Audit kybernetickej bezpečnosti je zo zákona povinný pre každého prevádzkovateľa základnej služby. Väčšina organizácií ho vníma ako regulatórnu povinnosť — niečo, čo treba absolvovať v lehote 24 mesiacov od zápisu do registra PZS a potom opakovať každé dva roky. Ale audit môže byť oveľa viac než len formalita. Rozdiel medzi auditom, ktorý vám reálne pomôže, a auditom, ktorý len vyplní povinnosť, robí kvalita audítora.
Čo vlastne audit kybernetickej bezpečnosti overuje
Podľa § 29 zákona č. 69/2018 Z. z. a vyhlášky č. 493/2022 Z. z. je cieľom auditu overiť plnenie povinností podľa zákona a posúdiť zhodu prijatých bezpečnostných opatrení s požiadavkami, ktoré sa vzťahujú na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby.
V praxi to znamená, že audítor preverí, či má organizácia nastavené bezpečnostné opatrenia podľa vyhlášky č. 227/2025 Z. z., či tieto opatrenia reálne fungujú, či existuje a je aktuálna bezpečnostná dokumentácia, či sú zavedené procesy na riadenie incidentov a rizík a či organizácia plní všetky zákonné povinnosti voči NBÚ.
Rozsah auditu nie je pevne daný — je to subjektívne zvolená veličina, ktorú musí audítor vedieť obhájiť. A práve tu sa začína rozhodovať, akú hodnotu vám audit prinesie.
Formálny audit vs. audit s pridanou hodnotou
Predstavte si dva scenáre.
Scenár A: Audítor príde, prejde si dokumentáciu, vyplní checklist, napíše správu so zisteniami typu „chýba dokument X“ alebo „politika Y nie je aktualizovaná“. Správa splní formálne náležitosti, organizácia dostane zoznam nedostatkov a audit je za ňou. O dva roky sa to celé zopakuje.
Scenár B: Audítor príde s hlbokým porozumením nielen legislatívy, ale aj reálneho fungovania bezpečnosti v organizáciách porovnateľného typu. Nehodnotí len, či dokument existuje — hodnotí, či dáva zmysel v kontexte vašej infraštruktúry a reálnych rizík. Identifikuje nielen formálne nedostatky, ale aj skryté riziká, ktoré by sa pri checklist prístupe nikdy neobjavili. Odporúčania nie sú generické „implementujte opatrenie podľa § X“ — sú konkrétne, prioritizované a zohľadňujú vaše reálne možnosti.
Rozdiel medzi scenárom A a B nie je v tom, čo zákon vyžaduje. Zákon vyžaduje to isté od oboch. Rozdiel je v tom, čo audítor vie, videl a dokáže vám dať navyše.
Prečo skúsenosť audítora rozhoduje
Audit kybernetickej bezpečnosti nie je matematická úloha s jedným správnym výsledkom. Je to expertné posúdenie, ktoré závisí od schopnosti audítora porozumieť kontextu — vášmu sektoru, veľkosti organizácie, typu infraštruktúry a reálnym hrozbám, ktorým čelíte.
Sektorové skúsenosti menia perspektívu
Nemocnica, mestský úrad a výrobný podnik majú všetky rovnaké zákonné povinnosti. Ale riziká, infraštruktúra a praktické výzvy sú zásadne odlišné.
V zdravotníctve je kritická dostupnosť systémov a ochrana zdravotnej dokumentácie. Medicínske prístroje pripojené do siete predstavujú špecifické bezpečnostné výzvy, ktoré audítor bez skúsenosti zo zdravotníctva jednoducho neidentifikuje. Vo verejnej správe zas narážate na roztrieštené IT prostredie, obmedzenú kapacitu IT oddelení a špecifické požiadavky na elektronické služby a komunikáciu s občanmi. V priemysle je kľúčová ochrana operačných technológií (OT) — výrobných liniek, SCADA systémov, priemyselných riadiacich jednotiek — kde bezpečnostný incident neznamená únik dát, ale zastavenie výroby.
Audítor, ktorý má za sebou desiatky auditov naprieč týmito sektormi, dokáže pri vašom audite identifikovať riziká, o ktorých audítor s obmedzenou skúsenosťou ani nevie, že existujú.
Počet vykonaných auditov sa nedá skrátiť
Každý audit, ktorý audítor vykoná, rozširuje jeho pohľad. Vidí, kde organizácie najčastejšie zlyhávajú. Pozná typické medzery medzi tým, čo je napísané v dokumentácii, a tým, čo sa reálne deje. Vie, ktoré bezpečnostné opatrenia vyzerajú dobre na papieri, ale v praxi nefungujú.
Po stovkách auditov dokáže audítor rozlíšiť, čo je skutočné riziko a čo je len formálny nedostatok. Práve toto rozlíšenie je pre vás ako pre riaditeľa alebo CFO kľúčové — chcete vedieť, čo vás reálne ohrozuje, nie len čo sa odchyľuje od predpísaného znenia.
Tím vs. jednotlivec
Audit kybernetickej bezpečnosti pokrýva široké spektrum oblastí — od sieťovej bezpečnosti a riadenia prístupov cez bezpečnostnú dokumentáciu až po procesy riadenia incidentov a kontinuity činností. Jeden človek, nech je akokoľvek skúsený, nemôže byť expertom na všetko.
Audítorský tím, v ktorom má každý člen inú špecializáciu, dokáže posúdiť každú oblasť na úrovni, akú si zasluží. Jeden člen tímu sa zameriava na technické opatrenia — segmentáciu siete, konfiguráciu firewallov, nastavenie monitoringu. Druhý posudzuje procesnú stránku — dokumentáciu, riadenie rizík, školenia. Tretí prináša sektorovú expertízu. Výsledkom je audit, ktorý nezostane na povrchu v žiadnej z oblastí.
Pri výbere sa preto pýtajte, kto konkrétne bude audit robiť. Nie len meno vedúceho audítora, ale aj zloženie tímu a špecializácie jednotlivých členov.
Na čo sa pýtať pri výbere audítora
Výber audítora kybernetickej bezpečnosti nie je obstarávanie komodity. Nejde len o to nájsť certifikovanú osobu a dohodnúť cenu. Ide o to, koho pustíte do vnútra svojej organizácie a aký pohľad na stav vašej bezpečnosti od neho dostanete.
Certifikácia je základ, nie diferenciátor
Každý audítor kybernetickej bezpečnosti na Slovensku musí byť certifikovaný podľa vyhlášky č. 493/2022 Z. z. prostredníctvom akreditovaného certifikačného orgánu (Kompetenčné a certifikačné centrum kybernetickej bezpečnosti). To je zákonné minimum a spĺňajú ho všetci audítori v registri.
Diferenciátor sú medzinárodné certifikácie. CISA (Certified Information Systems Auditor) je zlatý štandard v oblasti auditu informačných systémov. CISM prináša pohľad na riadenie bezpečnosti. GICSP je špecifický pre priemyselné riadičové systémy. Čím širšie portfólio certifikácií tím audítora má, tým kvalifikovanejšie dokáže pokryť rôzne aspekty vašej bezpečnosti.
Pýtajte sa na referencie vo vašom sektore
Audítor, ktorý robil 50 auditov v bankách, nemusí byť najlepšia voľba pre nemocnicu. Sektorová skúsenosť je nenahraditeľná. Pri výbere sa pýtajte konkrétne — koľko auditov vykonal v organizáciách podobného typu a veľkosti ako je vaša.
Zistite, čo dostanete nad rámec správy
Zákon predpisuje záverečnú správu o audite. Ale čo dostanete navyše? Kvalitný audítor vám okrem zistení a odporúčaní poskytne aj prioritizáciu — čo treba riešiť okamžite a čo môže počkať. Vysvetlí vám zistenia v jazyku, ktorému rozumiete — nie v IT žargóne, ale v kontexte obchodných rizík a dopadov na chod organizácie.
Nezávislosť nie je samozrejmosť
Vyhláška č. 493/2022 Z. z. vyžaduje nezávislosť audítora. Ale pozor — ak rovnaký dodávateľ implementoval vaše bezpečnostné opatrenia a teraz ich má auditovať, o skutočnej nezávislosti nemôže byť reč. Audítor nesmie mať finančný ani iný záujem na tom, aby bol výsledok auditu priaznivý. Toto je jeden z najdôležitejších kritérií, ktoré by mal riaditeľ alebo CFO pri výbere audítora prísne vyhodnocovať.
Audit ako strategický nástroj, nie len povinnosť
Pre vedenie organizácie — riaditeľov, CFO, členov predstavenstva — je audit kybernetickej bezpečnosti jedným z mála objektívnych zdrojov informácií o reálnom stave bezpečnosti. Interné IT oddelenie vám povie, že je všetko v poriadku — nikto nerád priznáva nedostatky vo vlastnej práci. Dodávateľ technológií vám povie to isté — má záujem na tom, aby ste boli spokojní s jeho riešeniami. Audit je nezávislý pohľad, ktorý nemá dôvod niečo zľahčovať ani zveličovať.
Ak sa naň pozeráte len ako na regulatórnu formalitu, premeškáte príležitosť. Kvalitný audit vám dá odpovede na otázky, ktoré by ste si mali klásť: Sme skutočne chránení pred najvážnejšími hrozbami? Investujeme do bezpečnosti tam, kde to má najväčší efekt? Aké je naše reálne riziko pokuty alebo incidentu?
Podľa novely zákona č. 69/2018 Z. z. môže NBÚ uložiť pokutu až do 7 000 000 € alebo 1,4 % celosvetového ročného obratu. Pri prevádzkovateľoch kritickej základnej služby je to až 10 000 000 € alebo 2 % obratu. To nie sú abstraktné čísla — to sú sumy, ktoré môžu existenčne ohroziť organizáciu. Audit je nástroj, ako týmto sankciám predísť, ale len vtedy, ak ho robí niekto, kto skutočne rozumie tomu, čo hľadá.
Čo zlý audit stojí — a nejde len o peniaze
Najväčšie riziko zlého auditu nie je, že zaplatíte za niečo bezcenné. Najväčšie riziko je falošný pocit bezpečia. Ak audítor neodhalí závažné nedostatky — nie preto, že neexistujú, ale preto, že ich nevedel nájsť — organizácia žije v presvedčení, že je v súlade so zákonom a že jej bezpečnostné opatrenia fungujú. Až kým sa niečo nestane.
Bezpečnostný incident v organizácii, ktorá má za sebou „úspešný“ audit, je pre vedenie dvojnásobne bolestivý. Nielenže čelíte technickým a obchodným dôsledkom incidentu, ale musíte sa vysporiadať aj s otázkou, prečo to audit nezachytil. A pri následnej kontrole NBÚ bude kvalita predchádzajúceho auditu pod drobnohľadom.
Zlý audit vás tiež nepripraví na to, čo príde. Legislatíva sa sprísňuje — nová vyhláška č. 227/2025 Z. z. priniesla výrazne prísnejšie požiadavky na bezpečnostné opatrenia. Audítor, ktorý dnes neumiestni vaše zistenia do kontextu prichádzajúcich zmien, vás ponecháva nepripraveného.
Ako súvisí kvalita auditu s prípravou na ďalšie obdobie
Audit kybernetickej bezpečnosti sa opakuje každé dva roky. Ale bezpečnostné hrozby sa nemenia v dvojročných cykloch — menia sa denne. Kvalitný audítor vám v záverečnej správe nepovie len čo je dnes zle. Navrhne vám aj cestu, ako sa zlepšovať priebežne, aby ste pri ďalšom audite neboli zaskočení.
Práve tu sa ukazuje hodnota audítora, ktorý pozná váš sektor a má za sebou stovky projektov. Dokáže vám povedať, aké trendy vidí u porovnateľných organizácií, kde sa typicky objavujú nové riziká a na čo sa zamerať ešte pred tým, než sa to stane problémom.
Ak vás téma prípravy na audit zaujíma, prečítajte si aj článok Príprava na audit — ste pripravení pozrieť sa do zrkadla?, kde popisujeme praktické kroky, ako sa na audit pripraviť.
Často kladené otázky
Ako často musí PZS absolvovať audit kybernetickej bezpečnosti?
Prvý audit musí prevádzkovateľ základnej služby vykonať do 24 mesiacov od zápisu do registra PZS. Následne sa audit opakuje každé dva roky. Ak nastanú závažné zmeny v infraštruktúre alebo po bezpečnostnom incidente, NBÚ môže nariadiť mimoriadny audit.
Aká je pridaná hodnota auditu nad rámec zákonnej povinnosti?
Kvalitný audit vám dá nezávislý a objektívny pohľad na stav bezpečnosti vašej organizácie. Identifikuje reálne riziká — nie len formálne nedostatky — a poskytne prioritizované odporúčania. Pre vedenie organizácie je to jeden z najspoľahlivejších zdrojov informácií o tom, kde organizácia stojí a čo treba zlepšiť.
Podľa čoho sa líši kvalitný audítor od priemerného?
Sektorová skúsenosť, počet vykonaných auditov, šírka certifikácií tímu a schopnosť komunikovať zistenia zrozumiteľne pre vedenie organizácie. Kvalitný audítor vám nepovie len „chýba dokument X“ — vysvetlí vám, čo to znamená pre vaše obchodné riziko.
Môže nás auditovať ten istý dodávateľ, ktorý implementoval bezpečnostné opatrenia?
Nie, respektíve by nemal. Vyhláška č. 493/2022 Z. z. vyžaduje nezávislosť audítora. Ak rovnaký subjekt implementoval opatrenia a súčasne ich audituje, vzniká konflikt záujmov a výsledky auditu strácajú dôveryhodnosť.
Čo by mala obsahovať záverečná správa z auditu?
Záverečná správa musí podľa vyhlášky obsahovať rozsah auditu, použitú metodiku, zistenia s klasifikáciou závažnosti a odporúčania na nápravu. Kvalitný audítor pridá aj prioritizáciu zistení, odhad nákladov na nápravu a plán implementácie odporúčaní s realistickým časovým rámcom.
Záver
Audit kybernetickej bezpečnosti je povinnosť, ktorú musíte splniť. Ale je len na vás, či z nej urobíte formalitu, alebo strategický nástroj na riadenie bezpečnosti vašej organizácie. Rozdiel robí kvalita audítora — jeho skúsenosti, sektorové znalosti a schopnosť vidieť za hranice checklistu.
Ak chcete, aby váš ďalší audit priniesol reálnu hodnotu, ozvite sa nám.
Súvisiaci článok: Samohodnotenie vs audit kybernetickej bezpečnosti: Čo si vybrať a kedy