NIS2: čo to znamená pre slovenské firmy v praxi

admin

Slovenská výrobná firma. Osemdesiattri zamestnancov, obrat 14 miliónov eur, dodáva komponenty pre automobilový priemysel. Od januára 2025 patrí pod zákon o kybernetickej bezpečnosti. Registrovala sa na NBÚ? Nie. Menovala manažéra kybernetickej bezpečnosti? Nie. Vykonala povinný audit? Nie. Vie o tom? Sotva. Toto nie je výnimočný prípad — je to slovenská štatistická väčšina. A práve na ňu mieri tento článok.

NIS2 na Slovensku: smernica sa stala zákonom

NIS2 je európska smernica — ale na Slovensku ju neaplikujete priamo. Aplikujete zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení neskorších predpisov, ktorý NIS2 transponuje do slovenského právneho poriadku. Novelizovaná verzia zákona je účinná od 1. januára 2025.

Prečo je to dôležité? Lebo zákon o KB obsahuje niektoré slovensky-špecifické požiadavky, ktoré v samotnej smernici NIS2 nie sú explicitne: konkrétne typy povinností pre certifikáciu manažéra KB, presné lehoty auditov, požiadavky na formát hlásení incidentov pre NBÚ a procesné pravidlá registrácie. Nestačí čítať text smernice — musíte sledovať slovenský zákon a vykonávacie predpisy.

K zákonu sa navyše očakáva Vyhláška o bezpečnostných opatreniach — podrobný technický predpis, ktorý špecifikuje konkrétne požiadavky na bezpečnostné opatrenia. Jej plná účinnosť sa predpokladá od 1. júla 2025. Organizácie, ktoré čakajú na jej publikáciu pred začatím implementácie, stratia drahocenný čas.

NIS2 zákon o kybernetickej bezpečnosti Slovensko
Na Slovensku neaplikujete NIS2 priamo — aplikujete zákon o kybernetickej bezpečnosti, ktorý ju transponuje.

Krok 1: Samoidentifikácia — patrím pod zákon?

Zákon o KB nezaraďuje organizácie automaticky — každá organizácia musí sama posúdiť, či patrí do rozsahu zákona. Toto sa nazýva samoidentifikácia a je to prvý a najkritickejší krok. Ak sa organizácia nesprávne vyhodnotí ako “mimo rozsahu” a regulátor neskôr zistí opak, čelí sankciám nielen za nesúlad, ale aj za nerealizovanú registráciu.

Samoidentifikácia prebieha podľa dvoch kritérií:

Kritérium 1: Sektor

Zákon vychhádzajúc z NIS2 pokrýva 18 sektorov rozdelených do dvoch príloh. Príloha 1 (základné subjekty) — energia, doprava, bankovníctvo a finančná infraštruktúra, zdravotníctvo, pitná a odpadová voda, digitálna infraštruktúra, riadenie IKT služieb, verejná správa, vesmír. Príloha 2 (dôležité subjekty) — poštové a kuriérske služby, odpadové hospodárstvo, výroba (zdravotnícke pomôcky, počítače, elektronika, strojárstvo, dopravné prostriedky), potraviny, chemický priemysel, výskum, digitálni poskytovatelia.

Kritérium 2: Veľkosť

Pre väčšinu sektorov platí veľkostná podmienka: organizácia musí byť stredným podnikom (50+ zamestnancov alebo ročný obrat / bilančná suma 10+ mil. €) alebo väčšia. Výnimky existujú — niektoré typy subjektov podliehajú zákonu bez ohľadu na veľkosť: prevádzkovatelia kritickej infraštruktúry, poskytovatelia DNS, registre TLD, poskytovatelia cloudových služieb, dátové centrá a niektoré ďalšie kategórie.

Praktický test samoidentifikácie: Ste v niektorom zo sektorov z prílohy 1 alebo 2? Ak áno — máte 50+ zamestnancov alebo obrat/bilanciu 10+ mil. €? Ak áno na obe otázky — zákon sa na vás vzťahuje.

Samoidentifikácia NIS2 slovenské firmy
Samoidentifikácia je vaša zodpovednosť — nie NBÚ vás zaradí, vy sa musíte zaradiť sami.

Krok 2: Registrácia na NBÚ

Po samoidentifikácii nasleduje povinná registrácia na Národnom bezpečnostnom úrade (NBÚ) prostredníctvom Ústredného portálu verejnej správy (slovensko.sk).

Termíny:

  • Subjekty existujúce pred 1. 1. 2025 mali povinnosť registrovať sa do 2. marca 2025 (60 dní od účinnosti novely zákona)
  • Nové subjekty, ktoré začnú vykonávať regulovanú činnosť po 1. 1. 2025, majú 60 dní od začatia činnosti
  • Zmena zaradenia (napr. organizácia dorastie do veľkostného prahu): 60 dní od vzniku zmeny

Ak ste patril pod zákon od januára 2025 a registráciu ste nestihli do marca — ste formálne v omeškaní. NBÚ zatiaľ aktívne nesankcionuje oneskorené registrácie, ale registrácia ostáva povinná a je predpokladom pre ďalšie kroky. Urobte to čo najskôr.

Čo registrácia obsahuje: identifikačné údaje organizácie, zaradenie do kategórie (základný / dôležitý subjekt), kontakty na osobu zodpovednú za kybernetickú bezpečnosť, sektory a typy regulovaných činností. Registrácia nie je jednorazová — pri zmene údajov ste povinný ich aktualizovať.

Krok 3: Menovanie manažéra kybernetickej bezpečnosti

Zákon o KB vyžaduje, aby každý povinný subjekt menoval manažéra kybernetickej bezpečnosti. Táto osoba zodpovedá za riadenie bezpečnosti informácií a kybernetickej bezpečnosti v organizácii a je kontaktným bodom pre NBÚ.

Kľúčové pravidlá:

  • Môže byť zamestnanec aj externý — zákon nevyžaduje interného FTE. Mnohé menšie organizácie využívajú externého manažéra KB ako službu (vCISO).
  • Musí mať odborné vzdelanie alebo prax — zákon stanovuje požiadavky na odbornú spôsobilosť; konkrétne parametre upresňuje vyhláška.
  • Nesmie byť v konflikte záujmov — manažér KB nesmie byť súčasne osobou zodpovednou za prevádzku systémov, ktoré audituje.
  • Musí mať priamy prístup k vedeniu — zákon vyžaduje, aby mal manažér KB možnosť eskalovať bezpečnostné záležitosti priamo k štatutárnym orgánom.

Pre mnohé slovenské SME je externý manažér KB (mesačná paušálna odmena 800–2 500 €) výrazne efektívnejší ako nový interný zamestnanec s nákladmi 60 000+ € ročne.

Krok 4: Analýza rizík a implementácia bezpečnostných opatrení

Po registrácii má organizácia 12 mesiacov na implementáciu bezpečnostných opatrení. Zákon definuje kategórie opatrení, vyhláška (od 1. 7. 2025) upresní konkrétne technické a organizačné požiadavky.

Minimálny základ, ktorý zákon vyžaduje:

  • Analýza rizík — formalizovaný proces hodnotenia rizík pre sieťové a informačné systémy, minimálne raz ročne alebo pri významnej zmene
  • Bezpečnostná politika — zdokumentovaná a vedením schválená politika informačnej bezpečnosti
  • Riadenie prístupov — princíp najmenšieho privilégia, MFA pre kritické systémy, riadenie privilegovaných účtov
  • Zálohovanie a obnova — pravidelné zálohy testované skutočnou obnovou, BCP/DRP plány s definovanými RTO/RPO
  • Bezpečnosť dodávateľského reťazca — hodnotenie bezpečnosti IKT dodávateľov, zmluvné záväzky
  • Školenia zamestnancov — pravidelné, dokumentované, pokrývajúce phishing, bezpečnostné politiky, hlásenie incidentov
  • Monitoring a detekcia — zavedenie nástrojov na detekciu anomálií a bezpečnostných udalostí
  • Kryptografia — politika šifrovania pre dáta v pokoji aj pri prenose
Implementácia bezpečnostných opatrení NIS2 slovenská firma
12 mesiacov od registrácie na implementáciu. Pre väčšinu organizácií je to ambiciózny, nie komfortný termín.

Krok 5: Povinný kybernetický audit

Zákon o KB zavádza povinný kybernetický audit pre všetky povinné subjekty. Toto je jedna z najvýznamnejších slovensky-špecifických požiadaviek, ktorá priamo z textu NIS2 smernice nevyplýva takto explicitne.

Pravidlá auditu:

  • Termín prvého auditu: do 2 rokov od registrácie na NBÚ
  • Periodicita: každé 2 roky po prvom audite, alebo pri významnej zmene systémov či bezpečnostného prostredia
  • Kto vykonáva: certifikovaný audítor kybernetickej bezpečnosti — fyzická alebo právnická osoba certifikovaná NBÚ. Interný zamestnanec toto nemôže vykonať sám.
  • Výstup: správa o výsledkoch auditu, ktorú ste povinní do 30 dní po ukončení auditu predložiť NBÚ
  • Rozsah: overenie implementácie bezpečnostných opatrení, súlad so zákonom a vyhláškou, hodnotenie efektívnosti riadenia rizík

Praktický dopad: organizácia, ktorá sa zaregistruje v roku 2025, bude musieť mať prvý audit hotový do roku 2027. To znie vzdialene — ale implementácia bezpečnostných opatrení, ktoré audit overuje, trvá 6–18 mesiacov. Začať v roku 2026 pred auditom v 2027 je tesné.

Krok 6: Hlásenie incidentov — konkrétny postup

Pri závažnom kybernetickom incidente ste povinní hlásiť NBÚ. Zákon definuje, čo je “závažný incident” — incident, ktorý má alebo môže mať zásadný vplyv na poskytovanie služieb, narúša ich dostupnosť, integritu alebo dôvernosť, alebo môže byť príčinou významných finančných strát.

Postup hlásenia:

  • Počiatočné upozornenie: do 24 hodín od zistenia incidentu — stručná notifikácia s dostupnými informáciami o type incidentu a pravdepodobnom dopade
  • Podrobné hlásenie: do 72 hodín — kompletné hlásenie s prvotnou príčinou, rozsahom, prijatými opatreniami
  • Záverečná správa: do 1 mesiaca — finálna analýza, root cause, prijaté nápravné opatrenia a plán prevencie
  • Kanál: prostredníctvom portálu NBÚ alebo iným spôsobom definovaným NBÚ

Upozornenie pre finančné inštitúcie: ak ste povinný subjekt zároveň podľa NIS2 aj DORA, hlásenie musíte podávať obom regulátorom — NBÚ podľa zákona o KB a NBS podľa DORA — s rôznymi termínmi a formulármi.

Tri slovenské scenáre: ako to vyzerá v praxi

Scenár A: Výrobná firma (stredný podnik, 120 zamestnancov)

Vyrábajú kovové komponenty pre automotive. Obrat 18 mil. €, 120 zamestnancov. Patrí do sektora výroby (príloha 2 — dôležitý subjekt). Čo ich čaká: registrácia na NBÚ → menovanie externého manažéra KB → gap analýza → implementácia opatrení (12 mesiacov) → audit do 2 rokov. Najväčší problém: nemajú interného IT špecialistu, IT outsourcujú. Riešenie: externý vCISO + Asign na správu rizík a dokumentácie.

Scenár B: Nemocnica (regionálna, 280 zamestnancov)

Regionálna nemocnica. Zdravotníctvo patrí do prílohy 1 — základný subjekt, prísnejšie povinnosti. Pridáva sa aj spracovanie citlivých zdravotných dát (GDPR). Nemocnica mala niektoré bezpečnostné opatrenia zavedené ešte pre NIS1 — ale neúplné. Čo robí inak: NIS2 audit overí súlad so zákonom o KB, nie len ISO 27001. Musí zabezpečiť certifikovaného audítora KB (nie len IT audítora).

Scenár C: IT spoločnosť (managed services, 65 zamestnancov)

Poskytujú managed IT services pre 40+ klientov vrátane subjektov v regulovaných sektoroch. Dvojitá expozícia: sami môžu byť povinným subjektom ako poskytovateľ IKT služieb; navyše ich klienti pod NIS2/DORA požadujú bezpečnostné záruky v zmluvách. Zákon o KB teda nezasiahol len ich priamo — zasiahol ich aj cez požiadavky ich vlastných zákazníkov.

Slovenské firmy implementácia NIS2 v praxi
NIS2 nezasiahla len regulované sektory priamo — zasiahla celý dodávateľský ekosystém.

Najčastejšie otázky slovenských firiem

„Nespadáme pod žiadny z 18 sektorov — sme v bezpečí?”
Väčšinou áno. Ale overte si aj nepriamu expozíciu: ak vaši zákazníci sú povinné subjekty, môžu od vás zmluvne požadovať bezpečnostné záruky. NIS2 teda môže dopadnúť na vás aj cez supply chain vašich odberateľov.

„Máme ISO 27001 — stačí to?”
ISO 27001 je silný základ a výrazne skráti cestu k súladu. Ale zákon o KB má špecifické požiadavky navyše: povinná registrácia na NBÚ, menovanie manažéra KB podľa slovenských pravidiel, certifikovaný kybernetický audit každé 2 roky a hlásenie incidentov NBÚ. ISO 27001 toto automaticky nepokrýva.

„Čo ak sme sa nestihli zaregistrovať do marca 2025?”
Zaregistrujte sa čo najskôr. NBÚ zatiaľ aktívne nesankcionuje oneskorené registrácie, ale formálne ste v omeškaní. Registrácia je predpokladom pre všetky ďalšie kroky a NBÚ môže kedykoľvek začať aktívne dohľadové aktivity.

„Koľko to celé bude stáť?”
Závisí od východiskovej situácie. Organizácia so solídnymi základmi (existujúca bezpečnostná politika, aspoň základný IT poriadok) môže celú implementáciu zvládnuť za 15 000–40 000 € vrátane externého manažéra KB a prvého auditu. Organizácia začínajúca od nuly môže rátať s 40 000–100 000 €. V oboch prípadoch — náklady nesúladu (pokuta 7 000 000 € alebo 1,4 % obratu) sú výrazne vyššie.

Záver: okno príležitosti sa zatvára

Slovenský zákon o kybernetickej bezpečnosti je účinný. Registračná lehota pre existujúce subjekty uplynula v marci 2025. NBÚ postupne buduje kapacity pre dohľadové aktivity. Prvé sankcie a kontroly sú otázkou mesiacov, nie rokov.

Organizácie, ktoré začnú dnes, majú ešte čas implementovať opatrenia systematicky — nie v panike pred auditom. Tie, ktoré čakajú na ďalší rok, budú musieť riešiť implementáciu, audit a prípadné nápravné opatrenia paralelne — pod regulačným tlakom a s vyšším rizikom chýb.

Ak neviete, či sa zákon vzťahuje na vašu organizáciu, alebo viete, že áno, ale neviete kde začať — radi vám pomôžeme so samoidentifikáciou, registráciou a plánom implementácie.

Share this post