Čo je NIS2 a koho sa týka?
Kompletný sprievodca pre rok 2025
10 minút čítania
Ak ste IT manažér alebo majiteľ strednej firmy, pravdepodobne ste už počuli o NIS2. Možno ste dostali email od právnika, možno ste zachytili článok v médiách. Ale čo to vlastne je a týka sa to vašej firmy?
Čo je NIS2?
NIS2 (Network and Information Security Directive 2) je európska smernica o kybernetickej bezpečnosti. Je to vlastne "NIS2 zákon" na úrovni EÚ, ktorý členské štáty musia prevziať do svojich národných zákonov.
Zjednodušene povedané: EÚ hovorí firmám v kritických sektoroch: "Musíte sa chrániť pred kybernetickými útokmi a ak sa niečo stane, musíte to nahlásiť."
Prečo vznikla?
Ransomware útoky narástli o 300%
Priemerná cena úniku dát dosiahla €4.5 milióna
Útoky na dodávateľské reťazce ukázali systémové riziká
Kedy nadobudla účinnosť?
| Prijatie smernice | Január 2023 |
| Deadline pre transpozíciu | 17. október 2024 |
| Plná účinnosť | Od októbra 2024 |
Od októbra 2024 môžu regulačné orgány (NÚKIB na Slovensku, NBÚ v Česku) vykonávať kontroly a ukladať sankcie.
Koho sa NIS2 týka?
NIS2 rozširuje pôsobnosť na oveľa viac firiem ako predchádzajúca smernica.
Sektory s vysokou kritickosťou
- Energetika (elektrická energia, plyn, ropa, teplo, vodík)
- Doprava (letecká, železničná, vodná, cestná)
- Bankovníctvo a finančné trhy
- Zdravotníctvo
- Pitná voda a odpadové vody
- Digitálna infraštruktúra (DNS, cloud, dátové centrá, CDN)
- Verejná správa
Ďalšie kritické sektory
- Poštové a kuriérske služby
- Odpadové hospodárstvo
- Chemický priemysel
- Potravinárstvo
- Výroba (zdravotnícke pomôcky, počítače, elektronika, stroje, motorové vozidlá)
- Digitálne služby (online trhy, vyhľadávače, sociálne siete)
- Výskum
Kritérium veľkosti
Nestačí byť v regulovanom sektore. Musíte tiež spĺňať veľkostné kritériá:
Stredný podnik: 50-249 zamestnancov ALEBO €10-50 mil obrat
Veľký podnik: 250+ zamestnancov ALEBO €50+ mil obrat
Príklad: Výrobná firma s 80 zamestnancami a obratom €15 miliónov spadá pod NIS2.
Čo NIS2 vyžaduje?
Smernica definuje minimálne opatrenia, ktoré musíte implementovať:
Riadenie rizík
Identifikácia a hodnotenie rizík, implementácia primeraných opatrení
Reakcia na incidenty
Plán reakcie na incidenty, detekčné mechanizmy, postupy pre obnovu
Kontinuita podnikania
Zálohovanie, disaster recovery, krízové riadenie
Bezpečnosť dodávateľského reťazca
Hodnotenie rizík dodávateľov, bezpečnostné požiadavky v zmluvách
Kybernetická hygiena a školenia
Bezpečnostné povedomie, školenia zamestnancov
Kryptografia a riadenie prístupov
Šifrovanie dát, multi-faktorová autentifikácia
Hlásenie incidentov
Jednou z najdôležitejších povinností je hlásenie bezpečnostných incidentov:
24 hodín
Včasné varovanie
72 hodín
Oznámenie
1 mesiac
Záverečná správa
Čo sa stane ak nesplníte požiadavky?
Základné subjekty: €10,000,000 alebo 2% celosvetového obratu
Dôležité subjekty: €7,000,000 alebo 1.4% celosvetového obratu
Osobná zodpovednosť: Členovia vedenia môžu byť osobne zodpovední za neplnenie povinností.
Ako začať?
Overte si to
Prejdite si kritériá - sektor a veľkosť.
Urobte assessment
Zhodnoťte aktuálny stav vašej kybernetickej bezpečnosti.
Prioritizujte
Začnite s najkritickejšími oblasťami - reakcia na incidenty, riadenie prístupov, zálohovanie.
Dokumentujte
NIS2 vyžaduje dokumentáciu. Politiky, postupy, záznamy.
Tento článok slúži na informačné účely a nepredstavuje právne poradenstvo.