Jak řídit kybernetická rizika podle nového zákona o kybernetické bezpečnosti (NZKB)
Řízení kybernetických rizik je od 1. 11. klíčovou součástí zajištění bezpečnosti v každé regulované firmě. Právě z této analýzy se odvíjejí téměř všechny další aktivity. Podle nového zákona o kybernetické bezpečnosti (NZKB) č. 264/2025 Sb. tvoří řízení rizik povinnou součást bezpečnostních opatření pro poskytovatele regulovaných služeb v obou režimech – vyšším i nižším.
Vyšší vs. nižší režim podle NZKB
Zatímco vyhláška č. 409/2025 Sb. (pro vyšší režim) je velmi podrobná a preskriptivní, vyhláška č. 410/2025 Sb. (pro nižší režim) řízení rizik samostatně nerozepisuje. U nižšího režimu se očekává spíše reflexe pokynů Úřadu (NÚKIB) a tzv. protiopatření.
Inventura aktiv: Základ pro úspěšné řízení rizik
Není možné chránit něco, o čem nevíte, že existuje. Primární a podpůrná aktiva tvoří základ celého systému.
- Primární aktiva: Klíčová data, informace a procesy.
- Podpůrná aktiva: Hardware, sítě, cloudová infrastruktura a další nástroje.
💡 Expert tip pro praxi:
Nezačínejte hned analýzou hrozeb. Prvním krokem musí být důkladná inventura aktiv. Pokud nebudete mít zmapované vazby mezi podpůrnými technickými aktivy (např. konkrétní server) a primárními procesy (např. expedice zboží), nikdy neurčíte skutečný dopad případného výpadku na Váš byznys.
Povinná dokumentace: Metodika a zpráva o hodnocení rizik
Legislativa vyžaduje, aby byl proces formalizován. V rámci implementace NZKB ve firmě se nevyhnete těmto dokumentům:
- Politika řízení rizik a metodika: Definují přístup, procesy a periodicity hodnocení.
- Zpráva o hodnocení rizik: Dokument informující vedení o aktuálním stavu.
- Prohlášení o aplikovatelnosti: Popisuje zavedení konkrétních bezpečnostních opatření.
- Plán zvládání rizik: Obsahuje časovou osu, zdroje a odpovědnosti za mitigaci hrozeb.
Metody určování rizik: Asset-based vs. Threat-based
K analýze lze přistoupit dvěma směry:
- Asset-based (dle aktiv): Identifikuje rizika přímo u konkrétních aktiv. Je časově náročnější, ale lépe cílí na interní kontext firmy.
- Threat-based (dle hrozeb): Zvažuje primárně původce rizik (útočníky, katastrofy). Umožňuje lépe identifikovat externí kontext. V praxi se analýza kybernetických hrozeb tvoří kombinací obou těchto přístupů.
Jak přistoupit ke zvládání rizik?
Jakmile rizika identifikujete, musíte zvolit způsob jejich řešení:
- Mitigace (redukce): Zavedení bezpečnostních opatření podle vyhlášky.
- Přesun (sdílení): Například pojištění kybernetických rizik nebo outsourcing.
- Eliminace: Ukončení rizikové aktivity nebo změna technologie (např. migrace do řízeného cloudu).
- Akceptace: Schválení zůstatkového rizika vrcholným vedením.
Máte splněny všechny povinnosti?
Implementace NZKB není jednorázový úkol, ale kontinuální proces, který musí být revidován minimálně jednou ročně. Nenechte se zaskočit největší legislativní změnou posledních let a zajistěte si své místo na konferenci „Vaše kybernetická bezpečnost má deadline: 7 vyhlášek, 1 zákon, stovky povinností“ ještě dnes. ↘️
Konference
Vaše kybernetická bezpečnost má deadline: 7 vyhlášek, 1 zákon, stovky povinností
Máte 191 dní na dokončení povinností podle nového zákona o kybernetické bezpečnosti
