9 júl 2026 / 12 minút čítania
TL;DR
Implementácia smernice NIS2 znamená pre mnohé organizácie prvé systematické stretnutie s riadením kybernetických rizík. Čím skôr začnú s prípravou, tým jednoduchšie bude zavádzanie jednotlivých opatrení do každodennej prevádzky.
Ak ste zistili, že sa na vašu organizáciu vzťahujú požiadavky NIS2, nečakajte na audit ani na kontrolu regulátora. Implementácia bezpečnostného programu trvá mesiace, nie týždne.
Novela zákona o kybernetickej bezpečnosti výrazne rozširuje okruh regulovaných subjektov. Podľa dôvodovej správy sa nové povinnosti budú vzťahovať minimálne na 3 403 organizácií, pričom v praxi môže byť tento počet ešte vyšší. Regulácia sa týka subjektov pôsobiacich v 16 odvetviach, od energetiky, dopravy a zdravotníctva až po digitálnu infraštruktúru, výrobu, verejnú správu či poskytovateľov riadených IT služieb.
Čím skôr organizácia začne s prípravou, tým jednoduchšie bude zavádzanie jednotlivých bezpečnostných opatrení do každodennej prevádzky.
Odporúčané poradie krokov:

Aj keď odporúčané poradie krokov vyzerá pomerne jednoducho, v praxi sa mnoho organizácií vydá opačným smerom. Namiesto identifikácie rizík začnú riešiť technológie, dokumentáciu alebo audit.
Objavujú sa pritom otázky ako: Potrebujeme CISO? Musíme mať ISO 27001? Koľko nových smerníc treba pripraviť? Budeme musieť absolvovať audit? Sú to pochopiteľné otázky. Zároveň sú to však zvyčajne nesprávne otázky na začiatok.
Najväčšou zmenou, ktorú NIS2 prináša, totiž nie je nová administratíva ani nové dokumenty. Je ňou zmena spôsobu, akým by organizácie mali pristupovať ku kybernetickej bezpečnosti.
Inými slovami – NIS2 nie je projekt. Je to spôsob riadenia rizík.
A práve preto vidíme pri príprave na NIS2 stále rovnaké chyby.
Organizácie investujú do nových bezpečnostných nástrojov, no nevedia, ktoré systémy sú pre ich podnikanie skutočne kritické. Pripravia desiatky interných smerníc, ale nikdy si neoveria, či dokážu obnoviť prevádzku po ransomvérovom útoku. Absolvujú audit, no netušia, že útočník by sa mohol dostať k administrátorským právam prostredníctvom jedného nesprávne nakonfigurovaného účtu. To nie je problém legislatívy. To je problém nesprávne stanovených priorít.

V tomto článku preto nebudeme rozoberať jednotlivé články smernice ani citovať paragrafy národných zákonov. Týchto materiálov už existuje dostatok. Namiesto toho sa pozrieme na to, ako by mala organizácia postupovať, aby bola pripravená nielen na splnenie požiadaviek NIS2, ale predovšetkým na reálne kybernetické hrozby.
Jednou z prvých reakcií býva snaha pripraviť všetky potrebné politiky, smernice a procesné dokumenty. Bezpečnostná politika, plán reakcie na incidenty alebo plán kontinuity prevádzky sú nepochybne dôležité. Problém nastáva vo chvíli, keď sa stanú cieľom namiesto prostriedku.
Predstavte si dve organizácie. Prvá má výborne spracovanú dokumentáciu, no nikdy neotestovala obnovu zo záloh ani pripravenosť tímu na riešenie bezpečnostného incidentu. Druhá má jednoduchšie procesy, ale pravidelne vykonáva penetračné testovanie, preveruje konfiguráciu kritických systémov a cvičí reakciu na incidenty. Ktorá z nich bude lepšie pripravená na reálny útok?
Dokumentácia je dôležitá preto, aby podporovala fungovanie bezpečnostných procesov. Sama o sebe však organizáciu neochráni. NIS2 preto nestavia na kontrole existencie dokumentov, ale na schopnosti organizácie riadiť riziká a preukázať, že prijaté opatrenia fungujú aj v praxi.
Kybernetická bezpečnosť už dávno nie je výlučne technickou disciplínou. Moderné útoky zneužívajú slabiny v procesoch, ľudské chyby aj vzťahy s dodávateľmi. Preto sa NIS2 nezameriava iba na IT infraštruktúru, ale vyžaduje zapojenie celej organizácie.
Vedenie spoločnosti rozhoduje o investíciách, schvaľuje riziká a nesie zodpovednosť za strategické rozhodnutia. Personálne oddelenie zabezpečuje školenia a nástupné procesy zamestnancov. Nákup vyberá dodávateľov, ktorí môžu mať prístup ku kritickým systémom. Právne oddelenie rieši zmluvné požiadavky a oznamovacie povinnosti. Ak niektorá z týchto častí nefunguje, technické opatrenia samy o sebe nestačia.
Úspešná implementácia NIS2 preto nie je projekt IT oddelenia. Je to projekt celej organizácie.
Po oznámení nových povinností často nasleduje nákup bezpečnostných riešení. Organizácie investujú do EDR, SIEM, PAM alebo ďalších nástrojov s presvedčením, že tým výrazne zvýšia svoju bezpečnosť.
Technológie sú nevyhnutnou súčasťou obrany, no samy o sebe problém nevyriešia.
Najprv je potrebné pochopiť vlastné prostredie. Ktoré systémy sú kritické pre fungovanie organizácie? Aké údaje spracúvate? Ktoré služby musia zostať dostupné aj počas incidentu? Aké následky by mala kompromitácia jednotlivých aktív?
Bez odpovedí na tieto otázky nemožno efektívne rozhodovať o investíciách. Organizácia môže mať špičkové bezpečnostné riešenia, no zároveň prehliadať slabé miesto, ktoré predstavuje najväčšie riziko. Práve preto NIS2 kladie dôraz na analýzu a riadenie rizík ako na základ všetkých ďalších bezpečnostných opatrení.
Veľa organizácií je presvedčených, že ich bezpečnostné opatrenia sú dostatočné, pretože ich používajú už niekoľko rokov. Majú viacfaktorové overovanie, firewall, segmentáciu siete alebo pravidelné zálohovanie. To však automaticky neznamená, že sú tieto opatrenia správne nastavené alebo odolné voči aktuálnym hrozbám.
Bezpečnosť sa nedá overiť iba pohľadom na zoznam implementovaných technológií. Vyžaduje pravidelné testovanie.
Penetračné testovanie preverí, ako by sa do prostredia dostal reálny útočník. Security assessment odhalí nesprávne konfigurácie. Red Team cvičenie ukáže pripravenosť organizácie reagovať na sofistikovaný útok. Rovnako dôležité je testovať obnovu zo záloh alebo pripravenosť incident response tímu.
Najväčším rizikom nie je chýbajúca technológia. Najväčším rizikom je presvedčenie, že všetko funguje, hoci to nikdy nikto neoveril.
Útočníci dnes čoraz častejšie nehľadajú cestu priamo do cieľovej organizácie. Hľadajú jej najslabší článok. Tým môže byť externý dodávateľ IT služieb, cloudová platforma, softvérový produkt alebo partner, ktorý má prístup do internej siete.
Aj preto NIS2 venuje bezpečnosti dodávateľského reťazca výrazne väčšiu pozornosť ako predchádzajúca legislatíva. Organizácia by mala vedieť, ktorí dodávatelia majú prístup ku kritickým systémom, aké bezpečnostné požiadavky na nich kladie a ako priebežne vyhodnocuje riziká spojené s ich službami.
Neznamená to vykonávať audit každého partnera. Dôležité je identifikovať dodávateľov, ktorých kompromitácia by mala významný dopad na fungovanie organizácie, a nastaviť primeranú úroveň kontroly.
Keď sa povie kybernetický útok, väčšina ľudí si predstaví hackera, ktorý sa snaží preniknúť cez internet. V praxi však útočníci často využijú oveľa jednoduchšiu cestu. Získajú prihlasovacie údaje používateľa, kompromitujú pracovnú stanicu a následne sa pohybujú v internej sieti.
Práve preto nestačí chrániť iba perimeter organizácie. Rovnako dôležité je poznať stav interného prostredia.
Jedným z najčastejších cieľov útočníkov je adresárová služba Active Directory. Ak sa im podarí získať administrátorské oprávnenia, môžu ovládnuť veľkú časť firemnej infraštruktúry. Dôvodom nebývajú sofistikované zraniteľnosti, ale nesprávne nastavené oprávnenia, zastarané konfigurácie alebo účty s nadmernými právami.
Pravidelné preverovanie identity, oprávnení a konfigurácie interného prostredia by preto malo byť prirodzenou súčasťou bezpečnostného programu každej organizácie.
Presun systémov do cloudu prináša vyššiu flexibilitu aj dostupnosť služieb. Zároveň však vytvára nový typ rizík. Mnohé organizácie sa mylne domnievajú, že za bezpečnosť cloudového prostredia zodpovedá výhradne poskytovateľ.
V skutočnosti funguje princíp zdieľanej zodpovednosti. Poskytovateľ zabezpečuje samotnú cloudovú infraštruktúru, zatiaľ čo organizácia nesie zodpovednosť za konfiguráciu služieb, správu identít, prístupových práv, ochranu údajov či nastavenie bezpečnostných politík.
Práve nesprávna konfigurácia cloudových služieb patrí medzi najčastejšie príčiny únikov dát. Verejne dostupné úložiská, príliš široké oprávnenia alebo chýbajúce viacfaktorové overovanie predstavujú riziká, ktoré nevznikajú chybou poskytovateľa, ale nesprávnym nastavením prostredia.
Bezpečnosť cloudu preto nemožno považovať za uzavretú kapitolu len preto, že organizácia využíva služby renomovaného poskytovateľa.
Mnohé organizácie venujú kybernetickej bezpečnosti najväčšiu pozornosť niekoľko mesiacov pred auditom alebo kontrolou. Aktualizujú dokumentáciu, odstránia najviditeľnejšie nedostatky a po úspešnom ukončení auditu sa projekt opäť odloží bokom.
Takýto prístup bol problematický už v minulosti. Pri NIS2 však prestáva dávať zmysel úplne.
Kybernetické prostredie sa mení každý deň. Objavujú sa nové zraniteľnosti, pribúdajú zariadenia, menia sa konfigurácie a organizácie zavádzajú nové aplikácie či cloudové služby. Stav bezpečnosti preto nemožno posudzovať podľa výsledku jedného auditu.
Úspešné organizácie dnes pristupujú ku kybernetickej bezpečnosti podobne ako ku kvalite alebo riadeniu rizík. Priebežne monitorujú svoje prostredie, pravidelne overujú účinnosť opatrení, vyhodnocujú nové hrozby a odstraňujú zistené nedostatky skôr, než ich niekto dokáže zneužiť.
Práve tento prístup je jednou zo základných myšlienok NIS2. Cieľom nie je pripraviť organizáciu na jeden konkrétny audit, ale vybudovať proces, ktorý bude dlhodobo zvyšovať jej odolnosť voči kybernetickým hrozbám.
Veľa organizácií má pripravený Incident Response Plan. Menej organizácií však vie, či by podľa neho dokázali v reálnej situácii postupovať. Pri incidente totiž nestačí vedieť, koho zavolať. Tím musí rozumieť svojim úlohám, vedenie musí vedieť rozhodovať pod tlakom a organizácia musí mať jasno v tom, ako komunikovať so zákazníkmi, partnermi, regulátorom aj verejnosťou.
Ransomvérový útok, únik dát alebo kompromitácia účtov sa zvyčajne neodohráva v pokojnom prostredí. Prichádza chaos, nedostatok informácií, časový tlak a rozhodnutia s vysokým dopadom na prevádzku. Ak organizácia nikdy netestovala svoj postup, až pri skutočnom incidente zistí, že plán obsahuje neaktuálne kontakty, nejasné zodpovednosti alebo kroky, ktoré sa v praxi nedajú vykonať.
Pripravenosť na incident sa preto nedá posúdiť len podľa existencie dokumentu. Vyžaduje pravidelné cvičenia, technické scenáre, zapojenie vedenia a spätné vyhodnotenie. Dobrý incident response proces nie je ten, ktorý vyzerá dobre v dokumentácii. Je to proces, ktorý funguje, keď organizácia nemá čas premýšľať.
Audit môže byť užitočný. Pomáha overiť stav bezpečnostného programu, identifikovať nedostatky a vytvoriť tlak na ich odstránenie. Problém nastáva vtedy, keď sa úspešný audit stane hlavným cieľom celej prípravy.
Organizácie potom často optimalizujú svoje aktivity na to, aby prešli kontrolou. Aktualizujú dokumentáciu, doplnia chýbajúce procesy, odstránia najviditeľnejšie nedostatky a po audite sa bezpečnostný program opäť spomalí. Útočníkov však nezaujíma, či organizácia prešla auditom. Zaujíma ich, či má zraniteľnú aplikáciu, nesprávne nakonfigurovaný cloud, slabé heslá, nadmerné oprávnenia alebo neotestované zálohy.
NIS2 by preto nemala byť vnímaná ako jednorazová povinnosť, ktorú treba splniť pred kontrolou. Je to rámec pre dlhodobé riadenie kybernetických rizík. Audit môže potvrdiť určitý stav v konkrétnom čase, ale nedokáže garantovať, že organizácia bude rovnako bezpečná aj o tri mesiace.
Skutočným cieľom by preto nemalo byť prejsť auditom. Cieľom by malo byť vytvoriť bezpečnostný program, ktorý priebežne identifikuje riziká, overuje účinnosť opatrení a zlepšuje odolnosť organizácie počas celého roka.
Neexistuje univerzálny zoznam technológií ani jedna správna architektúra, ktorá zaručí súlad s požiadavkami NIS2. Každá organizácia má iné prostredie, iné riziká aj inú úroveň vyspelosti. Napriek tomu majú úspešné organizácie niekoľko spoločných znakov.

Ak sa pri čítaní tabuľky spoznávate skôr v ľavom stĺpci, nie je to dôvod na paniku. Väčšina organizácií sa nachádza niekde medzi oboma extrémami. Dôležité je vedieť, kde sa nachádzate dnes, a mať plán, ako svoju úroveň bezpečnosti postupne zvyšovať.
Ak sa na vašu organizáciu vzťahuje zákon o kybernetickej bezpečnosti, oplatí sa sledovať niekoľko dôležitých termínov:
Registrácia regulovaného subjektu
Po splnení zákonných podmienok vzniká povinnosť zápisu do registra prevádzkovateľov základných služieb.
Prvý audit kybernetickej bezpečnosti
Vo všeobecnosti musí byť vykonaný do dvoch rokov od zápisu do registra. Organizácie, ktoré neprevádzkujú kritickú základnú službu, môžu prvé overenie za určitých podmienok nahradiť samohodnotením. Plný audit ich však čaká najneskôr do piatich rokov od registrácie.
Prechodné obdobie
Subjekty, ktoré boli regulované už podľa predchádzajúcej legislatívy, majú prechodné obdobie do 31. decembra 2026. Od 1. januára 2027 sa už budú riadiť výlučne novými požiadavkami.
Hlásenie incidentov
Pri závažnom kybernetickom incidente platia krátke oznamovacie lehoty. Včasné varovanie sa podáva do 24 hodín, podrobnejšie oznámenie do 72 hodín a záverečná správa do jedného mesiaca.
Sankcie
Nový zákon výrazne sprísňuje sankčný mechanizmus. Pri závažnom porušení povinností môžu pokuty dosiahnuť až milióny eur, preto sa neoplatí odkladať prípravu na poslednú chvíľu.
Prináša zmenu v prístupe. Organizácie už nemôžu stavať svoju bezpečnosť na jednorazových projektoch, pravidelných auditoch alebo domnienke, že zavedené opatrenia budú fungovať navždy. Kybernetické hrozby sa vyvíjajú každý deň a rovnakým tempom sa musí vyvíjať aj schopnosť organizácie ich identifikovať a riadiť.
Práve preto je čoraz väčší dôraz kladený na priebežné monitorovanie rizík, pravidelné overovanie bezpečnostných opatrení a ich neustále zlepšovanie. Penetračné testovanie, bezpečnostné assessmenty, kontrola konfigurácií, správa zraniteľností či preverovanie dodávateľského reťazca by nemali byť jednorazovou aktivitou, ale prirodzenou súčasťou bezpečnostného programu.
NIS2 totiž nie je cieľová stanica. Je to proces neustáleho zlepšovania. Organizácie, ktoré budú svoju kybernetickú bezpečnosť riadiť priebežne, budú pripravené nielen na požiadavky regulátorov, ale predovšetkým na reálne kybernetické hrozby.
Všetky články
Prihláste sa k odberu nášho newslettera a získajte všetky dôležité novinky v oblasti kybernetickej bezpečnosti a etického hackovania.