„NIS2." Dve písmená a číslo, ktoré vám buď nedajú spať, alebo nad nimi mávnete rukou s pocitom, že stredne veľké podniky sa v obrej IT regulácii stratia. Oboje vás však môže vyjsť draho. Nová kybernetická legislatíva sa slovenských firiem dotýka oveľa skôr, než manažment očakáva. V dvoch rýchlych krokoch zistíte, kde presne stojíte vy.
Najprv je však potrebné vyjasniť si jeden zásadný fakt, na ktorom záleží viac, než sa na prvý pohľad zdá.
NIS2 vás nezaväzuje — platí slovenský zákon
Smernica NIS2 je európsky právny rámec. Sama o sebe pre domáce firmy neznamená priamu povinnosť — Európska únia ňou iba ukladá členským štátom, aké pravidlá majú zapracovať do svojej vlastnej legislatívy.
Pre vás je smerodajný výhradne slovenský zákon o kybernetickej bezpečnosti — konkrétne zákon č. 69/2018 Z. z. v znení zákona č. 366/2024 Z. z. (skrátene ZoKB), ktorý nadobudol účinnosť od 1. januára 2025. Tento rámec navyše dopĺňa vykonávacia vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach.
Keď teda v biznisovom prostredí počujete pojem „NIS2", v praxi to znamená nutnosť plniť slovenský zákon o kybernetickej bezpečnosti. Pri auditoch, v obchodných zmluvách aj pred Národným bezpečnostným úradom (NBÚ) sa bude každá strana odvolávať na domáce paragrafy, nie na európsku smernicu.
Expresný test: Spadáte pod zákon o kybernetickej bezpečnosti?
Aby na vašu organizáciu dopadli zákonné povinnosti, musíte súčasne naplniť dve kritériá: veľkostné a sektorové.
Krok 1: Veľkostné kritérium podniku
Pod zákon spadáte v prípade, že spĺňate definíciu stredného alebo veľkého podniku, čo znamená, že vaša spoločnosť má:
- 50 a viac zamestnancov, alebo
- ročný obrat alebo celkovú ročnú súvahu nad 10 miliónov €.
(Pozor: ak ste dcérskou spoločnosťou veľkého holdingu, tieto finančné a personálne ukazovatele sa posudzujú za celú skupinu konsolidovane, nie iba za vašu lokálnu entitu.)
Krok 2: Pôsobenie v regulovanom sektore
Zákon rozlišuje odvetvia do dvoch základných kategórií:
- Kritické sektory: energetika, doprava, zdravotníctvo, bankovníctvo a finančné trhy, pitná voda, digitálna infraštruktúra či verejná správa.
- Dôležité sektory: výrobný priemysel (automobily, stroje, elektronika), potravinárstvo, poštové služby a kuriéri, odpadové hospodárstvo, chemický priemysel, digitálne služby (cloudy, online trhoviská, vyhľadávače) a výskum.
Odpovedali ste na obe podmienky áno? Vaša firma pod legislatívu spadá. Vašou povinnosťou je zaregistrovať sa v registri prevádzkovateľov na NBÚ a zaviesť predpísané bezpečnostné opatrenia — vrátane preukázateľného vzdelávania zamestnancov. Podľa odhadov sa táto povinnosť na Slovensku týka približne 9 000 subjektov.
Výnimka: Kedy na veľkosti podniku nezáleží
Existujú špecifické oblasti, kde môžete mať hoci len päť zamestnancov, no legislatíva sa na vás vzťahuje automaticky. Ide o subjekty, ktoré poskytujú:
- DNS služby alebo správu národných domén (napríklad priraďovanie domén .sk),
- dôveryhodné služby (poskytovatelia elektronických podpisov, pečatí a certifikátov),
- verejné elektronické komunikačné siete a s nimi spojené služby.
Čo ak vaša firma pod zákon nespadá?
Aj v prípade, že nesplníte vyššie uvedené kritériá zákona o kybernetickej bezpečnosti, existujú dva zásadné dôvody, prečo by manažment a HR mali pravidelné vzdelávanie ľudí spustiť čo najskôr.
1. Tlak cez dodávateľský reťazec
Veľké organizácie, finančné inštitúcie či priemyselné podniky spadajúce pod zákon majú striktnú povinnosť auditovať a riadiť riziká v celom svojom dodávateľskom reťazci. Ak im dodávate softvér, poskytujete marketingové služby, externé účtovníctvo alebo iné subdodávky, čoskoro od nich dostanete podrobný bezpečnostný dotazník alebo novú prílohu k zmluve.
Budú od vás vyžadovať jasný dôkaz o tom, že vaši zamestnanci prechádzajú školeniami bezpečnosti. Ak tento dôkaz nebudete vedieť predložiť, odberateľ si z logických dôvodov compliance radšej vyberie pripravenú konkurenciu.
2. Povinnosti vyplývajúce z GDPR
Pokiaľ vaša firma pracuje so mzdovými údajmi, faktúrami alebo e-mailovými databázami klientov, plne podliehate európskemu nariadeniu GDPR. Článok 32 tohto nariadenia priamo nariaďuje zaviesť „primerané organizačné opatrenia" na zabezpečenie ochrany osobných údajov.
Pravidelné vzdelávanie personálu je základným organizačným pilierom. Ak dôjde k bezpečnostnému incidentu (napríklad zamestnanec sprístupní firemné dáta cez podvodný e-mail) a vy nebudete vedieť preukázať, že bol v tejto oblasti zaškolený, Úrad na ochranu osobných údajov to môže posúdiť ako zanedbanie povinností a firme udeliť vysokú pokutu.
Dva najčastejšie mýty o kybernetickej bezpečnosti
Mýtus 1: Konateľovi hrozí okamžitá osobná pokuta 5 000 €. V aktuálnom znení zákona o kybernetickej bezpečnosti takéto paušálne ustanovenie o priamej finančnej pokute pre fyzickú osobu — konateľa — neexistuje. Finančné sankcie sú smerované na firmu ako právnickú osobu a môžu dosiahnuť miliónové hodnoty. Osobný postih v podobe dočasného zákazu výkonu riadiacej funkcie sa týka výhradne kritických subjektov osobitného významu. Zákon však jasne definuje, že manažment nesie plnú zodpovednosť za schvaľovanie a dohľad nad kybernetickými opatreniami. Zodpovednosť teda máte vy, hoci pokutu zaplatí spoločnosť.
Mýtus 2: Musíte absolvovať zdĺhavé celodenné školenia. Legislatíva ani audítor neurčujú presnú formu vzdelávania. Statické, niekoľkohodinové prednášky raz za rok neprinášajú reálne výsledky, pretože zamestnanci väčšinu informácií rýchlo zabudnú. Moderné audity plne akceptujú flexibilné a priebežné formy vzdelávania, ktoré sa dajú jednoducho dávkovať podľa potrieb organizácie.
Ako vyriešiť vzdelávanie zamestnancov efektívne
Splniť očakávania regulátora, audítora či kľúčových B2B partnerov nemusí znamenať administratívnu záťaž ani drahé konzultačné projekty.
Platforma PhishMentor je navrhnutá ako modulárny systém, ktorý prispôsobíte presne možnostiam svojej firmy. Celé riešenie vytvorili ľudia z praxe pre reálne potreby slovenského trhu:
- Samostatné kurzy pre NIS2 compliance: rýchle a preukázateľné splnenie legislatívneho základu pre zamestnancov aj manažment.
- Priebežný microlearning: krátke microlearningové kartičky, ktorých prečítanie zaberie len desiatky sekúnd priamo počas bežného pracovného dňa.
- Cvičné phishingové simulácie: bezpečné testy odolnosti, ktoré učia ľudí správne reagovať na podvody v reálnom čase.
Celý systém automaticky zaznamenáva aktivitu a úspešnosť. V prípade kontroly alebo požiadavky od klienta si na jeden klik vyexportujete komplexný a profesionálny report (Audit Trail). Podrobnejšie to rozoberáme v článku Ako preukázať NIS2 školenia aj bez veľkého rozpočtu.
Môžete si nezáväzne vyžiadať včasný prístup do platformy a začať budovať odolnosť firmy flexibilne, krok za krokom.
Prečítajte si viac o tom, ako preukázať bezpečnostné školenia bez veľkého rozpočtu, alebo si pozrite, čo PhishMentor robí.