NIS2 a NBÚ: Akú úlohu zohráva Národný bezpečnostný úrad pri implementácii smernice
- Sep 17, 2025
- 5 minút čítania
Updated: Jan 13
Smernica NIS2 prináša nové povinnosti v oblasti kybernetickej bezpečnosti a ich dodržiavanie bude v Slovenskej republike pod dohľadom Národného bezpečnostného úradu (NBÚ). Ten zohráva kľúčovú úlohu pri dohľade nad implementáciou smernice, vydávaní metodických usmernení a ukladaní sankcií. Pre nastavenie ďalších krokov je rozhodujúce, koho sa NIS2 týka a aké povinnosti prináša.
NBÚ je ústredným orgánom štátnej správy pre oblasť kybernetickej bezpečnosti. V praxi to znamená, že stanovuje pravidlá, vykonáva kontroly a je oprávnený ukladať pokuty za nesplnenie povinností vyplývajúcich z legislatívy.
Pri implementácii NIS2 bude úrad nielen dohliadať na súlad organizácií s novými požiadavkami, ale zároveň poskytovať rámec, podľa ktorého majú firmy a inštitúcie postupovať. Pre subjekty, ktoré spadajú pod smernicu, je preto NBÚ hlavným partnerom, ale aj kontrolným orgánom, ktorého požiadavky musia vedieť splniť.
Aké kompetencie má NBÚ v oblasti NIS2
Národný bezpečnostný úrad je v Slovenskej republike centrálnym orgánom pre oblasť kybernetickej bezpečnosti. V súvislosti s implementáciou NIS2 zastáva viacero kľúčových kompetencií:
Dohľad nad dodržiavaním povinností – NBÚ je oprávnený vykonávať kontroly u regulovaných subjektov podľa zákona o kybernetickej bezpečnosti – najmä subjektov spadajúcich do sektorov podľa Príloh I/II NIS2 (kategórie essential/important), aby preveril, či majú zavedené opatrenia v súlade so smernicou.
Metodické usmernenia – úrad vydáva vyhlášky a príručky, ktoré vysvetľujú, ako majú organizácie postupovať pri riadení rizík, hlásení incidentov či vypracovaní dokumentácie.
Koordinácia s európskymi inštitúciami – NBÚ komunikuje s Európskou komisiou a ENISA a zabezpečuje jednotnú aplikáciu pravidiel v slovenskom prostredí.
Ukladanie sankcií – v prípade zistenia nedostatkov môže NBÚ uložiť pokutu, ktorá sa pohybuje od niekoľko tisíc eur až po miliónové sumy pri závažných porušeniach.
NBÚ teda zohráva dvojitú úlohu – je partnerom, ktorý firmám poskytuje rámec a metodickú podporu, no zároveň je aj dohľadovým orgánom, ktorý má kompetenciu vyvodzovať dôsledky pri nesúlade.
NBÚ a legislatívny rámec
Úloha NBÚ pri implementácii NIS2 vychádza zo slovenského legislatívneho prostredia. Základným dokumentom je zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorý stanovuje povinnosti prevádzkovateľov základnej služby a ďalších regulovaných subjektov. V kontexte NIS2 sa tieto subjekty klasifikujú ako kľúčové (essential) a dôležité (important) podľa Príloh I a II. Transpozíciu NIS2 zabezpečila novela zákonom č. 366/2024 Z. z., účinná od 1. 1. 2025; NBÚ k nej vydáva vykonávacie predpisy a metodické usmernenia.
NBÚ je orgánom, ktorý pripravuje a vydáva vykonávacie vyhlášky – napríklad k spôsobu vykonania analýzy rizík, kategorizácii incidentov alebo požiadavkám na dokumentáciu. Tieto usmernenia slúžia ako praktický návod pre organizácie, ako postupovať, aby splnili zákonné povinnosti.
Okrem toho NBÚ zabezpečuje aj prepojenie slovenskej legislatívy s európskou úrovňou. To znamená, že dohliada na zosúladenie zákona o kybernetickej bezpečnosti so smernicou NIS2 a zároveň zodpovedá za komunikáciu s inštitúciami EÚ pri koordinácii bezpečnostných opatrení.
Ako prebieha kontrola zo strany NBÚ
Kontrola NBÚ má preveriť, či organizácia plní povinnosti vyplývajúce zo zákona o kybernetickej bezpečnosti a smernice NIS2. V praxi sa zameriava na viacero oblastí:
Dokumentáciu a procesy – NBÚ skúma, či má firma vypracovanú analýzu rizík, bezpečnostnú politiku, plán reakcie na incidenty a ďalšie povinné dokumenty.
Technické a organizačné opatrenia – úrad preveruje, či organizácia reálne zaviedla opatrenia ako segmentácia sietí, riadenie prístupov, zálohovanie alebo školenia zamestnancov.
Evidenciu incidentov – súčasťou kontroly je aj posúdenie, ako firma vedie záznamy o bezpečnostných incidentoch, či boli nahlásené v požadovanej lehote a aké kroky sa prijali na ich odstránenie.
Zodpovednosti vedenia – NBÚ sleduje, či je kybernetická bezpečnosť ukotvená v riadení spoločnosti a či má vedenie prehľad o prijatých opatreniach.
Samotná kontrola môže prebiehať na mieste (inšpekcia) u prevádzkovateľa alebo administratívnym posúdením predloženej dokumentácie. Výsledkom je správa, ktorá obsahuje zistenia, odporúčania a v prípade nedostatkov aj návrh sankcií.
Sankcie a dôsledky nesúladu
Nesplnenie povinností vyplývajúcich zo zákona o kybernetickej bezpečnosti a smernice NIS2 môže mať pre organizácie vážne následky. NBÚ je oprávnený ukladať sankcie podľa závažnosti porušenia:
menej závažné porušenia – pokuty určí NBÚ podľa závažnosti a okolností prípadu; horné limity stanovuje NIS2 pre jednotlivé kategórie subjektov,
závažné porušenia (u „important entities“) – až do 7 miliónov € alebo 1,4 % celosvetového obratu ort(podľa toho, čo je vyššie),
najvážnejšie porušenia (u „essential entities“) – až do 10 miliónov € alebo 2 % celosvetového obratu (podľa toho, čo je vyššie; podľa čl. 34 NIS2).
Okrem finančných sankcií môže NBÚ uložiť aj nápravné opatrenia, ktoré musí organizácia vykonať v určenej lehote. V slovenskej praxi sa to potom celé stretáva v jednej téme: povinnosti, kontroly NBÚ a sankcie. To znamená nielen dodatočné náklady, ale aj reputačné riziko – informácia o porušení sa môže dostať k obchodným partnerom či verejnosti.
NIS2 tak dáva NBÚ do rúk silný nástroj, ktorý má motivovať firmy, aby kybernetickú bezpečnosť nebrali ako formalitu, ale ako strategickú prioritu.
Ako NBÚ podporuje organizácie
Úlohou NBÚ nie je len kontrolovať a sankcionovať, ale aj pomáhať organizáciám s implementáciou povinností. Úrad preto poskytuje viacero foriem podpory:
Metodické príručky a vyhlášky – NBÚ publikuje detailné usmernenia, ktoré vysvetľujú, ako majú subjekty postupovať pri analýze rizík, kategorizácii incidentov či nastavovaní bezpečnostných politík.
Odborné školenia a workshopy – v spolupráci s partnermi pripravuje školenia pre bezpečnostných manažérov a IT špecialistov, aby vedeli v praxi aplikovať legislatívne požiadavky.
Koordinácia na európskej úrovni – NBÚ sprostredkúva odporúčania a metodiky od ENISA (Európskej agentúry pre kybernetickú bezpečnosť), čím pomáha harmonizovať postupy na Slovensku s európskou praxou.
Konzultácie a komunikácia – firmy sa môžu na NBÚ obrátiť s otázkami a získať usmernenie, ako správne postupovať pri plnení povinností.
Táto podporná úloha je dôležitá najmä pre menšie a stredne veľké organizácie, ktoré často nemajú vlastné rozsiahle bezpečnostné tímy. NBÚ im poskytuje rámec a nástroje, aby zvládli povinnosti NIS2 bez zbytočnej administratívnej záťaže.
Ako sa na NBÚ pripraviť
Organizácie, ktoré spadajú pod NIS2, by mali počítať s tým, že NBÚ bude vyžadovať prehľadnú dokumentáciu a jasné dôkazy o zavedených opatreniach. Príprava preto zahŕňa niekoľko praktických krokov:
mať vypracovanú analýzu rizík a pravidelne ju aktualizovať,
uchovávať záznamy o incidentoch a vedieť preukázať, že boli hlásené v stanovenej lehote,
predložiť bezpečnostné politiky a postupy – od riadenia prístupov po plán reakcie na incidenty,
doložiť zapojenie vedenia firmy do rozhodovania o kybernetickej bezpečnosti,
preukázať školenia zamestnancov a zvyšovanie ich povedomia.
Najjednoduchšie sa tieto povinnosti spravujú prostredníctvom špecializovaných nástrojov, ktoré umožňujú centralizovať všetky dokumenty, reporty a záznamy. Firma tak môže pri kontrole zo strany NBÚ preukázať svoju pripravenosť bez chaosu a časovej tiesne.
Záver
NIS2 prináša pre slovenské firmy a inštitúcie nové povinnosti a do centra diania stavia Národný bezpečnostný úrad. NBÚ je dohľadovým aj metodickým orgánom – stanovuje pravidlá, vykonáva kontroly a zároveň poskytuje rámec, podľa ktorého sa majú organizácie riadiť. Je preto jasné, že úspešná príprava na NIS2 znamená mať dokumentáciu, procesy aj technické opatrenia v poriadku a kedykoľvek pripravené na preukázanie.
Ak chcete mať istotu, že pri kontrole NBÚ splní vaša organizácia všetky požiadavky a vyhnete sa vysokým sankciám, môžete sa spoľahnúť na RiskMinder. Nástroj, ktorý vám umožní vypracovať Analýzu rizík v súlade s legislatívou, viesť dokumentáciu a mať všetko pod kontrolou na jednom mieste.
Rozpoznajte riziká a chráňte svoju firmu. Chcete vyskúšať RiskMinder, obstarať cenovú ponuku alebo máte otázky? Napíšte nám.
FAQ
Čo robí NBÚ pri NIS2?
Dohliada na súlad so smernicou NIS2, vydáva metodické usmernenia/vyhlášky, koordinuje s EK a ENISA a ukladá sankcie. Je partner aj kontrolný orgán.
Týka sa nás NIS2 a dohľad NBÚ?
Ak patríte medzi „essential/important“ subjekty podľa Príloh I/II NIS2 (kritické sektory) a spĺňate veľkostné kritériá, spadáte pod povinnosti a dohľad NBÚ.
Ako prebieha kontrola NBÚ?
Preverí dokumentáciu a procesy (analýza rizík, politiky, plán reakcie), technické/organizačné opatrenia, evidenciu a hlásenie incidentov a zapojenie vedenia. Môže byť na mieste alebo administratívna; výsledkom je správa s nápravou/sankciami.
Aké dokumenty NBÚ vyžaduje?
Aktuálnu analýzu rizík, bezpečnostné politiky a postupy (vrátane riadenia prístupov a reakcie na incidenty), záznamy o incidentoch s dodržanými lehotami a dôkazy o školeniach a zodpovednosti vedenia.
Ktoré opatrenia NBÚ kontroluje?
Najmä primerané technické a organizačné opatrenia: segmentáciu sietí, riadenie prístupov, zálohovanie, školenia zamestnancov a celkové riadenie rizík.
Aké pokuty a nápravné opatrenia hrozia?
Important: až 7 mil. € alebo 1,4 % celosvetového obratu (podľa vyššej hodnoty). Essential: až 10 mil. € alebo 2 %. NBÚ môže nariadiť aj nápravu v stanovenej lehote.
Odkedy platí NIS2 a aký je právny rámec?
Základ: zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti. Transpozícia NIS2: zákon č. 366/2024 Z. z., účinný od 1. 1. 2025; NBÚ vydáva vykonávacie predpisy a metodické usmernenia.
Komentáre