Súlad so smernicou NIS2 a zákonom č. 69/2018 Z. z. nie je o hromade papierov do šuplíka. Je o firme, ktorá vie, aké má riziká, čo urobí pri incidente a koho zavolá o tretej ráno. Presne takú z vás spravíme — od prvej analýzy až po rolu externého manažéra kybernetickej bezpečnosti.
Zákon rozdeľuje povinné organizácie do dvoch kategórií. Líšia sa intenzitou dohľadu aj výškou sankcií, samotné bezpečnostné opatrenia sú však z veľkej časti rovnaké. Presné zaradenie závisí od sektora, veľkosti a príloh zákona — radi ho pre vás záväzne posúdime.
Spravidla veľké podniky v sektoroch vysokej kritickosti — energetika, doprava, bankovníctvo a finančná infraštruktúra, zdravotníctvo, pitná a odpadová voda, digitálna infraštruktúra či verejná správa. Podliehajú priebežnému (ex ante) dohľadu a najprísnejším sankciám.
Stredné podniky v kritických sektoroch a organizácie v ďalších odvetviach — výroba, potravinárstvo, chemický priemysel, poštové a kuriérske služby, odpadové hospodárstvo, digitálni poskytovatelia a výskum. Dohľad prebieha následne (ex post), povinnosti však platia rovnako.
NIS2 vyžaduje riadenie rizík v desiatich oblastiach — od politík cez dodávateľov až po kryptografiu. Pokrývame ich všetky, technicky aj organizačne.
Identifikujeme, čo vlastne chránite — systémy, dáta, procesy — a posúdime hrozby a zraniteľnosti. Výsledkom je register rizík a plán ich zvládania, ktorý dáva zmysel aj vedeniu, nie len IT.
Politiky, smernice, klasifikácia informácií, riadenie prístupov a evidencie — vypracované na mieru vašim procesom. Žiadne kilogramy generických šablón, ktoré nikto nečíta.
Pripravíme plán reakcie na incidenty vrátane postupov hlásenia jednotke CSIRT a NBÚ v zákonných lehotách. Keď sa niečo stane, každý bude vedieť, čo robiť — a v akom poradí.
Zhodnotíme riziká vašich dodávateľov a pomôžeme dostať bezpečnostné požiadavky do zmlúv. NIS2 totiž platí aj „smerom von" — zodpovedáte za to, komu zveríte svoje systémy.
Zálohovanie, plány obnovy (DRP) a kontinuity (BCP) — a hlavne ich pravidelné testovanie. Záloha, ktorú nikto nikdy neobnovil, nie je záloha, ale zbožné prianie.
Praktické školenia pre zamestnancov aj štatutárov, phishingové testy a budovanie návykov. Väčšina útokov začína e-mailom — nie dierou vo firewalle.
Zmapujeme súčasnú úroveň vašej kybernetickej bezpečnosti — infraštruktúru, procesy aj dokumentáciu — a porovnáme ju s požiadavkami NIS2. Výstupom je zrozumiteľná správa: čo už máte, čo chýba a čo treba riešiť prioritne.
Žiadne univerzálne šablóny. Navrhneme plán dosiahnutia súladu, ktorý rešpektuje vaše existujúce systémy, ľudí aj rozpočet — s jasnými prioritami, termínmi a zodpovednosťami.
Vypracujeme alebo zaktualizujeme bezpečnostné smernice, klasifikáciu informácií a robustné procesy riešenia a hlásenia incidentov — tak, aby obstáli pri audite aj pri reálnom útoku.
Väčšina úspešných útokov začína pri ľuďoch, nie pri technológiách. Pripravíme praktické školenia pre zamestnancov aj vedenie — od rozpoznávania phishingu po povinnosti štatutárov podľa NIS2.
Súlad nie je jednorazový projekt. Nastavíme nástroje na priebežné sledovanie, pravidelné previerky a aktualizácie opatrení podľa vývoja hrozieb aj legislatívy.
Vladimír Sommer je držiteľom certifikátu Manažér kybernetickej bezpečnosti, ev. č. MKB/118/O-024 — vydaného 23. 6. 2026 s platnosťou do 22. 6. 2029. Certifikát udelilo Kompetenčné a certifikačné centrum kybernetickej bezpečnosti, certifikačný orgán pre certifikáciu osôb akreditovaný SNAS (reg. č. 695/O-024) podľa normy ISO/IEC 17024:2012, v súlade s certifikačnou schémou Národného bezpečnostného úradu SR.
V praxi to znamená, že súlad s NIS2 a zákonom č. 69/2018 Z. z. u nás nerieši samouk, ale odborník, ktorého spôsobilosť pravidelne overuje nezávislá autorita — presne tak, ako to legislatíva pre rolu manažéra kybernetickej bezpečnosti vyžaduje.
Každá cena je individuálna — závisí od veľkosti firmy, počtu systémov a východiskového stavu. Prvá konzultácia je vždy zdarma a nezáväzná.
Smernica pokrýva stredné a veľké podniky (od 50 zamestnancov alebo 10 mil. € obratu) v regulovaných odvetviach — energetika, doprava, zdravotníctvo, vodné hospodárstvo, digitálna infraštruktúra, verejná správa, výroba, potravinárstvo a ďalšie. Vybrané subjekty spadajú pod pravidlá bez ohľadu na veľkosť. A pozor: požiadavky sa cez dodávateľské reťazce prenášajú aj na menšie firmy, ktoré regulovaným subjektom dodávajú.
Pre kľúčové subjekty až 10 mil. € alebo 2 % celosvetového ročného obratu, pre dôležité subjekty až 7 mil. € alebo 1,4 % obratu. Pokuta však býva len začiatok — reálny incident znamená výpadok prevádzky, náklady na obnovu, zmluvné sankcie a stratu dôvery zákazníkov, ktorá sa buduje roky.
Priama zákonná povinnosť sa na vás možno nevzťahuje. Čoraz častejšie však vidíme, že veľkí odberatelia vyžadujú preukázanie bezpečnostných opatrení od svojich dodávateľov v zmluvách — bez ohľadu na ich veľkosť. A základná kybernetická hygiena (zálohy, aktualizácie, silné prihlasovanie, školenia) sa oplatí každej firme, ktorá nechce prísť o dáta.
Závisí od veľkosti firmy a východiskového stavu. Gap analýza obvykle zaberie 2 – 4 týždne. Samotná implementácia opatrení trvá typicky 3 – 9 mesiacov — pracujeme po etapách, takže najkritickejšie oblasti riešime ako prvé a firma je chránená priebežne, nie až „na konci projektu".
Úprimná odpoveď: záleží na rozsahu. Preto začíname bezplatnou konzultáciou a gap analýzou — až potom pripravíme fixnú cenovú ponuku bez skrytých položiek. Náklady vieme rozložiť do etáp a v mnohých prípadoch sa dajú kombinovať so správou IT, čím celkovo ušetríte.
Prejdeme si spolu vaše prostredie, povinnosti a najbližšie kroky. Bez záväzkov, bez žargónu a bez faktúry — prvá konzultácia je na nás.