Kvantitatívne posúdenie kybernetického rizika pre NIS2 a DORA

Stretnutie predstavenstva, na ktorom už „vysoké riziko“ nestačilo

Je utorok 08:15. CISO rýchlo rastúceho fintechu stojí pred zasadacou miestnosťou s tromi verziami toho istého príbehu o kybernetickom riziku.

Prvá verzia je známa: ransomvér je „vysoký“, výpadok cloudu je „vysoký“, kompromitácia dodávateľa je „stredná“, zneužitie privilegovaného prístupu je „vysoké“. Je obhájiteľná, zosúladená s aktuálnym registrom rizík a pre rozhodnutie, ktoré musí predstavenstvo prijať, takmer nepoužiteľná.

Druhá verzia je technický plán: nasadiť nemenné zálohy, zlepšiť kontroly identít, financovať testovanie odolnosti, posilniť monitorovanie dodávateľov a rozšíriť pokrytie logovaním. Dáva zmysel, ale CFO položí otázku, ktorá zmení celé stretnutie: „Ktoré z týchto opatrení znižuje najväčšie riziko pre činnosť organizácie na jedno euro?“

Tretia verzia mení diskusiu.

Dvanásťhodinový výpadok platformy na orchestráciu platieb sa odhaduje na €620,000 hrubého prevádzkového, zmluvného a výnosového dopadu. Súčasná ročná expozícia sa odhaduje na €186,000. Balík opatrení na zvýšenie odolnosti v hodnote €74,000 môže znížiť očakávanú ročnú stratu približne na €62,000. Zostávajúca expozícia je stále nad toleranciou, pretože služba podporuje kritickú alebo dôležitú funkciu, expozícia súvisiaca s notifikáciou zákazníkov zostáva významná a závislosť od tretej strany je vysoká.

Predstavenstvo už nediskutuje o farbách. Diskutuje o finančnej expozícii, tolerancii rizika, regulačnej zodpovednosti a investičných prioritách.

Toto je kvantitatívne posúdenie kybernetického rizika v roku 2026. Nie je to matematické divadlo. Nie je to predstieranie, že kybernetické udalosti možno predvídať s dokonalou presnosťou. Je to disciplinovaný prevod výroku „toto je červené“ na „toto je pravdepodobná finančná expozícia, toto je úroveň istoty, toto je regulačný dôsledok, toto je rozhodnutie o ošetrení a toto je auditná stopa dôkazov“.

Pre CISO, manažérov súladu, audítorov a vlastníkov organizácií sa tento posun v praxi stáva povinnosťou. ISO/IEC 27001:2022 vyžaduje zdokumentovaný, konzistentný a porovnateľný proces posúdenia rizík a ošetrenia rizík. NIS2 presúva kybernetické riziko do schvaľovania riadiacim orgánom, dohľadu, školení a zodpovednosti. DORA stavia riadenie rizík IKT, testovanie odolnosti, klasifikáciu incidentov, riziko tretích strán a zodpovednosť manažmentu do centra pozornosti finančných subjektov. NIST CSF 2.0 poskytuje vedeniu jazyk správy a riadenia pre apetít na riziko, prioritizáciu a dohľad. GDPR pridáva zodpovednosť za konanie, keď ide o osobné údaje.

Problém nie je v tom, že organizácie nemajú registre rizík. Problém je v tom, že mnohé registre rizík nevedia vysvetliť peniaze, priority, zodpovednosť predstavenstva ani dôkazy pre audit.

Prístup Clarysec túto medzeru uzatvára tým, že spája Zenith Blueprint: 30-krokový plán audítora Zenith Blueprint, politiky Clarysec a Zenith Controls: sprievodcu krížovým súladom Zenith Controls do jedného praktického dôkazového modelu: vyčísliť to, na čom záleží, namapovať to na opatrenia, ukázať, kto riziko akceptoval, a preukázať, že ošetrenie fungovalo.

Prečo kvalitatívne registre rizík už nestačia

Kvalitatívne posúdenie rizík je stále dôležité. Jasná matica pravdepodobnosti a dopadu pomáha tímom určovať priority, keď sú údaje neúplné, najmä v širokom rozsahu ISMS. Problém nastáva vtedy, keď sa organizácia pri tom zastaví.

Predstavenstvo vie pochopiť, že riziko je „vysoké“, ale nedokáže jednoducho porovnať tri „vysoké“ riziká, ktoré súťažia o ten istý rozpočet. Je najvyššou prioritou scenár ransomvéru, výpadok cloudu, riziko koncentrácie dodávateľa alebo slabina privilegovaného prístupu? Odpoveď závisí od finančnej expozície, regulačnej závažnosti, dopadu na zákazníkov, zmluvných povinností, kritickosti služby a reziduálneho rizika po ošetrení.

Preto kvantitatívne posúdenie kybernetického rizika funguje najlepšie ako hybridný model. Nevyčíslujte každý drobný problém. Použite kvalitatívne hodnotenie v celom registri a finančnú analýzu doplňte pri rizikách, ktoré vyžadujú rozhodnutie manažmentu, schválenie investície, zmluvné opatrenie, prenos rizika alebo dohľad predstavenstva.

Podniková Politika riadenia rizík Clarysec Politika riadenia rizík to výslovne podporuje. V časti „Požiadavky na implementáciu politiky“, bod 6.2.3, uvádza:

„V závislosti od kategórie rizika a dostupnosti informácií možno použiť kvalitatívne aj kvantitatívne metódy.“

Tento bod je dôležitý, pretože zabraňuje bežnému zlyhaniu: falošnej presnosti. Zrelé organizácie nenanucujú finančné modelovanie na každé malé riziko. Používajú ho tam, kde ho rozhodnutie vyžaduje.

Pre MSP môže základ zostať jednoduchý. Politika riadenia rizík Clarysec pre MSP Politika riadenia rizík – MSP, časť „Požiadavky na správu a riadenie“, bod 5.1.2, uvádza:

„Každá položka rizika musí obsahovať: opis, pravdepodobnosť, dopad, skóre, vlastníka a plán ošetrenia.“

Zlepšením nie je nahradiť túto štruktúru. Zlepšením je obohatiť najdôležitejšie položky o finančné odhady, najmä tam, kde ide o výpadky, regulované služby, osobné údaje, závislosti od cloudových služieb, outsourcing IKT alebo kritické záväzky voči zákazníkom.

Posun v správe a riadení: kybernetické riziko je dnes artefaktom predstavenstva

Vyčíslenie kybernetického rizika nie je iba finančné cvičenie. Je to dôkaz správy a riadenia.

Podľa ISO/IEC 27001:2022 musí organizácia určiť kontext, zainteresované strany, právne a zmluvné požiadavky, rozsah, rozhrania a závislosti. Musí definovať proces posudzovania rizík informačnej bezpečnosti, ktorý prináša konzistentné, platné a porovnateľné výsledky. Musí identifikovať riziká pre dôvernosť, integritu a dostupnosť, určiť vlastníkov rizík, posúdiť následky a pravdepodobnosť, stanoviť úrovne rizika a prioritizovať riziká. Následne musí vybrať možnosti ošetrenia, určiť opatrenia, porovnať ich s Prílohou A, vytvoriť vyhlásenie o uplatniteľnosti, získať schválenie vlastníka rizika a uchovávať zdokumentované informácie.

To znamená, že register rizík nie je súkromná tabuľka bezpečnostného tímu. Je to záznam ISMS, ktorý prepája vedenie, výber opatrení, zodpovednosť za ošetrenie a preskúmanie manažmentom.

NIS2 posúva očakávania ešte ďalej. Riadiace orgány základných a dôležitých subjektov musia schvaľovať opatrenia riadenia kybernetických rizík, dohliadať na ich implementáciu a absolvovať školenia, aby rozumeli rizikám a vedeli posudzovať postupy kybernetickej bezpečnosti. NIS2 Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia pri zohľadnení aktuálneho stavu techniky, nákladov na implementáciu, vystavenia riziku, veľkosti subjektu, pravdepodobnosti, závažnosti a spoločenského a ekonomického dopadu.

Práve výraz „spoločenský a ekonomický dopad“ je miestom, kde finančné vyčíslenie kybernetického rizika získava silu. Poskytovateľ podporujúci cloud, dátové centrum, DNS, dôveryhodné služby, riadené služby, riadené bezpečnostné služby, digitálnu infraštruktúru, online trhoviská alebo iné pokryté sektory môže potrebovať preukázať nielen to, že opatrenia existujú, ale aj prečo sú primerané expozícii.

Pre finančné subjekty sa DORA uplatňuje od 17. januára 2025 a stáva sa sektorovo špecifickým režimom digitálnej prevádzkovej odolnosti. Zahŕňa riadenie rizík IKT, oznamovanie významných incidentov súvisiacich s IKT, testovanie digitálnej prevádzkovej odolnosti, zdieľanie informácií o kybernetických hrozbách, riziko tretích strán v oblasti IKT a dohľad nad kritickými poskytovateľmi služieb IKT z tretích strán. Pre finančné subjekty, ktoré sú zároveň identifikované podľa národnej transpozície NIS2, DORA pôsobí ako sektorovo špecifický právny akt Únie pre príslušné otázky riadenia rizík IKT a oznamovania incidentov.

V praxi fintech nepotrebuje päť odpojených rámcov rizík. Potrebuje jeden integrovaný model rizík, ktorý ukazuje, ktorý režim sa uplatňuje, aké závislosti existujú, aká finančná expozícia je pravdepodobná a ako manažment schválil a monitoroval ošetrenie.

GDPR pridáva ďalšiu vrstvu. Ak ide o osobné údaje, kybernetická udalosť sa môže stať porušením ochrany osobných údajov, nielen prevádzkovým incidentom. Model rizík má identifikovať kontext spracúvania, rolu prevádzkovateľa alebo sprostredkovateľa, kategórie údajov, osobitné kategórie údajov tam, kde je to relevantné, bezpečnostné opatrenia, logiku posúdenia porušenia ochrany osobných údajov a dopady na oznamovanie.

Od teplotnej mapy k eurám: praktický hybridný model

Správna otázka neznie: „Máme nahradiť kvalitatívne posúdenie rizík?“ Správna otázka znie: „Ktoré riziká si zaslúžia finančné vyčíslenie?“

Zenith Blueprint, fáza riadenia rizík, krok 12, „Metódy posúdenia rizík: kvalitatívne a kvantitatívne“, poskytuje pragmatickú odpoveď:

„Kvantitatívne posúdenie rizík sa pokúša odhadnúť riziko v číselných hodnotách (napr. očakávanú ročnú stratu v mene). Často zahŕňa:

✓ Zber historických údajov o incidentoch (napr. ako často dochádza k porušeniu ochrany údajov, aké sú priemerné náklady). ✓ Použitie modelov, ako je ročná očakávaná strata (ALE = dopad jednej stratovej udalosti × ročná miera výskytu), alebo rámcov, ako je FAIR (Factor Analysis of Information Risk), pre zložitejšiu analýzu.“

Ten istý krok upozorňuje, že čisto kvantitatívna analýza môže byť pre MSP náročná, pretože historické údaje môžu byť obmedzené a proces môže byť náročný na zdroje. Praktickou odpoveďou je „ľahká kvantitatívna“ analýza pre najvýznamnejšie riziká.

Čísla nemusia byť dokonalé. Musia byť vysvetlené. Predpoklady dopadu môžu zahŕňať stratu výnosov, SLA kredity, kompenzácie zákazníkov, reakciu na incidenty, právne poradenstvo, forenznú podporu, nadčasy, zákaznícku podporu, úsilie na regulačné oznamovanie, odchod zákazníkov a reputačný dopad. Predpoklady frekvencie môžu vychádzať z interných incidentov, správ o výpadkoch dodávateľov, spravodajstva o hrozbách, skúseností v sektore, vystavenia zraniteľnostiam, auditných zistení a zrelosti opatrení.

Zenith Blueprint, fáza riadenia rizík, krok 10, „Stanovenie kritérií rizika a matice dopadu“, vysvetľuje, prečo musí byť model kalibrovaný:

„Pri definovaní dopadu je vhodné vzťahovať úrovne na konkrétny rozsah vášho podnikania. Napríklad: ‚Významný finančný dopad = strata > $100k‘ (prispôsobte svojmu kontextu). Zohľadnite aj regulačný dopad: napríklad porušenie ochrany osobných údajov môže byť automaticky ‚významné‘ alebo ‚závažné‘ z dôvodu pokút podľa GDPR a požiadaviek na oznamovanie, aj keď priama finančná strata nie je jasná.“

Toto je premostenie medzi kvalitatívnym a kvantitatívnym rizikom. „Významné“ nadobúda význam až vtedy, keď organizácia definuje, čo významné znamená vo finančných, prevádzkových, právnych a zákazníckych pojmoch.

Praktický príklad: vyčíslenie rizika výpadku cloudového dodávateľa

Predstavte si poskytovateľa SaaS, ktorý obsluhuje klientov z finančného sektora. Je závislý od poskytovateľa cloudového hostingu, spravovanej databázovej platformy, platobnej brány a služby na notifikáciu zákazníkov. Tím vyberie jeden scenár na kvantitatívnu analýzu:

„Predĺžený výpadok spravovanej databázovej platformy spôsobí prerušenie služby pre zákazníkov a oneskorené spracovanie transakcií.“

Krok 1: definujte scenár rizika a vlastníka

Politika riadenia rizík pre MSP vyžaduje opis, pravdepodobnosť, dopad, skóre, vlastníka a plán ošetrenia. Podniková Politika riadenia rizík, časť „Požiadavky na správu a riadenie“, bod 5.2.2, dopĺňa, že register:

„obsahuje vlastníkov rizík, skóre dopadu a pravdepodobnosti, plány ošetrenia, termíny a odkazy na opatrenia“

Vlastníkom nie je „IT“. Zodpovedným vlastníkom je vlastník služby, ktorého podporujú CISO, CTO, manažér súladu, manažér dodávateľov a financie.

Krok 2: odhadnite finančnú expozíciu

Tím odhaduje:

• €35,000 za hodinu v stratenej transakčnej tržbe a SLA kreditoch
• €8,000 za hodinu v nákladoch na podporu, eskaláciu a riešenie incidentu
• €60,000 na nápravu voči zákazníkom a komunikáciu
• €120,000 ako potenciálny odchod zákazníkov alebo obchodný dopad
• 10 hodín ako pravdepodobný závažný výpadok na základe histórie dodávateľa a preskúmania architektúry

Dopad jednej stratovej udalosti je:

10 × (€35,000 + €8,000) + €60,000 + €120,000 = €610,000

Súčasná pravdepodobnosť sa odhaduje na 0.25 ročne. Ročná očakávaná strata je:

€610,000 × 0.25 = €152,500

Navrhovaný balík ošetrenia zahŕňa návrh failoveru vo viacerých regiónoch, otestovanú obnovu zo zálohy, preskúmanie SLA dodávateľa, syntetické monitorovanie, stolové cvičenie a aktualizáciu plánu ukončenia služby. Náklady v prvom roku sú €82,000, s opakujúcimi sa nákladmi €34,000.

Po ošetrení sa reziduálna pravdepodobnosť odhaduje na 0.10 ročne a reziduálny dopad jednej stratovej udalosti na €350,000 vďaka rýchlejšej obnove. Reziduálna ALE je:

€350,000 × 0.10 = €35,000

Zníženie očakávanej ročnej expozície v prvom roku je približne €117,500, ešte pred zohľadnením regulačnej odolnosti, dôvery zákazníkov a zmluvných prínosov.

Krok 3: vyberte ošetrenie a zdokumentujte odôvodnenie

Ošetrenie rizík nie je vždy čisté zmierňovanie. Politika riadenia rizík Clarysec pre MSP, časť „Požiadavky na implementáciu politiky“, bod 6.1.3, uvádza:

„Prenos: Použiť zmluvy, dohody o úrovni služieb alebo poistenie na externý prenos rizika.“

Pre tento scenár organizácia vyberá zmiešané ošetrenie: znížiť riziko technickou odolnosťou, preniesť časť rizika prostredníctvom SLA a zmluvných nápravných prostriedkov a akceptovať reziduálne riziko so schválením manažmentom.

Krok 4: namapujte ošetrenie na vyhlásenie o uplatniteľnosti

Podniková Politika riadenia rizík, časť „Zosúladenie s vyhlásením o uplatniteľnosti (SoA)“, bod 6.5.1, uvádza:

„Rozhodnutia o opatreniach vyplývajúce z procesu ošetrenia rizík sa musia premietnuť do SoA.“

Tu sa finančný model stáva pripraveným na audit. Scenár výpadku dodávateľa sa prepája s opatreniami pre dodávateľov, cloud, kontinuitu, incidenty a prerušenia podľa ISO/IEC 27001:2022 Prílohy A. Prepája sa aj s bezpečnosťou dodávateľského reťazca a kontinuitou činností podľa NIS2, rizikom tretích strán v oblasti IKT a testovaním odolnosti podľa DORA, bezpečnosťou a posúdením porušenia ochrany osobných údajov podľa GDPR, ak sú dotknuté osobné údaje, a s výsledkami správy a riadenia, dodávateľského reťazca, reakcie a obnovy podľa NIST CSF.

Zenith Blueprint, fáza riadenia rizík, krok 13, „Plánovanie ošetrenia rizík a vyhlásenie o uplatniteľnosti“, vysvetľuje sledovateľnosť:

„SoA je v podstate premosťovací dokument: prepája vaše posúdenie rizík/ošetrenie s reálnymi opatreniami, ktoré máte. Jeho vyplnením si zároveň overíte, či ste nevynechali niektoré opatrenia.“

Silné odôvodnenie v SoA môže znieť: „Uplatniteľné, pretože výpadok spravovanej databázy ovplyvňuje kritickú zákaznícku službu, závislosť od tretej strany v oblasti IKT, zmluvné záväzky voči zákazníkom, záväzky kontinuity a potenciálnu dostupnosť osobných údajov. Opatrenia sú vybrané tak, aby znížili vyčíslenú ročnú expozíciu €152,500 a podporili manažmentom schválené reziduálne riziko.“

Krok 5: eskalujte podľa prahových hodnôt

Podniková Politika riadenia rizík, časť „Požiadavky na správu a riadenie“, bod 5.6, vyžaduje:

„Matica rizikových právomocí musí jasne definovať prahové hodnoty eskalácie na vrcholový manažment alebo predstavenstvo.“

Ročná expozícia €152,500 môže prekročiť toleranciu lokálneho manažmentu. Riziko s nižšou hodnotou môže aj tak vyžadovať eskaláciu, ak ovplyvňuje kritickú alebo dôležitú funkciu, spúšťa očakávania podľa DORA, zahŕňa osobné údaje, ohrozuje záväzky voči zákazníkom alebo vytvára zodpovednosť riadiaceho orgánu podľa NIS2.

Mapovanie krížového súladu: jedno vyčíslené riziko, viacero povinností

Vyčíslené kybernetické riziko sa nemá kopírovať do piatich samostatných tabuliek súladu. Má sa stať jedným objektom rizika s viacerými pohľadmi súladu.

NIS2 Article 21 je osobitne relevantný, pretože zahŕňa analýzu rizík, bezpečnostné politiky, riešenie incidentov, kontinuitu činností, zálohovanie, obnovu po havárii, krízové riadenie, bezpečnosť dodávateľského reťazca, bezpečný vývoj, riešenie zraniteľností, hodnotenie účinnosti, kybernetickú hygienu, školenia, kryptografiu, bezpečnosť ľudských zdrojov, riadenie prístupu, správu aktív a autentifikáciu.

DORA vytvára podobnú disciplínu pre finančné subjekty, ale so sektorovo špecifickým zameraním. Vyžaduje interný rámec správy, riadenia a kontrol pre riziko IKT, pričom konečnú zodpovednosť nesie riadiaci orgán. Očakáva schvaľovanie a dohľad nad politikami IKT, rolami, stratégiou digitálnej prevádzkovej odolnosti, toleranciou rizika IKT, plánmi kontinuity a reakcie, plánmi auditov, rozpočtami, školeniami, politikami tretích strán v oblasti IKT a reportovacími kanálmi.

DORA zároveň dáva kvantitatívnemu posúdeniu rizík priamy prevádzkový spúšťač: klasifikáciu incidentov. Významné incidenty súvisiace s IKT sa musia klasifikovať podľa kritérií, ako sú dotknutí klienti, protistrany a transakcie, trvanie, výpadok, geografické rozšírenie, straty údajov ovplyvňujúce dostupnosť, autentickosť, integritu alebo dôvernosť, kritickosť dotknutých služieb a ekonomický dopad. Ak model rizík už odhaduje výpadok, dopad na klientov, dopad na údaje a ekonomickú stratu, podporuje klasifikáciu incidentov pri reálnej udalosti.

Prepojenie opatrení, ktoré robí zodpovednosť predstavenstva overiteľnou pri audite

V Zenith Controls Clarysec mapuje opatrenie ISO/IEC 27002:2022 5.4 „Zodpovednosti manažmentu“ ako pilier správy a riadenia pre zodpovednosť za informačnú bezpečnosť. Sprievodca ho považuje za preventívne, podporujúce dôvernosť, integritu a dostupnosť, zosúladené s konceptom kybernetickej bezpečnosti „Identify“, pričom správa a riadenie je prevádzkovou schopnosťou a správa a riadenie spolu s ekosystémom sú bezpečnostnými doménami.

Je to dôležité, pretože finančná kybernetická expozícia patrí do rozhodovania manažmentu. Zenith Controls prepája opatrenie ISO/IEC 27002:2022 5.4 s viacerými podpornými opatreniami:

Zenith Controls tiež mapuje zodpovednosti manažmentu na kapitoly ISO/IEC 27001:2022 5.1, 5.2 a 9.3, čím prepája vedenie, politiku a preskúmanie manažmentom. Ďalej ich mapuje na kapitoly ISO/IEC 27014:2020 6 a 7, ktoré sa zameriavajú na rámce a procesy správy a riadenia na hodnotenie, riadenie, monitorovanie a komunikáciu informačnej bezpečnosti.

Dôkazový reťazec je priamočiary:

1. Manažment definuje apetít na riziko, toleranciu a eskalačné prahové hodnoty.
2. Vlastníci rizík vyčíslia najvýznamnejšie kybernetické riziká.
3. Vyberú sa opatrenia a premietnu sa do SoA.
4. Opatrenia ošetrenia sa vykonajú a monitorujú.
5. Nezávislé preskúmanie a monitorovanie súladu testujú účinnosť.
6. Preskúmanie manažmentom hodnotí výkonnosť, incidenty, výsledky auditu, zdroje a zlepšovacie opatrenia.
7. Predstavenstvo dostáva finančnú expozíciu, reziduálne riziko a dôkazy zodpovednosti v pojmoch zrozumiteľných pre organizáciu.

Politika riadenia rizík Clarysec pre MSP, časť „Roly a zodpovednosti“, bod 4.1.1, posilňuje túto úlohu správy a riadenia:

„Stanovuje apetít organizácie na riziko a schvaľuje rámec riadenia rizík.“

Pre MSP to môže byť generálny manažér alebo vlastník. Pre regulovaný finančný subjekt to môže byť riadiaci orgán. Princíp zodpovednosti je rovnaký.

Ako budú audítori a regulátori testovať vaše čísla

Kvantitatívne posúdenie kybernetického rizika sa nebude auditovať ako dokonalá poistno-matematická veda. Bude sa auditovať podľa metódy, konzistentnosti, sledovateľnosti, správy a riadenia a dôkazov.

Politika monitorovania auditov a súladu Clarysec pre MSP Politika monitorovania auditov a súladu – MSP, časť „Požiadavky na správu a riadenie“, bod 5.4.3, robí auditnú slučku explicitnou:

„Auditné zistenia a aktualizácie stavu musia byť zahrnuté do procesu preskúmania ISMS manažmentom.“

Toto je kritické. Ak model rizika odhaduje expozíciu €500,000, ale vnútorný audit zistí, že test obnovy zlyhal, reziduálne riziko sa musí zmeniť. Ak plán ukončenia dodávateľa nebol otestovaný, organizácia nemá akceptovať reziduálne riziko, akoby bolo opatrenie zrelé. Ak testovanie podľa DORA identifikuje kritickú medzeru, toto zistenie musí vstúpiť do ošetrenia, rozpočtu a preskúmania manažmentom.

Zenith Blueprint, fáza auditu, preskúmania a zlepšovania, krok 28, „Preskúmanie manažmentom“, podporuje tento prístup tým, že odporúča vstupy do preskúmania manažmentom, ako sú zmeny interných a externých otázok, regulačné požiadavky, výsledky auditu, monitorovanie a meranie, ciele, incidenty, nezhody, príležitosti na zlepšenie a potreby zdrojov. V programe vyčísleného kybernetického rizika má balík pre preskúmanie manažmentom obsahovať najvyššie finančné expozície, trend od posledného preskúmania, pokrok ošetrenia, oneskorené opatrenia, reziduálne riziko nad toleranciou a požadované rozhodnutia.

Ako zostaviť balík kybernetických rizík pripravený pre predstavenstvo

Balík kybernetických rizík pripravený pre predstavenstvo nemá zahltiť riaditeľov počtami zraniteľností, premennými FAIR ani identifikátormi opatrení. Má previesť kybernetické riziko na rozhodnutia.

Pre každé najvýznamnejšie vyčíslené riziko uveďte:

• názov scenára a dotknutú službu organizácie
• kritickosť služby alebo funkcie
• príznaky osobných údajov, regulovanej služby a závislosti od dodávateľa
• aktuálny odhad dopadu jednej stratovej udalosti
• aktuálny odhad ročnej miery výskytu
• aktuálnu ročnú očakávanú stratu
• predpoklady a úroveň istoty
• aktuálne opatrenia a známe medzery
• možnosti ošetrenia a náklady
• očakávanú reziduálnu expozíciu po ošetrení
• relevantnosť pre ISO/IEC 27001:2022, NIS2, DORA a GDPR
• vlastníka rizika a potrebné rozhodnutie
• odkazy na SoA a politiky
• termín a dátum preskúmania

Zjednodušený pohľad pre predstavenstvo môže vyzerať takto:

Čísla sú odhady, ale hodnota pre správu a riadenie je reálna. Predstavenstvo môže porovnať priority. CISO môže odôvodniť výdavky. Financie môžu validovať predpoklady. Funkcia súladu môže prepojiť rozhodnutia s povinnosťami. Audítori môžu sledovať auditnú stopu dôkazov.

Bežné chyby pri vyčísľovaní kybernetického rizika

Prvou chybou je falošná presnosť. Model, ktorý tvrdí stratu €487,239.17 bez jasných predpokladov, je menej dôveryhodný než rozsah so zdokumentovaným základom. Používajte rozsahy tam, kde je to vhodné, a preskúmavajte predpoklady po incidentoch, auditoch, zmenách dodávateľov a významných rozhodnutiach o architektúre.

Druhou chybou je započítanie iba technických nákladov. Významný kybernetický incident môže zahŕňať stratu výnosov, kompenzácie zákazníkov, prevádzkové prerušenie, regulačné oznámenie, právne poradenstvo, forenznú podporu, náklady na komunikáciu, zmluvné sankcie, odchod zákazníkov, čas manažmentu a reputačný dopad.

Treťou chybou je ignorovanie regulačnej závažnosti. Porušenie ochrany osobných údajov môže byť významné aj vtedy, keď sa priama prevádzková strata zdá mierna. Incident podľa DORA môže byť významný pre kritickosť služby, výpadok, stratu údajov alebo dotknutých klientov. Incident podľa NIS2 môže byť materiálny, pretože spôsobuje závažné prevádzkové narušenie, finančnú stratu alebo značnú škodu iným osobám.

Štvrtou chybou je neaktualizovanie SoA. Ak rozhodnutia o ošetrení vyberajú monitorovanie dodávateľov, plánovanie ukončenia cloudovej služby, zber incidentných dôkazov, pripravenosť IKT pre kontinuitu činností alebo opatrenia na narušenia, SoA musí odrážať uplatniteľné opatrenia a stav implementácie.

Piatou chybou je vynechanie financií. Kvantitatívne posúdenie kybernetického rizika je najsilnejšie vtedy, keď sa bezpečnosť, financie, právo, prevádzka, produkt a súlad zhodnú na predpokladoch dopadu. CISO nemá sám vymýšľať čísla o strate výnosov.

Šiestou chybou je považovať poistenie za úplný prenos rizika. Poistenie môže znížiť finančný dopad, ale neodstraňuje regulačnú zodpovednosť, prerušenie služby, poškodenie dôvery zákazníkov ani zodpovednosť manažmentu.

Kde zapadá Clarysec

Clarysec pomáha organizáciám budovať program kybernetických rizík, ktorý je dostatočne praktický pre MSP a dostatočne dôsledný pre regulované prostredia.

Zenith Blueprint vedie organizáciu od rozsahu a kontextu cez kritériá rizika, kvalitatívne a kvantitatívne posúdenie, plánovanie ošetrenia, sledovateľnosť SoA, audit, preskúmanie manažmentom a zlepšovanie. Zenith Controls pomáha mapovať očakávania opatrení podľa ISO/IEC 27001:2022 a ISO/IEC 27002:2022 na iné rámce, audity a povinnosti správy a riadenia. Politiky Clarysec poskytujú jazyk, ktorý audítori očakávajú, vrátane apetítu na riziko, matíc právomocí, možností ošetrenia, registrov súladu, zosúladenia SoA a integrácie s preskúmaním manažmentom.

Politika právneho a regulačného súladu Clarysec pre MSP Politika právneho a regulačného súladu – MSP, časť „Požiadavky na správu a riadenie“, bod 5.1.1, začína jednoduchou povinnosťou:

„Generálny manažér musí udržiavať jednoduchý, štruktúrovaný register súladu obsahujúci:“

Na tomto jednoduchom registri záleží. Právne, regulačné a zmluvné povinnosti musia byť viditeľné v ISMS. Pri kvantitatívnom riziku to znamená, že NIS2, DORA, GDPR, zákaznícke zmluvy, SLA, povinnosti outsourcingu, oznamovacie povinnosti pri incidentoch a auditné záväzky formujú dopad, prioritu ošetrenia a eskaláciu.

Podniková Politika riadenia rizík, časť „Referenčné normy a rámce“, bod 11.9.1, tiež priamo odráža správu a riadenie v štýle DORA:

„Article 5: Nariaďuje zdokumentovaný rámec riadenia rizík IKT, ktorý je plne pokrytý štruktúrou tejto politiky vrátane mapovania SoA a KRI.“

Toto je model Clarysec v jednej vete: zdokumentované riadenie rizík IKT, mapované na opatrenia, merané prostredníctvom ukazovateľov, preskúmavané manažmentom a preukázateľné pri audite.

Ďalšie kroky: urobte svoj register kybernetických rizík na rok 2026 finančne obhájiteľným

Ak váš aktuálny register kybernetických rizík stále uvádza „vysoké“ bez vysvetlenia finančnej expozície, ekonomiky ošetrenia alebo regulačného dopadu, začnite v tomto štvrťroku piatimi krokmi:

1. Vyberte 5 až 10 najvýznamnejších scenárov kybernetického rizika podľa dopadu na činnosť organizácie.
2. Definujte prahové hodnoty finančného dopadu pre nízky, stredný, významný a závažný dopad.
3. Odhadnite dopad jednej stratovej udalosti, ročnú mieru výskytu a ročnú očakávanú stratu pre každý najvýznamnejší scenár.
4. Namapujte každé rozhodnutie o ošetrení na opatrenia ISO/IEC 27001:2022, SoA, povinnosti podľa NIS2 alebo DORA tam, kde sa uplatňujú, dôsledky podľa GDPR a výsledky správy a riadenia podľa NIST CSF.
5. Predložte reziduálne riziko, náklady na ošetrenie a eskalačné prahové hodnoty pri preskúmaní manažmentom.

Clarysec vám môže pomôcť premeniť tento prístup na opakovateľný dôkazový systém pomocou Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, podnikovej Politiky riadenia rizík Politika riadenia rizík, Politiky riadenia rizík pre MSP Politika riadenia rizík – MSP a podporných šablón pre audit a súlad.

Cieľom nie je urobiť kybernetické riziko dokonale predvídateľným. Cieľom je urobiť ho vysvetliteľným, porovnateľným, finančne významným a overiteľným pri audite.

Stiahnite si šablóny politík Clarysec pre riziká a súlad, preskúmajte Zenith Blueprint alebo si objednajte posúdenie Clarysec, aby ste svoj register kybernetických rizík na rok 2026 premenili na dôkazy pripravené pre predstavenstvo pre ISO/IEC 27001:2022, NIS2, DORA a GDPR.