Bezpečnosť máme v DNA

Manažér kybernetickej bezpečnosti je odborník zodpovedný za riadenie informačnej bezpečnosti organizácie podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti. Zabezpečuje komplexnú ochranu informačných systémov — od vstupného auditu a GAP analýzy, cez inventarizáciu a klasifikáciu aktív, analýzu dopadov a rizík, až po formalizáciu riadenia bezpečnosti a implementáciu technických opatrení. Externý manažér kybernetickej bezpečnosti je nákladovo efektívna alternatíva pre organizácie, ktoré nemajú vlastného odborníka — nasadenie do 14 dní, bez nákladov na interný nábor.

Viac o službe manažéra kybernetickej bezpečnosti →

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti ukladá prevádzkovateľom základných služieb komplexné povinnosti, ktoré možno zhrnúť do 12 krokov:

1. Orientácia a podpora vedenia — získanie podpory manažmentu pre kybernetickú bezpečnosť
2. Vstupný audit a GAP analýza — zmapovanie skutočného stavu bezpečnosti
3. Inventarizácia a klasifikácia aktív — identifikácia toho, čo chránime
4. Analýza dopadov a rizík — vyhodnotenie, čo sa stane ak zlyhá kľúčový systém
5. Formalizácia riadenia bezpečnosti — zavedenie systematického prístupu
6. Technické opatrenia podľa zákona — zabezpečenie infraštruktúry
7. Biznis kontinuita — plány pre prípad výpadku
8. Riešenie kybernetického incidentu — kto robí čo, keď sa niečo pokazí
9. Školenia a riadenie dodávateľov — ľudia ako prvá línia obrany
10. OT bezpečnosť — ochrana prevádzkových technológií
11. Príprava na audit — dokumentácia a pripravenosť
12. Vyhodnotenie a stratégia — kontinuálne zlepšovanie

Prečítajte si podrobný popis každého kroku na našom blogu →

NIS2 (smernica EÚ 2022/2555) je európska smernica o kybernetickej bezpečnosti, ktorá výrazne rozširuje okruh povinných subjektov. Na Slovensku sa transponuje prostredníctvom zákona č. 366/2024 Z. z., ktorý novelizuje zákon 69/2018. Týka sa stredných a veľkých podnikov v 18 sektoroch — energetika, zdravotníctvo, doprava, vodné hospodárstvo, digitálna infraštruktúra, finančný sektor, verejná správa a ďalšie. Novinkou je aj zavedenie zodpovednosti štatutárnych orgánov za kybernetickú bezpečnosť a výrazne vyššie pokuty — až do 10 000 000 € alebo 2% celosvetového obratu.

Vyhláška 227/2025 Z. z. nadobudla účinnosť 1. septembra 2025 a nahradila doterajšiu vyhlášku č. 362/2018 Z. z. Predstavuje zásadnú zmenu prístupu — namiesto checklistu kladie dôraz na riadenie rizík. Kľúčové novinky: povinná segmentácia siete do bezpečnostných zón, viacfaktorová autentifikácia pre privilegované účty, nepretržitý monitoring bezpečnostných udalostí s definovanými reakčnými časmi, a minimálna frekvencia analýzy rizík raz ročne (pre kritickú infraštruktúru každých 6 mesiacov). Prevádzkovatelia zapísaní pred 31.12.2024 majú čas na implementáciu do 31.12.2026.

Podrobný rozbor vyhlášky 227/2025 →

Vyhláška 226/2025 Z. z. zavádza jasné pravidlá hlásenia kybernetických incidentov. Definuje identifikačné kritériá závažného narušenia fungovania, obsahové náležitosti hlásenia a povinnosti pri nahlasovaní kybernetických hrozieb a zraniteľností. Hlásenie prebieha cez Jednotný informačný systém kybernetickej bezpečnosti (JISKB) Národného bezpečnostného úradu. Ignorovanie povinností môže znamenať pokutu až do 10 000 000 €. Organizácia musí mať pripravený interný proces — kto zodpovedá za identifikáciu incidentu, kto hlási, v akej lehote a čo musí hlásenie obsahovať.

Kompletný sprievodca hlásením incidentov →

Audit kybernetickej bezpečnosti je systematické posúdenie stavu ochrany informačných systémov organizácie. Zahŕňa posúdenie súladu s legislatívou (zákon 69/2018, NIS2, vyhláška 227/2025), analýzu rizík, kontrolu bezpečnostnej dokumentácie, testovanie technických opatrení a hodnotenie procesov riadenia incidentov. Výstupom je správa s konkrétnymi zisteniami, odporúčaniami a harmonogramom nápravných opatrení. Audit vykonáva certifikovaný audítor (CISA, ISO 27001 Lead Auditor) a mal by sa opakovať minimálne raz za dva roky, alebo po každej významnej zmene v infraštruktúre.

Viac o auditných službách →

Externý tím prináša nezávislý pohľad, medzinárodné certifikácie (CISA, CISM, CISSP, CEH, CDPSE, GICSP), skúsenosti z viac ako 200 projektov naprieč 8 odvetviami a okamžitú dostupnosť bez nákladov na interný nábor a vzdelávanie. Cyllium ako skupina spoločností ponúka komplexné pokrytie — od nezávislého auditu a expertného poradenstva, cez implementáciu bezpečnostných technológií (EDR, SIEM, IAM), až po externého manažéra kybernetickej bezpečnosti a strategické riadenie IT. Pre väčšinu organizácií je to najefektívnejšie riešenie, pretože získate prístup k tímu 6 certifikovaných manažérov kybernetickej bezpečnosti s 22+ rokmi praxe.

Dohodnite si bezplatnú konzultáciu →

Cyllium ponúka tri úrovne služby externého manažéra kybernetickej bezpečnosti: Minimal (reaktívny prístup, 2 hodiny mesačne) pre organizácie so základnými potrebami, Standard (aktívny prístup, 8 hodín mesačne) pre organizácie vyžadujúce pravidelnú správu bezpečnosti, a Optimal (proaktívny prístup, 16 hodín mesačne) pre organizácie s vyššími nárokmi na bezpečnosť. Reakcia do 24 hodín na všetkých úrovniach, extras fakturované osobitne. Konkrétne ceny na vyžiadanie — kontaktujte nás pre bezplatnú konzultáciu.

OT (Operational Technology) bezpečnosť sa zameriava na ochranu priemyselných riadiacich systémov — SCADA, ICS, PLC a IoT zariadení, ktoré riadia fyzické procesy v energetike, vodárenstve, výrobe a doprave. Na rozdiel od IT systémov, kde útok ohrozuje dáta, útok na OT systémy môže ohroziť ľudské životy a fyzickú bezpečnosť. Vyhláška 227/2025 explicitne zahŕňa OT systémy do rozsahu bezpečnostných opatrení. Cyllium disponuje certifikáciami GICSP a ISA/IEC 62443, ktoré sú špecifické pre priemyselnú kybernetickú bezpečnosť.

Viac o technologických službách →

DORA (Digital Operational Resilience Act) je nariadenie EÚ, ktoré stanovuje jednotné požiadavky na digitálnu odolnosť finančných inštitúcií — bánk, poisťovní, investičných spoločností a poskytovateľov kritických IT služieb pre finančný sektor. Vyžaduje komplexné riadenie IT rizík, testovanie digitálnej odolnosti, správu incidentov, riadenie rizík tretích strán a zdieľanie informácií o kybernetických hrozbách. DORA je priamo účinné nariadenie — nevyžaduje transpozíciu a vzťahuje sa na všetky finančné subjekty v EÚ.

Viac o expertných službách →