Praktický prehľad povinností podľa novely zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti. Registrácia, bezpečnostné opatrenia, audity, pokuty až 10 mil. € – a presné termíny pre rok 2026.
Slovensko transponovalo európsku smernicu NIS2 (Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii) do svojho právneho poriadku zákonom č. 366/2024 Z. z., ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“). Novela nadobudla účinnosť 1. januára 2025. Od 1. septembra 2025 ju dopĺňa nová vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach, ktorá nahradila doterajšiu vyhlášku č. 362/2018 Z. z. a priniesla podrobnejšie pravidlá pre implementáciu opatrení.
Pre tisíce organizácií to znamená nové povinnosti – od registrácie cez zavedenie bezpečnostných opatrení až po pravidelné audity.
V tomto článku nájdete praktický prehľad: koho sa NIS2 a novela ZoKB týkajú, aké sú kľúčové termíny, čo musíte splniť a aké sankcie hrozia za nesplnenie povinností.
Koho sa NIS2 a novela ZoKB na Slovensku týkajú?
Podľa dôvodovej správy k zákonu sa nová regulácia dotkne najmenej 3 403 organizácií – v praxi však môže ísť o výrazne vyššie číslo. Smernica NIS2 na úrovni EÚ pokrýva 18 hospodárskych sektorov; slovenský zákon podľa dôvodovej správy reguluje desiatky služieb v 16 odvetviach.
Hlavné kritériá
Novelizovaný ZoKB rozlišuje dva typy regulovaných subjektov:
Prevádzkovateľ kritickej základnej služby (PKZS) – kľúčové subjekty v sektoroch s vysokou úrovňou kritickosti. Patria sem veľké podniky pôsobiace v energetike, doprave, bankovníctve, zdravotníctve, vodnom hospodárstve, digitálnej infraštruktúre, verejnej správe a ďalších strategických oblastiach.
Prevádzkovateľ základnej služby (PZS) – dôležité subjekty v ostatných regulovaných sektoroch, ako sú poštové služby, odpadové hospodárstvo, potravinárstvo, chemický priemysel, výroba a ďalšie.
Základným veľkostným kritériom je minimálne stredný podnik – teda organizácia s viac ako 50 zamestnancami alebo obratom nad 10 miliónov eur. Avšak niektoré subjekty spadajú pod reguláciu bez ohľadu na veľkosť, napríklad ústredné orgány štátnej správy, poskytovatelia DNS služieb, správcovia domén najvyššej úrovne či subjekty kritickej infraštruktúry.
Dôležité: Rozhodujúce nie je iba odvetvie a veľkosť firmy, ale konkrétna regulovaná služba podľa príloh zákona a výsledok samoidentifikácie. NBÚ komunikáciu stavia práve na princípe samoidentifikácie – každá organizácia musí sama posúdiť, či spadá pod ZoKB.
Ktorých sektorov sa NIS2 týka?
Slovenský ZoKB v prílohách č. 1 a č. 2 rozdeľuje regulované subjekty do dvoch skupín.
Sektory s vysokou úrovňou kritickosti (Príloha č. 1) – kľúčové subjekty prevádzkujúce kritickú základnú službu: energetika, doprava, bankovníctvo, infraštruktúra finančných trhov, zdravotníctvo, pitná voda, odpadová voda, digitálna infraštruktúra, správa IKT služieb v B2B segmente, verejná správa a vesmír.
Iné kritické sektory (Príloha č. 2) – dôležité subjekty, ostatní prevádzkovatelia základných služieb: poštové a kuriérske služby, odpadové hospodárstvo, výroba a distribúcia chemických látok, výroba a spracovanie potravín, výroba (zdravotnícke pomôcky, elektronika, strojárstvo, motorové vozidlá), poskytovatelia digitálnych služieb (online trhoviská, vyhľadávače, sociálne siete) a výskum.
Dodávatelia pozor
Novela ZoKB výrazne posilňuje požiadavky na bezpečnosť dodávateľského reťazca. Regulované subjekty (PZS) sú povinné uzatvoriť s dodávateľmi, ktorých činnosti priamo súvisia s prevádzkou ich sietí a informačných systémov, písomnú zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností (§ 19 ods. 2 ZoKB). Dodávatelia regulovaných subjektov však automaticky nespadajú pod ZoKB ako regulované subjekty. Osobitný režim môže nastať v prípadoch, keď má dodávateľ významný vplyv na kybernetickú bezpečnosť a má uzatvorenú zmluvu s PKZS – v takých prípadoch môže získať postavenie PZS a dostať sa pod dohľad NBÚ (§ 17 ods. 1 písm. i) ZoKB). Konkrétne posúdenie však vždy závisí od okolností daného vzťahu.
Kľúčové termíny a míľniky
Celý proces sa neodvíja od jedného univerzálneho dátumu – lehoty závisia od toho, kedy bol subjekt zapísaný do registra. Tu je prehľad najdôležitejších míľnikov:
Lehoty v skratke
| Povinnosť | Lehota | Koho sa týka |
|---|---|---|
| Registrácia na NBÚ | 60 dní od začiatku regulovanej činnosti | Všetci PZS a PKZS |
| Zavedenie bezpečnostných opatrení | 12 mesiacov od zápisu do registra | Všetci PZS a PKZS |
| Prvý audit / samohodnotenie | 2 roky od zápisu do registra | Všetci PZS a PKZS |
| Plný audit (ak bolo samohodnotenie) | 5 rokov od zápisu do registra | PZS, ktorí nie sú PKZS |
| Prechodné obdobie (staré subjekty) | Do 31. decembra 2026 | PZS podľa zákona účinného do 31. 12. 2024 |
| Včasné varovanie o incidente | 24 hodín od zistenia | Všetci PZS a PKZS |
| Podrobné oznámenie incidentu | 72 hodín od zistenia | Všetci PZS a PKZS |
| Záverečná správa o incidente | 1 mesiac od zistenia | Všetci PZS a PKZS |
1. Registrácia na NBÚ
Každá organizácia, na ktorú sa vzťahuje zákon, musí vykonať samoidentifikáciu a zaregistrovať sa na Národnom bezpečnostnom úrade (NBÚ) prostredníctvom centrálneho portálu verejnej správy. Lehota je 60 dní od začiatku vykonávania regulovanej činnosti.
Pre subjekty, ktoré spadali pod zákon už od 1. januára 2025, bol termín registrácie 2. marec 2025. Ak ste ho zmeškali, povinnosť nezanikla – je potrebné sa zaregistrovať čo najskôr, aby sa znížilo riziko sankcie.
2. Zavedenie bezpečnostných opatrení – 12 mesiacov od zápisu
Do 12 mesiacov od zápisu do registra PZS musí organizácia na základe vykonanej analýzy rizík zaviesť všeobecné bezpečnostné opatrenia. ZoKB v § 20 stanovuje minimálny rozsah oblastí, pričom podrobnosti konkrétnych opatrení od 1. septembra 2025 upravuje vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach. Táto vyhláška nahradila predchádzajúcu vyhlášku č. 362/2018 Z. z. a prináša odlišnú filozofiu – dôraz na prepojenie opatrení s reálnou analýzou rizík namiesto formálneho plnenia katalógu požiadaviek. NBÚ zároveň vydal novú metodiku analýzy rizík (účinnú od 1. 9. 2025), ktorá určuje jednotný rámec pre riadenie rizík.
Zrušila sa aj doterajšia kategorizácia informačných systémov do kategórií I.–III. Bezpečnostné opatrenia sa podľa aktuálneho znenia ZoKB delia na minimálne opatrenia (§ 20 ods. 4) a všeobecné bezpečnostné opatrenia (§ 20 ods. 2), pričom ich obsah podrobne stanovuje príloha č. 1 vyhlášky 227/2025.
Oblasti, pre ktoré musí PZS prijať opatrenia, zahŕňajú najmä:
- politiky riadenia rizík a analýzu rizík (vypracovanú odborníkom)
- riešenie kybernetických bezpečnostných incidentov
- kontinuitu činností a krízové riadenie
- bezpečnosť dodávateľského reťazca (vrátane písomných zmlúv s dodávateľmi)
- bezpečnosť pri nadobúdaní, vývoji a údržbe sietí a informačných systémov
- politiky hodnotenia účinnosti opatrení
- kybernetickú hygienu (aktualizácie, heslá, zálohy, riadenie prístupov, školenia)
- kryptografiu a šifrovanie
- bezpečnosť ľudských zdrojov
- viacfaktorovú autentifikáciu a zabezpečenú komunikáciu
3. Prvý audit kybernetickej bezpečnosti – 2 roky od zápisu
Do 2 rokov od zápisu do registra musí PZS vykonať audit kybernetickej bezpečnosti. Audit smie realizovať iba certifikovaný audítor. Subjekty, ktoré neprevádzkujú kritickú základnú službu, môžu prvý audit nahradiť samohodnotením – to vykonáva manažér kybernetickej bezpečnosti. Aj tieto subjekty však musia absolvovať plný audit do 5 rokov od registrácie.
4. Prechodné obdobie – do 31. decembra 2026
Pre subjekty, ktoré boli prevádzkovateľmi základných služieb ešte podľa znenia zákona účinného do 31. decembra 2024, platí prechodné obdobie do 31. decembra 2026. Počas neho môžu plniť bezpečnostné opatrenia podľa starých aj nových pravidiel. To však znamená, že od 1. januára 2027 musia fungovať výlučne podľa novej vyhlášky č. 227/2025 Z. z. Odporúča sa preto začať s analýzou rizík a implementáciou opatrení podľa nového rámca už v priebehu roka 2026.
Počas prechodného obdobia môže NBÚ taktiež rozhodnúť o výmaze zo zoznamu regulovaných subjektov – ak subjekt podľa nových kritérií už nespadá pod reguláciu.
5. Hlásenie incidentov – priebežne
V prípade závažného kybernetického bezpečnostného incidentu musí PZS reagovať okamžite: včasné varovanie do 24 hodín, podrobnejšie oznámenie do 72 hodín a záverečná správa do jedného mesiaca.
Čo hrozí, ak firma nestihne? Pokuty až 10 miliónov eur
Novela ZoKB výrazne sprísňuje sankčný rámec (§ 31 ZoKB). NBÚ má oprávnenie ukladať pokuty v niekoľkých úrovniach. Konkrétna výška závisí od typu subjektu, závažnosti deliktu a ďalších okolností:
Prehľad pokút
| Porušenie | PZS (dôležitý subjekt) | PKZS (kľúčový subjekt) |
|---|---|---|
| Neregistrácia na NBÚ | 300 – 500 000 € | 300 – 500 000 € |
| Neprijatie bezpečnostných opatrení | 300 – 7 000 000 € / 1,4 % obratu | 500 – 10 000 000 € / 2 % obratu |
| Nenahlásenie závažného incidentu | 300 – 7 000 000 € / 1,4 % obratu | 500 – 10 000 000 € / 2 % obratu |
| Nesplnenie auditorských povinností | 300 – 500 000 € | 300 – 500 000 € |
| Osobná zodpovednosť (fyzické osoby) | do 5 000 € | do 5 000 € |
Zdroj: § 31 zákona č. 69/2018 Z. z. v znení zákona č. 366/2024 Z. z. Pri pokutách viazaných na obrat sa uplatňuje vyššia z oboch súm. Pri opakovanom porušení do jedného roka od právoplatnosti rozhodnutia môže NBÚ uložiť pokutu až do dvojnásobku.
Praktický checklist: Čo urobiť teraz
Ak ešte nemáte jasno, či sa vás NIS2 týka, alebo ste v procese implementácie, tu je zoznam krokov, na ktoré sa zamerať:
1. Overte, či spadáte pod zákon. Posúďte, či vaša organizácia patrí medzi prevádzkovateľov základnej služby – podľa sektora, veľkosti a typu poskytovanej služby. NBÚ prevádzkuje informačný portál na adrese nis2.nbu.gov.sk.
2. Zaregistrujte sa na NBÚ. Ak ste tak ešte neurobili, podajte oznámenie cez ústredný portál verejnej správy. Každý deň omeškania zvyšuje riziko sankcie.
3. Určte zodpovednú osobu. ZoKB vyžaduje, aby organizácia mala osobu zodpovednú za výkon úloh v oblasti kybernetickej bezpečnosti (manažér kybernetickej bezpečnosti) – buď interného, alebo externého dodávateľsky. Táto osoba musí spĺňať kvalifikačné požiadavky stanovené NBÚ.
4. Vykonajte analýzu rizík. Musí ju vypracovať odborník a musí byť v súlade s novou metodikou analýzy rizík NBÚ (účinnou od 1. 9. 2025). Na jej základe budete navrhovať a zavádzať bezpečnostné opatrenia.
5. Implementujte bezpečnostné opatrenia. V rozsahu podľa § 20 ZoKB a vyhlášky NBÚ č. 227/2025 Z. z. – do 12 mesiacov od zápisu do registra.
6. Zabezpečte dodávateľský reťazec. Uzatvorte písomné zmluvy s dodávateľmi, ktorí súvisia s prevádzkou vašich sietí a IS. Vykonajte analýzu rizík dodávateľského vzťahu.
7. Nastavte hlásenie incidentov. Pripravte procesy a dokumentáciu na to, aby ste vedeli do 24 hodín nahlásiť závažný incident na NBÚ.
8. Naplánujte audit. Do 2 rokov od zápisu musíte mať vykonaný prvý audit (alebo samohodnotenie, ak na to máte nárok).
9. Zapojte top manažment. NIS2 výrazne posilňuje zodpovednosť vrcholového vedenia. Štatutári musia byť informovaní a aktívne sa podieľať na riadení kybernetických rizík.
Na záver: NIS2 a ZoKB nie sú len o regulácii
Smernica NIS2 a jej slovenská transpozícia vo forme novelizovaného ZoKB nie sú samoúčelnou byrokraciou. Vznikli ako odpoveď na reálne rastúce kybernetické hrozby, ktoré ohrozujú fungovanie celých sektorov hospodárstva. V januári 2026 Európska komisia navrhla ďalšie cielené úpravy smernice NIS2 s cieľom zjednodušiť dodržiavanie pravidiel pre firmy pôsobiace v EÚ.
Firmy, ktoré sa pripravili včas, získavajú konkurenčnú výhodu – vyššiu dôveru klientov, lepšiu ochranu prevádzky a pripravenosť na budúce regulačné zmeny. Tie, ktoré to odkladajú, riskujú nielen vysoké pokuty, ale aj reálne narušenie svojej činnosti pri kybernetickom incidente.
NIS2 a DORA – aký je rozdiel?
Firmy vo finančnom sektore sa často pýtajú, či sa ich týka NIS2, DORA, alebo obe regulácie. Kľúčový rozdiel: NIS2 je smernica EÚ, ktorú musí každý členský štát transponovať do vlastnej legislatívy (na Slovensku novelou ZoKB). DORA (Digital Operational Resilience Act) je nariadenie – platí priamo vo všetkých členských štátoch bez potreby transpozície.
DORA je primárne zameraná na finančné inštitúcie – banky, poisťovne, platobné inštitúcie, obchodné platformy. NIS2 pokrýva širší okruh sektorov vrátane finančného. Vo finančnom sektore je DORA vo vzťahu k NIS2 lex specialis pre oblasti, ktoré upravuje – najmä riadenie IKT rizík a hlásenie incidentov. To neznamená, že NIS2 je pre finančné subjekty úplne irelevantná – vždy je potrebné posudzovať konkrétny typ subjektu a konkrétnu povinnosť. Oba predpisy sa vzájomne dopĺňajú a príslušné orgány si vymieňajú informácie.
NIS2 a GDPR – prekrývajú sa?
NIS2 a GDPR sú odlišné regulácie, ale v praxi sa môžu prekrývať. GDPR chráni osobné údaje – práva dotknutých osôb, zákonnosť spracúvania, právo na zabudnutie. NIS2 sa zameriava na kybernetickú bezpečnosť a odolnosť sietí a informačných systémov – bez ohľadu na to, či obsahujú osobné údaje.
Ak dôjde ku kybernetickému incidentu, pri ktorom dôjde aj k porušeniu ochrany osobných údajov, môže vzniknúť paralelná oznamovacia povinnosť: hlásenie incidentu podľa ZoKB (do 24 hodín na NBÚ) aj oznámenie porušenia ochrany osobných údajov podľa GDPR (do 72 hodín na Úrad na ochranu osobných údajov SR). Investícia do kybernetickej bezpečnosti podľa NIS2 tak zároveň znižuje riziko pokút podľa GDPR.
Často kladené otázky (FAQ)
Ak pôsobíte v niektorom z regulovaných sektorov (energetika, doprava, zdravotníctvo, IT služby, výroba, potravinárstvo a ďalšie) a ste aspoň stredný podnik (50+ zamestnancov alebo obrat nad 10 mil. €), je vysoká pravdepodobnosť, že áno. Samoidentifikáciu si môžete overiť na portáli nis2.nbu.gov.sk.
Povinnosť registrácie nezaniká – je potrebné podať oznámenie čo najskôr. Oneskorená registrácia je z pohľadu NBÚ stále lepšia ako žiadna. Za neregistráciu však hrozí pokuta až do 500 000 eur.
Náklady závisia od aktuálneho stavu kybernetickej bezpečnosti vo firme. Organizácie, ktoré už majú zavedený systém riadenia informačnej bezpečnosti (napr. podľa ISO 27001), budú investovať výrazne menej. Firmy bez základov musia počítať s vyššími nákladmi na analýzu rizík, technické opatrenia, dokumentáciu a školenia.
Proces, pri ktorom si organizácia sama posúdi, či spadá pod pôsobnosť ZoKB. Na základe svojho sektora, veľkosti a typu poskytovaných služieb vyhodnotí, či patrí medzi prevádzkovateľov základnej služby. Ak áno, musí sa zaregistrovať na NBÚ.
Audit kybernetickej bezpečnosti smie vykonať iba certifikovaný audítor a je povinný pre prevádzkovateľov kritickej základnej služby. Samohodnotenie je zjednodušená alternatíva pre ostatných PZS – vykonáva ho manažér kybernetickej bezpečnosti. Aj subjekty využívajúce samohodnotenie však musia absolvovať plný audit do 5 rokov od zápisu do registra.
Zákon sa primárne vzťahuje na stredné a veľké podniky (50+ zamestnancov alebo obrat nad 10 mil. €). Mikropodniky a malé firmy pod reguláciu vo väčšine prípadov nespadajú. Existujú však výnimky – bez ohľadu na veľkosť spadajú pod zákon napríklad poskytovatelia verejných elektronických komunikačných sietí, poskytovatelia dôveryhodných služieb, správcovia domén najvyššej úrovne alebo poskytovatelia DNS služieb. Navyše, ak ste dodávateľom pre regulovaný subjekt, môžu sa na vás vzťahovať zmluvné bezpečnostné požiadavky.
