Vyhláška 226/2025 Z. z. nadobudla účinnosť 1. septembra 2025 a zásadne mení pravidlá hlásenia kybernetických incidentov na Slovensku. Ak ste prevádzkovateľ základnej služby, táto vyhláška sa vás priamo týka — a jej ignorovanie môže znamenať pokutu až do 10 000 000 €. V tomto článku vám ukážeme, čo presne vyhláška 226/2025 vyžaduje, aké lehoty musíte dodržať a ako si nastaviť interné procesy tak, aby ste boli v súlade so zákonom.
Prečo je vyhláška 226/2025 o hlásení incidentov taká dôležitá
Vyhláška 226/2025 Z. z. je vykonávacím predpisom k novelizovanému § 24 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti. Vydal ju Národný bezpečnostný úrad (NBÚ) ako reakciu na transpozíciu európskej smernice NIS2 (smernica (EÚ) 2022/2555) do slovenského právneho poriadku prostredníctvom zákona č. 366/2024 Z. z.
Predchádzajúca úprava hlásenia incidentov bola vágna — organizácie často nevedeli, čo presne hlásiť, komu a v akom rozsahu. Vyhláška 226/2025 túto neistotu odstraňuje. Stanovuje tri kľúčové oblasti: identifikačné kritériá závažného narušenia fungovania (príloha č. 1), obsahové náležitosti hlásenia závažného kybernetického incidentu (príloha č. 2) a náležitosti hlásenia o kybernetických hrozbách, udalostiach odvráteným v poslednej chvíli a zraniteľnostiach (príloha č. 3).
V praxi to znamená koniec dohadov. Organizácia vie presne, kedy je incident „závažný“, čo musí hlásenie obsahovať a aké ďalšie skutočnosti musí nahlásiť NBÚ prostredníctvom Jednotného informačného systému kybernetickej bezpečnosti (JISKB). Každý prevádzkovateľ základnej služby by mal túto vyhlášku poznať rovnako dobre ako zákon 69/2018 o kybernetickej bezpečnosti.
8 identifikačných kritérií závažného narušenia podľa prílohy č. 1
Vyhláška 226/2025 definuje v prílohe č. 1 osem konkrétnych situácií, kedy sa narušenie fungovania považuje za závažné. Splnenie čo i len jedného kritéria zakladá povinnosť hlásenia. Toto je zásadná zmena oproti predchádzajúcej úprave, kde si organizácie samy posudzovali závažnosť.
1. Úplný výpadok kritickej služby nad 30 minút. Ak ide o službu s vysokou prioritou, stačí polhodina nedostupnosti. Pre ostatné služby je hranica 60 minút. V praxi je toto najčastejší spúšťací mechanizmus — výpadok servera, databázy alebo sieťovej infraštruktúry.
2. Narušenie činnosti nad 60 minút (kritické) alebo 180 minút (ostatné). Čiastočné obmedzenie funkčnosti, pri ktorom služba ešte beží, ale nie v plnom rozsahu. Napríklad e-mailový systém funguje, ale bez šifrovania alebo bez prístupu k prílohám.
3. Ohrozenie dôvernosti, integrity alebo dostupnosti údajov chránených podľa osobitného predpisu. Typicky ide o osobné údaje podľa GDPR, zdravotnícke údaje alebo utajované skutočnosti. Únik databázy pacientov nemocnice automaticky spĺňa toto kritérium.
4. Dopad na viac ako 25 000 osôb. Ak incident potenciálne ovplyvní údaje alebo služby pre takýto počet ľudí, automaticky sa klasifikuje ako závažný. Toto číslo vychádza z transpozície smernice NIS2 a nariadenia (EÚ) 2024/2690.
5. Hospodárska strata presahujúca 0,1 % HDP. Pre rok 2025 to predstavuje približne 130 000 000 €. Toto kritérium cieli na veľké systémové incidenty, ako sú útoky na finančnú infraštruktúru alebo energetické siete.
6. Škoda presahujúca 250 000 € pre jedného užívateľa. Individuálny finančný dopad na konkrétny subjekt — napríklad zašifrovanie výrobného systému podniku ransomvérom.
7. Zranenia vyžadujúce lekársku starostlivosť alebo úmrtia. Kritérium relevantné najmä pre OT bezpečnosť v priemysle a zdravotníctvo, kde kybernetický útok môže priamo ohroziť ľudské životy — napríklad manipulácia s priemyselnými riadiacimi systémami alebo zdravotníckou technikou.
8. Neoprávnený prístup do siete alebo dopad na iné kritické služby. Ak útočník preukázateľne získal prístup do infraštruktúry alebo incident zasiahol aj ďalších prevádzkovateľov základných služieb. Toto kritérium pokrýva aj supply chain útoky, kde kompromitácia jedného dodávateľa ohrozí viacerých odberateľov.
Trojstupňové hlásenie — čo, kedy a komu (príloha č. 2)
Hlásenie závažného kybernetického incidentu podľa vyhlášky 226/2025 má presne definovanú štruktúru. Podáva sa cez JISKB a prebieha v troch fázach podľa § 24 novelizovaného zákona č. 69/2018 Z. z.:
Fáza 1 — Prvotné hlásenie (early warning, do 24 hodín od detekcie):
Cieľom je čo najrýchlejšie informovať NBÚ, že k incidentu došlo. Hlásenie musí obsahovať identifikačné a kontaktné údaje hlásiteľa, čas detekcie incidentu, stručný opis incidentu a jeho aktuálnych alebo potenciálnych následkov, informáciu o tom, či bol incident spôsobený protiprávnym konaním, informáciu o možnom cezhraničnom vplyve, a ak je hlásiteľ poskytovateľom dôveryhodných služieb — vplyv na tieto služby.
Fáza 2 — Aktualizované hlásenie (do 72 hodín od detekcie):
V tejto fáze organizácia dopĺňa informácie, ktoré počas prvých 24 hodín nemuseli byť dostupné. Zahŕňa podrobný časový priebeh incidentu, zoznam prijatých protiopatrení a ich účinnosť, aktuálny stav riešenia a odhad ďalšieho vývoja.
Fáza 3 — Záverečná správa (do 30 dní od vyriešenia):
Kompletný dokument obsahujúci popis celého priebehu od detekcie po vyriešenie, analýzu príčin (root cause analysis), vykonané nápravné opatrenia a poučenia pre budúcnosť. Ak incident stále trvá v čase podania záverečnej správy, lehota 30 dní sa počíta od dňa jeho skutočného vyriešenia.
Dôležitý detail: ak NBÚ požiada o doplňujúce informácie, organizácia je povinná ich poskytnúť. Komunikácia nie je jednosmerná — NBÚ môže aktívne vstupovať do procesu riešenia.
Hlásenie hrozieb, odvrátenych udalostí a zraniteľností (príloha č. 3)
Vyhláška 226/2025 zavádza aj povinnosť hlásiť skutočnosti, ktoré nie sú „incidentom“ v klasickom zmysle — ale predstavujú riziko pre celý ekosystém. Ide o tri kategórie:
Významné kybernetické hrozby — napríklad identifikácia cieleného phishingu na vedenie organizácie, varovanie od CSIRT tímu o aktívnom APT aktérovi vo vašom sektore alebo detekcia prieskumnej aktivity na perimetri siete.
Udalosti odvrátené v poslednej chvíli — pokus o ransomvérový útok, ktorý zachytil EDR systém; pokus o zneužitie zraniteľnosti, ktorý zablokoval firewall; úspešne zastavený DDoS útok. Tieto „near-miss“ udalosti sú mimoriadne cenné pre budovanie situačného prehľadu na národnej úrovni.
Zraniteľnosti — objavenie zraniteľnosti v systémoch organizácie, napríklad neaktualizovaný softvér s kritickým CVE. Hlásenie musí obsahovať označenie produktu a údaje o výrobcovi alebo poskytovateľovi.
Každé takéto hlásenie musí podľa prílohy č. 3 obsahovať identifikačné údaje hlásiteľa, druh hlásenej skutočnosti, opis a dopady, a čas zistenia. Hlásenie sa podáva rovnako cez JISKB bez zbytočného odkladu.
Ako si nastaviť procesy hlásenia — praktický návod v 6 krokoch
Samotná znalosť vyhlášky nestačí. Organizácia potrebuje funkčné interné procesy, ktoré zabezpečia, že sa incident nahlási v zákonnej lehote. Na základe skúseností z praxe odporúčame:
1. Určte zodpovednú osobu za hlásenie. Podľa zákona je to manažér kybernetickej bezpečnosti (MKB). Ak máte externého MKB, musí mať jasne definované komunikačné kanály a eskalačné postupy s vašim IT tímom — vrátane náhradníka pre prípad jeho nedostupnosti.
2. Vytvorte eskalačný mechanizmus. IT tím deteguje incident → informuje MKB do 1 hodiny → MKB vyhodnotí podľa 8 kritérií prílohy č. 1 → ak je závažný, podá prvotné hlásenie do 24 hodín. Tento reťazec musí fungovať aj mimo pracovný čas, cez víkendy a sviatky.
3. Pripravte si šablónu hlásenia. Nečakajte na incident. Pripravte formulár s povinnými náležitosťami podľa prílohy č. 2, vyplňte statické údaje (identifikácia organizácie, kontakty, zoznam služieb) a nechajte prázdne polia pre dynamické údaje (čas, opis, opatrenia).
4. Zabezpečte prístup do JISKB. Preverte, že máte aktívne prihlasovacie údaje do Jednotného informačného systému kybernetickej bezpečnosti. Testujte prístup aspoň raz za kvartál — nie až keď horí.
5. Evidujte aj „near-miss“ udalosti. Príloha č. 3 vyhlášky vyžaduje hlásenie odvrátenych udalostí. Zavedenie interného registra takýchto udalostí vám pomôže plniť túto povinnosť a zároveň zlepšovať vlastnú bezpečnostnú pozíciu. Vhodným nástrojom je SIEM systém s definovanými pravidlami pre near-miss kategóriu.
6. Školte tím a testujte pripravenosť. Každý zamestnanec v IT a bezpečnostnom tíme musí vedieť, čo je „závažný incident“ podľa 8 kritérií a koho má kontaktovať. Minimálne raz ročne urobte tabletop cvičenie — simuláciu riešenia kybernetického incidentu od detekcie cez hlásenie až po záverečnú správu.
Prehľad lehôt a povinností — súhrnná tabuľka
| Typ hlásenia | Lehota | Komu | Cez čo | Zákonný základ |
|---|---|---|---|---|
| Prvotné hlásenie (early warning) | Do 24 hodín od detekcie | NBÚ | JISKB | § 24 ods. 4 zákona 69/2018 |
| Aktualizované hlásenie | Do 72 hodín od detekcie | NBÚ | JISKB | § 24 ods. 5 zákona 69/2018 |
| Záverečná správa | Do 30 dní od vyriešenia | NBÚ | JISKB | § 24 ods. 6 zákona 69/2018 |
| Hlásenie hrozby/zraniteľnosti | Bez zbytočného odkladu | NBÚ | JISKB | § 24 ods. 8 zákona 69/2018 |
Čo sa zmenilo oproti predchádzajúcej úprave
Porovnanie s predchádzajúcou právnou úpravou (pred novelou zákona 69/2018 zákonom 366/2024 Z. z.) ukazuje niekoľko zásadných posunov:
Predtým boli kritériá závažnosti vágne — organizácie si samy posudzovali, čo je „závažné“. Nové kritériá sú konkrétne a merateľné: 30 minút, 25 000 osôb, 250 000 €.
Predtým chýbal trojstupňový mechanizmus hlásenia. Teraz máte jasné lehoty 24h → 72h → 30 dní, čo kopíruje požiadavky smernice NIS2.
Predtým neexistovala povinnosť hlásiť near-miss udalosti. Vyhláška 226/2025 zavádza povinnosť hlásiť aj odvrátené udalosti a zraniteľnosti, čo významne prispieva k národnému situačnému prehľadu.
A napokon — vyhláška 226/2025 explicitne preberá požiadavky NIS2. Príloha č. 4 odkazuje na smernicu (EÚ) 2022/2555 a vykonávacie nariadenie (EÚ) 2024/2690, čím sa slovenská úprava harmonizuje s celoeurópskym rámcom.
Ako to riešime v Cyllium
V Cyllium sa s hlásením incidentov stretávame denne — spravujeme kybernetickú bezpečnosť pre približne 12 organizácií naprieč zdravotníctvom, verejnou správou a priemyslom. Každá z nich potrebuje funkčný incident response proces, ktorý zodpovedá požiadavkám vyhlášky 226/2025.
Náš prístup zahŕňa kompletné nastavenie procesu hlásenia od prvej detekcie po záverečnú správu. Pre každého klienta pripravíme eskalačnú maticu, šablóny hlásení podľa príloh č. 2 a 3, a pravidelne testujeme pripravenosť cez tabletop cvičenia. Náš tím drží medzinárodné certifikácie vrátane CISA, CISM, GICSP a CEH a má skúsenosti s reálnymi incidentmi — od ransomvérových útokov po úniky údajov.
Andrej Mišura, riadiaci partner Cyllium a certifikovaný audítor a manažér kybernetickej bezpečnosti, k tomu dodáva: „Organizácie, ktoré sa pripravili na hlásenie incidentov ešte pred účinnosťou vyhlášky, dnes riešia incidenty pokojnejšie. Tí, čo čakali, teraz hasia požiare.“
Ak si nie ste istí, či váš incident response proces zodpovedá požiadavkám vyhlášky 227/2025 o bezpečnostných opatreniach a vyhlášky 226/2025 o hláseniach — radi vám pomôžeme s auditom pripravenosti.
Často kladené otázky
Kto je povinný hlásiť incidenty podľa vyhlášky 226/2025?
Povinnosť hlásenia sa vzťahuje na prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb registrovaných v registri NBÚ podľa zákona č. 69/2018 Z. z. Ak vaša organizácia spadá pod smernicu NIS2 a je zapísaná v registri, vyhláška 226/2025 sa vás priamo týka.
Aké sú sankcie za nesplnenie povinnosti hlásenia?
Podľa § 30 zákona č. 69/2018 Z. z. môže NBÚ uložiť pokutu až do 10 000 000 € alebo 2 % čistého celosvetového ročného obratu za nesplnenie oznamovacích povinností. Okrem finančnej sankcie hrozí aj reputačná škoda a zvýšený dohľad zo strany NBÚ.
Musím hlásiť aj neúspešný pokus o útok?
Áno, ak ide o „udalosť odvrátenie v poslednej chvíli“ podľa prílohy č. 3 vyhlášky 226/2025. Napríklad ransomvérový útok zachytený EDR systémom alebo pokus o exploitation zraniteľnosti zablokovaný firewallom. Tieto hlásenia pomáhajú NBÚ budovať celonárodný situačný prehľad o hrozbách.
Ako sa líši vyhláška 226/2025 od vyhlášky 227/2025?
Vyhláška 226/2025 sa zaoberá výlučne hlásením incidentov — kedy hlásiť, čo hlásiť a aké sú lehoty. Vyhláška 227/2025 naopak stanovuje bezpečnostné opatrenia, ktoré musí organizácia implementovať (sieťová segmentácia, riadenie prístupov, monitoring). Ide o dva komplementárne predpisy — jeden chráni, druhý reportuje.
Kde nájdem formulár na hlásenie incidentu?
Hlásenia sa podávajú elektronicky cez Jednotný informačný systém kybernetickej bezpečnosti (JISKB) prevádzkovaný NBÚ. Prístupové údaje získate pri registrácii ako prevádzkovateľ základnej služby. Odporúčame si prístup preveriť vopred a otestovať aspoň raz za kvartál — nie až pri riešení reálneho incidentu.
Potrebujete pomoc s nastavením procesu hlásenia?
Správne nastavený proces hlásenia incidentov nie je len zákonná povinnosť — je to poistka, že v krízovej situácii viete, čo robiť. Ak potrebujete pomoc s implementáciou požiadaviek vyhlášky 226/2025, kontaktujte nás pre nezáväznú konzultáciu. Pomôžeme vám nastaviť eskalačné postupy, pripraviť šablóny hlásení a odskúšať pripravenosť vášho tímu.