Menu

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?

Petra Javornická

Petra Javornická
01. 02. 2024

NIS2
Analýza rizik

SDÍLET

Nemáte ještě zpracovanou analýzu rizik z hlediska kyberbezpečnosti? Bez ní jen stěží dáte dohromady efektivní strategii pro zabezpečení vaší firmy. A vyžaduje ji i nová evropská směrnice o kybernetické bezpečnosti NIS2, která se promítne do českého právního řádu novým zákonem o kybernetické bezpečnosti. Nová legislativa od firem očekává komplexnější a zodpovědnější přístup k řízení rizik – včetně jejich průběžného vyhodnocování při každé významnější změně ve firmě.

V dnešní době, kdy digitalizace a technologický pokrok zasahují do všech odvětví podnikání, je nutné se neustále přizpůsobovat dynamicky se vyvíjející oblasti kybernetické bezpečnosti. Jednou ze základních technik, jak na změny pružně reagovat, je analýza rizik. Ta je nejen nezbytnou, ale i základní součástí formování efektivní kyberbezpečnostní strategie pro každou firmu. Tento proces není pouhým administrativním cvičením; je to klíčový nástroj, který umožňuje firmám identifikovat, hodnotit a prioritizovat potenciální hrozby a zranitelnosti v jejich informačních systémech a obchodních operacích a komplexně na ně reagovat. 

Proč ve firmě řešit analýzu rizik?

S příchodem směrnice NIS2 se analýza rizik stává ještě významnější, protože subjekty, které pod ni spadají, budou muset přijmout komplexní a proaktivní přístup k řízení a vyhodnocování rizik. Směrnici NIS2, jejímž cílem je zvýšit odolnost kritické infrastruktury a digitálních služeb vůči kyberútokům, bude muset jen v České republice splnit přes 6000 organizací. Bude se vás nová kybernetická legislativa týkat? Zjistěte to v naší aplikaci.

Analýzou řízení kyberbezpečnostních rizik ve firmě by se ale měla zabývat každá firma nebo organizace, která se nechce dostat do situace, v níž nemůže dále podnikat kvůli výpadku klíčových systémů nebo zajištění základních obchodních operací.

Co firmám nově nařizuje směrnice o kyberbezpečnosti NIS2?  

  • Průběžně vyhodnocovat kybernetická rizika.
  • Při každé významné změně, která se propisuje do chodu firmy, analyzovat její vliv na kybernetickou bezpečnost.
  • Zavést školení firemních pracovníků od managementu až po administrativní pozice a dodavatele v oblasti kybernetických rizik.
  • Nastavit pravidla a postupy pro testování a audity, které pomůžou vyhodnotit efektivitu provedených opatření.
  • Zavést systém pro detekci a hlášení incidentů i metodiku pro reakci na hlášení o narušení bezpečnosti.
  • Zabezpečit vývoj i údržbu svých informačních systémů a sítí.
  • Identifikovat, hodnotit a řídit dodavatele v rámci dodavatelského řetězce.
  • Implementovat pravidla a postupy řízení kontinuity podnikání (Business Continuity Management).
  • Efektivně implementovat technická řešení pro zajištění ochrany klíčové IT infrastruktury firmy v návaznosti na vyhodnocení rizik.

Tři základní kameny analýzy rizik: aktiva, hrozby a zranitelnosti

Pro analýzu rizik v nejjednodušší podobě budeme potřebovat několik vstupů. Analýza rizik je v základu prostým násobením tří hodnot: hodnoty aktiva, hodnoty zranitelnosti a hodnoty hrozby.

Aktiva

V rámci směrnice NIS2 je „primární aktivum“ chápáno jako klíčová služba nebo produkt, který vaše firma nabízí, resp. je klíčové pro zajištění standardního fungování vaší firmy. Tímto způsobem je aktivum chráněno kybernetickým zákonem. Příklady takových aktiv mohou zahrnovat důležité služby, jako jsou dodávky elektřiny, zdravotní péče nebo bankovní služby.  

Kromě toho existují i podpůrná aktiva, která jsou nutná pro poskytování těchto služeb, tedy hardware a software, zaměstnanci, a dokonce i fyzické budovy. Tyto podpůrné prvky jsou také důležité pro udržení bezpečnosti a kontinuity vašich klíčových služeb.

Prvním zásadním vstupem do analýzy rizik je určení hodnoty aktiv. Na hodnocení aktiv lze nahlížet z hlediska dostupnosti, důvěrnosti a integrity. Zachování dostupnosti je klíčovým parametrem pro určení, v jakém čase (kvalitě) musí být data dostupná uživatelům, kteří je potřebují pro svoji činnost. Důvěrností společnosti zajišťují to, že informace jsou přístupné jen tomu, kdo je oprávněn se s nimi seznamovat, a naopak zabraňují přístupu neautorizovaným osobám. A pro zachování integrity je nutné, aby nedocházelo k neautorizované modifikaci dat a informací. 

Hrozby

Hodnota hrozby reprezentuje potenciál nebo intenzitu hrozby. Tou může být jakýkoliv faktor nebo akce, která může způsobit škodu na aktivu. Například kyberútoky, fyzické škody, selhání systému, zneužití dodavatelského řetězce, využívání technologií firem z rizikových zemí, nedostatečné personální kapacity a další. Hodnota hrozby je často vyjádřena jako frekvence nebo pravděpodobnost, že daná hrozba nastane a způsobí škodu.

Zranitelnosti

Hodnota zranitelnosti vyjadřuje míru, do jaké je aktivum zranitelné vůči různým hrozbám. Jinými slovy je to pravděpodobnost, že dané aktivum bude poškozeno nebo zneužito v důsledku působení hrozby. Například starý neaktualizovaný software může mít vyšší hodnotu zranitelnosti kvůli známým bezpečnostním chybám. 

Pokud jste analýzu rizik nikdy nedělali, můžete si pomoci metodickými materiály (například od NÚKIBu). Nemusíte se jich ale nutně držet a je možné si vymyslet jednodušší systém. Měli byste ale mít a znát metodiku, kterou použijete. Měli byste jí věřit a být schopní si ji obhájit při následném zkoumání ze strany úřadů.

Koho se týká NIS2?

Analýza rizik je klíčovým nástrojem i pro management společnosti. Pomocí této analýzy může management lépe pochopit, jaká opatření jsou potřebná pro minimalizaci rizik, a může efektivně rozhodovat o alokaci zdrojů, rozpočtu a priorotizaci implementace opatření. To umožňuje nejen zlepšit bezpečnostní opatření, ale také zvážit ekonomickou stránku těchto investic. Vedení firmy může lépe určit, zda náklady na konkrétní opatření odpovídají potenciálnímu snížení rizika a zda je taková investice ekonomicky opodstatněná a smysluplná.

Co si z článku odnést?

  • Analýza rizik je nutným předpokladem pro vytvoření efektivní kyberbezpečnostní strategie.
  • Řízení rizik ve firmě zajišťuje, aby byla efektivně implementována organizační a technická opatření, a tedy minimalizována rizika narušení důvěrnosti, dostupnosti a integrity dat.
  • Nová směrnice NIS2 ukládá analýzu rizik (včetně její průběžné aktualizace) povinně podnikům, které pod tuto směrnici spadají. Nicméně analýzu by měly řešit i firmy, kterých se NIS2 netýká.
Petra Javornická Petra Javornická
Marketingový specialista pro B2B

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Zobrazit článek
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2
Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Zobrazit článek
Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň
Generace Z a kyberbezpečnost. Je pro ni důležitá?

Generace Z a kyberbezpečnost. Je pro ni důležitá?

Zobrazit článek
Generace Z a kyberbezpečnost. Je pro ni důležitá?
Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?

Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?

Zobrazit článek
Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

Zobrazit článek
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?
Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Zobrazit článek
Jak zabezpečit firemní prohlížeče a eliminovat rizika?
CIO Agenda 2024: Kyberzločin je jen byznys

CIO Agenda 2024: Kyberzločin je jen byznys

Zobrazit článek
CIO Agenda 2024: Kyberzločin je jen byznys
Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Zobrazit článek
Deepfake útoky silně na vzestupu. Co to je a jak je poznat?
;