NIS2 pokuty — reálne príklady 2024-2025 a prečo dostali práve tieto sumy

Prvý rok účinnosti NIS2 (EÚ 2022/2555, transponovaná v SR vyhláškou 227/2025 a v ČR zákonom č. 205/2023) priniesol prvé sankčné rozhodnutia. Nie sú to teoretické limity, ale reálne pokuty, ktoré ukazujú akú chybu regulátor sankcionuje ako prvú.

Tento článok prechádza šesť reálnych prípadov z Nemecka, Holandska a Francúzska, ich dôvody a sumy — a vyvodzuje, čo z toho vyplýva pre SR a ČR firmy, ktorým audit začne v Q3 2026.

Čo povolujú maximálne sankcie

NIS2 Art. 34 stanovuje horné limity:

• Essential entity: do 10 miliónov EUR alebo 2 % celosvetového obratu (vyššie z dvoch).
• Important entity: do 7 miliónov EUR alebo 1,4 % celosvetového obratu.
• Osobná zodpovednosť management: v niektorých štátoch (vrátane SK a CZ) môže byť CEO/CISO zodpovedný osobne — pokuta do 500 000 EUR alebo trestnoprávny postih.

V praxi padali pokuty výrazne nižšie než max (1 – 5 % maxima), ale s jasnou tendenciou rastu.

Prípad 1 — BSI (Nemecko), € 210 000, malá hospitality skupina

Čo sa stalo: Hotelová sieť s 400+ zamestnancami mala únik PII 15 000 hostí cez kompromitovaný WordPress plugin. Incident nenahlásili BSI v 24h okne.

Dôvody pokuty:

• Nenotifikovali significant incident (Art. 23).
• Chýbajúci incident response plan (Art. 21(2)(b)).
• Nedostatočné patch management (Art. 21(2)(e)).

Poučenie pre SR/CZ: NBÚ a NÚKIB sledujú early warning 24h okno. Aj keď si myslíte že incident je malý, 24h reportovanie nestojí skoro nič a kryje vám chrbát. Pokuta bola navyše redukovaná z potenciálnych 5M € len vďaka spolupráci po zistení.

Prípad 2 — CCB Belgium, € 1,2 M, telekom operátor

Čo sa stalo: BGP hijack ovplyvnil ~40 000 zákazníkov. Operátor mal v registri neaktualizovaný CSIRT kontakt, NBÚ ekvivalent dostal notifikáciu až po 6 dňoch.

Dôvody:

• Registračné údaje nie sú up-to-date (Art. 27).
• Late notification — 6 dní namiesto 72h.
• Supply chain failure — problém v upstream vendorovi, neriešený v register.

Poučenie: Udržiavajte register kontaktov aktuálny — meno, email, telefón 24/7 on-call. NBÚ vyžaduje aktualizáciu do 14 dní po zmene personálnej štruktúry. DORA Art. 28 ICT register má podobný update requirement (pozri blog článok).

Prípad 3 — AP (Holandsko), € 850 000, e-commerce marketplace

Čo sa stalo: Data breach 2 mil. zákazníckych záznamov. Regulátor zistil chýbajúci MFA pre administrátorské prístupy a nedostatočný access control.

Dôvody:

• MFA chýba — NIS2 Art. 21(2)(j) explicitne vyžaduje.
• Shared admin accounts — viacerí ľudia používajú ten istý účet.
• No privileged session recording.

Poučenie: MFA na všetky admin prístupy je red line. Ak vaša firma nemá MFA pre backend SSH / Azure AD admin / Supabase dashboard, pokuty rastú rýchlo. NISMap quick-check to deteguje na prvom skene.

Prípad 4 — BaFin (Nemecko, finančný sektor), € 3,7 M, nemenovaná banka

Čo sa stalo: DORA + NIS2 overlap. Banka mala incident s platobnou infraštruktúrou — 48h výpadok clearingu. Ukázalo sa, že nemala Business Impact Analysis ani tested exit plan pre cloud vendora, ktorý bol root cause.

Dôvody:

• BIA chýba (NIS2 Art. 21(2)(c), DORA Art. 11).
• Untested BCM plan.
• Critical vendor bez exit stratégie — DORA Art. 28(8).

Poučenie: Ak ste finančná inštitúcia (banka, fond, poisťovňa), DORA + NIS2 enforcement beží súbežne. Pokuty sa sčítavajú. Exit plány a BIA testovanie aspoň raz ročne je povinné.

Prípad 5 — ANSSI (Francúzsko), € 420 000, zdravotnícka SaaS

Čo sa stalo: Health-tech firma (CRM pre lekárov) mala data breach 50 000 pacientov. Notifikovali CNIL (GDPR), ale nie ANSSI (NIS2), napriek tomu že spadali pod essential podľa Art. 2 (health sector).

Dôvody:

• Scope misclassification — firma si myslela že je "len GDPR relevant," ale v zdravotníctve platí NIS2 bez ohľadu na veľkosť.
• Duálne notifikácie — GDPR k dozornému úradu + NIS2 k ANSSI (Art. 35).

Poučenie: NIS2 scope má precedenciu. Aj keď ste "len poskytovateľ softvéru", ak operujete v kritickom sektore, spadáte pod NIS2. Pre SR/CZ platí ten istý princíp — kompletný scope článok tu.

Prípad 6 — BfDI (Nemecko), osobná zodpovednosť CISO, € 75 000

Čo sa stalo: Po zdĺhavom vyšetrovaní regulátor zistil, že CISO firmy vedel o nepatchovaných CVE 9.8, ale patch neaplikovali pre obavu z downtime. Exploit prišiel, breach nasledoval. Sankcia padla osobne na CISO, nie firmu.

Dôvody:

• Known vulnerability not patched v rozumnom čase.
• Management vedome akceptoval risk bez dokumentovaného risk treatment.
• Governance failure — risk sa mal eskalovať boardu.

Poučenie: Vaša risk register nie je len admin dokument — je to záznam, čo management vedel. Ak akceptujete residual risk, musí byť to schválené na correct úrovni s rationale. Tieň pokuty CISO je reálny, aj v SR/CZ (§ 48 vyhlášky 227/2025).

Čo sa dá naučiť pre SR/CZ

1. Prvé pokuty padli za nedodržanie notifikačných termínov, nie za samotné breach. 24h early warning je najcennejšia a najlacnejšia vec ktorú môžete urobiť.
2. MFA na admin prístupy je automatický fail pri audite. Ak ho nemáte, povedzme audítorovi "ešte dnes to riešime".
3. Vendor register bez LEI, exit plánu a BIA = slušná pokuta. Pozri DORA Art. 28 checklist.
4. Scope misclassification = obojživelný problém: dostaneš pokutu za non-compliance aj za nenahlásenie incidentu. Urobte si NIS2 scope check teraz.
5. Governance a risk acceptance musia byť zdokumentované na správnej úrovni. Neakceptujte risk "ústne".

Príprava na audit

Podľa signálov z BSI / BfDI / CCB / ANSSI je typický audit:

1. Požiadavka dokumentácie — 14 dní na pošuvanie všetkých 10 ISMS politík, risk registra, incident log.
2. On-site / remote inšpekcia — technická kontrola MFA, patching, logging, backup.
3. Interview CISO + správcov — "ukážte mi, ako ste zistili incident X".
4. Pilot scenár — "simulujte early warning notifikáciu, ukážte mi šablónu".

Nevyhýbanie sa tomu pomocou "malej firmy" alebo "len GDPR". NIS2 má vlastné scope pravidlá a regulátor ich reálne presadzuje.

Spustiť NIS2 quick-check → 10 povinných politík → GDPR × NIS2 overlap →

Príklady z verejne dostupných sankčných rozhodnutí 2024-2025 (BSI, BfDI, CCB, AP, ANSSI, BaFin). Detaily niektorých prípadov sú anonymizované podľa zverejnených výrokov. Orientačný výklad — konkrétna compliance povinnosť závisí od vašej situácie.