Novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, účinná od 1. januára 2025, zásadne zmenila sankčný rámec pre organizácie, ktoré nedodržiavajú povinnosti v oblasti kybernetickej bezpečnosti. Pokuty sa z pôvodného maxima 300 000 € zvýšili až na 10 000 000 € — a v niektorých prípadoch môžu dosiahnuť 2 % celosvetového ročného obratu. V tomto článku nájdete kompletný prehľad pokút podľa aktuálneho znenia zákona, praktické príklady porušení a odporúčania, ako sa im vyhnúť.
Prečo sa pokuty za kybernetickú bezpečnosť dramaticky zvýšili
Dôvod je jednoduchý: transpozícia európskej smernice NIS2 (Smernica (EÚ) 2022/2555) do slovenského práva. Slovenská republika transponovala NIS2 zákonom č. 366/2024 Z. z., ktorý novelizoval zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti.
Pred novelou bol sankčný rámec pomerne mierny. Národný bezpečnostný úrad (NBÚ) mohol uložiť pokutu maximálne do výšky 1 % celkového ročného obratu, no najviac 300 000 €. Tento strop bol pre veľké organizácie skôr symbolický a nemal dostatočný odstrašujúci účinok.
Smernica NIS2 v článku 34 požaduje, aby členské štáty zaviedli pokuty v maximálnej výške aspoň 10 000 000 € alebo 2 % celosvetového ročného obratu pre kľúčové subjekty. Pre dôležité subjekty je spodná hranica hornej sadzby 7 000 000 € alebo 1,4 % obratu. Slovensko tieto požiadavky premietlo do § 31 novelizovaného zákona.
Prehľad pokút podľa § 31 zákona č. 69/2018 Z. z.
Aktuálne znenie zákona rozlišuje sankcie podľa dvoch hlavných kritérií: typu regulovaného subjektu a závažnosti porušenia.
Kľúčové subjekty — prevádzkovatelia kritickej základnej služby (PKZS)
Prevádzkovatelia kritickej základnej služby sú organizácie v sektoroch s vysokou úrovňou kritickosti — energetika, doprava, bankovníctvo, zdravotníctvo, vodné hospodárstvo, digitálna infraštruktúra a verejná správa. Pre tieto subjekty platia najprísnejšie sankcie.
Za najzávažnejšie porušenia — neprijatie bezpečnostných opatrení podľa § 20 alebo nenahlásenie závažného kybernetického bezpečnostného incidentu — hrozí PKZS pokuta od 500 € do 10 000 000 €, alebo do výšky 2 % celkového celosvetového ročného obratu za predchádzajúce účtovné obdobie. Uplatní sa vyššia z oboch súm.
Dôležité subjekty — prevádzkovatelia základnej služby (PZS)
Pre ostatných prevádzkovateľov základnej služby, ktorí nie sú PKZS, platia rovnaké typy porušení, no s nižšími hornými hranicami. Za neprijatie bezpečnostných opatrení alebo nenahlásenie incidentu hrozí pokuta od 300 € do 7 000 000 €, alebo do výšky 1,4 % celosvetového ročného obratu. Opäť sa uplatní vyššia suma.
Sankcie za ostatné porušenia
Nie všetky pokuty sa pohybujú v miliónoch. Zákon stanovuje aj nižšie sankcie za menej závažné, no stále dôležité porušenia.
Za neregistráciu na NBÚ (nesplnenie oznamovacej povinnosti podľa § 17) hrozí pokuta od 300 € do 500 000 €. Rovnaká sadzba platí pre neuskutočnenie auditu kybernetickej bezpečnosti v zákonom stanovenej lehote, nepredloženie správy z auditu NBÚ alebo neodstránenie nedostatkov zistených pri audite.
Za porušenie povinností fyzickou osobou — napríklad manažérom kybernetickej bezpečnosti, ktorý si neplní svoje povinnosti — môže NBÚ uložiť pokutu do 5 000 €.
Opakované porušenia
Zákon obsahuje aj eskalačný mechanizmus. Pri opakovanom porušení do jedného roka od právoplatnosti rozhodnutia o uložení pokuty môže NBÚ uložiť pokutu až do dvojnásobku pôvodnej výšky. To znamená, že teoretické maximum pri opakovanom porušení PKZS môže dosiahnuť 20 000 000 € alebo 4 % obratu.
Porovnanie pokút: pred a po novele
Pre lepšiu orientáciu uvádzame porovnanie sankčného rámca pred novelou a po nej.
Pred novelou (do 31.12.2024) bola maximálna pokuta za neprijatie bezpečnostných opatrení 300 000 € alebo 1 % obratu. Po novele (od 1.1.2025) sa pre PKZS zvýšila na 10 000 000 € alebo 2 % obratu a pre PZS na 7 000 000 € alebo 1,4 % obratu.
Nárast je viac ako 33-násobný pri absolútnej výške a dvojnásobný pri percentuálnom prepočte z obratu. Pre organizáciu s ročným obratom 50 miliónov € to znamená potenciálnu pokutu až 1 000 000 € (2 % obratu) namiesto pôvodných maximálnych 300 000 €.
Za čo konkrétne môže NBÚ uložiť pokutu
Zákon definuje správne delikty v niekoľkých kategóriách. Pochopenie konkrétnych porušení je kľúčové pre efektívnu prevenciu.
Neprijatie bezpečnostných opatrení (§ 20)
Toto je najčastejší a potenciálne najdrahší dôvod sankcie. Organizácia musí na základe analýzy rizík zaviesť bezpečnostné opatrenia v rozsahu stanovenom vyhláškou NBÚ č. 227/2025 Z. z. — od politík riadenia rizík cez riešenie kybernetických incidentov až po bezpečnosť dodávateľského reťazca, kryptografiu, riadenie prístupov a školenia zamestnancov.
NBÚ pri kontrole neposudzuje len existenciu dokumentácie, ale aj jej funkčnosť v praxi. Formálna dokumentácia bez reálnej implementácie nestačí.
Nenahlásenie závažného incidentu
Prevádzkovatelia základnej služby musia nahlásiť závažný kybernetický bezpečnostný incident NBÚ v presne stanovených lehotách: včasné varovanie do 24 hodín od zistenia, podrobné oznámenie do 72 hodín a záverečnú správu do jedného mesiaca. Nedodržanie ktorejkoľvek z týchto lehôt je správnym deliktom s hornou sadzbou 7 000 000 € (PZS) resp. 10 000 000 € (PKZS).
Nesplnenie registračnej povinnosti
Každá organizácia, ktorá spadá pod zákon, musí vykonať samoidentifikáciu a zaregistrovať sa na NBÚ do 60 dní od začiatku vykonávania regulovanej činnosti. Za neregistráciu hrozí pokuta až 500 000 €. Mnohé organizácie si stále neuvedomujú, že pod novelu spadajú — najmä v sektoroch ako potravinárstvo, odpadové hospodárstvo alebo výroba.
Neuskutočnenie auditu kybernetickej bezpečnosti
Do dvoch rokov od zápisu do registra PZS musí organizácia absolvovať audit kybernetickej bezpečnosti vykonaný certifikovaným audítorom, alebo samohodnotenie (ak na to má nárok). Subjekty využívajúce samohodnotenie musia absolvovať plný audit do piatich rokov. Za nesplnenie tejto povinnosti hrozí pokuta do 500 000 €.
Neodstránenie zistených nedostatkov
Ak audit alebo kontrola NBÚ odhalí nedostatky, organizácia ich musí odstrániť v stanovenej lehote. Ignorovanie nálezov z auditu je samostatný správny delikt.
Ako NBÚ určuje výšku pokuty
NBÚ pri rozhodovaní o výške pokuty zohľadňuje viaceré okolnosti podľa § 31 zákona. Medzi ne patrí závažnosť porušenia a jeho dôsledky, doba trvania porušenia, predchádzajúce porušenia daného subjektu, opatrenia prijaté na predchádzanie škodám alebo ich zmiernenie, miera spolupráce s NBÚ a citlivosť údajov, ktorých sa porušenie týka.
V praxi to znamená, že organizácia, ktorá aktívne spolupracuje s NBÚ, preukáže snahu o nápravu a má aspoň čiastočne implementované opatrenia, môže očakávať nižšiu pokutu ako organizácia, ktorá kybernetickú bezpečnosť úplne ignoruje.
Osobná zodpovednosť vedenia organizácie
Novela ZoKB, v súlade so smernicou NIS2, výrazne posilňuje zodpovednosť vrcholového vedenia. Štatutárny orgán organizácie musí byť preukázateľne informovaný o stave kybernetickej bezpečnosti a aktívne sa podieľať na riadení kybernetických rizík.
Tento princíp má praktický dopad: ak NBÚ zistí, že vedenie organizácie sa o kybernetickú bezpečnosť nezaujímalo, je to priťažujúca okolnosť. Naopak, preukázateľné zapojenie vedenia — napríklad pravidelné reporty od manažéra kybernetickej bezpečnosti pre štatutárny orgán — je poľahčujúca okolnosť.
Prechodné obdobie a kľúčové termíny pre rok 2026
Pre organizácie, ktoré boli prevádzkovateľmi základnej služby ešte podľa znenia zákona účinného do 31. decembra 2024, platí prechodné obdobie do 31. decembra 2026. Počas neho môžu plniť bezpečnostné opatrenia podľa starých aj nových pravidiel. Od 1. januára 2027 však musia fungovať výlučne podľa novej vyhlášky č. 227/2025 Z. z.
To znamená, že organizáciám zostáva menej ako osem mesiacov na dokončenie prechodu na nový rámec. Kto s implementáciou ešte nezačal, riskuje, že do konca roka nestihne zaviesť všetky požadované opatrenia — a tým sa vystaví riziku sankcie od prvého dňa roku 2027.
Pre nové subjekty zapísané do registra po 1. januári 2025 platí lehota 12 mesiacov na zavedenie bezpečnostných opatrení od momentu zápisu.
Praktické odporúčania: ako minimalizovať riziko pokút
Na základe skúseností s implementáciou bezpečnostných opatrení u desiatok organizácií v rôznych sektoroch možno identifikovať niekoľko kľúčových krokov.
Prvým je overenie, či vaša organizácia spadá pod zákon. Samoidentifikácia nie je zložitá, ale mnohé organizácie ju podcenia — najmä v sektoroch, ktoré pod pôvodný zákon nespadali (potravinárstvo, odpadové hospodárstvo, poštové služby, výroba). Portál nis2.nbu.gov.sk poskytuje základné informácie.
Druhým je registrácia na NBÚ, ak ste tak ešte neurobili. Oneskorená registrácia je z pohľadu NBÚ stále lepšia ako žiadna. Za úplnú neregistráciu hrozí pokuta až 500 000 €.
Tretím krokom je analýza rizík podľa novej metodiky NBÚ (účinnej od 1.9.2025). Bez kvalitnej analýzy rizík nemôžete efektívne navrhnúť bezpečnostné opatrenia — a formálna dokumentácia bez väzby na reálne riziká vás pred NBÚ neochráni.
Štvrtým je implementácia bezpečnostných opatrení podľa vyhlášky 227/2025 Z. z. Prioritizujte podľa výsledkov analýzy rizík a zamerajte sa na oblasti s najväčším dopadom.
Piatym je nastavenie procesov hlásenia incidentov. Lehota 24 hodín na včasné varovanie je krátka — bez vopred pripravených postupov ju nestihnete dodržať.
Ako to vidíme v Cyllium
V Cyllium sa s otázkou pokút stretávame pri takmer každom projekte. Organizácie prirodzene zaujíma, čo im hrozí, ak nestihnú splniť všetky požiadavky včas. Naša skúsenosť z viac ako 200 projektov v oblasti kybernetickej bezpečnosti ukazuje, že najväčšie riziko nehrozí tým, ktorí majú drobné nedostatky v dokumentácii — ale tým, ktorí kybernetickú bezpečnosť riešia len formálne alebo ju neriešia vôbec.
Tím Cyllium zahŕňa 6 certifikovaných manažérov kybernetickej bezpečnosti a 2 certifikovaných audítorov KB s medzinárodnými certifikáciami CISA, CISM, CIA, CDPSE, CEH a GICSP. Práve kombinácia audítorských a implementačných skúseností nám umožňuje organizáciám pomôcť nastaviť bezpečnostné opatrenia tak, aby nielen splnili zákonné požiadavky, ale aj reálne zvýšili úroveň ochrany.
Kľúčové je začať s kvalitnou analýzou rizík — nie formálnym dokumentom, ale skutočným pochopením toho, čo organizáciu ohrozuje. Na nej potom stojí celý systém opatrení. Organizácie, ktoré k tomu pristúpia zodpovedne, nemajú dôvod sa pokút obávať. Tie, ktoré to odkladajú, riskujú nielen sankcie, ale predovšetkým reálne následky kybernetického incidentu, ktoré môžu byť mnohonásobne nákladnejšie ako akákoľvek pokuta.
Často kladené otázky
Aká je najvyššia pokuta za porušenie zákona o kybernetickej bezpečnosti?
Pre prevádzkovateľov kritickej základnej služby je maximálna pokuta 10 000 000 € alebo 2 % celosvetového ročného obratu — uplatní sa vyššia suma. Pre ostatných prevádzkovateľov základnej služby je to 7 000 000 € alebo 1,4 % obratu. Pri opakovanom porušení do jedného roka sa maximum zdvojnásobuje.
Kto ukladá pokuty za kybernetickú bezpečnosť?
Pokuty ukladá Národný bezpečnostný úrad (NBÚ) ako ústredný orgán štátnej správy pre kybernetickú bezpečnosť. NBÚ má oprávnenie vykonávať kontroly, nariaďovať audity a ukladať sankcie podľa § 31 zákona č. 69/2018 Z. z.
Môže dostať pokutu aj malá firma?
Zákon sa primárne vzťahuje na stredné a veľké podniky (50+ zamestnancov alebo obrat nad 10 mil. €). Niektoré subjekty však spadajú pod zákon bez ohľadu na veľkosť — napríklad poskytovatelia DNS služieb, správcovia domén najvyššej úrovne alebo poskytovatelia dôveryhodných služieb. Ak ste dodávateľom pre regulovaný subjekt, môžu sa na vás vzťahovať zmluvné bezpečnostné požiadavky.
Do kedy musím splniť požiadavky, aby som sa vyhol pokute?
Závisí od dátumu zápisu do registra. Pre subjekty registrované pred 31.12.2024 platí prechodné obdobie do 31. decembra 2026. Pre nové subjekty je lehota 12 mesiacov od zápisu na zavedenie opatrení a 2 roky na prvý audit alebo samohodnotenie.
Môže byť pokutovaný aj konateľ alebo riaditeľ osobne?
Zákon umožňuje uložiť pokutu do 5 000 € fyzickej osobe, ktorá si neplní povinnosti v oblasti kybernetickej bezpečnosti. Novela zároveň posilňuje zodpovednosť štatutárneho orgánu — vedenie musí byť preukázateľne zapojené do riadenia kybernetických rizík.