Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti prešiel od 1. januára 2025 najväčšou zmenou vo svojej histórii. Novela č. 366/2024 Z. z. transponuje európsku smernicu NIS2 do slovenského právneho poriadku a rozširuje povinnosti na tisíce nových subjektov. Ak vaša organizácia patrí do niektorého z regulovaných sektorov, tento článok vám poskytne kompletný prehľad toho, čo sa zmenilo, aké povinnosti pribudli a aké lehoty plynú.
Prečo bola novela zákona 69/2018 nevyhnutná
Pôvodný zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti vychádzal zo smernice NIS1 z roku 2016. Za šesť rokov od jeho účinnosti sa kybernetické hrozby výrazne zmenili — od cieleného ransomvéru cez útoky na dodávateľské reťazce až po hrozby pre prevádzkové technológie v priemysle a zdravotníctve. Európska únia na to reagovala prijatím smernice NIS2 (smernica (EÚ) 2022/2555) v decembri 2022, ktorá stanovila členským štátom povinnosť transponovať jej požiadavky do národnej legislatívy.
Národná rada Slovenskej republiky schválila novelu 28. novembra 2024 ako zákon č. 366/2024 Z. z., ktorý nadobudol účinnosť 1. januára 2025. Nejde len o formálnu transpozíciu — slovenský zákonodarca zároveň využil príležitosť na úpravu ustanovení, ktoré sa v praxi ukázali ako nejasné alebo ťažko aplikovateľné.
Kľúčové zmeny v zákone o kybernetickej bezpečnosti
Rozšírenie pôsobnosti na nové subjekty
Najvýraznejšou zmenou je dramatické rozšírenie okruhu organizácií, na ktoré sa zákon vzťahuje. Podľa dôvodovej správy sa novela dotýka minimálne 3 403 organizácií na Slovensku — oproti pôvodným stovkám prevádzkovateľov základných služieb (PZS).
Prevádzkovateľom základnej služby sa podľa novelizovaného § 17 stáva každý subjekt, ktorý:
- pôsobí v sektore s vysokou úrovňou kritickosti (príloha č. 1) alebo v inom kritickom sektore (príloha č. 2) a zároveň spĺňa podmienky stredného podniku (minimálne 50 zamestnancov a ročný obrat alebo bilančná suma od 10 miliónov eur),
- je ústredným orgánom štátnej správy alebo štátnym orgánom s celoštátnou pôsobnosťou,
- je kritickým subjektom podľa zákona o kritickej infraštruktúre,
- je mestom, ak by narušenie výkonu jeho pôsobnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
- poskytuje službu registrácie názvu domény (bez ohľadu na veľkosť),
- je treťou stranou s významným vplyvom na kybernetickú bezpečnosť prevádzkovateľa kritickej základnej služby.
Nové sektory zaradené pod reguláciu
Novela pridáva do pôsobnosti zákona viaceré sektory, ktoré doteraz neboli regulované. Sektory s vysokou úrovňou kritickosti (príloha č. 1) zahŕňajú energetiku (vrátane vykurovania, chladenia a vodíka), dopravu, financie, zdravotníctvo, vodné hospodárstvo a odpadové vody, digitálnu infraštruktúru, riadenie služieb IKT, verejnú správu a vesmír.
Iné kritické sektory (príloha č. 2) pokrývajú poštové a kuriérske služby, odpadové hospodárstvo, výrobu a distribúciu chemických látok, výrobu a distribúciu potravín, špecializovanú výrobu (zdravotnícke pomôcky, elektronika, výpočtová technika, optika, strojárstvo, motorové vozidlá), poskytovateľov digitálnych služieb a výskum.
Rozlíšenie medzi kritickou a ostatnou základnou službou
Novela zavádza dvojstupňovú kategorizáciu prevádzkovateľov. Kritickú základnú službu (PKZS) prevádzkujú veľké podniky v sektoroch prílohy č. 1 (nad 250 zamestnancov a obrat nad 50 miliónov eur alebo bilančná suma nad 43 miliónov eur), ústredné orgány štátnej správy, správcovia kvalifikovaných dôveryhodných služieb a ďalšie subjekty vymedzené zákonom.
Toto rozlíšenie má priamy vplyv na rozsah povinností — PKZS podlieha prísnejšiemu režimu dohľadu, povinnosti pravidelného auditu certifikovaným audítorom a vyšším sankciám za porušenie zákona.
Bezpečnostné opatrenia na základe analýzy rizík
Zákon mení prístup k bezpečnostným opatreniam. Namiesto rigidného zoznamu požiadaviek zavádza princíp proporcionality — rozsah a spôsob implementácie opatrení sa odvíja od výsledkov analýzy rizík konkrétnej organizácie.
Podľa novelizovaného § 20 musí PZS zaviesť bezpečnostné opatrenia zahŕňajúce politiky analýzy rizík a bezpečnosti informačných systémov, riešenie incidentov, kontinuitu činností a krízové riadenie, bezpečnosť dodávateľského reťazca, bezpečnosť pri obstarávaní, vývoji a údržbe sietí a informačných systémov, politiky a postupy na hodnotenie účinnosti opatrení, základné postupy kybernetickej hygieny a školenia, politiky a postupy používania kryptografie, riadenie prístupu a bezpečnosť ľudských zdrojov, a využívanie viacfaktorovej autentifikácie.
Podrobnosti bezpečnostných opatrení upravuje vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach, účinná od 1. septembra 2025, ktorá nahrádza pôvodnú vyhlášku č. 362/2018 Z. z.
Nový režim hlásenia incidentov
Novela zavádza trojstupňový mechanizmus hlásenia závažných kybernetických bezpečnostných incidentov podľa § 24:
- Včasné varovanie — do 24 hodín od zistenia incidentu. PZS musí oznámiť úradu, či existuje podozrenie, že incident bol spôsobený nezákonným alebo zlomyseľným konaním a či môže mať cezhraničný vplyv.
- Oznámenie o incidente — do 72 hodín od zistenia. Obsahuje aktualizované informácie vrátane predbežného posúdenia závažnosti a vplyvu incidentu.
- Záverečná správa — do jedného mesiaca od oznámenia incidentu. Ak incident trvá, namiesto záverečnej správy sa predkladá priebežná správa a záverečná správa do jedného mesiaca po jeho ukončení.
Podrobnosti hlásenia incidentov upravuje vyhláška NBÚ č. 226/2025 Z. z., rovnako účinná od 1. septembra 2025.
Okrem závažných incidentov je PZS povinný hlásiť aj významné kybernetické hrozby, udalosti odvrátené v poslednej chvíli a zraniteľnosti, ktoré nevie efektívne odstrániť.
Bezpečnosť dodávateľského reťazca
Zákon po novom výslovne upravuje vzťah medzi PZS a jeho dodávateľmi (tretími stranami). Podľa § 19a je PZS povinný uzatvoriť s treťou stranou zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností. Tretia strana je povinná tieto opatrenia zaviesť a podrobiť sa kontrole zo strany PZS.
Zásadná zmena sa týka dodávateľov kritickej infraštruktúry — tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľa kritickej základnej služby, získava postavenie PZS. Zapisuje sa do registra a podlieha dohľadu NBÚ.
Audit a samohodnotenie
Novelizovaný zákon upravuje povinnosti auditu podľa § 29:
- PZS je povinný vykonať prvý audit do 24 mesiacov od zápisu do registra a následne v periodicite stanovenej vyhláškou.
- Audit vykonáva výhradne certifikovaný audítor kybernetickej bezpečnosti.
- PZS, ktorý neprevádzkuje kritickú základnú službu, môže namiesto auditu vykonať samohodnotenie prostredníctvom svojho manažéra kybernetickej bezpečnosti.
- Ak si PZS zvolí samohodnotenie, musí prvý audit certifikovaným audítorom vykonať do 5 rokov od zápisu.
Koordinované zverejňovanie zraniteľností
Úplne novou oblasťou je zavedenie mechanizmu koordinovaného zverejňovania zraniteľností. Národná jednotka CSIRT získava oprávnenie vykonávať automatizovanú detekciu zraniteľností v kybernetickom priestore SR a koordinovať proces ich zodpovedného zverejnenia. Cieľom je ochrana výskumníkov a minimalizácia negatívnych dopadov na dotknuté subjekty.
Zodpovednosť štatutárnych orgánov
Novela explicitne zakotvuje zodpovednosť štatutárnych orgánov za riadenie kybernetickej bezpečnosti. Vedenie organizácie musí schváliť a dohliadať na implementáciu opatrení na riadenie kybernetických rizík. Zároveň je povinné absolvovať školenie v oblasti kybernetickej bezpečnosti.
Lehoty, ktoré plynú
Pre organizácie, ktoré sa do registra PZS zapísali v prvých mesiacoch roku 2025, plynú nasledovné lehoty:
| Povinnosť | Lehota | Orientačný termín (pri zápise začiatkom 2025) |
|---|---|---|
| Podanie návrhu na zápis do registra PZS | 60 dní od začiatku vykonávania činnosti | Február/Marec 2025 |
| Vznik práv a povinností podľa zákona | 30 dní od zápisu | Apríl 2025 |
| Zavedenie bezpečnostných opatrení | 12 mesiacov od zápisu | Marec/Apríl 2026 |
| Prvý audit alebo samohodnotenie | 24 mesiacov od zápisu | Marec/Apríl 2027 |
| Prvý audit certifikovaným audítorom (ak sa zvolilo samohodnotenie) | 5 rokov od zápisu | 2030 |
Pre existujúcich PZS zapísaných pred 31. decembrom 2024 platí prechodné obdobie — môžu aplikovať bezpečnostné opatrenia podľa starej alebo novej právnej úpravy do 31. decembra 2026, ale od 1. januára 2027 musia mať všetky opatrenia zavedené podľa novej vyhlášky č. 227/2025 Z. z.
Sankcie podľa novelizovaného zákona
Novela výrazne sprísňuje sankčný mechanizmus (podrobný prehľad pokút za kybernetickú bezpečnosť), a to v súlade s požiadavkami smernice NIS2:
Prevádzkovatelia kritickej základnej služby — pokuta až do výšky 10 000 000 eur alebo 2 % celkového celosvetového ročného obratu za predchádzajúce účtovné obdobie, podľa toho, ktorá suma je vyššia.
Ostatní prevádzkovatelia základnej služby — pokuta až do výšky 7 000 000 eur alebo 1,4 % celkového celosvetového ročného obratu.
Za menej závažné porušenia — pokuty od 300 do 500 000 eur, napríklad za neoznámenie začiatku činnosti, neohlásenie zmien, neaktuálnu bezpečnostnú dokumentáciu alebo neodstránenie nedostatkov zistených auditom.
Za priestupky fyzických osôb — pokuty od 100 do 5 000 eur.
Oproti pôvodnému zneniu zákona, kde maximálna pokuta dosahovala 300 000 eur, ide o niekoľkonásobné zvýšenie hornej hranice sankcií. Úrad pri ukladaní pokuty prihliada na závažnosť porušenia, jeho trvanie, následky a okolnosti, za ktorých bolo spáchané.
Súvisiace vyhlášky NBÚ
Novela zákona sa nedá vnímať izolovane — tvorí celok s vykonávacími vyhláškami, ktoré sú účinné od 1. septembra 2025:
- Vyhláška č. 227/2025 Z. z. o bezpečnostných opatreniach — ustanovuje obsah a rozsah bezpečnostných opatrení pre siete, informačné systémy a prevádzkové technológie. Nahrádza vyhlášku č. 362/2018 Z. z.
- Vyhláška č. 226/2025 Z. z. o identifikačných kritériách závažného incidentu — definuje, kedy sa incident považuje za závažný, a stanovuje náležitosti hlásení.
Ako sa na zmeny prakticky pripraviť
Implementácia novelizovaného zákona nie je jednorázový projekt, ale kontinuálny proces. V praxi to znamená začať GAP analýzou — porovnaním aktuálneho stavu kybernetickej bezpečnosti s požiadavkami novelizovaného zákona a vyhlášky č. 227/2025 Z. z. Na základe výsledkov si pripraviť plán implementácie s reálnymi termínmi a rozpočtom.
Kľúčové je nepodceniť lehotu 12 mesiacov od zápisu na zavedenie bezpečnostných opatrení. Väčšina organizácií, ktoré sa registrovali na začiatku roka 2025, bude musieť mať opatrenia funkčné do jari 2026. To znamená, že čas na implementáciu sa rýchlo kráti.
Organizácie by mali zvážiť, či je efektívnejšie budovať interné kapacity alebo spolupracovať s externým partnerom — najmä v oblastiach ako analýza rizík, príprava bezpečnostnej dokumentácie a nastavenie procesov hlásenia incidentov.
Pohľad z praxe
V Cyllium sme za posledné mesiace pomáhali desiatkam organizácií s orientáciou v novelizovanom zákone. Čo vidíme opakovane: subjekty, ktoré sa s kybernetickou bezpečnosťou stretávajú prvýkrát, často podceňujú rozsah požiadaviek. Bezpečnostné opatrenia podľa vyhlášky č. 227/2025 Z. z. pokrývajú oblasti od riadenia prístupu cez segmentáciu sietí až po kontinuitu činností — a každá z nich vyžaduje nielen dokumentáciu, ale aj reálne technické a organizačné opatrenia.
Naši certifikovaní manažéri a audítori kybernetickej bezpečnosti (tím s certifikáciami CISA, CISM, CDPSE, CEH a GICSP) majú skúsenosti zo zdravotníctva, verejnej správy, priemyslu aj energetiky. Každý sektor má svoje špecifiká — to, čo funguje v nemocnici, sa nedá jednoducho preniesť na výrobný podnik s prevádzkovými technológiami. Práve cross-sektorové skúsenosti z viac ako 200 projektov nám umožňujú pomôcť organizáciám nájsť riešenia, ktoré reálne zodpovedajú ich prostrediu a rizikám.
Podrobný prehľad o role, kvalifikáciách a certifikačnom procese MKB nájdete v článku Čo je manažér kybernetickej bezpečnosti.
Často kladené otázky
Kedy nadobudla novela zákona 69/2018 účinnosť?
Zákon č. 366/2024 Z. z., ktorým sa mení zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, nadobudol účinnosť 1. januára 2025. Vykonávacie vyhlášky NBÚ č. 226/2025 Z. z. a č. 227/2025 Z. z. nadobúdajú účinnosť 1. septembra 2025.
Koho sa novela zákona o kybernetickej bezpečnosti týka?
Novela rozširuje pôsobnosť na minimálne 3 403 organizácií na Slovensku. Týka sa subjektov v 18 sektoroch s vysokou úrovňou kritickosti a iných kritických sektoroch, ktoré spĺňajú podmienky stredného podniku (50+ zamestnancov, obrat alebo bilančná suma od 10 mil. eur). Povinne sa vzťahuje aj na ústredné orgány štátnej správy, mestá, kritické subjekty a tretie strany s významným vplyvom na kybernetickú bezpečnosť.
Aké sú maximálne pokuty podľa novelizovaného zákona?
Prevádzkovateľom kritickej základnej služby hrozí pokuta až 10 000 000 eur alebo 2 % celosvetového ročného obratu. Ostatným prevádzkovateľom základnej služby až 7 000 000 eur alebo 1,4 % obratu. Za menej závažné porušenia sú pokuty od 300 do 500 000 eur.
Môže organizácia vykonať namiesto auditu samohodnotenie?
Áno, ale len ak neprevádzkuje kritickú základnú službu. Samohodnotenie vykonáva manažér kybernetickej bezpečnosti. Ak si PZS zvolí samohodnotenie, prvý audit certifikovaným audítorom musí vykonať do 5 rokov od zápisu do registra. Prevádzkovatelia kritickej základnej služby musia vždy využiť certifikovaného audítora.
Aký je rozdiel medzi novelou zákona a smernicou NIS2?
Smernica NIS2 (smernica (EÚ) 2022/2555) je európsky právny predpis, ktorý stanovuje rámcové požiadavky. Zákon č. 366/2024 Z. z. je slovenská transpozícia tejto smernice — teda záväzná národná legislatíva, ktorú musia organizácie na Slovensku priamo dodržiavať. Slovenský zákon v niektorých oblastiach ide nad rámec smernice, napríklad v úprave postavenia tretích strán alebo v podrobnejšej kategorizácii subjektov.
Ak potrebujete pomoc s orientáciou v novelizovanom zákone alebo s implementáciou bezpečnostných opatrení, kontaktujte nás pre nezáväznú konzultáciu.