Zašto je to važno
Procjena rizika je polazna točka svakog rada na usklađenosti. Ne možete se zaštititi od rizika koje niste identificirali i ne možete učinkovito rasporediti resurse bez razumijevanja koji rizici su najvažniji. Svaka velika regulativa — GDPR, NIS2, AML, Zakon o kibernetičkoj sigurnosti — zahtijeva neki oblik procjene rizika.
Postupak procjene rizika
1. Identificirajte rizike
- Brainstorming s dionicima iz svih odjela
- Povijesna analiza prošlih incidenata i gotovo-incidenata
- Regulatorni zahtjevi — što zahtijevaju primjenjivi zakoni?
- Industrijska usporedba — koje prijetnje su česte u vašem sektoru?
- Inventar imovine — što pokušavate zaštititi?
2. Analizirajte rizike
Za svaki identificirani rizik, procijenite:
- Vjerojatnost — koliko je vjerojatno da će se rizik ostvariti?
- Utjecaj — koliko bi posljedice bile ozbiljne?
- Postojeće kontrole — koje mjere su već uspostavljene?
3. Procijenite i prioritizirajte
Koristite matricu rizika za raspoređivanje rizika po vjerojatnosti i utjecaju:
| Zanemariv | Mali | Umjeren | Velik | Katastrofalan | |
|---|---|---|---|---|---|
| Gotovo siguran | Srednji | Visok | Visok | Kritičan | Kritičan |
| Vjerojatan | Nizak | Srednji | Visok | Visok | Kritičan |
| Moguć | Nizak | Srednji | Srednji | Visok | Visok |
| Malo vjerojatan | Nizak | Nizak | Srednji | Srednji | Visok |
| Rijedak | Nizak | Nizak | Nizak | Srednji | Srednji |
4. Tretirajte rizike
Za svaki rizik, odaberite strategiju:
- Ublažiti — implementirati kontrole za smanjenje vjerojatnosti ili utjecaja
- Prihvatiti — priznati rizik i pratiti (za niskoprioritete)
- Prenijeti — prebaciti rizik na treću stranu (osiguranje)
- Izbjegnuti — prekinuti aktivnost koja stvara rizik
5. Dokumentirajte i pratite
- Evidentirajte procjenu u registru rizika
- Dodijelite vlasnike rizika
- Definirajte učestalost pregleda
- Ažurirajte kada se okolnosti promijene
Vrste procjena rizika
| Vrsta | Fokus | Zahtijeva |
|---|---|---|
| DPIA | Rizici zaštite podataka | GDPR Članak 35 |
| Procjena kibernetičke sigurnosti | IT i informacijska sigurnost | NIS2, ISO 27001 |
| AML procjena rizika | Pranje novca i financiranje terorizma | ZSPNFT, FATF |
| Procjena usklađenosti | Regulatorni rizici | ISO 37301 |
Ključna regulativa
- GDPR Članak 35 — DPIA za visokorizičnu obradu
- NIS2 Članak 21 — mjere kibernetičke sigurnosti temeljene na riziku
- Zakon o kibernetičkoj sigurnosti — hrvatsko zakonodavstvo
- ISO 31000:2018 — smjernice za upravljanje rizicima