Novelou zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, účinnou od 1. januára 2025, Slovensko transponovalo európsku smernicu NIS2 do vnútroštátneho práva. Podľa odhadov Národného bezpečnostného úradu (NBÚ) sa NIS2 povinnosti dotýkajú tisíce organizácií naprieč viac ako 80 službami v 16 odvetviach. Ak ste prevádzkovateľ základnej služby, alebo sa len snažíte zistiť, či sa vás NIS2 týka, tento článok vám poskytne kompletný prehľad — od identifikácie cez konkrétne povinnosti až po sankcie a praktické kroky implementácie.
Čo je NIS2 a prečo vznikla
Smernica NIS2 (Network and Information Security Directive 2, smernica 2022/2555) je nástupcom pôvodnej smernice NIS z roku 2016. Európska únia ju prijala v reakcii na prudko narastajúce kybernetické hrozby, ktoré pôvodný regulačný rámec nedokázal pokryť. Na Slovensku sa NIS2 premietla do novely zákona č. 69/2018 Z. z. a do nových vykonávacích vyhlášok — najmä vyhlášky č. 227/2025 Z. z. o bezpečnostných opatreniach a vyhlášky č. 226/2025 Z. z. o hlásení kybernetických bezpečnostných incidentov.
Kľúčový rozdiel oproti predchádzajúcej úprave spočíva v rozsahu pôsobnosti, prísnosti bezpečnostných opatrení a výške sankcií. NIS2 zavádza päť zásadných zmien: výrazné rozšírenie počtu subjektov spadajúcich pod reguláciu, prísnejšie technické aj organizačné bezpečnostné opatrenia, povinnosť hlásenia incidentov v stanovených lehotách, priamu zodpovednosť manažmentu za dodržiavanie požiadaviek a tvrdší sankčný mechanizmus s pokutami až do miliónov eur.
Sektory spadajúce pod NIS2 reguláciu na Slovensku
NIS2 výrazne rozšírila okruh regulovaných sektorov. Zákon rozlišuje dve úrovne — sektory s vysokou kritickosťou (kľúčové subjekty) a ďalšie kritické sektory (dôležité subjekty).
Sektory s vysokou kritickosťou (kľúčové subjekty)
Energetika — výroba, prenos, distribúcia a dodávka elektrickej energie, ropy, zemného plynu a tepla. Zahŕňa prevádzkovateľov prenosových a distribučných sústav, rafinérie, prevádzkovateľov plynárenských sietí, výrobcov energie z obnoviteľných zdrojov, ale aj prevádzkovateľov nabíjacích staníc pre elektromobily a vodíkovú infraštruktúru.
Doprava — letecká, železničná, vodná a cestná doprava vrátane prevádzkovateľov inteligentných dopravných systémov. Regulácia sa vzťahuje na letiskových prevádzkovateľov, železničné podniky, prístavy, rejdarov, ale aj na správcov cestnej infraštruktúry využívajúcej digitálne riadiace systémy.
Bankovníctvo — úverové inštitúcie a subjekty vykonávajúce bankové činnosti v zmysle smernice 2013/36/EÚ.
Infraštruktúra finančných trhov — prevádzkovatelia obchodných miest, centrálni depozitári cenných papierov a ďalší subjekty finančnej trhovej infraštruktúry.
Zdravotníctvo — poskytovatelia zdravotnej starostlivosti vrátane nemocníc, polikliník a ambulancií, referenčné laboratóriá EÚ, subjekty vykonávajúce výskum a vývoj liekov, výrobcovia základných farmaceutických výrobkov a prípravkov a výrobcovia zdravotníckych pomôcok považovaných za kritické. Pre sektorové špecifiká pozri podrobne kybernetickú bezpečnosť v zdravotníctve.
Pitná voda — dodávatelia a distribútori pitnej vody určenej na ľudskú spotrebu, s výnimkou distribútorov, pre ktorých distribúcia vody predstavuje len nepodstatnú časť ich celkovej činnosti.
Odpadové vody — podniky, ktoré zberajú, likvidujú alebo čistia komunálne alebo priemyselné odpadové vody, pokiaľ tieto činnosti tvoria podstatnú časť ich všeobecnej hospodárskej činnosti.
Digitálna infraštruktúra — poskytovatelia výmenných uzlov internetu (IXP), služieb DNS, registrov názvov domén najvyššej úrovne (TLD), služieb cloud computingu, služieb dátových centier, sietí na doručovanie obsahu (CDN), poskytovateľov dôveryhodných služieb, poskytovatelia verejných elektronických komunikačných sietí a služieb.
Správa služieb IKT (B2B) — poskytovatelia riadených služieb (MSP) a poskytovatelia riadených bezpečnostných služieb (MSSP). Tieto subjekty sú kľúčové, pretože ich kompromitácia môže kaskádovo zasiahnuť stovky ich klientov.
Verejná správa — subjekty verejnej správy ústredných vlád a regionálne subjekty verejnej správy, pričom konkrétny rozsah definuje členský štát na základe posúdenia rizík.
Vesmírny sektor — prevádzkovatelia pozemnej infraštruktúry podporujúcej poskytovanie vesmírnych služieb, s výnimkou poskytovateľov verejných elektronických komunikačných sietí.
Ďalšie kritické sektory (dôležité subjekty)
Poštové a kuriérske služby — poskytovatelia poštových služieb vrátane kuriérskych spoločností.
Odpadové hospodárstvo — podniky vykonávajúce zber, zhodnocovanie alebo zneškodňovanie odpadov, s výnimkou podnikov, pre ktoré je odpadové hospodárstvo len nepodstatnou činnosťou.
Výroba, produkcia a distribúcia chemikálií — podniky vyrábajúce látky a zmesi a distribuujúce chemické látky.
Výroba, spracovanie a distribúcia potravín — potravinárske podniky zaoberajúce sa veľkoobchodnou distribúciou, priemyselnou výrobou alebo spracovaním.
Výroba — výrobcovia zdravotníckych pomôcok (vrátane diagnostických), počítačov, elektronických a optických výrobkov, elektrických zariadení, strojov a zariadení, motorových vozidiel, prívesu a návesov, a iných dopravných prostriedkov.
Digitálni poskytovatelia — poskytovatelia online trhovísk, vyhľadávačov a platforiem sociálnych sietí.
Výskum — výskumné organizácie.
Kto je prevádzkovateľ základnej služby (PZS) a prevádzkovateľ kritickej základnej služby
Identifikácia, či vaša organizácia spadá pod NIS2, prebieha na princípe samoidentifikácie. Každý subjekt si musí sám overiť, či spĺňa kritériá pre zaradenie. NBÚ vás na to neupozorní — zodpovednosť je na vás.
Kritériá pre zaradenie ako PZS
Organizácia sa stáva prevádzkovateľom základnej služby, ak súčasne spĺňa tieto podmienky podľa § 3 zákona č. 69/2018 Z. z.:
1. Sektorové zaradenie — organizácia poskytuje službu alebo vykonáva činnosť uvedenú v prílohe zákona, ktorá spadá do niektorého z regulovaných sektorov (viď vyššie).
2. Veľkostné kritériá — organizácia má 50 a viac zamestnancov ALEBO jej ročný obrat alebo celková ročná súvaha presahuje 10 miliónov EUR.
3. Výnimky zo size-cap pravidla — niektoré typy organizácií spadajú pod reguláciu bez ohľadu na veľkosť. Ide napríklad o poskytovateľov verejných elektronických komunikačných sietí, poskytovateľov dôveryhodných služieb, registrov TLD domén, subjekty DNS a subjekty, ktoré sú jediným poskytovateľom služby v členskom štáte.
Rozdiel medzi PZS a prevádzkovateľom kritickej základnej služby
Prevádzkovateľ kritickej základnej služby je PZS s vyšším stupňom kritickosti. Zaradenie do tejto kategórie závisí od toho, do akej kategórie sietí a informačných systémov (I. alebo II. kategória) subjekt spadá. Pre tieto subjekty platia prísnejšie povinnosti:
- Povinný audit kybernetickej bezpečnosti (nie je možné nahradiť samohodnotením)
- Prísnejšie sankcie — podľa smernice NIS2 pokuty až do 10 000 000 EUR alebo 2 % celkového celosvetového ročného obratu
- Vyššie nároky na bezpečnostné opatrenia a monitorovanie
Pre ostatných PZS (dôležité subjekty) platia pokuty až do 7 000 000 EUR alebo 1,4 % obratu, a v prechodnom období 2025–2026 môžu splniť auditné povinnosti prostredníctvom samohodnotenia.
Na čo si dať pozor pri identifikácii
Organizácie často podcenia fázu identifikácie. NBÚ môže za neoznámenie začiatku činnosti ako PZS uložiť pokutu od 300 EUR do 500 000 EUR podľa § 31 zákona. Lehota pre existujúce subjekty na registráciu bola do 2. marca 2025. Pre nové subjekty platí 60 dní od začiatku vykonávania relevantnej činnosti.
V praxi sa stretávame s tým, že organizácie nevedia správne posúdiť, či spadajú pod NIS2. Typickým príkladom sú mestá a obce prevádzkujúce informačné systémy verejnej správy, výrobné podniky s priemyselnými riadiacimi systémami (OT/ICS), zdravotnícke zariadenia, ale aj IT firmy poskytujúce managed services, ktoré si neuvedomujú, že ich činnosť spĺňa definíciu základnej služby. Ak si nie ste istí, či sa vás regulácia týka, GAP analýza vám dá jasnú odpoveď.
Dôležitá poznámka pre dodávateľov
Aj organizácia, ktorá priamo nespĺňa veľkostné kritériá, sa môže stať regulovaným subjektom, ak pôsobí ako dodávateľ pre PZS a je týmto subjektom označená ako kritický dodávateľ. NIS2 zavádza explicitnú povinnosť riadiť riziká v dodávateľskom reťazci, čo v praxi znamená, že regulovaný subjekt môže od vás požadovať splnenie bezpečnostných štandardov.
Kompletný prehľad NIS2 povinností
1. Registrácia a oznámenie na NBÚ
Každý PZS je povinný podľa § 17 zákona oznámiť NBÚ začiatok výkonu činnosti prostredníctvom ústredného portálu verejnej správy (slovensko.sk). Oznámenie musí obsahovať identifikačné údaje organizácie, zoznam prevádzkovaných sietí a informačných systémov, kontaktné údaje manažéra kybernetickej bezpečnosti a zaradenie do príslušného sektora.
2. Vymenovanie manažéra kybernetickej bezpečnosti
Podľa § 19 zákona musí každý PZS určiť manažéra kybernetickej bezpečnosti (MKB). MKB je zodpovedný za riadenie kybernetickej bezpečnosti v organizácii, zabezpečenie implementácie bezpečnostných opatrení a komunikáciu s NBÚ. Zákon vyžaduje, aby MKB mal priamy prístup k štatutárnemu orgánu a bol nezávislý od riadenia IT prevádzky.
Organizácia môže túto rolu obsadiť interným zamestnancom alebo externým odborníkom. Pre mnohé menšie a stredné organizácie je externý manažér kybernetickej bezpečnosti praktickejšou voľbou — zabezpečuje potrebné odborné znalosti, zastupiteľnosť tímu a skúsenosti naprieč sektormi bez nutnosti vytvárať novú internú pozíciu.
Tip: Stiahnite si zadarmo nášho Sprievodcu pre manažérov kybernetickej bezpečnosti (PDF) — praktický prehľad zákonných požiadaviek, organizačných povinností a stratégií plnenia NIS2 pre vedenie firiem.
3. GAP analýza — zmapovanie východiskového stavu
Pred samotnou implementáciou bezpečnostných opatrení je kľúčové zistiť, kde sa vaša organizácia aktuálne nachádza. GAP analýza porovná aktuálny stav kybernetickej bezpečnosti s požiadavkami vyhlášky č. 227/2025 Z. z. a identifikuje konkrétne oblasti nesúladu. Na základe GAP analýzy vznikne priorizovaný plán implementácie, vďaka ktorému viete, do čoho investovať čas a zdroje najskôr.
4. Analýza rizík a prijatie bezpečnostných opatrení
PZS musí vykonať komplexnú analýzu rizík svojich sietí a informačných systémov podľa § 20 zákona a vyhlášky č. 227/2025 Z. z. Analýza rizík zahŕňa identifikáciu aktív, vyhodnotenie hrozieb a zraniteľností, posúdenie potenciálnych dopadov a stanovenie primeraných bezpečnostných opatrení.
Na základe analýzy rizík je PZS povinný prijať bezpečnostné opatrenia pokrývajúce tieto oblasti:
Riadenie identít a prístupov — vrátane povinného zavedenia viacfaktorovej autentifikácie (MFA) pre privilegované účty. Organizácie musia nasadiť riešenia pre správu identít (IAM), riadenie privilegovaných prístupov (PAM) a viacfaktorovú autentifikáciu.
Segmentácia siete — povinnosť rozdeliť sieťovú infraštruktúru do bezpečnostných zón s kontrolovaným prístupom medzi nimi. Cieľom je obmedziť laterálny pohyb útočníka. Realizáciu zabezpečujú firewally a riešenia sieťovej bezpečnosti.
Nepretržitý monitoring bezpečnostných udalostí — organizácie musia zaviesť monitoring s definovanými reakčnými časmi. To vyžaduje nasadenie SIEM systému, EDR/XDR riešení na koncových bodoch a ideálne prevádzku bezpečnostného operačného centra (SOC).
Ochrana dát a prevencia úniku — opatrenia na klasifikáciu a ochranu dát vrátane nasadenia DLP riešení pre prevenciu úniku citlivých informácií.
Bezpečnosť e-mailovej komunikácie — ochrana e-mailov pred phishingom, spoofingom a malvérom je jedným z najdôležitejších opatrení, keďže e-mail zostáva primárnym vektorom útokov.
Bezpečnosť cloudových služieb — pre organizácie využívajúce cloudovú infraštruktúru je nevyhnutné zabezpečiť bezpečnosť cloudového prostredia v súlade s požiadavkami vyhlášky.
Zálohovanie a obnova — PZS musí mať funkčné zálohovacie riešenia a plán obnovy po havárii (disaster recovery), ktoré zabezpečia kontinuitu činností aj v prípade závažného incidentu.
Lehota na prijatie bezpečnostných opatrení: podľa § 19 zákona 12 mesiacov od zápisu do registra PZS.
5. Bezpečnostná dokumentácia
Vyhláška č. 227/2025 Z. z. v § 28 presne definuje obsah a štruktúru bezpečnostnej dokumentácie, ktorú musí PZS vypracovať a udržiavať. Dokumentácia zahŕňa bezpečnostnú politiku, politiku riadenia rizík, klasifikačný poriadok, prevádzkové a havarijné postupy, plán kontinuity činností, plán reakcie na incidenty a ďalšie dokumenty.
Oproti predchádzajúcej vyhláške č. 362/2018 Z. z. sú požiadavky podstatne detailnejšie. Dokumentácia musí byť „živá“ — pravidelne revidovaná a aktualizovaná pri každej významnej zmene v prostredí organizácie.
6. Hlásenie kybernetických bezpečnostných incidentov
Jednou z najprísnejších NIS2 povinností je režim hlásenia incidentov, ktorý na Slovensku upravuje vyhláška č. 226/2025 Z. z. PZS musí hlásiť každý závažný kybernetický bezpečnostný incident v nasledujúcich lehotách:
Včasné varovanie — do 24 hodín od zistenia incidentu. Obsahuje predbežné posúdenie, či incident bol spôsobený protiprávnym konaním a či môže mať cezhraničný dosah.
Oznámenie o incidente — do 72 hodín od zistenia. Obsahuje detailnejšie informácie o povahe, závažnosti, dopade incidentu a prijatých opatreniach.
Záverečná správa — do 1 mesiaca od oznámenia incidentu. Obsahuje podrobný opis, analýzu príčin a prijaté nápravné opatrenia.
Aby organizácia dokázala tieto lehoty dodržať, potrebuje mať funkčný proces reakcie na incidenty, jasne definované eskalačné postupy a tím schopný incident identifikovať, analyzovať a nahlásiť v stanovenom čase.
7. Riadenie kontinuity činností
PZS musí mať zavedený systém riadenia kontinuity činností zahŕňajúci plány zálohovania, obnovy a krízového riadenia. Cieľom je zabezpečiť, aby organizácia dokázala pokračovať v poskytovaní základnej služby aj počas a po závažnom kybernetickom incidente.
8. Bezpečnosť dodávateľského reťazca
NIS2 zavádza explicitnú povinnosť riadiť kybernetické riziká v dodávateľskom reťazci. PZS musí podľa § 20 zákona posúdiť bezpečnostné riziká spojené s tretími stranami, zahrnúť bezpečnostné požiadavky do zmlúv s dodávateľmi a pravidelne overovať ich dodržiavanie. Pre systematické posúdenie bezpečnosti dodávateľov je vhodný audit dodávateľského reťazca.
9. Školenia a zvyšovanie povedomia
Zákon vyžaduje, aby vedenie organizácie (štatutárny orgán) absolvovalo školenie v oblasti kybernetickej bezpečnosti. Zároveň musí PZS zabezpečiť pravidelné školenia a awareness programy pre zamestnancov zamerané na rozpoznávanie kybernetických hrozieb, bezpečné zaobchádzanie s informáciami a dodržiavanie interných bezpečnostných politík.
10. Audit kybernetickej bezpečnosti alebo samohodnotenie
PZS je povinný pravidelne overovať plnenie bezpečnostných opatrení. Zákon ponúka dve možnosti:
Audit kybernetickej bezpečnosti — vykonáva ho certifikovaný audítor podľa vyhlášky č. 493/2022 Z. z. Správa z auditu obsahuje prehľad o prostredí spoločnosti z hľadiska zavedených opatrení, detailné zistenia, vysvetlenie nedostatkov a odporúčania na ich odstránenie. Výsledky sú klasifikované ako SÚLAD, ČIASTOČNÝ SÚLAD alebo NESÚLAD. Audit je povinný pre prevádzkovateľov kritickej základnej služby.
Samohodnotenie — prevádzkovatelia, ktorí nie sú prevádzkovateľmi kritickej základnej služby, môžu v rokoch 2025 a 2026 splniť auditné povinnosti prostredníctvom samohodnotenia cez JISKB. Do 5 rokov od zaradenia do registra PZS sa však musia podrobiť riadnemu auditu.
Periodicita: Audit sa vykonáva každé dva roky a pri každej významnej zmene, najneskôr do dvoch mesiacov od tejto zmeny.
Termíny a lehoty: Čo musíte stihnúť v roku 2026
| Povinnosť | Lehota | Zákonný základ |
|---|---|---|
| Registrácia existujúcich PZS | Do 2. marca 2025 (uplynula) | § 17 zákona 69/2018 |
| Registrácia nových PZS | 60 dní od začatia činnosti | § 17 zákona 69/2018 |
| Prijatie bezpečnostných opatrení | 12 mesiacov od zápisu do registra | § 19 zákona 69/2018 |
| Bezpečnostná dokumentácia | Súčasť bezpečnostných opatrení | Vyhláška 227/2025 Z. z. |
| Prvý audit / samohodnotenie | Do marca 2027 | § 29 zákona 69/2018 |
| Hlásenie incidentov | Priebežne (24h / 72h / 1 mesiac) | Vyhláška 226/2025 Z. z. |
| Identifikácia kritických subjektov | Do 17. júla 2026 | Zákon o kritickej infraštruktúre |
Pre organizácie zapísané do registra PZS v roku 2025 to znamená, že väčšina implementačných povinností musí byť splnená do konca roka 2026 alebo začiatku roka 2027.
Sankcie za nesplnenie NIS2 povinností
Novela zákona výrazne sprísňuje sankčný rámec. Výška pokút závisí od závažnosti porušenia a kategórie subjektu:
Pre prevádzkovateľov kritickej základnej služby (kľúčové subjekty):
Smernica NIS2 stanovuje horný limit až do 10 000 000 EUR alebo 2 % celkového celosvetového ročného obratu. Slovenský zákon v § 31 upravuje sankcie za správne delikty, pričom konkrétna výška pokuty závisí od závažnosti porušenia a kategórie subjektu.
Pre ostatných PZS (dôležité subjekty):
Až do 7 000 000 EUR alebo 1,4 % celkového celosvetového ročného obratu podľa § 31 zákona č. 69/2018 Z. z.
Za administratívne porušenia:
Od 300 EUR do 500 000 EUR — za neoznámenie začiatku činnosti, neohlásenie zmien, neaktuálnu dokumentáciu.
NBÚ zároveň získal právomoc uložiť opatrenia na nápravu, pozastaviť výkon činnosti a v krajnom prípade zakázať výkon riadiacej funkcie zodpovedným osobám.
Výhody plnenia NIS2 požiadaviek
Plnenie NIS2 povinností nie je len regulačná nutnosť. Organizácie, ktoré investujú do kybernetickej bezpečnosti systematicky, získavajú aj hmatateľné prevádzkové výhody: lepšiu ochranu dát a IT systémov, vyššiu odolnosť voči kybernetickým útokom, rýchlejšiu detekciu a reakciu na incidenty, vyššiu dostupnosť a stabilitu kritických systémov a posilnenú dôveryhodnosť voči zákazníkom, partnerom a regulačným orgánom.
Ako pristúpiť k implementácii — krok za krokom
Implementácia NIS2 požiadaviek nie je jednorázový projekt — ide o vybudovanie systému riadenia kybernetickej bezpečnosti, ktorý musí organizácia dlhodobo udržiavať a zlepšovať. Odporúčame postupovať v týchto krokoch:
Krok 1 — Identifikácia a registrácia. Overte, či vaša organizácia spadá pod definíciu PZS. Ak áno, zabezpečte registráciu na NBÚ.
Krok 2 — GAP analýza. Zmapujte aktuálny stav kybernetickej bezpečnosti oproti požiadavkám vyhlášky č. 227/2025 Z. z. prostredníctvom GAP analýzy. Ukáže vám, kde sa nachádzate a čo vám chýba.
Krok 3 — Analýza rizík. Vykonajte formálnu analýzu rizík podľa požiadaviek zákona. Identifikujte kritické aktíva, hrozby, zraniteľnosti a stanovte priority.
Krok 4 — Bezpečnostná dokumentácia. Vypracujte kompletný súbor bezpečnostnej dokumentácie podľa vyhlášky č. 227/2025 Z. z.
Krok 5 — Implementácia technických a organizačných opatrení. Na základe analýzy rizík implementujte konkrétne opatrenia — od segmentácie siete cez nasadenie monitoringu po zavedenie procesov riadenia incidentov. Pre komplexnú implementáciu NIS2 požiadaviek je vhodné spolupracovať s odborníkmi, ktorí majú skúsenosti z rôznych sektorov.
Krok 6 — Školenia. Preškoľte vedenie aj zamestnancov prostredníctvom awareness programov v oblasti kybernetickej bezpečnosti.
Krok 7 — Audit alebo samohodnotenie. Overte plnenie požiadaviek prostredníctvom auditu kybernetickej bezpečnosti alebo samohodnotenia.
V tíme Cyllium sme implementáciu NIS2 požiadaviek realizovali naprieč viacerými sektormi — od zdravotníckych zariadení cez výrobné podniky po organizácie verejnej správy. Každý sektor má svoje špecifiká a práve skúsenosť z rôznych prostredí umožňuje identifikovať riziká, ktoré by pri úzko zameranom prístupe mohli uniknúť. Náš tím zahŕňa 6 certifikovaných manažérov kybernetickej bezpečnosti a 2 certifikovaných audítorov KB s medzinárodnými certifikáciami vrátane CISA, CISM a GICSP, čo zabezpečuje pokrytie celého spektra požiadaviek od strategického riadenia bezpečnosti po technické bezpečnostné opatrenia.
Často kladené otázky o NIS2 povinnostiach na Slovensku
Ako zistím, či sa moja organizácia musí registrovať ako PZS?
Overte, či vaša organizácia poskytuje službu uvedenú v prílohe zákona č. 69/2018 Z. z. a či spĺňate veľkostné kritériá (50+ zamestnancov alebo obrat 10+ mil. EUR). NBÚ zverejnil na portáli nis2.nbu.gov.sk nástroj na predbežné posúdenie. Ak si nie ste istí, GAP analýza vám dá definitívnu odpoveď.
Aký je rozdiel medzi PZS a prevádzkovateľom kritickej základnej služby?
Prevádzkovateľ kritickej základnej služby spadá do I. alebo II. kategórie sietí a informačných systémov s vyšším stupňom kritickosti. Má prísnejšie povinnosti — povinný audit (nie samohodnotenie), vyššie sankcie (až 10 mil. EUR / 2 % obratu) a náročnejšie bezpečnostné požiadavky.
Čo ak sme dodávateľ pre regulovaný subjekt, ale sami nespĺňame veľkostné kritériá?
Aj v tomto prípade sa na vás môže vzťahovať regulácia, ak vás regulovaný subjekt identifikuje ako kritického dodávateľa. NIS2 zavádza povinnosť riadiť riziká v dodávateľskom reťazci, takže váš odberateľ od vás môže požadovať splnenie bezpečnostných štandardov.
Môžeme mať externého manažéra kybernetickej bezpečnosti?
Áno. Zákon č. 69/2018 Z. z. explicitne umožňuje, aby funkciu manažéra kybernetickej bezpečnosti vykonávala externá osoba alebo organizácia. Pre mnohé organizácie je to efektívnejšie riešenie, pretože externý tím prináša skúsenosti z rôznych sektorov a zabezpečuje zastupiteľnosť.
Aké sú najčastejšie chyby pri implementácii NIS2?
Medzi najčastejšie chyby patrí podcenenie fázy identifikácie, formálny prístup k analýze rizík bez reálneho posúdenia hrozieb, nedostatočná segmentácia siete, chýbajúce procesy hlásenia incidentov a ignorovanie bezpečnosti dodávateľského reťazca. Práve tieto oblasti sú najčastejším predmetom zistení pri auditoch.
Koľko stojí implementácia NIS2 požiadaviek?
Náklady závisia od veľkosti organizácie, aktuálnej úrovne bezpečnostných opatrení a sektora. Kľúčové je začať GAP analýzou, ktorá ukáže reálny rozsah potrebných zmien a umožní naplánovať investície efektívne.
Začnite s implementáciou ešte dnes
Lehoty plynú a implementácia NIS2 povinností nie je záležitosť týždňov, ale mesiacov systematickej práce. Ako prvý krok si stiahnite nášho Sprievodcu pre manažérov kybernetickej bezpečnosti (PDF), ktorý vám pomôže zorientovať sa v požiadavkách. Či už potrebujete GAP analýzu na zmapovanie východiskovej situácie, manažéra kybernetickej bezpečnosti, audit, alebo komplexnú implementáciu NIS2 požiadaviek — kontaktujte nás a radi vám pomôžeme s posúdením vašej situácie a návrhom ďalších krokov.