Skratku „NIS2“ ste už možno počuli. Pre väčšinu firiem za ňou stojí jedna praktická otázka: musíme naozaj školiť zamestnancov, alebo je to len odporúčanie?
Stručná odpoveď: ak vaša firma spadá pod zákon o kybernetickej bezpečnosti, školenie ľudí je povinné — a pri kontrole ho musíte vedieť doložiť. Tu je jednoducho, čo to znamená a prečo to treba riešiť.
Čo hovorí zákon (v skratke)
Na Slovensku to nie je „smernica z Bruselu“, ale náš zákon. Stoja za tým dva dokumenty:
- Zákon o kybernetickej bezpečnosti (č. 69/2018 Z. z.), ktorý od 1. januára 2025 platí v novom znení (novela č. 366/2024 Z. z.). Práve ten prenáša európsku NIS2 do slovenského práva.
- Vyhláška NBÚ č. 227/2025 Z. z. (od 1. septembra 2025), ktorá dopĺňa konkrétne detaily — a presne tú si pri kontrole pozrie audítor.
Čo z nich vyplýva pre ľudí? Zákon medzi povinné opatrenia výslovne radí vzdelávanie a budovanie bezpečnostného povedomia. Nie je to dobrovoľný bonus, ale jedno z opatrení, ktoré musíte mať.
Koho a čo sa školenie týka
Školiť treba tri skupiny:
- vedenie firmy (štatutári) — bezpečnosť nie je len starosť IT oddelenia,
- zamestnancov,
- a dodávateľov či tretie strany, ktoré majú prístup k vašim systémom.
A nemá ísť len o prezentáciu — súčasťou majú byť aj praktické cvičenia, teda nácvik, ako reagovať na útok.
Pozor na častý omyl: zákon ani vyhláška slovo „phishing“ doslova nepoužívajú. Žiadajú „praktické simulácie a cvičenia“. Phishing simulácia (cvičný podvodný e-mail) je najpraktickejší spôsob, ako to splniť — ale nie jediný a nie je „povinná zo zákona“.
Prečo to musíte riešiť
Tri dôvody, prečo sa to neoplatí odkladať:
1. Je to zákon, nie odporúčanie. Ak spadáte pod ZoKB, ide o povinnosť.
2. Pokuty platí firma — a sú vysoké. Pri bežnej regulovanej firme (v zákone prevádzkovateľ základnej služby) hrozí za závažné porušenie pokuta až 7 mil. € alebo 1,4 % ročného obratu. Pri najkritickejších subjektoch až 10 mil. € alebo 2 %. Sú to stropy za najhoršie prípady, nie automatická sadzba — ale ukazujú, že to úrad myslí vážne. Dôležité: pokutu dostane firma, nie konkrétny zamestnanec.
Na internete sa občas píše o „pokute 5 000 € pre štatutára“. V platnom zákone nič také nie je — adresátom pokút je firma. Jediný osobný postih (zákaz výkonu funkcie pre vedenie) sa týka len najkritickejších subjektov, kam väčšina firiem nepatrí.
3. Pri kontrole musíte školenie DOLOŽIŤ. Audítora nezaujíma „veď sme im to povedali“. Chce dôkaz — záznam, kto a kedy školenie absolvoval, potvrdenie o oboznámení s pravidlami, report z cvičnej phishing kampane. Kľúčové slovo je preukázateľnosť.
Dokedy to treba mať
Ak ste zapísaní v registri NBÚ, platia orientačne tieto lehoty:
- do 12 mesiacov od zápisu — zaviesť bezpečnostné opatrenia vrátane školení,
- do 24 mesiacov — prvý audit alebo samohodnotenie,
- do 31. 12. 2026 — prechodné obdobie pre staršie zapísané firmy; od 1. 1. 2027 platí už len nový režim.
Ako často školiť? Konkrétny interval zákon neurčuje. V praxi sa osvedčuje školenie pri nástupe + opakovanie aspoň raz ročne + priebežné krátke pripomenutia, vždy so záznamom.
Čo s tým — prvý krok
Nemusíte hneď kupovať drahý nástroj. Stačí začať jednoducho: základné školenie ľudí a evidencia, že ho absolvovali. To pokryje jadro povinnosti.
Ako to zvládnuť aj s malým rozpočtom rozoberáme v článku NIS2 školenia bez veľkého rozpočtu. A ak si nie ste istí, či sa vás NIS2 vôbec týka, pozrite Spadá moja firma pod NIS2?.