Každá organizace, která spadá pod zákon o kybernetické bezpečnosti („ZKB“), musí být schopna prokázat, že systematicky identifikuje a řídí bezpečnostní rizika. Nestačí pouze rizika evidovat, organizace musí také rozhodnout, jakým způsobem je bude řešit a jaká opatření přijme k jejich snížení.
Právě k tomu slouží Plán zvládání rizik. Tento dokument navazuje na analýzu rizik a popisuje konkrétní kroky, kterými organizace reaguje na identifikované hrozby. V praxi jde o přehled opatření, odpovědných osob a termínů, které mají zajistit, že rizika budou skutečně řešena.
Co je Plán zvládání rizik?
Plán zvládání rizik je dokument, který shrnuje způsob, jakým organizace reaguje na identifikovaná bezpečnostní rizika.
V návaznosti na analýzu rizik a v souladu se stanovenými kritérii pro akceptovatelnost rizik obsahuje:
- popis bezpečnostních opatření pro zvládání rizik,
- cíle a přínosy bezpečnostních opatření pro zvládání rizik,
- určení osoby zajišťující zavedení bezpečnostních opatření pro zvládání rizik,
- předpokládané lidské, finanční a technické zdroje pro zavedení bezpečnostních opatření,
- požadovaný termín zavedení bezpečnostních opatření,
- popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a
- konkrétní způsob realizace bezpečnostních opatření.
Cílem plánu je zajistit, aby rizika nezůstala pouze evidovaná v analýze, ale aby organizace aktivně přijala konkrétní kroky ke snížení jejich dopadu nebo pravděpodobnosti.
Kdo musí Plán zvládání rizik zpracovat?
Plán zvládání rizik je běžnou součástí systémů řízení kybernetické bezpečnosti a informační bezpečnosti. Povinnost pracovat s riziky vyplývá jak ze zákona o kybernetické bezpečnosti a jeho prováděcích předpisů, tak z mezinárodních bezpečnostních standardů.
Tento dokument je relevantní zejména pro organizace, které:
- spadají pod zákon o kybernetické bezpečnosti (ZKB),
- poskytují regulované služby podle směrnice NIS2,
- zavádějí systém řízení kybernetické bezpečnosti,
- nebo implementují bezpečnostní standardy, například ISO/IEC 27001.
Organizace ve vyšším režimu mají povinnost zpracovat plán zvládání rizik jako samostatný, strukturovaný a auditovatelný výstup v souladu s požadavky vyhlášky.
Organizace v nižším režimu musí rizika rovněž identifikovat, vyhodnocovat a přijímat odpovídající bezpečnostní opatření, forma plánu však není striktně předepsána. V praxi tak může být plán zvládání rizik součástí interních procesů nebo nástrojů.
Plán zvládání rizik je důležitý především při auditech, kontrolách dozorového orgánu nebo při interním řízení bezpečnosti. Umožňuje totiž přehledně doložit, jak organizace reaguje na identifikovaná rizika a jaká opatření přijala ke snížení jejich dopadu. Zároveň slouží jako praktický nástroj pro vedení organizace – pomáhá sledovat, která bezpečnostní opatření jsou plánována, kdo je za jejich realizaci odpovědný a v jakém jsou stavu.
Jak vzniká Plán zvládání rizik?
Plán zvládání rizik vzniká jako výstup řízení rizik a navazuje na jednotlivé kroky, které organizace v rámci kybernetické bezpečnosti provádí.
Postup typicky zahrnuje:
1. Identifikaci aktiv
Organizace identifikuje klíčová aktiva, která jsou důležitá pro poskytování služeb (například systémy, data, procesy nebo dodavatele). Současně dochází k jejich ohodnocení z hlediska významu pro organizaci.
2. Analýzu a hodnocení rizik
Pro jednotlivá aktiva se posoudí hrozby a zranitelnosti a vyhodnotí se pravděpodobnost a dopad jednotlivých rizik.
3. Rozhodnutí o způsobu zvládání rizik
Organizace určí, jak bude s jednotlivými riziky nakládat, zda je sníží, akceptuje nebo přenese.
4. Návrh bezpečnostních opatření
Pro rizika, která nejsou akceptovatelná, se stanoví konkrétní bezpečnostní opatření.
5. Zpracování plánu zvládání rizik
Do plánu se následně zaznamená:
- jaká opatření budou realizována,
- kdo je za jejich zavedení odpovědný,
- jaké zdroje budou potřeba,
- v jakém termínu budou opatření implementována,
- a jak konkrétně bude jejich realizace probíhat.
Výsledkem je strukturovaný přehled kroků, které organizace podnikne ke snížení identifikovaných rizik.
Jak může pomoct Cybreg?
V praxi bývá největší výzvou nejen identifikovat rizika, ale také dlouhodobě sledovat jejich řešení. Pokud je evidence vedena pouze v tabulkách nebo dokumentech, rychle se stává nepřehlednou a zastaralou.
Moderní nástroje pro řízení compliance a kybernetické bezpečnosti, jako je cybreg, umožňují celý proces řízení rizik centralizovat.
Cybreg umožňuje například:
- evidovat aktiva, hrozby a zranitelnosti,
- provádět hodnocení rizik,
- navrhovat bezpečnostní opatření,
- sledovat stav jejich implementace,
- zadávat konkrétní úkoly k realizaci opatření a přiřazovat odpovědné osoby,
- automaticky upozorňovat odpovědné osoby pomocí notifikací,
- generovat přehledy pro audit nebo vedení organizace.
Díky tomu je možné řízení rizik provádět průběžně a systematicky, nikoliv jen jednorázově při auditu.
Jak vytvořit Plán zvládání rizik v Cybregu?
V prostředí Cybreg nevzniká Plán zvládání rizik jako samostatný dokument automaticky, ale je sestaven z dat, která organizace v systému průběžně eviduje.
Tento proces typicky zahrnuje:
- evidenci aktiv a služeb,
- analýzu a hodnocení rizik,
- stanovení způsobu zvládání rizik,
- přiřazení bezpečnostních opatření,
- evidenci odpovědných osob, termínů a stavu realizace.
Aby bylo možné tato data jednoduše převést do podoby Plánu zvládání rizik, připravili jsme pro vás v rámci šablony NIS2 speciální report Plán zvládání rizik v sekci Zprávy.
Tento report čerpá přímo z vašich dat evidovaných v systému a automaticky je strukturuje do podoby odpovídající požadavkům na plán zvládání rizik – tedy včetně vazby mezi riziky a opatřeními, odpovědných osob, termínů i stavu realizace.
Výsledný plán si můžete jednoduše vygenerovat v sekci Zprávy a následně exportovat (např. do Excelu nebo CSV) jako hotový dokument připravený pro audit, kontrolu nebo interní řízení bezpečnosti.
