Kybernetická bezpečnost podle NIS2: Analýza rizik v praxi

Nový zákon o kybernetické bezpečnosti a evropská směrnice NIS2 přinášejí firmám zásadní povinnosti v oblasti řízení rizik, zabezpečení IT systémů i odpovědnosti managementu. Jádrem těchto požadavků je právě analýza a řízení rizik – a právě zde většina firem naráží na problém, jak analýzu správně a efektivně provést.

• management firem spadajících pod nový zákon o kybernetické bezpečnosti a směrnici NIS2
• bezpečnostní manažery, IT manažery a správce systémů, kteří mají zodpovědnost za ochranu informačních aktiv
• risk manažery a compliance specialisty, kteří se podílejí na řízení rizik a přípravě povinné dokumentace
• každého, kdo budou mít v praxi odpovědnost za identifikaci aktiv, hodnocení hrozeb a zranitelností a nastavení procesu řízení rizik 

1.    Úvod do analýzy rizik

• Proč je analýza rizik zásadní pro splnění požadavků NIS2 a ZoKB
• Základní pojmy: aktivum, hrozba, zranitelnost, riziko
• Přehled metodik, Vazba na systém řízení bezpečnosti informací 

2.    Identifikace a klasifikace aktiv

• Typy aktiv: hardware, software, data, služby, procesy
• Praktický postup tvorby registru aktiv
• Přiřazení vlastníků aktiv
• Cvičení: sestavení seznamu aktiv pro modelovou firmu

3.    Ohodnocení aktiv a určení kritičnosti

• CIA triáda (důvěrnost, integrita, dostupnost)
• Hodnocení dopadů narušení aktiva
• Cvičení: ohodnocení vybraných aktiv

4.    Identifikace hrozeb a zranitelností

• Typové hrozby a zranitelnosti
• Využití katalogů hrozeb a zranitelností (NÚKIB, ENISA)
• Cvičení: mapování hrozeb a zranitelností na konkrétní aktiva

5.    Vyhodnocení rizik

• Výpočet rizika
• Popis rizika
• Riziková matice (low/medium/high)
• Cvičení: vyhodnocení rizik pro modelový příklad

6.    Řízení rizik

• Strategie zvládání rizik 
• Návrh a prioritizace bezpečnostních opatření
• Vazba na plán zvládání rizik
• Cvičení: návrh opatření pro vybraná rizika

7.    Výstupy a dokumentace analýzy rizik

• Povinné výstupy 
• Rizikový registr a plán zvládání rizik
• Reporting pro management

8.    Závěr kurzu

• Shrnutí procesu analýzy rizik 
• Doporučení pro zavedení do praxe
• Diskuze a odpovědi na dotazy

Účastníci se naučí, jak v praxi provést analýzu rizik podle požadavků NIS2 a nového zákona o kybernetické bezpečnosti. Na modelovém příkladu si krok za krokem vyzkouší celý proces tvorby analýzy rizik – od identifikace a hodnocení aktiv přes zmapování hrozeb a zranitelností až po vyhodnocení rizik a návrh opatření ke snížení jejich dopadu.