Zákon č. 366/2024 Z. z. novelizoval zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a transponoval smernicu NIS2 do slovenského práva. Účinnosť: 1. január 2025. Pod zákon spadá odhadom viac než 10 000 organizácií na Slovensku. Ak ste sa doteraz o NIS2 nezaujímali, najvyšší čas začať — termíny pre interné politiky a audit už bežia.
Kto spadá pod NIS2
Zákon rozlišuje dva typy subjektov:
- Prevádzkovatelia základných služieb (essential entities) — organizácie s ≥250 zamestnancami a obratom ≥50 mil. EUR, pôsobiace v kritických sektoroch (energetika, doprava, zdravotníctvo, vodné hospodárstvo, digitálna infraštruktúra, verejná správa, bankovníctvo)
- Prevádzkovatelia dôležitých služieb (important entities) — organizácie s ≥50 zamestnancami a obratom ≥10 mil. EUR v sektoroch ako poštové služby, odpadové hospodárstvo, výroba, potravinárstvo, chemický priemysel
Veľkostné kritériá sú orientačné — zákon obsahuje aj výnimky, kde spadajú menšie subjekty v kritických sektoroch bez ohľadu na veľkosť (napr. poskytovatelia DNS služieb, registrátori domén).
Termíny
Zákon stanovuje termíny relatívne k dátumu zaradenia do zoznamu prevádzkovateľov základných služieb:
- Registrácia — do 60 dní od účinnosti zákona, t. j. do cca 1. marca 2025 (tento termín už uplynul)
- Interné politiky kybernetickej bezpečnosti — do 12 mesiacov od zaradenia do zoznamu (pre väčšinu organizácií: jar 2026)
- Audit kybernetickej bezpečnosti — do 24 mesiacov od zaradenia (pre väčšinu: jar 2027)
Ak ste sa zaregistrovali v marci 2025, interné politiky musia byť hotové do marca 2026 — čo je teraz. Audit nasleduje o rok.
Čo presne musíte splniť
Interné politiky (12 mesiacov)
Organizácia musí prijať a implementovať interné politiky kybernetickej bezpečnosti, ktoré pokrývajú minimálne:
- riadenie rizík — identifikácia, hodnotenie a ošetrenie kybernetických rizík
- správa incidentov — postupy detekcie, reakcie a hlásenia
- kontinuita prevádzky — zálohovanie, obnova, krízové plánovanie
- bezpečnosť dodávateľského reťazca
- správa prístupov a identít
- šifrovanie a kryptografia
- fyzická bezpečnosť
Hlásenie incidentov
NIS2 zavádza trojstupňové hlásenie bezpečnostných incidentov:
- Včasné varovanie — do 24 hodín od zistenia významného incidentu
- Oznámenie — do 72 hodín s aktualizovanými informáciami
- Záverečná správa — do 30 dní s analýzou príčin a prijatými opatreniami
Hlásenia smerujú na SK-CERT (Národný CSIRT) a Národný bezpečnostný úrad (NBÚ).
Audit (24 mesiacov)
Audit kybernetickej bezpečnosti musí overiť, že implementované opatrenia zodpovedajú požiadavkám zákona. Audit vykonáva certifikovaný audítor. Výstupom je správa s nálezmi a odporúčaniami. Organizácia je povinná zistené nedostatky odstrániť.
Pokuty
- Prevádzkovatelia základných služieb — do 10 000 000 EUR alebo 2 % celosvetového ročného obratu
- Prevádzkovatelia dôležitých služieb — do 7 000 000 EUR alebo 1,4 % obratu
Okrem pokút môže NBÚ uložiť záväzné pokyny, pozastaviť výkon služby alebo zakázať výkon funkcie štatutárneho orgánu.
Čo robiť teraz
Ak ste sa ešte nezaregistrovali, urobte to okamžite — termín uplynul v marci 2025, ale neskorá registrácia je lepšia než žiadna. Ak ste zaregistrovaní:
- Skontrolujte stav interných politík — 12-mesačný termín pre väčšinu organizácií je okolo marca 2026. Ak politiky nemáte, ste v omeškaní.
- Začnite prípravu na audit — máte cca 12 mesiacov. Audit overí implementáciu, nie len existenciu dokumentov. Politiky musia byť žité, nie len napísané.
- Nastavte proces hlásenia incidentov — 24-hodinový termín pre včasné varovanie znamená, že musíte mať jasný postup: kto hlási, komu, akým kanálom.
- Zmapujte dodávateľský reťazec — NIS2 vyžaduje hodnotenie rizík aj u vašich dodávateľov. Ak váš cloudový poskytovateľ nemá bezpečnostné opatrenia, je to vaše riziko.
NIS2 nie je jednorazový projekt. Je to trvalá povinnosť s pravidelným auditom, hlásením a aktualizáciou politík. Čím skôr začnete, tým menej to bude bolieť.