Obsah

Príde vám bezpečnostný dotazník od veľkého odberateľa, alebo zistíte, že sa vás už týka zákon o kybernetickej bezpečnosti, a zrazu stojíte pred dvoma vecami naraz: normou ISO 27001 a reguláciou. Otázka, ktorú v tej chvíli počujem najčastejšie, znie: „Máme dvadsaťsedmičku, sme teda v súlade so zákonom?“

Väčšina firiem berie normu a zákon ako dve oddelené kopy papierov, dva projekty s vlastnými ľuďmi a vlastnou dokumentáciou. Lenže keď sa pod ne pozriete, obe stoja na tej istej veci, a tou je analýza rizík.

Praktický dôsledok toho oddeleného pohľadu je nepríjemný. Keď beriete normu a zákon ako dva nezávislé projekty, tak staviate dvakrát to isté riadenie rizík, dvakrát platíte a dvakrát viažete ľudí, a navyše vám aj s certifikátom môže pri kontrole alebo incidente chýbať práve ten kúsok, ktorý norma nerieši a zákon áno. Cena za to nie je len prípadná pokuta, ale falošný pokoj, že „máme to vybavené“.

Čo hovorí norma

Začnime normou. STN ISO/IEC 27001:2023, teda systém manažérstva informačnej bezpečnosti, nie je zoznam povinných technológií, hoci sa tak často chápe. Je postavená na posúdení rizík: najprv zistíte, čo môže ohroziť dôvernosť, integritu a dostupnosť vašich informácií, a až podľa toho vyberáte opatrenia. Príloha A normy je vlastne katalóg opatrení, z ktorého si vyberiete to, čo sa vás týka, a vyhlásenie o aplikovateľnosti (po anglicky Statement of Applicability) je jednoducho zoznam toho, čo z katalógu používate a prečo. Kto začne nákupom nástrojov bez analýzy rizík, robí to odzadu.

Čo hovorí legislatíva

Základom je Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení neskorších predpisov, v skratke ZoKB. Európska smernica NIS2 sa do neho dostala novelou (zákonom č. 366/2024 Z. z.). Konkrétne bezpečnostné opatrenia stanovuje Vyhláška č. 227/2025 Z. z., hlásenie incidentov Vyhláška č. 226/2025 Z. z.

Nová vyhláška o bezpečnostných opatreniach zmenila filozofiu: namiesto odškrtávania katalógu žiada opatrenia naviazané na reálnu analýzu rizík, a NBÚ k tomu vydal vlastnú metodiku analýzy rizík. Inými slovami, aj regulátor dnes hovorí to, čo táto séria opakuje od začiatku, totiž začnite od rizika, nie od katalógu.

Čo to v praxi znamená

Pre vzťah normy a zákona z toho vyplýva jasná vec. Norma pokrýva veľkú časť toho, čo žiada zákon, teda riadenie rizík, opatrenia, riešenie incidentov aj zapojenie vedenia, a opatrenia vyhlášky 227/2025 sa do veľkej miery prekrývajú s prílohou A normy. Takže ak máte funkčné ISO 27001, máte väčšinu cesty za sebou. Tie isté opatrenia sa dajú vidieť aj cez ochranu osobných údajov. O tom, čo žiada bezpečnosť spracúvania podľa GDPR, píšeme samostatne.

Tá výhrada ale je, že nie celú. Na plný súlad treba doplniť to, čo norma sama nerieši: hlásenie incidentov regulátorovi v pevných lehotách (včasné varovanie do 24 hodín, podrobnejšie oznámenie do 72 hodín a záverečnú správu do jedného mesiaca), registráciu subjektu, overenie, pod aký režim vlastne spadáte, a formálnu zodpovednosť vedenia podľa zákona. Podobnú logiku hlásenia v stanovených lehotách pozná aj GDPR pri porušení ochrany osobných údajov, kde sa únik hlási úradu do 72 hodín. Práve toto firmám s certifikátom pri kontrole najčastejšie chýba. Certifikát teda nie je automatické rovnítko k súladu so zákonom, a kto si myslí opak, býva pri prvej kontrole nemilo prekvapený.

Kde začať?

Keby som mal odporučiť prvý krok, nebola by to ani dokumentácia, ani nákup technológií. Začal by som analýzou rizík tak, ako to vyžaduje aj NBÚ. Prečo práve analýzou? Pretože z jednej dobre urobenej analýzy vyplynie všetko, čo potrebujete pre normu, aj všetko, čo vyžaduje zákon. Nie je dôvod budovať dva paralelné systémy, keď jeden pokryje oboje. Z praxe externého manažéra kybernetickej bezpečnosti to vidím stále dokola: firma, ktorá si toto poradie ujasní na začiatku, ušetrí mesiace práce aj nemalé peniaze.

Keďže sa regulácia stále vyvíja a režim sa líši podľa sektora aj veľkosti, oplatí sa overiť si konkrétne postavenie vašej organizácie. Ak chcete prejsť, kde stojíte voči norme aj voči zákonu a ako to spojiť do jedného zmysluplného celku, na úvodnej konzultácii sa na to pozrieme spolu a navrhnem ďalší krok bez záväzku.