Kvantitativní hodnocení kybernetických rizik pro NIS2 a DORA
Jednání řídicího orgánu, kde už „vysoké riziko“ nestačilo
Je úterý 08:15. CISO rychle rostoucí fintech společnosti stojí před zasedací místností se třemi verzemi stejného příběhu o kybernetickém riziku.
První verze je známá: ransomware je „vysoký“, výpadek cloudu je „vysoký“, kompromitace dodavatele je „střední“, zneužití privilegovaného přístupu je „vysoké“. Je obhajitelná, sladěná se stávajícím registrem rizik a téměř nepoužitelná pro rozhodnutí, které má řídicí orgán přijmout.
Druhá verze je technický plán: zavést neměnné zálohy, zlepšit řízení identit, financovat testování odolnosti, posílit monitorování dodavatelů a rozšířit pokrytí logováním. Dává smysl, ale finanční ředitel položí otázku, která změní průběh jednání: „Které z těchto opatření sníží nejvíce podnikatelského rizika na jedno euro?“
Třetí verze mění celou diskusi.
Dvanáctihodinový výpadek platformy pro orchestraci plateb je odhadován na 620 000 € v hrubém provozním, smluvním a výnosovém dopadu. Současná roční expozice je odhadována na 186 000 €. Balíček opatření na zvýšení odolnosti za 74 000 € může snížit očekávanou roční ztrátu přibližně na 62 000 €. Zbývající expozice je stále nad tolerancí, protože služba podporuje kritickou nebo důležitou funkci, expozice spojená s informováním zákazníků zůstává významná a závislost na třetí straně je vysoká.
Řídicí orgán nyní nediskutuje o barvách. Diskutuje o finanční expozici, toleranci rizika, regulatorní odpovědnosti a investičních prioritách.
Tak vypadá kvantitativní hodnocení kybernetických rizik v roce 2026. Není to matematické divadlo. Nepředstírá, že kybernetické události lze předvídat s dokonalou přesností. Jde o disciplinovaný převod výroku „toto je červené“ na „toto je pravděpodobná finanční expozice, toto je míra jistoty, toto je regulatorní důsledek, toto je rozhodnutí o ošetření rizika a toto je auditní stopa důkazů“.
Pro CISO, manažery souladu, auditory a vlastníky firem se tento posun v praxi stává povinným. ISO/IEC 27001:2022 vyžaduje dokumentovaný, konzistentní a srovnatelný proces hodnocení a ošetření rizik. NIS2 přesouvá kybernetické riziko do schvalování řídicím orgánem, dohledu, školení a odpovědnosti. DORA staví řízení rizik v oblasti ICT, testování odolnosti, klasifikaci incidentů, rizika třetích stran a odpovědnost vedení do centra pozornosti finančních subjektů. NIST CSF 2.0 poskytuje vedení jazyk správy a řízení pro apetit k riziku, prioritizaci a dohled. GDPR přidává odpovědnost, pokud jsou dotčeny osobní údaje.
Problém není v tom, že by organizace neměly registry rizik. Problém je v tom, že mnoho registrů rizik nedokáže vysvětlit peníze, priority, odpovědnost řídicího orgánu ani auditní důkazy.
Přístup Clarysec tuto mezeru uzavírá tím, že spojuje Zenith Blueprint: třicetikrokový plán auditora Zenith Blueprint, politiky Clarysec a Zenith Controls: průvodce křížovým souladem Zenith Controls do jednoho praktického důkazního modelu: kvantifikovat to, na čem záleží, namapovat to na opatření, ukázat, kdo riziko akceptoval, a prokázat, že ošetření fungovalo.
Proč kvalitativní registry rizik už nestačí
Kvalitativní posouzení rizik má stále význam. Jasná matice pravděpodobnosti a dopadu pomáhá týmům stanovovat priority, když jsou data neúplná, zejména v širokém rozsahu ISMS. Problém začíná ve chvíli, kdy u toho organizace skončí.
Řídicí orgán pochopí, že riziko je „vysoké“, ale nedokáže snadno porovnat tři „vysoká“ rizika soutěžící o stejný rozpočet. Je nejvyšší prioritou scénář ransomwaru, výpadek cloudu, riziko koncentrace dodavatele nebo slabina v privilegovaném přístupu? Odpověď závisí na finanční expozici, regulatorní závažnosti, dopadu na zákazníky, smluvních povinnostech, kritičnosti služby a zbytkovém riziku po ošetření.
Proto kvantitativní hodnocení kybernetických rizik funguje nejlépe jako hybridní model. Nekvantifikujte každý drobný problém. Používejte kvalitativní skórování napříč celým registrem a finanční analýzu doplňte u rizik, která vyžadují rozhodnutí vedení, schválení investice, smluvní opatření, přenos rizika nebo dohled řídicího orgánu.
Podniková Politika řízení rizik Clarysec Politika řízení rizik to výslovně podporuje. V části „Požadavky na implementaci politiky“, kapitola 6.2.3, uvádí:
„Podle kategorie rizika a dostupnosti informací lze použít kvalitativní i kvantitativní metody.“
Tato kapitola je důležitá, protože brání častému selhání: falešné přesnosti. Vyspělé organizace nevynucují finanční modelování u každého malého rizika. Používají jej tam, kde jej rozhodnutí vyžaduje.
U MSP může základ zůstat jednoduchý. Politika řízení rizik pro MSP Clarysec Politika řízení rizik pro MSP, část „Požadavky na správu a řízení“, kapitola 5.1.2, uvádí:
„Každá položka rizika musí obsahovat: popis, pravděpodobnost, dopad, skóre, vlastníka a plán ošetření rizika.“
Zlepšení nespočívá v nahrazení této struktury. Spočívá v obohacení nejdůležitějších položek o finanční odhady, zejména tam, kde jde o nedostupnost, regulované služby, osobní údaje, závislost na cloudu, outsourcing ICT nebo kritické závazky vůči zákazníkům.
Posun ve správě a řízení: kybernetické riziko je nyní artefaktem pro řídicí orgán
Kvantifikace kybernetických rizik není jen finanční cvičení. Je to důkaz pro správu a řízení.
Podle ISO/IEC 27001:2022 musí organizace určit kontext, zainteresované strany, právní a smluvní požadavky, rozsah, rozhraní a závislosti. Musí definovat proces posouzení rizik bezpečnosti informací, který poskytuje konzistentní, platné a srovnatelné výsledky. Musí identifikovat rizika pro důvěrnost, integritu a dostupnost, určit vlastníky rizik, posoudit dopady a pravděpodobnost, určit úrovně rizik a stanovit jejich priority. Následně musí vybrat možnosti ošetření, určit opatření, porovnat je s přílohou A, vytvořit prohlášení o aplikovatelnosti, získat schválení vlastníka rizika a uchovávat dokumentované informace.
To znamená, že registr rizik není soukromá tabulka bezpečnostního týmu. Je to záznam ISMS, který propojuje vedení, výběr opatření, odpovědnost za ošetření rizik a přezkoumání vedením.
NIS2 posouvá očekávání dále. Řídicí orgány základních a důležitých subjektů musí schvalovat opatření k řízení kybernetických rizik, dohlížet na jejich implementaci a absolvovat školení, aby rozuměly rizikům a dokázaly posuzovat postupy kybernetické bezpečnosti. NIS2 Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření s ohledem na stav techniky, náklady na implementaci, expozici riziku, velikost subjektu, pravděpodobnost, závažnost a společenský a hospodářský dopad.
Právě spojení „společenský a hospodářský dopad“ ukazuje sílu finanční kvantifikace kybernetických rizik. Poskytovatel podporující cloud, datová centra, DNS, služby vytvářející důvěru, řízené služby, řízené bezpečnostní služby, digitální infrastrukturu, online tržiště nebo jiné zahrnuté sektory může potřebovat prokázat nejen existenci opatření, ale také to, proč jsou přiměřená dané expozici.
Pro finanční subjekty se DORA použije od 17. ledna 2025 a stává se sektorovým režimem digitální provozní odolnosti. Zahrnuje řízení rizik v oblasti ICT, hlášení významných incidentů souvisejících s ICT, testování digitální provozní odolnosti, sdílení informací o kybernetických hrozbách, rizika třetích stran v oblasti ICT a dohled nad kritickými poskytovateli služeb třetích stran v oblasti ICT. U finančních subjektů, které jsou zároveň identifikovány podle vnitrostátní transpozice NIS2, DORA funguje jako sektorový právní akt Unie pro příslušné otázky řízení rizik v oblasti ICT a hlášení incidentů.
Prakticky řečeno, fintech nepotřebuje pět odpojených rámců řízení rizik. Potřebuje jeden integrovaný model rizik, který ukazuje, který režim se použije, jaké existují závislosti, jaká finanční expozice je realistická a jak vedení schválilo a monitorovalo ošetření.
GDPR přidává další vrstvu. Pokud jsou dotčeny osobní údaje, kybernetická událost se může stát porušením zabezpečení osobních údajů, nikoli jen provozním incidentem. Model rizik by měl identifikovat kontext zpracování, roli správce nebo zpracovatele, kategorie údajů, zvláštní kategorie údajů tam, kde je to relevantní, bezpečnostní opatření, logiku posouzení porušení zabezpečení a dopady na oznamování.
Od tepelné mapy k eurům: praktický hybridní model
Správná otázka nezní: „Máme nahradit kvalitativní posouzení rizik?“ Správná otázka zní: „Která rizika si zaslouží finanční kvantifikaci?“
Zenith Blueprint, fáze řízení rizik, krok 12, „Metody posouzení rizik: kvalitativní a kvantitativní“, nabízí pragmatickou odpověď:
„Kvantitativní posouzení rizik se pokouší odhadnout riziko v číselném vyjádření (např. očekávaná roční ztráta v měně). Často zahrnuje:
✓ Shromáždění historických dat o incidentech (např. jak často dochází k porušení zabezpečení a jaké jsou průměrné náklady). ✓ Použití modelů, jako je očekávaná roční ztráta (ALE = dopad jedné ztrátové události × roční četnost výskytu), nebo rámců, jako je FAIR (Factor Analysis of Information Risk), pro složitější analýzu.“
Stejný krok upozorňuje, že čistě kvantitativní analýza může být pro MSP obtížná, protože historická data mohou být omezená a proces může být náročný na zdroje. Praktickou odpovědí je „lehčí kvantitativní“ analýza pro nejvýznamnější rizika.
| Prvek | Praktický význam | Příklad |
|---|---|---|
| Dopad jedné ztrátové události | Odhadovaný dopad, pokud scénář nastane jednou | 620 000 € za 12hodinový výpadek platební platformy |
| Roční četnost výskytu | Odhadovaná četnost za rok | 0,3, tedy přibližně jednou za 3,3 roku |
| Očekávaná roční ztráta | Dopad jedné ztrátové události vynásobený roční četností výskytu | 186 000 € očekávané roční expozice |
| Náklady na ošetření | Náklady na balíček opatření | 74 000 € za failover, monitorování a testování |
| Zbytková očekávaná roční ztráta | Odhadovaná roční expozice po ošetření | 62 000 € |
| Rozhodnutí | Ošetřit, přenést, vyhnout se nebo akceptovat | Ošetřit a přezkoumat zbytkové riziko při přezkoumání vedením |
Čísla nemusí být dokonalá. Musí být vysvětlitelná. Předpoklady dopadu mohou zahrnovat ztrátu výnosů, SLA kredity, kompenzace zákazníkům, reakci na incidenty, právní poradenství, forenzní podporu, přesčasy, zákaznickou podporu, úsilí spojené s regulatorním oznámením, odchod zákazníků a reputační dopad. Předpoklady četnosti mohou vycházet z interních incidentů, reportů výpadků dodavatelů, informací o hrozbách, zkušeností v sektoru, expozice zranitelnostem, zjištění auditu a vyspělosti opatření.
Zenith Blueprint, fáze řízení rizik, krok 10, „Stanovení kritérií rizik a matice dopadů“, vysvětluje, proč musí být model kalibrován:
„Při definování dopadu je vhodné vztáhnout úrovně ke konkrétnímu rozsahu vašeho podnikání. Například ‚významný finanční dopad = ztráta > 100 tis. USD‘ (upravte podle svého kontextu). Zvažte také regulační dopad: například porušení zabezpečení osobních údajů může být automaticky ‚významné‘ nebo ‚závažné‘ kvůli pokutám podle GDPR a oznamovacím povinnostem, i když přímá finanční ztráta není jasná.“
To je most mezi kvalitativním a kvantitativním rizikem. „Významné“ začne dávat smysl teprve tehdy, když organizace definuje, co významné znamená ve finančních, provozních, právních a zákaznických pojmech.
Praktický příklad: kvantifikace rizika výpadku cloudového dodavatele
Představte si poskytovatele SaaS obsluhujícího klienty z finančního sektoru. Závisí na poskytovateli cloudového hostingu, spravované databázové platformě, platební bráně a službě pro informování zákazníků. Tým vybere pro kvantitativní analýzu jeden scénář:
„Prodloužený výpadek spravované databázové platformy způsobí narušení zákaznické služby a zpoždění zpracování transakcí.“
Krok 1: definujte scénář rizika a vlastníka
Politika řízení rizik pro MSP vyžaduje popis, pravděpodobnost, dopad, skóre, vlastníka a plán ošetření rizika. Podniková Politika řízení rizik, část „Požadavky na správu a řízení“, kapitola 5.2.2, doplňuje, že registr:
„Obsahuje vlastníky rizik, skóre dopadu a pravděpodobnosti, plány ošetření rizik, termíny a odkazy na opatření“
Vlastníkem není „IT“. Odpovědným vlastníkem je vlastník služby, kterého podporují CISO, CTO, manažer souladu, manažer dodavatelů a finance.
Krok 2: odhadněte finanční expozici
Tým odhaduje:
- 35 000 € za hodinu na ztracených výnosech z transakcí a SLA kreditech
- 8 000 € za hodinu na nákladech podpory, eskalace a zvládání incidentů
- 60 000 € na nápravná opatření pro zákazníky a komunikaci
- 120 000 € jako potenciální odchod zákazníků nebo obchodní dopad
- 10 hodin jako realistický závažný výpadek na základě historie dodavatele a přezkumu architektury
Dopad jedné ztrátové události je:
10 × (35 000 € + 8 000 €) + 60 000 € + 120 000 € = 610 000 €
Současná pravděpodobnost je odhadována na 0,25 za rok. Očekávaná roční ztráta je:
610 000 € × 0,25 = 152 500 €
Navržený balíček ošetření zahrnuje návrh failoveru ve více regionech, otestovanou obnovu ze záloh, přezkum SLA dodavatele, syntetické monitorování, tabletop cvičení a aktualizaci plánu ukončení spolupráce. Náklady v prvním roce činí 82 000 €, s opakovanými náklady 34 000 €.
Po ošetření je zbytková pravděpodobnost odhadována na 0,10 za rok a zbytkový dopad jedné ztrátové události na 350 000 € díky rychlejší obnově. Zbytková ALE je:
350 000 € × 0,10 = 35 000 €
Snížení očekávané roční expozice v prvním roce je přibližně 117 500 €, ještě před zohledněním regulatorní odolnosti, důvěry zákazníků a smluvních přínosů.
Krok 3: zvolte ošetření a zdokumentujte odůvodnění
Ošetření rizika není vždy čisté zmírnění. Politika řízení rizik pro MSP Clarysec, část „Požadavky na implementaci politiky“, kapitola 6.1.3, uvádí:
„Přenos: Používejte smlouvy, dohody o úrovni služeb nebo pojištění k externímu přenosu rizika.“
Pro tento scénář organizace volí smíšené ošetření: snížení prostřednictvím technické odolnosti, částečný přenos prostřednictvím SLA a smluvních nápravných prostředků a akceptaci zbytkového rizika se schválením vedením.
Krok 4: namapujte ošetření na prohlášení o aplikovatelnosti
Podniková Politika řízení rizik, část „Sladění prohlášení o aplikovatelnosti (SoA)“, kapitola 6.5.1, uvádí:
„Rozhodnutí o opatřeních vyplývající z procesu ošetření rizik musí být promítnuta do SoA.“
Zde se finanční model stává auditně připraveným. Scénář výpadku dodavatele se propojuje s opatřeními pro dodavatele, cloud, kontinuitu, incidenty a narušení podle ISO/IEC 27001:2022 přílohy A. Zároveň se propojuje se zabezpečením dodavatelského řetězce a kontinuitou provozu podle NIS2, riziky třetích stran v oblasti ICT a testováním odolnosti podle DORA, zabezpečením a posouzením porušení zabezpečení podle GDPR, pokud jsou dotčeny osobní údaje, a výsledky správy a řízení, dodavatelského řetězce, reakce a obnovy podle NIST CSF.
Zenith Blueprint, fáze řízení rizik, krok 13, „Plánování ošetření rizik a prohlášení o aplikovatelnosti“, vysvětluje dohledatelnost:
„SoA je fakticky spojovací dokument: propojuje vaše posouzení rizik a ošetření rizik se skutečnými opatřeními, která máte. Jeho vyplněním si také znovu ověříte, zda jste některá opatření neopomenuli.“
Silné odůvodnění v SoA může znít: „Použitelné, protože výpadek spravované databáze ovlivňuje kritickou zákaznickou službu, závislost na třetí straně v oblasti ICT, smluvní povinnosti vůči zákazníkům, závazky kontinuity a potenciální dostupnost osobních údajů. Opatření jsou vybrána za účelem snížení kvantifikované roční expozice 152 500 € a podpory zbytkového rizika schváleného vedením.“
Krok 5: eskalujte na základě prahových hodnot
Podniková Politika řízení rizik, část „Požadavky na správu a řízení“, kapitola 5.6, vyžaduje:
„Matice pravomocí v oblasti rizik musí jasně definovat prahové hodnoty pro eskalaci na vrcholové vedení nebo řídicí orgán.“
Roční expozice 152 500 € může překročit toleranci lokálního vedení. I riziko s nižší hodnotou může vyžadovat eskalaci, pokud ovlivňuje kritickou nebo důležitou funkci, spouští očekávání podle DORA, zahrnuje osobní údaje, ohrožuje závazky vůči zákazníkům nebo vytváří odpovědnost řídicího orgánu podle NIS2.
Mapování křížového souladu: jedno kvantifikované riziko, mnoho povinností
Kvantifikované kybernetické riziko by nemělo být kopírováno do pěti samostatných tabulek souladu. Mělo by se stát jedním rizikovým objektem s více pohledy na soulad.
| Pohled souladu | Co musí kvantifikované riziko ukázat | Důkazní artefakt |
|---|---|---|
| ISO/IEC 27001:2022 | Kritéria rizik, vlastník, pravděpodobnost, důsledek, ošetření, akceptace zbytkového rizika, mapování SoA a provozní důkazy | Registr rizik, plán ošetření rizik, SoA, přezkoumání vedením, auditní záznamy |
| NIS2 | Vhodná a přiměřená opatření, schválení a dohled řídicím orgánem, zohlednění incidentů a kontinuity, opatření dodavatelského řetězce | Podklady pro řídicí orgán, záznamy o školení, schválení ošetření rizik, workflow incidentů |
| DORA | Řízení rizik ICT, kritické nebo důležité funkce, závislosti na třetích stranách v oblasti ICT, testování, klasifikace incidentů a strategie odolnosti | Rámec řízení rizik ICT, registr informací, výsledky testů, klasifikace incidentů, plán ukončení spolupráce |
| GDPR | Rozsah osobních údajů, bezpečnostní opatření, dopady porušení zabezpečení, odpovědnost správce nebo zpracovatele, kontext zákonného zpracování | Vazba na RoPA, DPIA tam, kde je relevantní, posouzení porušení zabezpečení, bezpečnostní důkazy |
| NIST CSF 2.0 | Apetit k riziku, standardizovaná prioritizace, správa a řízení, dodavatelské riziko, výsledky detekce, reakce a obnovy | Aktuální a cílové profily, akční plán, POA&M, záznamy o dodavatelských rizicích |
| COBIT 2019 | Cíle správy a řízení, monitorování výkonnosti, optimalizace rizik, rozhodování o zdrojích a ujištění | Reporting správy a řízení, metriky výkonnosti opatření, zprávy o ujištění |
NIS2 Article 21 je obzvlášť relevantní, protože zahrnuje analýzu rizik, bezpečnostní politiky, zvládání incidentů, kontinuitu provozu, zálohování, obnovu po havárii, krizové řízení, zabezpečení dodavatelského řetězce, bezpečný vývoj, zvládání zranitelností, posouzení účinnosti, kybernetickou hygienu, školení, kryptografii, bezpečnost HR, řízení přístupu, správu aktiv a autentizaci.
DORA vytváří podobnou disciplínu pro finanční subjekty, ale se sektorovým zaměřením. Vyžaduje interní rámec správy a kontrol pro rizika ICT, přičemž konečnou odpovědnost nese řídicí orgán. Očekává schvalování a dohled nad politikami ICT, rolemi, strategií digitální provozní odolnosti, tolerancí rizik ICT, plány kontinuity a reakce, plány auditů, rozpočty, školeními, politikami třetích stran v oblasti ICT a kanály pro hlášení.
DORA také dává kvantitativnímu posouzení rizik přímý provozní spouštěč: klasifikaci incidentů. Významné incidenty související s ICT musí být klasifikovány podle kritérií, jako jsou dotčení klienti, protistrany a transakce, doba trvání, nedostupnost, geografický rozsah, ztráty dat ovlivňující dostupnost, autenticitu, integritu nebo důvěrnost, kritičnost dotčených služeb a hospodářský dopad. Pokud model rizik již odhaduje nedostupnost, dopad na klienty, dopad na data a hospodářskou ztrátu, podporuje klasifikaci incidentů při skutečné události.
Mapa opatření, která činí odpovědnost řídicího orgánu auditovatelnou
V Zenith Controls Clarysec mapuje opatření ISO/IEC 27002:2022 5.4 „Odpovědnosti vedení“ jako kotvu správy a řízení pro odpovědnost za bezpečnost informací. Průvodce jej považuje za preventivní, podporující důvěrnost, integritu a dostupnost, sladěné s konceptem kybernetické bezpečnosti „Identify“, přičemž správa a řízení je provozní schopností a správa spolu s ekosystémem jsou bezpečnostními doménami.
To je důležité, protože finanční kybernetická expozice patří do rozhodování vedení. Zenith Controls propojuje opatření ISO/IEC 27002:2022 5.4 s několika podpůrnými opatřeními:
| Vztah opatření ISO/IEC 27002:2022 | Proč je důležitý pro kvantifikované riziko |
|---|---|
| 5.2 Role a odpovědnosti v oblasti bezpečnosti informací | Vlastníci rizik, vlastníci opatření a eskalační pravomoci musí být definováni |
| 5.1 Politiky bezpečnosti informací | Rozhodnutí o kvantifikovaných rizicích musí být sladěna se schválenými závazky politik |
| 5.35 Nezávislý přezkum bezpečnosti informací | Nezávislý přezkum poskytuje vedení objektivní ujištění o ošetření rizik |
| 5.36 Soulad s politikami, pravidly a normami pro bezpečnost informací | Monitorování souladu ukazuje, zda ošetření fungují podle záměru |
| 5.8 Bezpečnost informací v projektovém řízení | Nové produkty a změny musí zahrnovat kybernetické riziko a finanční expozici včas |
Zenith Controls také mapuje odpovědnosti vedení na kapitoly ISO/IEC 27001:2022 5.1, 5.2 a 9.3 a propojuje tak vedení, politiku a přezkoumání vedením. Dále je mapuje na kapitoly ISO/IEC 27014:2020 6 a 7, které se zaměřují na rámce a procesy správy a řízení pro hodnocení, řízení, monitorování a komunikaci bezpečnosti informací.
Důkazní řetězec je přímočarý:
- Vedení definuje apetit k riziku, toleranci a eskalační prahové hodnoty.
- Vlastníci rizik kvantifikují nejvýznamnější kybernetická rizika.
- Opatření jsou vybrána a promítnuta do SoA.
- Opatření k ošetření rizik jsou provedena a monitorována.
- Nezávislý přezkum a monitorování souladu testují účinnost.
- Přezkoumání vedením hodnotí výkonnost, incidenty, výsledky auditů, zdroje a činnosti zlepšování.
- Řídicí orgán dostává finanční expozici, zbytkové riziko a důkazy o odpovědnosti v obchodních pojmech.
Politika řízení rizik pro MSP Clarysec, část „Role a odpovědnosti“, kapitola 4.1.1, tuto řídicí roli posiluje:
„Stanovuje apetit organizace k riziku a schvaluje rámec řízení rizik.“
U MSP to může být generální ředitel nebo vlastník. U regulovaného finančního subjektu to může být řídicí orgán. Princip odpovědnosti je stejný.
Jak auditoři a regulační orgány otestují vaše čísla
Kvantitativní hodnocení kybernetických rizik nebude auditováno jako dokonalá pojistně-matematická věda. Bude auditováno z hlediska metody, konzistence, dohledatelnosti, správy a řízení a důkazů.
| Pohled auditora nebo hodnotitele | Co bude testovat | Jaké důkazy bude očekávat |
|---|---|---|
| ISO/IEC 27001:2022 | Kapitola 6.1.2 posouzení rizik, kapitola 6.1.3 ošetření rizik, rozhodnutí v SoA, schválení vlastníkem rizika a kapitola 9.3 přezkoumání vedením | Kritéria rizik, registr, plán ošetření rizik, SoA, schválení, zápisy z přezkoumání vedením |
| Příslušný orgán podle NIS2 | Schválení a dohled řídicím orgánem, opatření podle Article 21, přiměřenost, připravenost na incidenty a školení | Balíčky podkladů pro řídicí orgán, záznamy o školení, schválení rizik, postupy pro incidenty, důkazy kontinuity |
| Orgán dohledu podle DORA nebo interní auditor | Rámec rizik ICT, tolerance rizik ICT, kritické nebo důležité funkce, testování, klasifikace incidentů a rizika třetích stran v oblasti ICT | Registr rizik ICT, strategie odolnosti, registr informací, výsledky testů, plány ukončení spolupráce |
| Hodnotitel NIST CSF 2.0 | Výsledky GOVERN, včetně GV.RM-02 apetitu k riziku a tolerance a GV.RM-06 standardizované prioritizace | Aktuální profil, cílový profil, akční plán, vazba na podniková rizika |
| Hodnotitel COBIT 2019 | Správa podnikových IT, optimalizace rizik, rozhodovací pravomoci, alokace zdrojů a ujištění | Reporting správy a řízení, metriky výkonnosti, zprávy o ujištění |
Politika monitorování auditu a souladu pro MSP Clarysec Politika monitorování auditu a souladu pro MSP, část „Požadavky na správu a řízení“, kapitola 5.4.3, výslovně uzavírá auditní smyčku:
„Zjištění auditu a aktualizace stavu musí být zahrnuty do procesu přezkoumání ISMS vedením.“
To je kritické. Pokud model rizik odhaduje expozici 500 000 €, ale interní audit zjistí, že test obnovy selhal, zbytkové riziko se musí změnit. Pokud plán ukončení spolupráce s dodavatelem není otestován, organizace by neměla akceptovat zbytkové riziko, jako by bylo opatření vyspělé. Pokud testování podle DORA identifikuje kritickou mezeru, musí se toto zjištění promítnout do ošetření, rozpočtu a přezkoumání vedením.
Zenith Blueprint, fáze Audit, přezkum a zlepšování, krok 28, „Přezkoumání vedením“, to podporuje doporučením vstupů pro přezkoumání vedením, jako jsou změny interních a externích otázek, regulační požadavky, výsledky auditů, monitorování a měření, cíle, incidenty, neshody, příležitosti ke zlepšení a potřeby zdrojů. V programu kvantifikovaných kybernetických rizik by balíček pro přezkoumání vedením měl zahrnovat nejvýznamnější finanční expozice, trend od posledního přezkumu, pokrok ošetření, opožděné úkoly, zbytkové riziko nad tolerancí a požadovaná rozhodnutí.
Vytvoření balíčku kybernetických rizik připraveného pro řídicí orgán
Balíček kybernetických rizik připravený pro řídicí orgán by neměl členy vedení zahltit počty zranitelností, proměnnými FAIR nebo ID opatření. Měl by převést kybernetické riziko na rozhodnutí.
U každého nejvýznamnějšího kvantifikovaného rizika uveďte:
- Název scénáře a dotčenou podnikovou službu
- Kritičnost služby nebo funkce
- Příznaky osobních údajů, regulované služby a závislosti na dodavateli
- Aktuální odhad dopadu jedné ztrátové události
- Aktuální odhad roční četnosti výskytu
- Aktuální očekávanou roční ztrátu
- Předpoklady a míru jistoty
- Současná opatření a známé mezery
- Možnosti ošetření a náklady
- Očekávanou zbytkovou expozici po ošetření
- Relevanci pro ISO/IEC 27001:2022, NIS2, DORA a GDPR
- Vlastníka rizika a požadované rozhodnutí
- Odkazy na SoA a politiky
- Termín a datum přezkumu
Zjednodušený pohled pro řídicí orgán může vypadat takto:
| Scénář rizika | Současná ALE | Náklady na ošetření | Zbytková ALE | Regulatorní důvod | Rozhodnutí |
|---|---|---|---|---|---|
| Výpadek spravované databáze ovlivňující zpracování transakcí | 152 500 € | 82 000 € | 35 000 € | Riziko ICT podle DORA, ošetření rizik podle ISO, kontinuita dodavatele | Schválit ošetření |
| Ransomware ovlivňující platformu zákaznických dat | 372 000 € | 100 000 € | 95 000 € | Riziko porušení zabezpečení podle GDPR, zvládání incidentů podle NIS2, incidentní opatření podle ISO | Schválit EDR a neměnné zálohy |
| Kompromitace privilegovaného přístupu v administrátorské konzoli cloudu | 260 000 € | 58 000 € | 72 000 € | Řízení přístupu podle ISO, autentizace podle NIS2, integrita dat podle DORA | Schválit posílení MFA a PAM |
| Riziko koncentrace u kritického poskytovatele SaaS | 190 000 € | 45 000 € | 95 000 € | Riziko třetích stran podle DORA, dodavatelský řetězec podle NIS2, opatření pro dodavatele podle ISO | Schválit testování plánu ukončení spolupráce |
Čísla jsou odhady, ale hodnota pro správu a řízení je skutečná. Řídicí orgán může porovnávat priority. CISO může odůvodnit výdaje. Finance mohou validovat předpoklady. Compliance může propojit rozhodnutí s povinnostmi. Auditoři mohou sledovat auditní stopu důkazů.
Časté chyby při kvantifikaci kybernetických rizik
První chybou je falešná přesnost. Model uvádějící ztrátu 487 239,17 € bez jasných předpokladů je méně důvěryhodný než rozsah s dokumentovaným základem. Používejte rozsahy tam, kde je to vhodné, a přezkoumávejte předpoklady po incidentech, auditech, změnách dodavatelů a významných architektonických rozhodnutích.
Druhou chybou je započítání pouze technických nákladů. Významný kybernetický incident může zahrnovat ztrátu výnosů, kompenzace zákazníkům, narušení provozu, regulatorní oznámení, právní poradenství, forenzní podporu, komunikační náklady, smluvní sankce, odchod zákazníků, čas vedení a reputační dopad.
Třetí chybou je ignorování regulatorní závažnosti. Porušení zabezpečení osobních údajů může být významné i tehdy, když se přímá provozní ztráta zdá skromná. Incident podle DORA může být významný kvůli kritičnosti služby, nedostupnosti, ztrátě dat nebo dotčeným klientům. Incident podle NIS2 může být podstatný, protože způsobí závažné narušení provozu, finanční ztrátu nebo značnou újmu jiným osobám.
Čtvrtou chybou je neaktualizování SoA. Pokud rozhodnutí o ošetření vybírají monitorování dodavatelů, plánování ukončení používání cloudu, sběr důkazů k incidentům, připravenost ICT pro kontinuitu provozu nebo opatření pro narušení, SoA musí odrážet použitelná opatření a stav implementace.
Pátou chybou je vynechání financí. Kvantitativní hodnocení kybernetických rizik je nejsilnější, když se bezpečnost, finance, právní oddělení, provoz, produkt a soulad shodnou na předpokladech dopadu. CISO by neměl sám vymýšlet čísla ztráty výnosů.
Šestou chybou je vnímání pojištění jako úplného přenosu rizika. Pojištění může snížit finanční dopad, ale neodstraňuje regulatorní odpovědnost, narušení služby, poškození důvěry zákazníků ani odpovědnost vedení.
Kde zapadá Clarysec
Clarysec pomáhá organizacím budovat program kybernetických rizik, který je dostatečně praktický pro MSP a dostatečně robustní pro regulovaná prostředí.
Zenith Blueprint provází organizaci od rozsahu a kontextu přes kritéria rizik, kvalitativní a kvantitativní hodnocení, plánování ošetření, dohledatelnost SoA, audit, přezkoumání vedením a zlepšování. Zenith Controls pomáhá mapovat očekávání opatření podle ISO/IEC 27001:2022 a ISO/IEC 27002:2022 na jiné rámce, audity a povinnosti správy a řízení. Politiky Clarysec poskytují jazyk, který auditoři očekávají, včetně apetitu k riziku, matic pravomocí, možností ošetření, registrů souladu, sladění SoA a integrace do přezkoumání vedením.
Politika právního a regulačního souladu pro MSP Politika právního a regulačního souladu pro MSP, část „Požadavky na správu a řízení“, kapitola 5.1.1, začíná jednoduchou povinností:
„Generální ředitel musí udržovat jednoduchý, strukturovaný registr souladu obsahující:“
Tento jednoduchý registr je důležitý. Právní, regulační a smluvní povinnosti musí být v ISMS viditelné. Pro kvantitativní riziko to znamená, že NIS2, DORA, GDPR, zákaznické smlouvy, SLA, povinnosti v oblasti outsourcingu, oznamovací povinnosti k incidentům a auditní závazky formují dopad, prioritu ošetření a eskalaci.
Podniková Politika řízení rizik, část „Referenční normy a rámce“, kapitola 11.9.1, také přímo odráží správu a řízení ve stylu DORA:
„Article 5: Vyžaduje dokumentovaný rámec řízení rizik v oblasti ICT, plně pokrytý strukturou této politiky, včetně mapování SoA a KRI.“
To je model Clarysec v jedné větě: dokumentované řízení rizik v oblasti ICT, namapované na opatření, měřené pomocí ukazatelů, přezkoumávané vedením a doložené pro audit.
Další kroky: udělejte svůj registr kybernetických rizik pro rok 2026 finančně obhajitelným
Pokud váš současný registr kybernetických rizik stále uvádí „vysoké“ bez vysvětlení finanční expozice, ekonomiky ošetření nebo regulatorního dopadu, začněte v tomto čtvrtletí pěti kroky:
- Vyberte 5 až 10 nejvýznamnějších scénářů kybernetických rizik podle dopadu na podnikání.
- Definujte prahové hodnoty finančního dopadu pro drobný, střední, významný a závažný dopad.
- Odhadněte dopad jedné ztrátové události, roční četnost výskytu a očekávanou roční ztrátu pro každý nejvýznamnější scénář.
- Namapujte každé rozhodnutí o ošetření na opatření ISO/IEC 27001:2022, SoA, povinnosti podle NIS2 nebo DORA tam, kde se uplatní, dopady podle GDPR a výsledky správy a řízení podle NIST CSF.
- Předložte zbytkové riziko, náklady na ošetření a eskalační prahové hodnoty při přezkoumání vedením.
Clarysec vám pomůže převést tento přístup do opakovatelného důkazního systému pomocí Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, podnikové Politiky řízení rizik Politika řízení rizik, Politiky řízení rizik pro MSP Politika řízení rizik pro MSP a podpůrných šablon pro audit a soulad.
Cílem není udělat kybernetické riziko dokonale předvídatelným. Cílem je udělat je vysvětlitelným, srovnatelným, finančně významným a auditovatelným.
Stáhněte si šablony politik Clarysec pro rizika a soulad, prozkoumejte Zenith Blueprint, nebo si objednejte posouzení Clarysec a převeďte svůj registr kybernetických rizik pro rok 2026 na důkazy připravené pro řídicí orgán pro ISO/IEC 27001:2022, NIS2, DORA a GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
