Během léta se riskařilo a kvantovalo jak v Bruselu, tak i na Slovensku. A trochu nečekaně vznikl revoluční metodický/podpůrný materiál právě na východ od nás.

Během horkých letních dní vzniklo v okruhu států EU hned několik materiálů zajímavých pro analytiky, specialisty a manažery, kteří se budou v souvislosti s NIS 2 zabývat kybernetickými riziky. Pozastavme se u dvou z nich. Důvodem výběru je „oficiální“ punc jednoho a až revoluční vyznění druhého.

Jako první zmíníme ten, který vzešel z Evropská agentury pro bezpečnost sítí a informací (European Network and Information Security Agency, ENISA) a jmenuje se ENISA Technical Implementation Guidance for NIS 2 (ENISA TIG NIS2). V zásadě poskytuje strukturovaný soubor legislativně nezávazných technických vodítek pro praktickou implementaci různých oblastí NIS 2 (tj. politiky, rizika, incidenty, kontinuita podnikání, dodavatelé, životní cyklus ICT). Každá oblast je v TIGu strukturovaná na „požadavky“ (co to má přinést a co se má stát), „doporučení“ (jak se to má prakticky uchopit a implementovat) a „důkazy“ (jak já nebo auditor poznáme, že se to podařilo prakticky realizovat). Cílem je pomoci uvést NIS 2 v klíčových sektorech do reálné praxe.

Jak to dopadlo a co nám tedy TIG přinesl pro práci s kybernetickými riziky? Na první pohled onu povšechnou, jakoby neutrální, naprostou klasiku: zavést „politiku“ (uvedeno pod tematickou dokumentací), mít „rámec“ (risk management framework, RMF), řídit „účinnost systému“, kyber-rizika „integrovat“ do celopodnikového systému, provádět „posouzení rizik“ (včetně velkých scénářů v BIA) a s výsledky manažersky pracovat formou „plánu zvládání rizik“.

Už druhý pohled je ale o dost zajímavější a dává vyniknout tomu, čím budeme následně pokračovat v odstavcích o překvapivé „Slovenské strele“. Pro úspěšnou a smysluplnou práci s riziky je naprosto zásadní volba „metodiky“. Autoři materiálu od agentury ENISA nám sice poskytují odkaz na poměrně bohaté kompendium metod, ale klíčové vodítko zcela vynechali. Principiálně jde především o to, zdali risk pojedeme kvalitativně (v barvách, pocitech a indexu) nebo kvantitativně (v tvrdých dolarech očekávané roční ztráty).

Pokud jakékoliv oficiální úřední vodítko postrádá tuto prvotní, klíčovou volbu mezi „modrou a červenou pilulkou“, postrádá důvěryhodnost. Namísto toho se v doporučeném kompendiu objevují nebezpečné novotvary nebo kamufláže. Dejte pozor na „kvant metodiky“: pokud je u nich uvedená třeba „jednotka rizika“ jako celé číslo v rozmezí 1 až 25, nebo kupříkladu „magická formulka: R=T*V*I”, je to „kvalita“ jak vyšitá a přebarvená na quant nebo semi-quant. Jediná skutečně kvantitativní metodika z tam uvedených je Open FAIR™. Stále platí: když barvě dáte číslici nebo třeba pánské a dámské toalety rozlišíte číslicí, nezačínáte počítat, nevidíte očekávanou roční ztrátu v penězích, nejde o „kvant“.

Při ještě podrobnějším pohledu na vodítka už nastává legrace při žonglování s obligátními termíny jako je „apetit“, „tolerance“ a „akceptance“. V některých případech je vše celkem v pořádku. Kupříkladu vodítka pro náš kvantitativní celkový limit ztrát (apetit) a pro dílčí prahy ztrát (tolerance) jsou naprosto v pořádku, třeba proti maximální (roční, 3-Y, 5-Y) ztrátě a maximální tolerované nedostupnosti (přepočítané na ušlý zisk, reputační ztrátu a pokuty) jistě nelze nic namítnout. Totéž zřejmě platí pro tolerovanou ztrátu dat a či výši pokut, kde se nám ale již potichu vytratilo to časové ohraničení. A například vodítka akceptace pro neřešení nevýznamných, rozuměj nemateriálních, případů jsou také naprosto v pořádku. Jde o princip materiality, který je v „kvantu“ stěžejní a třeba v americkém komerčním světě zavedený od velké krize z 30. let 20. století. A dokonce jeden ze standardů FAIR (přesněji FAIR-MAM) řeší formální určení materiality s jasnou hranicí, kdy se má situací riskař zabývat. Potud kladné hodnocení.

V případě jiných vodítek se však dostáváme na šikmou plochu. Horší už je to třeba s nápadem „tolerovat konkrétní zranitelnosti“, pokud je monitoruji a někdy dojde i na záplatu. Tohle už lze a je nutné kvantifikovat, existují formální postupy a techniky CRQ na uchopení těchto případů (šířka okna pro útok, analýza dožití zranitelnosti) i krásné tlusté knihy na dané téma (The Red Book od kvantových super-star R. Seiersena a D. Hubbarda). Místo zjednodušení tu máme první medvědí službu v podobě zcela zavádějícího doporučení.

Kvalita meteriálu z dílny agentury ENISA nám postupně graduje. Vlastně naprosto šílená rada („pobídka z vodítka“) je akceptovat bez předchozí analýzy „málo četné a málo pravděpodobné scénáře“ (přímo uvádějí tzv. vzácné typy útoků). Kolik pandemií bylo v Evropě za posledních 200 let? A hodil se vám v roce 2020 ten pandemický scénář BCM? A jaké škody (na životech a zdraví) ten COVID napáchal? A u sebe doma také neřešíte vítr, povodeň a blesk protože jsou vzácné? Zkuste se v pojišťovně zeptat na katastrofické riziko. Tady se nám ENISA „utrhla z vodítka i ze řetězu“ a dláždí nám do pekla celou dálnici! Při troše zdravého selského rozumu a životní praxe přeci nelze takové doporučení brát vážně.

Kromě šílených nápadů se tam okolo rizik žongluje s termíny jako je „expozice“, „hazard“, „rychlost rizika“ a „komplexita obnovy“. Přitom tu rychlost náběhu škod vs. rychlost detekce, reakce a obnovy snadno a elegantně kvantifikujeme v rámci BIA i v rámci horních odhadů škod (upper bounds, UB). Dalších buzzwords a souvisejících prostocviků skutečně netřeba. Vtipná je zmínka o „all-hazards“ přístupu (zahrnout do úvah širokou škálu hrozeb a scénářů, včetně živlů, dodavatelského řetězce a nových technologií typu AI), kde doufáme, že úvahy neskončí bleskovou akceptací typu „má to mizivou pravděpodobnost“.

A smutným závěrem je samostatná kapitola se vznosným názvem „Efektivita opatření snižujících kybernetická rizika“, kde o vlastním smyslu a reálných přínosech řízení rizik není ani čárka. Účelem celého snažení je přece snižování celkové nálože rizik v čase, ideálně pomocí nákladově přiměřených prostředků. Základními indikátory by tedy měla být očekávaná roční výše škod (ALE) a chci vidět její klesající trend a současně roční podíl investic a nákladů a vidět, že ten meziroční pokles stál za vynaložené zdroje.

Suma sumárum: motoráček ENISA se šine ve starých zaběhlých kolejích, ohání se riskem a buzz-wordy, a skutek utek.

Poněkud jiná váhová kategorie je druhý materiál, který jsme v úvodu zmínili. Počátkem září „přifrčela “ ze slovenského NBÚ nefalšovaná „Slovenská strela“. Vyhláška pro oba režimy NIS 2 má 4 (slovy čtyři !) strany textu i s hlavičkou, zbytek je mapovací tabulka povinností členěná na kritické/nekritické základní služby, na ICT/OT prostředí a na architekturu. Všeho všudy 24 stran! Pro srovnání – náš tuzemský legislativní návrh pro vyšší povinnosti má stran 40. A nemám pocit, že by ve slovenském expresu z pohledu NIS 2 na rizika něco chybělo nebo přebývalo.

Největší překvapení pak přinesla „Metodika analýzy rizík“ s kvantitativními metodami s odkazem na standard Open FAIR™ a s řadou dalších aspektů: s materialitou rizika, s kalibrací expertů pro odhady horní a spodní meze škod, křivkami LEC a RTC i s možností jejich agregace napříč katalogem rizik, nakonec i s návratností investice do bezpečnostního opatření.

Je to vše uvedeno v ultra-kondenzované formě, někde to působí jako „chytrému napověz“, jinde čistě jako „výkřik“, ale JE TO TAM! V oficiálním legislativním dokumentu k transpozici NIS 2 od národního regulátora NBÚ SK je CRQ jako jedna z legitimních a oficiálně podporovaných metodik!

Samozřejmě nelze vzít slovenskou metodiku a začít podle ní druhý den CRQ provádět. Je to „jen“ legislativa a podobně jako třeba mezi Zákonem o DPH a vyplněným Kontrolním hlášením je pořádný kus účetnické práce, máme i zde ke kvantitativnímu registru rizik kus expertní cesty s matematikou v batůžku. Samozřejmě v metodice o kvantu najdeme tradiční mýty a „nepřesnosti ohledně přesnosti“ (vůbec nerozlišuje pojmy správnost/zacílenost a preciznost/rozptyl) a upozornění na náročnost (zpracování dat a výpočtů), ale to už jsme tolikrát slyšeli, umíme s tím žít a máme co nabídnout. Ta Slovenská strela také vznikla v české Kopřivnici!

Důležité je, že se můžeme konečně o něco opřít: máme argument pro management i auditory o třech přípustných metodických přístupech a o možnosti volby pro náš způsob práce s kybernetickým rizikem. A to je oč tu běží!

LITERATURA:

EUROPEAN UNION AGENCY FOR CYBERSECURITY (ENISA). Technical Implementation Guidance: on Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 … technical and methodological requirements of cybersecurity risk-management measures. Verze 1.0 [online]. Luxembourg: Publications Office of the European Union, 2025. ISBN 978-92-9204-704-7. DOI 10.2824/2702548. Dostupné z: https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance [cit. 23. 9. 2025]

NÁRODNÝ BEZPEČNOSTNÝ ÚRAD. Vyhláška Národného bezpečnostného úradu o bezpečnostných opatreniach (č. 227/2025 Z. z.). [online]. Vyhlásené 28. 8. 2025, účinné od 1. 9. 2025. Bratislava: Zbierka zákonov Slovenskej republiky, 2025. Dostupné z: https://static.slov-lex.sk/static/SK/ZZ/2025/227/vyhlasene_znenie.html [cit. 23. 9. 2025]

NÁRODNÝ BEZPEČNOSTNÝ ÚRAD. Metodika analýzy rizík. Online. Dostupné z: https://www.nbu.gov.sk/metodika-analyzy-rizik/. [cit. 2025-09-24]

NÁRODNÝ BEZPEČNOSTNÝ ÚRAD. Metodika analýzy rizík kybernetickej bezpečnosti. [online]. Bratislava: NBÚ SR, 2022. Dostupné z: https://www.nbu.gov.sk/data/att/3446.pdf [cit. 23. 9. 2025].