Ako splniť požiadavky 

Zákona o Kybernetickej bezpečnosti 

Pre slovenské spoločnosti od začiatku roka 2025 začala nová éra v oblasti kybernetickej bezpečnosti. Novela zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti, ktorá implementuje európsku smernicu NIS2, nadobudla účinnosť 1. januára 2025 a prináša rozšírené povinnosti pre široké spektrum organizácií pôsobiacich v kritických sektoroch hospodárstva.

Chcem bezplatnú konzultáciu
NIS 2

Koho sa novela týka

Novela zákona výrazne rozširuje okruh regulovaných subjektov v porovnaní s predchádzajúcou legislatívou. Zavádza koncept prevádzkovateľov základnej služby (PZS) a prevádzkovateľov kritickej základnej služby (PKZS), pričom regulácia sa týka organizácií spĺňajúcich určité kritériá.

Základné kritériá zaradenia zahŕňajú podniky s minimálne 50 zamestnancami a ročným obratom presahujúcim 10 miliónov eur, ktoré zároveň pôsobia v jednom z vybraných odvetví alebo sú dodávateľom kritických služieb. Novela zasahuje tisíce subjektov na Slovensku, čo predstavuje výrazný nárast oproti predchádzajúcej regulácii.

Dotknuté sektory

Legislatíva pokrýva 18 kľúčových sektorov hospodárstva, medzi ktoré patria:

Subjekty zásadného významu

Tieto subjekty, ako napríklad energetické spoločnosti, nemocnice a banky, poskytujú služby, ktoré by mali v prípade narušenia vážny dopad na fungovanie štátu, hospodárstva alebo spoločnosti. Z tohto dôvodu podliehajú prísnejším požiadavkám na kybernetickú bezpečnosť.

  • Elektrická energia

    • elektroenergetické podniky, ako sú vymedzené v článku 2 bode 57 smernice Európskeho parlamentu a Rady (EÚ) 2019/944 (1), ktoré vykonávajú funkciu „dodávky“, ako je vymedzená v článku 2 bode 12 uvedenej smernice
    • prevádzkovatelia distribučnej sústavy, ako sú vymedzení v článku 2 bode 29 smernice (EÚ) 2019/944
    • prevádzkovatelia prenosovej sústavy, ako sú vymedzení v článku 2 bode 35 smernice (EÚ) 2019/944
    • výrobcovia, ako sú vymedzení v článku 2 bode 38 smernice (EÚ) 2019/944
    • nominovaní organizátori trhu s elektrinou, ako sú vymedzení v článku 2 bode 8 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/943 (2)
    • účastníci trhu, ako sú vymedzení v článku 2 bode 25 nariadenia (EÚ) 2019/943, ktorí poskytujú služby agregácie, riadenia odberu alebo uskladňovania energie, ako sú vymedzené v článku 2 bodoch 18, 20 a 59 smernice (EÚ) 2019/944
    • prevádzkovatelia nabíjacieho bodu, ktorí sú zodpovední za správu a prevádzku nabíjacieho bodu, ktorý koncovým používateľom poskytuje nabíjaciu službu, a to aj v mene a na účet poskytovateľa služieb mobility

  • Diaľkové vykurovanie a chladenie

    • prevádzkovatelia diaľkového vykurovania alebo diaľkového chladenia, ako sú vymedzení v článku 2 bode 19 smernice Európskeho parlamentu a Rady (EÚ) 2018/2001 (3)

  • Ropa

    • prevádzkovatelia ropovodov
    • prevádzkovatelia zariadení na ťažbu, rafinovanie a spracovanie ropy, jej skladovanie a prepravu (4)

  • Plyn

    • dodávateľské podniky, ako sú vymedzené v článku 2 bode 8 smernice Európskeho parlamentu a Rady 2009/73/ES (5)
    • prevádzkovatelia distribučnej siete, ako sú vymedzení v článku 2 bode 6 smernice 2009/73/ES
    • prevádzkovatelia prepravnej siete, ako sú vymedzení v článku 2 bode 4 smernice 2009/73/ES
    • prevádzkovatelia zásobníkov, ako sú vymedzení v článku 2 bode 10 smernice 2009/73/ES
    • prevádzkovatelia zariadení LNG, ako sú vymedzení v článku 2 bode 12 smernice 2009/73/ES
    • plynárenské podniky, ako sú vymedzené v článku 2 bode 1 smernice 2009/73/ES
    • prevádzkovatelia zariadení na rafinovanie a spracovanie zemného plynu

  • Vodík

    • prevádzkovatelia zariadení na výrobu, skladovanie a prepravu vodíka

  • Letecká doprava

    • leteckí dopravcovia, ako sú vymedzení v článku 3 bode 4 nariadenia (ES) č. 300/2008, využívaní na komerčné účely
    • riadiace orgány letiska, ako sú vymedzené v článku 2 bode 2 smernice Európskeho parlamentu a Rady 2009/12/ES (6), letiská, ako sú vymedzené v článku 2 bode 1 uvedenej smernice, vrátane hlavných letísk uvedených v oddiele 2 prílohy II k nariadeniu Európskeho parlamentu a Rady (EÚ) č. 1315/2013 (7), a subjekty prevádzkujúce pomocné zariadenia nachádzajúce sa na letiskách
    • prevádzkovatelia kontroly riadenia dopravy poskytujúci služby riadenia letovej prevádzky (ATC), ako sú vymedzení v článku 2 bode 1 nariadenia Európskeho parlamentu a Rady (ES) č. 549/2004 (8)

  • Železničná doprava

    • manažéri infraštruktúry, ako sú vymedzení v článku 3 bode 2 smernice Európskeho parlamentu a Rady 2012/34/EÚ (9)
    • železničné podniky, ako sú vymedzené v článku 3 bode 1 smernice 2012/34/EÚ, vrátane prevádzkovateľov servisných zariadení, ako sú vymedzené v článku 3 bode 12 uvedenej smernice

  • Vodná doprava

    • spoločnosti prevádzkujúce vnútrozemskú, námornú a pobrežnú osobnú a nákladnú vodnú dopravu, ako sú vymedzené pre námornú dopravu v prílohe I k nariadeniu Európskeho parlamentu a Rady (ES) č. 725/2004 (10), bez jednotlivých plavidiel, ktoré tieto spoločnosti prevádzkujú
    • riadiace orgány prístavov, ako sú vymedzené v článku 3 bode 1 smernice Európskeho parlamentu a Rady 2005/65/ES (11), vrátane ich prístavných zariadení, ako sú vymedzené v článku 2 bode 11 nariadenia (ES) č. 725/2004, a subjekty prevádzkujúce činnosti a zariadenia v rámci prístavu
    • prevádzkovatelia plavebno-prevádzkových služieb (VTS), ako sú vymedzené v článku 3 písm. o) smernice Európskeho parlamentu a Rady 2002/59/ES (12)

  • Cestná doprava

    • cestné orgány, ako sú vymedzené v článku 2 bode 12 delegovaného nariadenia Komisie (EÚ) 2015/962(13), zodpovedné za kontrolu riadenia dopravy, s výnimkou verejných subjektov, v prípade ktorých je riadenie dopravy alebo prevádzkovanie inteligentných dopravných systémov nepodstatnou súčasťou ich celkovej činnosti
    • prevádzkovatelia inteligentných dopravných systémov, ako sú vymedzené v článku 4 bode 1 smernice Európskeho parlamentu a Rady 2010/40/EÚ (14)

  • úverové inštitúcie, ako sú vymedzené v článku 4 bode 1 nariadenia Európskeho parlamentu a Rady (EÚ) č. 575/2013 (15)

  • prevádzkovatelia obchodných miest, ako sú vymedzení v článku 4 bode 24 smernice Európskeho parlamentu a Rady 2014/65/EÚ (16)
  • centrálne protistrany (CCP), ako sú vymedzené v článku 2 bode 1 nariadenia Európskeho parlamentu a Rady (EÚ) č. (17)

  • poskytovatelia zdravotnej starostlivosti, ako sú vymedzení v článku 3 písm. g) smernice Európskeho parlamentu a Rady 2011/24/EÚ (18)
  • referenčné laboratóriá EÚ uvedené v článku 15 nariadenia Európskeho parlamentu a Rady (EÚ) (19)
  • subjekty vykonávajúce činnosti vo výskume a vývoji liekov, ako sú vymedzené v článku 1 bode 2 smernice Európskeho parlamentu a Rady 2001/83/ES (20)
  • subjekty vyrábajúce základné farmaceutické výrobky a farmaceutické prípravky uvedené v sekcii C divízii 21 NACE Rev.
  • subjekty vyrábajúce zdravotnícke pomôcky považované za kritické v núdzovej situácii v oblasti verejného zdravia (ďalej len „zoznam kritických pomôcok v núdzovej situácii v oblasti verejného zdravia“) v zmysle článku 22 nariadenia Európskeho parlamentu a Rady (EÚ) 2022/123 (21)

  • dodávatelia a distribútori vody určenej na ľudskú spotrebu, ako je vymedzená v článku 2 bode 1 písm. a) smernice Európskeho parlamentu a Rady (EÚ) 2020/2184 (22), s výnimkou distribútorov, pre ktorých je distribúcia vody určenej na ľudskú spotrebu nepodstatnou súčasťou ich celkovej činnosti v oblasti distribúcie iných komodít a tovaru

  • podniky zaoberajúce sa zberom, likvidáciou alebo úpravou komunálnych odpadových vôd, odpadových vôd z domácností alebo priemyselných odpadových vôd, ako sú vymedzené v článku 2 bodoch 1, 2 a 3 smernice Rady 91/271/EHS(23), s výnimkou podnikov, pre ktoré je zber, likvidácia alebo úprava komunálnych odpadových vôd, odpadových vôd z domácností alebo priemyselných odpadových vôd nepodstatnou súčasťou ich celkovej činnosti

  • poskytovatelia internetových prepojovacích uzlov

  • poskytovatelia služieb DNS, s výnimkou prevádzkovateľov koreňových názvových serverov
  • správcovia názvov TLD

  • poskytovatelia služieb cloud computingu

  • poskytovatelia služieb dátového centra

  • poskytovatelia sietí na sprístupňovanie obsahu

  • poskytovatelia dôveryhodných služieb

  • poskytovatelia verejných elektronických komunikačných sietí

  • poskytovatelia verejne dostupných elektronických komunikačných služieb

  • poskytovatelia riadených služieb
  • poskytovatelia riadených bezpečnostných služieb

  • subjekty verejnej správy na úrovni ústrednej štátnej správy, ako ich vymedzuje členský štát v súlade s vnútroštátnym právom

  • subjekty verejnej správy na regionálnej úrovni, ako ich vymedzuje členský štát v súlade s vnútroštátnym právom

  • prevádzkovatelia pozemnej infraštruktúry, ktorú vlastnia, riadia a prevádzkujú členské štáty alebo súkromné subjekty, ktorí prispievajú k poskytovaniu vesmírnych služieb, s výnimkou poskytovateľov verejných elektronických komunikačných sietí

Subjekty dôležitého významu

Sem patria organizácie, ako napríklad poštové služby, odpadové hospodárstvo a výrobné firmy. Narušenie ich služieb by síce malo menší dopad, ale aj tak predstavuje riziko pre kybernetickú bezpečnosť. Preto aj tieto subjekty musia dodržiavať určité bezpečnostné opatrenia.

  • poskytovatelia poštových služieb, ako sú vymedzení v článku 2 bode 1a smernice 97/67/ES, vrátane poskytovateľov kuriérskych služieb

  • podniky vykonávajúce činnosti nakladania s odpadom, ako je vymedzené v článku 3 bodu 9 smernice Európskeho parlamentu a Rady 2008/98/ES (1), s výnimkou podnikov, pre ktoré nakladanie s odpadom nepredstavuje hlavnú hospodársku činnosť

  • podniky vyrábajúce látky a distribuujúce látky alebo zmesi, ako je uvedené v článku 3 bodoch 9 a 14 nariadenia Európskeho parlamentu a Rady (ES) č. 1907/2006 (2), a podniky vyrábajúce výrobky, ako sú vymedzené v článku 3 bode 3 uvedeného nariadenia, z látok a zmesí

  • potravinárske podniky, ako sú vymedzené v článku 3 bode 2 nariadenia Európskeho parlamentu a Rady (ES) č. 178/2002 (3), ktoré sa zaoberajú veľkoobchodnou distribúciou a priemyselnou výrobou a spracovaním

  • Výroba zdravotníckych pomôcok a diagnostických zdravotníckych pomôcok in vitro

    subjekty vyrábajúce zdravotnícke pomôcky, ako sú vymedzené v článku 2 bode 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2017/745 (4), a subjekty vyrábajúce diagnostické zdravotnícke pomôcky in vitro, ako sú vymedzené v článku 2 bode 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2017/746 (5), s výnimkou subjektov vyrábajúcich zdravotnícke pomôcky uvedených v piatej zarážke bodu 5 prílohy I tejto smernice

  • Výroba počítačových, elektronických a optických výrobkov

    subjekty vykonávajúce akúkoľvek hospodársku činnosť uvedenú v sekcii C divízii 26 NACE Rev. 2

  • Výroba elektrických zariadení

    subjekty vykonávajúce akúkoľvek hospodársku činnosť uvedenú v sekcii C divízii 27 NACE Rev. 2

  • Výroba strojov a zariadení i. n.

    subjekty vykonávajúce akúkoľvek hospodársku činnosť uvedenú v sekcii C divízii 28 NACE Rev. 2

  • Výroba motorových vozidiel, návesov a prívesov

    subjekty vykonávajúce akúkoľvek hospodársku činnosť uvedenú v sekcii C divízii 29 NACE Rev. 2

  • Výroba ostatných dopravných prostriedkov

    subjekty vykonávajúce akúkoľvek hospodársku činnosť uvedenú v sekcii C divízii 30 NACE Rev. 2

  • poskytovatelia online trhov

  • poskytovatelia internetových vyhľadávačov

  • poskytovatelia platforiem služieb sociálnej siete

  • výskumné organizácie

Časová os a lehoty

Implementácia novely prebieha podľa presne stanoveného harmonogramu s jasne definovanými míľnikmi.

Do 28. februára 2025
Do 28. februára 2025 mali organizácie povinnosť oznámiť Národnému bezpečnostnému úradu (NBÚ), že sú prevádzkovateľom základnej služby alebo kritickej základnej služby. Pri oznámení bolo potrebné uviesť názov, sídlo, kontaktné údaje vrátane elektronických adries, verejných IP adries a telefónnych čísel, ako aj zoznam členských štátov EÚ, v ktorých organizácia vykonáva činnosť.
Do 30 dní od zapísania
Do 30 dní od zapísania do registra regulovaných subjektov, organizáciám začínajú plynúť lehoty vyplývajúce zo zákona.
Do 12 mesiacov od zapísania
Do 12 mesiacov od zapísania musia organizácie začať plniť požiadavky Novely 227 ako sú menovanie manažéra kybernetickej bezpečnosti, ktorý spĺňa znalostné kritériá stanovené legislatívou, začatie povinnosti hlásiť závažné kybernetické incidenty NBÚ podľa vyhlášky 226 a uzatvoriť zmluvy o plnení bezpečnostných opatrení s tretími stranami, ak existujú činnosti priamo súvisiace s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov. Implementovať komplexné bezpečnostné opatrenia podľa požiadaviek, podľa toho čí ako subjekt spadáte medzi PZS alebo PKZS. Tieto opatrenia musia byť založené na dôkladnej analýze rizík, BIA a zahŕňať technické, personálne a organizačné opatrenia.
Práve prebieha
NBÚ s ústrednými orgánmi štátnej správy kontinuálne vyhodnocuje žiadosti o samoidentifikáciu o zaradení do registra regulovaných subjektov. Ak sa nesamoindetifikujete môže vám hroziť pokuta. V praxi vás však môže stále nahlásiť váš dodávateľ alebo odberateľ. Preto netreba zanedbať krok samoidentifikácie.
Do 2 rokov od zapísania

Do 24 mesiacov od zapísania do registra prevádzkovateľov základnej služby je potrebné vykonať samohodnotenie certifikovaným manažérom alebo audítorom kybernetickej bezpečnosti. Pre prevádzkovateľov kritickej základnej služby je potrebný nezávislý audit kybernetickej bezpečnosti certifikovaným audítorom kybernetickej bezpečnosti a predložiť záverečnú správu NBÚ. 

Prevádzkovatelia základnej služby a prevádzkovatelia kritickej základnej služby, už po novom začnú komunikovať prostredníctvom jednotného informačného systému kybernetickej bezpečnosti. 

Povinné opatrenia

Novela zákona zavádza komplexný súbor bezpečnostných požiadaviek, ktoré musia regulované subjekty implementovať.

  • Technické a organizačné opatrenia

    Organizácie musia identifikovať a evidovať bezpečnostné incidenty, vytvoriť postupy na ich riešenie a pripraviť plán obnovy po incidente. Základom je vykonanie komplexnej analýzy rizík, na ktorej základe sa implementuje adekvátna sada bezpečnostných opatrení úmerných identifikovaným hrozbám.

    Medzi kľúčové technické opatrenia patria šifrovanie dát na ochranu citlivých informácií pred neoprávneným prístupom, dvojfaktorová autentifikácia, systémy na včasné odhaľovanie incidentov a pravidelné penetračné testy. Bezpečnostné opatrenia musia zahŕňať aj monitorovanie kybernetických hrozieb, správu zraniteľností a zabezpečenie IT infraštruktúry.

  • Zodpovedné osoby

    Každá regulovaná organizácia musí určiť manažéra kybernetickej bezpečnosti, ktorý spĺňa znalostné štandardy ustanovené vyhláškou NBÚ. Manažér musí plniť úlohy podľa zákona a niesť zodpovednosť za implementáciu a priebežné riadenie bezpečnostných opatrení.

    Okrem toho je potrebné určiť osobu na prijímanie a evidenciu hlásení o kybernetických incidentoch, ktorá zabezpečí komunikáciu s NBÚ v stanovených lehotách.

  • Školenia a informovanosť

    Zákon vyžaduje pravidelné školenia zamestnancov o kybernetickej bezpečnosti. Vzdelávanie personálu predstavuje kľúčový prvok prevencie, pretože ľudský faktor zostáva jednou z najčastejších príčin kybernetických incidentov.

  • Hlásenie incidentov

    Novinkou je prísnejší systém nahlasovania kybernetických incidentov s presne stanovenými lehotami. Predbežné hlásenie musí byť odoslané do 24 hodín od zistenia incidentu, podrobná správa s analýzou incidentu do 72 hodín a záverečná správa s implementovanými nápravnými opatreniami do jedného mesiaca od incidentu.

    Tento systém umožňuje rýchlejšiu reakciu kontrolných orgánov a efektívnejšie zdieľanie informácií o hrozbách medzi subjektmi.

  • Bezpečnosť dodávateľského reťazca

    Subjekty budú zodpovedné nielen za vlastnú kybernetickú bezpečnosť, ale aj za bezpečnosť svojho dodávateľského reťazca. Musia identifikovať a hlásiť kľúčových dodávateľov, ktorí majú vplyv na ich kybernetickú bezpečnosť, a uzatvárať s nimi zmluvy o plnení bezpečnostných opatrení.

Postup implementácie

1. Rozdielová analýza (GAP)

Prvým krokom je vykonanie rozdielovej analýzy, ktorá identifikuje súčasný stav kybernetickej bezpečnosti organizácie a porovná ho s požiadavkami novely zákona. Táto analýza odhalí oblasti, kde je potrebné prijať dodatočné opatrenia alebo posilniť existujúce procesy.

2. Analýza rizík a dopadová štúdia

Na základe výsledkov GAP analýzy nasleduje komplexná analýza rizík, ktorá identifikuje a hodnotí potenciálne kybernetické hrozby špecifické pre danú organizáciu. Súčasťou tohto kroku je aj dopadová štúdia (Business Impact Analysis - BIA) a plán kontinuity podnikania (Business Continuity Management - BCM).

3. Plán zvládania rizík

Výstupom analýzy rizík je plnohodnotná bezpečnostná stratégia, ktorá definuje konkrétne opatrenia na zvládnutie identifikovaných rizík s pridanou hodnotou pre organizáciu. Stratégia by mala byť úmerná identifikovaným rizikám a zohľadňovať špecifiká odvetvia, v ktorom organizácia pôsobí.

4. Implementácia a hodnotenie

o schválení stratégie nasleduje fáza implementácie technických, personálnych a organizačných opatrení. Po implementácii je potrebné vyhodnotiť účinnosť prijatých opatrení, čo dokáže najlepšie vyhodnotiť certifikovaný audítor alebo manažér kybernetickej bezpečnosti.

Pripraví vás to tak na samohodnotenie alebo audit, ktorý musí vykonať len certifikovaný audítor kybernetickej bezpečnosti akreditovaný NBÚ. Audit overuje plnenie povinností podľa zákona a posudzuje zhodu prijatých bezpečnostných opatrení s požiadavkami legislatívy.

Prečo riešiť cybersec s VNETom?

VNET je slovenský líder v oblasti digitálnej infraštruktúry, ktorý má dlhoročné skúsenosti s bezpečnou prevádzkou dátových centier, cloudových riešení a IT služieb.

  • Máme referencie v takmer každom sektore a naši ľudia sú skúsení odborníci s dlhoročnou praxou. Poskytujeme služby v súlade s najnovšou európskou aj slovenskou legislatívou vrátane požiadaviek NIS2 a novely ZoKB, čím garantujeme právnu istotu a ochranu vašej organizácie pred sankciami.
  • Naša infraštruktúra spĺňa prísne bezpečnostné štandardy (ISO certifikácie, pravidelné audity, vlastný Security Operations Center), ktoré zabezpečujú vysokú úroveň ochrany vašich údajov a nepretržitý monitoring prevádzky.
  • Ponúkame komplexné riešenia kybernetickej bezpečnosti – od analýzy rizík cez implementáciu technických a organizačných opatrení až po pravidelné školenia vašich zamestnancov a okamžité riešenie incidentov.
  • Kladieme dôraz na individuálny prístup a poradenstvo – pripravíme vám bezpečnostnú stratégiu presne na mieru podľa veľkosti, potreby a zamerania vašej firmy.
  • VNET zabezpečuje transparentnú komunikáciu, rýchle reakčné časy v prípade kybernetických udalostí a dlhodobú podporu – ste vždy v kontakte priamo s expertmi, nie anonymnou podporou.
  • Podporujeme vašu konkurencieschopnosť a spoľahlivosť na trhu – dôvera v ochranu údajov je pre partnerov a zákazníkov v digitálnej ekonomike kľúčová.
  • Investícia do kyberbezpečnosti s VNET-om znamená nielen splnenie legislatívnych požiadaviek, ale aj strategickú ochranu vášho podnikania, reputácie a budúcnosti.
  • Sme renomovaná slovenská firma, ktorej bezpečnosť a dôveryhodnosť ocenila aj spoločnosti Deloitte, Forbes, Elite a množstvo významných podnikových klientov.

Sankcie a ich výška

Nedodržiavanie povinností v oblasti kybernetickej bezpečnosti môže mať pre organizácie vážne právne a finančné následky.

Pre prevádzkovateľov kritickej základnej služby môže NBÚ uložiť pokutu až do výšky 10 miliónov eur alebo 2 % z celosvetového ročného obratu, podľa toho, ktorá suma je vyššia. Táto sankcia platí za závažné porušenia povinností stanovených zákonom.

Okrem finančných pokút môže NBÚ uložiť aj zákaz výkonu funkcie pre štatutárne orgány alebo iné zodpovedné osoby na dobu najmenej šesť mesiacov. Takáto sankcia by mohla viesť k paralýze riadenia spoločnosti a značným komplikáciám v jej fungovaní.

Výška pokuty závisí od závažnosti porušenia, trvania incidentu, následkov porušenia a okolností, za ktorých k nemu došlo. V prípade opakovaného porušenia do jedného roka od nadobudnutia právoplatnosti rozhodnutia o uložení pokuty môže NBÚ uložiť pokutu až do dvojnásobku pôvodnej výšky.

Pri nesplnení ohlasovacej povinnosti voči NBÚ v stanovenej lehote 60 dní od začiatku vykonávania činnosti, ktorá pod reguláciu spadá, hrozia organizáciám vysoké finančné sankcie.

Dopady nedodržiavania zákona

Okrem priamych sankcií má nedodržiavanie povinností v oblasti kybernetickej bezpečnosti ďalšie negatívne dôsledky pre organizácie.

Finančné straty zahŕňajú nielen samotné pokuty, ale aj výpadok príjmov počas riešenia incidentu, čo môže výrazne zaťažiť rozpočet spoločnosti. Strata reputácie a dôvery zákazníkov predstavuje dlhodobé riziko, pretože incidenty spojené s nedostatočnou ochranou údajov môžu viesť k odchodu klientov a partnerov.

Právne dôsledky môžu zahŕňať súdne spory zo strany poškodených klientov alebo obchodných partnerov, ktorí utrpeli škodu v dôsledku nedostatočnej kybernetickej bezpečnosti organizácie. V konkurenčnom prostredí môže poškodenie dobrého mena firmy viesť k dlhodobému poklesu jej trhovej pozície.

Záver

Novela zákona o kybernetickej bezpečnosti a implementácia smernice NIS2 predstavujú významnú zmenu pre slovenské organizácie pôsobiace v kritických sektoroch hospodárstva. Rozšírenie okruhu regulovaných subjektov, sprísnenie požiadaviek na bezpečnostné opatrenia a zavedenie významných sankcií za nedodržiavanie legislatívy vyžadujú od spoločností systematický a proaktívny prístup.

Organizácie by mali čo najskôr identifikovať, či spadajú pod reguláciu, a v prípade potreby začať s implementáciou požadovaných opatrení. Využitie odborných konzultácií a služieb certifikovaných audítorov môže výrazne uľahčiť proces dosiahnutia súladu s legislatívou a minimalizovať riziko sankcií.

Investícia do kybernetickej bezpečnosti nie je len otázkou súladu s legislatívou, ale aj strategickým krokom na ochranu pred rastúcimi kybernetickými hrozbami, ktoré môžu ohroziť kontinuitu podnikania a konkurencieschopnosť organizácie.