Najčastejšie otázky o NIS2 na Slovensku (FAQ 2026)

NIS2 je smernica Európskeho parlamentu a Rady EÚ 2022/2555 o bezpečnosti sietí a informácií — druhá úroveň európskych požiadaviek na kybernetickú bezpečnosť, prijatá v decembri 2022. Smernica sama osebe priamo nezaväzuje firmy — musela byť transponovaná do národného práva.

Zákon o kybernetickej bezpečnosti je slovenský zákon, ktorý implementuje NIS2 do slovenského právneho poriadku. Gestorským orgánom je NBÚ (Národný bezpečnostný úrad). Práve tento zákon zaväzuje slovenské firmy — nie priamo smernica.

Praktický rozdiel: slovenský zákon môže obsahovať prísnejšie ustanovenia ako minimálny štandard NIS2 (slovenské právo môže ukladať dodatočné povinnosti). Aktuálne usmernenia konzultujte priamo s NBÚ.

Slovenský zákon transponujúci NIS2 nadobudol účinnosť 1. októbra 2024. Termín na splnenie povinností registrácie a implementácie je 1. októbra 2026. Úplné technické požiadavky musia byť splnené do 1. októbra 2026.

Odhaduje sa, že približne 3 000 slovenských subjektov musí splniť požiadavky NIS2 — ide o výrazne vyšší počet ako v rámci predchádzajúcej smernice NIS1. Nárast vyplýva z rozšírenia definície „kritických sektorov" a zo zníženia prahov veľkosti firiem, na ktoré sa regulácia vzťahuje.

Základné entity (Essential Entities): veľké firmy (250+ zamestnancov alebo obrat >50 mil. EUR) zo sektorov Prílohy I (energetika, doprava, bankovníctvo, zdravotníctvo, vodné hospodárstvo, digitálna infraštruktúra, verejná správa, vesmírny sektor). Podliehajú aktívnemu dohľadu — dozorný orgán vykonáva audity z vlastnej iniciatívy. Sankcie: až 10 mil. EUR alebo 2 % obratu.

Dôležité entity (Important Entities): stredné firmy z Prílohy I alebo firmy akejkoľvek veľkosti z Prílohy II (poštové služby, výroba, chemikálie, potraviny, digitálne služby). Podliehajú reaktívnemu dohľadu — audit len po incidente alebo sťažnosti. Sankcie: až 7 mil. EUR alebo 1,4 % obratu.

Technické požiadavky sú pre oba typy podobné — líši sa intenzita dohľadu a výška sankcií.

Áno, spravidla. Mikropodniky (menej ako 10 zamestnancov a ročný obrat pod 2 mil. EUR) a malé podniky (menej ako 50 zamestnancov a obrat pod 10 mil. EUR) sú vyňaté z pôsobnosti NIS2.

Dôležité výnimky: malé firmy môžu NIS2 podliehať, ak: sú jediným poskytovateľom kritickej služby na Slovensku; poskytujú dôveryhodné služby (kvalifikované elektronické podpisy); sú registrami doménových mien; sú poskytovateľmi DNS služieb; alebo ich NBÚ určí za kľúčové z dôvodu vplyvu na bezpečnosť.

Termín na splnenie povinností je 1. októbra 2026. Do tohto dátumu musí každý subjekt, na ktorý sa NIS2 vzťahuje:

1. Posúdiť, či spĺňa kritériá základnej alebo dôležitej entity
2. Zaregistrovať sa v príslušnom registri vedenom NBÚ alebo príslušným sektorovým orgánom
3. Určiť osobu zodpovednú za kybernetickú bezpečnosť

Nesplnenie registračnej povinnosti do 1. októbra 2026 môže mať za následok administratívnu sankciu.

Plný súlad s technickými požiadavkami (implementované opatrenia riadenia rizík, postupy, ISMS) sa vyžaduje do 1. októbra 2026. Externý audit kybernetickej bezpečnosti pre základné entity sa odporúča vykonať čo najskôr po tomto termíne.

Zákon vyžaduje určenie osoby alebo tímu zodpovedného za riadenie kybernetickej bezpečnosti. Nemusí to byť nevyhnutne CISO na plný úväzok — môže ísť o:

• Interného IT pracovníka s rozšírenými povinnosťami
• Externého konzultanta alebo poskytovateľa služieb (MSSP)
• Konateľa alebo riaditeľa v prípade malých dôležitých entít

Kľúčové je formálne určenie tejto roly v dokumentácii a jej reálne vykonávanie.

NIS2 vyžaduje trojstupňové hlásenie kybernetických incidentov:

• 24 hodín od zistenia: skoré varovanie príslušnému orgánu (NBÚ alebo sektorový dozorný orgán)
• 72 hodín od zistenia: úplné hlásenie incidentu s posúdením jeho dopadu
• 1 mesiac od zistenia: podrobná záverečná správa s analýzou príčin a prijatými opatreniami

Hlásenie sa týka len závažných incidentov, ktoré majú podstatný vplyv na kontinuitu služieb — nie každého bezpečnostného upozornenia.

Článok 21 smernice NIS2 (transponovaný do slovenského zákona) vyžaduje minimálne:

1. Politiky analýzy rizík a bezpečnosti informačných systémov
2. Postupy zvládania bezpečnostných incidentov (detekcia, hlásenie, reakcia)
3. Riadenie kontinuity činností (zálohovanie, obnova po havárii, krízové riadenie)
4. Bezpečnosť dodávateľského reťazca (hodnotenie dodávateľov a partnerov)
5. Bezpečnosť pri obstarávaní, vývoji a údržbe sietí a systémov
6. Politiky a postupy hodnotenia účinnosti opatrení riadenia rizík
7. Základné postupy kybernetickej hygieny a školenia
8. Politiky a postupy týkajúce sa kryptografie a šifrovania
9. Bezpečnosť ľudských zdrojov, riadenie prístupu, správa aktív
10. Používanie viacfaktorovej autentifikácie (MFA) alebo SSO

Nástroje ISMS pokrývajú všetky tieto požiadavky — porovnajte nástroje →

Neoslobodzuje úplne, ale výrazne uľahčuje splnenie požiadaviek. ISO 27001 a NIS2 majú prekrývajúci sa rozsah — odhaduje sa, že firma s certifikátom ISO 27001 spĺňa približne 80–85 % technických požiadaviek NIS2.

Zvyšných 15–20 % tvoria prvky špecifické pre NIS2: postupy hlásenia incidentov štátnym orgánom, hodnotenie bezpečnosti dodávateľského reťazca podľa kritérií NIS2, registrácia v registri subjektov u NBÚ. Certifikát ISO 27001 však môže zmierniť sankcie a je pozitívne hodnotený dozornými orgánmi.

Nie, zákon nevyžaduje nákup konkrétneho softvéru. NIS2 vyžaduje splnenie technických a procedurálnych požiadaviek — neurčuje, ako má firma tento proces riadiť.

V praxi veľké firmy (základné entity) budú potrebovať nástroj GRC na správu dokumentácie, dôkazov a monitoringu — manuálna správa je pri 50+ kontrolách nerealistická. Malé dôležité entity môžu začať s bezplatným plánom Reglyze alebo Microsoft Purview. Porovnajte možnosti →

ISMS (Information Security Management System) je systém riadenia informačnej bezpečnosti — súbor politík, postupov, procesov a kontrol slúžiacich na riadenie rizík kybernetickej bezpečnosti. Štandardom definujúcim ISMS je ISO/IEC 27001.

NIS2 nevyžaduje certifikáciu ISO 27001, ale vyžaduje zavedenie prvkov ISMS (bezpečnostné politiky, riadenie rizík, postupy pri incidentoch). Nástroje ako Reglyze, Secfix alebo ISMS.online automatizujú budovanie a udržiavanie ISMS špeciálne pre NIS2.

Náklady na implementáciu sa výrazne líšia v závislosti od prístupu a veľkosti firmy:

• Malé firmy (dôležitá entita, 50–100 zamestnancov): €2 000–15 000 jednorazovo + €500–2 000/rok za nástroje a údržbu
• Stredné firmy (100–250 zamestnancov): €10 000–50 000 implementácia + €3 000–8 000/rok
• Veľké firmy (základná entita): €50 000–250 000+ implementácia + €15 000–50 000/rok

Náklady na audit ISO 27001 (voliteľný, ale užitočný) predstavujú dodatočných €8 000–25 000 v závislosti od audítorskej firmy.

Nie — NIS2 nevyžaduje používanie slovenských dodávateľov softvéru. Môžete používať nástroje z akejkoľvek krajiny EÚ alebo mimo EÚ, pod podmienkou, že údaje sú spracúvané v súlade s GDPR.

Odporúča sa však venovať pozornosť: umiestneniu údajov (EÚ vs. mimo EÚ), technickej podpore v slovenčine či češtine, znalosti slovenských predpisov zo strany dodávateľa. Aktuálne informácie o certifikovaných riešeniach poskytuje priamo NBÚ. Pozrite si porovnanie →

Pre malé firmy (dôležitá entita, 50–100 zamestnancov) odporúčame začať takto:

1. Reglyze (bezplatný plán) — vykonajte seba-identifikáciu a posúdenie medzier. Vygenerujte bezpečnostné politiky pomocou AI. Ideálny štartovací bod, nulové náklady.
2. Microsoft Purview (ak máte M365 E3+) — pripravená šablóna NIS2 v nástroji, ktorý už platíte. Doplňte Reglyze o monitoring v Purview.
3. Po posúdení medzier: rozhodnite sa, či potrebujete platený nástroj (ISMS.online od £375/mes.) na základe konkrétnych nedostatkov.

Použite kalkulačku NIS2 → a najprv zistite, akého typu entitou vaša firma je.

Nástroje so sídlom a spracúvaním dát v EÚ:

• Reglyze — sídlo EÚ ✓
• ComplyCloud — Dánsko ✓
• Secfix — Nemecko ✓ (dáta v EÚ)
• ISMS Copilot — Nemecko ✓

Nástroje z USA (Vanta, Drata, Sprinto) a Spojeného kráľovstva (ISMS.online) môžu spracúvať dáta mimo EÚ — pred nákupom skontrolujte ich DPA (Data Processing Agreement) a SCC. Microsoft Purview spracúva dáta v regiónoch Azure — je možné nakonfigurovať EU Data Boundary.

Základné entity:

• Až 10 000 000 EUR alebo 2 % celkového ročného svetového obratu (vyššia suma)
• Zákaz výkonu riadiacich funkcií pre osoby zodpovedné za porušenie

Dôležité entity:

• Až 7 000 000 EUR alebo 1,4 % celkového ročného svetového obratu (vyššia suma)

Dozorné orgány môžu ukladať sankcie za: chýbajúcu registráciu, absenciu ISMS, nehlásenie incidentov, nesplnenie technických požiadaviek. Prvé sankcie sa očakávajú po uplynutí prechodného obdobia (po 1. októbri 2026).

Dohľad nad plnením povinností podľa NIS2 na Slovensku vykonávajú rôzne orgány v závislosti od sektora:

Máš viac otázok?

Nenašiel si odpoveď? Pozri si naše podrobné recenzie nástrojov alebo využi kalkulačku NIS2.

Spustiť kalkulačku NIS2 →

Viac ako 3 000 slovenských firiem skontrolovaný stav NIS2 na tejto stránke

Nie si si istý, či tvoja firma podlieha NIS2? Bezplatný kvíz trvá 2 minúty.

Urobiť kvíz → ×
×

Stiahnite si bezplatný sprievodcu NIS2

Zistite presne, čo musíte urobiť pred 1. októbrom 2026. Sprievodca krok za krokom pre slovenské firmy.

Poslať sprievodcu

Bez spamu. Odhláste sa kedykoľvek.