Ste prevádzkovateľ základnej služby a neviete, či máte povinnosť absolvovať plnohodnotný audit kybernetickej bezpečnosti, alebo vám stačí samohodnotenie? Nie ste sami. Od januára 2025, keď vstúpila do platnosti novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti transponujúca smernicu NIS2, sa pravidlá zmenili. Rozdiely medzi auditom a samohodnotením sú zásadné — a rozhodnutie, ktorú cestu zvolíte, ovplyvní nielen výšku vašich nákladov, ale aj reálnu úroveň ochrany vašej organizácie. V tomto článku vysvetľujeme oba prístupy, porovnávame ich a pomáhame vám rozhodnúť sa správne.
Čo je samohodnotenie kybernetickej bezpečnosti
Samohodnotenie kybernetickej bezpečnosti je zjednodušená forma preverenia účinnosti prijatých bezpečnostných opatrení podľa § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti. Na rozdiel od plnohodnotného auditu ho nevykonáva externý certifikovaný audítor, ale manažér kybernetickej bezpečnosti — či už interný alebo externý.
Samohodnotenie bolo pôvodne zavedené ako dočasné riešenie v roku 2021 prostredníctvom § 34a zákona č. 69/2018 Z. z. Cieľom bolo umožniť prevádzkovateľom základnej služby (PZS), ktorí nemali prístup k dostatočnému počtu certifikovaných audítorov, preveriť svoje bezpečnostné opatrenia aj bez formálneho auditu.
Ako samohodnotenie prebieha
Samohodnotenie sa realizuje prostredníctvom štandardizovaného formulára, ktorý obsahuje približne 35 otázok zameraných na minimálne bezpečnostné požiadavky. Formulár vypĺňa manažér kybernetickej bezpečnosti a podpisuje ho štatutárny orgán organizácie — v prípade obce starosta, v prípade mesta primátor.
Výstupom je vyplnený formulár samohodnotenia spolu s plánom implementácie opatrení na odstránenie identifikovaných nedostatkov. Tento formulár sa predkladá prostredníctvom jednotného informačného systému kybernetickej bezpečnosti (JISKB) na Národný bezpečnostný úrad (NBÚ).
Kto môže samohodnotenie vykonať
Samohodnotenie môže vykonávať výlučne manažér kybernetickej bezpečnosti podľa § 20 ods. 4 písm. a) zákona č. 69/2018 Z. z. Táto osoba musí byť certifikovaná podľa pravidiel NBÚ. Samohodnotenie môže vykonať interný aj externý manažér kybernetickej bezpečnosti, ktorý je pre danú organizáciu ustanovený.
Čo je audit kybernetickej bezpečnosti
Audit kybernetickej bezpečnosti je komplexné, nezávislé preverenie účinnosti bezpečnostných opatrení podľa § 29 zákona č. 69/2018 Z. z. Ide o systematický proces, ktorý vykonáva certifikovaný audítor kybernetickej bezpečnosti — osoba akreditovaná podľa osobitného predpisu.
Na rozdiel od samohodnotenia s jeho 35 otázkami, audit zahŕňa preverenie až 266 požiadaviek podľa metodiky stanovenej vyhláškou č. 493/2022 Z. z. o audite kybernetickej bezpečnosti (v znení neskorších predpisov, vrátane zmien vyplývajúcich z novej vyhlášky č. 227/2025 Z. z. o bezpečnostných opatreniach).
Priebeh auditu
Audit prebieha priamo v organizácii (on-site) a zahŕňa preverenie technických aj organizačných opatrení. Audítor posudzuje dokumentáciu, konfigurované systémy, procesné nastavenia, riadenie prístupov, zálohovanie, segmentáciu sietí, riadenie incidentov a mnohé ďalšie oblasti.
Výstupom auditu je záverečná správa s konkrétnymi dôkazmi, hodnotením zhody s legislatívnymi požiadavkami a plánom nápravných opatrení vrátane termínov ich realizácie. Prevádzkovateľ základnej služby je povinný predložiť záverečnú správu na NBÚ do 30 dní od ukončenia auditu.
Kto audit vykonáva
Audit kybernetickej bezpečnosti môže vykonávať výlučne certifikovaný audítor kybernetickej bezpečnosti — orgán posudzovania zhody akreditovaný podľa § 29 ods. 3 zákona č. 69/2018 Z. z. Manažér kybernetickej bezpečnosti audit vykonávať nemôže, a to ani ak má certifikáciu MKB.
Porovnanie: Samohodnotenie vs audit kybernetickej bezpečnosti
Pre lepšiu orientáciu uvádzame prehľadné porovnanie oboch prístupov:
| Kritérium | Samohodnotenie | Audit |
|---|---|---|
| Právny základ | § 29 v spojení s § 34a zákona č. 69/2018 Z. z. | § 29 zákona č. 69/2018 Z. z. |
| Kto vykonáva | Manažér kybernetickej bezpečnosti | Certifikovaný audítor KB |
| Počet posudzovaných požiadaviek | ~35 otázok | 266 požiadaviek |
| Forma | Štandardizovaný formulár | On-site audit s dôkazmi |
| Nezávislosť | Interná alebo externá MKB | Nezávislý externý audítor |
| Výstup | Formulár + plán implementácie | Záverečná správa + nápravné opatrenia |
| Pre koho | PZS bez kritických IS kategórie III | Všetci PZS (povinné pre kritických PZS) |
| Frekvencia | Každé 2 roky | Každé 2 roky |
| Predloženie na NBÚ | Cez JISKB | Do 30 dní od ukončenia |
| Hĺbka | Overenie minimálnych požiadaviek | Komplexné preverenie všetkých oblastí |
Kedy je audit povinný a kedy stačí samohodnotenie
Podľa aktuálneho znenia zákona č. 69/2018 Z. z. (v znení novely zákonom č. 366/2024 Z. z. účinnej od 1. januára 2025) platia tieto pravidlá:
Audit je povinný pre prevádzkovateľov kritických základných služieb — teda organizácie, ktoré prevádzkujú informačné systémy zaradené do kategórie III. Títo prevádzkovatelia nemôžu využiť samohodnotenie ako náhradu auditu. Sem patria napríklad prevádzkovatelia v sektoroch energetiky, dopravy, zdravotníctva, digitálnej infraštruktúry a ďalších kritických oblastí.
Samohodnotenie je dostupné pre prevádzkovateľov základnej služby, ktorí neprevádzkujú informačné systémy kategórie III. Aj pre tieto organizácie však platí, že plnohodnotný audit musia absolvovať najneskôr do 5 rokov od zaradenia do registra PZS.
Dôležité lehoty
Prvé preverenie (či už audit alebo samohodnotenie) musí PZS vykonať do 2 rokov od zaradenia do registra prevádzkovateľov základnej služby. Následne sa preverenie opakuje každé 2 roky alebo po každej zmene, ktorá má významný vplyv na bezpečnostné opatrenia — napríklad zavedenie nového informačného systému, zmena architektúry siete alebo organizačná zmena.
Prečo samohodnotenie nestačí na skutočnú ochranu
Samohodnotenie plní svoju úlohu ako legislatívny nástroj pre menej kritické organizácie, ale z odborného hľadiska má výrazné limity:
Obmedený rozsah. S 35 otázkami pokrýva samohodnotenie len základné minimum. Audit s 266 požiadavkami ide do podstatne väčšej hĺbky a odhalí slabiny, ktoré samohodnotenie jednoducho nezachytí — napríklad nedostatky v segmentácii sietí, chýbajúce zálohovacie procedúry alebo medzery v riadení dodávateľského reťazca.
Chýba nezávislý pohľad. Keď samohodnotenie vykonáva interný MKB, hodnotí de facto sám seba. Nezávislý audítor prináša objektívny, neutrálny pohľad, ktorý nie je zaťažený vnútornou dynamikou organizácie.
Falošný pocit bezpečia. Organizácia, ktorá „splní“ samohodnotenie, môže nadobudnúť dojem, že je v poriadku. V praxi ale 35 otázok odhalí maximálne hrubé nedostatky. Skutočné riziká sa často skrývajú v detailoch — v konfigurácii firewallov, v správe oprávnení, v reakcii na incidenty. Útočníci nehľadajú nedostatky v 35 oblastiach. Hľadajú jednu jedinú medzeru, cez ktorú sa dostanú dovnútra.
Audit identifikuje prioritné hrozby. Záverečná správa z auditu obsahuje konkrétne dôkazy a prioritizované odporúčania. Na základe auditnej správy dokáže organizácia efektívne alokovať zdroje na najkritickejšie oblasti. Audit tiež pomáha pri komunikácii s vedením — záverečná správa od nezávislého audítora je presvedčivejší argument pre investíciu do bezpečnosti ako interný formulár.
Nové požiadavky vyhlášky 227/2025. Od septembra 2025 nadobudla účinnosť vyhláška č. 227/2025 Z. z. o bezpečnostných opatreniach, ktorá nahradila pôvodnú vyhlášku č. 362/2018 Z. z. Nové požiadavky zahŕňajú povinnú sieťovú segmentáciu, viacfaktorovú autentifikáciu pre privilegované účty a kontinuálny monitoring bezpečnostných udalostí. Samohodnotenie s 35 otázkami tieto nové oblasti pokrýva len povrchne. Plnohodnotný audit podľa aktualizovanej metodiky preverí, či organizácia spĺňa aj tieto sprísňené požiadavky.
Koľko stojí audit vs samohodnotenie
Samohodnotenie je z pohľadu priamych nákladov lacnejšie — nevyžaduje angažovanie externého audítora. Ak má organizácia vlastného MKB, náklady sa obmedzujú na čas strávený vyplnením formulára. V praxi však aj samohodnotenie vyžaduje prípravu — zhromaždenie dokumentácie, overenie stavu opatrení a vypracovanie plánu implementácie.
Audit kybernetickej bezpečnosti je nákladnejší, pretože zahŕňa prácu certifikovaného audítora, on-site návštevy, prípravu záverečnej správy a komunikáciu s NBÚ. Náklady závisia od veľkosti organizácie, rozsahu informačných systémov a komplexnosti infraštruktúry. Pre menšie organizácie s jedným informačným systémom je audit zvládnuteľný v rozsahu niekoľkých dní. Pre väčšie subjekty s viacerými systémami a prevádzkami môže trvať aj niekoľko týždňov.
Z dlhodobého hľadiska je ale otázka iná: koľko stojí kybernetický incident, ktorý audit mohol odhaliť? Podľa novely zákona č. 69/2018 Z. z. sú pokuty za neprijatie bezpečnostných opatrení od 300 € do 7 000 000 € alebo do 1,4 % celosvetového ročného obratu — podľa toho, ktorá suma je vyššia. A to sú len sankcie od regulátora. Reálne škody z kybernetického incidentu — výpadok prevádzky, strata dát, poškodenie reputácie — môžu byť ešte vyššie. Investícia do auditu je v porovnaní s potenciálnymi sankciami a škodami z incidentu zanedbateľná.
Praktický postup: Ako sa rozhodnúť
Ak si nie ste istí, či pre vašu organizáciu zvoliť samohodnotenie alebo audit, pomôže vám nasledujúci rozhodovací rámec:
1. Prevádzkujete informačný systém kategórie III? Ak áno, audit je povinný. Samohodnotenie nie je alternatíva.
2. Ste prevádzkovateľ v kritickom sektore? Energetika, zdravotníctvo, doprava, digitálna infraštruktúra — aj keď formálne nemáte kategóriu III, audit vám poskytne podstatne lepší prehľad o skutočnom stave bezpečnosti.
3. Máte menej ako 50 zamestnancov a jeden informačný systém? Samohodnotenie môže byť rozumný prvý krok. Plánujte však audit v horizonte 2–3 rokov, aby ste boli pripravení na 5-ročnú lehotu.
4. Čelíte zvýšenému riziku kybernetického útoku? Organizácie, ktoré spracovávajú citlivé osobné údaje, zdravotné záznamy alebo finančné dáta, by mali uprednostniť audit bez ohľadu na legislatívne minimum.
5. Blíži sa vám lehota pre prvé preverenie? Ak do 2-ročnej lehoty zostáva menej ako 6 mesiacov, začnite s prípravou ihneď — či už na audit alebo samohodnotenie. Obe formy vyžadujú čas na prípravu dokumentácie a opatrení.
Ako k tomu pristupujeme v Cyllium
V Cyllium máme skúsenosť s oboma prístupmi — vykonávame samohodnotenia aj audity kybernetickej bezpečnosti pre organizácie rôznych veľkostí a z rôznych sektorov, vrátane zdravotníctva, verejnej správy a priemyslu. S tímom 6 certifikovaných manažérov kybernetickej bezpečnosti a 2 certifikovaných audítorov KB pokrývame celé spektrum od vstupného posúdenia až po plnohodnotný audit.
Z praxe vieme, že organizácie, ktoré sa spoliehajú len na samohodnotenie, neskôr pri audite často narážajú na nedostatky, o ktorých ani nevedeli. Preto odporúčame kombinovaný prístup — aj organizáciám, ktoré majú zo zákona nárok na samohodnotenie, navrhujeme aspoň vstupnú GAP analýzu, ktorá identifikuje oblasti vyžadujúce pozornosť ešte pred formálnym preverením.
Naši certifikovaní audítori a MKB (s certifikáciami CISA, CISM, CDPSE a ďalšími) prinášajú do každého projektu skúsenosti z viac než 200 úspešných projektov a 22 rokov pôsobenia v oblasti kybernetickej bezpečnosti.
Často kladené otázky
Čo je samohodnotenie kybernetickej bezpečnosti?
Samohodnotenie je zjednodušená forma preverenia bezpečnostných opatrení podľa § 29 zákona č. 69/2018 Z. z. Obsahuje približne 35 otázok, ktoré vypĺňa manažér kybernetickej bezpečnosti. Je dostupné pre prevádzkovateľov základnej služby bez informačných systémov kategórie III.
Kto vykonáva audit a kto samohodnotenie?
Audit vykonáva výlučne certifikovaný audítor kybernetickej bezpečnosti akreditovaný podľa § 29 ods. 3 zákona č. 69/2018 Z. z. Samohodnotenie vykonáva manažér kybernetickej bezpečnosti podľa § 20 ods. 4 písm. a) — interný alebo externý.
Ako často sa musí robiť audit alebo samohodnotenie?
Prvé preverenie je povinné do 2 rokov od zaradenia do registra PZS. Následne sa opakuje každé 2 roky alebo po každej významnej zmene v bezpečnostných opatreniach. Organizácie využívajúce samohodnotenie musia absolvovať plný audit najneskôr do 5 rokov.
Môže organizácia prejsť zo samohodnotenia na audit?
Áno, kedykoľvek. Audit je vždy akceptovanou formou preverenia. Organizácie, ktoré začínali samohodnotením, prechádzajú na audit dobrovoľne alebo keď uplynie 5-ročná lehota. Prechod na audit odporúčame aj skôr — identifikuje rizká, ktoré samohodnotenie nepokryje.
Koľko požiadaviek pokrýva samohodnotenie vs audit?
Samohodnotenie pokrýva približne 35 otázok zameraných na minimálne bezpečnostné požiadavky. Audit preveruje 266 požiadaviek podľa metodiky vyhlášky č. 493/2022 Z. z. Rozdiel v rozsahu je zásadný — audit pokrýva viac ako 7-násobok oblastí oproti samohodnoteniu.
Záver: Rozhodujte sa podľa rizík, nie podľa minima
Samohodnotenie a audit kybernetickej bezpečnosti nie sú ekvivalentné nástroje. Samohodnotenie je legislatívne minimum pre menej kritické organizácie. Audit je komplexný, nezávislý pohľad na skutočný stav vašej kybernetickej bezpečnosti.
Ak si nie ste istí, ktorá cesta je pre vašu organizáciu správna, obráťte sa na nás. Pomôžeme vám zhodnotiť aktuálny stav a navrhnúť postup, ktorý bude zodpovedať veľkosti a rizikovému profilu vašej organizácie.
Súvisiace články:
– Audit kybernetickej bezpečnosti: Prečo záleží na audítorovi
– Vyhláška 227/2025: Implementácia v 7 krokoch
– Vstupný audit a GAP analýza — poznáte skutočný stav?