NIS2 sa už týka aj vás. Vieme, ako na to.
Slovensko transponovalo NIS2 zákonom č. 366/2024 Z. z. s účinnosťou od 1. januára 2025. Reguluje viac ako 80 služieb v 16 odvetviach a dotýka sa odhadom 3 400+ slovenských organizácií. Pomôžeme vám zistiť, či ste medzi nimi — a v akom poradí riešiť čo.
V skratke
NIS2 (Smernica EÚ 2022/2555) výrazne rozširuje okruh subjektov povinných zaviesť opatrenia kybernetickej bezpečnosti. Slovensko ju transponovalo novelou č. 366/2024 Z. z., ktorou sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti. Novela je účinná od 1. januára 2025.
Týka sa vás, ak:
- Pôsobíte v jednom z 18 sektorov — energetika, zdravotníctvo, doprava, výroba, digitálne služby, verejná správa, potravinárstvo, chemický priemysel, vodné hospodárstvo a ďalšie.
- Spĺňate veľkostné kritérium — typicky 50+ zamestnancov alebo obrat nad 10 mil. EUR. Pre subjekty kritického významu (DNS, TLD, dátové centrá, providers digitálnej infraštruktúry…) môžu byť v rozsahu aj menšie firmy.
Sankcie
- Kľúčové subjekty: až 10 mil. EUR alebo 2 % globálneho obratu (vyššia hodnota).
- Dôležité subjekty: až 7 mil. EUR alebo 1,4 % globálneho obratu (vyššia hodnota).
- Za nesplnenie oznamovacej povinnosti voči NBÚ pokuty od 300 EUR do 500 000 EUR.
NBÚ je orgánom dohľadu a postupne aktivuje kontrolnú činnosť.
Ako vám pomôžeme
1. Posúdenie rozsahu (1–2 týždne)
Zistíme, či ste v rozsahu NIS2, do akej kategórie spadáte (kľúčový alebo dôležitý subjekt, prípadne prevádzkovateľ kritickej základnej služby) a aké konkrétne povinnosti sa na vás vzťahujú. Výstup: krátky dokument so záverom a odporúčaniami.
2. GAP analýza (2–4 týždne)
Porovnáme váš aktuálny stav s požiadavkami zákona č. 69/2018 Z. z. v znení novely 366/2024. Identifikujeme medzery v desiatich kľúčových oblastiach: risk management, incident handling, business continuity, supply chain, network security, access control, encryption, vulnerability management, awareness, reporting.
3. Implementácia opatrení (priebežne)
Roadmap rozdelená do fáz podľa priority a regulačných deadline-ov. Vediete vy, my pomáhame technicky aj procesne. Realistické timeline-y, žiadne „hotovo do mesiaca”.
Po zápise do registra PZS musí prevádzkovateľ základnej služby do 12 mesiacov prijať bezpečnostné opatrenia podľa zákona a vyhlášky. Audit kybernetickej bezpečnosti (alebo samohodnotenie) treba vykonať do 2, resp. 5 rokov.
4. Reporting a kontroly
Pomáhame s prípravou reportingu pre NBÚ a inštaláciou kontrol, ktoré preukážu reálne plnenie — nie len papierové.
V rámci možností
Plný NIS2 compliance program je rozsiahly. Pre väčšinu firiem ale neodporúčame začať veľkým balíkom — začať sa dá aj samotným posúdením rozsahu (1–2 týždne) alebo malou GAP analýzou v jednej oblasti. Postupný prístup býva lacnejší aj efektívnejší než „na NIS2 nasaďme všetko naraz”.
Najčastejšie otázky
Som v rozsahu, ak mám 30 zamestnancov?
Závisí od sektora. Pre väčšinu sektorov platí prah 50+ zamestnancov, ale pre niektoré (napr. správcovia DNS, registrátori domén, providers digitálnej infraštruktúry) sú v rozsahu aj menšie firmy. Posúdenie urobíme za 1–2 týždne.
Stačí mi ISO/IEC 27001?
Pomáha, ale nestačí. NIS2 má špecifické požiadavky — najmä incident reporting (early warning do 24 hodín, kompletné hlásenie do 72 hodín) a požiadavky na supply chain — ktoré ISO 27001 nepokrýva v plnom rozsahu.
Ako rýchlo treba reagovať?
Zákon je účinný od 1.1.2025. Pre niektoré detaily sa dotvára vykonávacia legislatíva. Implementačné lehoty bežia od zápisu do registra PZS — preto má zmysel začať prípravou ešte pred povinným zápisom.
A čo zodpovednosť konateľov?
Novela kladie výrazne väčší dôraz na zodpovednosť vrcholového vedenia. Konatelia a členovia predstavenstva sú povinní schvaľovať opatrenia na riadenie kybernetických rizík a dohliadať na ich implementáciu. Ich zodpovednosť je osobná.