Od roku 2025 čaká firmy naprieč Európskou úniou nový režim v oblasti kybernetickej bezpečnosti. NIS2 a DORA menia pravidlá hry – posúvajú bezpečnosť z úrovne IT oddelenia priamo na stôl manažmentu. Prichádza obdobie, keď zodpovednosť, transparentnosť a pripravenosť rozhodujú nielen o reputácii, ale aj o prežití.
🧩 Čo presne sú NIS2 a DORA?
🔐 NIS2 (Sieťová a informačná bezpečnostná smernica 2)
- Rozšírenie pôvodnej smernice z roku 2016
- Účinná od októbra 2024
- Cieľ: posilniť kybernetickú ochranu v kritických sektoroch (energetika, doprava, zdravotníctvo, IT, výroba)
- Rozdelenie firiem: esenciálne (250+ zamestnancov / 50+ mil. €) a dôležité (50+ zamestnancov / 10+ mil. €)
🧱 DORA (Digitálna operačná odolnosť pre finančný sektor)
- Účinnosť od januára 2025
- Zameraná na banky, poisťovne, fintech firmy a ich ICT poskytovateľov
- Vyžaduje riadenie rizík a testovanie odolnosti systémov voči kybernetickým hrozbám
📊 Kľúčové rozdiely a povinnosti
| Oblasť | NIS2 | DORA |
|---|---|---|
| Riadenie rizík | ISO 27001/2, penetračné testy | ICT rámec, testovanie každé 3 roky |
| Incident reporting | Výstraha do 24h, detail do 72h, záver do 30 dní | Incidenty hlásiť do 4 hodín |
| Dodávateľský reťazec | Bezpečnostné hodnotenia | Auditovateľnosť cloudu |
| Vzdelávanie | Manažment povinne | Všetky úrovne zamestnancov |
👔 Manažéri pod tlakom: Osobná zodpovednosť je realita
Sankcie pod NIS2:
- Až 10 mil. € alebo 2 % z globálneho obratu
- Možnosť dočasne zakázať výkon funkcie členovi predstavenstva
- Zverejnenie názvu firmy ako porušovateľa
Zodpovednosť v DORA:
- Predstavenstvo schvaľuje a dohliada na bezpečnostné politiky
- Riaditelia sú zodpovední za zlyhania v riadení ICT rizík
- Povinné školenia a dokumentovanie rozhodnutí
Podľa NBS je viac ako 50 % incidentov spôsobených ľudským zlyhaním – dôkaz, že vedenie firiem zohráva kľúčovú úlohu.
🧭 5 praktických krokov pre slovenské firmy
- Zistite, či ste regulovaný subjekt
- Pre NIS2 použite klasifikačný nástroj NBÚ
- Realizujte gap analýzu
- Porovnajte aktuálny stav s požiadavkami
- Zamerajte sa na MFA, šifrovanie, BCP plány
- Vzdelávajte vrcholový manažment
- Workshopy o phishingu, ransomwari a právnej zodpovednosti
- Ošetrite dodávateľské zmluvy
- Zaveďte klauzuly o súlade s NIS2/DORA
- Nastavte reportovací mechanizmus
- Automatizujte incident reporting – 4h pre DORA, 24–72–30 pre NIS2
🇸🇰 Slovenská realita: Kto stráži koho?
- NBS: Dozerá na implementáciu DORA v bankách a fintech firmách
- NBÚ: Spúšťa portál JISKB na hlásenie incidentov podľa NIS2 (marec 2025)
- 60 dní na registráciu od zaradenia do regulovanej kategórie
🎯 Príklad z praxe: Slovenský dodávateľ pre automotive sektor pod NIS2 musí do konca 2026 zaviesť ISO 27001 a zaviesť red teaming cvičenia.
📌 Záver: Bezpečnosť ako aktívum, nie len náklad
Nové regulácie nie sú len o pokutách. Sú o kultúre firemného správania, o dôvere partnerov a o tom, či firma dokáže čeliť hrozbám digitálneho veku.
Kto sa pripraví včas:
- Získa dôveru trhu
- Zníži svoje riziko
- Zlepší vnútorné procesy
Pre ostatných to môže byť drahá lekcia – v reputácii, peniazoch aj dôvere zákazníkov.
💬 Diskusia: Ako sa pripravujete vy?
- Spadá vaša firma pod NIS2 alebo DORA?
- Čo ste už implementovali a čo vás ešte čaká?
- Má zodpovednosť manažmentu opodstatnenie?
Podeľ sa o skúsenosti – anonymne, otvorene a konštruktívne.
