NIS2 deadline: Kľúčové míľniky, ktoré firmy nesmú zmeškať

Keď sa dnes vo firme spýtate, kedy je NIS2 deadline, väčšina odpovedí sa bude točiť okolo dátumu 17. októbra 2024. Časť ľudí pozná aj 1. januára 2025, keď na Slovensku začala platiť novela zákona o kybernetickej bezpečnosti. 

V praxi však neexistuje jeden magický dátum, po ktorom je „hotovo“. NIS2 prináša viacero lehôt – od transpozície smernice, cez účinnosť zákona, až po: 

• registráciu na NBÚ, 

• termíny na zavedenie bezpečnostných opatrení, 

• prvý audit, 

• a veľmi krátke lehoty pri hlásení incidentov. 

Tento článok vám dá prehľad kľúčových NIS2 deadlinov z pohľadu firmy – najmä na Slovensku – a návod, ako si z nich spraviť reálny plán, nielen stres v kalendári. 

Čo vlastne znamená „NIS2 deadline“ 

1. Európsky deadline pre štáty Kedy mali členské štáty prebrať smernicu NIS2 do svojich zákonov. 

2. Národný deadline – účinnosť zákona Odkedy platia nové povinnosti pre firmy v konkrétnej krajine (u nás novela zákona o kybernetickej bezpečnosti). 

3. Deadline pre konkrétnu firmu

   Lehoty na: 

   a) registráciu na NBÚ, 

   b) zavedenie opatrení, 

   c) prvý audit, 

   d) hlásenie incidentov. 

Ak chcete mať v NIS2 jasno, je dôležité tieto tri pohľady od seba oddeliť. Inak sa ľahko stane, že „oslavujete“, že ste prežili 17. októbra 2024 – ale uniknú vám lehoty, za ktoré už hrozia pokuty. 

NIS2 timeline na úrovni EÚ 

Stručne, čo sa dialo na úrovni EÚ: 

• 16. januára 2023 – NIS2 vstúpila do platnosti na úrovni EÚ. 

• 17. októbra 2024 – deadline, dokedy mali členské štáty transponovať NIS2 do svojich národných zákonov. 

• 18. októbra 2024 – od tohto dátumu sa majú aplikovať nové národné pravidlá; pôvodná NIS1 bola zrušená. 

Pre firmy z toho plynie jedno: od jesene 2024 sa NIS2 prestala riešiť ako „čo raz bude“, ale ako konkrétne povinnosti v národnom zákone. 

Kľúčové NIS2 deadliny pre firmy na Slovensku 

Tu už ideme k veci – dátumy, ktoré sú relevantné pre slovenské firmy. 

1. január 2025 – účinnosť novely zákona o kybernetickej bezpečnosti 

Novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti nadobudla účinnosť 1. januára 2025 a implementuje NIS2 do slovenského právneho poriadku. 

Od tohto dňa: 

• sa rozšíril okruh subjektov, ktorých sa zákon týka (t. j. koho sa NIS2 týka), 

• pribudli nové povinnosti (analýza rizík, bezpečnostné opatrenia, audity), 

• začali plynúť prvé lehoty (registrácia, opatrenia, audity).

   

NBÚ register: Prvý NIS2 deadline pre mnoho firiem 

Pre subjekty, ktoré spĺňali kritériá už k 1. 1. 2025, platila povinnosť registrovať sa na NBÚ do 60 dní, t. j. do začiatku marca 2025 (uvádza sa dátum 2. 3. 2025). 

V praxi: 

• ak ste už pred novelou boli prevádzkovateľ základnej služby alebo prevádzkovateľ digitálnej služby, 

• alebo ste novou úpravou spadli do pôsobnosti zákona, 

• mali ste povinnosť oznámiť činnosť NBÚ v tejto lehote (pri niektorých subjektoch sa bralo, že sú v registri „automaticky“, ale povinnosti im bežia ďalej). 

Ak firma nestihla registráciu včas, neznamená to, že povinnosti zmizli – len sa vystavuje riziku pokút. Z pohľadu NBÚ je oneskorená registrácia stále lepšia ako žiadna. 

60 dní od začiatku činnosti – pre nové subjekty 

Ak sa firma stane subjektom podliehajúcim ZoKB až neskôr (napr. narastie, získa novú službu, vstúpi do regulovaného sektora), platí pre ňu: 

• povinnosť oznámiť začatie činnosti NBÚ, 

• do 60 dní od začiatku činnosti podľa zákona. 

To znamená, že NIS2 deadline je pre každú firmu trochu iný – závisí od toho, kedy sa dostane „do hry“. 

12 mesiacov na zavedenie bezpečnostných opatrení 

Po zápise do registra má organizácia 12 mesiacov, aby: 

• vykonala analýzu rizík, 

• implementovala bezpečnostné opatrenia podľa zákona a vykonávacích vyhlášok, 

• pripravila dokumentáciu a interné procesy. 

Inými slovami: 12 mesiacov od zápisu do registra = deadline na to, aby NIS2 nebola len „projekt na papieri“, ale reálne zavedený systém. 

2 roky na prvý audit od zápisu do registra 

Ďalšia dôležitá lehota je viazaná na audit kybernetickej bezpečnosti: 

• prvý audit treba vykonať do 2 rokov od zápisu do registra, 

• pri niektorých kategóriách subjektov sa môže prvý audit nahradiť samohodnotením (podľa aktuálnych prechodných ustanovení). 

A potom: 

• audity sa opakujú v pravidelných intervaloch (štandardne každé 2 roky – závisí od kategórie a detailov zákona). 

NIS2 deadliny pri incidentoch: 24/72 hodín a 1 mesiac 

Okrem „veľkých“ dátumov má NIS2 aj krátke lehoty, ktoré začnú byť dôležité, keď sa niečo naozaj stane. 

Smernica (a národná úprava) prináša lehoty na hlásenie závažných incidentov: 

• 24 hodín – včasné varovanie (early warning) po tom, čo sa o incidente dozviete, 

• 72 hodín – podrobnejšia správa o incidente, 

• 1 mesiac – finálna správa po prijatí opatrení. 

Tieto NIS2 deadliny sú kritické: 

• vyžadujú pripravený proces reakcie na incidenty, 

• musíte mať jasne určené roly (kto nahlasuje, kto schvaľuje, kto komunikuje s NBÚ), 

• potrebujete mať rýchly prístup k informáciám: aké systémy sú dotknuté, aké údaje, aké opatrenia existovali „pred incidentom“. 

Ako si z NIS2 deadlinov spraviť plán, nielen stres 

Namiesto sledovania jedného dátumu v kalendári je lepšie vytvoriť si NIS2 roadmapu. Prakticky to môže vyzerať takto: 

0 – 3 mesiace: Identifikácia a registrácia 

• zistite, či spadáte pod zákon (podľa sektorov, veľkosti, typu služby), 

• určite zodpovednú osobu / tím (manažér kybernetickej bezpečnosti), 

• ak ste v pôsobnosti ZoKB, vybavte registráciu na NBÚ, ak to ešte nemáte. 

3 – 9 mesiacov: Analýza rizík a dizajn opatrení 

• spravte prehľad aktív a kritických procesov, 

• vykonajte analýzu rizík, 

• definujte, aké opatrenia sú potrebné (technické, organizačné, procesné), 

• pripravte politiku kybernetickej bezpečnosti a základné smernice. 

9 – 12 mesiacov: Implementácia a dokumentácia 

• implementujte technické opatrenia (prístupy, zálohy, monitoring, patch management…), 

• dolaďte procesy (incidenty, zmeny, dodávatelia), 

• dotiahnite dokumentáciu tak, aby bola preukázateľná – nielen formálna. 

12 – 24 mesiacov: Audit a zlepšovanie 

• pripravte sa na prvý audit (alebo samohodnotenie, ak to na vás sedí), 

• zapracujte zistenia z auditu, 

• nastavte si pravidelný reporting pre vedenie. 

Takto z „NIS2 deadline“ urobíte projekt so zmysluplnými míľnikmi, nielen dátum, ktorý vyvoláva paniku. 

Najčastejšie chyby okolo NIS2 deadlinov 

Pri príprave na NIS2 sa opakujú tie isté omyly: 

1. Fokus len na jeden dátum (17. 10. 2024 alebo 1. 1. 2025) Firma si odškrtne „NIS2 deadline“ a ignoruje ďalšie lehoty – registráciu, 12 mesiacov na opatrenia či 2 roky na audit. 

2. Čakanie na „definitívne“ vyhlášky Namiesto prípravy rizík, registra aktív a základných opatrení sa len sledujú novinky. Výsledkom je málo času na reálnu implementáciu. 

3. Podcenenie registrácie na NBÚ Registrácia sa berie ako formalita „niekedy potom“, pritom za jej zmeškanie už hrozia pokuty. 

4. Neriešenie incidentových lehôt Firma rieši politiku a dokumentáciu, ale nemá prakticky nacvičené, čo spraví pri incidente, ktorý treba nahlásiť do 24 hodín. 

5. Žiadny plán, len reakcia na e-maily Bez jasnej roadmapy sa robí všetko naraz – analýza rizík, dokumenty, školenia – často tesne pred auditom. 

Ako vám s NIS2 lehotami a dokumentáciou pomôže RiskMinder 

NIS2 deadline sa dá prežiť aj bez ďalšieho „Excelového pekla“. Excel a Word vedia poslúžiť na začiatok, ale pri desiatkach aktív, rizík, opatrení a zapojených ľudí je ťažké: 

• udržať aktuálny prehľad, 

• sledovať lehoty a stav úloh, 

• rýchlo pripraviť report pre vedenie alebo audítora. 

RiskMinder je nástroj navrhnutý špeciálne na to, aby vám pomohol s tou časťou NIS2, ktorá je najviac „papierovo-procesná“: 

• viesť register aktív, hrozieb, zraniteľností a rizík na jednom mieste, 

• používať jednotné hodnotenie rizík (risk scoring) naviazané na NIS2, zákon o kybernetickej bezpečnosti, NBÚ a ISO 27001, 

• priraďovať vlastníkov rizík, plánovať opatrenia a sledovať ich plnenie, 

• pracovať s katalógmi opatrení podľa NBÚ/ISO a dopĺňať ich podľa vašich potrieb, 

• generovať prehľady pripravené na audit pre vedenie aj audítora – bez manuálneho skladania tabuliek. 

Pri NIS2 deadlinoch to v praxi znamená, že: 

• vidíte, ktoré riziká a opatrenia sú kritické a ktoré sú v sklze, 

• máte podklady pre prvý aj opakovaný audit, 

• viete vedenie informovať na základe reálnych dát, nie Excelových snapshotov spred pol roka. 

Incidenty a hlásenia riešite cez vlastné procesy, ľudí a nástroje (ticketing, monitoring).

RiskMinder dopĺňa druhú polovicu príbehu – dôkazy, riziká, opatrenia a dokumentáciu, ktorú potrebujete mať pripravenú, keď príde audit alebo kontrola. 

Rozpoznajte riziká a chráňte svoju firmu. Máte záujem vyskúšať RiskMinder, potrebujete cenovú ponuku alebo máte otázky? Napíšte nám. 

FAQ