Slovenské organizácie čelia rastúcemu počtu kybernetických útokov — len v prvom štvrťroku 2026 bolo na Slovensku zaznamenaných viac ako 546 000 bezpečnostných incidentov. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti preto vyžaduje, aby každý prevádzkovateľ základnej služby (PZS) a poskytovateľ digitálnej služby určil manažéra kybernetickej bezpečnosti. Kto to vlastne je, čo presne robí a aké kvalifikácie musí mať? V tomto článku nájdete kompletný prehľad o role, povinnostiach, kvalifikačných požiadavkách aj certifikačnom procese manažéra kybernetickej bezpečnosti na Slovensku.
Kto je manažér kybernetickej bezpečnosti
Manažér kybernetickej bezpečnosti (MKB) je odborník zodpovedný za riadenie informačnej a kybernetickej bezpečnosti v organizácii. Nejde o bežného IT administrátora — MKB je strategická rola, ktorá spája technické znalosti s riadením rizík, legislatívnym povedomím a schopnosťou komunikovať bezpečnostné témy smerom k vedeniu organizácie.
Zákon č. 69/2018 Z. z. v § 5a definuje MKB ako osobu, ktorá riadi kybernetickú bezpečnosť prevádzkovateľa základnej služby. Kľúčovou požiadavkou je, že MKB musí byť nezávislý od riadenia prevádzky a vývoja služieb informačných technológií. To znamená, že nemôže byť podriadený IT oddeleniu — jeho rozhodnutia nesmú byť ovplyvňované prevádzkovými záujmami IT.
Táto požiadavka na nezávislosť je v praxi jedným z najčastejších problémov. Mnoho organizácií sa snaží túto rolu prideliť existujúcemu IT manažérovi, čo však porušuje princíp oddelenia rolí stanovený zákonom.
Hlavné úlohy a zodpovednosti MKB
Rola manažéra kybernetickej bezpečnosti je rozsiahla a zahŕňa celé spektrum činností od strategického plánovania po operatívne riadenie incidentov. Medzi kľúčové úlohy patria:
Riadenie bezpečnostného programu
MKB vytvára a udržiava rámec riadenia kybernetickej bezpečnosti v organizácii. Zabezpečuje aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti podľa vyhlášky č. 227/2025 Z. z. o bezpečnostných opatreniach. To zahŕňa tvorbu bezpečnostných politík, definovanie procesov a kontrolu ich dodržiavania.
Analýza rizík a riadenie zraniteľností
MKB zabezpečuje vykonanie analýzy rizík informačných systémov a na jej základe navrhuje primerané bezpečnostné opatrenia. Analýza rizík nie je jednorazová aktivita — ide o kontinuálny proces, ktorý sa musí opakovať minimálne raz ročne alebo pri každej významnej zmene v infraštruktúre. MKB pravidelne vyhodnocuje nové hrozby a zraniteľnosti, posudzuje ich dopad na organizáciu a riadi proces ich eliminácie alebo mitigácie. Výstupom analýzy rizík je register rizík s ohodnotením pravdepodobnosti a dopadu, na základe ktorého vedenie rozhoduje o investíciách do bezpečnosti.
Riadenie bezpečnostných incidentov
Jednou z najviditeľnejších úloh MKB je koordinácia reakcie na kybernetické bezpečnostné incidenty. Zabezpečuje, aby procesy od identifikácie cez oznámenie až po reakciu na incident prebehli v súlade s vyhláškou č. 226/2025 Z. z. o hlásení kybernetických bezpečnostných incidentov. MKB je kontaktnou osobou pre Národný bezpečnostný úrad (NBÚ) a zodpovedá za včasné nahlásenie incidentov.
Bezpečnostná dokumentácia
Podľa vyhlášky č. 227/2025 Z. z. musí mať každý PZS vypracovanú bezpečnostnú dokumentáciu. MKB zodpovedá za jej vytvorenie, pravidelnú aktualizáciu a kontrolu súladu so skutočným stavom bezpečnosti. Dokumentácia zahŕňa bezpečnostnú politiku, analýzu rizík, plán riadenia incidentov, plán kontinuity činností a ďalšie dokumenty.
Zvyšovanie bezpečnostného povedomia
MKB zabezpečuje pravidelné školenia zamestnancov o informačnej bezpečnosti. Ľudský faktor zostáva najčastejšou príčinou bezpečnostných incidentov — phishing, slabé heslá a nevedomé porušovanie bezpečnostných politík sú problémy, ktoré sa riešia primárne vzdelávaním. Vyhláška č. 227/2025 Z. z. explicitne vyžaduje program zvyšovania bezpečnostného povedomia vrátane pravidelného testovania zamestnancov, napríklad simulovanými phishingovými kampaniami. MKB je zodpovedný za návrh, realizáciu a vyhodnocovanie efektivity týchto programov.
Interný audit a príprava na externý audit
MKB sa spolupodieľa na vykonávaní interných auditov informačnej bezpečnosti a pripravuje organizáciu na povinný audit kybernetickej bezpečnosti, ktorý sa podľa zákona musí opakovať každé dva roky. Zabezpečuje, aby zistenia z predchádzajúcich auditov boli adresované a nápravné opatrenia implementované v stanovených termínoch.
Komunikácia s vedením a regulátorom
MKB predkladá návrhy a oznamuje informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu organizácie. Zabezpečuje tiež súčinnosť pri kontrolách NBÚ a pri audite kybernetickej bezpečnosti.
Kvalifikačné požiadavky na MKB
Zákon č. 69/2018 Z. z. stanovuje, že MKB musí spĺňať znalostný štandard definovaný vyhláškou č. 492/2022 Z. z. v jej prílohe č. 5. Požiadavky sa líšia podľa dosiahnutého vzdelania:
Pre uchádzačov s vysokoškolským vzdelaním druhého stupňa je požadovaná minimálne 3-ročná prax v oblasti informačných technológií (doložená životopisom s overiteľnými referenciami), z toho minimálne 1 rok praxe v oblasti riadenia IT služieb, riadenia informačnej bezpečnosti, riadenia rizík alebo architektúry IT.
Pre uchádzačov bez vysokoškolského vzdelania je požadovaná minimálne 7-ročná prax v oblasti informačných technológií, z toho minimálne 5 rokov v oblasti riadenia IT služieb, riadenia informačnej bezpečnosti, riadenia rizík alebo architektúry IT.
Okrem formálnych požiadaviek na vzdelanie a prax definuje vyhláška č. 492/2022 Z. z. aj špecifické kľúčové kompetencie, ktoré MKB musí mať. Patrí medzi ne schopnosť prijímať rozhodnutia, analytické myslenie, kreativita, prezentačné zručnosti, schopnosť organizovania a plánovania práce a strategické a koncepčné myslenie.
Znalostný štandard MKB
Znalostný štandard podľa prílohy č. 5 vyhlášky č. 492/2022 Z. z. vyžaduje znalosti v nasledovných oblastiach: riadenie kybernetickej a informačnej bezpečnosti, riadenie rizík, právny rámec kybernetickej bezpečnosti, technické bezpečnostné opatrenia, riadenie incidentov, audit a compliance, kontinuita činností a krízové riadenie.
V praxi to znamená, že MKB musí rozumieť nielen technickým aspektom bezpečnosti, ale aj legislatíve, riadeniu rizík a komunikácii s vedením. Práve táto šírka znalostí je dôvodom, prečo je kvalifikovaných MKB na slovenskom trhu akútny nedostatok.
Certifikácia manažéra kybernetickej bezpečnosti
Certifikačný proces prebieha podľa certifikačnej schémy vydanej NBÚ v súlade s normou ISO/IEC 17024:2012. Certifikáciu vykonáva Kompetenčné a certifikačné centrum kybernetickej bezpečnosti (cybercompetence.sk).
Priebeh certifikácie
Žiadateľ najprv podá prihlášku na certifikačnú skúšku. Odbor certifikácie posúdi, či spĺňa počiatočné kritériá — vzdelanie, prax a znalostný štandard. Ak áno, je zaradený na skúšku.
Samotná certifikačná skúška pozostáva zo 100 otázok vygenerovaných náhodným výberom zo schváleného súboru. Každá otázka má 4 možnosti odpovedí, pričom správna je len jedna. Na vypracovanie má uchádzač 150 minút.
Po úspešnom absolvovaní skúšky získa uchádzač certifikát manažéra kybernetickej bezpečnosti s platnosťou 3 roky. Po uplynutí platnosti je potrebné certifikáciu obnoviť.
Alternatívy k certifikácii NBÚ
Zákon umožňuje preukázanie spôsobilosti aj inými spôsobmi — napríklad predložením osvedčenia o vzdelaní a kvalifikácii alebo medzinárodných certifikácií ako CISA, CISM, CDPSE, CEH či GICSP, ktoré pokrývajú znalostný štandard definovaný vyhláškou. Metodika posudzovania spôsobilosti MKB, ktorú NBÚ zverejnil na svojom webe, popisuje tri spôsoby overenia: priame overenie kvalifikácie, predloženie osvedčení alebo požiadavka na certifikáciu. V praxi mnoho organizácií kombinuje medzinárodné certifikácie s preukázaním relevantnej praxe.
Koho sa povinnosť týka — prevádzkovatelia základných služieb po NIS2
Od 1. januára 2025, kedy nadobudla účinnosť novela zákona č. 69/2018 Z. z. (zákon č. 366/2024 Z. z.), sa okruh subjektov, ktoré musia mať MKB, výrazne rozšíril. Podľa dôvodovej správy k novele sa regulácia dotýka najmenej 3 403 organizácií na Slovensku.
Povinnosť sa vzťahuje na subjekty v regulovaných sektoroch vrátane energetiky, dopravy, zdravotníctva, vodného hospodárstva, digitálnej infraštruktúry, verejnej správy, poštových služieb, odpadového hospodárstva, výroby potravín a ďalších. Kritériom je zvyčajne veľkosť organizácie — stredný podnik (50+ zamestnancov alebo obrat nad 10 miliónov EUR) a vyššie.
Pre organizácie, ktoré sa stávajú regulovanými subjektmi prvýkrát, platí povinnosť implementovať bezpečnostné opatrenia vrátane určenia MKB do 12 mesiacov od registrácie. Postup registrácie prevádzkovateľa základnej služby na NBÚ sme podrobne popísali v samostatnom článku.
Interný verzus externý MKB — čo je lepšia voľba
Zákon č. 69/2018 Z. z. umožňuje plniť rolu MKB interne (vlastným zamestnancom) alebo externe (prostredníctvom zmluvného partnera). Obe možnosti majú svoje špecifiká, no v praxi sa ukazuje, že externý MKB prináša výhody, ktoré interné riešenie často nedokáže poskytnúť.
Nedostatok odborníkov na trhu je prvým problémom. Kvalifikovaných MKB je na Slovensku výrazne menej, než je dopyt. Nájsť a zamestnať odborníka, ktorý spĺňa znalostný štandard, má relevantné certifikácie a praktické skúsenosti, je pre väčšinu organizácií mimoriadne náročné.
Požiadavka nezávislosti je druhým problémom. Interný MKB musí byť nezávislý od IT oddelenia — čo v menších organizáciách často nie je realizovateľné. Externý MKB túto požiadavku spĺňa automaticky.
Šírka skúseností je tretím argumentom. Kybernetická bezpečnosť je tak rozsiahla oblasť, že ju jeden človek ťažko obsiahne v celej šírke. Externý MKB z tímu odborníkov prináša skúsenosti z desiatok organizácií naprieč sektormi — zdravotníctvom, verejnou správou, priemyslom, energetikou. Každý sektor má svoje špecifiká a regulačné požiadavky.
Zastupiteľnosť je štvrtým faktorom. Ak interný MKB ochorie alebo odíde, organizácia zostane bez pokrytia. Tím externých MKB zabezpečí kontinuitu bez ohľadu na personálne zmeny.
Aktuálnosť znalostí je piatym argumentom. Kybernetické hrozby sa vyvíjajú rýchlo a legislatíva sa mení — len za posledný rok pribudli vyhlášky č. 226/2025 a 227/2025 Z. z., novela zákona 69/2018 Z. z. a Národná stratégia kybernetickej bezpečnosti 2026–2030. Tím externých MKB, ktorý sa bezpečnosti venuje na plný úväzok, tieto zmeny sleduje a aplikuje okamžite. Interný MKB, pre ktorého je bezpečnosť len jednou z mnohých zodpovedností, ľahko niečo prehliadne.
Externý MKB nie je len riešením pre malé organizácie. Aj veľké spoločnosti využívajú externých odborníkov ako strategických poradcov, ktorí prinášajú nezávislý pohľad a skúsenosti z iných sektorov. Viac o výhodách externého MKB nájdete v článku Externý MKB: Prečo je lepšia voľba.
Cyllium perspektíva — ako pristupujeme k riadeniu kybernetickej bezpečnosti
V Cyllium sa s rolou manažéra kybernetickej bezpečnosti stretávame denne. S tímom 6 certifikovaných MKB a 2 certifikovaných audítorov kybernetickej bezpečnosti zabezpečujeme túto rolu pre organizácie naprieč celým spektrom regulovaných sektorov — od nemocníc a vodárenských spoločností cez mestá a obce až po priemyselné podniky s OT infra�