Slovenská výrobná firma. Osemdesiattri zamestnancov, obrat 14 miliónov eur, dodáva komponenty pre automobilový priemysel. Od januára 2025 patrí pod zákon o kybernetickej bezpečnosti. Registrovala sa na NBÚ? Nie. Menovala manažéra kybernetickej bezpečnosti? Nie. Vykonala povinný audit? Nie. Vie o tom? Sotva. Toto nie je výnimočný prípad — je to slovenská štatistická väčšina. A práve na ňu mieri tento článok.
NIS2 na Slovensku: smernica sa stala zákonom
NIS2 je európska smernica — ale na Slovensku ju neaplikujete priamo. Aplikujete zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení neskorších predpisov, ktorý NIS2 transponuje do slovenského právneho poriadku. Novelizovaná verzia zákona je účinná od 1. januára 2025.
Prečo je to dôležité? Lebo zákon o KB obsahuje niektoré slovensky-špecifické požiadavky, ktoré v samotnej smernici NIS2 nie sú explicitne: konkrétne typy povinností pre certifikáciu manažéra KB, presné lehoty auditov, požiadavky na formát hlásení incidentov pre NBÚ a procesné pravidlá registrácie. Nestačí čítať text smernice — musíte sledovať slovenský zákon a vykonávacie predpisy.
K zákonu sa navyše očakáva Vyhláška o bezpečnostných opatreniach — podrobný technický predpis, ktorý špecifikuje konkrétne požiadavky na bezpečnostné opatrenia. Jej plná účinnosť sa predpokladá od 1. júla 2025. Organizácie, ktoré čakajú na jej publikáciu pred začatím implementácie, stratia drahocenný čas.
Krok 1: Samoidentifikácia — patrím pod zákon?
Zákon o KB nezaraďuje organizácie automaticky — každá organizácia musí sama posúdiť, či patrí do rozsahu zákona. Toto sa nazýva samoidentifikácia a je to prvý a najkritickejší krok. Ak sa organizácia nesprávne vyhodnotí ako “mimo rozsahu” a regulátor neskôr zistí opak, čelí sankciám nielen za nesúlad, ale aj za nerealizovanú registráciu.
Samoidentifikácia prebieha podľa dvoch kritérií:
Kritérium 1: Sektor
Zákon vychhádzajúc z NIS2 pokrýva 18 sektorov rozdelených do dvoch príloh. Príloha 1 (základné subjekty) — energia, doprava, bankovníctvo a finančná infraštruktúra, zdravotníctvo, pitná a odpadová voda, digitálna infraštruktúra, riadenie IKT služieb, verejná správa, vesmír. Príloha 2 (dôležité subjekty) — poštové a kuriérske služby, odpadové hospodárstvo, výroba (zdravotnícke pomôcky, počítače, elektronika, strojárstvo, dopravné prostriedky), potraviny, chemický priemysel, výskum, digitálni poskytovatelia.
Kritérium 2: Veľkosť
Pre väčšinu sektorov platí veľkostná podmienka: organizácia musí byť stredným podnikom (50+ zamestnancov alebo ročný obrat / bilančná suma 10+ mil. €) alebo väčšia. Výnimky existujú — niektoré typy subjektov podliehajú zákonu bez ohľadu na veľkosť: prevádzkovatelia kritickej infraštruktúry, poskytovatelia DNS, registre TLD, poskytovatelia cloudových služieb, dátové centrá a niektoré ďalšie kategórie.
Praktický test samoidentifikácie: Ste v niektorom zo sektorov z prílohy 1 alebo 2? Ak áno — máte 50+ zamestnancov alebo obrat/bilanciu 10+ mil. €? Ak áno na obe otázky — zákon sa na vás vzťahuje.
Krok 2: Registrácia na NBÚ
Po samoidentifikácii nasleduje povinná registrácia na Národnom bezpečnostnom úrade (NBÚ) prostredníctvom Ústredného portálu verejnej správy (slovensko.sk).
Termíny:
- Subjekty existujúce pred 1. 1. 2025 mali povinnosť registrovať sa do 2. marca 2025 (60 dní od účinnosti novely zákona)
- Nové subjekty, ktoré začnú vykonávať regulovanú činnosť po 1. 1. 2025, majú 60 dní od začatia činnosti
- Zmena zaradenia (napr. organizácia dorastie do veľkostného prahu): 60 dní od vzniku zmeny
Ak ste patril pod zákon od januára 2025 a registráciu ste nestihli do marca — ste formálne v omeškaní. NBÚ zatiaľ aktívne nesankcionuje oneskorené registrácie, ale registrácia ostáva povinná a je predpokladom pre ďalšie kroky. Urobte to čo najskôr.
Čo registrácia obsahuje: identifikačné údaje organizácie, zaradenie do kategórie (základný / dôležitý subjekt), kontakty na osobu zodpovednú za kybernetickú bezpečnosť, sektory a typy regulovaných činností. Registrácia nie je jednorazová — pri zmene údajov ste povinný ich aktualizovať.
Krok 3: Menovanie manažéra kybernetickej bezpečnosti
Zákon o KB vyžaduje, aby každý povinný subjekt menoval manažéra kybernetickej bezpečnosti. Táto osoba zodpovedá za riadenie bezpečnosti informácií a kybernetickej bezpečnosti v organizácii a je kontaktným bodom pre NBÚ.
Kľúčové pravidlá:
- Môže byť zamestnanec aj externý — zákon nevyžaduje interného FTE. Mnohé menšie organizácie využívajú externého manažéra KB ako službu (vCISO).
- Musí mať odborné vzdelanie alebo prax — zákon stanovuje požiadavky na odbornú spôsobilosť; konkrétne parametre upresňuje vyhláška.
- Nesmie byť v konflikte záujmov — manažér KB nesmie byť súčasne osobou zodpovednou za prevádzku systémov, ktoré audituje.
- Musí mať priamy prístup k vedeniu — zákon vyžaduje, aby mal manažér KB možnosť eskalovať bezpečnostné záležitosti priamo k štatutárnym orgánom.
Pre mnohé slovenské SME je externý manažér KB (mesačná paušálna odmena 800–2 500 €) výrazne efektívnejší ako nový interný zamestnanec s nákladmi 60 000+ € ročne.
Krok 4: Analýza rizík a implementácia bezpečnostných opatrení
Po registrácii má organizácia 12 mesiacov na implementáciu bezpečnostných opatrení. Zákon definuje kategórie opatrení, vyhláška (od 1. 7. 2025) upresní konkrétne technické a organizačné požiadavky.
Minimálny základ, ktorý zákon vyžaduje:
- Analýza rizík — formalizovaný proces hodnotenia rizík pre sieťové a informačné systémy, minimálne raz ročne alebo pri významnej zmene
- Bezpečnostná politika — zdokumentovaná a vedením schválená politika informačnej bezpečnosti
- Riadenie prístupov — princíp najmenšieho privilégia, MFA pre kritické systémy, riadenie privilegovaných účtov
- Zálohovanie a obnova — pravidelné zálohy testované skutočnou obnovou, BCP/DRP plány s definovanými RTO/RPO
- Bezpečnosť dodávateľského reťazca — hodnotenie bezpečnosti IKT dodávateľov, zmluvné záväzky
- Školenia zamestnancov — pravidelné, dokumentované, pokrývajúce phishing, bezpečnostné politiky, hlásenie incidentov
- Monitoring a detekcia — zavedenie nástrojov na detekciu anomálií a bezpečnostných udalostí
- Kryptografia — politika šifrovania pre dáta v pokoji aj pri prenose
Krok 5: Povinný kybernetický audit
Zákon o KB zavádza povinný kybernetický audit pre všetky povinné subjekty. Toto je jedna z najvýznamnejších slovensky-špecifických požiadaviek, ktorá priamo z textu NIS2 smernice nevyplýva takto explicitne.
Pravidlá auditu:
- Termín prvého auditu: do 2 rokov od registrácie na NBÚ
- Periodicita: každé 2 roky po prvom audite, alebo pri významnej zmene systémov či bezpečnostného prostredia
- Kto vykonáva: certifikovaný audítor kybernetickej bezpečnosti — fyzická alebo právnická osoba certifikovaná NBÚ. Interný zamestnanec toto nemôže vykonať sám.
- Výstup: správa o výsledkoch auditu, ktorú ste povinní do 30 dní po ukončení auditu predložiť NBÚ
- Rozsah: overenie implementácie bezpečnostných opatrení, súlad so zákonom a vyhláškou, hodnotenie efektívnosti riadenia rizík
Praktický dopad: organizácia, ktorá sa zaregistruje v roku 2025, bude musieť mať prvý audit hotový do roku 2027. To znie vzdialene — ale implementácia bezpečnostných opatrení, ktoré audit overuje, trvá 6–18 mesiacov. Začať v roku 2026 pred auditom v 2027 je tesné.
Krok 6: Hlásenie incidentov — konkrétny postup
Pri závažnom kybernetickom incidente ste povinní hlásiť NBÚ. Zákon definuje, čo je “závažný incident” — incident, ktorý má alebo môže mať zásadný vplyv na poskytovanie služieb, narúša ich dostupnosť, integritu alebo dôvernosť, alebo môže byť príčinou významných finančných strát.
Postup hlásenia:
- Počiatočné upozornenie: do 24 hodín od zistenia incidentu — stručná notifikácia s dostupnými informáciami o type incidentu a pravdepodobnom dopade
- Podrobné hlásenie: do 72 hodín — kompletné hlásenie s prvotnou príčinou, rozsahom, prijatými opatreniami
- Záverečná správa: do 1 mesiaca — finálna analýza, root cause, prijaté nápravné opatrenia a plán prevencie
- Kanál: prostredníctvom portálu NBÚ alebo iným spôsobom definovaným NBÚ
Upozornenie pre finančné inštitúcie: ak ste povinný subjekt zároveň podľa NIS2 aj DORA, hlásenie musíte podávať obom regulátorom — NBÚ podľa zákona o KB a NBS podľa DORA — s rôznymi termínmi a formulármi.
Tri slovenské scenáre: ako to vyzerá v praxi
Scenár A: Výrobná firma (stredný podnik, 120 zamestnancov)
Vyrábajú kovové komponenty pre automotive. Obrat 18 mil. €, 120 zamestnancov. Patrí do sektora výroby (príloha 2 — dôležitý subjekt). Čo ich čaká: registrácia na NBÚ → menovanie externého manažéra KB → gap analýza → implementácia opatrení (12 mesiacov) → audit do 2 rokov. Najväčší problém: nemajú interného IT špecialistu, IT outsourcujú. Riešenie: externý vCISO + Asign na správu rizík a dokumentácie.
Scenár B: Nemocnica (regionálna, 280 zamestnancov)
Regionálna nemocnica. Zdravotníctvo patrí do prílohy 1 — základný subjekt, prísnejšie povinnosti. Pridáva sa aj spracovanie citlivých zdravotných dát (GDPR). Nemocnica mala niektoré bezpečnostné opatrenia zavedené ešte pre NIS1 — ale neúplné. Čo robí inak: NIS2 audit overí súlad so zákonom o KB, nie len ISO 27001. Musí zabezpečiť certifikovaného audítora KB (nie len IT audítora).
Scenár C: IT spoločnosť (managed services, 65 zamestnancov)
Poskytujú managed IT services pre 40+ klientov vrátane subjektov v regulovaných sektoroch. Dvojitá expozícia: sami môžu byť povinným subjektom ako poskytovateľ IKT služieb; navyše ich klienti pod NIS2/DORA požadujú bezpečnostné záruky v zmluvách. Zákon o KB teda nezasiahol len ich priamo — zasiahol ich aj cez požiadavky ich vlastných zákazníkov.
Najčastejšie otázky slovenských firiem
„Nespadáme pod žiadny z 18 sektorov — sme v bezpečí?”
Väčšinou áno. Ale overte si aj nepriamu expozíciu: ak vaši zákazníci sú povinné subjekty, môžu od vás zmluvne požadovať bezpečnostné záruky. NIS2 teda môže dopadnúť na vás aj cez supply chain vašich odberateľov.
„Máme ISO 27001 — stačí to?”
ISO 27001 je silný základ a výrazne skráti cestu k súladu. Ale zákon o KB má špecifické požiadavky navyše: povinná registrácia na NBÚ, menovanie manažéra KB podľa slovenských pravidiel, certifikovaný kybernetický audit každé 2 roky a hlásenie incidentov NBÚ. ISO 27001 toto automaticky nepokrýva.
„Čo ak sme sa nestihli zaregistrovať do marca 2025?”
Zaregistrujte sa čo najskôr. NBÚ zatiaľ aktívne nesankcionuje oneskorené registrácie, ale formálne ste v omeškaní. Registrácia je predpokladom pre všetky ďalšie kroky a NBÚ môže kedykoľvek začať aktívne dohľadové aktivity.
„Koľko to celé bude stáť?”
Závisí od východiskovej situácie. Organizácia so solídnymi základmi (existujúca bezpečnostná politika, aspoň základný IT poriadok) môže celú implementáciu zvládnuť za 15 000–40 000 € vrátane externého manažéra KB a prvého auditu. Organizácia začínajúca od nuly môže rátať s 40 000–100 000 €. V oboch prípadoch — náklady nesúladu (pokuta 7 000 000 € alebo 1,4 % obratu) sú výrazne vyššie.
Záver: okno príležitosti sa zatvára
Slovenský zákon o kybernetickej bezpečnosti je účinný. Registračná lehota pre existujúce subjekty uplynula v marci 2025. NBÚ postupne buduje kapacity pre dohľadové aktivity. Prvé sankcie a kontroly sú otázkou mesiacov, nie rokov.
Organizácie, ktoré začnú dnes, majú ešte čas implementovať opatrenia systematicky — nie v panike pred auditom. Tie, ktoré čakajú na ďalší rok, budú musieť riešiť implementáciu, audit a prípadné nápravné opatrenia paralelne — pod regulačným tlakom a s vyšším rizikom chýb.
Ak neviete, či sa zákon vzťahuje na vašu organizáciu, alebo viete, že áno, ale neviete kde začať — radi vám pomôžeme so samoidentifikáciou, registráciou a plánom implementácie.