Možno ste sa práve dozvedeli, že vaša firma spadá pod NIS2 (na Slovensku zákon č. 366/2024 Z. z.), a hneď vám napadla tá istá otázka: „Koľko nás to bude stáť a kde na to vezmeme čas?"
Dobrá správa: jadro zákonnej povinnosti v oblasti vzdelávania splníte aj bez obrovského rozpočtu a bez nákupu zložitých systémov. Stačí pochopiť, čo audítor naozaj chce vidieť, a nastaviť systém, ktorý vás organizačne nezožerie.
Čo audítor naozaj hľadá? (nápoveda: nie je to pekná prezentácia)
Najdôležitejší princíp je preukázateľnosť. Kontrolóra z Národného bezpečnostného úradu (NBÚ) ani externého audítora nezaujíma, že ste zamestnancom „niečo spomenuli" na porade alebo im poslali peknú prezentáciu.
Predstavte si kontrolu z daňového úradu — veta „dane sme zaplatili, verte mi" neobstojí. Potrebujete doklady. Pri kybernetickej bezpečnosti potrebujete jasnú stopu v čase: kto bol školený, kedy, z akej témy a s akým výsledkom.
Nezabúdajte, že podľa vyhlášky musíte pokryť tri skupiny ľudí:
- Bežných zamestnancov (základná kybernetická hygiena).
- IT správcov a adminov (hlbšie, špecializované školenia).
- Vedenie a štatutárov (vyhláška medzi školené skupiny výslovne ráta aj štatutárny orgán).
Minimálny základ (aj bez drahých phishingových simulácií)
Veľký mýtus, ktorý šíria niektorí IT predajcovia, je, že bez nákupu prémiového phishingového trenažéra NIS2 nesplníte. Nie je to pravda. Slovenská vyhláška NBÚ č. 227/2025 Z. z. slovo „phishing" ani raz menovite nepoužíva — vyžaduje „praktické simulácie a cvičenia reakcie na incidenty".
Ak máte obmedzený rozpočet, váš minimálny vyhovujúci základ vyzerá takto:
- Vstupné školenie: každý nováčik ho absolvuje ideálne v prvý deň, ešte pred pridelením prístupov do firemných systémov.
- Ročný refresh: krátke zopakovanie kľúčových pravidiel raz za rok. Zákon presný interval nediktuje, no ročná periodicita je overený štandard, ktorý audítor bez rečí akceptuje.
- Priebežný microlearning: krátke, minútové vzdelávanie počas roka, aby téma nezapadla prachom.
- Jedno praktické cvičenie: môže ísť o jednoduché „tabletop" cvičenie nasucho (napríklad spoločný prechod scenára „čo urobíme, ak účtovníčka klikne na podozrivú faktúru").
- Poriadna evidencia: záznamy o všetkých vyššie uvedených bodoch.
Prečo klasické 4-hodinové školenia zlyhávajú? (veda za zabúdaním)
Ako manažér či HR určite viete, koľko úsilia stojí natlačiť ľudí do zasadačky alebo pred hodinové video. Výsledok? Frustrovaný tím a nulový efekt. Nie je to lenivosť, je to biológia ľudskej pamäti.
Nemecký psychológ Hermann Ebbinghaus opísal tzv. zabúdaciu krivku, ktorú v roku 2015 potvrdila rozsiahla štúdia v časopise PLOS ONE. Ukázala, že ak novú informáciu hneď neopakujeme, mozog vymaže až 70 % obsahu už do 24 hodín.
Jedno dlhé, nudné školenie raz za rok je z hľadiska skutočnej bezpečnosti vyhodením peňazí aj času. Riešením je microlearning — krátke, minútové kartičky posielané priebežne. Nezdržujú od práce, ľudia ich reálne prečítajú a vy máte v systéme okamžitý dôkaz o aktivite.
Ako viesť evidenciu, aby ste mali pred auditom pokoj
Keď príde kontrola, musíte vedieť vytiahnuť stopu v čase (audit trail). Audítor chce vidieť kontinuitu — že systém žije a vyvíja sa, nie že ste narýchlo vyrobili jeden PDF noc pred jeho príchodom.
Čo by mala vaša zložka obsahovať:
- Plán školení na daný rok (kedy a čo sa bude preberať).
- Záznamy o absolvovaní so zoznamom mien, dátumom a témou.
- Výsledky testov alebo overení vedomostí.
- Dôkaz o zaškolení vedenia (na tento bod sa najčastejšie zabúda, no pre audítora je kritický).
- Podpísané oboznámenie s internými bezpečnostnými smernicami.
Udržiavať to ručne v Exceli je pri bežnej fluktuácii nočná mora. Práve preto sme PhishMentor navrhli tak, aby vám kryl chrbát od prvého dňa.
Kedy má zmysel pridať phishingové simulácie?
Cvičné phishingové testy sú výborná nadstavba. Kým bežné školenie dokazuje len to, že človek informáciu počul, simulácia overuje, či sa podľa nej v strese a zhone aj zachová.
Zavádzajte ich však až vtedy, keď máte upratané základy. Najprv ľuďom ukážte, ako podvod vyzerá (cez microlearning), a až potom testujte, či ho spoznajú. Ak ich začnete hneď naslepo chytať do pascí, vytvoríte v tíme odpor a strach — a ľudia začnú pred IT oddelením tajiť aj skutočné chyby.
Začnite s audit-ready systémom hneď teraz
Ak potrebujete vyriešiť legislatívny tlak rýchlo a s minimálnym dopadom na rozpočet, PhishMentor spustíte v základnom balíku zameranom na školenia a microlearning.
Získate online vzdelávacie moduly pre zamestnancov aj vedenie a automatizovaný manažérsky dashboard. Systém zbiera logy, priebežne plní evidenciu za vás a pri kontrole alebo požiadavke od veľkého klienta vyexportuje čistý report na jeden klik. Modul cvičných phishingových útokov si aktivujete kedykoľvek neskôr.
Ak si stále nie ste istí svojimi povinnosťami, vyskúšajte rýchly manažérsky NIS2 test, alebo si pozrite čo PhishMentor robí.