Vyhláška č. 409/2025 Sb. staví analýzu rizik na první místo: je to oblast č. 1 z 13 povinných bezpečnostních opatření dle zákona 264/2025 Sb. Bez provedené a zdokumentované analýzy rizik nemůžete tvrdit, že jste v souladu s NIS2. Regulátor (NÚKIB) ji bude vyžadovat jako jeden z prvních dokumentů při kontrole.
Dobrá zpráva: analýza rizik není raketová věda. S správnou metodikou a strukturovanou šablonou ji zvládne i interní tým bez specializovaného vzdělání v kybernetické bezpečnosti. Tento článek vás provede celým procesem.
Proč je analýza rizik základem NIS2 compliance
NIS2 přistupuje k bezpečnosti systémově: nejprve pochopte svá rizika, pak zaveďte proporcionální opatření. Tento přístup se promítá do struktury vyhlášky 409/2025 Sb. – ostatní oblasti opatření (přístupová kontrola, kryptografie, detekce incidentů...) všechny vycházejí ze závěrů analýzy rizik.
Prakticky to znamená, že bez analýzy rizik:
- Nevíte, která opatření jsou pro vás kritická a která jsou nadstandard
- Nemůžete zdůvodnit, proč jste zvolili konkrétní bezpečnostní opatření
- Při kontrole NÚKIB nebudete mít zákonně požadovanou dokumentaci
- Riskujete, že investujete do méně důležitých oblastí a zanedbáte klíčová rizika
Metodika analýzy rizik pro NIS2
Doporučujeme pětistupňový proces, který je plně v souladu s požadavky vyhlášky 409/2025 Sb. a respektuje mezinárodní standardy (ISO 27005, NIST SP 800-30).
Krok 1: Identifikace aktiv
Nejprve musíte vědět, co chráníte. Sestavte inventář aktiv relevantních pro vaše klíčové služby (viz náš průvodce NIS2 auditem). Pro každé aktivum zaznamenejte:
- Název a popis aktiva
- Vlastník aktiva (zodpovědná osoba)
- Klasifikaci: důvěrnost / integrita / dostupnost (škála 1–5)
- Celkovou hodnotu aktiva (průměr nebo maximum ze tří hodnot)
Příklady aktiv: výrobní SCADA systém, zákaznická databáze, emailový server, VPN přístup, zálohy dat, dokumentace procesů.
Krok 2: Identifikace hrozeb
Pro každé aktivum nebo skupinu aktiv identifikujte relevantní hrozby. Hrozba je potenciální příčina nežádoucí události. Používejte katalogy hrozeb – například NÚKIB katalog nebo ENISA Threat Landscape.
Typické kategorie hrozeb pro regulované subjekty:
- Kybernetické útoky: ransomware, phishing, DDoS, exploitace zranitelností, man-in-the-middle
- Interní hrozby: omyl zaměstnance, úmyslné poškození, nedodržení politik
- Fyzické hrozby: krádež zařízení, neoprávněný přístup do serverovny, požár, záplava
- Technické selhání: výpadek hardwaru, chyba softwaru, výpadek napájení
- Dodavatelské riziko: kompromitace dodavatele (supply chain attack), výpadek SaaS služby
Krok 3: Identifikace zranitelností
Zranitelnost je slabina, kterou může hrozba využít. Pro každou hrozbu identifikujte zranitelnosti ve vašem prostředí:
- Nezáplatovaný software (chybějící patch management)
- Slabé nebo sdílené přístupové údaje
- Chybějící vícefaktorová autentizace (MFA)
- Nezašifrovaný přenos dat
- Nedostatečné povědomí zaměstnanců o phishingu
- Absence segmentace sítě
- Nevhodně nastavená přístupová práva (princip nejmenšího privilegia porušen)
Krok 4: Hodnocení rizik (Pravděpodobnost × Dopad)
Pro každou kombinaci aktiva, hrozby a zranitelnosti ohodnoťte riziko. Používáme kvalitativní škálu 1–5:
- Pravděpodobnost (P): 1 = velmi nízká, 2 = nízká, 3 = střední, 4 = vysoká, 5 = velmi vysoká
- Dopad (D): 1 = zanedbatelný, 2 = nízký, 3 = střední, 4 = vysoký, 5 = katastrofální
- Hodnota rizika (R): R = P × D (výsledná hodnota 1–25)
Prioritizace dle výsledku:
- R = 1–5: Nízké riziko – akceptovat nebo sledovat
- R = 6–12: Střední riziko – plán nápravy, realizace do 12 měsíců
- R = 13–19: Vysoké riziko – okamžitá opatření, realizace do 6 měsíců
- R = 20–25: Kritické riziko – prioritní akce, realizace do 3 měsíců
Krok 5: Výběr opatření a akceptace zbytkového rizika
Pro každé riziko rozhodněte o strategii zvládání:
- Snížit: Zavést opatření, která sníží pravděpodobnost nebo dopad (MFA, šifrování, školení...)
- Přenést: Pojistit se, přenést riziko na dodavatele (SLA, pojistka kybernetických rizik)
- Vyhnout se: Ukončit aktivitu nebo systém, který riziko přináší
- Akceptovat: Vědomě přijmout zbytkové riziko (musí být zdokumentováno a schváleno vedením)
Příklady konkrétních rizik pro různé sektory
Zdravotnictví
- Ransomware na nemocniční informační systém → výpadek péče o pacienty (R=25 – kritické)
- Únik zdravotnické dokumentace přes nezabezpečené připojení (R=20 – kritické)
- Selhání zálohovacích systémů (R=15 – vysoké)
Energetika a průmysl
- Kompromitace OT/SCADA systémů přes IT/OT rozhraní (R=25 – kritické)
- Útok na dodavatele s přístupem do řídicích systémů (R=20 – kritické)
- Fyzický přístup neoprávněné osoby do velínu (R=12 – střední)
Digitální infrastruktura a IT služby
- DDoS útok na provoz klíčových služeb (R=20 – kritické)
- Kompromitace zákaznických dat v cloudovém úložišti (R=20 – kritické)
- Selhání třetí strany (SaaS poskytovatel) bez záložního plánu (R=16 – vysoké)
Co musí analýza rizik obsahovat dle vyhlášky 409/2025
Vyhláška nevyžaduje konkrétní formát, ale výstupní dokumentace musí prokázat:
- Systematický přístup k identifikaci a hodnocení rizik
- Zohlednění specifik vašeho sektoru a prostředí
- Propojení rizik s konkrétními aktivy a klíčovými službami
- Plán opatření pro snížení identifikovaných rizik
- Zdokumentované schválení vedením organizace (zbytkové riziko musí schvalovat statutár)
- Datum zpracování a verzi dokumentu
Šablona analýzy rizik pro NIS2 (Excel)
Připravili jsme přehlednou Excel šablonu, která obsahuje:
- List 1 – Inventář aktiv: Tabulka pro evidenci aktiv s klasifikací CIA
- List 2 – Registr rizik: Aktivum, hrozba, zranitelnost, P × D kalkulace, výsledná hodnota
- List 3 – Plán opatření: Prioritizovaný seznam nápravných opatření s termíny a vlastníky
- List 4 – Schválení: Přehled zbytkových rizik pro schválení vedením
Šablonu získáte po registraci na SecureOn.cz nebo přímo přes online audit nástroj na nis2ok.cz, kde je analýza rizik součástí strukturovaného procesu NIS2 compliance.
Jak analýzu rizik průběžně aktualizovat
Analýza rizik není jednorázový dokument – zákon vyžaduje pravidelné přezkoumání. Doporučujeme:
- Roční přezkum: Úplná revize celé analýzy rizik, přehodnocení všech rizik
- Po každé bezpečnostní události: Aktualizace dotčených rizik a opatření
- Při změnách prostředí: Nový systém, nový dodavatel, reorganizace, nová lokalita
- Po změně regulace: Aktualizace metodiky a katalogu hrozeb
Každou aktualizaci verzujte a archivujte – regulátor může chtít doložit historii vývoje vašeho bezpečnostního stavu.