NIS2zákon o kybernetickej bezpečnosticompliancemanažmentGDPRškolenia zamestnancov

Spadá moja firma pod NIS2? Rýchly test pre manažérov a HR

30. mája 2026·5 min čítania

„NIS2." Dve písmená a číslo, ktoré vám buď nedajú spať, alebo nad nimi mávnete rukou s pocitom, že stredne veľké podniky sa v obrej IT regulácii stratia. Oboje vás však môže vyjsť draho. Nová kybernetická legislatíva sa slovenských firiem dotýka oveľa skôr, než manažment očakáva. V dvoch rýchlych krokoch zistíte, kde presne stojíte vy.

Najprv je však potrebné vyjasniť si jeden zásadný fakt, na ktorom záleží viac, než sa na prvý pohľad zdá.

NIS2 vás nezaväzuje — platí slovenský zákon

Smernica NIS2 je európsky právny rámec. Sama o sebe pre domáce firmy neznamená priamu povinnosť — Európska únia ňou iba ukladá členským štátom, aké pravidlá majú zapracovať do svojej vlastnej legislatívy.

Pre vás je smerodajný výhradne slovenský zákon o kybernetickej bezpečnosti — konkrétne zákon č. 69/2018 Z. z. v znení zákona č. 366/2024 Z. z. (skrátene ZoKB), ktorý nadobudol účinnosť od 1. januára 2025. Tento rámec navyše dopĺňa vykonávacia vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach.

Keď teda v biznisovom prostredí počujete pojem „NIS2", v praxi to znamená nutnosť plniť slovenský zákon o kybernetickej bezpečnosti. Pri auditoch, v obchodných zmluvách aj pred Národným bezpečnostným úradom (NBÚ) sa bude každá strana odvolávať na domáce paragrafy, nie na európsku smernicu.

Expresný test: Spadáte pod zákon o kybernetickej bezpečnosti?

Aby na vašu organizáciu dopadli zákonné povinnosti, musíte súčasne naplniť dve kritériá: veľkostné a sektorové.

Krok 1: Veľkostné kritérium podniku

Pod zákon spadáte v prípade, že spĺňate definíciu stredného alebo veľkého podniku, čo znamená, že vaša spoločnosť má:

(Pozor: ak ste dcérskou spoločnosťou veľkého holdingu, tieto finančné a personálne ukazovatele sa posudzujú za celú skupinu konsolidovane, nie iba za vašu lokálnu entitu.)

Krok 2: Pôsobenie v regulovanom sektore

Zákon rozlišuje odvetvia do dvoch základných kategórií:

Odpovedali ste na obe podmienky áno? Vaša firma pod legislatívu spadá. Vašou povinnosťou je zaregistrovať sa v registri prevádzkovateľov na NBÚ a zaviesť predpísané bezpečnostné opatrenia — vrátane preukázateľného vzdelávania zamestnancov. Podľa odhadov sa táto povinnosť na Slovensku týka približne 9 000 subjektov.

Výnimka: Kedy na veľkosti podniku nezáleží

Existujú špecifické oblasti, kde môžete mať hoci len päť zamestnancov, no legislatíva sa na vás vzťahuje automaticky. Ide o subjekty, ktoré poskytujú:

Čo ak vaša firma pod zákon nespadá?

Aj v prípade, že nesplníte vyššie uvedené kritériá zákona o kybernetickej bezpečnosti, existujú dva zásadné dôvody, prečo by manažment a HR mali pravidelné vzdelávanie ľudí spustiť čo najskôr.

1. Tlak cez dodávateľský reťazec

Veľké organizácie, finančné inštitúcie či priemyselné podniky spadajúce pod zákon majú striktnú povinnosť auditovať a riadiť riziká v celom svojom dodávateľskom reťazci. Ak im dodávate softvér, poskytujete marketingové služby, externé účtovníctvo alebo iné subdodávky, čoskoro od nich dostanete podrobný bezpečnostný dotazník alebo novú prílohu k zmluve.

Budú od vás vyžadovať jasný dôkaz o tom, že vaši zamestnanci prechádzajú školeniami bezpečnosti. Ak tento dôkaz nebudete vedieť predložiť, odberateľ si z logických dôvodov compliance radšej vyberie pripravenú konkurenciu.

2. Povinnosti vyplývajúce z GDPR

Pokiaľ vaša firma pracuje so mzdovými údajmi, faktúrami alebo e-mailovými databázami klientov, plne podliehate európskemu nariadeniu GDPR. Článok 32 tohto nariadenia priamo nariaďuje zaviesť „primerané organizačné opatrenia" na zabezpečenie ochrany osobných údajov.

Pravidelné vzdelávanie personálu je základným organizačným pilierom. Ak dôjde k bezpečnostnému incidentu (napríklad zamestnanec sprístupní firemné dáta cez podvodný e-mail) a vy nebudete vedieť preukázať, že bol v tejto oblasti zaškolený, Úrad na ochranu osobných údajov to môže posúdiť ako zanedbanie povinností a firme udeliť vysokú pokutu.

Dva najčastejšie mýty o kybernetickej bezpečnosti

Mýtus 1: Konateľovi hrozí okamžitá osobná pokuta 5 000 €. V aktuálnom znení zákona o kybernetickej bezpečnosti takéto paušálne ustanovenie o priamej finančnej pokute pre fyzickú osobu — konateľa — neexistuje. Finančné sankcie sú smerované na firmu ako právnickú osobu a môžu dosiahnuť miliónové hodnoty. Osobný postih v podobe dočasného zákazu výkonu riadiacej funkcie sa týka výhradne kritických subjektov osobitného významu. Zákon však jasne definuje, že manažment nesie plnú zodpovednosť za schvaľovanie a dohľad nad kybernetickými opatreniami. Zodpovednosť teda máte vy, hoci pokutu zaplatí spoločnosť.

Mýtus 2: Musíte absolvovať zdĺhavé celodenné školenia. Legislatíva ani audítor neurčujú presnú formu vzdelávania. Statické, niekoľkohodinové prednášky raz za rok neprinášajú reálne výsledky, pretože zamestnanci väčšinu informácií rýchlo zabudnú. Moderné audity plne akceptujú flexibilné a priebežné formy vzdelávania, ktoré sa dajú jednoducho dávkovať podľa potrieb organizácie.

Ako vyriešiť vzdelávanie zamestnancov efektívne

Splniť očakávania regulátora, audítora či kľúčových B2B partnerov nemusí znamenať administratívnu záťaž ani drahé konzultačné projekty.

Platforma PhishMentor je navrhnutá ako modulárny systém, ktorý prispôsobíte presne možnostiam svojej firmy. Celé riešenie vytvorili ľudia z praxe pre reálne potreby slovenského trhu:

Celý systém automaticky zaznamenáva aktivitu a úspešnosť. V prípade kontroly alebo požiadavky od klienta si na jeden klik vyexportujete komplexný a profesionálny report (Audit Trail). Podrobnejšie to rozoberáme v článku Ako preukázať NIS2 školenia aj bez veľkého rozpočtu.

Môžete si nezáväzne vyžiadať včasný prístup do platformy a začať budovať odolnosť firmy flexibilne, krok za krokom.

Prečítajte si viac o tom, ako preukázať bezpečnostné školenia bez veľkého rozpočtu, alebo si pozrite, čo PhishMentor robí.

Zdroje

Časté otázky

Ako rýchlo zistím, či moja firma spadá pod zákon o kybernetickej bezpečnosti?

+
Položte si dve otázky. Po prvé: pôsobí vaša firma v regulovanom sektore (energetika, doprava, zdravotníctvo, výroba, finančné trhy a pod.)? Po druhé: máte aspoň 50 zamestnancov alebo ročný obrat či súvahu od 10 mil. €? Ak sú obe odpovede áno, s veľkou pravdepodobnosťou pod zákon spadáte. Pozor však na špecifické výnimky, kde veľkosť podniku nerozhoduje.

Sme menší podnik do 50 zamestnancov. Naozaj sa nás legislatíva netýka?

+
Vo väčšine prípadov menšie firmy pod zákon o kybernetickej bezpečnosti nespadajú. Existujú však výnimky, kde veľkosť nerozhoduje — napríklad poskytovatelia DNS služieb, správcovia domén či dôveryhodné služby. Zároveň platí, že aj keď firma nespadá pod zákon priamo, partneri a veľkí odberatelia ju k bezpečnostným školeniam môžu zaviazať zmluvne v rámci ochrany dodávateľského reťazca.

Ako PhishMentor pomáha splniť povinnosti pre NIS2 a GDPR audit?

+
Legislatíva vyžaduje preukázateľné a pravidelné vzdelávanie ľudí v oblasti IT bezpečnosti. PhishMentor automaticky zaznamenáva aktivitu každého používateľa (kto, kedy a aké školenie absolvoval). Jedným kliknutím vygenerujete komplexný report (Audit Trail) pre kontrolu NBÚ alebo dotazníky pre B2B klientov. Podrobný návod nájdete v našom článku Ako preukázať NIS2 školenia aj bez veľkého rozpočtu.

Sú vzdelávacie kurzy a phishingové scenáre prispôsobené pre slovenský trh?

+
Áno, celá platforma a jej obsah sú kompletne v slovenčine. Naším cieľom nie je ponúkať genericky preložené šablóny z amerického prostredia, ktoré v našich podmienkach nefungujú. Všetky vzdelávacie moduly aj simulácie sú navrhnuté ľuďmi z praxe a šité na mieru slovenskému firemnému trhu vrátane našich špecifických komunikačných zvyklostí.

Majte pokoj pri audite aj pri kontrole zmluvy

PhishMentor vám dá preukázateľné vzdelávanie zamestnancov prispôsobené vašim možnostiam — samostatné e-learningové kurzy pre NIS2, priebežný microlearning alebo cvičné phishingové simulácie. Všetko s prehľadným reportom pre audítora na pár klikov.

Získať včasný prístup →