Kybernetický incident nie je otázka „či“, ale „kedy“. Napriek tomu väčšina slovenských organizácií nemá pripravený incident response plán — dokument, ktorý jasne definuje, kto čo robí v prvých kritických minútach po detekcii útoku. Podľa § 20 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti musia prevádzkovatelia základnej služby prijať bezpečnostné opatrenia vrátane riadenia udalostí a kybernetických bezpečnostných incidentov. Vyhláška č. 227/2025 Z. z. tieto požiadavky spresňuje a vyžaduje plánovanie a testovanie riešenia incidentov minimálne raz za kalendárny rok. V tomto článku vám ukážeme, ako incident response plán vytvoriť, čo musí obsahovať a ako ho udržiavať v súlade s legislatívou.
Čo je incident response plán a prečo ho potrebujete
Incident response plán (IRP) je štruktúrovaný dokument, ktorý opisuje postupy organizácie pri detekcii, analýze, obmedzení, odstránení a obnove po kybernetickom bezpečnostnom incidente. Nejde o formálny papier do šuplíka — ide o operačný dokument, podľa ktorého váš tím koná pod tlakom.
Zákon č. 69/2018 Z. z. v § 20 ods. 3 písm. d) explicitne požaduje bezpečnostné opatrenia pre riadenie udalostí a kybernetických bezpečnostných incidentov. Vyhláška č. 227/2025 Z. z. o bezpečnostných opatreniach tieto požiadavky rozširuje — organizácia musí mať definované, prijaté a oznámené procesy, úlohy a zodpovednosti pri riešení incidentov.
Dôležité je rozlíšiť: incident response plán nie je to isté ako hlásenie incidentov. Hlásenie incidentov upravuje vyhláška č. 226/2025 Z. z. a § 24 zákona 69/2018 Z. z. (povinnosť oznámiť závažný incident NBÚ do 24 hodín). IRP je interný operačný dokument — definuje, čo sa deje vo vnútri organizácie od momentu detekcie.
Legislatívny rámec: Čo presne vyžaduje slovenský zákon
Požiadavky na incident response plán vychádzajú z viacerých úrovní legislatívy. Pochopenie tohto rámca je kľúčové pre vytvorenie plánu, ktorý obstojí aj pri audite kybernetickej bezpečnosti.
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti (v znení novely č. 366/2024 Z. z.)
Zákon v § 20 definuje oblasti, pre ktoré musí prevádzkovateľ základnej služby prijať bezpečnostné opatrenia. Medzi nimi sú riadenie udalostí a kybernetických bezpečnostných incidentov (§ 20 ods. 3 písm. d) a kontinuita prevádzky, zálohovanie, obnova systémov po havárii a krízové riadenie (§ 20 ods. 3 písm. e).
V § 27 zákon upravuje riešenie závažných incidentov na úrovni štátu — NBÚ môže vyhlásiť výstrahu, uložiť povinnosť riešiť incident alebo vykonať reaktívne opatrenie. Prevádzkovateľ základnej služby musí spolupracovať s NBÚ a CSIRT.SK a na výzvu úradu predložiť navrhované ochranné opatrenie.
Vyhláška č. 227/2025 Z. z. o bezpečnostných opatreniach
Vyhláška, účinná od 1. septembra 2025, nahradila pôvodnú vyhlášku č. 362/2018 Z. z. a výrazne spresňuje požiadavky na riadenie incidentov. Organizácia musí zabezpečiť plánovanie a testovanie riešenia kybernetických bezpečnostných incidentov najmenej raz za kalendárny rok. Musí mať definované, prijaté a oznámené procesy, úlohy a zodpovednosti pri riešení incidentov, hodnotenie kybernetických bezpečnostných udalostí a určenie ich priorít, definovaný systém reakcie na kybernetické bezpečnostné incidenty a postupy pre identifikáciu, zber, získanie a uchovanie digitálnych dôkazov súvisiacich s incidentmi.
Vyhláška č. 226/2025 Z. z. o hlásení incidentov
Táto vyhláška stanovuje identifikačné kritériá závažnosti incidentov a požiadavky na hlásenia. IRP musí byť s ňou zosúladený — musí obsahovať postupy pre včasné varovanie (do 24 hodín), oznámenie o incidente (do 72 hodín) a záverečnú správu (do 1 mesiaca).
Smernica NIS2 (Smernica (EÚ) 2022/2555)
Smernica NIS2 je právny základ, z ktorého vychádza slovenská legislatíva. Článok 21 smernice vyžaduje politiky analýzy rizík a bezpečnosti informačných systémov vrátane riešenia incidentov. Článok 23 ustanovuje povinnosti oznamovania. Slovenský zákon 69/2018 v znení novely tieto požiadavky transponuje, no v niektorých oblastiach ide nad rámec smernice — napríklad v špecifických požiadavkách na uchovávanie digitálnych dôkazov.
Šesť fáz incident response plánu
Medzinárodný štandard NIST SP 800-61 definuje štyri fázy riešenia incidentu. Pre potreby slovenských organizácií odporúčame rozšírený šesťfázový model, ktorý zohľadňuje legislatívne požiadavky.
Fáza 1: Príprava
Príprava je základ celého IRP. V tejto fáze organizácia definuje incident response tím (IRT), zabezpečí nástroje a vytvorí komunikačné kanály.
Čo musí obsahovať: zoznam členov IRT s kontaktnými údajmi (vrátane záložných kontaktov mimo pracovnej doby), definíciu rolí — vedúci IRT, technický analytik, komunikačný koordinátor, právny poradca, zoznam externých kontaktov — CSIRT.SK (telefón, e-mail), NBÚ, dodávatelia bezpečnostných služieb, právny zástupca, inventár kritických systémov a sietí s priradením zodpovedností, zoznam nástrojov pre detekciu a analýzu (SIEM, EDR, log management) a komunikačný plán vrátane záložných kanálov (ak je primárny e-mail kompromitovaný).
Fáza 2: Detekcia a identifikácia
Organizácia musí mať schopnosť rozpoznať incident a odlíšiť ho od bežnej bezpečnostnej udalosti. Vyhláška 227/2025 Z. z. vyžaduje hodnotenie kybernetických bezpečnostných udalostí a určenie ich priorít.
Prakticky to znamená definovať klasifikačnú schému incidentov — odporúčame minimálne tri úrovne závažnosti: nízka (bezpečnostná udalosť bez priameho dopadu na prevádzku), stredná (incident s obmedzeným dopadom, bez úniku dát), vysoká (závažný incident — ransomvér, únik citlivých dát, výpadok kritických systémov). Závažný incident podľa § 24 zákona 69/2018 Z. z. a vyhlášky 226/2025 Z. z. spúšťa povinnosť hlásenia NBÚ.
Fáza 3: Obmedzenie a izolácia
Cieľom je zastaviť šírenie incidentu a minimalizovať škody. Vyhláška 227/2025 Z. z. vyžaduje segmentáciu sietí, čo zásadne uľahčuje izoláciu zasiahnutých častí infraštruktúry.
Plán musí obsahovať rozhodovací strom — kto má právomoc odpojiť systém od siete, kto schvaľuje odstávku produkčného prostredia, za akých podmienok sa izoluje celý segment. Tieto rozhodnutia sa nedajú robiť ad hoc pod tlakom — musia byť vopred definované a odsúhlasené vedením.
Fáza 4: Eradikácia a obnova
Po izolácii nasleduje odstránenie príčiny incidentu a obnova systémov do prevádzkyschopného stavu. Zákon v § 20 ods. 3 písm. e) vyžaduje opatrenia pre obnovu systémov po havárii.
IRP musí definovať postup obnovy zo záloh (vrátane overenej zálohy, nie potenciálne kompromitovanej), poradie obnovy systémov podľa priority (kritické služby prvé), kritériá pre potvrdenie, že systém je čistý a bezpečný na opätovné nasadenie, a postup pre návrat z núdzového režimu do bežnej prevádzky.
Fáza 5: Hlásenie a komunikácia
Táto fáza prebieha paralelne s predchádzajúcimi. Slovenský zákon definuje jasné lehoty: včasné varovanie do 24 hodín od zistenia závažného incidentu (prostredníctvom jednotného informačného systému kybernetickej bezpečnosti), oznámenie o incidente do 72 hodín s podrobnejšími informáciami a záverečná správa do 1 mesiaca od incidentu.
IRP musí obsahovať šablóny hlásení pre CSIRT.SK, komunikačný plán voči médiám a verejnosti (ak ide o únik osobných údajov, paralelne vzniká povinnosť oznámenia podľa GDPR), internú komunikáciu voči zamestnancom a vedeniu a komunikáciu voči dotknutým tretím stranám a zákazníkom.
Fáza 6: Poučenie a zlepšenie
Po vyriešení incidentu je povinnosťou analyzovať priebeh a prijať ochranné opatrenia. Podľa § 27 ods. 7 zákona 69/2018 Z. z. prevádzkovateľ základnej služby prijíma ochranné opatrenie na základe analýzy riešeného incidentu.
Post-incident review musí obsahovať časovú os incidentu (kedy bol detekovaný, kedy izolovaný, kedy odstránený), analýzu root cause — čo bola pôvodná príčina, hodnotenie efektívnosti IRP — čo fungovalo, čo nie, identifikáciu nedostatkov a akčný plán na ich odstránenie a aktualizáciu IRP na základe zistení.
Eskalačná matica: Kto rozhoduje
Jedným z najkritickejších prvkov IRP je jasná eskalačná matica. V praxi sme sa stretli s organizáciami, kde incident trval hodiny navyše len preto, že nebolo jasné, kto má právomoc rozhodnúť o odstávke systému.
Odporúčaná štruktúra eskalačnej matice zahŕňa tieto úrovne: úroveň 1 (L1) — bezpečnostný operátor, prvý kontakt, vyhodnocuje udalosti, eskaluje na L2; úroveň 2 (L2) — senior analytik alebo manažér kybernetickej bezpečnosti, rozhoduje o klasifikácii incidentu a aktivácii IRP; úroveň 3 (L3) — vedúci IRT, rozhoduje o izolácii systémov, koordinuje externú pomoc; úroveň 4 (L4) — štatutárny orgán / krízový štáb, rozhoduje o komunikácii voči médiám, regulátorom, zákazníkom.
Manažér kybernetickej bezpečnosti podľa § 20 ods. 3 písm. a) zákona 69/2018 Z. z. musí byť nezávislý od riadenia prevádzky IT a vývoja — to znamená, že nesmie podliehať tlaku na „neriešenie“ incidentu kvôli prevádzkový dôvodom.
Testovanie plánu: Zákonná povinnosť, nie odporúčanie
Vyhláška 227/2025 Z. z. explicitne vyžaduje testovanie riešenia incidentov minimálne raz za kalendárny rok. Testovanie nie je formalita — ide o preverenie, či plán v praxi funguje.
Formy testovania zahŕňajú tabletop cvičenie (simulovaný scenár, diskusia nad postupmi bez reálneho zásahu do systémov — vhodné pre prvé testovanie alebo pre manažment), funkčný test (simulácia incidentu v testovacom prostredí s reálnym vykonaním krokov IRP) a plnohodnotné cvičenie (red team/blue team simulácia s reálnym útokom na infraštruktúru — najnáročnejšie, ale najpresnejšie).
Po každom teste je nutné zdokumentovať zistenia a aktualizovať IRP. Bez dokumentácie test pri audite neobstojí.
Uchovávanie digitálnych dôkazov
Vyhláška 227/2025 Z. z. vyžaduje postupy pre identifikáciu, zber, získanie a uchovanie digitálnych dôkazov. Toto je oblasť, ktorú mnoho organizácií podceňuje — a pri vyšetrovaní incidentu potom chýbajú kľúčové informácie.
IRP musí definovať aké logy sa zbierajú a ako dlho sa uchovávajú (minimálne po dobu potrebnú na forenzné vyšetrenie), kto je zodpovedný za zaistenie dôkazov (chain of custody), postup pre forenzné zabezpečenie obrazov diskov a pamäte, a pravidlá pre manipuláciu s dôkazmi tak, aby boli použiteľné v prípadnom právnom konaní.
Prepojenie IRP s ďalšími dokumentmi
Incident response plán nefunguje izolovane. Musí byť prepojený s bezpečnostnou dokumentáciou podľa vyhlášky 227/2025 Z. z. (bezpečnostná politika, analýza rizík, klasifikácia aktív), plánom kontinuity prevádzky (BCP) a plánom obnovy po havárii (DRP), internými smernicami pre hlásenie incidentov podľa vyhlášky 226/2025 Z. z. a politikou ochrany osobných údajov (GDPR notifikácie pri úniku dát).
Najčastejšie chyby pri tvorbe incident response plánu
Z praxe poznáme niekoľko opakujúcich sa chýb: plán existuje, ale nikto ho nečítal (IRP musí byť komunikovaný celému IRT a kľúčovým stakeholderom), kontaktné údaje nie sú aktuálne (ľudia menia pozície, telefónne čísla — IRP treba revidovať minimálne raz za polrok), chýba eskalačná matica (bez jasných právomocí sa incident neefektívne predlžuje), plán nebol testovaný (prvý reálny incident nie je vhodný čas na zistenie, že plán nefunguje) a chýba postup pre uchovanie dôkazov (po reštarte kompromitovaného systému sú forenzné dáta nenávratne stratené).
Ako to rieši Cyllium v praxi
V Cyllium pomáhame organizáciám s tvorbou incident response plánov ako súčasť komplexného riadenia kybernetickej bezpečnosti. Naši certifikovaní manažéri kybernetickej bezpečnosti — tím s certifikáciami CISA, CISM a GICSP — pristupujú k IRP nie ako k izolovanému dokumentu, ale ako k súčasti celého systému riadenia bezpečnosti.
Skúsenosti z viac ako 200 projektov naprieč rôznymi sektormi — od zdravotníctva cez verejnú správu po priemysel — nám umožňujú vytvárať plány, ktoré zohľadňujú špecifické riziká a prevádzkové podmienky každého sektora. Napríklad incident response v nemocnici má úplne iné priority ako v priemyselnom podniku s OT systémami.
Zastupiteľnosť je ďalšia výhoda tímu — pri reálnom incidente potrebujete dostupnosť 24/7, čo jeden interný zamestnanec nedokáže garantovať. Tím šiestich certifikovaných MKB pokrývajúcich rôzne sektory zabezpečuje kontinuitu aj mimo pracovnej doby.
Často kladené otázky
Je incident response plán zákonnou povinnosťou na Slovensku?
Áno. Zákon č. 69/2018 Z. z. v § 20 vyžaduje od prevádzkovateľov základnej služby bezpečnostné opatrenia pre riadenie incidentov. Vyhláška č. 227/2025 Z. z. požiadavky spresňuje — organizácia musí mať definované procesy, úlohy a zodpovednosti pri riešení incidentov a testovať ich minimálne raz ročne.
Ako často musím incident response plán testovať?
Vyhláška 227/2025 Z. z. vyžaduje testovanie minimálne raz za kalendárny rok. V praxi odporúčame minimálne jedno tabletop cvičenie ročne a jeden funkčný test. Po každom reálnom incidente je tiež potrebné plán preveriť a aktualizovať.
Aký je rozdiel medzi incident response plánom a hlásením incidentov?
IRP je interný operačný dokument — definuje, čo robí organizácia od momentu detekcie. Hlásenie incidentov je legislatívna povinnosť voči NBÚ — včasné varovanie do 24 hodín, oznámenie do 72 hodín, záverečná správa do 1 mesiaca. IRP musí obsahovať postupy pre obe aktivity, ale sú to odlišné procesy.
Čo hrozí organizácii, ak nemá incident response plán?
Absencia IRP je porušením § 20 zákona 69/2018 Z. z. Podľa § 31 hrozia správne delikty s pokutou do 10 000 000 € alebo 2 % z čistého obratu. Okrem pokuty je reálnym rizikom, že bez plánu bude reakcia na incident chaotická — čo zvyšuje škody, predlžuje výpadok a môže viesť k porušeniu lehôt pre hlásenie.
Musí byť incident response plán súčasťou bezpečnostnej dokumentácie?
Áno. Vyhláška 227/2025 Z. z. stanovuje obsah a štruktúru bezpečnostnej dokumentácie, ktorej súčasťou musia byť aj postupy pre riadenie incidentov. IRP je integrálnou súčasťou bezpečnostnej dokumentácie a musí byť konzistentný s analýzou rizík a bezpečnostnou politikou organizácie.
Ďalší krok
Ak vaša organizácia ešte nemá incident response plán, alebo ak existujúci plán nebol testovaný či aktualizovaný podľa vyhlášky 227/2025 Z. z., je najvyšší čas to zmeniť. Kontaktujte nás pre nezáväznú konzultáciu — pomôžeme vám posúdiť aktuálny stav pripravenosti a navrhnúť riešenie na mieru.