Dashboard

Live
Total Incidents
0
Critical/High
0
Compliance Rate
0%
Pending NIS2
0
Active Alerts
0

No active alerts

Recent Incidents
ID Title Severity Status

Incident Management

Incident ID Title Severity Status Detected Actions

Compliance Controls

Filter controls, open a control, update status/evidence, and save to refresh compliance KPIs.

Overall Compliance
0%
Controls by Framework
Control Implementation Status
Showing 0 controls
Control ID Name Framework Status Actions

Role-Based Access Control

Users
Email Role Status
Access Matrix

Threat Intelligence Sharing

Shared Threats
NG-SOC Status

Integrated Scanner

Embedded view of the technical scanner app running on port 8888.

Open in New Tab
Scanner status: not checked.

NIS2 SME Compliance Toolkit

Practical templates and tools for NIS2 Directive compliance. Source: paolocarner/nis2-sme-toolkit

🚀 Getting Started: 1️⃣ Read the Executive Briefing → 2️⃣ Complete the Gap Assessment → 3️⃣ Review the Incident Response Playbook → 4️⃣ Customize the Information Security Policy
NIS2 Gap Assessment & Crosswalk Tool
Excel Workbook • 7 Tabs

Interactive workbook for assessing compliance readiness and planning implementation.

  • NIS2 Requirements: All 21 Article 21(2) controls with baseline vs. enhanced implementations
  • Gap Assessment: Interactive scoring (0-3 maturity scale) with automatic severity calculation
  • GDPR Crosswalk: 11 overlap areas showing ~55% efficiency opportunity
  • ISO 27001 Crosswalk: 12 control mappings showing ~75% alignment
  • Priority & Roadmap: 12-month phased plan (213 person-days estimated)
  • Compliance Dashboard: Executive summary with roll-up metrics
Download Gap Assessment (Excel)
NIS2 Executive Briefing
RTF Document • 12 Pages

Board/management presentation covering regulatory obligations, timeline, and strategic response.

  • Executive Summary for board consideration
  • NIS2 Directive Overview & timeline
  • Applicability Assessment (size criteria, sector classification)
  • Legal & Financial Consequences (penalties, management accountability)
  • Article 21 Security Requirements (all 10 measures)
  • Implementation Roadmap & Budget Considerations
  • Regional specifics (Belgium vs. Netherlands)
Download Executive Briefing
Incident Response Playbook
RTF Document • 20+ Pages

Operational playbook for managing cyber incidents under Article 23 notification requirements.

  • 4-level severity matrix with notification thresholds
  • 7-phase process: Detection → Classification → 24h Warning → Containment → Investigation → 72h Report → Recovery
  • Critical NIS2 timelines: 24h early warning, 72h detail, 1-month final
  • Regional procedures (Belgium CCB, Netherlands NCSC-NL)
  • 6 key incident response roles with decision authority
  • Containment actions per incident type (ransomware, data breach, DDoS)
  • Evidence collection & forensic procedures
Download Incident Response Playbook
Information Security Policy Template
RTF Template • 3 Pages

Master security policy template satisfying NIS2 Article 21(2)(a) requirements.

  • Purpose & Scope with regulatory alignment (NIS2, GDPR, ISO 27001)
  • Roles & Responsibilities definitions
  • 7 policy areas: Governance, Risk, Assets, Access, Incidents, Training, Third Parties
  • Baseline vs. Enhanced maturity levels
  • Exceptions Process & Compliance Review
  • Document Control template
Download InfoSec Policy Template
Additional Policy Templates Needed (Article 21(2))
  • Risk Management Policy (21.2.a)
  • Incident Management Policy Critical (21.2.b)
  • Business Continuity & DR Policy Critical (21.2.c)
  • Third-Party Risk Management Policy (21.2.d)
  • Secure Acquisition & Development Policy (21.2.e)
  • Vulnerability Management Policy (21.2.f)
  • Cryptography & Key Management Policy (21.2.g)
  • Human Resources Security Policy (21.2.h)
  • Access Control Policy Critical (21.2.i)
  • Asset Management Policy (21.2.j)
  • Authentication Policy (21.2.k)

Use the Information Security Policy as a structural template for developing these additional policies.

NIS2 Article 21 — Procurement & SCM Guide

Reference guide for supply chain security requirements. ✅ Implemented 🟡 Partial 🔴 Planned

Задължителни клаузи във всеки договор с доставчик по NIS2:

🔴
24-часово уведомление при инцидент
Доставчикът трябва да докладва security инциденти в рамките на 24 часа. Порталът поддържа вътрешно 24h reporting — нужна е договорна клауза за доставчици.
🔴
Right to Audit
Право на одит на cybersecurity практиките на доставчика. Включете клауза за физически и/или дистанционен одит поне веднъж годишно за критични доставчици.
🔴
SBOM (Software Bill of Materials)
За софтуерни доставчици — пълен списък на всички компоненти и зависимости. Критично за vulnerability management и CRA compliance.
🔴
Data Breach Liability
Ясно дефинирана отговорност при пробив на данни — финансова компенсация, timeline за уведомяване, сътрудничество при разследване.
🔴
Termination for Security Failure
Право на незабавно прекратяване при нарушаване на security изискванията без неустойки.
🔴
Sub-processor Vetting
Изискване доставчикът да уведомява и получава одобрение преди ангажиране на под-доставчици.
🔴
Compliance Certification
Изискване за ISO 27001, IEC 62443 или еквивалентен сертификат. Документирайте и следете валидността.
🔴
Vulnerability Disclosure Policy (VDP)
Доставчикът трябва да има публична VDP. Проверете дали е достъпна и дали покрива вашите продукти.

Преди подписване на договор, извършете следните проверки:

🔴
Cyber Risk Questionnaire
Стандартизиран въпросник за оценка на cybersecurity зрелостта на доставчика.
🔴
Financial Health Check
Финансова стабилност — фалит означава прекъсване на поддръжка и security updates.
🔴
Geopolitical Risk Assessment
Оценка на държавния риск. Китай, Русия, Северна Корея = повишен риск за критична инфраструктура.
🔴
NDAA Compliance Check
Проверете дали доставчикът не е в забранения списък: Huawei, ZTE, Hikvision, Dahua и др.
🔴
Reference Checks
Проверка с други клиенти за security инциденти и качество на реакция.
🔴
On-site Security Audit
За критични доставчици — физически одит на security практиките.
Четири-степенна класификация на риска
Ниво Описание Одит
Critical Достъп до критични системи, лични данни, финансови транзакции Всяка година
High Достъп до вътрешни мрежи, чувствителни данни На 2 години
Medium Ограничен достъп, общи данни Самооценка + документация
Low Публична информация, няма системен достъп Базов въпросник

Задължителни документи (Article 21(2)(d) и 21(3)):
🔴
Supplier Security Policy
Политика за сигурност на доставчиците — минимални security изисквания за всички доставчици.
🔴
Supply Chain Risk Assessment Report
Доклад за оценка на риска във веригата на доставки. Порталът проследява NIS2-1.4 контролата за Supply Chain Security.
🔴
Supplier Directory
Пълен регистър на всички доставчици с ниво на риск (Critical/High/Medium/Low).
🔴
Security Clauses Template
Стандартен шаблон със security клаузи за включване във всички нови договори.
🔴
Confidentiality Statements
Декларации за поверителност — NDA с security клаузи за всички доставчици с достъп до данни.
Препоръчителни инструменти:
💡
VRM Platform
BitSight, SecurityScorecard, RiskRecon — за автоматизирана оценка на risk posture на доставчици.
💡
SBOM Tools
FOSSA, Snyk, Mend — за анализ на софтуерни зависимости и vulnerabilities.
💡
IPVM Camera Finder
За идентифициране на rebranded CCTV оборудване от забранени производители.

Article 21(3) изисква да се разгледат:
🔴
Specific vulnerabilities на всеки доставчик
Идентифициране и документиране на специфичните рискове за всеки критичен доставчик.
🔴
Overall quality на продуктите
Оценка на качеството и security maturity на доставяните продукти и услуги.
🔴
Cybersecurity practices
Оценка на cybersecurity практиките на доставчика — incident response, patch management, encryption.
🔴
Secure development procedures
За софтуерни доставчици — SDLC, code review, penetration testing, SAST/DAST.
Постоянен мониторинг:
🟡
Continuous Monitoring
Порталът осигурява continuous monitoring на вътрешни системи (BreachScreeningAgent). За доставчици — планирано.
🟡
Threat Intelligence Feeds
Порталът поддържа threat intelligence sharing. Следете за нови заплахи свързани с доставчици.
🔴
Quarterly Reviews
Тримесечни прегледи на рисковете при критични доставчици. Създайте calendar reminders.
🟡
Incident Tracking
Порталът проследява инциденти — маркирайте supplier-related инциденти в категорията.

⚡ При инцидент при доставчик — EU Reporting Timeline:
Срок Действие Статус в портала
2 часа Първоначално уведомление до СЕРИКС (GovCERT.bg) 🔴 Planned
24 часа Доставчикът трябва да ВИ уведоми ВАС 🟡 Via incidents
5 раб. дни Подробен доклад с impact assessment 🔴 Planned
1 месец Окончателен доклад с root cause analysis 🔴 Planned
Документация за запазване:
Incident Logs
Порталът записва пълни audit logs с всички действия.
🟡
Evidence Preservation
Audit логовете се запазват. За допълнителни доказателства — използвайте impact_assessment полето в инцидентите.
Remediation Records
Пълен workflow за mitigation actions и status tracking в модула за инциденти.

🔴 Тази седмица:
Инвентаризирайте всички Tier 1 доставчици
Създайте списък на всички доставчици с достъп до вашите системи и данни.
Идентифицирайте критичните доставчици
Маркирайте доставчиците с достъп до критични системи, лични данни или финансови транзакции.
Проверете 24-часовата клауза
Проверете дали текущите договори имат 24-часова клауза за уведомление при инцидент.
🟡 Този месец:
Изпратете Cyber Risk Questionnaire
На всички критични доставчици — стандартизиран въпросник за оценка на cybersecurity.
Проверете NDAA compliance
За IT/OT оборудване — проверка срещу забранените списъци (Huawei, ZTE, Hikvision, Dahua).
NIS2 клаузи в съществуващи договори
Започнете преговори за добавяне на NIS2 security клаузи в текущите договори.
🔵 Следващите 3 месеца:
Внедрете Supplier Risk Scoring Matrix
4-степенна класификация на риска за всички доставчици.
On-site одит на топ 3 доставчици
Физически одит на сигурността на 3-те най-критични доставчици.
Създайте Supplier Security Policy
Формална политика за сигурност на доставчиците, одобрена от management.
🚨 Red Flags — Незабавно прекратете или избегнете доставчици, които:
  • Отказват да предоставят VDP (Vulnerability Disclosure Policy)
  • Нямат ISO 27001 или еквивалентен сертификат
  • Са базирани в high-risk юрисдикции без адекватни контроли
  • Имат история на скрити инциденти
  • Отказват on-site одит
  • Нямат 24/7 incident response capability
💰 Budget: 3-5% от procurement за security vetting • €10-50K/год за VRM платформа • €5-15K/одит за критични доставчици • €25-100K за юридически преглед на договори
Често задавани въпроси (Q&A)

До €10M или 2% от глобалния годишен оборот за essential entities. До €7M или 1.4% за important entities.

Software Bill of Materials — пълен списък на всички софтуерни компоненти. Задължително за CRA (Cyber Resilience Act). Позволява бързо идентифициране на засегнати продукти при нова уязвимост (напр. Log4j).

Next-Generation Security Operations Centre — рамка за cross-border сътрудничество между SOC екипи в ЕС. Порталът поддържа threat intelligence sharing с партньорски SOC центрове (BG, RO, GR).

Доставчик е Critical ако има достъп до: критични системи, лични данни на потребители, финансови транзакции, или ако прекъсването на услугата му би причинило significant operational impact. Изисква годишен одит.

INCIDENTRON е EU платформа за автоматизирано докладване на инциденти. Порталът е интегриран с INCIDENTRON API за automated NIS2 reporting.

NIS2 CISO Assistant

AI-powered advisor with real-time portal awareness. Powered by Gemini Flash (latest).

Checking...
Welcome! I am your NIS2 CISO Assistant. I have real-time access to your portal data: incidents, compliance controls, breach screenings, threat intelligence, and more.

Ask me anything about NIS2 compliance, current risks, or what actions to prioritize.