Резервные копии “есть”, но не проверяются

Бэкапы не тестируют, нет RTO/RPO и плана восстановления.

Последствие:

При атаке/сбое восстановление занимает дни или невозможно.

Нет централизованного логирования

Логи разрознены, нет корреляции событий и мониторинга.

Последствие:

Позднее обнаружение атак и отсутствие доказательств для расследований.

Если хотите — мы проведём экспресс-оценку применимости NIS2 и дадим приоритетный список “quick wins” на 2–4 недели.

Стоимость

Цена зависит от масштаба организации, количества систем и сложности цепочки поставок.

Gap-анализ

от 990 €

Быстрая диагностика, выявление несоответствий и дорожная карта

Базовое внедрение

от 2,900 €

Документация, политики и внедрение базовых технических контролей

Полный цикл

от 6,900 €

Внедрение, аудит, обучение и подготовка к проверкам регуляторов

NEXT STEP

Нужна помощь с NIS2?

Опишите вашу инфраструктуру и требования. Предложим план соответствия и стоимость.

Связаться

FAQ

Действительно ли мне нужен NIS2?

Зависит от отрасли, размера и влияния на непрерывность услуг. Быстро поможем определить статус и применимость.

Достаточно ли одних документов?

Нет. NIS2 требует реально внедрённых контролей и регулярного тестирования (tabletop, проверки, доказательства).

Помогаете ли с оценкой поставщиков?

Да. Оцениваем риски поставщиков, готовим требования к договорам и контрольные списки для аудита.

Как быстро можно начать?

Обычно начинаем через 1–2 недели. Сразу договариваемся о приоритетах и ответственных.

Есть вопросы? Напишите нам