Ryzyko ICT

12 lutego 2026 • Autor: Piotr

Rejestr ryzyk ICT – jak zrobić go dobrze (i nie zwariować)

Rejestr ryzyk to nie dokument regulacyjny do szuflady. To żywe narzędzie zarządzania, które pomaga identyfikować, oceniać i łagodzić zagrożenia, zanim staną się incydentami.

Dlaczego rejestr ryzyk (i dlaczego nie może być martwy)

W większości organizacji rejestr ryzyk powstaje pod presją audytu lub wymagań regulacyjnych (DORA, ISO 27001, NIS2). Problem: po stworzeniu ląduje w SharePoint i nikt go nie aktualizuje przez rok. Rezultat: dokument oderwany od rzeczywistości, który nie pomaga w podejmowaniu decyzji.

Dobrze zrobiony rejestr ryzyk:

Priorytetyzuje działania: Wiesz, co zrobić najpierw i gdzie dać budżet.
Uzasadnia inwestycje: "Wdrożyć EDR" → "ryzyko ransomware jest wysokie, koszt zabezpieczenia 40 tys. zł, potencjalna strata 800 tys. zł".
Ułatwia rozmowę z zarządem: Lista 5 najważniejszych ryzyk, jasne wskaźniki i konkretne decyzje.

❌ Antywzorzec: Rejestr martwy

50 ryzyk o tej samej wadze, ogólniki ("ryzyko cyberataku"), brak właścicieli, ostatnia aktualizacja 18 miesięcy temu, nikt nie wie gdzie leży plik. Zero wartości biznesowej.

Anatomia ryzyka — co musi zawierać każdy wpis

Każdy wpis musi być konkretny: co może się wydarzyć, jak często, jak duży będzie wpływ i kto za to odpowiada. Poniżej skrócony, praktyczny zestaw pól.

ID i nazwa
RISK-ICT-001 — "Ransomware na serwer plików"

Opis ryzyka
Scenariusz: phishing → przejęcie konta → szyfrowanie danych.

Prawdopodobieństwo
Skala 1-5 (np. 4 = prawdopodobne w roku).

Wpływ
Skala 1-5 (np. 5 = przestój krytyczny).

Ocena ryzyka
P × W przed kontrolami oraz po kontrolach.

Kontrole i plan działań
Co już jest? Co wdrażamy? Termin i budżet.

Właściciel
Imię i rola, np. "Kierownik IT".

Termin przeglądu
Kwartalny standard (np. 2026-05-31).

Metodologia oceny ryzyka — prosta matryca 5×5

Ocena jest prosta: prawdopodobieństwo (1-5) × wpływ (1-5) = wynik 1-25. Im wyżej, tym wyższy priorytet działań.

1-5: niskie — akceptuj i monitoruj

6-12: średnie — plan działań

13-19: wysokie — działaj szybko

20-25: krytyczne — natychmiastowe działania

Przykładowe ryzyka — 4 krótkie scenariusze

Krótka lista startowa. Dopasuj do swoich systemów i dostawców.

Ransomware na serwer plików
Wysokie ryzyko, kluczowe kontrole: EDR, kopie offline, MFA dla adminów.

Brak planu odtworzeniowego
Ryzyko długiego przestoju. Działania: RTO/RPO, testy odtworzeń.

Krytyczny dostawca bez SLA
Ryzyko przestoju i braku wsparcia. Działania: umowa, eskalacja, plan wyjścia.

Phishing i przejęcie konta
Średnio-wysokie ryzyko. Działania: MFA, szkolenia, filtrowanie poczty.

Cykl życia ryzyka — od identyfikacji do zamknięcia

Ryzyko to proces. W praktyce wystarczą cztery kroki i regularny rytm.

1. Identyfikuj
Incydenty, audyty, zmiany, nowe systemy i dostawcy.

2. Oceń
Prawdopodobieństwo × wpływ, przed i po kontrolach.

3. Działaj
Plan, właściciel, termin i budżet.

4. Przeglądaj
Kwartalnie + po każdym większym incydencie.

Narzędzia — prosto i adekwatnie do skali

Wybierz narzędzie, które pasuje do wielkości organizacji. Najważniejsze to regularna aktualizacja, nie „idealny system”.

Arkusz (Excel / Google)

Start i małe zespoły. Szybko, bez kosztów, ale pilnuj wersji i terminów przeglądu.

Listy M365 / SharePoint

Średnia skala: uprawnienia, historia zmian, przypomnienia i widok dla zarządu.

System zgłoszeń / GRC

Duża skala: integracja z incydentami i zmianami, obieg pracy, raporty dla audytu.

Typowe błędy (i jak ich unikać)

Widziałem dziesiątki rejestrów ryzyk. Oto powtarzające się problemy, które sprawiają, że rejestr jest martwy lub bezużyteczny.

❌ Zbyt ogólne opisy

Zamiast "ryzyko cyberataku" wpisz scenariusz: "phishing → przejęcie konta → dostęp do danych".

❌ Brak właścicieli

Każde ryzyko musi mieć konkretnego właściciela i termin przeglądu.

❌ Wszystko "wysokie"

Bez priorytetów nie ma działania. Większość ryzyk powinna być średnia.

❌ Brak aktualizacji

Rejestr musi żyć: kwartalny przegląd i aktualizacja po incydentach.

Integracja z procesami IT — rejestr ryzyk jako hub

Rejestr ryzyk powinien być spięty z codziennymi procesami IT.

🔗 Incydenty

Po P1/P2 aktualizuj ryzyko, dodaj wnioski i korekty oceny.

🔗 Zmiany

Nowy system lub dostawca = nowe ryzyko i wpis do rejestru.

🔗 Zgodność

Rejestr jest dowodem systematycznego zarządzania ryzykiem w audycie.

Szablon rejestru ryzyk — minimum

Minimalny zestaw kolumn, który wystarcza w większości organizacji.

📋 Kolumny rejestru ryzyk

            ID | Nazwa ryzyka | Opis | Prawdopodobieństwo (1-5) | Wpływ (1-5) | Ocena ryzyka | Kontrole | Plan działań | Właściciel | Status | Termin przeglądu | Data aktualizacji | Uwagi
          

Format daty: YYYY-MM-DD (sortowanie)
Status: Nowe / W realizacji / Zakończone / Zarchiwizowane
Kolory: 1-5 niskie, 6-12 średnie, 13-25 wysokie.

Skrót dla zarządu — 1 slajd kwartalnie

Zarząd potrzebuje krótkiej informacji: co jest najważniejsze i co wymaga decyzji.

Top 5 ryzyk z oceną i właścicielem
Trend: ile ryzyk wysokich vs poprzedni kwartał
Postęp działań: % zrealizowanych / opóźnionych
Decyzje do zatwierdzenia (budżet, polityki)

Przegląd kwartalny — krótka checklista

Spotkanie kwartalne nie musi być długie. Wystarczy przejść przez poniższe punkty.

✅ Przegląd ryzyk wysokich
Czy oceny się zmieniły? Czy działania idą zgodnie z planem?

✅ Nowe ryzyka
Zmiany, nowi dostawcy, nowe systemy, incydenty.

✅ Zamknięcia i archiwum
Ryzyka nieaktualne lub zredukowane do akceptowalnego poziomu.

✅ Decyzje budżetowe
Co wymaga finansowania w kolejnym kwartale?

Checklista — czy zarządzanie ryzykiem ICT jest dojrzałe?

Zaznacz punkty, które już realizujesz. Jeśli masz ≥80% zaznaczone — gratulacje, masz dojrzałe zarządzanie ryzykiem. Jeśli <50% — czas na systematyzację.

Twój poziom dojrzałości zarządzania ryzykiem

0/12

Rozpocznij ocenę

📋 Podstawy rejestru

Rejestr ryzyk ICT istnieje i był aktualizowany w ostatnich 3 miesiącach Każde ryzyko ma właściciela i termin przeglądu Ocena ryzyka = prawdopodobieństwo × wpływ (przed i po kontrolach)

🎯 Działania i przeglądy

Dla ryzyk wysokich istnieje plan działań z terminem i budżetem Postęp działań jest monitorowany (status, opóźnienia) Kwartalny przegląd rejestru jest stałym rytmem Po incydencie P1/P2 rejestr jest aktualizowany Top 5 ryzyk jest raportowane kwartalnie

🔗 Integracja i narzędzia

Nowe systemy i dostawcy automatycznie trafiają do rejestru Dostawcy krytyczni mają osobne wpisy ryzyka Rejestr jest dostępny i edytowalny (nie jako PDF w mailu) Rejestr jest wykorzystywany podczas audytów i przeglądów zgodności

Interpretacja wyniku:

10-12 zaznaczonych (83-100%): Dojrzałe zarządzanie ryzykiem, systematyczny proces.
7-9 zaznaczonych (58-75%): Solidne podstawy, kilka luk do uzupełnienia.
4-6 zaznaczonych (33-50%): Rejestr działa, ale nieregularnie. Priorytet: przeglądy i plan działań.
<4 zaznaczone (<33%): Zarządzanie ryzykiem chaotyczne lub nieistniejące.