Jak provést hodnocení rizik podle NIS 2
Tři kroky, které EU vyžaduje: identifikovat, analyzovat, vyhodnotit a ošetřit. Písemná metoda. Schválení vedením. Revize v plánovaných intervalech a při významných změnách. Tato stránka vám ukazuje, jak každá část vypadá v praxi.
Krátká verze
Článek 21(2)(a) NIS 2 říká, že každý zásadní a důležitý subjekt musí provozovat politiku založenou na analýze rizik. CIR (EU) 2024/2690 příloha §2 to zkonkrétňuje. Zavedete rámec řízení rizik informační bezpečnosti. Použijete jej k identifikaci, analýze, vyhodnocení a ošetření rizik pro vaše sítě a informační systémy. Zapíšete kritéria, která používáte, a řídicí orgán je schválí.
Metodu si nevymýšlíte. Můžete použít BSI Standard 200-3 (Německo), ISO/IEC 27005:2022 (mezinárodní ekvivalent) nebo jakoukoli jinou uznávanou metodu. Záleží na tom, aby byla zdokumentovaná, aby pokrývala aktiva, která skutečně provozujete, a abyste ji revidovali v plánovaných intervalech, nejméně jednou ročně, a kdykoli dojde k něčemu významnému.
Past, do níž většina operátorů spadne: vyberou jeden scénář hrozby, oskórují jej a skončí. Hodnocení rizik je metoda aplikovaná na vaši evidenci aktiv, nikoli jediný workshop. Níže projdeme identifikaci, analýzu a vyhodnocení a poté ukážeme zásady, které celek drží pohromadě.
Článek 21(2)(a) směrnice NIS 2 (2022/2555)
Politiky pro analýzu rizik a zabezpečení informačních systémů.
Bod (a) v seznamu deseti opatření kybernetické bezpečnosti, která musí zavést každý zásadní a důležitý subjekt. Směrnice nepředepisuje metodu. Předepisuje povinnost.
CIR (EU) 2024/2690, příloha §2
Pro účely článku 21(2)(a) směrnice (EU) 2022/2555 relevantní subjekty zavedou vhodný rámec řízení rizik informační bezpečnosti k identifikaci, analýze, vyhodnocení a ošetření rizik informační bezpečnosti. Relevantní subjekty rámec přezkoumají a v případě potřeby aktualizují v plánovaných intervalech a nejméně jednou ročně, jakož i při výskytu významných změn.
Protože jde o nařízení (nikoli směrnici), je přímo závazným právem EU. CIR příloha §2 také váže rámec na evidenci aktiv podle §12 CIR. Čtyři slovesa identifikovat, analyzovat, vyhodnotit, ošetřit pocházejí přímo z textu EU.
§30(2)(1) BSIG (Německo)
Politiky pro analýzu rizik a pro bezpečnost informačních technologií.
Německo kopíruje text EU téměř slovo od slova. Standardy BSI 200-2 (ISMS) a 200-3 (analýza rizik) vám podrobně říkají, jak splnit povinnost podle §30 BSIG. Stejná povinnost podle článku 21(2)(a) platí v každém dalším členském státě prostřednictvím jeho národního transpozičního zákona.
Identifikovat
Vezměte svou evidenci aktiv podle §12 CIR. Pro každé aktivum (nebo seskupenou třídu shodných aktiv) vyjmenujte hrozby a zranitelnosti, které se ho týkají. Použijte referenční katalog, abyste nezačínali z prázdné stránky. Katalog BSI Elementare Gefährdungen má 47 položek pokrývajících požár, krádež, sociální inženýrství, malware, dodavatelský řetězec, ztrátu klíčové osoby a další. ISO/IEC 27005:2022 příloha A uvádí srovnatelné typy hrozeb a zranitelností. Výstupem je trojice aktivum, hrozba a zranitelnost pro každé riziko.
Analyzovat
Pro každou trojici oskórujte, jak zlý by byl dopad a jak je pravděpodobné, že nastane. Matice 3x3 (nízká / střední / vysoká) stačí pro většinu subjektů Mittelstandu. Matice 5x5 vám dá lepší rozlišení, pokud potřebujete porovnávat podobná rizika. Dopad pokrývá důvěrnost, integritu a dostupnost, plus jakýkoli obchodní nebo bezpečnostní následek. Pravděpodobnost je úsudek opřený o to, co jste již viděli, o sektorová data a o stav vašich kontrol. Skóre zapište s jednořádkovým zdůvodněním.
Vyhodnotit a ošetřit
Porovnejte každé oskórované riziko s vašimi akceptačními kritérii, která jste nastavili před začátkem skórování. Nad prahem ošetřujete: snížit (zavést kontroly), vyhnout se (přestat činnost provádět), sdílet (pojištění nebo smlouva, s limity, viz níže) nebo akceptovat (se zdokumentovaným důvodem). Pod prahem zaznamenáte, že je akceptujete. Každé rozhodnutí o ošetření má jmenovaného vlastníka a datum. Řídicí orgán schválí zbytková rizika, s nimiž je ochoten žít.
Písemná metoda se schválením vedením
CIR §2 mluví o rámci, nikoli o workshopu. Metoda (jak skórujete, jak vypadá matice, kdo rozhoduje, jaké jsou vaše akceptační prahy) musí být na papíře. Řídicí orgán ji schválí. Nepotřebujete vymyšlenou metodu. Potřebujete zdokumentovanou. Článek 21(1) vám umožňuje držet hloubku úměrnou vašemu riziku a velikosti, ale samotná metoda volitelná není.
Revize v plánovaných intervalech a při významných změnách
CIR §2(2) je výslovný: rámec a hodnocení revidujete v plánovaných intervalech, nejméně jednou ročně a při výskytu významných změn. Nová linie podnikání, nový klíčový dodavatel, závažný incident, regulatorní změna, to vše se počítá jako významné. Roční revize je spodní hranicí, nikoli stropem. Berte hodnocení jako živý artefakt vázaný na vaši evidenci aktiv, nikoli jako pořadač, který napíšete jednou.
BSI Standardy 200-2 a 200-3
BSI vydává dva standardy, které pokrývají povinnost analýzy rizik podle §30 BSIG od začátku do konce. BSI 200-2 stanoví životní cyklus ISMS. BSI 200-3 je samotná analýza rizik, s Elementare Gefährdungen jako katalogem hrozeb. BSI je ve svých Infopakete výslovné: plošný přenos rizika nebo obecná akceptace rizika je vyloučena. Pojištění je něco, co přidáváte navrch, nikdy ne náhrada za ošetření.
Technické implementační pokyny ENISA
ENISA, agentura EU pro kybernetickou bezpečnost, vydává technické implementační pokyny (TIG) k CIR (EU) 2024/2690. Nejsou právem. Jsou praktickou referencí, která mapuje text CIR na uznávané standardy, včetně ISO/IEC 27005:2022 pro řízení rizik. Národní orgány a auditoři je citují jako rozumný výklad CIR.
ISO/IEC 27005:2022
ISO/IEC 27005:2022 je mezinárodní standard pro řízení rizik informační bezpečnosti. Je jmenován v TIG od ENISA jako uznávaná metoda pro splnění CIR §2. Pokud již provozujete ISMS podle ISO 27001, ISO 27005 je metoda analýzy rizik, která sídlí uvnitř něj. Použijte tu uznávanou metodu, která vyhovuje vašemu kontextu. CIR jednu nevybírá.
Hodnocení rizik jsme udělali loni, takže máme hotovo.
CIR §2(2) vyžaduje revizi v plánovaných intervalech, nejméně jednou ročně a při významných změnách. Jednorázové hodnocení z loňska povinnost nesplňuje, pokud se mezitím změnil zásadní dodavatel, spustil nový systém nebo došlo k závažnému incidentu. Berte hodnocení jako živý artefakt vázaný na vaši evidenci aktiv.
Potřebujeme samostatnou položku rizika pro každé CVE a každou hrozbu.
Nepotřebujete. Hodnocení rizik je aktivum po aktivu (nebo po seskupené třídě shodných aktiv), nikoli zranitelnost po zranitelnosti. BSI vám umožňuje sloučit 45 kancelářských notebooků do jedné položky. Hrozby a zranitelnosti hodnotíte na úrovni aktiva. Správa záplat je samostatnou nepřetržitou povinností podle článku 21(2)(e), nikoli součástí ročního hodnocení.
Máme kybernetické pojištění, takže zbytek můžeme akceptovat.
BSI je přímočaré: plošný přenos rizika nebo obecná akceptace rizika je vyloučena. Pojištění sedí navrch ošetření, nikdy je nenahrazuje. Totéž platí pro akceptaci: nemůžete akceptovat každé riziko, kterým se nechcete zabývat. Akceptace musí být zdůvodněná, jmenovitá, podepsaná a v rámci kritérií, která stanovíte předem.
Co vidíme u subjektů Mittelstandu se 60 až 250 lidmi: deset až patnáct seskupených aktiv, podmnožinu Elementare Gefährdungen kolem dvaceti hrozeb, matici 3x3 a celkem někde mezi čtyřiceti a osmdesáti položkami rizik. První průchod zabere několik pracovních dní se správnými lidmi v místnosti. Jednou udělaná roční revize jsou hodiny, nikoli dny.
Dvě části, které poprvé trvají nejdéle, jsou evidence aktiv a akceptační kritéria. Obojí se vyplatí: každý pozdější požadavek (dodavatelé, incidenty, kontinuita podnikání, školení) znovu používá tentýž seznam aktiv a kritéria vám zabrání znovu rozporovat každé jednotlivé rozhodnutí o ošetření. Praktici se třiceti zákazníky z Mittelstandu říkají totéž: udělejte metodu jednou pořádně a roční revize je nejlevnější hodinou, kterou na NIS 2 strávíte.
Metodika rizik, evidence aktiv, hrozby a zranitelnosti, oskórovaná rizika, plány ošetření a akceptační kritéria žijí na platformě v jednom modulu. Metodu zaznamenáte jednou, řídicí orgán ji schválí a každé pozdější hodnocení používá totéž skórování. Auditní stopa je důkazem.
Roční revize a revize při významných změnách vypadávají z používání platformy: termíny, schválení, status. Nic se nemusí udržovat stranou. Když se hodnocení váže přímo na vaši evidenci aktiv (jak žádá CIR §2(3)), každá změna aktiva se vynoří v další revizi. Zdarma a open source. Bez vázanosti na dodavatele.
- Směrnice (EU) 2022/2555 (NIS 2), článek 21(2)(a) (eur-lex.europa.eu/eli/dir/2022/2555/oj)
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha §2 a §12 (eur-lex.europa.eu/eli/reg_impl/2024/2690/oj)
- Zákon o BSI (BSIG), §30 ve znění zákona o zavedení NIS2 a posílení kybernetické bezpečnosti
- BSI Standard 200-2: metodika IT-Grundschutz (bsi.bund.de)
- BSI Standard 200-3: analýza rizik založená na IT-Grundschutz (bsi.bund.de)
- BSI Infopakete „NIS 2 Pflichten“ (bsi.bund.de/dok/nis-2-infopakete)
- ISO/IEC 27005:2022: informační bezpečnost, kybernetická bezpečnost a ochrana soukromí, pokyny pro řízení rizik informační bezpečnosti
- Technické implementační pokyny ENISA k CIR (EU) 2024/2690 (stav květen 2026)