NIS2/ZoKB: Sprievodca povinnosťami a riešeniami

NIS2 – o čo ide?

NIS2 je európska smernica o kybernetickej bezpečnosti (smernica (EÚ) 2022/2555), ktorá nadväzuje na pôvodnú NIS smernicu. Jej cieľom je zvýšiť odolnosť digitálnej infraštruktúry v členských štátoch EÚ prostredníctvom jednotných pravidiel na ochranu sietí, systémov a dát. Zavádza prísnejšie požiadavky na riadenie rizík, hlásenie incidentov a zabezpečenie dodávateľských reťazcov.

ZoKB – slovenská legislatíva

Slovenská republika pripravila novelu zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ZoKB) ako súčasť transpozície európskej smernice NIS2.

Vyhláška 227/2025 Z.z. o bezpečnostných opatreniach podľa zákona o kybernetickej bezpečnosti účinná od 1. septembra 2025.

Vyhláška 226/2025 Z. z. Národného bezpečnostného úradu, ktorou sa ustanovujú podrobnosti o hláseniach účinná od 1. septembra 2025.

Koho sa týka?

Smernica sa vzťahuje na približne 6000 subjektov na Slovensku, ktoré pôsobia v 15 sektoroch:

Kľúčové entity:

• Energetika
• Zdravotníctvo
• Doprava
• Bankovníctvo
• Digitálna infraštruktúra
• Verejná správa
• Vesmírny priemysel

Dôležité entity:

• Digitálni poskytovatelia
• Poštové služby
• Odpadové hospodárstvo
• Potravinárstvo
• Výrobný sektor
• Chemický priemysel
• Výskum

Subjekt spadá pod NIS2/ZoKB, ak je prevádzkovateľom základnej služby (PZS) alebo kritickej základnej služby (PKZS).

Smernica NIS2, ako aj ZoKB vychádza najmä z princípu samoidentifikácie subjektu. Ak sa subjekt „samoidentifikuje“, je povinný to oznámiť úradu do 60 dní odo dňa, kedy začal vykonávať relevantnú činnosť.

Nie ste si istí, či sa na vašu spoločnosť vzťahuje NIS2/ZoKB?

Zistite to rýchlo a jednoducho pomocou našej online NIS2 kalkulačky, ktorá zmapuje vašu povinnosť:

Skontrolovať status NIS2

Časový rámec

• Smernica NIS2 nadobudla účinnosť v EÚ 17.1.2023.
• Novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ZoKB) nadobudla účinnosť 1.1.2025.
• PZS podľa zákona č. 69/2018 Z. z. v znení účinnom do 31.12.2024, môže do 31.12.2026 prijímať a realizovať bezpečnostné opatrenia podľa predpisov účinných od 1.1.2025 aj prijímaním a realizovaním bezpečnostných opatrení podľa predpisov účinných do 31.12.2024.
• PZS je povinný zaviesť bezpečnostné opatrenia
  do 12 mesiacov odo dňa zápisu.
• PZS je povinný realizovať prvý audit vykonávaný certifikovaným audítorom do 2 rokov od zapísania do registra PZS.
• Prevádzkovateľ základnej služby, ktorý neposkytuje kritickú službu, môže audit vykonať aj tzv. samohodnotením, ktoré realizuje manažér kybernetickej bezpečnosti do 2 rokov od zapísania do registra PZS.

Neoznámenie začiatku vykonávania činnosti regulovanej zákonom o kybernetickej bezpečnosti je správnym deliktom. NBÚ za takýto správny delikt môže uložiť pokutu od 300 € do 500 000 €.

Ako vie Forvis Mazars pomôcť?

• Zabezpečenie súladu s požiadavkami Zákona o kybernetickej bezpečnosti č. 69/2018 Z. z.
• Identifikácia a ohodnotenie aktív, analýza rizík
• Tvorba bezpečnostných politík a smerníc
• Konzultačná podpora
• Audit podľa Zákona o kybernetickej bezpečnosti č.69/2018
• Interný bezpečnostný audit
• Školenie kybernetickej bezpečnosti
• GAP analýza dokumentácie vo vzťahu k požiadavkám zákona
• Implementácia systému riadenia informačnej bezpečnosti podľa normy ISO 27001

Máte otázky k vašim povinnostiam podľa NIS2/ZoKB? Obráťte sa na našich poradcov, radi vám poskytneme odbornú podporu.