2. Znalostní báze
  3. Řízení shody NIS2
  4. Jak provést analýzu rizik pro NIS2

Jak provést analýzu rizik pro NIS2

Datum poslední aktualizace: 26. 11. 2025
Podívejte se na řešení:
Software pro řízení shody s NIS2
Pomohl Vám tento článek?
18 z celkových 19 článek pomohl.

5 praktických kroků analýzy rizik a aktiv pro NIS2

Kybernetický zákon a NIS2 vyžadují provedení analýzy rizik a klasifikaci aktiv. My vás provedeme přímočarým postupem, který je založený na identifikaci kritických rizik a v pěti základních krocích pomůže určit také primární a podpůrná aktiva, klíčové zranitelnosti, hrozby a nastavit opatření. 

  • Tento postup nenahrazuje celoplošnou analýzu rizik, ale pomáhá rychle vytvořit seznam kritických rizik, aktiv a opatření
  • Lze jej použít i při zavádění ISO 27001

Krok 1: Vytvořte seznam vašich kritických rizik 

První krok vám pomůže soustředit se na to nejpodstatnější. Musíte umět popsat a pojmenovat největší potenciální problémy, tedy zásadní rizika, které mohou ohrozit vaši firmuJak poznáte co jsou kritická rizika? Jsou to situace a problémy, které mohou existenčně ohrozit vaši firmu. Nejde o běžné provozní potíže, ale o hrozby, které by mohly zastavit výrobu, poskytování služeb, ztrátu konkurenceschopnosti přístup k datům, nebo vést ke ztrátě oprávnění podnikat, drastické pokutě nebo nevratnému poškození pověsti firmy. Dopadem je, že nemůžete fungovat nebo vás to stojí hodně peněz. 

  • Jsou to situace a problémy, které mohou existenčně ohrozit vaši firmu 
  • Položte si otázky tohoto typu: Co může přerušit naše fungování? Co může přerušit výrobu? Co může zastavit výrobu?
  • Co může přerušit poskytování služeb zákazníkům? Výpadek nebo nedostupnost systému

Krok 2: Z rizik určete, která aktiva jsou pro vás kritická, tedy primární

Jakmile máte hotový seznam klíčových rizik, bude pro vás snazší sestavit seznam vašich primárních aktiv, tedy těch, která souvisejí s vašimi kritickými riziky. Jestliže jste správně pojmenovali rizika, seznam kritický aktiv stanovíte snadno. Primární aktiva jsou to informace, data, systémy procesy nebo technologie, které jsou zdrojem kritických rizik. Bez nich nemůžete vyrábět nebo poskytovat služby vašim zákazníkům. 

Identifikujte k nim podpůrná aktiva

Podpůrná aktiva zajišťují funkčnost respektive dostupnost primárních aktiv. Každé primární aktivum je závislé na jednom nebo více podpůrných aktivech, a tedy k provedení analýzy potřebujete tyto závislosti sledovat. Podpůrná aktiva jsou typicky tato:

  • Další data a informace
  • IT služby
  • Služby infrastruktury (např. dodávka elektřiny)
  • Hardware -  Výpočetní technika, sítě, a další IT technika
  • Média a nosiče data 
  • Zaměstnanci
  • Prostory a objekty

Popište závislosti primárních aktiv na podpůrných aktivech

  • Je důležité vědět, kde máte vaše data uložená nebo na čem jsou závislá a tedy jak případná nedostupnost podpůrných aktiv, jako jsou technologie, služby, systémy, lidé, aplikace ovlivní nedostupnost vašich dat.
  • Vazby mezi primární a podpůrnými aktivy vám pomohou vytvořit představu vzájemných závislostí. 

Krok 3: Identifikujte zranitelnosti

Zranitelnosti, jsou slabá místa - slabiny aktiv které mohou být zneužité útočníkem. Mohou to být slabiny technické (např. CVE u software) nebo slabiny procesní (když vám například chybí proces odebrání oprávnění při odchodu zaměstnance). Zvyšují tedy pravděpodobnost spojených rizik.

Postupujte od jednotlivých aktiv. Každé může mít zranitelnosti. Ty sepište a připojte k příslušnému aktivu. Zranitelnosti mohou být například

  • nedostatečné znalosti zaměstnanců v oblasti kybernetických hrozeb
  • špatně přidělené oprávnění při nástupu zaměstnance
  • neodebírání oprávnění zaměstnancům při jejich odchodu 
  • chybějící zálohování
  • nedostatečné stanovení bezpečnostních pravidel
  • nedostatečná údržba informačního systému
  • nevhodné nastavení přístupových oprávnění
  • nedostatečné monitorování činnosti uživatelů a administrátorů
  • neschopnost odhalit podvodné nebo závadné chování uživatelů

Doporučené hodnocení zranitelností

  1. Nízká Zranitelnost neexistuje nebo je její zneužití není pravděpodobné 
  2. Střední Zneužití zranitelnosti je málo pravděpodobné. Nejsou známé žádné úspěšné pokusy jejího zneužití.
  3. Vysoká Zneužití zranitelnosti je velmi pravděpodobné. Jsou známé dílčí úspěšné pokusy jejího zneužití.
  4. Kritická Zneužití zranitelnosti je téměř jisté. Existují časté a úspěšné pokusy o zneužití.

Krok 4: Identifikujte hrozby

Hrozby jsou jaké externí události způsobující rizika, které zpravidla nemůžete ovlivnit, ale můžete se na ně připravit nebo jim předcházet. Příklady hrozeb jsou:

  • Kybernetické útoky
  • Chyby nebo špatné úmysly lidí 
  • Přírodní hrozby
  • Technická selhání a nedostatky
  • Selhání podpůrných  služeb

Doporučené hodnocení hrozeb

  1. Nízká Hrozba neexistuje nebo je málo pravděpodobná. Nenastane častěji než jednou za 5 let. 
  2. Střední Hrozba je málo pravděpodobná až pravděpodobná. Nastane v rozpětí od 1 roku do 5 let.
  3. Vysoká Hrozba je pravděpodobná až velmi pravděpodobná. Nastane v rozpětí od 1 měsíce do 1 roku.
  4. Kritická Hrozba je velmi pravděpodobná až víceméně jistá. Nastane častěji než jednou za měsíc.

Krok 5: Určete jak budete rizika zvládat 

Pro každé riziko si stanovíte, jak se k němu postavíte, jak ho budete chtít ošetřit. Optimálním cílem je dosáhnout akceptovatelnosti u všech rizik, tedy je snížit jejich hodnotu na akceptovatelnou úroveň. Riziko lze akceptovat z důvodu jeho nízké úrovně nebo v případě, že případná opatření by byla obtížně realizovatelná nebo neúměrně nákladná. Podle výše úrovně rizika jsou určovány priority řešení a jsou navrhována adekvátní opatření.

Jak můžete rizika zvládnout

  1. Zmírnit ho = přijmete opatření, která riziko sníží
  2. Přenést ho na někoho jiného = outsourcujete proces nebo aktivum na jinou firmu nebo pojišťovnu
  3. Vyhnout se mu = zrušíte zdroj rizika, například prodáte nebo vyměníte výrobní stroj
  4. Přijmout ho = nebudete dělat nic

Riziko zmírníte

  • Zmírnit ho je nejvíce využívaný přístup.
  • Znamená to přijmout opatření, které pomohou dostat riziko na akceptovatelnou úroveň
  • Příkladem je vzdělávání pracovníků v oblasti kybernetických útoků, to pomůže snížit pravděpodobnost toho, že někdo zneužije jejich neznalost

Riziko přenesete na někoho jiného

  • Tento způsob je vhodný, pokud na trhu najdete někoho jiného, kdo riziko dokáže zvládnout lépe
  • Typické příklady jsou pojištění nebo outsourcing

Riziku se vyhnete u

  • To znamená danou věc nedělat a tím riziko eliminovat
  • Je to negativní způsob řešení rizika

Riziko přijmete 

  • To znamená, že riziko budete akceptovat tak, jak je
  • Přijmout lze nízká rizika nebo rizika s vysokými náklady na jeho zmírnění.
  • Lze přijmout i střední rizika
  • Neměli byste takto řešit vysoká rizika, pokud jiná opatření nejsou neadekvátně nákladná
Doporučujeme znát
Kam pokračovat dále