Vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach, účinná od 1. septembra 2025, posunula bezpečnostnú dokumentáciu do centra pozornosti. Kým predchádzajúca vyhláška 362/2018 Z. z. ju vnímala ako jeden z nástrojov riadenia, nová úprava z nej robí základný dôkazný prostriedok pre preukázanie zhody so zákonom 69/2018 Z. z. o kybernetickej bezpečnosti. Ak kontrolór NBÚ alebo audítor nemá v ruke schválený, aktuálny a konzistentný dokument, kontrola zvyčajne skončí nálezom bez ohľadu na to, čo organizácia reálne robí v prevádzke.
Tento text prechádza obsah a štruktúru bezpečnostnej dokumentácie tak, ako ich definuje § 4 vyhlášky 227/2025 Z. z. v nadväznosti na § 20 zákona 69/2018 Z. z. Popisuje, čo patrí do stratégie, čo do politík, čo do štandardov a smerníc a kde sa robí väčšina chýb, ktoré v praxi vidíme pri auditoch prevádzkovateľov základnej služby.
Prečo bezpečnostná dokumentácia po novom
Vyhláška 227/2025 Z. z. rozširuje rozsah bezpečnostných opatrení (segmentácia siete, kontinuálny monitoring, silnejšia správa identít vrátane MFA pre privilegované účty, požiadavky na dodávateľský reťazec, testovanie odolnosti) a súčasne sprísňuje spôsob, akým musí prevádzkovateľ tieto opatrenia preukázať. Preukázateľnosť stojí na troch pilieroch:
- Schválená dokumentácia — stratégia, politiky, štandardy, smernice, prevádzkové postupy.
- Záznamy — logy, zápisnice, protokoly, výstupy z testov, akceptácie.
- Dôkazná stopa — auditné záznamy ISMS, zápisy zo schôdzí výboru KB, history aktualizácií.
Bez prvej vrstvy neexistuje druhá ani tretia. Preto § 4 vyhlášky výslovne uvádza, čo musí bezpečnostná dokumentácia obsahovať, a § 3 definuje základné pojmy, bez ktorých dokumentácia nedáva zmysel: bezpečnostnú politiku, bezpečnostné štandardy a ich vzťah k bezpečnostnej stratégii.
Z pohľadu smernice NIS2 (transponovanej novelou zákona 69/2018 Z. z. účinnou od 1. januára 2025) ide o priamu implementáciu článku 21 smernice, ktorý vyžaduje, aby riadiace orgány subjektu schvaľovali bezpečnostné opatrenia a niesli za ne zodpovednosť. Bez schválenej stratégie a politík je táto zodpovednosť formálne nesplnená.
Právny rámec a trojvrstvová štruktúra dokumentácie
§ 4 ods. 1 vyhlášky 227/2025 Z. z. uvádza, že bezpečnostná dokumentácia obsahuje:
- a) schválenú stratégiu kybernetickej bezpečnosti určujúcu ciele, ktoré je potrebné v riadení kybernetickej bezpečnosti dosiahnuť, spolu s uvedením základných princípov na ich dosiahnutie a určením právomocí a zodpovedností za systémy manažérstva, riadenie rizík a aktualizáciu bezpečnostnej dokumentácie,
- b) schválené bezpečnostné politiky pre jednotlivé oblasti riadenia kybernetickej bezpečnosti vrátane opisu súvisiacej organizačnej štruktúry, procesov a väzieb, pracovných rolí, zodpovednosti a delenia právomocí a opisu rámca riadenia bezpečnostných rizík,
- c) vykonanú klasifikáciu informácií podľa prílohy vyhlášky.
Na toto jadro nadväzuje v praxi ustálená hierarchia, ktorú NBÚ aj certifikačné schémy (ISO/IEC 27001) predpokladajú:
| Vrstva | Čo obsahuje | Kto schvaľuje | Typická aktualizácia |
|---|---|---|---|
| Stratégia KB | Ciele, princípy, zodpovednosti, metriky | Štatutár / vedenie | Raz za 3 roky alebo pri zásadnej zmene |
| Bezpečnostné politiky | Pravidlá pre oblasti (prístupy, dodávatelia, BCM, incidenty…) | Štatutár / MKB | Raz ročne |
| Bezpečnostné štandardy | Jednotný výklad politiky pre konkrétnu situáciu | MKB / gestor oblasti | Raz ročne alebo pri zmene technológie |
| Smernice a prevádzkové postupy | Kto, kedy, ako — krokové návody | Gestor procesu | Priebežne |
| Záznamy a dôkazy | Logy, zápisnice, protokoly | — | Kontinuálne |
Vyhláška 227/2025 Z. z. výslovne definuje (§ 3), že bezpečnostná politika je dokumentácia, ktorá určuje smerovanie prevádzkovateľa základnej služby v oblasti kybernetickej bezpečnosti na úrovni riadenia a určuje povinnosti, zodpovednosti, požiadavky, zákazy a zásady správania sa. Bezpečnostný štandard je potom súbor pravidiel spojených s kybernetickou bezpečnosťou, ktoré jednotne interpretujú požiadavky bezpečnostných politík v konkrétnych situáciách.
Toto rozlíšenie je v praxi kľúčové: politika hovorí čo robíme a prečo, štandard hovorí ako to budeme robiť jednotne, smernica alebo prevádzkový postup hovorí kto a kedy to robí. Ak dokument mieša všetky tri úrovne, pri audite sa stráca rozhodnosť a schvaľovanie.
Stratégia kybernetickej bezpečnosti — čo v nej musí byť
Stratégia je najvyšším dokumentom ISMS. Vyhláška 227/2025 Z. z. v § 4 ods. 1 písm. a) od nej požaduje:
- Ciele — kam sa organizácia v oblasti KB chce dostať (napr. zrelosť procesov, pokrytie systémov monitoringom, úroveň bezpečnosti dodávateľov).
- Základné princípy — ako sa budú ciele dosahovať (napr. „security by design“, minimálne privilégium, segmentácia, defense in depth).
- Právomoci a zodpovednosti — menovite alebo rolovo určený výbor KB, manažér KB, prevádzkový vlastník, vlastník rizika, gestori politík.
- Zodpovednosť za systémy manažérstva — kto vlastní ISMS, kto riadenie rizík, kto aktualizáciu dokumentácie.
Prakticky sa stratégia píše na 3 roky. Mala by byť stručná (10–20 strán), podpísaná štatutárnym orgánom a prepojená na riadenie rizík a na plán implementácie bezpečnostných opatrení. Bez meradiel a termínov sa stratégia degraduje na marketingový text.
Bezpečnostné politiky — jadro dokumentácie
Politiky sú najrozsiahlejšou vrstvou. Vyhláška 227/2025 Z. z. nevymenúva ich zoznam taxatívne, ale požaduje pokrytie jednotlivých oblastí riadenia kybernetickej bezpečnosti. V praxi to znamená, že politiky musia nadväzovať na bezpečnostné opatrenia definované v § 5 až § 19 vyhlášky. Minimálny súbor politík, ktorý pri audite funguje:
- Politika riadenia kybernetickej bezpečnosti (organizácia ISMS)
- Politika riadenia rizík
- Politika klasifikácie a ochrany informácií
- Politika riadenia identít a prístupov (vrátane MFA pre privilegované účty)
- Politika bezpečnosti ľudských zdrojov (vrátane osvety a školení)
- Politika fyzickej a environmentálnej bezpečnosti
- Politika riadenia zmien a konfigurácií
- Politika akvizície, vývoja a údržby systémov (security by design)
- Politika riadenia dodávateľského reťazca (kritická oblasť podľa NIS2)
- Politika monitoringu a detekcie (pokrytie SIEM, logmgmt, OT monitoring)
- Politika riešenia kybernetických bezpečnostných incidentov (prepojená na vyhlášku 226/2025 Z. z.)
- Politika kontinuity činnosti a obnovy po havárii
- Politika kryptografickej ochrany
- Politika sieťovej bezpečnosti (vrátane segmentácie)
- Politika bezpečnosti operačných technológií (OT) — ak je relevantná
- Politika testovania bezpečnosti (penetračné testy, skenovanie zraniteľností)
Každá politika by mala mať: vlastníka, rozsah pôsobnosti (aké aktíva pokrýva), dátum schválenia, dátum ďalšieho preskúmania, odkaz na nadradenú stratégiu a na súvisiace štandardy. Dátum sa pri audite pozerá ako prvé.
Štandardy, smernice a prevádzkové postupy
Politika hovorí „používame silnú autentifikáciu pre privilegované účty“. Štandard hovorí „všetky privilegované účty sú chránené MFA s minimálne dvoma rôznymi kategóriami faktorov, hardvérové tokeny FIDO2 alebo TOTP aplikácie, SMS kódy nie sú prípustné“. Smernica pre administrátorov hovorí „pri požiadavke na zriadenie privilegovaného účtu administrátor vypĺňa formulár F-012, schvaľuje vlastník systému, technicky realizuje tím Identity v lehote 2 pracovných dní a aktivuje MFA pred prvým prihlásením“.
V praxi sa pre každú politiku píše typicky 2–5 štandardov a každý štandard môže mať 1–3 súvisiace prevádzkové postupy. Ak organizácia má len „politiky“ a žiadne štandardy, pri kontrole sa ukáže, že politiky sú deklarácie bez realizačných pravidiel.
Vyhláška 227/2025 Z. z. v § 4 ods. 2 stanovuje, že súlad so stratégiou kybernetickej bezpečnosti, bezpečnostnými politikami, bezpečnostnými štandardmi a normami je prehodnocovaný najmenej raz za kalendárny rok v plánovaných intervaloch alebo pri významných zmenách procesov alebo technológií. V dokumentácii teda musia byť tieto štyri úrovne rozlíšené — nie je možné zlúčiť ich do jedného balíka.
Klasifikácia informácií
§ 4 ods. 1 písm. c) vyhlášky 227/2025 Z. z. vyžaduje súčasťou bezpečnostnej dokumentácie vykonanú klasifikáciu informácií. Nejde len o teoretický dokument, ale o konkrétny výstup:
- Zoznam informačných aktív alebo ich skupín (typicky mapa na procesy alebo systémy).
- Klasifikačné triedy (napr. Verejné / Interné / Dôverné / Prísne dôverné).
- Priradenie konkrétnej triedy každému aktívu alebo skupine.
- Pravidlá zaobchádzania pre každú triedu (prístup, prenos, archivácia, likvidácia).
Klasifikácia je vstup do riadenia rizík a do všetkých technických politík. Ak chýba, analýza rizík sa robí „od oka“ a technické opatrenia nemajú základ.
Schvaľovanie, aktualizácia a preukázateľnosť
Tu robí väčšina organizácií najviac chýb. Vyhláška 227/2025 Z. z. dôsledne pracuje s pojmom schválené — schválená stratégia, schválené politiky. Schválenie znamená podpis konkrétnej zodpovednej osoby (pri stratégii štatutár, pri politikách spravidla štatutár alebo vrcholový manažment po návrhu manažéra KB). V dokumente musí byť:
- dátum schválenia,
- meno a funkcia schvaľovateľa (alebo odkaz na schvaľovací záznam),
- verzia dokumentu,
- história zmien,
- dátum najbližšieho preskúmania.
Pri kontrole NBÚ alebo audite kybernetickej bezpečnosti podľa vyhlášky 493/2022 Z. z. audítor porovnáva: (a) či je dokument schválený, (b) či bol preskúmaný v posledných 12 mesiacoch, (c) či zodpovedá aktuálnej prevádzke. Ak politika hovorí o firewalloch, ktoré organizácia rok dozadu vymenila za iný model, dokumentácia je po novom klasifikovaná ako neaktuálna.
Najčastejšie chyby v dokumentácii, ktoré vidíme pri auditoch
Pri auditoch prevádzkovateľov základnej služby sa opakujú rovnaké problémy. Ich prehľad nižšie môže byť kontrolným zoznamom pred internou revíziou:
- Stratégia bez meradiel. Ciele sú všeobecné („zvyšovať zrelosť“), bez míľnikov a KPI. Pri preskúmaní sa nedá preukázať pokrok.
- Jeden dokument namiesto hierarchie. Všetko je zlúčené do jedného „bezpečnostného manuálu“. Pri audite sa nedá oddeliť, čo je politika a čo prevádzkový postup.
- Politiky bez vlastníkov. Bez priradenia vlastníka nikto politiku neaktualizuje a po roku je zastaraná.
- Chýbajúce schválenie. Dokument je „hotový“, ale bez podpisu. Formálne neexistuje.
- Klasifikácia len na papieri. Trieda je priradená v dokumente, ale v praxi sa aktíva označujú a zaobchádza sa s nimi rovnako ako predtým.
- Dokumentácia nesedí so súčasnou prevádzkou. Politika hovorí o lokálnych serveroch, prevádzka beží v cloude. Toto je najčastejší nález.
- Chýbajúci záznam o preskúmaní. Aktualizácia nie je preukázaná. Bez záznamu sa má za to, že sa nestala.
- Zmätok v menách a rolách. Politika menuje funkcie, ktoré v organizačnej štruktúre neexistujú.
- Chýbajúce prepojenie na dodávateľov. Politika riadenia dodávateľského reťazca existuje, ale zmluvy neobsahujú požadované bezpečnostné doložky.
- Nejednotné formáty. Každá politika vyzerá inak, čo sťažuje schvaľovanie aj kontrolu.
Pohľad Cyllium
Pri audite a príprave dokumentácie v našich projektoch (skupina Cyllium pokrýva zdravotníctvo, verejnú správu, priemysel a energetiku cez Cyllium SK, Cyllium IT a auditori.it) sa ukazuje, že kvalita dokumentácie úzko súvisí s mierou zastupiteľnosti tímu, ktorý ju spravuje. Jednotlivec — interný manažér kybernetickej bezpečnosti — má tendenciu zredukovať politiky na to, čo sám pozná a vie ustrážiť. Tím s cross-sektorovými skúsenosťami prináša do dokumentácie štandardy, ktoré sa osvedčili inde: formuláre na schvaľovanie, jednotné šablóny politík, preukázateľné záznamy o preskúmaní.
V tíme Cyllium máme šiestich certifikovaných manažérov kybernetickej bezpečnosti, dvoch certifikovaných audítorov KB a viac ako pätnásť medzinárodných certifikácií (CISA, CISM, CIA, CDPSE, CEH, GICSP a ďalšie). Zastupiteľnosť je praktická výhoda: keď sa v dokumentácii niečo mení, druhá rola kontroluje a tretia schvaľuje. Pre väčšie organizácie, ktoré majú vlastný tím KB, sa osvedčuje zapojiť externého partnera do review a metodického vedenia — nie preto, aby nahradil interný tím, ale aby doniesol kalibráciu z iných PZS a uľahčil prípravu na audit kybernetickej bezpečnosti.
Pomôcť s dokumentáciou nie je úloha na pár dní. Stabilný set politík a štandardov v strednej organizácii si vyžaduje 3–6 mesiacov prípravy, potom priebežnú správu. Ak plánujete najbližší audit kybernetickej bezpečnosti alebo preskúmanie zhody s vyhláškou 227/2025 Z. z., má zmysel najskôr urobiť GAP analýzu podľa § 4 a potom prioritizovať, ktoré vrstvy dokumentácie sú najkritickejšie.
Najčastejšie otázky
Aký je rozdiel medzi bezpečnostnou politikou a bezpečnostným štandardom podľa vyhlášky 227/2025 Z. z.?
Bezpečnostná politika podľa § 3 vyhlášky určuje smerovanie organizácie v oblasti KB na úrovni riadenia — povinnosti, zodpovednosti, požiadavky a zásady. Bezpečnostný štandard je súbor pravidiel, ktoré jednotne interpretujú požiadavky politík v konkrétnych situáciách. Politika hovorí čo a prečo, štandard hovorí ako jednotne.
Musí byť bezpečnostná dokumentácia podpísaná štatutárom?
Stratégia kybernetickej bezpečnosti áno — § 4 ods. 1 písm. a) vyhlášky 227/2025 Z. z. hovorí o schválenej stratégii a o právomociach a zodpovednostiach za systémy manažérstva, čo v praxi znamená podpis štatutára alebo ním poverenej osoby. Politiky môžu byť schválené vrcholovým manažmentom, pokiaľ má na to delegovanú právomoc a je to zachytené v stratégii.
Ako často sa musí bezpečnostná dokumentácia aktualizovať?
Vyhláška 227/2025 Z. z. v § 4 ods. 2 požaduje prehodnotenie súladu so stratégiou, politikami, štandardmi a normami najmenej raz za kalendárny rok alebo pri významných zmenách procesov či technológií. Štandardná prax je stratégia raz za 3 roky (s ročným review cieľov), politiky raz ročne, prevádzkové postupy priebežne.
Postačuje jeden spoločný dokument „Bezpečnostná politika“?
Nie. Vyhláška v § 4 ods. 1 písm. b) hovorí o bezpečnostných politikách pre jednotlivé oblasti. Jeden dokument pre celú KB pri kontrole neobstojí — chýba pokrytie oblastí, samostatní vlastníci a samostatné schvaľovanie. Navyše sa pri zmene jednej oblasti musí meniť a znova schvaľovať celý objemný dokument.
Vzťahuje sa dokumentačná povinnosť aj na obce a menšie subjekty?
Povinnosti z vyhlášky 227/2025 Z. z. sa týkajú prevádzkovateľov základnej služby a poskytovateľov digitálnej služby registrovaných podľa zákona 69/2018 Z. z. Po transpozícii NIS2 sa okruh povinných subjektov významne rozšíril (odhadom na ~4 600 subjektov na Slovensku), čo zahŕňa aj mnohé obce, mestá a verejné inštitúcie. Rozsah dokumentácie môže byť úmerný veľkosti a zložitosti, ale stratégia, politiky a klasifikácia sú povinné vždy.
Čo sa stane, ak dokumentácia neexistuje alebo je neaktuálna?
Pri kontrole NBÚ alebo pri audite podľa vyhlášky 493/2022 Z. z. sa chýbajúca alebo neaktuálna dokumentácia klasifikuje ako nesúlad. Po NIS2 novele zákona 69/2018 Z. z. môže NBÚ za závažné porušenia uložiť pokuty od 300 EUR až do 7 mil. EUR alebo 1,4 % celosvetového ročného obratu, pri prevádzkovateľoch kľúčových základných služieb až do 10 mil. EUR alebo 2 % obratu.
Ďalšie kroky
Bezpečnostná dokumentácia nie je formalita, ale rozhraní medzi zodpovednosťou vedenia a dennou prevádzkou. Ak organizácia ešte neupravila dokumentáciu na vyhlášku 227/2025 Z. z., má zmysel začať stratégiou a klasifikáciou informácií — bez nich nedáva zmysel písať politiky. Ďalej odporúčame pozrieť si aj implementáciu vyhlášky 227/2025 v siedmich krokoch a prehľad povinností podľa NIS2 pre Slovensko.
Ak potrebujete pomoc s prípravou alebo revíziou dokumentácie pred auditom, radi sa na vašu aktuálnu situáciu pozrieme. Naši audítori a manažéri KB pracujú naprieč sektormi (zdravotníctvo, verejná správa, energetika, priemysel) a vedia odlíšiť, kde je potrebný formálny dokument a kde reálny procesný zásah.