NIS2 regulation: Prečo NIS2 nie je regulácia, ale smernica a čo to znamená pre firmy

Jan 14
5 minút čítania

Updated: Jan 16

Ak ste niekedy googlili výraz „nis2 regulation“, nie ste sami. V marketingových materiáloch, na LinkedIne aj v článkoch sa NIS2 často označuje ako „regulácia“, hoci právne ide o smernicu EÚ – konkrétne Directive (EU) 2022/2555 (NIS2).

Na prvý pohľad to môže vyzerať ako slovíčkarenie. Rozdiel medzi smernicou a nariadením má však pre firmy veľmi konkrétne dôsledky:

nariadenie (regulation) platí v celej EÚ priamo,
smernica (directive) sa musí preložiť do národného zákona – a práve ten potom firmy riešia v praxi.

V tomto článku sa pozrieme na to:

čo v skutočnosti znamená, že NIS2 je smernica a nie nariadenie,
prečo sa aj tak často používa pojem NIS2 regulation,
ako to celé vyzerá v slovenskom práve po roku 2025,
a čo z toho vyplýva pre firmy, ktoré sa potrebujú na NIS2 pripraviť.

Najprv si ujasnite, koho sa NIS2 týka a aké povinnosti prináša.

Smernica vs. nariadenie: Prečo na tom pri NIS2 záleží

V práve EÚ sa pri kyberbezpečnosti najčastejšie stretnete s dvomi typmi aktov:

nariadenie (regulation) – použije sa priamo vo všetkých členských štátoch;
smernica (directive) – určuje ciele a rámec, ale každý štát ju musí transponovať do vlastného zákona.

NIS2 je oficiálne:

Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union (NIS2 Directive).

Pre firmu to znamená:

neriešite primárne text smernice,
ale národnú legislatívu, ktorá ju prebrala – na Slovensku najmä zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení novely č. 366/2024 Z. z. a súvisiace vyhlášky NBÚ.

Pre kontrast: napríklad regulácia DORA pre finančný sektor je naozaj nariadenie EÚ – teda priamo záväzný predpis, nie smernica.

Prečo sa všade píše „NIS2 regulation“

Pojem NIS2 regulation sa v praxi používa z niekoľkých dôvodov:

v bežnej angličtine sa „regulation“ používa ako všeobecné slovo pre nové pravidlá či reguláciu,
mnohé články a marketingové materiály neriešia presne rozdiel medzi smernicou a nariadením,
pre bežného čitateľa je „NIS2 regulation“ jednoduchý, zrozumiteľný výraz pre „nové kyberbezpečnostné pravidlá EÚ“.

Z hľadiska práva je však dôležité vedieť, že:

NIS2 je smernica,
konkrétne povinnosti pre firmu vyplývajú z národnej legislatívy, nie z marketingového termínu „regulation“.

Pre internú a externú komunikáciu to znamená:

v prezentáciách pokojne môžete použiť jednoduchú skratku „NIS2 regulácia“,
pri návrhu procesov, opatrení a auditov sa však vždy pozeráte na konkrétne paragrafy slovenského zákona a vyhlášok NBÚ.

Ako NIS2 funguje v praxi na Slovensku

Na Slovensku sa NIS2 premietla do právneho poriadku cez novelu zákona o kybernetickej bezpečnosti (zákon č. 69/2018 Z. z.). Kľúčové zmeny priniesol zákon č. 366/2024 Z. z., ktorého hlavná časť nadobudla účinnosť 1. januára 2025.

V praxi to znamená:

NIS2 sama o sebe vám neuloží pokutu – tú môže uložiť slovenský orgán dohľadu podľa národného zákona,
povinnosti typu registrácia subjektu, lehoty na zavedenie opatrení, termíny auditov a výška sankcií sú rozpísané v národnej úprave,
dohľad nad plnením vykonáva najmä Národný bezpečnostný úrad (NBÚ) a ďalšie orgány podľa zákona o kybernetickej bezpečnosti.

Z praktického pohľadu platí:

pre slovenskú firmu je rozhodujúce „čo hovorí zákon o kybernetickej bezpečnosti a vyhlášky NBÚ“, nie len to, čo je napísané priamo v texte smernice NIS2.

Čo z toho vyplýva pre firmy

Rozdiel „smernica vs. nariadenie“ má niekoľko konkrétnych dôsledkov:

Sledujete národné predpisy, nie iba text NIS2. Okrem smernice potrebujete mať pod kontrolou zákon o kybernetickej bezpečnosti, vyhlášky NBÚ a prípadné sektorové požiadavky.
Ak pôsobíte vo viacerých krajinách EÚ, pravidlá nemusia byť úplne rovnaké. Ciele sú spoločné, ale detaily (procesy, lehoty, forma dohľadu) môžu mať národné odlišnosti.
Regulátori a audítori vás posudzujú podľa národého zákona. Pri kontrole je rozhodujúce, či spĺňate požiadavky slovenského zákona a vyhlášok – nie to, ako si vykladáte samotnú smernicu.
„NIS2 regulation“ je skôr komunikačná skratka. V prezentáciách a článkoch môže fungovať ako jednoduché označenie celej oblasti, ale pri dizajne opatrení musíte ísť na úroveň konkrétnych paragrafov.

Ako si v „NIS2 regulation“ spraviť poriadok

Aby z NIS2 nebola len abstraktná smernica „z Bruselu“, ale zvládnuteľná sada úloh, pomáha tento praktický postup:

Preložte si NIS2 do konkrétnych povinností vašej firmy. Zistite, či patríte medzi základné alebo dôležité subjekty, v akom sektore pôsobíte a ktoré paragrafy zákona sa vás týkajú.
Zmapujte aktíva, služby a riziká. Bez toho neviete, kde musíte sprísniť prístupy, kde potrebujete MFA, monitorovanie, zálohy, kontinuitu a podobne.
Priraďte opatrenia k paragrafom a článkom. Ku každej požiadavke zákona/NIS2 si povedzte: „Aký konkrétny proces, technológia alebo dokument túto povinnosť u nás pokrýva?“
Zbierajte dôkazy. Politiky, záznamy z testov, logy, výsledky auditov, prehľady o realizovaných opatreniach – toto všetko budete potrebovať pri kontrole alebo audite.
Priebežne aktualizujte. Menia sa aktíva, dodávatelia, technológie aj legislatíva. NIS2 nie je jednorazový projekt – bezpečnostný systém musíte pravidelne prehodnocovať a upravovať.

Ako vám s NIS2 (a slovenskou reguláciou) pomôže RiskMinder

RiskMinder za vás nerobí právny výklad NIS2 ani „automaticky“ nesplní všetky povinnosti. Je navrhnutý tak, aby pomohol firmám, na ktoré dopadá:

smernica NIS2,
zákon o kybernetickej bezpečnosti a súvisiace vyhlášky NBÚ,
príbuzné normy ako ISO 27001.

V praxi vám umožní:

viesť register aktív, hrozieb, zraniteľností a rizík na jednom mieste,
priraďovať rizikám opatrenia,
pracovať s katalógmi opatrení podľa NBÚ/ISO aj s vlastnými internými kontrolami,
vytvárať dokumenty a dôkazy potrebné pre audity a kontroly,
generovať prehľady pre vedenie a audítorov, ktoré ukazujú, čo je pokryté a kde sú ešte medzery.

Incidenty, registrácie a komunikáciu s regulátorom riešite vo svojich procesoch a nástrojoch. RiskMinder funguje ako „riadiace centrum“ pre riziká, opatrenia a dokumentáciu, ktoré tieto procesy podkladajú.

Rozpoznajte riziká a chráňte svoju firmu. Máte záujem vyskúšať RiskMinder, potrebujete cenovú ponuku alebo máte otázky? Napíšte nám.

FAQ

Je NIS2 „regulation“ alebo smernica?

Právne je NIS2 smernica EÚ (Directive (EU) 2022/2555). „NIS2 regulation“ je v praxi len zaužívaná skratka pre nové pravidlá kyberbezpečnosti.

Prečo je rozdiel medzi smernicou a nariadením pre firmy dôležitý?

Nariadenie platí priamo v celej EÚ, smernica sa premieta do národného zákona. Preto v praxi neriešite „len NIS2“, ale slovenskú legislatívu, ktorá ju prebrala.

Čo je pre slovenskú firmu rozhodujúce po roku 2025?

Najmä zákon o kybernetickej bezpečnosti (vrátane novely) a súvisiace vyhlášky NBÚ. Kontroly aj sankcie sa posudzujú podľa národných pravidiel.

Prečo sa aj tak všade používa pojem „NIS2 regulation“?

V bežnej angličtine „regulation“ často znamená jednoducho „pravidlá“. Mnohé články a marketing neodlišujú smernicu od nariadenia, lebo cieľom je zrozumiteľnosť, nie právna presnosť.

Ak pôsobíme vo viacerých krajinách EÚ, bude to pre nás rovnaké?

Nie úplne. Rámec je spoločný, ale detaily môžu byť odlišné podľa toho, ako jednotlivé štáty smernicu transponovali (lehoty, procesy, forma dohľadu).

Ako nám s NIS2 pomôže RiskMinder?

Registrácie a komunikáciu s regulátorom si riešite vo vlastných procesoch, no RiskMinder pomáha držať poriadok v rizikách, opatreniach a dôkazoch. V praxi uľahčí evidenciu aktív, rizík a kontrol, priraďovanie opatrení a prípravu podkladov pre audit či kontrolu.