Všetky templates
06
NIS2 čl. 21(2)(f)
Politika posudzovania účinnosti opatrení
Kap. 7 — Policies and procedures to assess effectiveness of cybersecurity risk-management measures · CISO / Internal Audit · 80 riadkov · 10 placeholders
Placeholders na vyplnenie pred finálnou schvalbou:
{{OWNER_NAME}}{{OWNER_ROLE}}{{APPROVER_NAME}}{{APPROVER_ROLE}}{{APPROVAL_DATE}}{{NEXT_REVIEW_DATE}}{{SCOPE}}{{PHISHING_TARGET}}{{EXECUTIVE_BODY}}{{BOARD_OR_STEERING_COMMITTEE}}PreviewStiahnuť markdown
# Politika posudzovania účinnosti bezpečnostných opatrení
**Vlastník:** {{OWNER_NAME}} ({{OWNER_ROLE}})
**Schválil:** {{APPROVER_NAME}} ({{APPROVER_ROLE}})
**Dátum schválenia:** {{APPROVAL_DATE}}
**Verzia:** 1.0
**Plánovaná ďalšia revízia:** {{NEXT_REVIEW_DATE}}
**Rozsah:** {{SCOPE}}
## 1. Účel
Definuje proces systematického merania a zlepšovania účinnosti implementovaných bezpečnostných opatrení podľa NIS2 čl. 21(2)(f).
## 2. Rozsah
Zahŕňa všetky technické a organizačné opatrenia ISMS, interné aj tie plynúce z dodávateľov.
## 3. Key Performance Indicators (KPIs)
Minimálne sledované metriky:
- **MTTD** (Mean Time To Detect) — priemerný čas detekcie incidentu.
- **MTTR** (Mean Time To Respond / Recover) — priemerný čas reakcie / obnovy.
- **Patch SLA compliance** — % patchov nasadených v stanovenom čase.
- **Phishing click-through rate** z simulácií — target: < {{PHISHING_TARGET}} %.
- **Training completion rate** — target: ≥ 95 %.
- **Vulnerability aging** — % Critical/High > 30 dní.
- **Vendor security score delta** — počet vendorov s poklesom ratingu.
Metriky sa reportujú mesačne, trending v 12-mesačnom okne.
## 4. Interný audit
- **Plán:** ročný auditný plán schválený {{EXECUTIVE_BODY}}.
- **Rozsah:** minimálne raz ročne všetky ISMS oblasti.
- **Auditor nezávislosť** — interný audit nesmie podliehať auditovaným funkciám.
- **Findings register** s remediation tracking a target datumami.
## 5. Externý audit
- **Cadence:** minimálne raz za 2 roky alebo podľa sektorovej regulácie.
- **Scope:** ISO 27001, SOC 2, alebo regulátor-specific (ECB, ÚOOÚ pri GDPR incidentoch).
- **Vendor:** akreditovaný tretí subjekt, rotujúci každých 5 rokov.
- **Gap analýza** proti NIS2 / ISO 27001 / DORA ročne.
## 6. Management review
- **Quarterly review** s {{EXECUTIVE_BODY}} / {{BOARD_OR_STEERING_COMMITTEE}}.
- **Dashboard** s KPI trends, otvorené riziká, progres remediation.
- **Decisions log** — rozhodnutia tracked v risk registri.
## 7. Corrective and preventive actions (CAPA)
- **Finding → CAPA** workflow: každý audit finding má priradeného vlastníka a deadline.
- **Root cause analysis (RCA)** pre Critical/High findings a significant incidenty (5-Whys, Fishbone).
- **Preventive action** — systémová zmena, nie len fix jednotlivého prípadu.
## 8. Continuous improvement
- **Lessons learned** zo incidentov integrované do procesov do 30 dní.
- **Benchmark voči sektoru** — účasť v ISAC, CSIRT komunite.
- **Threat intelligence** — aktualizácia hrozbového modelu quarterly.
## 9. Tabuľka zodpovedností (RACI)
| Aktivita | CISO | Internal Audit | Proces vlastník | Board |
|----------|------|----------------|-----------------|-------|
| KPI reporting | R | C | C | I |
| Interný audit | C | R | C | A |
| Management review | R | C | C | A |
| Remediation | A | C | R | I |
## 10. Revízia
Ročne + pri významných zmenách v regulácii alebo organizačnej štruktúre.
## 11. Súvisiace dokumenty
- Všetky politiky ISMS (audit pokrýva každú z nich)
- Incident response policy
- Risk management policy
- Training & awareness policy
---
**Schválenie**
{{APPROVER_NAME}}, {{APPROVER_ROLE}}
Dátum: {{APPROVAL_DATE}}
Podpis: ____________________
Orientačná šablóna v súlade s ENISA IR 2024/2690 a NIS2 čl. 21. Pre záväzné určenie scope obligácií a schvaľovania kontaktujte NBÚ (SR), NÚKIB (ČR) alebo interný právny tím. Šablóna nenahrádza právne poradenstvo.