Implementácia ISMS podľa ISO 27001 vyzerá v učebnici ako prehľadný projekt: definujte rozsah, identifikujte riziká, zaveďte opatrenia, certifikujte. V slovenskej realite roku 2026 ide o oveľa zložitejšiu úlohu, ktorá sa pretína s povinnosťami zo zákona 69/2018 Z. z., novej vyhlášky NBÚ č. 227/2025 Z. z. a tlakom obchodných partnerov, ktorí certifikáciu vyžadujú v zmluvách. Tento článok zhŕňa skúsenosti z implementácií ISMS v rôznych sektoroch — od priemyslu cez verejnú správu až po zdravotníctvo — a popisuje, čo skutočne funguje a kde firmy najčastejšie zlyhávajú.
Cieľom nie je opakovať obsah normy ani teoreticky vysvetľovať PDCA cyklus. Cieľom je dať organizácii, ktorá zvažuje implementáciu ISMS podľa ISO/IEC 27001:2022, realistický pohľad na časové, personálne a finančné nároky a praktický návod, ako sa vyhnúť najdrahším chybám.
Prečo ISMS dnes — a prečo nestačí len ISO 27001
Mnoho slovenských firiem začína projekt ISO 27001 s cieľom „mať certifikát“. Realita roku 2026 je iná. Tlak prichádza z troch strán súčasne:
- Regulatórny tlak. Po novele zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorá nadobudla účinnosť 1. januára 2025, a po vydaní vyhlášky NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach (účinnej od 1. septembra 2025), musí prevádzkovateľ základnej služby preukázať systémový prístup k riadeniu kybernetickej bezpečnosti. ISMS podľa ISO 27001 nie je zákonnou povinnosťou, ale je najpoužívanejším referenčným rámcom, ktorý požiadavky vyhlášky pokrýva.
- Kontraktačný tlak. Veľké firmy a zahraničné materské spoločnosti čoraz častejšie vyžadujú od dodávateľov certifikát ISO 27001 ako vstupnú podmienku do tendra alebo ako prílohu zmluvy.
- Operatívny tlak. Bez systémového rámca nie je možné dlhodobo zvládať incidenty, prístupové práva, dodávateľov a zmeny v IT infraštruktúre. Excelovské tabuľky a ad-hoc opatrenia v určitej veľkosti firmy prestanú stačiť.
Tieto tri tlaky určujú, ako sa má ISMS implementovať. Projekt, ktorý rieši len certifikát, je investícia do papiera. Projekt, ktorý súčasne pokrýva požiadavky vyhlášky 227/2025 a zlepšuje operatívne riadenie, je investícia, ktorá vráti hodnotu.
Realistický pohľad na časový rámec
V slovenskom prostredí trvá kompletná implementácia ISMS od kick-offu po certifikačný audit zvyčajne 9 až 18 mesiacov. Rozdiel závisí od veľkosti firmy, vyspelosti existujúcich procesov a dostupnosti interných zdrojov.
Pre malú alebo strednú firmu (do 100 zamestnancov, jednoduchá IT infraštruktúra, žiadne predošlé certifikácie) sa dá očakávať časový plán 9 až 12 mesiacov. Najväčší blok času zaberie analýza rizík a tvorba dokumentácie — typicky 4 až 6 mesiacov.
Pre väčšiu organizáciu (nad 250 zamestnancov, komplexná IT infraštruktúra, viacero pobočiek alebo dcérskych spoločností) sa časový rámec rozširuje na 15 až 18 mesiacov. Často pribúda potreba paralelnej implementácie ďalších noriem (ISO 22301, ISO 27701, ISO 9001) a integrácia ISMS do existujúceho systému riadenia.
Pre prevádzkovateľa základnej služby je kritický termín daný registráciou v Jednotnom informačnom systéme kybernetickej bezpečnosti. Ak je firma do registra zapísaná v roku 2025, má 12 mesiacov od zápisu na zavedenie bezpečnostných opatrení podľa vyhlášky 227/2025. Implementácia ISMS by mala bežať paralelne s týmto termínom — nie po ňom.
Fázy implementácie, ktoré skutočne fungujú
Schém na implementáciu ISMS existuje veľa. Praktická skúsenosť ukazuje, že najlepšie funguje šesť postupných fáz, ktoré sa môžu čiastočne prekrývať.
Fáza 1: GAP analýza a definovanie rozsahu
Prvá chyba, ktorú firmy robia, je preskočenie tejto fázy. Začnú písať bezpečnostnú politiku skôr, než vedia, kde stoja a čo majú chrániť. GAP analýza odpovedá na otázku, ktoré požiadavky normy ISO/IEC 27001:2022 (vrátane príslušných kontrolných opatrení z prílohy A) firma už má pokryté a kde sú medzery.
Definovanie rozsahu (scope) je strategické rozhodnutie, ktoré ovplyvňuje celý projekt. Príliš úzky rozsah znižuje hodnotu certifikátu — obchodný partner zistí, že certifikát nezahŕňa aktivitu, ktorá sa ho týka. Príliš široký rozsah zase predlžuje implementáciu a komplikuje audit.
Praktické pravidlo: rozsah by mal pokrývať kľúčové obchodné procesy a všetky systémy, ktoré spracúvajú aktíva s vysokou hodnotou. V prípade prevádzkovateľa základnej služby by rozsah mal byť aspoň taký, ako je rozsah základnej služby zapísaný v registri NBÚ.
Fáza 2: Analýza rizík a vyhlásenie o aplikovateľnosti
Analýza rizík je srdce celého ISMS. Norma ISO 27001 nepredpisuje konkrétnu metodiku — je na organizácii, akú zvolí. V slovenskom kontexte sa odporúča kompatibilita s metodikou analýzy rizík, ktorú očakáva NBÚ pri audite kybernetickej bezpečnosti, a s požiadavkami vyhlášky 227/2025 na identifikáciu a ošetrenie rizík.
Najčastejšia chyba: analýza rizík sa robí raz, na jeden deň, na workshope. Výsledok je formálny dokument bez väzby na realitu. Funkčná analýza rizík vyžaduje viacero iterácií, zapojenie vlastníkov procesov a previazanie s registrom aktív.
Vyhlásenie o aplikovateľnosti (Statement of Applicability, SoA) je dokument, ktorý ukazuje, ktoré z 93 kontrolných opatrení normy ISO/IEC 27002:2022 organizácia uplatňuje a prečo. Audítor pri certifikácii s týmto dokumentom pracuje ako s mapou. Ak je nepresný, audit sa predĺži alebo skončí neúspechom.
Fáza 3: Tvorba a implementácia dokumentácie
Norma vyžaduje sadu dokumentov, ktoré tvoria spolu okolo 20 až 40 položiek (v závislosti od rozsahu). Patrí sem politika bezpečnosti informácií, smernice pre riadenie aktív, prístupové práva, kryptografiu, fyzickú bezpečnosť, riadenie dodávateľov, riadenie incidentov, kontinuitu činnosti a ďalšie.
V slovenských firmách sa dokumentácia píše dvakrát — najprv „pre normu“ a potom „pre prax“. To je obrovské plytvanie. Lepší prístup: dokumentácia má od začiatku odrážať reálne procesy. Ak smernica popisuje proces, ktorý vo firme neexistuje, nikto sa ňou nebude riadiť.
Vyhláška 227/2025 navyše vyžaduje špecifickú štruktúru bezpečnostnej dokumentácie. Pri správne navrhnutom ISMS dokumenty pokryjú obe sady požiadaviek súčasne — netreba dva paralelné dokumentačné systémy.
Fáza 4: Implementácia technických a organizačných opatrení
Toto je fáza, kde sa najviac míňa peniaze a kde sa najviac myslí na technológiu. Multifaktorová autentifikácia, segmentácia siete, monitoring bezpečnostných udalostí, šifrovanie, zálohovanie. Vyhláška 227/2025 z. konkrétne požaduje sprísnené riadenie identít a prístupov vrátane povinnej viacfaktorovej autentifikácie pre privilegované účty a nepretržitý monitoring bezpečnostných udalostí s definovanými reakčnými časmi.
Rovnako dôležité — a často zanedbávané — sú organizačné opatrenia. Procesy schvaľovania prístupov, riadenie zmien, klasifikácia informácií, vzdelávanie zamestnancov, riadenie dodávateľov. Bez týchto procesov technické opatrenia nefungujú.
Fáza 5: Interný audit a manažérske preskúmanie
Interný audit musí byť vykonaný pred certifikačným auditom. Cieľom je odhaliť slabé miesta skôr, než ich nájde externý audítor. V praxi sa interný audit často robí formálne, „aby bol“, a stráca svoju funkciu. Funkčný interný audit je tvrdý — nemá za cieľ potvrdiť, že systém funguje, ale nájsť, kde nefunguje.
Manažérske preskúmanie je formálne stretnutie vedenia, na ktorom sa hodnotí výkonnosť ISMS, ciele bezpečnosti, výsledky auditov a incidenty, a rozhoduje sa o zlepšeniach. Bez aktívnej účasti vedenia tento krok stráca zmysel.
Fáza 6: Certifikačný audit
Certifikačný audit prebieha v dvoch etapách. V prvej etape audítor skontroluje pripravenosť dokumentácie a celkový stav ISMS. V druhej etape — typicky 4 až 8 týždňov po prvej — overí reálnu implementáciu na vzorke procesov. Po úspešnom audite je certifikát platný 3 roky, s každoročnými dohľadovými auditmi.
Výber certifikačného orgánu nie je formalita. Akreditácia certifikačného orgánu (na Slovensku akredituje SNAS) má vplyv na to, ako bude certifikát uznaný v zahraničí.
Najčastejšie chyby pri implementácii ISMS
Po desiatkach implementácií sa určité chyby opakujú s prekvapivou pravidelnosťou.
Implementácia bez vlastníka. Projekt nemá jasného sponzora vo vedení a manažéra projektu na strane firmy. Externý konzultant vytvorí dokumentáciu, ale nikto vo firme ju neimplementuje. Pri audite to praskne.
Kopírovanie cudzej dokumentácie. Stiahne sa šablóna alebo dokumentácia od inej firmy a doplnia sa názvy. Audítor sa pýta na konkrétne procesy a odpovede sa rozchádzajú s dokumentáciou. ISMS je kontextový — to, čo funguje vo finančnej inštitúcii, nemusí fungovať v priemyselnej výrobe.
Podcenenie rizikovej analýzy. Zoznam aktív a rizík vznikne za jeden deň, bez vlastníkov procesov, bez prepojenia s reálnym IT prostredím. Vyhláška 227/2025 však vyžaduje riziká prepojené s konkrétnymi opatreniami a s preukázateľným plánom ošetrenia.
Slabé školenie zamestnancov. Bezpečnostná politika existuje, ale zamestnanci ju nečítali. Pri audite sa pýta operátor v sklade, čo robí pri podozrení na phishing, a odpovedá „neviem, treba sa spýtať šéfa“. To stačí na neudelenie certifikátu.
Stagnácia po certifikácii. Firma získa certifikát a vráti sa k starému spôsobu práce. O dva roky pri recertifikačnom audite sa zistí, že register aktív nebol aktualizovaný, riziká neboli prehodnotené, žiadne interné audity neprebehli. Recertifikácia padne.
Personálne nároky: kto vlastne implementáciu ťahá
Implementácia ISMS si vyžaduje kombináciu kompetencií, ktoré málokedy zhromažďuje jeden človek. Vo firme typicky pracujú v role manažéra kybernetickej bezpečnosti, IT správca, právnik (zmluvy, dodávatelia, GDPR) a vlastník hlavného obchodného procesu.
V malej firme sa stáva, že rolu manažéra kybernetickej bezpečnosti vykonáva IT správca, ktorý zároveň rieši helpdesk a infraštruktúru. Výsledok je, že na ISMS nemá čas a projekt stojí. V tejto situácii má zmysel zvážiť externé zabezpečenie tejto roly aspoň počas implementácie. Externý manažér kybernetickej bezpečnosti prináša skúsenosti z implementácií v iných firmách, ktoré ušetrí mesiace pokusov a omylov.
V väčšej organizácii vzniká dilema medzi interným tímom a kombinovaným prístupom. Čisto interný tím má prevahu v znalosti firmy, ale často mu chýba metodika a skúsenosť s certifikáciou. Kombinovaný prístup — interný owner plus externý konzultant — funguje najlepšie. Externý konzultant prinesie metodiku, šablóny a skúsenosti z auditov, interný tím pridá znalosť firmy a zabezpečí, že ISMS naozaj funguje.
Integrácia ISMS s vyhláškou 227/2025 a zákonom 69/2018
Ak je firma prevádzkovateľom základnej služby, ISMS nestačí. Vyhláška 227/2025 vyžaduje konkrétne bezpečnostné opatrenia, ktoré idú nad rámec ISO/IEC 27001 — napríklad vykonávanie auditu kybernetickej bezpečnosti certifikovaným audítorom (samostatná povinnosť mimo certifikácie ISMS) alebo registráciu rizík v štruktúre, ktorú očakáva NBÚ.
Rozumný prístup: ISMS sa navrhne tak, aby súčasne pokrýval požiadavky ISO 27001 aj vyhlášky 227/2025. To znamená, že register rizík obsahuje atribúty požadované normou aj atribúty požadované vyhláškou; bezpečnostná dokumentácia má štruktúru, ktorá zodpovedá obom rámcom; opatrenia sa mapujú na obe sady kontrolných cieľov.
Pri správne navrhnutej implementácii firma získa po jednom projekte súčasne certifikát ISO 27001 aj súlad s vyhláškou 227/2025. Pri zle navrhnutej implementácii má firma dva paralelné systémy, dvojitú dokumentáciu a dvojitú údržbu.
Pohľad z praxe Cyllium
V Cyllium sme sprevádzali implementáciu ISMS v organizáciách rôzneho typu — od stredných výrobných firiem cez nemocnice až po subjekty verejnej správy. Tím tvorí 6 certifikovaných manažérov kybernetickej bezpečnosti a 2 certifikovaní audítori kybernetickej bezpečnosti, s 22+ rokmi skúseností a viac ako 200 dokončenými projektmi.
Praktická skúsenosť, ktorá sa potvrdzuje opakovane: úspešná implementácia začína dôkladnou GAP analýzou a realistickým rozsahom, nie hneď tvorbou dokumentácie. Druhá kľúčová skúsenosť: dokumentácia, ktorú nečítajú zamestnanci, je dokumentácia, ktorá pri audite zlyhá. Tretia: integrácia ISMS s vyhláškou 227/2025 ušetrí firme stovky hodín dvojitej práce, ak sa naplánuje od začiatku.
Vďaka cross-sektorovým skúsenostiam vieme firme priniesť konkrétne riešenia z prostredia, ktoré dáva zmysel — opatrenia overené v zdravotníctve sa neaplikujú mechanicky vo výrobe a opačne. Externé vedenie ISMS implementácie zároveň znamená, že firma nestratí čas na pokusy a omyly s vlastnou metodikou.
Často kladené otázky
Je ISO 27001 povinný pre slovenské firmy?
ISO 27001 nie je zákonnou povinnosťou. Pre prevádzkovateľov základnej služby je povinný systém riadenia kybernetickej bezpečnosti podľa zákona 69/2018 Z. z. a vyhlášky 227/2025 Z. z. ISO 27001 je medzinárodne uznávaný štandard, ktorý tieto požiadavky pokrýva a navyše prináša certifikát uznávaný v zahraničí.
Koľko trvá implementácia ISO 27001 v praxi?
V slovenskom prostredí typicky 9 až 18 mesiacov, podľa veľkosti firmy a vyspelosti existujúcich procesov. Skrátenie pod 9 mesiacov je možné len vo veľmi malých firmách s jednoduchou infraštruktúrou.
Aký je rozdiel medzi auditom kybernetickej bezpečnosti a certifikáciou ISO 27001?
Audit kybernetickej bezpečnosti podľa zákona 69/2018 Z. z. je povinnosť pre prevádzkovateľov základnej služby; vykonáva ho certifikovaný audítor kybernetickej bezpečnosti a opakuje sa každé dva roky. Certifikácia ISO 27001 je dobrovoľná, vykonáva ju akreditovaný certifikačný orgán a osvedčuje súlad ISMS s medzinárodnou normou. Obe činnosti sú samostatné, hoci sa môžu metodicky podporovať.
Je možné implementovať ISMS bez externého konzultanta?
Teoreticky áno, prakticky to vidíme zriedka. Bez externej skúsenosti firma typicky stratí mesiace na pokusy a omyly v metodike, šablónach a interpretácii požiadaviek normy. Náklady na ušetrený čas a vyhnuté chyby zvyčajne prevýšia honorár konzultanta.
Čo sa stane, ak certifikačný audit neprejdeme?
Audítor zaznamená nezhody — väčšie (major) alebo menšie (minor). Pri väčších nezhodách sa certifikát neudelí, kým firma nezhody nenapraví a nepreukáže funkčnosť opatrení. Pri menších nezhodách sa certifikát zvyčajne udelí podmienečne, s povinnosťou nápravy v stanovenej lehote.
Záver a ďalšie kroky
Implementácia ISMS podľa ISO 27001 je investícia do systémového riadenia kybernetickej bezpečnosti. V kontexte vyhlášky 227/2025 a zákona 69/2018 ide o investíciu, ktorá zároveň pokrýva regulatórne povinnosti — ak je projekt navrhnutý s touto perspektívou od začiatku.
Ak zvažujete implementáciu ISMS alebo už projekt beží a chcete ho zladiť s požiadavkami slovenskej legislatívy, odporúčame začať vstupným auditom a GAP analýzou, ktorá ukáže reálny stav a definuje cestu k cieľu. Pre prevádzkovateľov základnej služby môže mať zmysel paralelne navrhnúť bezpečnostnú dokumentáciu podľa vyhlášky 227/2025 tak, aby pokrývala oba rámce súčasne. Pri rozhodovaní o tom, či implementáciu viesť interne alebo s externou podporou, pomôže prehľad o úlohe manažéra kybernetickej bezpečnosti.
Pre konkrétne otázky k vašej situácii nás kontaktujte — radi prediskutujeme rozsah, harmonogram a optimálny postup pre vašu organizáciu.