NIS2 × GDPR × DORA × ISO 27001: koľko kontrol splníte jednou implementáciou
Finančná firma, ktorá má v roadmape DORA aj NIS2. Výrobca, ktorý otvára servisné zmluvy a potrebuje ISO 27001 aj NIS2. Zdravotnícky SaaS s GDPR, NIS2 a ambíciou SOC 2 pre US klientov. Každý si myslí, že bude implementovať 3–4× to isté. Pravda je — ak začnete od NIS2, veľmi rýchlo máte pokryté aj ostatné.
Tento článok ukazuje presné percentá overlapov podľa 10 NIS2 oblastí, s odkazmi na konkrétne články jednotlivých štandardov.
Kľúčový záver
Ak plne dodržíte smernicu NIS2 (EÚ 2022/2555) + SK zákon 366/2024 + SK vyhl. 227/2025 + CZ zákon 264/2025:
| Framework | Priemerné pokrytie | Čo dostanete zadarmo |
|---|---|---|
| DORA (2022/2554) | ~95 % | ICT risk mgmt, BCM, incident mgmt, supply chain, crypto, access control |
| ISO/IEC 27001:2022 | ~97 % | Annex A controls (A.5-A.8), Clause 6 risk, Clause 7.3 awareness |
| GDPR (2016/679) | ~65 % | Art. 32 technické opatrenia, Art. 33 breach notification, Art. 28 vendor kontrakty |
Za zvyšok GDPR musíte doplniť frameworku špecifické povinnosti — právny základ spracovania (Art. 6), informačná povinnosť (Art. 13-14), práva dotknutých osôb (Art. 15-22). Tie ISO/DORA/NIS2 nepokrývajú.
Oblasti, kde dostanete najväčší "pre-credit"
1. Business Continuity Management — 100 % DORA, 100 % ISO 27001
NIS2 čl. 21(2)(c) (a vyhl. 227/2025 § 10 v SR) požaduje:
- Plán kontinuity činností (BCP)
- Plán obnovy po havárii (DRP)
- Ročné testovanie
DORA čl. 11-14 hovorí to isté — ICT business continuity policy, digital operational resilience testing. 100 % prekryv.
ISO 27001:2022 A.5.29-5.30 — "ICT readiness for business continuity" a "Redundancy of processing facilities" — priame ekvivalenty.
GDPR čl. 32(1)(c) — "ability to restore availability and access to personal data" — iba zúžená verzia (len pre osobné dáta). 55 % prekryv.
👉 Dobrá správa: Ak máte otestované BCP/DRP pre NIS2, k ISO 27001 a DORA certifikácii nepotrebujete nič nové.
2. Incident management — 100 % DORA, 90 % ISO 27001
NIS2 čl. 23: 24h early warning, 72h incident report, 1 mesiac final report.
DORA čl. 17-23 ide ešte ďalej — 4 hodiny na initial classification majoritných ICT incidentov + detailnejšie templaty. Pre finančné inštitúcie, ktoré robia DORA primárne, je NIS2 24h deadline automaticky menej prísny.
ISO 27001 A.5.24-5.28 — incident management lifecycle + lessons learned + evidence collection — úplne aligned s NIS2.
GDPR čl. 33-34 — 72h breach notification dozornému orgánu + notifikácia dotknutým osobám. 75 % prekryv — ak máte NIS2 notifikačný workflow, potrebujete doplniť len "trigger na osobné údaje" a komunikáciu voči subjektom.
👉 Ak ste už implementovali NIS2 incident flow, z GDPR breach notification zostáva 25 % práce.
3. Supply chain / 3rd-party risk — 100 % DORA, 95 % ISO 27001
NIS2 čl. 21(2)(d) + vyhl. 227/2025 § 11 (SR): hodnotenie rizík dodávateľov, cloud services, zmluvné doložky, monitoring.
DORA čl. 28-30 — kompletný framework pre third-party ICT risk vrátane Register of Information (xBRL-CSV export), ESA entity codes. Táto detailnosť NIS2 nemá, ale ak ste napísali register dodávateľov pre NIS2, máte 80 % DORA Register of Information — treba len prekonvertovať formát.
ISO 27001 A.5.19-5.23 — supplier relationships, security in agreements, monitoring. 95 % prekryv.
GDPR čl. 28 + 46 — procesor DPA + transfer safeguards (SCCs, BCR). 75 % prekryv — GDPR sa obmedzuje na vendorov, ktorí spracúvajú osobné dáta.
4. Access control — 100 % ISO 27001, 95 % DORA
NIS2 čl. 21(2)(i) + vyhl. 227/2025 § 7: MFA povinná, PAM (privileged access mgmt), least-privilege, pravidelný review.
ISO 27001 A.5.15-5.18 + A.8.2-8.5 — access control policy + privileged rights + authentication + secure logon. 100 % prekryv. Mnohé kontroly dokonca pomenované identicky.
DORA čl. 9 — strong authentication + PAM + logical/physical access. 95 % prekryv.
GDPR čl. 32(1)(b) — "confidentiality + access control" ako general principle. 65 % prekryv — GDPR nevyžaduje explicitne MFA ani PAM, len "primerané opatrenia".
👉 Ak ste zaviedli MFA + PAM pre NIS2, pre ISO 27001 auditora nepotrebujete zmeniť nič.
5. Kryptografia — 100 % ISO 27001, 95 % DORA
NIS2 čl. 21(2)(h) + vyhl. 227/2025 § 6: šifrovanie v pokoji + pri prenose + správa kľúčov + minimálne štandardy.
ISO 27001 A.8.24 — "Use of cryptography" — slovo za slovom to isté.
DORA čl. 9(2) — cryptographic controls a key management referenced v ICT security policy. 95 % prekryv.
GDPR čl. 32(1)(a) spomína šifrovanie ako príklad opatrenia, nie povinné minimum. 70 % prekryv.
Kde NIS2 neuspeje a GDPR/DORA potrebuje extra prácu
GDPR framework-specific oblasti (0 % z NIS2)
- Art. 5-6 — zásady spracovania + právny základ (consent, oprávnený záujem…). NIS2 ich nepozná.
- Art. 13-14 — informačná povinnosť voči dotknutým osobám.
- Art. 15-22 — práva dotknutých osôb (access, erasure, portability).
- Art. 35 — DPIA (Data Protection Impact Assessment). NIS2 má vlastné risk assessmenty, ale sú technicky iné.
DORA framework-specific oblasti (0-5 % z NIS2)
- xBRL-CSV Register of Information — špecifický formát pre ESA hlásenie.
- TLPT (Threat-Led Penetration Testing) — čl. 26-27, DORA exclusive.
- Oversight ICT third-party service providers — DORA exclusive kategória kritických vendorov.
ISO 27001 framework-specific oblasti (5-10 % z NIS2)
- Clause 4 (Context of the organization) + Clause 9 (Performance evaluation) — manažérske systémové požiadavky, ktoré NIS2 priamo neformálne nevyžaduje (aj keď ich prakticky dosiahnete).
- A.7 Physical controls — NIS2 ich pokrýva len čiastočne.
Stratégia "implement once, inherit many"
Ak stojíte pred viacerými frameworkmi, začnite od NIS2 (ak máte aj DORA povinnosť, paralelne). Reason:
- NIS2 je najširší z technických štandardov — pokrýva governance aj technické opatrenia.
- Lokálna transpozícia je explicitná (SK 366/2024, CZ 264/2025) — máte jasnú právnu oporu.
- Overlap percentá hrajú vo váš prospech — 1 control cez NIS2 sa uplatní v 2-3 ďalších frameworkoch automaticky.
Poradie implementácie pre typickú SME:
- Q1–Q2: NIS2 + SK vyhláška 227/2025 + CZ 264/2025 — základ.
- Q3: DORA (ak fin. sektor) — už budete mať 90 %, pridávate xBRL Register + TLPT.
- Q4: ISO 27001 certifikácia — už máte A.5-A.8, doplňte Clause 4 a 9, auditor potvrdí.
- Priebežne: GDPR framework-specific (right to erasure, consent flow, DPIA pre high-risk processing).
Ako si to prakticky ukázať
NISMap má verejný cross-framework crosswalk nástroj — pre každú z 10 oblastí NIS2 zobrazuje najbližšiu protistranu v GDPR, DORA a ISO 27001 s percentom pokrytia a odkazom na konkrétny článok.
Takže ak si práve vyberáte framework roadmap alebo argumentujete boardu prečo investovať do NIS2 prvou, máte konkrétny materiál s číslami.
Čo nekupujte
Pozor na 4 časté omylov:
- "ISO 27001 je dostatočný základ pre NIS2" — falošná. ISO nevyžaduje incident notification 24h ani personal board liability. Chýbajúce časti musíte doplniť.
- "GDPR záznam o spracovaní = NIS2 register aktív" — falošná. RoPA (Art. 30) sa týka len procesov s osobnými údajmi. NIS2 register aktív (čl. 21(2)(a)) zahŕňa všetky ICT aktíva.
- "DORA je iba pre banky" — nepresné. DORA pokrýva 20 typov finančných subjektov vrátane poisťovní, investičných firiem, crypto-asset service providerov.
- "SOC 2 = ISO 27001" — nie. SOC 2 je americký audit framework s vlastnými kritériami (Trust Service Criteria). Je doplnkom, nie náhradou.
Spustiť cross-framework crosswalk → Zistiť NIS2 scope vašej firmy → Kalkulačka NIS2 pokuty →
Článok je analytická pomôcka, nie právna rada. Percentá pokrytia odrážajú kvalitatívne porovnanie článkov smerníc a nariadení. Pre záväzné gap-assessment kontaktujte kvalifikovaného audítora alebo advokáta.