Verejná správa na Slovensku sa stáva čoraz častejším terčom kybernetických útokov. Mestá, obce, ministerstvá aj regionálne úrady spracúvajú obrovské množstvo citlivých údajov občanov — od rodných čísel cez zdravotné záznamy po majetkové priznania. Práve preto zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení novely č. 366/2024 Z. z. zaraďuje verejnú správu medzi sektory s vysokou úrovňou kritickosti. Ak ste obec, mesto, VÚC alebo ústredný orgán štátnej správy, tento článok vám ukáže, aké povinnosti máte, aké termíny vás čakajú a ako sa na ne pripraviť.
Prečo je verejná správa kľúčovým sektorom kybernetickej bezpečnosti
Verejná správa nie je len administratívny aparát. Je to digitálna infraštruktúra, na ktorej závisí fungovanie štátu. Matričné úrady, katastrálne portály, informačné systémy obcí, elektronické schránky — všetko sú to služby, ktorých výpadok môže paralyzovať tisíce občanov.
Smernica NIS2 (Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555), transponovaná do slovenského práva zákonom č. 366/2024 Z. z., explicitne zaraďuje verejnú správu medzi kľúčové subjekty. Na Slovensku sa podľa dôvodovej správy k novele zákona dotýka kybernetická regulácia najmenej 3 403 organizácií — a významná časť z nich patrí práve do verejného sektora.
Správa o kybernetickej bezpečnosti v SR za rok 2025 potvrdzuje, že útoky na verejnú správu rastú. Ransomvér, phishingové kampane cielené na zamestnancov úradov a zneužívanie slabých hesiel patria medzi najčastejšie vektory. Stačí jeden zamestnanec, ktorý klikne na podvrhnutý e-mail — a útočník získa prístup k celej sieti úradu.
Pritom mnohé samosprávy nemajú ani základné bezpečnostné opatrenia — chýba im segmentácia siete, viacfaktorová autentifikácia aj plán reakcie na incidenty. Nedostatok odborníkov je ešte vypuklejší ako v súkromnom sektore: podľa odhadov na Slovensku chýba viac ako 8 000 kybernetických špecialistov. Pre malú obec s rozpočtom na IT v rádoch tisícov eur ročne je vytvorenie interného bezpečnostného tímu nereálne.
Vláda SR schválila Národnú stratégiu kybernetickej bezpečnosti na roky 2026–2030, ktorá kladie dôraz na systematické posilňovanie odolnosti a ochranu kritickej infraštruktúry. Pre samosprávy to znamená, že tlak na implementáciu opatrení sa bude len zvyšovať.
Kto spadá pod reguláciu: Kategórie subjektov verejnej správy
Novela zákona č. 69/2018 Z. z. rozlišuje dva základné typy regulovaných subjektov:
Prevádzkovateľ kritickej základnej služby (PKZS) — kľúčové subjekty v sektoroch s vysokou úrovňou kritickosti, vrátane ústredných orgánov štátnej správy, samosprávnych krajov a väčších miest.
Prevádzkovateľ základnej služby (PZS) — subjekty v ďalších regulovaných sektoroch, vrátane menších obcí a organizácií verejnej správy na regionálnej úrovni.
Podstatná zmena oproti predchádzajúcej právnej úprave: pod NIS2 spadajú všetky subjekty verejnej správy na regionálnej a centrálnej úrovni bez ohľadu na veľkosť. Predtým sa regulácia vzťahovala len na subjekty spĺňajúce stanovené kritériá — teraz je plošná.
Orgány štátnej správy majú navyše povinnosť identifikovať kritické subjekty najneskôr do 17. júla 2026 podľa zákona o kritickej infraštruktúre, čo priamo súvisí s kybernetickou bezpečnosťou.
Povinnosti podľa zákona 69/2018 Z. z. a vyhlášky 227/2025 Z. z.
Zákon o kybernetickej bezpečnosti v aktuálnom znení ukladá subjektom verejnej správy niekoľko kľúčových povinností.
Registrácia na NBÚ. Každý subjekt, ktorý prevádzkuje základnú službu, sa musí zaregistrovať v registri prevádzkovateľov základných služieb vedeného Národným bezpečnostným úradom. Registrácia prebieha cez Jednotný informačný systém kybernetickej bezpečnosti (JISKB) na portáli nis2.nbu.gov.sk.
Určenie manažéra kybernetickej bezpečnosti. Podľa § 15 zákona č. 69/2018 Z. z. je každý PZS povinný určiť manažéra kybernetickej bezpečnosti (MKB). Tento manažér musí byť certifikovaný — musí splniť požiadavky odbornej spôsobilosti stanovené NBÚ. MKB môže byť interný zamestnanec alebo externý odborník. Práve pre verejnú správu je externý model často jedinou realistickou cestou, pretože na Slovensku chýba podľa odhadov viac ako 8 000 kybernetických špecialistov.
Vypracovanie bezpečnostnej dokumentácie. Vyhláška č. 227/2025 Z. z. o bezpečnostných opatreniach, účinná od 1. septembra 2025, stanovuje obsah a štruktúru bezpečnostnej dokumentácie. Každý PZS musí mať vypracovanú bezpečnostnú stratégiu, politiku, analýzu rizík a ďalšie dokumenty podľa kategórie opatrení.
Analýza rizík. Subjekt musí identifikovať aktíva, hrozby a zraniteľnosti, vyhodnotiť riziká a prijať primerané opatrenia. Metodiku analýzy rizík definuje vyhláška 227/2025 Z. z. v súlade s medzinárodnými štandardmi.
Implementácia bezpečnostných opatrení. Rozsah opatrení závisí od kategórie, do ktorej subjekt patrí. Vyhláška 227/2025 Z. z. nahrádza pôvodnú vyhlášku 362/2018 Z. z. a prináša sprísnené požiadavky vrátane povinnej segmentácie siete, viacfaktorovej autentifikácie pre privilegované účty a nepretržitého monitoringu bezpečnostných udalostí.
Hlásenie incidentov. Vyhláška č. 226/2025 Z. z. definuje kritériá závažného narušenia a stanovuje povinnosť hlásiť kybernetické bezpečnostné incidenty Národnému bezpečnostnému úradu. Prvé hlásenie musí byť podané do 24 hodín od zistenia závažného incidentu, priebežná správa do 72 hodín a záverečná správa do 30 dní. Podrobnejšie sme túto tému rozoberali v článku Hlásenie kybernetických incidentov podľa vyhlášky 226/2025.
Pravidelný audit. Prevádzkovatelia základných služieb musia vykonať audit kybernetickej bezpečnosti každé dva roky. Audit smie vykonať len certifikovaný audítor kybernetickej bezpečnosti splňujúci požiadavky NBÚ. Výsledkom je správa z auditu, ktorá sa predkladá NBÚ a slúži ako základ pre plánovanie ďalších opatrení. Viac o tom, prečo záleží na kvalite audítora, nájdete v našom článku o audite kybernetickej bezpečnosti.
Kategórie bezpečnostných opatrení: Čo platí pre vašu obec
Vyhláška 227/2025 Z. z. rozlišuje tri kategórie bezpečnostných opatrení — I, II a III — pričom zaradenie závisí od veľkosti a typu subjektu.
Obce do 1 000 obyvateľov — minimálne bezpečnostné opatrenia Kategórie I. Ide o základné opatrenia zahŕňajúce riadenie prístupov, zálohovanie, antivírusovú ochranu a elementárne bezpečnostné politiky. Aj malá obec však musí mať určeného MKB a vypracovanú základnú bezpečnostnú dokumentáciu.
Obce do 6 000 obyvateľov alebo obce s mestským štatútom — minimálne bezpečnostné opatrenia Kategórie I, pričom ak sú zaradené ako PZS, implementujú opatrenia podľa zákona. Pre tieto obce pribúdajú požiadavky na riadenie rizík, incident response postupy a pravidelné bezpečnostné hodnotenie.
Obce nad 6 000 obyvateľov, mestské časti s právnou subjektivitou, krajské mestá a samosprávne kraje — minimálne bezpečnostné opatrenia Kategórie I, II a III. Tieto subjekty musia implementovať komplexné bezpečnostné opatrenia vrátane segmentácie siete, monitoringu v reálnom čase, riadenia dodávateľského reťazca, pravidelných penetračných testov a detailného plánu kontinuity činností.
Pre ústredné orgány štátnej správy platia najprísnejšie požiadavky — ako PKZS musia splniť všetky tri kategórie opatrení v plnom rozsahu.
V praxi to pre menšie obce znamená, že musia zvládnuť aspoň základy: zabezpečiť zálohy, riadiť prístupy, mať antivírus a vedieť, koho kontaktovať v prípade incidentu. Pre väčšie mestá a VÚC sú požiadavky porovnateľné s korporátnym prostredím — vrátane nepretržitého monitoringu, SIEM riešení a pravidelných bezpečnostných cvičení.
Prechodné obdobie a kľúčové termíny v roku 2026
Pre subjekty, ktoré boli prevádzkovateľmi základných služieb podľa zákona platného do 31. decembra 2024, platí prechodné obdobie do 31. decembra 2026. Počas tohto obdobia môžu postupovať podľa starých aj nových pravidiel.
Od 1. januára 2027 však musia všetky subjekty fungovať výlučne podľa nového regulačného rámca — zákon 69/2018 Z. z. v znení novely 366/2024 Z. z., vyhláška 227/2025 Z. z. a vyhláška 226/2025 Z. z.
Kľúčové termíny pre rok 2026:
- 1. január 2025 — účinnosť novely zákona 366/2024 Z. z. (už platí)
- 1. september 2025 — účinnosť vyhlášky 227/2025 Z. z. o bezpečnostných opatreniach (už platí)
- 17. júl 2026 — deadline identifikácie kritických subjektov
- 31. december 2026 — koniec prechodného obdobia pre existujúcich PZS
- 1. január 2027 — povinný prechod na nový regulačný rámec
Ak vaša organizácia ešte nezačala s prípravou, zostáva vám menej ako 7 mesiacov.
Financovanie: Dotácie na kybernetickú bezpečnosť vo verejnej správe
Ministerstvo investícií, regionálneho rozvoja a informatizácie SR (MIRRI) vyhlásilo dopytovo-orientovanú výzvu „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni — verejná správa“ z Programu Slovensko 2021–2027 v celkovej alokácii 10 miliónov EUR. Z toho 3 milióny smerujú do viac rozvinutých regiónov a 7 miliónov do menej rozvinutých regiónov.
Oprávnenými žiadateľmi sú subjekty verejnej správy zaradené v registri PZS v sektore „Verejná správa“ podľa zákona č. 69/2018 Z. z. Výzva podporuje projekty v oblastiach riadenia rizík, bezpečnosti prevádzky informačných systémov, sieťovej bezpečnosti a riešenia kybernetických incidentov.
MIRRI celkovo podporilo kybernetickú bezpečnosť verejnej správy sumou 15 miliónov EUR. Pre samosprávy, ktoré zápasia s obmedzenými rozpočtami, je to reálna príležitosť pokryť značnú časť nákladov na implementáciu bezpečnostných opatrení.
Typické oprávnené výdavky zahŕňajú: nasadenie SIEM systému, implementáciu viacfaktorovej autentifikácie, vypracovanie bezpečnostnej dokumentácie, vykonanie analýzy rizík, zabezpečenie zálohovacieho riešenia, školenia zamestnancov a služby externého manažéra kybernetickej bezpečnosti. Ak vaša organizácia ešte nepodala žiadosť, odporúčame čo najskôr overiť oprávnenosť na portáli mirri.gov.sk.
Okrem výziev MIRRI existujú aj ďalšie zdroje financovania. Plán obnovy a odolnosti SR obsahuje komponent zameraný na posilnenie kybernetickej bezpečnosti verejnej správy. Slovensko tiež čerpá prostriedky z programu Digitálna Európa, ktorý podporuje budovanie kapacít v oblasti kybernetickej bezpečnosti na národnej aj regionálnej úrovni.
Sankcie: Čo hrozí pri nesplnení povinností
Novela zákona o kybernetickej bezpečnosti výrazne sprísňuje sankčný rámec. NBÚ môže uložiť pokuty až do výšky 10 000 000 EUR alebo 2 % z čistého obratu za posledné ukončené účtovné obdobie — podľa toho, ktorá suma je vyššia.
Pre štatutárov verejnej správy je obzvlášť relevantné, že zákon umožňuje uložiť zákaz vykonávať riadiacu funkciu v prípade, že štatutár zanedbával alebo neriešil kybernetickú bezpečnosť organizácie. Toto je nová sankcia, ktorá nemá v predchádzajúcej legislatíve obdobu — ide o priamu osobnú zodpovednosť vedúcich predstaviteľov.
V praxi NBÚ spravidla pristupuje najprv k výzve na nápravu. Ale ak subjekt nereaguje, pokuty sú reálne a vykonateľné. Podrobnejšie sme o pokutách písali v článku Pokuty za kybernetickú bezpečnosť na Slovensku.
Praktický kontrolný zoznam pre samosprávy
Ak ste obec alebo mesto a nie ste si istí, čo presne musíte splniť, tu je zoznam základných krokov, ktoré by ste mali mať za sebou ešte pred koncom prechodného obdobia.
Overte, či je vaša organizácia registrovaná v registri PZS na portáli nis2.nbu.gov.sk. Ak nie, registráciu vykonajte čo najskôr — bez nej nemáte prístup k Jednotnému informačnému systému kybernetickej bezpečnosti.
Zabezpečte certifikovaného manažéra kybernetickej bezpečnosti. Ak nemáte interného kandidáta s požadovanou certifikáciou, zvážte externý model. MKB musí byť reálne činný, nie len formálne menovaný.
Vypracujte alebo aktualizujte bezpečnostnú dokumentáciu podľa vyhlášky 227/2025 Z. z. Dokumentácia musí pokrývať bezpečnostnú stratégiu, politiku, ana