Väčšina organizácií, ktoré sa stanú prevádzkovateľom základnej služby, rieši rovnakú otázku: mám si najať vlastného manažéra kybernetickej bezpečnosti, alebo túto rolu zveriť externému tímu? Odpoveď je jednoznačnejšia, než by sa na prvý pohľad zdalo. Externý manažér kybernetickej bezpečnosti je takmer vždy lepšia voľba — a v tomto článku vysvetlíme prečo.
Kybernetická bezpečnosť je príliš široká na jedného človeka
Pozrime sa reálne na to, čo zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti od manažéra kybernetickej bezpečnosti vyžaduje. Podľa § 15 musí MKB zabezpečiť riadenie kybernetickej bezpečnosti v organizácii, uplatňovanie bezpečnostných opatrení, riadenie bezpečnostných incidentov, komunikáciu s NBÚ a koordináciu s audítorom kybernetickej bezpečnosti.
To samo osebe znie zvládnuteľne. Ale keď si rozbalíte, čo to znamená v praxi po nadobudnutí účinnosti vyhlášky č. 227/2025 Z. z., zistíte, že MKB musí rozumieť sieťovej bezpečnosti a segmentácii, riadeniu identít a prístupov vrátane viacfaktorovej autentifikácie, monitoringu bezpečnostných udalostí, zálohovaniu a disaster recovery, bezpečnosti cloudových služieb, ochrane operačných technológií (OT), riadeniu rizík a kontinuity činností, tvorbe a údržbe rozsiahlej bezpečnostnej dokumentácie a v neposlednom rade aj školeniu zamestnancov a budovaniu bezpečnostnej kultúry.
Jeden človek — nech je akokoľvek kvalifikovaný — nemôže byť expertom na všetky tieto oblasti súčasne. V praxi sa interný MKB nevyhnutne špecializuje na niektoré oblasti a ostatné rieši povrchne alebo vôbec. To je riziko, ktoré si organizácia často uvedomí až pri audite alebo — horšie — pri bezpečnostnom incidente.
Externý tím toto riziko eliminuje. Kvalitný poskytovateľ služby manažéra kybernetickej bezpečnosti disponuje tímom odborníkov s rôznymi špecializáciami — od sieťovej bezpečnosti cez OT bezpečnosť až po compliance a dokumentáciu. Klient tak dostáva prístup k šírke expertízy, akú by si interným zamestnaním jedného človeka nikdy nezabezpečil.
Skúsenosti z desiatok PZS a rôznych sektorov
Interný MKB pozná jednu organizáciu do hĺbky. To je jeho výhoda, ale aj obmedzenie. Vidí len vlastný sektor, vlastnú infraštruktúru, vlastné problémy. Nemá porovnanie, ako rovnaké výzvy riešia ostatní.
Externý manažér kybernetickej bezpečnosti, ktorý spravuje portfólio klientov naprieč sektormi, prináša úplne iný pohľad. Dokáže porovnať prístupy organizácií v zdravotníctve, verejnej správe, priemysle, energetike aj v súkromnom sektore — a prenášať osvedčené postupy medzi nimi.
Čo to znamená v praxi? Pri tvorbe bezpečnostnej dokumentácie pre nemocnicu externý MKB vie, aké špecifické požiadavky majú zdravotnícke zariadenia — ochrana zdravotnej dokumentácie, prevádzka kritických systémov, integrácia medicínskych prístrojov do sieťovej infraštruktúry. Pri príprave organizácie vo verejnej správe na audit pozná typické zistenia audítorov v tomto sektore, pretože ich videl desiatky.
Tento cross-sektorový prehľad je niečo, čo interný zamestnanec jednoducho nemá. A práve táto skúsenosť je rozhodujúca, keď treba navrhnúť bezpečnostné opatrenia, ktoré sú nielen formálne správne, ale aj prakticky implementovateľné a účinné.
Zastupiteľnosť — najväčší problém interného MKB
Ak máte jedného interného MKB a ten ochorie, zmení prácu alebo ide na dovolenku, máte problém. Zákonné povinnosti nepauzujú. Bezpečnostné incidenty nečakajú. Podľa vyhlášky č. 226/2025 Z. z. musíte odoslať včasné varovanie NBÚ do 24 hodín od detekcie závažného incidentu. Čo ak sa to stane, keď je váš jediný MKB nedostupný?
Zastupiteľnosť je pri internom modeli chronický problém. Organizácia by musela mať minimálne dvoch kvalifikovaných MKB, aby bola zastupiteľnosť garantovaná. To znamená dvojnásobné náklady na mzdy, certifikácie a vzdelávanie.
Pri externom modeli je zastupiteľnosť samozrejmosťou. Seriózny poskytovateľ pridelí každému klientovi primárneho manažéra a minimálne jedného zástupcu, ktorý pozná prostredie a dokáže okamžite prevziať agendu. Procesy sú nastavené tak, aby prechod medzi členmi tímu bol pre klienta bezšvový. Dokumentácia, znalostná báza aj komunikačné kanály sú zdieľané v rámci tímu — žiadna informácia nie je uzamknutá v hlave jedného človeka.
Strategický poradca aj pre veľké organizácie
Existuje mylná predstava, že externý MKB je riešenie len pre malé a stredné organizácie, ktoré si nemôžu dovoliť interného odborníka. Realita je iná. Veľké organizácie — aj tie s vlastným bezpečnostným oddelením — čoraz častejšie využívajú externých expertov ako strategických poradcov a konzultantov.
Dôvod je jednoduchý: aj najlepšie interné tímy potrebujú nezávislý pohľad zvonku. Interní ľudia sú ponorení v dennej operatíve a prirodzene si zvyknú na stav, ktorý je možno nedostatočný. Externý konzultant so skúsenosťami z desiatok organizácií dokáže identifikovať medzery, ktoré interný tím prehliadol, pretože ich považoval za normálne.
V praxi to funguje tak, že externý tím nepreberá celú funkciu MKB od veľkej organizácie. Namiesto toho spolupracuje s interným tímom — pomáha s návrhom bezpečnostnej architektúry, riadením rizík, prípravou na audit a nastavením procesov, ktoré interný tím následne prevádzkuje. Externý partner prináša certifikácie (CISA, CISM, CIA, CDPSE, CEH, GICSP), cross-sektorové znalosti a kapacitu, ktorú interný tím nemá.
Tento model sa osvedčil naprieč sektormi — od veľkých priemyselných podnikov cez zdravotnícke zariadenia až po kritickú infraštruktúru. Pre veľkú organizáciu je externý konzultant s desiatkymi referenciami cennejší partner, než ďalší interný zamestnanec so skúsenosťou z jednej firmy.
Čo musí externý MKB zabezpečiť podľa vyhlášky 227/2025
Od 1. septembra 2025 platí vyhláška č. 227/2025 Z. z., ktorá nahrádza predchádzajúcu vyhlášku č. 362/2018 Z. z. a prináša výrazne prísnejšie požiadavky. Kvalitný externý MKB musí pre vašu organizáciu zabezpečiť súlad so všetkými týmito požiadavkami. Podrobný postup implementácie nájdete v článku Vyhláška 227/2025: Implementácia v 7 krokoch.
Medzi kľúčové oblasti, na ktoré sa vyhláška zameriava, patrí segmentácia siete — povinnosť rozdeliť sieťovú infraštruktúru do bezpečnostných zón s kontrolovaným prístupom. Ďalej správa prístupov — sprísnené požiadavky na riadenie identít vrátane povinného zavedenia viacfaktorovej autentifikácie pre privilegované účty. A monitoring — organizácie musia zaviesť nepretržitý monitoring bezpečnostných udalostí s definovanými reakčnými časmi.
Kvalitný externý MKB nezabezpečí len papierovú compliance. Pomôže vám tieto opatrenia reálne implementovať a prevádzkovať — od výberu technických riešení cez nastavenie procesov až po pravidelné overovanie ich účinnosti.
Na čo si dať pozor pri výbere externého MKB
Nie každý poskytovateľ služby externého MKB ponúka rovnakú kvalitu. Pri výbere si overte tieto kľúčové kritériá.
Predovšetkým sa pýtajte na veľkosť a zloženie tímu. Ak je externý MKB jeden konzultant, máte rovnaký problém so zastupiteľnosťou ako pri internom modeli. Seriózny poskytovateľ má tím s rôznymi špecializáciami.
Ďalej sa zaujímajte o certifikácie. Zákon vyžaduje, aby MKB bol certifikovaný podľa § 15 ods. 2 zákona 69/2018 Z. z. Medzinárodné certifikácie ako CISA, CISM alebo GICSP sú dôkazom odbornosti nad rámec zákonného minima.
Pýtajte sa na referencie v rovnakom sektore. Skúsenosti v zdravotníctve sa nedajú nahradiť skúsenosťami z finančného sektora — každý sektor má špecifické regulatórne požiadavky, technologické prostredie a riziká.
A nakoniec si overte, aký je reálny rozsah služby. Niektorí poskytovatelia ponúkajú len formálny zápis MKB do registra NBÚ. To nie je riadenie kybernetickej bezpečnosti — to je len administratívny úkon. Skutočný externý MKB preberá zodpovednosť za celý životný cyklus riadenia bezpečnosti: od analýzy rizík cez implementáciu opatrení až po prípravu na audit a riadenie incidentov.
Často kladené otázky
Prečo je externý manažér kybernetickej bezpečnosti lepšia voľba ako interný?
Externý MKB prináša šírku expertízy celého tímu namiesto znalostí jedného človeka. Má skúsenosti z desiatok organizácií a rôznych sektorov, čo mu umožňuje identifikovať riziká a navrhovať riešenia, ktoré interný zamestnanec nevidí. Navyše garantuje zastupiteľnosť a nezávislý pohľad na stav bezpečnosti.
Môže externý MKB fungovať aj pre veľké organizácie s vlastným bezpečnostným tímom?
Áno. Veľké organizácie využívajú externých expertov ako strategických poradcov, ktorí dopĺňajú interný tím o nezávislý pohľad, špecializované znalosti a cross-sektorové skúsenosti. Ide o spoluprácu, nie o nahradenie interného tímu.
Ako je zabezpečená zastupiteľnosť pri externom MKB?
Seriózny poskytovateľ má tím minimálne 3 – 6 certifikovaných odborníkov. Každý klient má primárneho manažéra a minimálne jedného zástupcu, ktorý pozná jeho prostredie. Dokumentácia a znalostná báza sú zdieľané v rámci celého tímu.
Čo ak sa stane bezpečnostný incident mimo pracovnej doby?
Zmluva s externým MKB musí definovať SLA a reakčné časy. Podľa vyhlášky č. 226/2025 Z. z. musíte odoslať včasné varovanie NBÚ do 24 hodín. Kvalitný poskytovateľ má nastavené eskalačné procedúry a dostupnosť podľa dohodnutého SLA, často vrátane 24/7 podpory pri kritických incidentoch.
Aké certifikácie by mal mať externý MKB?
Zákonné minimum je certifikácia podľa § 15 ods. 2 zákona č. 69/2018 Z. z. (ISO/IEC 17024). Nad rámec zákona hľadajte medzinárodné certifikácie ako CISA (audit informačných systémov), CISM (riadenie informačnej bezpečnosti), CDPSE (ochrana dát) alebo GICSP (bezpečnosť priemyselných systémov). Čím širšie portfólio certifikácií tím má, tým viac oblastí dokáže pokryť kvalifikovane.
Záver
Externý manažér kybernetickej bezpečnosti nie je kompromis z dôvodu úspory nákladov. Je to strategické rozhodnutie, ktoré organizácii prináša prístup k širšej expertíze, garantovanú zastupiteľnosť a nezávislý pohľad, aký interný zamestnanec zo svojej podstaty nemôže poskytnúť. Platí to rovnako pre malú obec s desiatimi zamestnancami, ako aj pre veľkú organizáciu s vlastným bezpečnostným oddelením.
Ak zvažujete, ako rolu MKB vo vašej organizácii vyriešiť, ozvite sa nám — radi sa o tom porozprávame.