Ako rýchlo zistím, či moja firma spadá pod NIS2?

Položte si dve otázky. Po prvé: je vaša firma v regulovanom sektore (energetika, doprava, zdravotníctvo, voda, výroba, potravinárstvo, financie, digitálne služby a ďalšie)? Po druhé: máte aspoň 50 zamestnancov alebo ročný obrat či súvahu aspoň 10 mil. €? Ak sú obe odpovede áno, s veľkou pravdepodobnosťou spadáte. Pozor na výnimky, kde veľkosť nerozhoduje.

Sme malá firma do 50 zamestnancov. Naozaj nás sa NIS2 netýka?

Vo väčšine prípadov malé a mikrofirmy pod NIS2 nespadajú. Sú však výnimky, kde nerozhoduje veľkosť — napríklad poskytovatelia DNS služieb, správcovia domén, dôveryhodné služby alebo verejné elektronické komunikácie. A pozor: aj keď firma sama nespadá, môže ju k bezpečnosti zaviazať veľký odberateľ cez dodávateľský reťazec.

Hrozí konateľovi pokuta 5 000 € za nesplnenie NIS2?

Nie. V platnom znení zákona o kybernetickej bezpečnosti takéto ustanovenie o pokute pre fyzickú osobu neexistuje. Adresátom pokút je firma, nie konateľ osobne. Reálny osobný postih (zákaz výkonu funkcie podľa § 29j ZoKB) sa týka len kritických subjektov (PKZS), nie bežných firiem.

Nespadáme pod NIS2. Musíme vôbec školiť zamestnancov?

Veľmi pravdepodobne áno, len na základe iného predpisu. Ak spracúvate osobné údaje, GDPR (a zákon č. 18/2018 Z. z.) cez požiadavku organizačných opatrení nepriamo žiada vzdelávanie personálu. Finančné subjekty majú školenie výslovne v DORA, verejnú správu zaväzuje zákon č. 95/2019. A odberatelia môžu školenie žiadať zmluvne.

Ako často sa musí robiť bezpečnostné školenie?

Závisí od predpisu. NIS2 ani jeho slovenská vyhláška konkrétny interval výslovne nestanovujú (prax odporúča aspoň raz ročne). GDPR frekvenciu nestanovuje vôbec, riadi sa primeranosťou. Verejná správa má konkrétne minimálne intervaly vo vykonávacej vyhláške MIRRI k zákonu č. 95/2019.

Spadá moja firma pod NIS2? Koho sa týka smernica (2026)

Keď sa povie smernica NIS2, väčšina manažérov a HR špecialistov buď dostane miernu paniku, alebo nad tým mávne rukou: „My sme stredne veľká firma, nás sa tie obrie IT regulácie netýkajú." Pravda je však taká, že zákon o kybernetickej bezpečnosti sa dnes dotýka oveľa viac firiem, než by ste čakali. Poďme si rýchlo, ľudsky a bez právnického žargónu vyjasniť, ako na tom ste — a čo to pre vás znamená v praxi.

Expresný 2-krokový NIS2 test

Aby vaša firma oficiálne spadala pod NIS2 (podľa slovenskej legislatívy), musia platiť obe podmienky naraz.

Krok 1: Máte na to veľkosť?

Pod lupu zákona sa dostávate, ak spĺňate kritériá stredného alebo veľkého podniku, teda máte:

50 a viac zamestnancov, alebo
ročný obrat alebo súvahu nad 10 miliónov €.

(Pozor: ak ste papierovo malá dcérska firma, ale patríte pod veľký holding, do úvahy sa berú čísla celej skupiny.)

Krok 2: Pôsobíte v regulovanom sektore?

Ak ste prešli prvým sitom, pozrite sa, či robíte v niektorom z týchto odvetví:

Kritické odvetvia: energetika, doprava, zdravotníctvo, bankovníctvo a financie, pitná voda, digitálna infraštruktúra či verejná správa.
Ďalšie dôležité odvetvia: výroba (autá, stroje, elektronika), potravinárstvo, pošta a kuriérske služby, odpadové hospodárstvo, chémia, digitálne služby (e-shopy, vyhľadávače, cloudy) a výskum.

Vyhodnotenie: splnili ste veľkosť aj sektor? Potom pod NIS2 spadáte a vaša firma má povinnosť zaregistrovať sa na NBÚ a zaviesť bezpečnostné opatrenia vrátane pravidelného vzdelávania ľudí.

Pozor na výnimky: keď na veľkosti nezáleží

Existujú oblasti, kde môžete mať hoci len 5 zamestnancov a pod NIS2 spadnete automaticky. Týka sa to najmä firiem, ktoré poskytujú:

DNS služby alebo správu domén (napríklad .sk),
dôveryhodné služby (elektronické podpisy, pečate),
verejné elektronické komunikačné siete a služby.

Vyšlo vám, že nespadáte? Ešte neodchádzajte

Aj keď vaša firma kritériá nespĺňa, sú dva veľké dôvody, prečo tému bezpečnostného školenia zamestnancov nemôžete hodiť za hlavu.

1. Pasca dodávateľského reťazca

Veľké korporácie, banky, automobilky či nemocnice, ktoré pod NIS2 spadajú, musia povinne strážiť bezpečnosť celého svojho dodávateľského reťazca.

Ak im dodávate softvér, robíte pre nich marketing, účtovníctvo alebo im upratujete, čoskoro vám na stole pristane bezpečnostný dotazník alebo nová zmluva. Budú v nej žiadať preukázateľný dôkaz, že vaši ľudia sú školení v kybernetickej hygiene. Ak to nepreukážete, jednoducho si vyberú partnera, ktorý s tým problém nemá.

2. GDPR — týka sa každého

Aj keby ste nemali žiadnych veľkých klientov, spracúvate osobné údaje (mzdy, faktúry, e-maily klientov). GDPR v článku 32 ukladá povinnosť zaviesť „primerané organizačné opatrenia" na zabezpečenie dát. Pravidelné GDPR školenie zamestnancov a security awareness sa pritom berú ako základ. Ak vám uniknú dáta preto, že zamestnanec klikol na očividný podvod a vy ste ho nikdy nezaškolili, reálne riskujete pokutu od Úradu na ochranu osobných údajov.

Dva mýty na pravú mieru

Mýtus o osobnej pokute 5 000 € pre konateľa: na internete kolujú strašidelné články. Realita slovenského zákona je taká, že finančné pokuty znáša samotná firma, nie manažér ako fyzická osoba. Osobný postih (zákaz výkonu funkcie) hrozí len pri tých najkritickejších subjektoch (PKZS), kam väčšina firiem nepatrí.
Mýtus o štvorhodinových prednáškach: zákon ani audítor vám nehovoria, ako presne máte ľudí školiť. Nechcú, aby ste tím raz ročne unudili prezentáciou, z ktorej si na druhý deň nikto nič nepamätá. V praxi sa cení priebežné a merateľné mikro-vzdelávanie.

Ako z toho von? Začnite bez stresu a veľkého rozpočtu

Splnenie compliance pre audit, NIS2 alebo veľkého klienta nemusí byť drahý polročný projekt plný IT konzultantov. S platformou PhishMentor spustíte tiché a preukázateľné vzdelávanie zamestnancov v priebehu pár minút:

Priebežný cvičný phishing odhalí, kto v zhone kliká na podvody.
60-sekundové kartičky budujú reflexy priamo v praxi.
Manažérsky reporting vám jedným klikom vygeneruje čistý a preukázateľný report pre audítora, vedenie alebo kľúčového zákazníka.

Prečítajte si viac o tom, ako preukázať bezpečnostné školenia bez veľkého rozpočtu, alebo si pozrite čo PhishMentor robí.

Spadá moja firma pod NIS2? Rýchly test pre manažérov a HR