Ak ste po prečítaní nášho rýchleho manažérskeho testu zistili, že vaša spoločnosť spadá pod novú vlnu kybernetickej legislatívy (zákon č. 366/2024 Z. z.), pravdepodobne vám ako prvá napadla otázka: „Koľko rozpočtu a interného času nás to bude stáť?"
Máme pre vás dôležitú správu, ktorá odľahčí vaše plánovanie: jadro zákonnej povinnosti v oblasti vzdelávania viete splniť bez masívnych investícií do IT infraštruktúry a bez zložitého nastavovania systémov. Stačí presne vedieť, čo od vás bude audítor vyžadovať, a nasadiť proces, ktorý nezahltí vaše HR ani zamestnancov.
Čo audítor pri kontrole reálne vyžaduje
Hlavným pilierom úspešného auditu je preukázateľnosť. Kontrolóra z Národného bezpečnostného úradu (NBÚ) ani externého certifikačného audítora nepresvedčíte vyhlásením, že tému kyberbezpečnosti so zamestnancami priebežne rozoberáte na poradách.
Rovnako ako pri kontrole z daňového úradu neobstojí argument bez dokladov, aj v oblasti kybernetickej bezpečnosti potrebujete nespochybniteľnú stopu v čase (Audit Trail): jasný záznam o tom, kto bol zaškolený, kedy, z akej problematiky a s akým výsledkom.
Vyhláška NBÚ jasne definuje, že vaše vzdelávacie aktivity musia pokryť tri cieľové skupiny:
- Bežných zamestnancov — zameranie na základnú digitálnu hygienu a rozpoznávanie bežných hrozieb.
- IT administrátorov a správcov sietí — pokročilé, vysoko špecializované technické kurzy.
- Manažment a štatutárov — legislatíva výslovne ukladá povinnosť budovať primerané bezpečnostné povedomie aj u členov štatutárnych orgánov.
Minimálny zákonný základ pre firmy
Medzi dodávateľmi IT riešení často koluje mýtus, že bez okamžitého nákupu prémiových phishingových simulátorov nie je možné legislatívne podmienky splniť. Realita je však iná. Slovenská vykonávacia vyhláška NBÚ č. 227/2025 Z. z. pojem „phishing" vo svojom znení explicitne neuvádza — namiesto toho požaduje „praktické simulácie a cvičenia reakcie na incidenty".
Pokiaľ potrebujete v prvom kroku šetriť rozpočet, váš minimálny legislatívne vyhovujúci balík pozostáva z týchto krokov:
- Vstupné vzdelávanie: automatické zaškolenie každého nového kolegu hneď v prvý deň nástupu, ešte pred sprístupnením firemných systémov.
- Pravidelný ročný refresh: krátke preopakovanie kľúčových pravidiel raz za rok. Hoci presnú periodicitu zákon nestanovuje, ročný interval je overeným štandardom akceptovaným každým audítorom.
- Priebežný microlearning: krátke edukatívne formáty distribuované počas celého roka, ktoré zabezpečia, že téma bezpečnosti nezapadne prachom.
- Simulované cvičenie nasucho: jednoduché „tabletop" cvičenie, počas ktorého si zodpovední ľudia prejdú modelový scenár (napríklad: „ako postupovať, ak účtovné oddelenie zachytí podozrivú výzvu na úhradu").
- Automatizovaná evidencia: zber detailných logov o úspešnom absolvovaní všetkých spomenutých aktivít.
Prečo klasické celodenné školenia zlyhávajú
Dotlačiť zamestnancov do zasadačky na niekoľkohodinovú prednášku alebo im prikázať sledovať dlhé videá stojí HR oddelenia obrovské množstvo energie. Výsledný efekt na reálnu bezpečnosť je pritom minimálny. Dôvodom nie je nezáujem ľudí, ale prirodzené fungovanie ľudskej pamäte.
Nemecký psychológ Hermann Ebbinghaus definoval princíp tzv. zabúdacej krivky, ktorej platnosť v modernom prostredí v roku 2015 potvrdila rozsiahla vedecká štúdia publikovaná v časopise PLOS ONE. Výskum dokázal, že pokiaľ novú informáciu ihneď nezačneme aplikovať v praxi alebo systematicky opakovať, ľudský mozog vymaže až 70 % jej obsahu už v priebehu prvých 24 hodín.
Jednorazové masívne školenie raz ročne je investícia s nízkou návratnosťou. Efektívnym riešením je priebežný microlearning — distribúcia krátkych, minútových microlearningových kartičiek priamo do pracovného tempa zamestnancov. Tento prístup nezdržiava od plnenia úloh, ľudia informácie reálne absorbujú a vy získavate kontinuálny tok dát pre potreby auditu.
Ako viesť dokumentáciu bez zbytočnej administratívy
Pri príchode kontroly musíte byť schopní okamžite predložiť ucelenú zložku dokumentov. Audítor posudzuje kontinuitu systému — sleduje, či vzdelávanie vo firme reálne žije, alebo ste dokumenty generovali narýchlo noc pred auditom.
Vaša audit-ready zložka musí obsahovať:
- Plán vzdelávacích aktivít na príslušný kalendárny rok.
- Záznamy o absolvovaní obsahujúce presné zoznamy mien, dátumy a témy okruhov.
- Výsledky overovacích testov potvrdzujúce pochopenie problematiky.
- Dôkaz o úspešnom zaškolení manažmentu a vedenia (oblasť, v ktorej firmy najčastejšie chybujú).
- Písomné oboznámenie zamestnancov s internými bezpečnostnými smernicami podniku.
Spravovať tieto matice ručne v Exceli je pri bežnej fluktuácii personálu neudržateľné. Práve preto sme platformu PhishMentor navrhli tak, aby tieto procesy kompletne automatizovala.
Kedy je správny čas pridať cvičný phishing
Phishingové simulácie predstavujú vynikajúci nástroj na overenie reálnych reflexov vašich ľudí v momente, keď sú v strese a časovej tiesni. Ukazujú vám reálne dáta namiesto teoretických predpokladov.
Kľúčom k úspechu je však správne načasovanie. Simulované útoky nasadzujte až v momente, keď majú vaši ľudia zvládnuté základy. Najprv im prostredníctvom microlearningu ukážte, ako moderné hrozby vyzerajú, a až následne testujte ich bdelosť. Pokiaľ by ste ich začali chytať do pascí bez predchádzajúcej prípravy, vyvoláte v organizácii vlnu demotivácie a strachu, čo často vedie k tomu, že zamestnanci začnú pred IT oddelením tajiť aj skutočné bezpečnostné incidenty.
Vyriešte legislatívne povinnosti flexibilne
Splnenie požiadaviek zákona o kybernetickej bezpečnosti alebo dotazníkov od vašich kľúčových B2B partnerov viete vyriešiť bezodkladne. Platformu PhishMentor môžete vďaka jej modularite spustiť v základnom balíku zameranom výhradne na legislatívne kurzy pre NIS2 compliance a automatizovaný microlearning.
Získate plnú kontrolu nad vzdelávaním zamestnancov aj vedenia prostredníctvom prehľadného manažérskeho dashboardu. Systém na pozadí automaticky generuje a ukladá logy, zaznamenáva kontinuitu vzdelávania a v prípade auditu vám pripraví komplexný report na jedno kliknutie. Pokročilý modul pre cvičné phishingové útoky si môžete v systéme odomknúť kedykoľvek neskôr, keď na to vaša firma bude pripravená.
Pozrite sa, ako presne platforma PhishMentor funguje, alebo si prečítajte viac o dôležitosti security awareness školení pre moderné firmy.