Rejestr ryzyk dla celów NIS2 (Dyrektywa Parlamentu Europejskiego i Rady dotycząca środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii Europejskiej) powinien być kompleksowym dokumentem, który umożliwia organizacji identyfikację, ocenę i zarządzanie ryzykami związanymi z cyberbezpieczeństwem. Oto kluczowe elementy, które powinien zawierać:

1. Informacje ogólne

• Nazwa organizacji: Pełna nazwa i dane kontaktowe.
• Data utworzenia rejestru: Data pierwszego opracowania rejestru.
• Data ostatniej aktualizacji: Aby śledzić bieżący stan ryzyk.
• Cel rejestru: Wyjaśnienie, dlaczego rejestr jest prowadzony (np. zgodność z wymogami NIS2, poprawa cyberbezpieczeństwa).

2. Struktura rejestru ryzyk
Rejestr ryzyk powinien być tabelaryczny lub uporządkowany w sposób ułatwiający przegląd i aktualizację. Typowe kolumny to:
2.1. Identyfikacja ryzyka

• ID ryzyka: Unikalny numer lub kod przypisany do każdego ryzyka.
• Opis ryzyka: Szczegółowy opis potencjalnego zagrożenia (np. „Utrata danych w wyniku ataku ransomware”).
• Obszar dotknięty ryzykiem: Określenie, który obszar organizacji jest narażony (np. IT, dane osobowe, infrastruktura krytyczna).

2.2. Ocena ryzyka

• Prawdopodobieństwo wystąpienia: Ocena prawdopodobieństwa (np. niskie, średnie, wysokie lub skala liczbowo-procentowa).
• Skutki wystąpienia: Ocena skutków (np. niski, średni, wysoki lub opisowy wpływ na organizację, w tym finansowy, operacyjny i reputacyjny).
• Poziom ryzyka: Łączna ocena ryzyka (np. wynik z matrycy ryzyka, jak „akceptowalne” lub „nieakceptowalne”).

2.3. Kategoryzacja ryzyka

• Rodzaj ryzyka: Kategoria, np. techniczne, organizacyjne, prawne, fizyczne.
• Źródło ryzyka: Przyczyna ryzyka, np. „błąd ludzki”, „zagrożenie zewnętrzne” (cyberatak), „awaria sprzętu”.
• Zgodność z NIS2: Określenie, które wymagania NIS2 są związane z danym ryzykiem.

3. Zarządzanie ryzykiem
3.1. Podejście do ryzyka

• Strategia zarządzania: Wybrana metoda radzenia sobie z ryzykiem, np.:
  • Akceptacja: Uznanie ryzyka za dopuszczalne bez dalszych działań.
  • Mitygacja: Wdrożenie działań zmniejszających prawdopodobieństwo lub skutki ryzyka.
  • Unikanie: Eliminacja źródła ryzyka.
  • Przeniesienie: Przekazanie ryzyka innej stronie, np. poprzez ubezpieczenie.
• Działania korygujące: Szczegóły działań mających na celu ograniczenie ryzyka (np. wprowadzenie dodatkowych zabezpieczeń technicznych, szkolenie pracowników).

3.2. Wskaźniki kontrolne

• Zasoby do zarządzania ryzykiem: Wymienienie osób, zespołów lub systemów odpowiedzialnych za kontrolowanie ryzyka.
• Czas realizacji: Terminy wdrożenia działań kontrolnych.
• Stan działań: Status działań (np. „planowane”, „w trakcie”, „zrealizowane”).

4. Monitorowanie i przegląd ryzyk

• Harmonogram przeglądów: Jak często ryzyka są przeglądane (np. co kwartał, co pół roku).
• Metody monitorowania: Określenie, jak skuteczność zarządzania ryzykiem będzie mierzona (np. audyty wewnętrzne, testy penetracyjne).
• Kto odpowiada za przegląd: Wskazanie zespołów lub osób odpowiedzialnych.

5. Incydenty i lekcje wyciągnięte

• Historia incydentów: Rejestr incydentów, które miały miejsce w organizacji.
• Powiązanie z ryzykiem: Informacja, czy incydenty były związane z wcześniej zidentyfikowanymi ryzykami.
• Lekcje wyciągnięte: Wnioski, jakie organizacja wyciągnęła po wystąpieniu incydentu.

6. Dokumentacja i odniesienia

• Powiązane dokumenty: Linki lub odniesienia do powiązanych polityk, procedur lub norm (np. ISO/IEC 27001).
• Zgodność z regulacjami: Lista regulacji, z którymi rejestr ryzyk jest zgodny (np. NIS2, RODO).

7. Rejestr załączników

• Matryca ryzyka.
• Polityka bezpieczeństwa informacji.
• Wyniki ostatnich audytów i testów bezpieczeństwa.

Rejestr ryzyk dla NIS2 powinien być żywym dokumentem, który jest regularnie aktualizowany i dostępny dla kluczowych interesariuszy organizacji. Jego struktura powinna umożliwiać łatwe przeglądanie, filtrowanie i raportowanie danych.

Przykładowe ryzyka adekwatne dla większości podmiotów

Ryzyka, które są adekwatne dla większości organizacji, obejmują zarówno techniczne, organizacyjne, prawne, jak i operacyjne aspekty. Poniżej przedstawiam listę uniwersalnych kategorii i przykładów ryzyk, które powinny zostać uwzględnione w rejestrze ryzyk większości organizacji:

1. Ryzyka techniczne

• Ataki cybernetyczne:
  • Ransomware: Zaszyfrowanie danych i żądanie okupu.
  • Phishing: Wyłudzanie danych przez fałszywe e-maile.
  • Distributed Denial of Service (DDoS): Przeciążenie systemów.
• Luki w zabezpieczeniach:
  • Niezałatane oprogramowanie.
  • Błędy konfiguracyjne systemów.
• Utrata danych:
  • Awaria serwerów lub dysków.
  • Brak kopii zapasowych lub ich nieskuteczność.
• Nieautoryzowany dostęp:
  • Włamania do systemów.
  • Brak kontroli nad uprawnieniami użytkowników.

2. Ryzyka organizacyjne

• Brak świadomości pracowników:
  • Niewystarczające szkolenia z zakresu bezpieczeństwa.
  • Przypadkowe działania pracowników (np. otwarcie zainfekowanego załącznika).
• Nieprzestrzeganie procedur:
  • Ignorowanie polityk bezpieczeństwa.
  • Brak formalnych procedur dla kluczowych działań.
• Ryzyka związane z dostawcami:
  • Brak zabezpieczeń u podwykonawców.
  • Uzależnienie od jednego dostawcy (vendor lock-in).

3. Ryzyka prawne i regulacyjne

• Nieprzestrzeganie przepisów:
  • Naruszenia RODO (np. nieprawidłowe przetwarzanie danych osobowych).
  • Niezgodność z dyrektywą NIS2.
• Kary finansowe:
  • Sankcje za brak odpowiednich działań w zakresie cyberbezpieczeństwa.
• Umowy i zobowiązania kontraktowe:
  • Brak zgodności z wymaganiami klientów lub partnerów biznesowych.

4. Ryzyka operacyjne

• Przestoje w działaniu:
  • Awaria infrastruktury IT (np. serwery, sieci).
  • Problemy z dostępem do zasobów kluczowych.
• Zależność od technologii:
  • Brak planu awaryjnego na wypadek awarii systemów.
  • Przestarzałe oprogramowanie.
• Brak zasobów:
  • Niedostateczna liczba specjalistów ds. cyberbezpieczeństwa.
  • Ograniczenia finansowe uniemożliwiające wdrożenie zabezpieczeń.

5. Ryzyka reputacyjne

• Utrata zaufania klientów:
  • Ujawnienie danych klientów w wyniku naruszenia bezpieczeństwa.
  • Publiczne ujawnienie incydentów cyberbezpieczeństwa.
• Negatywny wizerunek w mediach:
  • Ataki medialne związane z brakiem odpowiednich zabezpieczeń.

6. Ryzyka strategiczne

• Zagrożenia konkurencyjne:
  • Kradzież własności intelektualnej.
  • Przecieki poufnych danych strategicznych.
• Niewłaściwa strategia zarządzania ryzykiem:
  • Brak spójnej polityki bezpieczeństwa informacji.
  • Nieaktualne plany reagowania na incydenty.

7. Ryzyka fizyczne

• Zdarzenia losowe:
  • Pożary, zalania, katastrofy naturalne (np. powodzie, trzęsienia ziemi).
• Zabezpieczenia fizyczne:
  • Brak kontroli dostępu do serwerowni i pomieszczeń IT.
  • Brak monitoringu i systemów alarmowych.

8. Ryzyka związane z ludźmi

• Złe intencje wewnętrzne:
  • Działania pracowników (np. sabotaż, kradzież danych).
• Rotacja pracowników:
  • Brak skutecznego offboardingu (np. pozostawienie dostępu byłym pracownikom).
• Brak kompetencji:
  • Niedostateczna wiedza i doświadczenie pracowników.

9. Ryzyka finansowe

• Koszty incydentów:
  • Straty finansowe wynikające z przestojów lub utraty danych.
  • Konieczność zapłaty okupu (ransomware).
• Koszty ubezpieczeń:
  • Wzrost składek ubezpieczeniowych po incydentach.

10. Ryzyka związane z chmurą i outsourcingiem

• Brak kontroli nad danymi:
  • Dane przechowywane u dostawcy chmurowego mogą być narażone na zagrożenia.
• Zależność od dostawcy usług:
  • Problemy z ciągłością działania w przypadku awarii dostawcy.
• Niejasne umowy SLA:
  • Brak gwarancji bezpieczeństwa lub reakcji na incydenty.

Podsumowanie
Ryzyka te są uniwersalne i obejmują obszary, które mogą być istotne dla większości organizacji. Każda firma powinna dostosować tę listę do swojej specyfiki, biorąc pod uwagę branżę, rozmiar i infrastrukturę. Ważne jest także regularne aktualizowanie rejestru ryzyk, uwzględniając nowe zagrożenia i zmiany technologiczne.