Smernica NIS2 (Network and Information Security Directive 2) predstavuje zásadný posun v regulácii kybernetickej bezpečnosti na úrovni Európskej únie. Slovenská republika je povinná transponovať túto smernicu do vnútroštátneho práva, čo prinesie významné zmeny pre stovky organizácií naprieč rôznymi odvetviami.
Čo je NIS2 a prečo vznikla
Pôvodná smernica NIS z roku 2016 sa ukázala ako nedostatočná v kontexte rastúcich kybernetických hrozieb. NIS2 výrazne rozširuje rozsah pôsobnosti, sprísňuje požiadavky na bezpečnostné opatrenia a zavádza prísnejšie sankcie za nesúlad. Cieľom je dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti v celej EÚ.
Koho sa NIS2 týka
Jednou z najvýznamnejších zmien je rozšírenie kategórií subjektov, na ktoré sa regulácia vzťahuje. NIS2 rozlišuje medzi:
- Základnými subjektmi — energetika, doprava, bankovníctvo, zdravotníctvo, vodné hospodárstvo, digitálna infraštruktúra, verejná správa
- Dôležitými subjektmi — poštové služby, odpadové hospodárstvo, chemický priemysel, potravinárstvo, výroba, digitálni poskytovatelia, výskum
Kritériom je aj veľkosť organizácie — všeobecne sa smernica vzťahuje na stredné a veľké podniky v uvedených sektoroch.
Kľúčové povinnosti
Organizácie spadajúce pod NIS2 musia splniť niekoľko zásadných požiadaviek:
- Riadenie rizík — zavedenie komplexného systému riadenia kybernetických rizík vrátane pravidelných analýz a hodnotení
- Hlásenie incidentov — povinnosť nahlásiť závažný kybernetický incident do 24 hodín (predbežné hlásenie) a podrobnú správu do 72 hodín
- Bezpečnosť dodávateľského reťazca — posúdenie a riadenie rizík spojených s tretími stranami a dodávateľmi
- Kontinuita podnikania — plány zálohovania, obnovy a krízového riadenia
- Školenia vedenia — manažment musí absolvovať školenie v oblasti kybernetickej bezpečnosti
Termíny a sankcie
Transpozícia NIS2 do slovenského práva prebieha formou novely zákona o kybernetickej bezpečnosti. Organizácie by mali začať s prípravou čo najskôr, keďže implementácia vyžaduje spravidla 6 až 12 mesiacov. Sankcie za nesúlad môžu dosiahnuť až 10 miliónov eur alebo 2 % celosvetového ročného obratu pre základné subjekty.
Ako sa pripraviť
- Identifikujte, či vaša organizácia spadá pod NIS2
- Vykonajte gap analýzu súčasného stavu oproti požiadavkám smernice
- Implementujte systém riadenia informačnej bezpečnosti (ISMS)
- Nastavte procesy hlásenia incidentov
- Zaveďte pravidelné školenia a testovanie bezpečnosti
Včasná príprava je kľúčová — organizácie, ktoré už majú zavedený ISMS podľa ISO 27001, budú mať výrazne jednoduchší prechod na nové požiadavky.
Potrebujete pomoc s implementáciou? Kontaktujte nás pre bezplatnú konzultáciu.
Súvisiaci článok: NIS2 povinnosti na Slovensku: Kompletný prehľad pre rok 2026 — registrácia, bezpečnostné opatrenia, hlásenie incidentov, audit, lehoty a sankcie.