Najčastejšie otázky o NIS2 na Slovensku (FAQ 2026)

NIS2 je smernica Európskeho parlamentu a Rady EÚ 2022/2555 o bezpečnosti sietí a informácií — druhá úroveň európskych požiadaviek na kybernetickú bezpečnosť, prijatá v decembri 2022. Smernica sama o sebe priamo nezaväzuje firmy — musela byť transponovaná do vnútroštátneho práva.

Zákon o kybernetickej bezpečnosti je slovenský zákon, ktorý implementuje NIS2 do slovenského právneho poriadku. Povinnosti z neho vyplývajú priamo slovenským firmám — nie smernica samotná.

Praktický rozdiel: slovenský zákon môže obsahovať prísnejšie ustanovenia ako minimum NIS2 (slovenské právo môže ukladať ďalšie povinnosti). V prípade výkladu sa obráťte na príslušné slovenské orgány — NBÚ (Národný bezpečnostný úrad).

Slovenský zákon o kybernetickej bezpečnosti transponujúci NIS2 nadobudol účinnosť 1. októbra 2024. Termín na samoidentifikáciu subjektov je 1. októbra 2026. Plné technické požiadavky nadobúdajú účinnosť 1. októbra 2027.

Odhaduje sa, že požiadavky NIS2 sa budú týkať približne 3 000 slovenských subjektov — čo je výrazne viac ako v rámci predchádzajúcej regulácie. Nárast vyplýva z rozšírenia definície „kritických sektorov" a zníženia prahovej veľkosti firiem, na ktoré sa regulácia vzťahuje.

Základné subjekty (Essential Entities): veľké firmy (250+ zamestnancov alebo obrat >50 mil. EUR) zo sektorov prílohy I (energetika, doprava, bankovníctvo, zdravotníctvo, voda, digitálna infraštruktúra, verejná správa, kozmický sektor). Podliehajú aktívnym kontrolám — dozorný orgán vykonáva audity z vlastnej iniciatívy. Sankcie: do 10 mil. EUR alebo 2 % obratu.

Dôležité subjekty (Important Entities): stredné firmy z prílohy I alebo firmy akejkoľvek veľkosti z prílohy II (poštové služby, výroba, chemikálie, potraviny, digitálne služby). Podliehajú reaktívnym kontrolám — audit len po incidente alebo sťažnosti. Sankcie: do 7 mil. EUR alebo 1,4 % obratu.

Technické požiadavky sú pre obe kategórie podobné — líši sa intenzita dohľadu a výška sankcií.

Áno, vo všeobecnosti. Mikropodniky (menej ako 10 zamestnancov a ročný obrat pod 2 mil. EUR) a malé podniky (menej ako 50 zamestnancov a obrat pod 10 mil. EUR) sú vyňaté z pôsobnosti NIS2.

Dôležité výnimky: malé firmy môžu podliehať NIS2, ak: sú jediným poskytovateľom kritickej služby na Slovensku; poskytujú dôveryhodné služby (kvalifikované elektronické podpisy); sú registrami doménových mien; sú poskytovateľmi služieb DNS; alebo ich regulačný orgán uzná za kľúčové z dôvodu vplyvu na bezpečnosť.

Termín na samoidentifikáciu uplynie 1. októbra 2026. Do tohto dátumu musí každý subjekt podliehajúci NIS2:

1. Posúdiť, či spĺňa kritériá základného alebo dôležitého subjektu
2. Zaregistrovať sa v príslušnom registri vedenom NBÚ alebo príslušným sektorovým orgánom
3. Určiť osobu zodpovednú za kybernetickú bezpečnosť

Nedodržanie termínu registrácie do 1. októbra 2026 môže mať za následok správnu sankciu.

Plná technická zhoda (implementované opatrenia riadenia rizík, postupy, ISMS) sa vyžaduje do 1. októbra 2027. Externý audit kybernetickej bezpečnosti pre základné subjekty sa vyžaduje do 1. októbra 2028.

Zákon vyžaduje určenie osoby alebo tímu zodpovedného za riadenie kybernetickej bezpečnosti. Nemusí to byť nevyhnutne CISO na plný úväzok — môže to byť:

• Interný zamestnanec IT s rozšírenými povinnosťami
• Externý konzultant alebo poskytovateľ služieb (MSSP)
• Konateľ alebo riaditeľ v prípade malých dôležitých subjektov

Kľúčové je formálne určenie tejto úlohy v dokumentácii a jej skutočné vykonávanie.

NIS2 vyžaduje trojstupňové hlásenie kybernetických incidentov:

• 24 hodín od zistenia: včasné varovanie príslušnému orgánu (NBÚ alebo sektorový dozorný orgán)
• 72 hodín od zistenia: úplné hlásenie incidentu s posúdením jeho dopadu
• 1 mesiac od zistenia: podrobná záverečná správa s analýzou príčin a prijatými opatreniami

Hlásenie sa týka len závažných incidentov s podstatným vplyvom na kontinuitu služieb — nie každého bezpečnostného upozornenia.

Článok 21 smernice NIS2 (implementovaný slovenským zákonom) vyžaduje minimálne:

1. Politiky analýzy rizík a bezpečnosti informačných systémov
2. Postupy riešenia bezpečnostných incidentov (detekcia, hlásenie, reakcia)
3. Riadenie kontinuity činnosti (zálohovanie, obnova po havárii, krízové riadenie)
4. Bezpečnosť dodávateľského reťazca (hodnotenie dodávateľov a partnerov)
5. Bezpečnosť pri obstarávaní, vývoji a údržbe sietí a systémov
6. Politiky a postupy hodnotenia účinnosti opatrení riadenia rizík
7. Základné praktiky kybernetickej hygieny a školenia
8. Politiky a postupy týkajúce sa kryptografie a šifrovania
9. Bezpečnosť ľudských zdrojov, riadenie prístupu, správa aktív
10. Používanie viacfaktorovej autentifikácie (MFA) alebo SSO

Nástroje ISMS pokrývajú všetky tieto požiadavky — porovnajte nástroje →

Neoslobodzuje úplne, ale výrazne uľahčuje splnenie požiadaviek. ISO 27001 a NIS2 majú prekrývajúci sa rozsah — odhaduje sa, že firma s certifikátom ISO 27001 spĺňa asi 80–85 % technických požiadaviek NIS2.

Zostávajúcich 15–20 % tvoria prvky špecifické pre NIS2: postupy hlásenia incidentov verejným orgánom, hodnotenie bezpečnosti dodávateľského reťazca podľa kritérií NIS2, registrácia v registri subjektov. Mať ISO 27001 môže zmierniť sankcie a je pozitívne hodnotené dozornými orgánmi.

Nie, neexistuje zákonná požiadavka na kúpu konkrétneho softvéru. NIS2 vyžaduje splnenie technických a procedurálnych požiadaviek — neurčuje, ako má firma tento proces riadiť.

V praxi veľké firmy (základné subjekty) budú potrebovať nástroj GRC na správu dokumentácie, dôkazov a monitoringu — manuálna správa pri 50+ kontrolách je nereálna. Malé dôležité subjekty môžu začať s bezplatným plánom Reglyze alebo Microsoft Purview. Porovnajte možnosti →

ISMS (Information Security Management System) je systém riadenia informačnej bezpečnosti — súbor politík, postupov, procesov a kontrol slúžiacich na riadenie rizík kybernetickej bezpečnosti. Štandardom definujúcim ISMS je ISO/IEC 27001.

NIS2 nevyžaduje certifikáciu ISO 27001, ale vyžaduje implementáciu prvkov ISMS (politiky bezpečnosti, riadenie rizík, postupy pri incidentoch). Nástroje ako Reglyze, Secfix alebo ISMS.online automatizujú budovanie a udržiavanie ISMS špeciálne pre NIS2.

Náklady na implementáciu sa výrazne líšia v závislosti od prístupu a veľkosti firmy:

• Malé firmy (dôležitý subjekt, 50–100 zamestnancov): €2 000–15 000 jednorazovo + €500–2 000/rok za nástroje a údržbu
• Stredné firmy (100–250 zamestnancov): €10 000–50 000 implementácia + €3 000–8 000/rok
• Veľké firmy (základný subjekt): €50 000–250 000+ implementácia + €15 000–50 000/rok

Náklady na audit ISO 27001 (voliteľný, ale užitočný) sú ďalších €8 000–25 000 v závislosti od audítorskej spoločnosti.

Nie — NIS2 nevyžaduje používanie slovenských dodávateľov softvéru. Môžete používať nástroje z akejkoľvek krajiny EÚ alebo mimo EÚ, pokiaľ sú údaje spracúvané v súlade s GDPR.

Odporúča sa však venovať pozornosť: umiestneniu údajov (EÚ vs. mimo EÚ), technickej podpore v slovenskom jazyku, znalosti slovenských predpisov zo strany dodávateľa. Pozrite si porovnanie →

Pre malé firmy (dôležitý subjekt, 50–100 zamestnancov) odporúčame začať s:

1. Reglyze (bezplatný plán) — vykonajte samoidentifikáciu a hodnotenie medzier. Generujte bezpečnostné politiky pomocou AI. Ideálny východiskový bod, nulové náklady.
2. Microsoft Purview (ak máte M365 E3+) — pripravená šablóna NIS2 v nástroji, ktorý už máte zaplatený. Doplňte Reglyze o monitoring v Purview.
3. Po hodnotení medzier: rozhodnite sa, či potrebujete platený nástroj (ISMS.online od £375/mes.) na základe konkrétnych nedostatkov.

Použite kalkulačku NIS2 → a najskôr zistite, aký typ subjektu sa týka vašej firmy.

Nástroje so sídlom a spracovaním dát v EÚ:

• Reglyze — sídlo v EÚ ✓
• ComplyCloud — Dánsko ✓
• Secfix — Nemecko ✓ (dáta v EÚ)
• ISMS Copilot — Nemecko ✓

Nástroje z USA (Vanta, Drata, Sprinto) a UK (ISMS.online) môžu spracúvať dáta mimo EÚ — pred kúpou skontrolujte ich DPA (Data Processing Agreement) a SCC. Microsoft Purview spracúva dáta v regiónoch Azure — možno nakonfigurovať EU Data Boundary.

Základné subjekty:

• Do 10 000 000 EUR alebo 2 % celkového ročného svetového obratu (vyššia suma)
• Zákaz výkonu riadiacich funkcií pre osoby zodpovedné za porušenie

Dôležité subjekty:

• Do 7 000 000 EUR alebo 1,4 % celkového ročného svetového obratu (vyššia suma)

Dozorné orgány môžu ukladať sankcie za: neregistráciu, chýbajúci ISMS, nehlásenie incidentov, neplnenie technických požiadaviek. Prvé sankcie sa očakávajú po uplynutí prechodného obdobia.

Dohľad nad NIS2 na Slovensku vykonávajú rôzne orgány v závislosti od sektora:

• NBÚ (Národný bezpečnostný úrad) — celková koordinácia, všeobecný dohľad
• CSIRT.SK — koordinácia riešenia kybernetických incidentov
• Regulačný úrad pre sieťové odvetvia (RÚSO) — energetický sektor
• Úrad pre reguláciu elektronických komunikácií

  Máš ďalšie otázky?

  Nenašiel si odpoveď? Pozri si naše podrobné recenzie nástrojov alebo použij kalkulačku NIS2.

  Spusti kalkulačku NIS2 →

  Viac ako 3 000 slovenskej firiem si overilo stav NIS2 na tejto stránke

  Nevieš, či tvoja firma podlieha NIS2? Bezplatný kvíz trvá 2 minúty.

  Vyplň kvíz → ×
  ×

  Stiahni si bezplatný sprievodca NIS2

  Dozvedz sa presne, čo musíš urobiť pred 1. októbrom 2026. Sprievodca krok za krokom pre slovenské firmy.

  Pošli sprievodcu

  Bez spamu. Odhlás sa kedykoľvek.