Kybernetická bezpečnosť: zákon a čo z neho v praxi vyplýva pre firmy

Keď sa povie „kybernetická bezpečnosť zákon“, veľa firiem si predstaví najmä pokuty a administratívu. V praxi však ide o niečo jednoduchšie: mať systém, vďaka ktorému viete riadiť riziká, zvládnuť incident a preukázať, že bezpečnosť riešite zodpovedne. 

Na Slovensku je základným rámcom zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti. Od 1. januára 2025 je účinná novela, ktorá do slovenského prostredia implementuje požiadavky smernice NIS2. 

Tento článok je praktický prehľad pre firmy: ako sa na zákon pozerať, čo si nastaviť a kde sa najčastejšie robia chyby. Pri konkrétnych povinnostiach a výklade sa oplatí sledovať usmernenia NBÚ a konzultovať postup s odborníkom. 

Kybernetická bezpečnosť zákon na Slovensku: ktorý rámec platí

Zákon o kybernetickej bezpečnosti upravuje najmä: 

• postavenie a povinnosti prevádzkovateľa základnej služby, 

• bezpečnostné opatrenia, 

• hlásenie incidentov a hrozieb, 

• riešenie kybernetických incidentov. 

Dôležitý je aj dohľad NBÚ a súvisiace vykonávacie predpisy (vyhlášky), ktoré idú viac do detailu (napríklad ako má vyzerať prístup k opatreniam, dokumentácii či auditu). 

NIS2 a novela účinná od 1. januára 2025 

Smernica NIS2 rozšírila okruh regulovaných subjektov a posilnila dôraz na riadenie rizík, zodpovednosť vedenia a pripravenosť na incidenty. Na Slovensku sa jej požiadavky premietli do novely zákona, ktorá nadobudla účinnosť 1. januára 2025. 

Ak ste doteraz zákon riešili skôr „okrajovo“, od roku 2025 môže byť situácia iná najmä pre firmy v sektoroch a službách, ktoré sa považujú za významné alebo kritické. 

Koho sa zákon týka a prečo je dôležitý register NBÚ 

V praxi je najdôležitejšia otázka: spadáte pod zákon ako prevádzkovateľ základnej služby?

NBÚ to formuluje veľmi priamo: prevádzkovateľom základnej služby je ten, kto je zapísaný v registri prevádzkovateľov základnej služby. 

Preto je dobrý prvý krok vždy „overenie statusu“ a práca s tým, čo je uvedené v registri a v sektore alebo činnosti, v ktorom pôsobíte. 

Čo je jadrom povinností v praxi 

1. Riadenie rizík nie je „papier“, ale poradie priorít 

Zákon aj prax NBÚ stoja na tom, že opatrenia majú vychádzať z analýzy rizík. To znamená, že najprv potrebujete vedieť: 

• aké aktíva a procesy sú pre vás kritické, 

• aké hrozby a zraniteľnosti sú reálne, 

• aký je dopad a pravdepodobnosť, 

• ktoré riziká sú kritické, vysoké, stredné a nízke. 

Bez toho sa bezpečnosť mení na zoznam „opatrení bez poradia“ a veľmi ľahko sa investuje do vecí, ktoré nechránia to podstatné. 

2. Incidenty a hlásenia: proces je rovnako dôležitý ako technika

Pri incidente často rozhodujú prvé hodiny. V praxi sa oplatí mať pripravené: 

• kto incident vyhodnocuje a kto rozhoduje, 

• kto komunikuje interne a navonok, 

• kto pripravuje podklady k hláseniu, 

• aké systémy a dáta sú najkritickejšie (aby ste vedeli, čo riešiť prednostne). 

NBÚ zároveň prevádzkuje Jednotný informačný systém kybernetickej bezpečnosti, ktorý slúži ako komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov. 

3. Audit a preukázateľnosť: bez dôkazov je všetko „len tvrdenie“

Aj keď máte bezpečnosť nastavenú rozumne, pri kontrole alebo audite sa hodnotí aj to, či viete postupy preukázať. Tu často vzniká rozdiel medzi „vieme to“ a „vieme to ukázať“. 

Prehľadné výstupy typicky zahŕňajú: 

• metodiku hodnotenia rizík (škály dopadu a pravdepodobnosti), 

• register aktív, hrozieb, zraniteľností a rizík, 

• evidenciu rozhodnutí (priorita, vlastník rizika, prijaté rozhodnutie), 

• pravidelnú revíziu (čo sa zmenilo a prečo). 

4. Zodpovednosť a roly: bezpečnosť nie je len úloha IT

Najväčšie riziká často nevznikajú v „technike“, ale v procesoch: platby, prístupy, dodávatelia, zdieľanie dát, schvaľovanie zmien. Preto je dôležité mať vlastníkov rizík aj mimo IT. 

V praxi sa osvedčí: 

• určiť vlastníkov rizík podľa procesov (financie, obchod, prevádzka, HR), 

• nastaviť eskalačný model (kedy ide rozhodnutie na vedenie), 

• mať jednoduché pravidlá pre prístupy a zmeny (aby nevznikali „historické“ oprávnenia). 

Ako začať, aby z toho nebol chaos 

Ak potrebujete urobiť rýchlo poriadok, funguje tento postup: 

1. Overte, či sa vás zákon týka (a či nie ste v registri NBÚ)

   Je to najrýchlejší spôsob, ako oddeliť „prípravu“ od „povinnej zhody“. 

2. Zmapujte kritické aktíva a procesy

   Začnite tým, čo by vám zastavilo firmu: identita a e-mail, účtovníctvo, platby, objednávky, CRM, zákaznícke dáta, kľúčoví dodávatelia. 

3. Zaveďte jednoduchú metodiku hodnotenia rizík

   Dopad × pravdepodobnosť, jasné škály, krátky popis kritérií. Dôležitá je konzistentnosť, nie dokonalá matematika. 

4. Urobte prvý register rizík a určte priority

   Radšej 20 reálnych rizík s jasnými vlastníkmi než 200 položiek bez použitia. 

5. Nastavte minimálny incidentový režim

   Kontakty, postupy, základné rozhodovacie pravidlá a komunikačný rámec. 

6. Nastavte pravidelnú revíziu 

   Bez revízie sa z dokumentácie stáva „minulosť“. Revízia raz za štvrťrok alebo polrok býva praktická vo väčšine firiem. 

Najčastejšie chyby, ktoré firmy robia 

• Opatrenia bez analýzy rizík: investuje sa „podľa zoznamu“, nie podľa dopadu na firmu.

• Nejasné vlastníctvo rizík: všetko je na IT, aj keď dopady sú obchodné a prevádzkové. 

• Zlé škály a hodnotenie „pocitovo“: výsledkom je matica, v ktorej je všetko „stredné“. 

• Incidentový režim len na papieri: pri udalosti nie je jasné, kto rozhoduje a kto komunikuje. 

• Výstupy nie sú preukázateľné: firma má predstavu, ale nevie ju zrozumiteľne doložiť. 

Ako pomáha RiskMinder 

Pri súlade so zákonom firmy zvyčajne nezlyhajú na pojmoch. Zlyhajú na udržateľnosti: rôzne verzie tabuliek, neporovnateľné hodnotenia, nejasní vlastníci rizík a chýbajúce výstupy pre vedenie či audit. 

RiskMinder je postavený na „papierovo-procesnej“ časti riadenia rizík a súladu tak, aby ste mali riziká a dokumentačné výstupy udržateľné aj v čase. 

V praxi vie podporiť najmä túto časť: 

• viesť register aktív, hrozieb, zraniteľností a rizík v jednom prostredí, 

• používať jednotný risk scoring naviazaný na NIS2, zákon o kybernetickej bezpečnosti, NBÚ a ISO 27001, 

• priraďovať vlastníkov rizík, plánovať opatrenia a sledovať stav a vývoj riadených rizík (neriešené, znížené, zvyškové, akceptované), 

• využívať prednastavené katalógy a dopĺňať ich podľa potrieb, 

• generovať audit-ready reporty pre vedenie a audítora, využiteľné aj pri dohľade NBÚ. 

Ak má mať „kybernetická bezpečnosť zákon“ pre firmu praktický význam, cieľom nie je mať najdlhšiu dokumentáciu. Cieľom je mať prehľad v rizikách, jasné priority, zodpovednosti a výstupy, ktoré viete obhájiť vtedy, keď to bude potrebné. 

FAQ