Zákon 366/2024 Z. z. transponoval NIS2 do slovenského právneho poriadku od 1. januára 2025. Konkrétne technické požiadavky však prišli až s novými vyhláškami NBÚ, ktoré sú účinné od 1. septembra 2025. Vyhláška 227/2025 nahrádza pôvodnú 362/2018 a výrazne rozširuje rozsah povinných opatrení. Vyhláška 226/2025 upravuje hlásenie incidentov.
Ak ste prevádzkovateľom základnej služby (PZS), máte 12 mesiacov od zápisu do registra na plné zavedenie opatrení. Pre subjekty, ktoré už boli registrované pred 1. januárom 2025, platí prechodné obdobie do 31. decembra 2026.
Čo vyhláška 227/2025 pokrýva
Vyhláška stanovuje obsah bezpečnostných opatrení, rozsah všeobecných bezpečnostných opatrení pre siete, informačné systémy a operačné technológie (OT), a tiež obsah a štruktúru bezpečnostnej dokumentácie. Oproti predchádzajúcej vyhláške je výrazne detailnejšia a reflektuje súčasné hrozby — ransomware, útoky na dodávateľský reťazec, kompromitácie cez operačné technológie.
Segmentácia siete
Sieťová infraštruktúra musí byť rozdelená do bezpečnostných zón s kontrolovaným prístupom medzi nimi. Cieľom je obmedziť laterálny pohyb útočníka po počiatočnej kompromitácii. Pre výrobné a energetické firmy to znamená oddelenie IT a OT sietí, pre kancelárske prostredia oddelenie používateľských, serverových a manažérskych segmentov.
Správa identít a prístupov
Viacfaktorová autentifikácia je povinná pre privilegované účty — správcov systémov, databáz, sieťových prvkov, bezpečnostných nástrojov. Potrebujete tiež evidenciu prístupov, pravidelnú revíziu oprávnení a oddelenie rolí (segregation of duties).
Monitoring a detekcia incidentov
Nepretržitý monitoring bezpečnostných udalostí s definovanými reakčnými časmi. V praxi to pre väčšinu organizácií znamená SIEM alebo externú SOC službu, evidenciu alertov a postup na eskaláciu.
Riadenie dodávateľov
Zmluvné zabezpečenie bezpečnostných štandardov u dodávateľov, hodnotenie rizík a kontrola prístupov tretích strán. Po útoku typu SolarWinds alebo MOVEit je to jedna z najdôležitejších, a zároveň najčastejšie podceňovaných oblastí.
Testovanie odolnosti
Pravidelné penetračné testovanie a hodnotenie zraniteľností je povinné. Výsledky musia viesť k nápravným opatreniam a byť súčasťou bezpečnostnej dokumentácie.
Hlásenie incidentov podľa 226/2025
Vyhláška 226/2025 definuje kritériá závažnosti incidentu a náležitosti hlásenia. Prevádzkovateľ musí vedieť rýchlo rozhodnúť, či konkrétna udalosť spĺňa prahy — počet dotknutých používateľov, trvanie výpadku, dopad na dôvernosť údajov — a hlásenie podať v lehotách stanovených zákonom. To si vyžaduje jasný interný proces, nielen dokument.
Ako postupovať do konca roka
Prechodné obdobie končí za osem mesiacov. Ak ste ešte nezačali, odporúčame nasledovný postup:
- Gap analýza — porovnanie súčasného stavu s požiadavkami vyhlášky 227/2025. Výstupom je zoznam nedostatkov, nie perfektné skóre.
- Priorizácia — opatrenia s najvyšším dopadom na riziko idú prvé. Segmentácia kritických systémov, MFA pre admin účty, základné logovanie.
- Dokumentácia — politiky, postupy a dôkazy. Vyhláška pri audite vyžaduje nielen funkčnosť, ale aj preukázateľnosť.
- Proces hlásenia incidentov — nacvičený, nie napísaný. Test stolovej hry (tabletop exercise) odhalí diery rýchlejšie než audit.
- Príprava na audit NBÚ — interný alebo externý audit pred termínom vám dá čas na opravy.
Pokuty a zodpovednosť
Za závažné porušenie môže NBÚ uložiť pokutu až 10 miliónov eur alebo 2 % celosvetového ročného obratu. Novinkou NIS2 je aj osobná zodpovednosť štatutárov — za opakované porušenia môžu čeliť dočasnému zákazu výkonu funkcie. Compliance teda prestáva byť výhradne úlohou IT oddelenia.