Od 1. januára 2025 je na Slovensku účinná novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (zákon č. 366/2024 Z. z.), ktorou sa transponovala európska smernica NIS2. Zákon významne rozšíril okruh regulovaných subjektov – podľa odhadov sa môže týkať približne 9 000 organizácií – a priniesol prísnejšie požiadavky na riadenie rizík, hlásenie incidentov a zodpovednosť vedenia.
Pre IT manažérov v organizáciách, ktoré už majú alebo zvažujú certifikáciu ISO 27001, je kľúčová otázka jednoduchá: stačí nám ISO 27001 na splnenie zákona? Krátka odpoveď – nie celkom. Dlhšia odpoveď je v tomto článku.
Stačí ISO 27001 na NIS2? Nie. ISO 27001 pokrýva veľkú časť požiadaviek zákona o kybernetickej bezpečnosti – najmä riadenie rizík, bezpečnostné opatrenia a incident management. Na plný súlad však treba doplniť hlásenie incidentov regulátorovi s pevnými lehotami, registráciu v systéme JISKB, overenie rozsahu pokrytia a formalizáciu zodpovednosti vedenia.
Ak ste ešte nečítali náš úvodný článok o tom, čo je ISMS a čo ISO 27001 v praxi vyžaduje, odporúčame začať tam: ISO 27001 bez omáčky: čo je ISMS a čo musí mať firma nastavené. Podrobný prehľad povinností, termínov a pokút podľa novely zákona nájdete v článku NIS2 a zákon o kybernetickej bezpečnosti na Slovensku v roku 2026.
Prečo sa ISO 27001 a NIS2 porovnávajú
ISO 27001 je dobrovoľný medzinárodný štandard pre systém riadenia informačnej bezpečnosti (ISMS). NIS2 – a jeho slovenská transpozícia v podobe novely zákona o kybernetickej bezpečnosti – je záväzná legislatíva EÚ.
Oba rámce však sledujú rovnaký cieľ: systematické riadenie kybernetických rizík. A nie je to náhoda. Samotný návrh novely zákona je založený na medzinárodne uznávaných štandardoch rodiny ISO 27000. Aj vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach je koncepčne blízka prístupu rodiny ISO 27000 a v praxi sa s ním výrazne prekrýva.
To znamená, že organizácia s funkčným ISMS podľa ISO 27001 má veľkú časť cesty k súladu so zákonom za sebou. Ale nie celú.
Kde sa ISO 27001 a zákon o kybernetickej bezpečnosti prekrývajú
Prienik je rozsiahly. Oba rámce vyžadujú:
Riadenie rizík – identifikácia hrozieb, hodnotenie dopadov, výber opatrení. ISO 27001 to rieši cez risk assessment a Statement of Applicability (SoA), zákon cez analýzu rizík podľa § 20.
Bezpečnostné opatrenia – technické aj organizačné kontroly pokrývajúce prístupy, šifrovanie, zálohovanie, správu aktív, riadenie dodávateľov. Vyhláška NBÚ č. 227/2025 Z. z. (účinná od 1. septembra 2025) definuje konkrétne opatrenia, ktoré do veľkej miery korešpondujú s kontrolami v Annex A normy ISO 27001:2022.
Incident management – oba rámce vyžadujú procesy na detekciu, klasifikáciu a riešenie bezpečnostných incidentov.
Zapojenie vedenia – ISO 27001 vyžaduje, aby top manažment nastavoval politiku, prideľoval zdroje a pravidelne preveroval výkonnosť ISMS. Zákon takisto zdôrazňuje zodpovednosť vedenia.
Riadenie dodávateľov – ISO 27001 vyžaduje riadenie rizík tretích strán. Zákon ide v rovnakom smere a NBÚ prikladá bezpečnosti dodávateľského reťazca rastúci význam.
Kontinuálne zlepšovanie – PDCA cyklus v ISO 27001, pravidelné audity a revízie v oboch rámcoch.
IT manažér, ktorý má funkčné ISMS podľa ISO 27001:2022, má teda solídny základ. Väčšina organizačných a technických požiadaviek zákona bude pokrytá.
ISO 27001 vs. zákon o kybernetickej bezpečnosti – porovnanie
| ISO 27001 | Zákon o kybernetickej bezpečnosti (NIS2) | |
|---|---|---|
| Záväznosť | Dobrovoľný štandard | Záväzná legislatíva |
| Vzťah k štátu | Žiadny – vzťah s certifikačným orgánom | Registrácia, hlásenia a dohľad NBÚ |
| Scope | Flexibilný – organizácia si ho definuje | Povinné pokrytie regulovaných služieb |
| Incident reporting | Evidencia a vyhodnotenie, bez pevných lehôt | 24h / 72h / 30d hlásenie regulátorovi |
| Zodpovednosť vedenia | Zapojenie top manažmentu do ISMS | Osobná zodpovednosť štatutárov |
| Nesúlad | Strata certifikátu | Pokuty do 10 mil. EUR / 2 % obratu |
Kde NIS2 ide nad rámec ISO 27001
Tu začínajú rozdiely – a práve tieto rozdiely rozhodujú o tom, či je organizácia v súlade so zákonom, alebo len s normou.
Povinné hlásenie incidentov s pevnými lehotami
ISO 27001 vyžaduje, aby organizácia incidenty evidovala, vyhodnocovala a poučila sa z nich. Neurčuje však, komu a kedy ich musí nahlásiť.
Zákon o kybernetickej bezpečnosti je v tomto explicitný. Regulovaný subjekt musí závažný incident nahlásiť NBÚ (resp. príslušnému CSIRT tímu) do 24 hodín od jeho zistenia, aktualizáciu do 72 hodín a záverečnú správu do jedného mesiaca. Vyhláška č. 226/2025 Z. z. stanovuje identifikačné kritériá závažnosti a náležitosti hlásení. Podrobnejšie o lehotách a postupe hlásenia píšeme v článku NIS2 a zákon o kybernetickej bezpečnosti na Slovensku v roku 2026.
Toto je pravdepodobne najväčší gap pre organizácie s ISO 27001, ktoré doteraz incidenty riešili interne.
Osobná zodpovednosť vedenia
ISO 27001 vyžaduje zapojenie top manažmentu do ISMS. Zákon ide výrazne ďalej – výrazne posilňuje osobnú zodpovednosť vedenia za plnenie povinností v oblasti kybernetickej bezpečnosti. Smernica NIS2 navyše počíta s možnosťou dočasného zákazu výkonu riadiacich funkcií pri závažnom porušení.
V praxi to znamená, že ISO 27001 certifikát nestačí ako obhajoba. Vedenie musí preukázateľne rozhodovať o rizikách a mať dohľad nad bezpečnostnými opatreniami.
Registrácia a komunikácia s regulátorom
ISO 27001 je vzťah medzi organizáciou a certifikačným orgánom. Zákon vytvára vzťah medzi organizáciou a štátom – konkrétne NBÚ. Regulované subjekty sa musia registrovať v systéme JISKB, plniť oznamovacie povinnosti a podliehajú kontrolám zo strany NBÚ.
Pre organizácie, ktoré doteraz komunikovali len s audítorom pri ročnom dozore, je toto zásadná zmena.
Pokuty a vymáhateľnosť
Nesúlad s ISO 27001 znamená stratu certifikátu. Nesúlad so zákonom znamená pokuty – pre prevádzkovateľov kritickej základnej služby až do 10 000 000 EUR alebo do 2 % celosvetového ročného obratu. Pre ostatných prevádzkovateľov základnej služby do 7 000 000 EUR alebo do 1,4 % obratu. Kompletný prehľad sankcií podľa typu porušenia nájdete v článku NIS2 a zákon o kybernetickej bezpečnosti na Slovensku v roku 2026.
Scope – čo musí byť pokryté
ISO 27001 umožňuje organizácii definovať scope flexibilne – môže pokrývať jednu službu, jedno oddelenie alebo celú firmu. Zákon o kybernetickej bezpečnosti takúto voľnosť neponúka. Regulované služby musia byť pokryté v plnom rozsahu. Ak má organizácia ISO 27001 certifikát len pre časť operácií, ale zákon sa vzťahuje na širší okruh, certifikát sám o sebe nestačí.
Prechodné obdobie – čo platí a dokedy
Časový rámec pre organizácie na Slovensku:
1. január 2025 – účinnosť novely zákona o kybernetickej bezpečnosti (zákon č. 366/2024 Z. z.)
1. september 2025 – účinnosť vyhlášky NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach (nahrádza vyhlášku č. 362/2018 Z. z.) a vyhlášky č. 226/2025 Z. z. o hlásení incidentov
31. december 2026 – prevádzkovatelia zapísaní do registra pred 31. 12. 2024 musia mať bezpečnostné opatrenia v súlade s novými predpismi. Noví prevádzkovatelia majú 12 mesiacov od zápisu do registra.
Pre organizácie, ktoré zvažujú ISO 27001 ako cestu k súladu, je to zároveň realistický horizont na implementáciu ISMS a doplnenie zákonných požiadaviek, ktoré norma nepokrýva. Podrobnejšie o všetkých míľnikoch a lehotách píšeme v článku NIS2 a zákon o kybernetickej bezpečnosti na Slovensku v roku 2026.
Praktický pohľad – čo z toho vyplýva pre IT manažéra
Ak už máte ISO 27001:2022 – ste vo výhode. Väčšina procesov a kontrol je na mieste. Potrebujete doplniť: formálny proces hlásenia incidentov NBÚ s dodržaním lehôt (24h / 72h / 30d), registráciu v JISKB, overenie, že scope certifikátu pokrýva všetky regulované služby, a zabezpečiť, že vedenie preukázateľne participuje na rozhodovaní o rizikách.
Ak máte ISO 27001:2013 – pozor. Prechodné obdobie na migráciu na verziu 2022 uplynulo 31. októbra 2025. Ak ste nepreviedli certifikát na novú verziu, musíte ho obnoviť ako novú certifikáciu podľa ISO 27001:2022.
Ak ISO 27001 nemáte, ale spadáte pod zákon – ISO 27001 je najefektívnejšia cesta k splneniu požiadaviek zákona. Bezpečnostné opatrenia vo vyhláške NBÚ sú koncepčne blízke rodine noriem ISO 27000. Implementáciou ISMS podľa ISO 27001 pokryjete väčšinu povinností a certifikácia vám navyše dá preukázateľný dôkaz, že opatrenia nie sú len formálne. Ako na implementáciu krok za krokom píšeme v článku Implementácia ISMS krok za krokom – od gap analýzy po certifikačný audit – pripravujeme.
Ak ste dodávateľ regulovaného subjektu – aj keď sami pod zákon priamo nespadáte, váš odberateľ je povinný riadiť riziká dodávateľského reťazca. Novelizovaný ZoKB v § 19 vyžaduje uzatvorenie písomnej zmluvy s dodávateľmi, ktorých činnosti priamo súvisia s prevádzkou sietí a informačných systémov. V praxi to znamená, že od vás bude vyžadovať dôkazy o bezpečnostných opatreniach – a ISO 27001 certifikát je najjednoduchší spôsob, ako ich poskytnúť. Viac o povinnostiach voči dodávateľom v článku NIS2 a zákon o kybernetickej bezpečnosti na Slovensku v roku 2026.
Zhrnutie – ISO 27001 nie je NIS2, ale je najlepší štartovací bod
ISO 27001 a zákon o kybernetickej bezpečnosti nie sú totožné. Norma je dobrovoľná, zameraná na systematické riadenie bezpečnosti. Zákon je povinný, zameraný na ochranu kritickej infraštruktúry a spoločnosti, s konkrétnymi lehotami, pokutami a osobnou zodpovednosťou vedenia.
Zároveň však platí, že ISO 27001 je najbližšie k tomu, čo zákon vyžaduje. Organizácie s funkčným ISMS nebudú začínať od nuly. Budú dopĺňať – hlásenie incidentov, komunikáciu s NBÚ, overenie scope a formalizáciu zodpovednosti vedenia.
Pre IT manažéra je to jasný signál: ISO 27001 nie je alternatíva k zákonu. Je to nástroj, ktorý vám pomôže zákon splniť – a zároveň z toho vyťažiť obchodnú hodnotu.
Ďalšie články v sérii o ISO 27001:
- ISO 27001 bez omáčky: čo je ISMS a čo musí mať firma nastavené
- Implementácia ISMS krok za krokom – od gap analýzy po certifikačný audit
- Časté chyby pri zavádzaní ISMS – a ako sa im vyhnúť
Súvisiace články:
