Analýza rizík KB: Návod podľa novej metodiky

Analýza rizík kybernetickej bezpečnosti je základom každého funkčného systému ochrany informácií. Bez nej nemôžete vedieť, čo chránite, pred čím a aké opatrenia sú primerané. Napriek tomu mnohé organizácie na Slovensku analýzu rizík stále vnímajú ako byrokratickú povinnosť — nie ako nástroj na reálne rozhodovanie. Od 1. septembra 2025 platí nová metodika NBÚ, ktorá mení prístup k analýze rizík od základov. V tomto článku vám ukážeme, ako analýzu rizík správne vykonať krok za krokom, aké sú legislatívne požiadavky a na čo si dať pozor v praxi.

Prečo je analýza rizík kybernetickej bezpečnosti povinná

Povinnosť vykonať analýzu rizík vyplýva priamo zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti. Podľa § 20 ods. 3 sa bezpečnostné opatrenia prijímajú a implementujú na základe analýzy rizík kybernetickej bezpečnosti, ktorá určí pravdepodobnosť výskytu škodlivej udalosti. Bez analýzy rizík teda nemôžete prijať žiadne bezpečnostné opatrenie v súlade so zákonom.

Vyhláška č. 227/2025 Z. z. o bezpečnostných opatreniach, účinná od 1. septembra 2025, túto požiadavku výrazne posilnila. Rozsah bezpečnostných opatrení je od účinnosti vyhlášky naviazaný výhradne na výsledky analýzy rizík. To znamená, že organizácia, ktorá má dobre vykonanú analýzu rizík, implementuje len tie opatrenia, ktoré sú primerané jej skutočným rizikám — nie plošne všetko.

Kto musí analýzu rizík vykonať

Analýza rizík je povinná pre:

• Prevádzkovateľov základných služieb (PZS) — registrovaných v registri NBÚ podľa § 17 zákona 69/2018
• Prevádzkovateľov kritickej infraštruktúry — v zmysle zákona o kritickej infraštruktúre
• Poskytovateľov digitálnych služieb — podľa novely implementujúcej NIS2

Po novele zákona transponujúcej smernicu NIS2, účinnej od 1. januára 2025, sa povinnosť rozšírila na podstatne väčší okruh subjektov — podľa dôvodovej správy minimálne 3 403 organizácií na Slovensku.

Nová metodika NBÚ: Čo sa zmenilo

Národný bezpečnostný úrad publikoval novú metodiku analýzy rizík kybernetickej bezpečnosti súčasne s vyhláškami 226/2025 a 227/2025. Nahradila predchádzajúcu metodiku z decembra 2021 a prináša zásadné zmeny.

Hlavné rozdiely oproti starej metodike

Predchádzajúca metodika z roku 2021 bola pomerne všeobecná a dávala organizáciám veľkú voľnosť v prístupe. Nová metodika je konkrétnejšia a prináša:

• Povinné prepojenie s vyhláškou 227/2025 — výsledky analýzy rizík priamo určujú rozsah bezpečnostných opatrení
• Štandardizované hodnotenie — vopred nakonfigurované pravidlá na určenie úrovne identifikovaného rizika
• Analýzu dopadov (BIA) ako integrálnu súčasť — vrátane určenia RTO (Recovery Time Objective) a RPO (Recovery Point Objective)
• Analýzu politického rizika tretej strany — nová požiadavka reagujúca na geopolitické hrozby v dodávateľskom reťazci
• Ročnú povinnosť revízie — analýza rizík sa musí prehodnocovať minimálne raz ročne

Metodika vychádza z medzinárodne uznávaných štandardov NIST, ENISA a BSI, čo uľahčuje jej implementáciu organizáciám, ktoré už pracujú podľa ISO 27001 alebo NIST CSF.

Ako vykonať analýzu rizík krok za krokom

Nová metodika NBÚ definuje analýzu rizík ako cyklický proces so štyrmi hlavnými fázami. Nejde o jednorázové cvičenie — riadenie rizík musí byť kontinuálny, opakovateľný a merateľný proces.

Fáza 1: Stanovenie kontextu

Prvý krok je definovanie rozsahu analýzy. Musíte určiť:

• Hranice analýzy — ktoré siete, informačné systémy a prevádzkové technológie zahŕňa
• Kritériá hodnotenia rizík — stupnica pravdepodobnosti a dopadu, prahy akceptovateľnosti
• Zainteresované strany — kto sú vlastníci aktív, kto rozhoduje o ošetrení rizík

Stanovenie kontextu nie je formalita. Ak zle definujete rozsah, celá analýza bude mať slepé miesta. Typickou chybou je vynechanie prevádzkových technológií (OT) alebo cloudových služieb z rozsahu analýzy.

Fáza 2: Identifikácia aktív, hrozieb a zraniteľností

V tejto fáze zostavíte kompletnú mapu toho, čo chránite a čo tomu hrozí.

Identifikácia aktív zahŕňa:

• Informačné aktíva (databázy, dokumenty, osobné údaje)
• Softvérové aktíva (aplikácie, operačné systémy)
• Hardvérové aktíva (servery, sieťové prvky, koncové zariadenia)
• Prevádzkové technológie (SCADA, ICS, IoT zariadenia)
• Ľudské zdroje (kľúčoví zamestnanci, administrátori)
• Služby tretích strán (cloudové služby, dodávatelia)

Pre každé aktívum musíte určiť vlastníka aktíva — osobu zodpovednú za jeho ochranu. Toto je požiadavka, ktorú organizácie často podceňujú.

Identifikácia hrozieb vychádza z katalógu hrozieb relevantných pre vaše prostredie. Metodika NBÚ odporúča zohľadniť minimálne: ransomvérové útoky, phishing a sociálne inžinierstvo, zneužitie oprávnení (insider threat), výpadok dodávateľa, prírodné katastrofy a zlyhanie hardvéru.

Identifikácia zraniteľností znamená zmapovanie slabých miest, cez ktoré by sa hrozba mohla realizovať — nezáplatované systémy, slabé heslá, chýbajúca segmentácia siete, nedostatočné zálohovanie.

Fáza 3: Hodnotenie rizík

Pre každú kombináciu aktívum – hrozba – zraniteľnosť určíte:

• Pravdepodobnosť — aká je šanca, že sa hrozba realizuje
• Dopad — aké budú následky (finančné, reputačné, prevádzkové, právne)
• Úroveň rizika — výsledná hodnota podľa matice rizík

Vyhláška 227/2025 požaduje, aby hodnotenie bolo založené na vopred nakonfigurovaných pravidlách, ktoré umožňujú určiť úroveň rizika pre najhoršie scenáre. Nejde teda o subjektívny odhad, ale o štruktúrovaný postup s definovanými kritériami.

Analýza dopadov (BIA) je súčasťou tejto fázy. Pre každý kritický proces musíte určiť:

• MTPD (Maximum Tolerable Period of Disruption) — maximálny tolerovateľný výpadok
• RTO (Recovery Time Objective) — cieľový čas obnovy
• RPO (Recovery Point Objective) — maximálna akceptovateľná strata dát

Výsledkom je matica rizík, ktorá vizuálne zobrazuje, kde sú vaše najväčšie riziká a kam prioritne smerovať zdroje.

Fáza 4: Ošetrenie rizík

Pre každé riziko nad hranicou akceptovateľnosti máte štyri možnosti:

1. Zníženie rizika — implementácia technických a organizačných opatrení (prioritná voľba podľa metodiky)
2. Prenos rizika — napríklad poistenie kybernetických rizík alebo outsourcing prevádzky
3. Vyhnutie sa riziku — zmena procesu tak, aby riziko nevznikalo
4. Akceptácia rizika — len za jasne definovaných podmienok, s riadnou dokumentáciou a schválením vedením

Podľa vyhlášky 227/2025 sú bezpečnostné opatrenia z § 20 ods. 2 zákona 69/2018 priamo naviazané na výsledky ošetrenia rizík. Opatrenia, ktoré prijmete, musia byť primerané identifikovaným rizikám — ani menej, ani zbytočne viac.

Najčastejšie chyby pri analýze rizík

Na základe praxe s desiatkami organizácií na Slovensku sa pri analýze rizík najčastejšie opakujú tieto chyby:

1. Analýza rizík ako jednorazový dokument. Organizácia vykoná analýzu pri registrácii ako PZS a potom ju neaktualizuje. Zákon pritom vyžaduje revíziu minimálne raz ročne a vždy pri významnej zmene v prostredí.

2. Generický katalóg hrozieb. Organizácia prevezme katalóg hrozieb z metodiky bez prispôsobenia vlastnému prostrediu. Výrobný podnik má iné hrozby ako nemocnica — analýza to musí reflektovať.

3. Chýbajúci vlastníci aktív. Ak nikto nie je zodpovedný za konkrétne aktívum, nikto nebude zodpovedný ani za ošetrenie jeho rizík.

4. Podceňovanie OT a IoT. Prevádzkové technológie často nie sú zahrnuté v analýze rizík, hoci podľa vyhlášky 227/2025 sú bezpečnostné opatrenia explicitne definované aj pre OT.

5. Chýbajúca väzba na opatrenia. Analýza rizík identifikuje riziká, ale chýba jasné prepojenie na konkrétne opatrenia z vyhlášky 227/2025 a ich implementáciu.

Väzba na bezpečnostnú dokumentáciu

Analýza rizík nie je izolovaný dokument. Podľa vyhlášky 227/2025 je súčasťou bezpečnostnej dokumentácie, ktorej obsah a štruktúru vyhláška presne definuje. Bezpečnostná dokumentácia musí obsahovať:

• Bezpečnostnú politiku
• Analýzu rizík a analýzu dopadov
• Plán ošetrenia rizík
• Bezpečnostné smernice a postupy
• Plán kontinuity činností a obnovy

Všetky tieto dokumenty musia byť vzájomne prepojené a aktuálne. Analýza rizík je vstupom pre plán ošetrenia rizík, ten je vstupom pre bezpečnostné smernice a tie sú vstupom pre audit kybernetickej bezpečnosti.

Ak sa chcete dozvedieť viac o požiadavkách vyhlášky 227/2025 na bezpečnostnú dokumentáciu, odporúčame náš podrobný článok o implementácii vyhlášky 227/2025.

Lehoty a termíny, ktoré musíte poznať

• 12 mesiacov od registrácie — toľko času má PZS na implementáciu bezpečnostných opatrení podľa vyhlášky 227/2025 vrátane analýzy rizík
• Minimálne raz ročne — povinná revízia analýzy rizík
• Bezodkladne po významnej zmene — ak sa zmení infraštruktúra, dodávateľ alebo dôjde k bezpečnostnému incidentu
• Pred auditom kybernetickej bezpečnosti — audítor overuje, či analýza rizík existuje, je aktuálna a či na ňu nadväzujú prijaté opatrenia

Ako to riešime v Cyllium

Tím Cyllium sa analýzou rizík zaoberá v praxi — od organizácií vo verejnej správe cez zdravotnícke zariadenia až po priemyselné podniky. Každý sektor má špecifické aktíva, hrozby a regulatórne požiadavky, a práve tento prierez skúseností je to, čo robí analýzu rizík skutočne užitočnou.

V praxi sa ukazuje, že najväčším problémom nie je samotná metodika, ale schopnosť správne identifikovať a ohodnotiť aktíva. Organizácie často nevedia, aké systémy vlastne prevádzkujú — najmä v oblasti OT a IoT. Preto začíname každý projekt inventarizáciou aktív, ktorá býva pre klientov sama osebe cenným výstupom.

S certifikáciami CISA, CISM a GICSP a skúsenosťami z vyše 200 projektov pomáhame organizáciám prejsť celým cyklom riadenia rizík — od prvej analýzy cez implementáciu opatrení až po pravidelnú revíziu. Ak potrebujete pomoc s analýzou rizík podľa novej metodiky NBÚ, ozvite sa nám.

Často kladené otázky

Ako často sa musí analýza rizík kybernetickej bezpečnosti opakovať?

Podľa novej metodiky NBÚ a vyhlášky 227/2025 sa analýza rizík musí revidovať minimálne raz ročne. Okrem toho sa revízia vyžaduje pri každej významnej zmene v infraštruktúre, organizačnej štruktúre, dodávateľskom reťazci alebo po bezpečnostnom incidente. Výsledky revízie môžu viesť k aktualizácii bezpečnostných opatrení.

Aký je rozdiel medzi analýzou rizík a analýzou dopadov (BIA)?

Analýza rizík hodnotí pravdepodobnosť a dopad hrozieb na aktíva organizácie. Analýza dopadov (Business Impact Analysis) sa zameriava na dôsledky výpadku kritických procesov — určuje MTPD, RTO a RPO. Podľa novej metodiky NBÚ sú obe analýzy integrálnou súčasťou procesu riadenia rizík a vykonávajú sa spoločne.

Môžem si analýzu rizík vykonať interne alebo potrebujem externého dodávateľa?

Zákon 69/2018 nevyžaduje, aby analýzu rizík vykonával externý subjekt. Môžete ju vykonať interne, ak máte dostatočne kvalifikovaný personál. V praxi však väčšina organizácií, najmä menších, využíva externých odborníkov — buď pre nedostatok vlastných kapacít, alebo pre požiadavku nezávislého pohľadu na bezpečnostné riziká.

Aké nástroje potrebujem na analýzu rizík?

Metodika NBÚ nepredpisuje konkrétne nástroje. Analýzu rizík môžete vykonať aj v tabuľkovom procesore. Dôležitejšia než nástroj je správna metodika a kvalita vstupných dát — kompletná inventarizácia aktív, aktuálny katalóg hrozieb a realistické hodnotenie zraniteľností. Existujú aj špecializované nástroje ako ISMS.online, verinice alebo open-source riešenia kompatibilné s metodikou NBÚ.

Čo sa stane, ak analýzu rizík nevykonám?

Nesplnenie povinností podľa zákona 69/2018 môže viesť k pokute od 300 do 7 000 000 EUR pre dôležité subjekty, alebo od 500 do 10 000 000 EUR pre prevádzkovateľov kritickej základnej služby. Okrem pokuty je absencia analýzy rizík automatickým nálezom pri audite kybernetickej bezpečnosti, čo môže viesť k ďalším opatreniam zo strany NBÚ.