Czy Twój system zarządzania jakością jest gotowy na wymagania NIS2?
Baza wiedzy
Autor: Bartosz Chrapek
Ankieta służy do szybkiej oceny, czy procesy kontroli jakości, dokumentacja jakościowa i nadzór nad niezgodnościami są prowadzone w sposób wspierający wymagania NIS2 w obszarach zarządzania ryzykiem, incydentami, ciągłości działania, rozliczalności i kontroli dostępu. To podejście jest spójne z art. 21 NIS2, który wymaga środków technicznych, operacyjnych i organizacyjnych opartych na ryzyku.
Każde pytanie ma jedną odpowiedź z listy:
- 0 – Nie: obszar nie jest uregulowany lub nie działa.
- 1 – Częściowo, nieformalnie: działanie istnieje, ale jest oparte głównie na praktyce ustnej, papierze lub lokalnych ustaleniach.
- 2 – Formalnie, ale rozproszone: istnieje procedura, ale realizacja opiera się na wielu plikach, mailach, arkuszach lub dokumentach papierowych.
- 3 – Cyfrowo, lecz nie w pełni nadzorowane: proces działa w systemach cyfrowych, ale brakuje pełnej ścieżki audytowej, automatyzacji lub spójnych uprawnień.
- 4 – W pełni nadzorowane i mierzalne: proces jest cyfrowy, audytowalny, spójny, ma przypisane role, historię zmian, wskaźniki i wspiera szybkie działania korygujące.
Ankieta gotowości i zgodności z NIS2
Sekcja A. Ład procesu jakości i odpowiedzialność
1. Czy dla kluczowych procesów kontroli jakości istnieje formalnie przypisany właściciel procesu?
Mapowanie NIS2: zarządzanie ryzykiem, odpowiedzialność zarządcza. Art. 20 i art. 21 ust. 1–2 lit. a.
2. Czy kryteria kontroli jakości i częstotliwość kontroli wynikają z formalnej oceny ryzyka procesu?
Mapowanie NIS2: policies on risk analysis and information system security. Art. 21 ust. 2 lit. a.
3. Czy decyzje jakościowe (akceptacja, odrzut, odstępstwo) są podejmowane według jednoznacznych, zatwierdzonych reguł?
Mapowanie NIS2: podejście oparte na ryzyku i kontrola skuteczności procesu. Art. 21 ust. 1–2 lit. a, f.
4. Czy kierownictwo regularnie przegląda wyniki procesu jakości, niezgodności i ryzyka operacyjne?
Mapowanie NIS2: odpowiedzialność organów zarządzających i nadzór nad środkami. Art. 20 oraz art. 21.
Sekcja B. Dokumentacja jakościowa i kontrola wersji
5. Czy instrukcje, formularze i checklisty jakościowe są utrzymywane w jednym nadzorowanym repozytorium?
Mapowanie NIS2: bezpieczeństwo utrzymania systemów, kontrola zmian, możliwość wykazania skuteczności. Art. 21 ust. 2 lit. e, f.
6. Czy użytkownicy mają pewność, że pracują wyłącznie na aktualnej wersji instrukcji lub formularza?
Mapowanie NIS2: security in acquisition, development and maintenance; kontrola zmian i spójność operacyjna. Art. 21 ust. 2 lit. e.
7. Czy każda zmiana dokumentu jakościowego ma historię: kto zmienił, kiedy, co i kto zatwierdził?
Mapowanie NIS2: bezpieczeństwo utrzymania systemów oraz ocena skuteczności środków. Art. 21 ust. 2 lit. e, f.
8. Czy organizacja może szybko udowodnić podczas audytu, jaka wersja dokumentu obowiązywała w danym dniu i dla danej partii/zlecenia?
Mapowanie NIS2: rozliczalność, gotowość dowodowa, ocena skuteczności środków. Art. 21 ust. 2 lit. f.
Sekcja C. Rejestrowanie kontroli i ślad audytowy
9. Czy każda wykonana kontrola jakości pozostawia trwały zapis: kto, kiedy, czego dotyczyła i jaki był wynik?
Mapowanie NIS2: incident handling i ability to assess effectiveness. Art. 21 ust. 2 lit. b, f.
10. Czy można ustalić, czy zapis kontroli został utworzony w czasie rzeczywistym, a nie dopisany później?
Mapowanie NIS2: rozliczalność operacyjna wspierająca analizę zdarzeń i skuteczności środków. Art. 21 ust. 2 lit. b, f.
11. Czy zmiany w zapisach jakościowych są rejestrowane i możliwe do odtworzenia?
Mapowanie NIS2: bezpieczeństwo utrzymania systemów, kontrola zmian, dowodowość. Art. 21 ust. 2 lit. e, f.
12. Czy dane z kontroli jakości są łatwo przeszukiwalne i dostępne bez ręcznego przeglądania segregatorów, maili i arkuszy?
Mapowanie NIS2: skuteczność, szybkość reakcji, gotowość do obsługi incydentów. Art. 21 ust. 2 lit. b, f; art. 23.
Sekcja D. Niezgodności, incydenty i działania korygujące
13. Czy wykryta niezgodność może zostać natychmiast zgłoszona i przypisana do właściciela działań?
Mapowanie NIS2: incident handling. Art. 21 ust. 2 lit. b.
14. Czy organizacja ma zdefiniowane poziomy eskalacji dla niezgodności krytycznych?
Mapowanie NIS2: incident handling oraz ograniczanie wpływu incydentów. Art. 21 ust. 1–2 lit. b.
15. Czy niezgodności jakościowe są analizowane pod kątem możliwego wpływu na ciągłość działania, bezpieczeństwo informacji lub klientów?
Mapowanie NIS2: all-hazards approach, incident impact. Art. 21 ust. 2 oraz cel ochrony systemów i usług.
16. Czy działania korygujące i zapobiegawcze mają terminy, właścicieli oraz status realizacji?
Mapowanie NIS2: ocena skuteczności środków i reakcja na braki zgodności. Art. 21 ust. 2 lit. f oraz ust. 4.
17. Czy można szybko przygotować zestaw danych potrzebnych do analizy zdarzenia lub incydentu?
Mapowanie NIS2: reporting obligations i gotowość dowodowa. Art. 23 ust. 4.
Sekcja E. Ciągłość działania i odporność operacyjna
18. Czy zapisy jakościowe są zabezpieczone przed utratą i możliwe do odtworzenia po awarii?
Mapowanie NIS2: business continuity, backup management, disaster recovery. Art. 21 ust. 2 lit. c.
19. Czy organizacja może kontynuować kluczowe procesy jakości mimo awarii narzędzia, braku dostępu do dokumentów lub zakłócenia operacyjnego?
Mapowanie NIS2: business continuity i crisis management. Art. 21 ust. 2 lit. c.
20. Czy istnieje plan awaryjny dla krytycznych decyzji jakościowych (np. blokada partii, wstrzymanie wysyłki, awaryjna akceptacja)?
Mapowanie NIS2: crisis management. Art. 21 ust. 2 lit. c.
Sekcja F. Dostawcy i łańcuch dostaw
21. Czy proces jakości obejmuje formalną ocenę dostawców pod kątem jakości i niezawodności operacyjnej?
Mapowanie NIS2: supply chain security. Art. 21 ust. 2 lit. d i ust. 3.
22. Czy niezgodności dostawców są rejestrowane, analizowane i powiązane z konkretnym dostawcą lub partią?
Mapowanie NIS2: supply chain security i ocena ryzyka dostawcy. Art. 21 ust. 2 lit. d.
23. Czy decyzje o dopuszczeniu, warunkowym dopuszczeniu lub blokadzie dostawcy są udokumentowane i możliwe do odtworzenia?
Mapowanie NIS2: rozliczalność w relacjach z dostawcami. Art. 21 ust. 2 lit. d, ust. 3.
Sekcja G. Kontrola dostępu, role i bezpieczeństwo operacyjne
24. Czy dostęp do dokumentacji jakościowej i zapisów jest ograniczony zgodnie z rolą użytkownika?
Mapowanie NIS2: access control policies. Art. 21 ust. 2 lit. i.
25. Czy różne role (operator, kontroler, lider, audytor, administrator) mają rozdzielone uprawnienia?
Mapowanie NIS2: access control i human resources security. Art. 21 ust. 2 lit. i.
26. Czy organizacja może natychmiast odebrać dostęp do danych jakościowych po zmianie stanowiska lub odejściu pracownika?
Mapowanie NIS2: access control i asset management. Art. 21 ust. 2 lit. i.
27. Czy dla ról wrażliwych (np. administrator, osoba zatwierdzająca krytyczne decyzje) stosowane jest silniejsze uwierzytelnianie?
Mapowanie NIS2: multi-factor authentication, where appropriate. Art. 21 ust. 2 lit. j.
Sekcja H. Szkolenia, świadomość i mierzenie skuteczności
28. Czy personel jakości jest szkolony z pracy na aktualnej dokumentacji, zasad eskalacji i poprawnego rejestrowania danych?
Mapowanie NIS2: cybersecurity training and cyber hygiene. Art. 21 ust. 2 lit. g.
29. Czy organizacja mierzy terminowość kontroli, kompletność zapisów i czas zamykania niezgodności?
Mapowanie NIS2: assessment of effectiveness. Art. 21 ust. 2 lit. f.
30. Czy wyniki tych pomiarów są wykorzystywane do realnego doskonalenia procesu?
Mapowanie NIS2: ocena skuteczności środków i wdrażanie działań naprawczych. Art. 21 ust. 2 lit. f oraz ust. 4.
Interpretacja wyników ankiety
Punktacja
- 30 pytań
- każde pytanie: 0–4 pkt
- maksymalnie: 120 pkt
Mapowanie wyników
- 0–39 pkt: Wysokie ryzyko niezgodności operacyjnej
Proces jakości jest w dużej mierze oparty na papierze, lokalnych praktykach lub rozproszonych narzędziach. Organizacja ma istotne luki w rozliczalności, czasie reakcji i gotowości audytowej. To utrudnia praktyczne wykazanie realizacji wymagań z art. 21 NIS2.
- 40–69 pkt: Podstawy istnieją, ale wymagają uporządkowania
Organizacja ma część formalnych rozwiązań, lecz procesy są rozproszone i słabo mierzalne. Najczęstsze luki to brak spójnej ścieżki audytowej, brak automatyzacji eskalacji i ograniczona kontrola wersji. To zwykle etap przejściowy między modelem papierowym a nadzorowanym QMS. Wniosek opiera się na wymaganiach skuteczności, incident handling i continuity z art. 21.
- 70–94 pkt: Dobra dojrzałość, ale są obszary do domknięcia
Proces jakości wspiera część wymagań NIS2, lecz nie wszystkie mechanizmy są w pełni nadzorowane. Typowe braki to niepełna historia zmian, brak spójnych KPI lub niedostateczne rozdzielenie ról. To poziom, na którym warto wdrażać dalszą cyfryzację i standaryzację.
- 95–120 pkt: Wysoka gotowość procesowa
System jakości jest dobrze przygotowany do wsparcia zgodności z wymaganiami NIS2 w obszarach procesu, dokumentacji, rozliczalności i reakcji operacyjnej. Nadal należy pamiętać, że pełna zgodność NIS2 obejmuje także szersze obszary IT, bezpieczeństwa i nadzoru zarządczego.
Co dalej?...
Jeśli chcesz prowadzić procesy jakości szybciej, czytelniej i z większą kontrolą, warto postawić na rozwiązanie, które porządkuje formularze, raporty, niezgodności i działania korygujące w jednym miejscu. icmInspector QMS wspiera firmy w przejściu od rozproszonych i papierowych procesów do nowoczesnego, cyfrowego zarządzania jakością.
Kliknij i wypełnij ankietę online aby sprawdzić, które obszary wymagają usprawnienia i zobaczyć jak wiele możesz zyskać dzięki uporządkowanemu QMS.
Tagi: kontrola jakościQMScyfryzacja kontroli jakościNIS2bezpieczeństwo
