Risk Register — NIS2 čl. 21(2)(a)

# Risk Register

**Register rizík podľa NIS2 čl. 21 ods. 2 písm. a (politiky analýzy rizík a bezpečnosti informačných systémov).**

_Majiteľ dokumentu: {{DOCUMENT_OWNER}}_
_Schválil: {{APPROVED_BY}}_
_Platnosť od: {{EFFECTIVE_DATE}}_
_Revízia: min. raz ročne alebo pri významnej zmene (verzia {{VERSION}}, review due {{NEXT_REVIEW_DATE}})_

---

## 1. Účel a rozsah

### 1.1 Účel
Register rizík identifikuje, hodnotí a monitoruje riziká pre dôvernosť, integritu a dostupnosť kritických aktív subjektu **{{ENTITY_NAME}}** (IČO: {{ENTITY_ICO}}).

### 1.2 Rozsah
Pokrýva všetky informačné aktíva v pôsobnosti NIS2:
- [ ] IT infraštruktúra (servery, siete, koncové stanice)
- [ ] SaaS / cloud služby
- [ ] Aplikácie a zdrojový kód
- [ ] Dáta (osobné, obchodné, technické)
- [ ] Procesy a ľudia
- [ ] Supply chain (kritickí dodávatelia)
- [ ] {{CUSTOM_SCOPE}}

### 1.3 Metodika
- Referenčný framework: **ISO/IEC 27005** (Information security risk management) + **ENISA Risk Management framework**
- Kvalitatívne hodnotenie (scales nižšie)
- Frekvencia revízie: **{{REVIEW_FREQUENCY}}** (min. ročne)
- Trigger pre ad-hoc revíziu: {{AD_HOC_TRIGGERS}}

---

## 2. Hodnotiace škály

### 2.1 Pravdepodobnosť (Likelihood)

| Škála | Popis | Frekvencia výskytu |
|-------|-------|---------------------|
| **1 — Rare** | Takmer nikdy | Menej než raz za 10 rokov |
| **2 — Unlikely** | Môže sa stať | Raz za 5-10 rokov |
| **3 — Possible** | Pravdepodobné | Raz za 1-5 rokov |
| **4 — Likely** | Často | Viac ako raz ročne |
| **5 — Almost Certain** | Takmer isté | Mesačne alebo častejšie |

### 2.2 Dopad (Impact)

| Škála | Popis | Finančný dopad | Dopad na služby | Dopad na PII |
|-------|-------|----------------|------------------|---------------|
| **1 — Insignificant** | Minimálny | < 1 000 € | Nepostrehnuteľný | Žiadny / anonymizované |
| **2 — Minor** | Malý | 1 000 - 10 000 € | Krátkodobý degradovaný výkon | Interné údaje, bez PII |
| **3 — Moderate** | Stredný | 10 000 - 100 000 € | Dočasná nedostupnosť < 4h | Malý rozsah PII (< 100 osôb) |
| **4 — Major** | Veľký | 100 000 - 1 000 000 € | Významný výpadok 4-24h | Únik PII 100-10 000 osôb |
| **5 — Catastrophic** | Katastrofický | > 1 000 000 € / pokuta | Kritický výpadok > 24h | Únik > 10 000 PII / špeciálne kategórie |

### 2.3 Risk Score (Pravdepodobnosť × Dopad)

| Score | Risk Level | Akceptovateľnosť | Vyžadovaná akcia |
|-------|-----------|------------------|------------------|
| **20-25** | Critical | Neakceptovateľný | Okamžitá akcia, eskalácia na vedenie |
| **12-16** | High | Neakceptovateľný | Akčný plán do 30 dní |
| **6-10** | Medium | Podmienečne | Plán do 90 dní, monitoring |
| **3-5** | Low | Akceptovateľný s monitorovaním | Review ročne |
| **1-2** | Very Low | Akceptovateľný | Review pri zmene |

---

## 3. Register rizík

### RISK-001

| Pole | Hodnota |
|------|---------|
| **Názov rizika** | {{RISK_001_TITLE}} |
| **Kategória** | {{RISK_001_CATEGORY}} (Kybernetické / Personálne / Fyzické / Právne / Supply chain / Technické) |
| **Popis hrozby** | {{RISK_001_THREAT}} |
| **Zraniteľnosť** | {{RISK_001_VULNERABILITY}} |
| **Dotknuté aktíva** | {{RISK_001_ASSETS}} |
| **Dotknuté NIS2 povinnosti** | {{RISK_001_NIS2_LINK}} |
| **Existujúce kontroly** | {{RISK_001_CONTROLS}} |
| **Pravdepodobnosť (raw)** | {{RISK_001_LIKELIHOOD_RAW}} |
| **Dopad (raw)** | {{RISK_001_IMPACT_RAW}} |
| **Risk Score (raw)** | {{RISK_001_SCORE_RAW}} |
| **Pravdepodobnosť (po kontrolách)** | {{RISK_001_LIKELIHOOD_RESIDUAL}} |
| **Dopad (po kontrolách)** | {{RISK_001_IMPACT_RESIDUAL}} |
| **Residual Risk Score** | {{RISK_001_SCORE_RESIDUAL}} |
| **Risk Owner** | {{RISK_001_OWNER}} |
| **Treatment** | {{RISK_001_TREATMENT}} (Mitigate / Transfer / Accept / Avoid) |
| **Plán opatrení** | {{RISK_001_ACTION_PLAN}} |
| **Termín implementácie** | {{RISK_001_DUE_DATE}} |
| **Status** | {{RISK_001_STATUS}} (Open / In Progress / Closed / Accepted) |
| **Dátum posledného review** | {{RISK_001_LAST_REVIEW}} |

_Skopírujte túto štruktúru pre RISK-002, RISK-003, ... Udržujte minimálne 10-30 kľúčových rizík._

---

## 4. Typické riziká pre NIS2 subjekty (štartovací zoznam)

Ak začínate od nuly, zvážte tieto riziká ako východiskový bod. Každé prispôsobte vlastnému kontextu.

### Kybernetické
| # | Riziko | Typický Score |
|---|--------|---------------|
| K1 | Ransomware útok na produkčné systémy | High (12-16) |
| K2 | Phishing s kompromitáciou credentials | High (12) |
| K3 | DDoS útok na verejné služby | Medium (9) |
| K4 | Exploit neopatchovanej zraniteľnosti (critical CVE) | High (12-16) |
| K5 | SQL injection / XSS v aplikácii | Medium-High (6-12) |
| K6 | Insider threat (zamestnanec) | Medium (6-9) |
| K7 | Credential stuffing / brute force | Medium (6) |
| K8 | Man-in-the-middle útok | Medium (6) |
| K9 | Zero-day v používanom SW | High (12) |
| K10 | Útok na CI/CD pipeline | Medium-High (9-12) |

### Personálne
| # | Riziko | Typický Score |
|---|--------|---------------|
| P1 | Odchod kľúčového zamestnanca bez knowledge transfer | Medium (9) |
| P2 | Social engineering cez telefón / SMS | Medium (6) |
| P3 | Chyba oprávnenej osoby (misconfiguration, delete) | Medium-High (9-12) |
| P4 | Zanedbanie bezpečnostného školenia | Medium (6) |

### Fyzické
| # | Riziko | Typický Score |
|---|--------|---------------|
| F1 | Požiar / povodeň serverovne | High (12-20) |
| F2 | Krádež HW (laptopy, mobily) | Medium (6) |
| F3 | Výpadok elektrickej energie | Medium (6-9) |
| F4 | Neoprávnený fyzický prístup do kritických priestorov | Medium (6) |

### Supply chain
| # | Riziko | Typický Score |
|---|--------|---------------|
| S1 | Incident u kritického dodávateľa (hosting, SaaS) | High (12-16) |
| S2 | Vendor lock-in bez exit planu | Medium-High (9-12) |
| S3 | Sub-processor mimo EU bez SCC | High (12) |
| S4 | Strata kľúčového dodávateľa (bankrot) | Medium (6-9) |

### Právne & compliance
| # | Riziko | Typický Score |
|---|--------|---------------|
| L1 | Pokuta GDPR (až 4 % ročného obratu) | High (12-20) |
| L2 | Pokuta NIS2 (až 10 mil. € / 2 % obratu) | High (12-20) |
| L3 | Prerušenie služby cez soudny zákaz | Medium-High (9-12) |
| L4 | DPIA nevykonaná pri vysokom riziku | Medium (6-9) |

---

## 5. Treatment strategies

### 5.1 Mitigate (zníženie)
Implementácia kontrol, ktoré znižujú pravdepodobnosť alebo dopad:
- Technické: MFA, šifrovanie, zálohovanie, EDR, WAF, patching
- Organizačné: politiky, školenia, segregation of duties
- Fyzické: access control, CCTV, požiarne systémy

### 5.2 Transfer (prenos)
- Cyber insurance (krytie min. {{INSURANCE_MIN}})
- Outsourcing na dodávateľa s DPA + SCC
- Zmluvy so SLA a penalties

### 5.3 Accept (akceptácia)
Formálne rozhodnutie, že riziko je v rámci apetítu subjektu. Zdokumentovať:
- Kto akceptoval a na akej úrovni
- Dôvod akceptácie
- Kompenzačné opatrenia (ak existujú)
- Re-evaluation termín

### 5.4 Avoid (vyhýbanie)
Zrušenie aktivity, ktorá riziko vytvára (napr. prestať spracúvať citlivé dáta, vymazať zastaralé systémy).

---

## 6. Prepojenie na NIS2 opatrenia (čl. 21 ods. 2)

| NIS2 písm. | Oblasť | Súvisiace riziká v registri |
|------------|--------|------------------------------|
| (a) | Politiky analýzy rizík | Celý register (meta-riziko — ak register chýba) |
| (b) | Riadenie incidentov | K1, K2, K9 |
| (c) | Business continuity | F1, F3, S1, S4 |
| (d) | Supply chain | S1, S2, S3, S4 |
| (e) | Secure development | K5, K10 |
| (f) | Accountability a efektivita | Meta |
| (g) | Cyber hygiene a školenia | P2, P4 |
| (h) | Kryptografia | Implicitne v K1, K2 |
| (i) | HR security, access control, asset mgmt | P1, P3, F2, F4 |
| (j) | MFA, secure comm, VoIP | K2, K7, K8 |

---

## 7. Dashboard metriky

Sledujte mesačne:
- **Celkový počet rizík v registri:** {{TOTAL_RISKS}}
- **Z toho Critical (score 20-25):** {{CRITICAL_COUNT}}
- **High (12-16):** {{HIGH_COUNT}}
- **Open risks s prekročeným termínom:** {{OVERDUE_COUNT}}
- **Akceptovaných rizík:** {{ACCEPTED_COUNT}}
- **Uzavretých za posledný kvartál:** {{CLOSED_QUARTER}}

## 8. Governance

### 8.1 Role a zodpovednosti
- **Risk Owner:** konkrétna osoba zodpovedná za dané riziko (nie tím)
- **Risk Manager / CISO:** vlastník metodiky a dashboardu
- **Vedenie subjektu (čl. 20 NIS2):** schvaľuje apetít a prijíma zvyškové riziká nad akceptovateľnou úrovňou
- **Interný audit:** nezávislá validácia metodiky a záznamov (minimálne ročne)

### 8.2 Schvaľovanie
- Nové riziká: Risk Manager
- Zmena treatmentu Critical/High: vedenie subjektu
- Risk appetite: vedenie subjektu (pri výročnom schválení registra)

### 8.3 Review cyklus
- **Mesačne:** status akčných plánov, nové identifikované riziká
- **Kvartálne:** agregovaný risk report pre vedenie
- **Ročne:** kompletná revízia všetkých rizík, update scoring, scenáre

---

## Príloha A — Risk assessment workshop agenda (4h)

1. **Kick-off (15 min)** — účel, rozsah, metodika
2. **Asset review (30 min)** — potvrdenie kritických aktív
3. **Threat modeling (60 min)** — brainstorming hrozieb per aktívum (STRIDE / kill chain)
4. **Vulnerability review (45 min)** — existujúce CVE, misconfiguration, gaps
5. **Risk scoring (45 min)** — likelihood × impact
6. **Treatment planning (45 min)** — akčné plány, owners, termíny
7. **Wrap-up (30 min)** — schválenie, next review date

---

_Šablóna podľa NIS2 čl. 21 ods. 2 písm. a, ISO/IEC 27005 a ENISA Risk Management framework. Register musí byť živý dokument — minimálne 10-30 aktívnych rizík. Pre subjekty prvého vstupu do NIS2 odporúčame začať so štartovacím zoznamom zo sekcie 4 a prispôsobiť ho v prvých 2 kvartáloch._