Vyhláška 227/2025 Z.z. o bezpečnostných opatreniach nadobudla účinnosť 1. septembra 2025 a nahradila doterajšiu vyhlášku č. 362/2018 Z.z. Pre prevádzkovateľov základných služieb (PZS) to znamená povinnosť zaviesť nové bezpečnostné opatrenia v presne stanovených lehotách. Ak ste boli zapísaní do registra PZS pred 31. decembrom 2024, máte čas do 31. decembra 2026. Noví PZS zapísaní v roku 2025 majú 12 mesiacov od zápisu.
V tomto článku vám ukážeme konkrétny postup implementácie vyhlášky 227/2025 v 7 krokoch — od vstupnej analýzy až po prípravu na audit. Vychádzame z reálnych skúseností s implementáciou u našich klientov v zdravotníctve a verejnej správe.
Prečo je vyhláška 227/2025 Z.z. zásadná zmena
Vyhláška 227/2025 nie je len kozmetická úprava predchádzajúcej vyhlášky č. 362/2018 Z.z. Ide o zásadnú zmenu prístupu k bezpečnostným opatreniam, ktorá reflektuje transpozíciu európskej smernice NIS2 (Smernica 2022/2555) do slovenského právneho poriadku.
Kľúčové rozdiely oproti starej vyhláške 362/2018:
Analýza rizík ako základ. Zatiaľ čo vyhláška 362/2018 definovala bezpečnostné opatrenia prevažne formou checklistu, nová vyhláška 227/2025 kladie dôraz na riadenie rizík. Všeobecné bezpečnostné opatrenia sa navrhujú, prijímajú a vykonávajú tak, aby ošetrili všetky riziká identifikované v rámci vykonanej analýzy rizík kybernetickej bezpečnosti. Minimálna frekvencia analýzy rizík je raz ročne, pre prevádzkovateľov kritickej infraštruktúry každých 6 mesiacov.
Nové oblasti opatrení. Vyhláška pridáva požiadavky, ktoré v starom predpise chýbali: segmentácia siete do bezpečnostných zón, povinná viacfaktorová autentifikácia pre privilegované účty, nepretržitý monitoring bezpečnostných udalostí s definovanými reakčnými časmi a hodnotenie rizík dodávateľského reťazca.
Vyššia úroveň dokumentácie. Bezpečnostná dokumentácia musí obsahovať schválenú stratégiu kybernetickej bezpečnosti, bezpečnostné politiky pre jednotlivé oblasti riadenia, klasifikáciu informácií a jasne definované právomoci a zodpovednosti.
Krok 1: Vstupná gap analýza — kde ste dnes
Implementácia vyhlášky 227/2025 začína porovnaním vášho aktuálneho stavu s novými požiadavkami. Bez tejto gap analýzy nemáte šancu efektívne naplánovať zdroje ani harmonogram.
Čo gap analýza zahŕňa:
Porovnajte každú oblasť bezpečnostných opatrení podľa vyhlášky 227/2025 s tým, čo máte zavedené. Zamerajte sa na riadenie aktív, riadenie prístupov, bezpečnosť siete, kryptografiu, prevádzkové procesy, fyzickú bezpečnosť, bezpečnosť ľudských zdrojov a riadenie dodávateľov. Ku každej oblasti priraďte stav: vyhovuje, čiastočne vyhovuje, nevyhovuje.
Výstupom je prioritizovaný zoznam nedostatkov s odhadom náročnosti nápravy. Naši klienti z verejnej správy typicky nachádzajú najväčšie medzery v oblasti segmentácie siete a monitoringu bezpečnostných udalostí — to sú oblasti, ktoré stará vyhláška 362/2018 riešila len okrajovo.
Odporúčaný čas: 2–4 týždne podľa veľkosti organizácie.
Krok 2: Aktualizácia analýzy rizík
Analýza rizík kybernetickej bezpečnosti je podľa vyhlášky 227/2025 základom pre celý systém bezpečnostných opatrení. Ak máte analýzu rizík z roku 2023 alebo staršiu, je prakticky nepoužiteľná — zmenila sa legislatíva, pribudli nové hrozby a vaše prostredie sa tiež zmenilo.
Analýza rizík musí pokrývať:
Identifikáciu všetkých aktív (hardvér, softvér, dáta, služby, procesy). Mapovanie hrozieb a zraniteľností ku každému aktívu. Hodnotenie dopadu a pravdepodobnosti pre každé identifikované riziko. Návrh opatrení na ošetrenie rizík — akceptácia, mitigácia, transfer alebo vyhnutie sa riziku.
Vyhláška explicitne vyžaduje, aby bezpečnostné opatrenia boli primerané identifikovaným rizikám. To znamená, že nemôžete len „odškrtať“ zoznam opatrení — musíte preukázať, že každé opatrenie adresuje konkrétne riziko z vašej analýzy.
Odporúčaný čas: 3–6 týždňov. Opakujte minimálne raz ročne (§ 20 zákona č. 69/2018 Z.z.).
Krok 3: Návrh a schválenie bezpečnostnej dokumentácie
Bezpečnostná dokumentácia podľa vyhlášky 227/2025 nie je jeden dokument — je to sada vzájomne previazaných dokumentov, ktoré tvoria základ vášho systému riadenia kybernetickej bezpečnosti.
Čo musí bezpečnostná dokumentácia obsahovať:
Stratégia kybernetickej bezpečnosti — schválený dokument určujúci ciele, základné princípy na ich dosiahnutie, právomoci a zodpovednosti za systém manažérstva, riadenie rizík a aktualizáciu bezpečnostnej dokumentácie.
Bezpečnostné politiky pre jednotlivé oblasti riadenia kybernetickej bezpečnosti — opis organizačnej štruktúry, procesov a väzieb, pracovných rolí, zodpovednosti a delenia právomocí a rámec riadenia bezpečnostných rizík.
Klasifikácia informácií — kategorizácia informácií podľa ich citlivosti a hodnoty pre organizáciu.
Dôležitý detail: dokumentáciu neschvaľuje manažér kybernetickej bezpečnosti (MKB). Schvaľuje ju určená osoba — typicky štatutár alebo vedúci organizácie. Ide o princíp oddelenia zodpovedností, ktorý vyhláška 227/2025 explicitne vyžaduje.
Odporúčaný čas: 4–8 týždňov. Plánujte aspoň 2 kolá pripomienkovania.
Krok 4: Implementácia technických opatrení
Po schválení dokumentácie prichádza najnáročnejšia fáza — nasadenie technických bezpečnostných opatrení. Vyhláška 227/2025 zavádza niekoľko zásadných technických požiadaviek.
Segmentácia siete. Rozdeľte sieťovú infraštruktúru do bezpečnostných zón s kontrolovaným prístupom medzi nimi. Cieľom je obmedziť možnosť laterálneho pohybu útočníka v sieti. V praxi to znamená zavedenie VLAN, firewall pravidiel medzi zónami a mikrosegmentáciu pre kritické systémy.
Typický prístup k segmentácii vyzerá takto: oddeľte serverovú infraštruktúru od používateľských sietí, vytvorte samostatnú DMZ zónu pre verejne dostupné služby a izolujte OT siete (ak ich máte) od IT prostredia. Medzi zónami definujte explicitné firewall pravidlá — povolený je len nevyhnutný komunikačný tok. U organizácií s OT prostredím (priemysel, energetika, vodárne) odporúčame nasadiť jednosmerné brány (data diodes) na rozhraniach medzi IT a OT sieťami.
Riadenie prístupov a identít. Zavedenie viacfaktorovej autentifikácie (MFA) je povinné minimálne pre privilegované účty. Odporúčame nasadiť MFA pre všetkých používateľov pristupujúcich k informačným systémom základnej služby. Implementujte princíp najmenších oprávnení a pravidelnú revíziu prístupových práv.
Konkrétne kroky: nasaďte MFA cez TOTP aplikácie (Microsoft Authenticator, Google Authenticator) alebo hardvérové kľúče (YubiKey, FIDO2) pre administrátorské účty, VPN prístupy a vzdialený prístup k servrom. Zaveďte proces kvartálnej revízie oprávnení — kto má prístup kam a prečo. Deaktivujte nepoužívané účty do 30 dní od odchodu zamestnanca. Implementujte PAM (Privileged Access Management) pre kritické systémy — administrátori by nemali mať trvalé privilegované prístupy, ale žiadať o nich na konkrétnu úlohu a čas.
Nepretržitý monitoring. Organizácie musia zaviesť nepretržitý monitoring bezpečnostných udalostí a incidentov s definovanými reakčnými časmi. V praxi to znamená nasadenie SIEM riešenia alebo napojenie na SOC (Security Operations Center). Pre menšie organizácie je efektívnym riešením externý SOC.
Čo by mal váš monitoring pokrývať: zber logov z firewalllov, serverov, aktívnych sieťových prvkov a koncových zariadení. Korelácia udalostí a automatické generovanie alertov pri podozrivej aktivite — napríklad prihlásenie z neobvyklej lokality, opakované neúspešné pokusy o autentifikáciu alebo neoprávnený prístup k citlivým dátam. Definujte reakčné časy: kritické incidenty do 15 minút, vysoká priorita do 1 hodiny, stredná priorita do 4 hodín. Pre organizácie do 50 zamestnancov je finančne aj kapacitne reálnejšie využiť externý SOC formou managed services, než budovať vlastný tím.
Zálohovanie a obnova. Pravidelné zálohovanie kritických dát s testovaním obnovy. Vyhláška vyžaduje preukázateľnosť — nestačí zálohovať, musíte vedieť preukázať, že obnova funguje.
Dodržiavajte pravidlo 3-2-1: tri kópie dát, na dvoch rôznych médiách, jedna mimo lokalitu (offsite alebo cloud). Testujte obnovu minimálne raz za kvartál a výsledky zdokumentujte. Test obnovy musí zahŕňať reálne obnovenie dát z zálohy a overenie ich integrity — nie len kontrolu, že záloha existuje. Definujte RPO (Recovery Point Objective) a RTO (Recovery Time Objective) pre každý kritický systém a zabezpečte, aby vaša zálohovacia stratégia tieto parametre spĺňala.
Hodnotenie zraniteľností a penetračné testovanie. Pravidelné skenovanie zraniteľností a penetračné testy sú povinné pre definované kategórie subjektov. Minimálna frekvencia závisí od kategorizácie vašej organizácie.
Skenovanie zraniteľností vykonávajte minimálne mesačne na celej infraštruktúre. Penetračné testy plánujte minimálne raz ročne — a vždy po významnej zmene v infraštruktúre (nasadenie nového systému, migrácia, zmena sieťovej architektúry). Výsledky penetračného testu nie sú len správa do šuflíka — každý nálezett musí mať vlastníka, termín nápravy a verifikáciu, že bol odstránený.
Odporúčaný čas: 3–6 mesiacov podľa rozsahu zmien. Prioritizujte podľa výsledkov gap analýzy.
Krok 5: Bezpečnosť dodávateľského reťazca
Vyhláška 227/2025 posilňuje požiadavky na riadenie rizík dodávateľského reťazca — téma, ktorú predchádzajúca úprava riešila len okrajovo. Toto je oblasť, kde mnohé organizácie zaostávajú.
Čo musíte urobiť:
Identifikujte všetkých dodávateľov, ktorí majú prístup k vašim informačným systémom alebo spracúvajú vaše dáta. Vyhodnoťte bezpečnostné riziká spojené s každým dodávateľom. Zakotvite bezpečnostné požiadavky do zmlúv — vrátane práva na audit, povinnosti hlásiť incidenty a minimálnych bezpečnostných štandardov. Vykonávajte pravidelné prehodnotenie dodávateľských rizík.
V praxi to znamená revíziu existujúcich zmlúv a doplnenie bezpečnostných doložiek. Pri nových dodávateľoch zaviesť povinný bezpečnostný assessment pred podpisom zmluvy.
Odporúčaný čas: 4–8 týždňov na úvodnú revíziu, priebežne potom.
Krok 6: Školenia a budovanie bezpečnostného povedomia
Ani najlepšie technické opatrenia nefungujú bez kompetentných ľudí. Vyhláška 227/2025 vyžaduje preukázateľné vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti.
Minimálny rozsah školení:
Vstupné školenie pre všetkých nových zamestnancov pred pridelením prístupu k informačným systémom. Pravidelné opakované školenia — minimálne raz ročne pre všetkých zamestnancov. Špecializované školenia pre IT personál, administrátorov a manažéra kybernetickej bezpečnosti. Nácvik reakcie na incidenty — tabletop cvičenia alebo simulované phishingové kampane.
Dôležité: školenia musia byť zdokumentované. Nestačí poslať email s prezentáciou — musíte mať prezenčné listiny, výsledky testov a záznamy o absolvovaní.
Odporúčaný čas: Nastavenie programu 2–4 týždne, potom priebežne.
Krok 7: Interný audit a príprava na kontrolu NBÚ
Posledným krokom pred splnením požiadaviek vyhlášky 227/2025 je interný audit implementovaných opatrení. Cieľom je overiť, že všetko funguje tak, ako je zdokumentované — a odstrániť nedostatky pred prípadnou kontrolou zo strany Národného bezpečnostného úradu (NBÚ).
Interný audit by mal preveriť:
Súlad implementovaných opatrení s bezpečnostnou dokumentáciou. Funkčnosť technických opatrení (nie len že existujú, ale že reálne fungujú). Kompletnosť záznamov — logy, prezenčné listiny, záznamy o testovaní zálohovania. Aktuálnosť analýzy rizík a bezpečnostnej dokumentácie. Plnenie zmluvných bezpečnostných požiadaviek dodávateľmi.
Nezabudnite: audit kybernetickej bezpečnosti podľa § 29 zákona č. 69/2018 Z.z. vykonáva certifikovaný audítor. Interný audit je vaša príprava — oficiálny audit je samostatná povinnosť.
Odporúčaný čas: 2–4 týždne.
Časový harmonogram implementácie — prehľad
| Krok | Aktivita | Odporúčaný čas | Deadline pre existujúcich PZS |
|---|---|---|---|
| 1 | Gap analýza | 2–4 týždne | Čím skôr |
| 2 | Analýza rizík | 3–6 týždňov | Q2 2026 |
| 3 | Bezpečnostná dokumentácia | 4–8 týždňov | Q2–Q3 2026 |
| 4 | Technické opatrenia | 3–6 mesiacov | Q3–Q4 2026 |
| 5 | Dodávateľský reťazec | 4–8 týždňov | Q3 2026 |
| 6 | Školenia | 2–4 týždne + priebežne | Q3 2026 |
| 7 | Interný audit | 2–4 týždne | Q4 2026 |
Celkový odhadovaný čas: 6–10 mesiacov pri aktívnom prístupe. Ak ste ešte nezačali, zostáva vám menej ako 9 mesiacov do konca prechodného obdobia (31. december 2026).
Ako to riešime v Cyllium
V Cyllium implementujeme bezpečnostné opatrenia podľa vyhlášky 227/2025 pre klientov zo sektoru zdravotníctva, verejnej správy aj priemyslu. Náš tím vedie Andrej Mišura, certifikovaný audítor a manažér kybernetickej bezpečnosti, MKB roka 2024 SR (CISA, CISM, CDPSE, CEH, GICSP), ktorý má skúsenosti s kompletnou implementáciou u viac ako 12 organizácií formou managed services.
Čo robíme inak:
Neimplementujeme „od stola“. Každý projekt začíname osobnou návštevou a porozumením reálneho prostredia organizácie. Až potom navrhujeme opatrenia, ktoré sú nielen v súlade s vyhláškou, ale aj reálne funkčné a udržateľné.
Naši klienti často prichádzajú s obavou, že implementácia bude drahá a zdĺhavá. V praxi sa ukázalo, že najväčším problémom nie sú financie, ale neexistujúce procesy a nepripravenosť ľudí. Preto začíname vždy od gap analýzy a bezpečnostnej dokumentácie — to sú kroky, ktoré nevyžadujú veľké investície, ale majú najväčší dopad na súlad.
Ak máte certifikáty GICSP pre OT prostredie a CISA/CISM pre systém manažérstva, ako máme v Cyllium, viete posúdiť celé spektrum bezpečnostných požiadaviek — od IT cez OT až po dokumentáciu.
Najčastejšie otázky o implementácii vyhlášky 227/2025
Dokedy musíme implementovať vyhlášku 227/2025?
Prevádzkovatelia základných služieb zapísaní do registra pred 31. decembrom 2024 musia mať bezpečnostné opatrenia podľa vyhlášky 227/2025 zavedené do 31. decembra 2026. Noví PZS zapísaní v roku 2025 majú lehotu 12 mesiacov od zápisu do registra.
Čo sa stane ak nestihneme implementáciu do konca roka 2026?
NBÚ môže uložiť pokutu podľa zákona č. 69/2018 Z.z. od 300 EUR do 7 000 000 EUR alebo do 1,4 % celosvetového ročného obratu. Pre prevádzkovateľov kritickej základnej služby je horná hranica až 10 000 000 EUR alebo 2 % obratu. Okrem pokuty riskujete aj reputačné škody a nariadenie nápravných opatrení.
Musíme meniť bezpečnostnú dokumentáciu ak sme ju robili podľa vyhlášky 362/2018?
Áno. Vyhláška 227/2025 mení štruktúru aj obsah bezpečnostnej dokumentácie. Stratégia kybernetickej bezpečnosti, bezpečnostné politiky a klasifikácia informácií musia byť aktualizované podľa nových požiadaviek. Pôvodnú dokumentáciu môžete použiť ako základ, ale bez aktualizácie nebude súladná.
Môže implementáciu zabezpečiť externý manažér kybernetickej bezpečnosti?
Áno. Zákon č. 69/2018 Z.z. umožňuje, aby funkciu manažéra kybernetickej bezpečnosti vykonávala externá osoba alebo spoločnosť. Externý MKB môže viesť celý proces implementácie vrátane gap analýzy, prípravy dokumentácie a koordinácie technických opatrení. V Cyllium túto službu poskytujeme formou outsourcingu.
Aké sú najväčšie rozdiely oproti starej vyhláške 362/2018?
Najvýraznejšie zmeny sú: povinná segmentácia siete, viacfaktorová autentifikácia pre privilegované účty, nepretržitý monitoring bezpečnostných udalostí, hodnotenie rizík dodávateľského reťazca a povinné penetračné testovanie. Celkovo sa vyhláška 227/2025 posúva od „checklistového“ prístupu k riadeniu rizík.
Nezačali ste s implementáciou? Začnite dnes
Ak ste prevádzkovateľ základnej služby a ešte ste nezačali s implementáciou vyhlášky 227/2025, čas sa kráti. Do konca prechodného obdobia (31. december 2026) zostáva menej ako 9 mesiacov.
Objednajte si bezplatnú úvodnú konzultáciu a zistíte, kde stojíte a čo potrebujete urobiť. Náš tím certifikovaných odborníkov vám pomôže pripraviť plán implementácie na mieru — od gap analýzy po prípravu na audit.
Kontaktujte nás — prvá konzultácia je bezplatná.
Čítajte ďalej: Čo robí manažér kybernetickej bezpečnosti | Audit kybernetickej bezpečnosti | Vyhláška 227/2025 — prehľad zmien
Súvisiaci článok: Vyhláška 227/2025 upravuje bezpečnostné opatrenia, ale rovnako dôležitá je vyhláška 226/2025 o hlásení kybernetických incidentov — lehoty, kritériá závažnosti a postup hlásenia.