Sedem z desiatich slovenských nemocníc už čelilo kybernetickému útoku. Výpadok informačného systému v zdravotníckom zariadení nie je len prevádzkovým problémom — dokáže odstrihnúť lekárov od zdravotnej dokumentácie, zablokovať laboratórne výsledky a v niektorých prípadoch priamo ohroziť život pacienta. Zdravotníctvo je zároveň jedným zo sektorov s najvyššou kritickosťou podľa smernice NIS2 a transponovaných slovenských predpisov. V tomto článku rozoberáme, aké konkrétne povinnosti platia pre nemocnice, polikliniky a ďalších poskytovateľov zdravotnej starostlivosti v roku 2026, kde sú najväčšie riziká a ako postupovať pri budovaní systému riadenia kybernetickej bezpečnosti, aby organizácia splnila zákon a zároveň skutočne znížila riziko.
Prečo je kybernetická bezpečnosť v zdravotníctve kritická
Zdravotnícke zariadenia spracúvajú citlivé osobné údaje o zdraví, prevádzkujú klinické informačné systémy, laboratórne prístroje, zobrazovacie modality a čoraz častejšie aj IoT zariadenia pri posteli pacienta. To ich robí mimoriadne atraktívnym cieľom pre útočníkov.
Tri vlastnosti robia sektor obzvlášť zraniteľným:
Prvá je hĺbka digitalizácie bez proporčného investičného dlhu do bezpečnosti. Elektronické zdravotné záznamy, PACS systémy pre rádiológiu, laboratórne informačné systémy a biomedicínske prístroje sú dnes bežne prepojené, no bezpečnostná architektúra často zaostáva o 10–15 rokov.
Druhá je časová tieseň. Ransomvérový útok, ktorý v obchodnej spoločnosti znamená finančnú stratu a odstávku, v nemocnici znamená, že pacient čaká na výsledok CT, ktorý sa nedá prečítať, alebo že personál pracuje „na papieri“ pri akútnom príjme. Útočníci to vedia a výkupné žiadajú vedome vyššie, lebo nemocnice sú pod tlakom zaplatiť rýchlo.
Tretia je komplexná sieť dodávateľov a zariadení. Biomedicínske prístroje často bežia na starších operačných systémoch, ktoré výrobca nepodporuje, ale zdravotnícke zariadenie ich nemôže len tak vymeniť kvôli certifikácii zdravotníckej pomôcky. Tieto „neodstrániteľné“ zraniteľnosti sú realitou, s ktorou sa bezpečnostná architektúra musí vyrovnať.
Kto v zdravotníctve spadá pod povinnosti kybernetického zákona
Povinnosti v oblasti kybernetickej bezpečnosti v SR vyplývajú zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a jeho vykonávacích predpisov, predovšetkým z vyhlášky NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach a vyhlášky č. 226/2025 Z. z. o hlásení incidentov. Novela zákona 69/2018 účinná od 1. januára 2025 transponovala smernicu (EÚ) 2022/2555 (NIS2) do slovenského právneho poriadku a výrazne rozšírila okruh povinných subjektov.
Zdravotníctvo je v NIS2 zaradené medzi sektory s vysokou kritickosťou. Do pôsobnosti novely zákona spadajú v zásade tieto typy organizácií v sektore:
- poskytovatelia zdravotnej starostlivosti (vrátane nemocníc a polikliník), ktorí spĺňajú veľkostné kritériá, teda spravidla stredné a väčšie subjekty nad 50 zamestnancov alebo s obratom/bilančnou sumou nad 10 miliónov EUR,
- referenčné laboratóriá EÚ,
- subjekty vykonávajúce výskum a vývoj liekov,
- výrobcovia základných farmaceutických prípravkov,
- výrobcovia zdravotníckych pomôcok považovaných za kritické počas ohrozenia verejného zdravia.
V praxi to znamená, že pod novelu padajú prakticky všetky väčšie nemocnice, stovky polikliník, vybrané ambulantné sieťové subjekty a špecializované zariadenia. Podľa odhadov sa len v zdravotníctve povinnosti dotýkajú stoviek subjektov, ktoré predtým pod starou legislatívou nestáli na zozname prevádzkovateľov základných služieb.
Rozhodnutie, či konkrétne zdravotnícke zariadenie je povinnou osobou a či spadá do kategórie kľúčového alebo dôležitého subjektu, má priamy vplyv na rozsah povinností, frekvenciu auditu aj výšku hroziacich sankcií. Táto kategorizácia nie je triviálna a odporúčame ju dôsledne zdokumentovať hneď na začiatku implementácie.
Hlavné povinnosti v praxi
Bez ohľadu na veľkosť subjektu sa povinnosti v zdravotníctve dajú rozdeliť do šiestich pilierov.
1. Registrácia a kategorizácia
Prevádzkovateľ základnej služby sa musí zaregistrovať v jednotnom informačnom systéme kybernetickej bezpečnosti (JISKB) NBÚ. Rovnako musí určiť a NBÚ oznámiť manažéra kybernetickej bezpečnosti a bezpečnostný styčný bod. Manažér musí byť nezávislý od riadenia prevádzky IT, čo je v menších nemocniciach bez dostatočných personálnych zdrojov komplikované a v mnohých prípadoch je to jeden z hlavných dôvodov, prečo sa volí externý MKB.
2. Analýza rizík a kategorizácia aktív
Zariadenie musí identifikovať svoje siete a informačné systémy a zaradiť ich do kategórií podľa dopadu. Pre zdravotníctvo to v praxi znamená mapovanie klinických informačných systémov, laboratórnych a zobrazovacích systémov, technológie PACS, systému eHealth, lekárňových systémov, systémov personalistiky a účtovníctva a tiež operačnej technológie (OT) — napríklad technologickej infraštruktúry budov, energetiky a medicínskych prístrojov. Výstupom je zoznam aktív, mapa rizík a plán ich ošetrenia.
3. Bezpečnostné opatrenia podľa vyhlášky 227/2025
Vyhláška NBÚ č. 227/2025 Z. z., účinná od 1. septembra 2025, stanovuje obsah bezpečnostných opatrení, rozsah všeobecných bezpečnostných opatrení pre siete a informačné systémy, ako aj pre operačnú technológiu, a tiež obsah a štruktúru bezpečnostnej dokumentácie. Pre zdravotníctvo sú kriticky dôležité najmä:
- segmentácia siete — oddelenie klinickej siete od administratívnej, oddelenie siete biomedicínskych prístrojov (najmä tých bežiacich na starších OS) do samostatnej zóny s kontrolovaným prístupom,
- riadenie identít a prístupov vrátane viacfaktorovej autentifikácie pre privilegované účty a vzdialené prístupy,
- kontinuálne monitorovanie bezpečnostných udalostí s definovanými časmi reakcie,
- riadenie zraniteľností so zohľadnením obmedzení certifikovaných zdravotníckych prístrojov,
- zálohovanie kritických klinických dát s testovaním obnovy,
- bezpečnosť dodávateľského reťazca — preverovanie dodávateľov SW, cloudových služieb a biomedicínskych technológií.
Pre subjekty novo zaregistrované v roku 2025 platí prechodné obdobie 12 mesiacov od registrácie na uvedenie opatrení do súladu.
4. Hlásenie incidentov podľa vyhlášky 226/2025
Vyhláška č. 226/2025 Z. z. upresňuje postupy a obsah hlásenia. NIS2 zaviedla trojfázový mechanizmus:
- včasné varovanie do 24 hodín od zistenia významného incidentu,
- oznámenie incidentu do 72 hodín s detailmi rozsahu a dopadu,
- záverečná správa do jedného mesiaca od oznámenia.
Pre nemocnicu je kritické mať interné pravidlá, ktoré určia, kto má právomoc v noci a cez víkend aktivovať komunikáciu s NBÚ, aby sa stihol 24-hodinový termín. Chýbajúci proces eskalácie je v praxi najčastejšou príčinou omeškaného hlásenia.
5. Audit alebo samohodnotenie
Prevádzkovateľ základnej služby je povinný raz za dva roky overiť súlad svojich opatrení. Pre siete a informačné systémy kategórie I. a II. je možné pre audity, ktoré pripadajú na roky 2025 a 2026, splniť túto povinnosť aj samohodnotením prostredníctvom JISKB. Pre vyššiu kategóriu kritickosti je nevyhnutný audit certifikovaným audítorom. Jeho rozsah definuje vyhláška č. 493/2022 Z. z. o audite kybernetickej bezpečnosti.
6. Školenia a bezpečnostné povedomie
Zákon aj vyhláška vyžadujú pravidelné školenia zamestnancov. V zdravotníctve je to obzvlášť dôležité — phishing zacielený na personál ambulancií a oddelení je najčastejším vstupným vektorom. Všeobecné e-learningy nestačia; účinné sú simulované phishingové kampane, cielené krátke tréningy pre lekárov a sestry a samostatné pravidlá pre IT administrátorov a privilegovaných používateľov.
Najčastejšie hrozby v zdravotníctve
Hrozby nie sú teoretické. Štatistiky v SR a v regióne ukazujú opakujúce sa vzorce.
Ransomvér zostáva dominantnou hrozbou. Útočníci vedome mieria na nemocnice kvôli urgentnosti prevádzky. Útok sa typicky začína kompromitáciou cez phishing alebo nechránenú vzdialenú službu, pokračuje laterálnym pohybom cez slabo segmentovanú sieť a končí zašifrovaním kritických serverov.
Phishing a podvodné prevody cez kompromitované mailboxy personálu sú realitou, ktorú nepokryje žiadny antivír.
Kompromitované biomedicínske prístroje — zariadenia s neaktualizovaným firmvérom alebo starými operačnými systémami sú bežne prítomné v slovenských nemocniciach a tvoria vstupný bod aj platformu pre útočníkov, ktorí ich dokážu zneužiť ako bránu do klinickej siete.
Narušenie dostupnosti — DDoS útoky na portály, výpadky e-mailu alebo nemocničného informačného systému, ktoré spôsobia oneskorenie zdravotnej starostlivosti.
Únik údajov o pacientoch — vedľajší efekt ransomvéru, no v niektorých prípadoch aj cielený krádež dát. Únik zdravotných údajov patrí medzi najcitlivejšie kategórie aj podľa GDPR (článok 9).
Praktický postup: ako začať a čo prioritizovať
Nemocnica, ktorá začína v roku 2026 od nuly, nedokáže urobiť všetko naraz. V praxi odporúčame postupovať vo štyroch fázach.
Fáza 1 — inventarizácia a gap analýza (1–2 mesiace). Zmapovať informačné systémy, prístroje, dodávateľov a existujúcu dokumentáciu. Porovnať voči požiadavkám 227/2025 a identifikovať najväčšie medzery. Výstupom je prioritizovaný akčný plán.
Fáza 2 — základné kontroly (2–4 mesiace). Zaviesť viacfaktorovú autentifikáciu na privilegovaných účtoch, vzdialených prístupoch a účtoch s prístupom k zdravotnej dokumentácii. Segmentovať sieť — minimálne oddeliť klinickú, administratívnu a sieť biomedicínskych zariadení. Overiť zálohovanie kritických systémov a otestovať obnovu.
Fáza 3 — riadenie rizík a dokumentácia (3–6 mesiacov). Vypracovať analýzu rizík podľa novej metodiky, bezpečnostnú politiku, plán kontinuity, plán reakcie na incidenty a dokumentáciu vyžadovanú vyhláškou 227/2025. Definovať procesy hlásenia incidentov s 24/72-hodinovými termínmi.
Fáza 4 — monitoring a zlepšovanie (priebežne). Zaviesť SIEM/SOC kapacitu aspoň v základnej forme, pravidelné skenovanie zraniteľností, kampane proti phishingu a interné audity. Pripraviť sa na prvý externý audit alebo samohodnotenie.
Podľa našej skúsenosti z reálnych projektov je najčastejším úzkym miestom kombinácia chýbajúceho manažéra kybernetickej bezpečnosti a slabého napojenia na vedenie. Technické opatrenia sa dajú obstarať; governance, riadenie rizík a pravidelné rozhodovanie vedenia nemocnice sú v mnohých prípadoch to, čo potrebuje najviac pozornosti.
Cyllium v zdravotníckych projektoch
Cyllium dlhodobo spolupracuje so zdravotníckymi zariadeniami — štátnymi aj súkromnými — od malých polikliník po veľké nemocnice. Vieme, že kybernetická bezpečnosť v zdravotníctve sa neriadi len podľa štandardov; riadi sa podľa reality oddelení, ambulancií a prístrojov, ktoré nemôžu byť na týždeň odpojené kvôli implementácii.
Tím Cyllium zahŕňa šesť certifikovaných manažérov kybernetickej bezpečnosti, dvoch certifikovaných audítorov KB a viac než 15 medzinárodných certifikácií vrátane CISA, CISM, CIA, CDPSE, CEH a GICSP — spolu 22+ rokov skúseností a viac než 200 úspešných projektov. Táto šírka znalostí je pri zdravotníckych projektoch dôležitá — súbežne sa rieši regulácia, klinická prevádzka, ochrana osobných údajov a špecifiká biomedicínskych technológií.
Pre zdravotnícke zariadenia kombinujeme rolu externého manažéra kybernetickej bezpečnosti s gap analýzou, prípravou dokumentácie podľa 227/2025, nastavením hlásenia incidentov podľa 226/2025, interným auditom a tréningmi personálu. Ak tím nemá vlastnú kapacitu, dokážeme prevziať rolu MKB dlhodobo; ak ju má, pôsobíme ako poradca a audítor.
FAQ — Najčastejšie otázky
Vzťahujú sa povinnosti zákona 69/2018 aj na malé polikliniky a ambulancie?
Nie vždy. Kľúčové sú veľkostné kritériá novely: spravidla 50+ zamestnancov alebo obrat nad 10 mil. EUR. Menšie ambulancie väčšinou nespadajú pod zákon 69/2018, ale stále musia dodržiavať GDPR a odporúčané štandardy. Každý subjekt by si mal preveriť svoju kategorizáciu individuálne.
Môže nemocnica splniť povinnosť auditu samohodnotením?
Pre siete a informačné systémy kategórie I. a II. áno, a to pre audit splatný v rokoch 2025 a 2026, formou samohodnotenia v JISKB. Pre vyššie kategórie kritickosti je potrebný audit certifikovaným audítorom kybernetickej bezpečnosti.
Aké sú pokuty za nesplnenie povinností?
Podľa novely zákona 69/2018 a NIS2 môžu sankcie dosiahnuť až 10 miliónov EUR alebo 2 % z celosvetového čistého obratu pre kľúčové subjekty, a 7 miliónov EUR alebo 1,4 % pre dôležité subjekty. Okrem finančných sankcií môže NBÚ nariadiť opatrenia, zákaz výkonu funkcie alebo pozastavenie certifikácií.
Kto má byť v nemocnici manažérom kybernetickej bezpečnosti?
Osoba s potrebnou kvalifikáciou a certifikáciou podľa požiadaviek NBÚ, ktorá je nezávislá od riadenia IT prevádzky a má priamy prístup k štatutárnemu orgánu. V mnohých nemocniciach je táto nezávislosť ťažko dosiahnuteľná interne; v takom prípade je bežným a často vhodnejším riešením externý manažér kybernetickej bezpečnosti.
Ako sa majú hlásiť významné incidenty?
Podľa vyhlášky 226/2025 Z. z. a NIS2 platí trojfázový model: včasné varovanie do 24 h, oznámenie incidentu do 72 h, záverečná správa do 1 mesiaca. Hlási sa cez JISKB NBÚ. V nemocnici musí byť jasne definované, kto je oprávnený spúšťať eskaláciu aj mimo pracovného času.
Ďalšie kroky
Ak vaša nemocnica alebo poliklinika zvažuje, ako začať s implementáciou, odporúčame prejsť postup pre analýzu rizík podľa novej metodiky, získať prehľad o požiadavkách na bezpečnostnú dokumentáciu podľa 227/2025 a porovnať, či je pre vás vhodnejšie samohodnotenie alebo plný audit.
V prípade, že potrebujete konzultáciu alebo preveriť stav vašej organizácie, ozvite sa nám — pomôžeme so zorientovaním a návrhom ďalších krokov.