NIS 2 na Slovensku a EÚ: Pohľad z praxe — na čo si dať pozor

NIS 2 na Slovensku a EÚ: Pohľad z praxe — na čo si dať pozor

26. júna 2026
9 zápisnice

KĽÚČOVÉ FAKTY

NIS 2 relies on self-assessment, but getting it right is harder than it sounds — companies in sectors like food, automotive, chemicals or managed ICT services often do not realise they are caught, and the responsibility for getting it wrong sits with the company and its directors.

Even a newly established company with zero employees and zero turnover may fall under NIS 2 — if it is part of a group, size thresholds are assessed at group level, not locally.

Each EU Member State has ‚tailored‘ NIS 2 to its own needs. Notification forms are not standardised, and a company operating across borders must assess compliance separately in each country.

Fines under NIS 2 are not symbolic — for essential entities, they can reach EUR 10 million or 2% of global annual turnover. Even a failure to notify can result in a fine of up to EUR 500,000.

Smernica NIS 2 (smernica EÚ 2022/2555) mala priniesť jednotné pravidlá kybernetickej bezpečnosti v celej EÚ. Realita je však iná. Z našej praxe — pri implementácii NIS 2 u desiatok klientov z rôznych odvetví a viacerých krajín — vieme, že každý členský štát si smernicu „ušil“ po svojom. Pre medzinárodné koncerny to znamená jednu vec: čo platí v Rumunsku či Českej republike, nemusí stačiť na Slovensku a naopak.

Prvá prekážka? Už samotná „samoidentifikácia“ t.j. zistenie, či vaša spoločnosť spadá pod povinnosti NIS 2.

V praxi sme sa opakovane stretli s tým, že spoločnosti si nevedia s istotou odpovedať na zdanlivo jednoduchú otázku: „Sme povinný subjekt podľa NIS 2?“

Niektoré krajiny vrátane Slovenska síce poskytujú nástroj na samoodentifikáciu či možnosť požiadať Národný bezpečnostný úrad (ďalej len „NBÚ“) o metodické usmernenia, avšak tieto nie sú právne záväzné a zodpovednosť v zmysle Zákona spočíva na samotnej spoločnosti a jej štatutároch. Metodické usmernenia zároveň často odkazujú aj na európske predpisy, ktoré môžu byť v danom členskom štáte EÚ implementované alebo vykladané inak.

Ako príklad uvádzame spoločnosti, ktoré nevedia, že spadajú do definície potravinárskeho podniku, či spoločnosti, ktoré sú výrobcami v automotive sektore. Interpretačné problémy spôsobuje aj výroba chemických látok či riadené služby IKT. V poslednom prípade treba zohľadniť aj to, že hoci v danom prípade môžu využiť spoločnosti výnimku tzv. one-shop-stop, pokiaľ skupina/koncern nemá hlavnú prevádzkareň v jednej krajine, spoločnosti sa musia notifikovať v každej krajine.

Pozor si treba dávať aj na určenie veľkosti podniku. Aj novozaložená spoločnosť, ktorá má v čase vzniku 0 zamestnancov a 0 EUR obrat totiž môže spadať pod reguláciu NIS2, najmä v prípadoch, ak je súčasťou koncernu.

Odpoveď znie: Áno.

Konkrétny špecifický príklad z praxe: článok 26 ods. 1 písm. a) NIS 2 stanovuje, že poskytovatelia verejných elektronických sietí či verejne dostupných elektronických služieb podliehajú jurisdikcii toho štátu, v ktorom služby poskytujú. Čo to však reálne znamená pre firmu, ktorá pôsobí cezhranične a prevádzkareň má len v jednej krajine?

Slovenský zákon o kybernetickej bezpečnosti (zákon č. 69/2018 Z. z.) vychádza zo všeobecného pravidla, podľa ktorého slovenskej regulácii podliehajú subjekty, ktoré majú na Slovensku sídlo. Z tohto pravidla sú špecifické výnimky pri určitých službách (napr. riadené služby), podľa ktorého slovenskej regulácii podliehajú subjekty, pokiaľ majú na Slovensku hlavnú prevádzkareň.

Pre poskytovanie verejných elektronických komunikačných sietí či služieb zo zahraničia však spoločnosť nespadá ani pod jedno z vyššie uvedených pravidiel.

Pri prísnej aplikácii smernice NIS 2 by spoločnosť mala splniť registračnú povinnosť na Slovensku — zaregistrovať sa do registra NBÚ (oznámiť svoju činnosť).

Tu je potrebné povedať jasne: oznámením činnosti na NBÚ povinnosti spoločnosti nekončia — práve naopak, začínajú.

Spoločnosť sa stáva riadnym poskytovateľom základných služieb — dokonca ako kľúčový subjekt (tzv. essential entity). To vyžaduje mať kompletnú bezpečnostnú dokumentáciu v súlade so slovenským zákonom o kybernetickej bezpečnosti a podrobiť sa auditu kybernetickej bezpečnosti certifikovaným audítorom. Z našej praxe vieme, že táto fáza zvykne klientov prekvapiť — rozsah povinností je výrazne väčší, než väčšina spoločností očakáva. Akým spôsobom slovenský audítor vykoná audit zahraničnej bezpečnostnej dokumentácie, legislatíva nerieši.

V niektorých krajinách môže mať takáto spoločnosť alebo zahraničná spoločnosť vo všeobecnosti problémy už pri samotnom zápise do registra.

Formuláre na oznámenie začatie činnosti spadajúcej pod NIS 2 totiž nie sú v EÚ jednotné (!).

Napríklad v Českej republike sa pri zahraničných spoločnostiach vyžaduje, aby mali zástupcu s českým dokladom a na NBÚ sa registruje nielen samotná spoločnosť, ale aj zástupca.

Zahraničné spoločnosti, ale aj lokálne spoločnosti so zahraničnými konateľmi môžu čeliť novým technickým požiadavkám a výzvam, aby si vedeli efektívne zriadiť prístupy do národných portálov.

Tieto rozdiely medzi krajinami sú dôvodom, prečo je pri implementácii NIS 2 kľúčové mať po boku poradcu s praktickou skúsenosťou z viacerých jurisdikcií — nie len s teoretickou znalosťou smernice.

Ak ste súčasťou medzinárodného koncernu, nestačí vyriešiť NIS 2 len na Slovensku. V každej krajine, kde pôsobíte, je potrebné samostatne posúdiť, či spadáte pod tamojšiu NIS 2 reguláciu, a v príslušných lehotách sa zaregistrovať — na Slovensku do 60 dní od začatia činnosti u Národného bezpečnostného úradu (NBÚ).

Kľúčové lehoty, ktoré by ste mali mať v diári

  • Registrácia u NBÚ — do 60 dní od začatia regulovanej činnosti
  • Prijatie bezpečnostných opatrení (ustanovenie manažéra kybernetickej bezpečnosti, analýza rizík, bezpečnostná dokumentácia) — do 12 mesiacov od registrácie
  • Audit ak ste kľúčový subjekt / Samohodnotenie účinnosti opatrení, ak ste dôležitý subjekt— do 24 mesiacov od registrácie (audit, ak ste kľúčový subjekt)

Ak už máte zavedené nejaké bezpečnostné opatrenia, odporúčame začať s GAP analýzou kybernetickej bezpečnosti — komplexným posúdením, kde sa nachádzate a čo vám chýba do plného súladu s NIS 2. Z našej skúsenosti s klientmi rôznych veľkostí a odvetví vieme, že výsledky bývajú často prekvapivé — u niektorých spoločností sme identifikovali nesúlad až v 99 % zákonných požiadaviek. Ak zatiaľ nemáte prijaté žiadne bezpečnostné opatrenia, začnite analýzou rizík.

Hoci v čase registrácie nie je potrebné mať stanoveného manažéra kybernetickej bezpečnosti, odporúčame nenechávať si riešenie tejto požiadavky na neskôr.

V praxi sme sa stretli aj s tým, že najmä koncernové spoločnosti automaticky siahajú po outsourcingu roly manažéra kybernetickej bezpečnosti, pretože ich regionálny, či koncernový CISO neovláda slovenský jazyk, hoci túto pozíciu vedia pokryť interne — často efektívnejšie a s hlbšou znalosťou firemných procesov. Odporúčame najskôr posúdiť interné kapacity proti zákonným požiadavkám a správne nastaviť procesy.

Súčasťou bezpečnostných opatrení, ktoré môžu byť pre niektoré spoločnosti úplne nové, je povinnosť riadiť riziká vo svojom dodávateľskom reťazci. Ak ste povinným subjektom, musíte identifikovať všetkých kľúčových dodávateľov, ktorých služby alebo produkty priamo súvisia s dostupnosťou, dôvernosťou a integritou vašich sietí a informačných systémov. Na základe analýzy rizík potom posúdite, s ktorými dodávateľmi je potrebné uzatvoriť písomnú zmluvu o bezpečnostných opatreniach — a to nielen s novými, ale aj v rámci existujúcich vzťahov.

Z našej praxe vieme, že práve dodávateľské zmluvy sú oblasťou, kde majú spoločnosti najväčšie medzery. Existujúce kontrakty spravidla neobsahujú klauzuly vyžadované zákonom o kybernetickej bezpečnosti a ich dodatkovanie býva časovo aj vyjednávacím náročný proces najmä pri koncernových spoločnostiach. Odporúčame začať s revíziou dodávateľských vzťahov čo najskôr — nie je to len o papierovaní, ale o reálnom znížení rizika kybernetického incidentu cez vášho dodávateľa.

Či už máte pochybnosti, či spadáte pod reguláciu NIS 2, alebo potrebujete právne poradenstvo pri registrácii, GAP analýze, analýze rizík, bezpečnostnej dokumentácii, nastavení zmlúv s dodávateľmi, či zabezpečení roly manažéra kybernetickej bezpečnosti — náš tím má s tým reálne skúsenosti naprieč viacerými krajinami a odvetviami. Neváhajte sa na nás obrátiť.

Pokuty podľa slovenského zákona o kybernetickej bezpečnosti nie sú symbolické — sú nastavené podľa európskych pravidiel a môžu dosiahnuť aj percentá z celosvetového obratu:

Čím skôr začnete s implementáciou NIS 2, tým menšie riziko. Tím LYNX legal pre IP & IT právo vám pomôže komplexne — od právneho posúdenia, cez registráciu u NBÚ, GAP analýzu, analýzu rizík, bezpečnostnú dokumentáciu, až po revíziu dodávateľských zmlúv a nastavenie roly manažéra kybernetickej bezpečnosti. Máme za sebou desiatky úspešných implementácií naprieč Slovenskom, ako aj ďalšími krajinami EÚ, v ktorých LYNX pôsobí.

V prípade otázok napíšte nášmu LYNX IP, IT and Data tímu.

Autor: Michala Mihályová, Senior Associate, LYNX Slovakia

Zdroj: Act No. 69/2018 Coll. on Cyber Security, as amended; Directive (EU) 2022/2555 (NIS 2); National Security Authority (NSA)

We don’t just
advise – we commit.

We think like stakeholders.
We’re by your side to drive results.