Skratka „NIS2" sa v biznisovom prostredí skloňuje čoraz častejšie. Pre väčšinu majiteľov firiem, manažérov a HR špecialistov však celá téma stojí na jednej zásadnej otázke: Musíme naozaj povinne školiť našich zamestnancov, alebo ide iba o formálne odporúčanie?
Zrozumiteľná odpoveď znie: ak vaša spoločnosť spadá pod novelizovaný zákon o kybernetickej bezpečnosti, vzdelávanie zamestnancov je striktnou zákonnou povinnosťou a pri kontrole ho musíte vedieť preukázať. Pozrite sa, čo presne to pre vašu firmu znamená a ako túto tému uchopiť konštruktívne.
Čo hovorí legislatíva
Na slovenskom trhu nečelíme priamemu textu európskej smernice, ale našim vlastným národným zákonom, ktoré európsky rámec preberajú. Kľúčové sú pre nás dva základné dokumenty:
- Zákon o kybernetickej bezpečnosti (č. 69/2018 Z. z.), ktorý po veľkej novele (zákon č. 366/2024 Z. z.) nadobudol účinnosť. Práve táto legislatíva integruje pravidlá NIS2 do nášho právneho poriadku.
- Vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach, ktorá spresňuje technické detaily a slúži ako hlavná osnova, podľa ktorej bude postupovať audítor pri kontrole.
Z oboch dokumentov jednoznačne vyplýva, že systematické vzdelávanie a kontinuálne budovanie bezpečnostného povedomia patrí medzi povinné organizačné opatrenia. Nejde teda o voliteľný benefit pre zamestnancov, ale o základný legislatívny parameter.
Cieľové skupiny a rozsah vzdelávania
Podľa vykonávacej vyhlášky musíte vzdelávacie aktivity adresovať trom kľúčovým skupinám:
- Vedeniu spoločnosti (štatutárom a manažmentu): legislatíva kladie osobnú zodpovednosť za riadenie rizík na vedenie, ktoré musí prejsť adekvátnym vzdelávaním. Security awareness už nie je len izolovanou úlohou pre IT oddelenie.
- Všetkým kmeňovým zamestnancom: zameriava sa na bežnú digitálnu hygienu, ochranu dát a bezpečné správanie v online priestore.
- Dodávateľom a tretím stranám: týka sa externých partnerov, ktorí majú autorizovaný prístup do vašich interných sietí a systémov.
Školenia by nemali ostať len v rovine pasívneho čítania textov. Zákon vyžaduje doplniť teóriu o praktické simulácie a cvičenia, aby si ľudia overili svoje reakcie na modelové situácie v reálnom čase.
Dôležité upresnenie: zákon ani vyhláška vo svojom znení explicitne neuvádzajú slovo „phishing". Požadujú „praktické simulácie a cvičenia reakcie na incidenty". Cvičné phishingové kampane sú najprirodzenejším a najekonomickejším spôsobom, ako túto podmienku splniť, avšak z legislatívneho hľadiska môžete začať čisto ucelenou teóriou a compliance modulmi.
Hlavné dôvody, prečo školenia neodkladať
Aktívne budovanie bezpečnostného povedomia prináša organizácii tri zásadné istoty:
- Plná legislatívna zhoda: ak vaša spoločnosť patrí medzi regulované subjekty, vzdelávanie predstavuje povinný bod, bez ktorého nie je možné úspešne prejsť auditom.
- Ochrana pred finančným rizikom: finančné sankcie za závažné porušenia sú nastavené prísne. Pri bežných regulovaných firmách (prevádzkovateľoch základných služieb) sa maximálna pokuta môže vyšplhať až do 7 miliónov € alebo 1,4 % celkového ročného obratu. Pri najkritickejších subjektoch je strop stanovený na 10 miliónov € alebo 2 %. Tieto sumy reprezentujú krajné stropy za fatálne zanedbanie povinností, no jasne deklarujú prístup štátu k ochrane dát. Dôležitým faktom zostáva, že prípadnú sankciu hradí organizácia, nie jednotlivec.
- Kompletná preukázateľnosť pre audit: pre kontrolu z NBÚ alebo certifikačného audítora nie sú podstatné ústne vyhlásenia. Audítor vyžaduje nespochybniteľné dôkazy (Audit Trail) — presné digitálne logy, zoznamy vyškolených osôb, dátumy, témy a úspešnosť overovacích testov.
Často medializované informácie o paušálnych osobných pokutách vo výške 5 000 € pre členov manažmentu ako fyzické osoby sa v aktuálnom znení zákona nenachádzajú. Osobný postih vo forme dočasného pozastavenia výkonu riadiacej funkcie je aplikovateľný výhradne pri strategických subjektoch najvyššej dôležitosti, kam drvivá väčšina komerčných firiem nespadá. Hlavným rizikom pre bežný podnik tak zostáva priama pokuta pre firmu a vážne ohrozenie reputácie.
Orientačné lehoty a časový rámec
Pre spoločnosti, ktoré sú oficiálne zapísané v registri prevádzkovateľov základných služieb NBÚ, platia nasledovné míľniky:
- Do 12 mesiacov od zápisu: povinnosť implementovať schválené bezpečnostné opatrenia vrátane spustenia programov na vzdelávanie zamestnancov.
- Do 24 mesiacov od zápisu: vykonanie prvého oficiálneho kybernetického auditu alebo predloženie samohodnotenia.
- Do 31. 12. 2026: prechodné obdobie určené pre subjekty registrované podľa starších predpisov. Od 1. 1. 2027 sa už plne prechádza na nový, striktný režim.
Ako nastaviť frekvenciu? Zákon zámerne nepredpisuje presný počet hodín či dní. Najlepšou trhovou praxou, s ktorou bezpečne prejdete každým auditom, je kombinácia automatického vstupného školenia pri nástupe, komplexného zopakovania raz ročne a priebežného distribuovania minútového microlearningu počas celého roka.
Ako začať s čistým štítom
Splnenie legislatívneho minima nemusí znamenať okamžitú finančnú záťaž ani stopku pre vaše HR oddelenie. Základným stavebným kameňom je zavedenie prehľadného systému školení a automatizovanej evidencie. Tým kompletne pokryjete jadro zákonných požiadaviek.
Konkrétne tipy a postupy, ako celú agendu zvládnuť efektívne, nájdete v našom nadväzujúcom materiáli Ako splniť NIS2 školenia bez obrieho rozpočtu. Pokiaľ si chcete definitívne overiť postavenie vašej spoločnosti, prejdite na náš zrozumiteľný prehľad Spadá moja firma pod NIS2? Rýchly test pre manažérov a HR.