Od 1. januára 2025 platí na Slovensku novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorá výrazne rozšírila okruh subjektov povinných registrovať sa na Národnom bezpečnostnom úrade (NBÚ) ako prevádzkovatelia základnej služby (PZS). Registrácia prevádzkovateľa základnej služby je prvým a kľúčovým krokom k splneniu všetkých povinností v oblasti kybernetickej bezpečnosti. Ak ste tento krok ešte nevykonali alebo si nie ste istí, či sa vás táto povinnosť týka, v tomto článku nájdete kompletný postup — od samoidentifikácie cez podanie oznámenia až po lehoty a sankcie.
Kto je prevádzkovateľ základnej služby podľa zákona 69/2018
Prevádzkovateľ základnej služby je subjekt, ktorý vykonáva činnosť zaradenú do zoznamu základných služieb podľa § 17 zákona č. 69/2018 Z. z. a spĺňa identifikačné kritériá stanovené v prílohe zákona. Novela účinná od 1. januára 2025 (zákon č. 366/2024 Z. z.) transponovala európsku smernicu NIS2 a priniesla zásadné zmeny v tom, koho sa povinnosti týkajú.
Subjekty sa delia na dve kategórie — kľúčové subjekty a dôležité subjekty. Kľúčové subjekty vykonávajú kritickú základnú službu a prekračujú limity stredného podniku v regulovaných sektoroch. Dôležité subjekty sú stredné podniky v regulovaných sektoroch alebo subjekty s osobitným postavením.
Zákon pokrýva nasledovné sektory: energetika, doprava, bankovníctvo a infraštruktúra finančného trhu, zdravotníctvo, pitná a odpadová voda, digitálna infraštruktúra, verejná správa, poštové služby, odpadové hospodárstvo, výroba a distribúcia potravín, výroba a distribúcia chemikálií, vesmírny sektor a ďalšie. Podľa odhadov NBÚ sa novela dotýka minimálne 3 400 organizácií na Slovensku.
Samoidentifikácia — prvý krok k registrácii PZS
Registrácia prevádzkovateľa základnej služby je založená na princípe samoidentifikácie. To znamená, že každý subjekt musí sám vyhodnotiť, či spadá pod zákon o kybernetickej bezpečnosti. NBÚ nevykonáva plošný prieskum a subjekty neoslovuje individuálne.
Pre uľahčenie tohto procesu NBÚ pripravil indikatívnu pomôcku vo forme online dotazníka, dostupnú na stránke nis2.nbu.gov.sk. Dotazník obsahuje sériu otázok o činnosti organizácie, jej veľkosti a sektore pôsobenia. Na základe odpovedí systém indikuje, či subjekt pravdepodobne spadá pod zákon.
Pri samoidentifikácii je potrebné posúdiť tri základné kritériá:
1. Sektorová príslušnosť — Vykonáva vaša organizácia činnosť v niektorom z regulovaných sektorov uvedených v prílohe zákona? Zoznam základných služieb je dostupný na stránke NBÚ.
2. Veľkostné kritérium — Prekračuje vaša organizácia limit malého podniku? Pre väčšinu sektorov platí, že povinnosti sa vzťahujú na stredné a veľké podniky (nad 50 zamestnancov alebo obrat nad 10 mil. €). Výnimkou sú niektoré sektory, kde sa povinnosti vzťahujú aj na menšie subjekty.
3. Identifikačné kritériá — Spĺňa vaša organizácia špecifické identifikačné kritériá pre daný sektor? Tieto kritériá sú definované v prílohe zákona a líšia sa podľa sektora.
Ak subjekt zistí, že spĺňa všetky tri kritériá, je povinný podať oznámenie na NBÚ.
V praxi však samoidentifikácia nie je vždy jednoznačná. Najmä v sektoroch ako zdravotníctvo alebo verejná správa existujú prípady, keď subjekt poskytuje službu, ktorá spadá pod zákon, ale vedenie organizácie si túto skutočnosť neuvedomuje. Typickým príkladom sú mestá a obce prevádzkujúce informačné systémy na správu údajov občanov, nemocnice s prepojenými zdravotníckymi systémami alebo vodárenské spoločnosti s digitalizovaným riadením distribúcie. Ak si nie ste istí, je vhodné konzultovať s odborníkom na kybernetickú bezpečnosť ešte pred podaním oznámenia.
Postup registrácie krok za krokom
Samotný proces registrácie prevádzkovateľa základnej služby pozostáva z niekoľkých krokov, ktoré zákon presne definuje.
Krok 1: Vyplnenie formulára
NBÚ zverejnil formulár oznámenia o vykonávaní činnosti na svojej webovej stránke v sekcii Formuláre pre prevádzkovateľov základnej služby. Formulár vyžaduje identifikačné údaje subjektu, opis vykonávanej základnej služby, informácie o sieťach a informačných systémoch používaných na poskytovanie tejto služby a kontaktné údaje zodpovednej osoby.
Krok 2: Odoslanie cez Ústredný portál verejnej správy
Vyplnený formulár sa zasiela NBÚ prostredníctvom Ústredného portálu verejnej správy (slovensko.sk) podľa § 17 ods. 2 zákona č. 69/2018 Z. z. Na podanie je potrebný elektronický občiansky preukaz (eID) s aktivovaným kvalifikovaným elektronickým podpisom. Subjekt musí mať aktivovanú elektronickú schránku.
Krok 3: Oznámenie o zápise do registra
Po doručení oznámenia NBÚ bezodkladne zapíše subjekt do registra prevádzkovateľov základnej služby. Podľa § 17 ods. 4 zákona NBÚ oznámi zápis prostredníctvom Jednotného informačného systému kybernetickej bezpečnosti (JISKB) a zároveň doručí oznámenie do elektronickej schránky subjektu. V oznámení je uvedený dátum, od ktorého subjektu vznikajú práva a povinnosti podľa zákona.
Krok 4: Vznik práv a povinností
Práva a povinnosti vyplývajúce zo zákona vznikajú PZS dňom uvedeným v oznámení o zápise, najskôr však tridsiaty deň nasledujúci po dni zápisu do registra. Tento ochranný interval dáva subjektu čas na prvotné organizačné opatrenia.
Dôležitá poznámka: register prevádzkovateľov základnej služby je verejne dostupný na stránke NBÚ. Od 1. januára 2025 NBÚ vedie dva samostatné registre — jeden pre subjekty zaradené pred účinnosťou novely (podľa § 34b ods. 1 a 3) a druhý pre subjekty zaradené po 1. januári 2025. Oba registre sú dostupné aj ako otvorené dáta na portáli data.gov.sk.
Lehoty, ktoré musíte dodržať
Po registrácii prevádzkovateľa základnej služby začínajú plynúť zákonné lehoty na splnenie ďalších povinností. Ich nedodržanie môže viesť k vysokým sankciám.
Lehota na oznámenie: Podľa prechodných ustanovení novely mali existujúce subjekty povinnosť podať oznámenie do 60 dní od účinnosti novely, teda do 3. marca 2025. Nové subjekty, ktoré začnú vykonávať regulovanú činnosť po tomto dátume, musia podať oznámenie do 30 dní odo dňa, kedy zistili prekročenie identifikačných kritérií.
Lehota na bezpečnostné opatrenia: PZS je povinný do 12 mesiacov odo dňa vzniku práv a povinností prijať a dodržiavať bezpečnostné opatrenia podľa § 20 zákona a vyhlášky č. 227/2025 Z. z. o bezpečnostných opatreniach. To zahŕňa vypracovanie bezpečnostnej dokumentácie, implementáciu technických opatrení a organizačných postupov.
Lehota na audit alebo samohodnotenie: Do 2 rokov od zápisu do registra je PZS povinný vykonať audit kybernetickej bezpečnosti (kľúčové subjekty) alebo samohodnotenie (dôležité subjekty). Audit musí vykonať certifikovaný audítor kybernetickej bezpečnosti zapísaný v registri NBÚ.
Lehota na vymenovanie manažéra KB: PZS musí bez zbytočného odkladu po vzniku povinností vymenovať alebo ustanoviť manažéra kybernetickej bezpečnosti (MKB). MKB môže byť interný zamestnanec alebo externá osoba, musí však byť certifikovaný podľa zákona.
Praktický časový harmonogram pre nového PZS
Pre lepšiu orientáciu uvádzame typický harmonogram, ktorý čaká nového prevádzkovateľa základnej služby od momentu samoidentifikácie:
Týždeň 1–2: Samoidentifikácia a posúdenie, či organizácia spadá pod zákon. Využitie indikatívnej pomôcky NBÚ, prípadne konzultácia s odborníkom na kybernetickú bezpečnosť. Príprava podkladov pre formulár oznámenia.
Týždeň 3–4: Vyplnenie a odoslanie formulára oznámenia cez Ústredný portál verejnej správy. Čakanie na oznámenie o zápise do registra od NBÚ cez JISKB.
Mesiac 1–3 po zápise: Vymenovanie alebo zabezpečenie manažéra kybernetickej bezpečnosti. Zahájenie analýzy rizík a príprava bezpečnostnej dokumentácie. Identifikácia najkritickejších oblastí, kde organizácia neplní požiadavky vyhlášky 227/2025 Z. z.
Mesiac 3–9 po zápise: Postupná implementácia bezpečnostných opatrení — segmentácia sietí, riadenie prístupov, zálohovanie, monitoring, školenia zamestnancov. Nastavenie procesov hlásenia incidentov podľa vyhlášky 226/2025 Z. z.
Mesiac 9–12 po zápise: Dokončenie implementácie bezpečnostných opatrení. Interné preverenie pripravenosti na audit.
Mesiac 12–24 po zápise: Absolvovanie auditu kybernetickej bezpečnosti (kľúčové subjekty) alebo vykonanie samohodnotenia (dôležité subjekty). Predloženie výsledkov NBÚ.
Tento harmonogram je orientačný a závisí od veľkosti organizácie, existujúceho stavu bezpečnosti a dostupnosti interných či externých zdrojov.
Čo ak ste lehotu na registráciu zmeškali
Ak ste lehotu na registráciu zmeškali — či už z nevedomosti, že sa vás zákon týka, alebo z iných dôvodov — je dôležité konať bezodkladne. Zákon nestanovuje prekluzívnu lehotu, po ktorej by registrácia nebola možná. Oznámenie je možné podať kedykoľvek, ale oneskorenie znamená riziko sankcie a zároveň posúva začiatok všetkých nadväzujúcich lehôt.
NBÚ má zároveň právomoc z vlastného podnetu zaradiť subjekt do registra, ak zistí, že spĺňa identifikačné kritériá a nepodal oznámenie. V takom prípade subjektu vzniknú povinnosti retroaktívne a k tomu sa pripočíta sankcia za nesplnenie oznamovacej povinnosti.
Odporúčanie je jednoznačné: ak máte pochybnosti, či sa vás zákon týka, vykonajte samoidentifikáciu čo najskôr. V prípade nejasností konzultujte so špecializovaným poradcom v oblasti kybernetickej bezpečnosti.
Praktický tip: pri neskorej registrácii pripravte aj stručnú správu dokumentujúcu dôvody oneskorenia. Hoci zákon neobsahuje ustanovenie o ospravedlniteľných dôvodoch, preukázateľná snaha o nápravu môže pozitívne ovplyvniť výšku prípadnej sankcie pri správnom konaní.
Najčastejšie chyby pri registrácii PZS
Na základe skúseností z praxe možno identifikovať niekoľko opakujúcich sa chýb, ktorých sa subjekty dopúšťajú pri registrácii.
Nesprávna identifikácia rozsahu služby. Subjekt zaregistruje len jednu základnú službu, hoci v skutočnosti vykonáva viacero činností spadajúcich pod zákon. Každá základná služba musí byť oznámená samostatne, pretože pre každú sa vedú oddelené záznamy v registri a môžu sa líšiť bezpečnostné požiadavky.
Podcenenie veľkostného kritéria. Niektoré organizácie sa mylne domnievajú, že sa ich zákon netýka, pretože majú menej ako 50 zamestnancov. V určitých sektoroch (napr. digitálna infraštruktúra, poskytovatelia DNS služieb, registre doménových mien) sa veľkostné kritérium neuplatňuje a povinnosti sa vzťahujú aj na mikropodniky.
Nekompletné údaje vo formulári. Formulár vyžaduje okrem identifikačných údajov aj technické informácie o sieťach a informačných systémoch. Nekompletné podanie môže spôsobiť zdržanie pri spracovaní a vyžiadanie doplňujúcich informácií zo strany NBÚ.
Zamieňanie registrácie s implementáciou. Registrácia je administratívny úkon — podanie oznámenia. Samotná implementácia bezpečnostných opatrení je samostatný proces s vlastnými lehotami. Niektoré organizácie odkladajú registráciu s tým, že najprv chcú mať všetko pripravené, čím zbytočne riskujú sankciu za nesplnenie oznamovacej povinnosti.
Sankcie za nesplnenie registračnej povinnosti
Zákon č. 69/2018 Z. z. v znení novely stanovuje odstupňované sankcie podľa závažnosti porušenia a kategórie subjektu.
Za porušenie oznamovacej povinnosti (nepodanie oznámenia o vykonávaní činnosti) hrozí pokuta od 300 € do 500 000 €.
Pre dôležité subjekty, ktoré neplnia bezpečnostné opatrenia alebo nehlásia incidenty, sú pokuty od 300 € do 7 000 000 € alebo do 1,4 % celkového celosvetového ročného obratu — podľa toho, ktorá suma je vyššia.
Pre kľúčové subjekty (prevádzkovatelia kritickej základnej služby) sú pokuty ešte vyššie — od 500 € do 10 000 000 € alebo do 2 % celosvetového ročného obratu.
Okrem finančných sankcií môže NBÚ uložiť aj opatrenia na nápravu s konkrétnou lehotou na ich splnenie. Štatutárny orgán kľúčového subjektu nesie osobnú zodpovednosť za zabezpečenie plnenia povinností v oblasti kybernetickej bezpečnosti.
Povinnosti po registrácii — na čo sa pripraviť
Registrácia prevádzkovateľa základnej služby je len začiatok. Po zápise do registra musí PZS splniť celý rad povinností. Tu je prehľad najdôležitejších z nich:
Bezpečnostné opatrenia podľa vyhlášky 227/2025 Z. z. — PZS musí implementovať opatrenia v oblastiach: riadenie bezpečnostných rizík, bezpečnostná politika, riadenie aktív, riadenie prístupov, segmentácia sietí, kryptografické opatrenia, fyzická bezpečnosť, bezpečnosť ľudských zdrojov, riadenie kontinuity činnosti, monitorovanie a detekcia incidentov.
Manažér kybernetickej bezpečnosti — Každý PZS musí mať vymenovaného certifikovaného manažéra KB, ktorý zodpovedá za riadenie kybernetickej bezpečnosti v organizácii. MKB koordinuje implementáciu bezpečnostných opatrení a je kontaktným bodom pre komunikáciu s NBÚ.
Hlásenie incidentov — PZS je povinný hlásiť závažné kybernetické bezpečnostné incidenty NBÚ. Podľa vyhlášky č. 226/2025 Z. z. musí PZS podať včasné varovanie do 24 hodín od zistenia incidentu a oznámenie o incidente do 72 hodín.
Audit alebo samohodnotenie — Kľúčové subjekty sú povinné absolvovať audit kybernetickej bezpečnosti, dôležité subjekty vykonajú samohodnotenie. Výsledky sa predkladajú NBÚ.
Bezpečnosť dodávateľského reťazca — PZS musí vykonať analýzu rizík vo vzťahu k svojim dodávateľom a zabezpečiť zmluvné garancie plnenia bezpečnostných opatrení tretími stranami.
Analýza rizík — Kľúčovou súčasťou implementácie bezpečnostných opatrení je analýza rizík kybernetickej bezpečnosti. PZS musí identifikovať aktíva, hrozby a zraniteľnosti a na základe výsledkov stanoviť primerané opatrenia. Metodiku analýzy rizík vydal NBÚ ako súčasť podporných materiálov k zákonu.
Školenia zamestnancov — Zákon vyžaduje pravidelné vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti. Školenia musia pokrývať minimálne rozpoznávanie kybernetických hrozieb, bezpečné používanie informačných systémov a postupy pri podozrení na bezpečnostný incident.
Register PZS — verejne dostupné informácie
Register prevádzkovateľov základnej služby vedený NBÚ obsahuje verejne dostupné údaje o zaregistrovaných subjektoch. Pre organizácie, ktoré zvažujú registráciu, môže byť užitočné nahliadnuť do registra a overiť, či sa tam nachádzajú subjekty z ich sektora s porovnateľným profilom.
NBÚ zverejňuje register v dvoch častiach. Prvá časť obsahuje subjekty zaradené pred účinnosťou novely (pred 1. januárom 2025) podľa pôvodného znenia zákona. Druhá časť obsahuje subjekty zaradené po 1. januári 2025 podľa novely transponujúcej NIS2. Obe časti sú dostupné na webovej stránke NBÚ a taktiež vo formáte otvorených dát na portáli data.gov.sk.
Pre subjekty, ktoré boli zaradené do registra ešte podľa pôvodného znenia zákona, platia prechodné ustanovenia novely. Tieto subjekty sú automaticky považované za PZS podľa nového znenia zákona, ale musia si overiť, či ich kategorizácia (kľúčový vs. dôležitý subjekt) zodpovedá novým kritériám. V prípade zmeny kategórie sa menia aj niektoré povinnosti — napríklad povinnosť auditu namiesto samohodnotenia alebo naopak.
Ako vám môže pomôcť Cyllium
V Cyllium sa registrácii a následným povinnostiam prevádzkovateľov základnej služby venujeme v praxi od účinnosti pôvodného zákona v roku 2018. Náš tím zahŕňa 6 certifikovaných manažérov kybernetickej bezpečnosti a 2 certifikovaných audítorov KB s medzinárodnými certifikáciami vrátane CISA, CISM a GICSP.
Organizáciám pomáhame s celým procesom — od prvotnej samoidentifikácie a posúdenia, či spadajú pod zákon, cez prípravu a podanie oznámenia na NBÚ, až po implementáciu bezpečnostných opatrení podľa vyhlášky 227/2025 Z. z. a prípravu na audit.
Skúsenosti z viac ako 200 projektov v rôznych sektoroch — od zdravotníctva cez verejnú správu až po priemysel — nám umožňujú identifikovať špecifiká jednotlivých odvetví a nastaviť opatrenia tak, aby zodpovedali reálnym rizikám, nie len formálnym požiadavkám zákona. Pre subjekty, ktoré nemajú interného odborníka na kybernetickú bezpečnosť, zabezpečujeme aj funkciu externého manažéra kybernetickej bezpečnosti, ktorý prevedie organizáciu celým procesom od registrácie až po úspešný audit.
Často kladené otázky
Ako zistím, či som prevádzkovateľ základnej služby?
Vykonajte samoidentifikáciu podľa troch kritérií: sektorová príslušnosť, veľkostné kritérium a identifikačné kritériá v prílohe zákona č. 69/2018 Z. z. NBÚ poskytuje aj online dotazník na stránke nis2.nbu.gov.sk, ktorý vám pomôže s prvotným posúdením. Ak výsledok dotazníka indikuje, že spadáte pod zákon, odporúčame posúdenie konzultovať s odborníkom na kybernetickú bezpečnosť, ktorý posúdi aj rozsah vašich povinností a správnu kategorizáciu služby.
Čo sa stane, ak sa nezaregistrujem, hoci by som mal?
NBÚ vás môže zaradiť do registra z vlastného podnetu a uložiť pokutu od 300 € do 500 000 € za nesplnenie oznamovacej povinnosti. Zároveň vám vzniknú všetky povinnosti spätne, čo komplikuje ich splnenie v zákonných lehotách.
Môžem registráciu vykonať aj po termíne 3. marca 2025?
Áno, oznámenie je možné podať kedykoľvek. Oneskorenie však znamená riziko sankcie za nesplnenie lehoty a zároveň posúva všetky nadväzujúce lehoty (bezpečnostné opatrenia, audit). Odporúčame konať bezodkladne.
Aký je rozdiel medzi kľúčovým a dôležitým subjektom?
Kľúčový subjekt vykonáva kritickú základnú službu a prekračuje limity stredného podniku v regulovanom sektore. Podlieha prísnejšiemu dohľadu vrátane povinného auditu a vyšších sankcií (až 10 mil. € alebo 2 % obratu). Dôležitý subjekt má miernejšie požiadavky — namiesto auditu vykonáva samohodnotenie.
Potrebujem na registráciu manažéra kybernetickej bezpečnosti?
Na samotnú registráciu nie. MKB je však jednou z povinností, ktoré vám vzniknú po zápise do registra. MKB musí byť certifikovaný podľa zákona a môže byť interný zamestnanec alebo externá osoba. Výhodou externého MKB je okamžitá dostupnosť certifikovaného odborníka bez potreby zdĺhavého procesu získavania certifikácie interným zamestnancom.
Koľko celý proces od registrácie po audit trvá?
Závisí od veľkosti a komplexnosti organizácie. Samotná registrácia je záležitosťou dní. Implementácia bezpečnostných opatrení podľa vyhlášky 227/2025 Z. z. typicky trvá 6 až 12 mesiacov. Príprava na audit si vyžaduje ďalšie 2 až 3 mesiace. Celkovo teda od registrácie po úspešný audit uplynie spravidla 12 až 18 mesiacov, pričom zákonná lehota na audit je 2 roky od zápisu do registra.
Ak si nie ste istí, či sa vás registrácia týka, alebo potrebujete pomoc s implementáciou povinností po zápise do registra, kontaktujte nás — radi vám poradíme na základe konkrétnej situácie vašej organizácie.