Jak řídit kybernetická rizika podle nového zákona o kybernetické bezpečnosti (NZKB)

Řízení kybernetických rizik je od 1. 11. klíčovou součástí zajištění bezpečnosti v každé regulované firmě. Právě z této analýzy se odvíjejí téměř všechny další aktivity. Podle nového zákona o kybernetické bezpečnosti (NZKB) č. 264/2025 Sb. tvoří řízení rizik povinnou součást bezpečnostních opatření pro poskytovatele regulovaných služeb v obou režimech – vyšším i nižším.

Vyšší vs. nižší režim podle NZKB

Zatímco vyhláška č. 409/2025 Sb. (pro vyšší režim) je velmi podrobná a preskriptivní, vyhláška č. 410/2025 Sb. (pro nižší režim) řízení rizik samostatně nerozepisuje. U nižšího režimu se očekává spíše reflexe pokynů Úřadu (NÚKIB) a tzv. protiopatření.

Inventura aktiv: Základ pro úspěšné řízení rizik

Není možné chránit něco, o čem nevíte, že existuje. Primární a podpůrná aktiva tvoří základ celého systému.

• Primární aktiva: Klíčová data, informace a procesy.
• Podpůrná aktiva: Hardware, sítě, cloudová infrastruktura a další nástroje.

💡 Expert tip pro praxi:

Nezačínejte hned analýzou hrozeb. Prvním krokem musí být důkladná inventura aktiv. Pokud nebudete mít zmapované vazby mezi podpůrnými technickými aktivy (např. konkrétní server) a primárními procesy (např. expedice zboží), nikdy neurčíte skutečný dopad případného výpadku na Váš byznys.

Povinná dokumentace: Metodika a zpráva o hodnocení rizik

Legislativa vyžaduje, aby byl proces formalizován. V rámci implementace NZKB ve firmě se nevyhnete těmto dokumentům:

1. Politika řízení rizik a metodika: Definují přístup, procesy a periodicity hodnocení.
2. Zpráva o hodnocení rizik: Dokument informující vedení o aktuálním stavu.
3. Prohlášení o aplikovatelnosti: Popisuje zavedení konkrétních bezpečnostních opatření.
4. Plán zvládání rizik: Obsahuje časovou osu, zdroje a odpovědnosti za mitigaci hrozeb.

Metody určování rizik: Asset-based vs. Threat-based

K analýze lze přistoupit dvěma směry:

• Asset-based (dle aktiv): Identifikuje rizika přímo u konkrétních aktiv. Je časově náročnější, ale lépe cílí na interní kontext firmy.
• Threat-based (dle hrozeb): Zvažuje primárně původce rizik (útočníky, katastrofy). Umožňuje lépe identifikovat externí kontext. V praxi se analýza kybernetických hrozeb tvoří kombinací obou těchto přístupů.

Jak přistoupit ke zvládání rizik?

Jakmile rizika identifikujete, musíte zvolit způsob jejich řešení:

• Mitigace (redukce): Zavedení bezpečnostních opatření podle vyhlášky.
• Přesun (sdílení): Například pojištění kybernetických rizik nebo outsourcing.
• Eliminace: Ukončení rizikové aktivity nebo změna technologie (např. migrace do řízeného cloudu).
• Akceptace: Schválení zůstatkového rizika vrcholným vedením.

---

Máte splněny všechny povinnosti?

Implementace NZKB není jednorázový úkol, ale kontinuální proces, který musí být revidován minimálně jednou ročně. Nenechte se zaskočit největší legislativní změnou posledních let a zajistěte si své místo na konferenci „Vaše kybernetická bezpečnost má deadline: 7 vyhlášek, 1 zákon, stovky povinností“ ještě dnes. ↘️