NIS2 scope pre CZ a SK — kto má nové povinnosti v 2026
NIS2 (smernica EÚ 2022/2555) priniesla od roku 2024 výrazné rozšírenie kybernetickej povinnosti na viac ako 160 tisíc firiem v EÚ. Pre Slovensko a Českú republiku znamená, že tisíce podnikov, ktoré predtým o kybernetickej bezpečnosti premýšľali okrajovo, musia teraz splniť konkrétne opatrenia — a prvé kontroly v SR začínajú od Q3 2026.
Tento článok rozoberá kto presne spadá pod NIS2 v SR a ČR, aký je rozdiel medzi kategóriami essential a important, a čo z toho vyplýva pre dokumentáciu a audity.
Aké sektory NIS2 pokrýva
NIS2 rozdeľuje sektory do dvoch zoznamov:
Sektory s vysokou kritickosťou (Annex I):
- Energetika (elektrina, plyn, ropa, diaľkové vykurovanie, vodík)
- Doprava (letecká, železničná, vodná, cestná)
- Bankovníctvo a trhové infraštruktúry
- Zdravotníctvo
- Pitná a odpadová voda
- Digitálna infraštruktúra (DNS, TLD, cloud, data centrá, CDN)
- ICT služby B2B
- Verejná správa
- Vesmír
Ďalšie kritické sektory (Annex II):
- Poštové a kuriérske služby
- Odpadové hospodárstvo
- Chemický priemysel (výroba, distribúcia)
- Potravinárstvo (veľkoobchod, priemysel)
- Výroba (medicínske pomôcky, PC/elektronika, stroje, autá, iná doprava)
- Digitálni poskytovatelia (online marketplaces, search engines, sociálne siete)
- Výskum
Ak vaša firma pôsobí v ktoromkoľvek z týchto sektorov a prekračuje určitú veľkostnú hranicu, pravdepodobne spadáte pod NIS2.
Veľkostné kritériá — essential vs. important
NIS2 používa veľkosť firmy ako primárny rozlišovací znak:
| Kategória | Počet zamestnancov | Obrat / bilanca |
|---|---|---|
| Essential | ≥ 250 | > 50 mil. € obrat alebo > 43 mil. € bilancia |
| Important | 50 – 249 | 10 – 50 mil. € obrat alebo 10 – 43 mil. € bilancia |
Pozor — niektoré sektory (napr. digitálna infraštruktúra, verejná správa) sú automaticky zaradené ako essential bez ohľadu na veľkosť.
Rozdiel v praxi
- Essential entities podliehajú proaktívnemu dozoru — NBÚ/NÚKIB môže kontrolovať aj bez podnetu.
- Important entities sú kontrolované reaktívne — až keď nastane incident alebo sťažnosť.
- Pokuty sa líšia: essential až 10 mil. € / 2 % celosvetového obratu, important až 7 mil. € / 1,4 %.
Ako zistiť svoj scope
Existujú tri spôsoby:
1. Ručná analýza
- Zistite svoj hlavný NACE kód v obchodnom registri (ORSR/ARES).
- Porovnajte s Annex I / II zoznamom NIS2.
- Zistite veľkostné parametre (zamestnanci, obrat).
- Skontrolujte sektorové výnimky (napr. malé firmy v kritických sektoroch).
Je to presné, ale trvá to 2–3 hodiny a vyžaduje znalosť zákona.
2. Konzultácia s NBÚ/NÚKIB
Oba regulátory majú online formulár pre dotazy. Problém: odpoveď trvá 2–6 týždňov a nedostanete dokumentáciu pre audítorov.
3. Automatizovaný assessment
Nástroje ako NISMap urobia kontrolu za 5 minút na základe IČO:
- Stiahnu váš NACE + veľkosť z ORSR/ARES
- Porovnajú s Annex I/II
- Dajú PDF report s legislatívnymi odkazmi (vyhláška 227/2025 + ENISA IR 2024/2690)
Výstup je dokumentácia, ktorú viete predložiť audítorovi, nie len informatívny výsledok.
Čo robiť po zistení scope
Ak spadáte pod NIS2:
- Do 3 mesiacov registrácia u národného CSIRT.
- Do 6 mesiacov implementácia 10 povinných politík (risk management, IR, BCM, supply chain, access control, kryptografia, training, HR, asset mgmt, governance).
- Priebežne 24h incident notification na NBÚ/NÚKIB, quarterly security testing.
- Supply chain: vyhodnotenie bezpečnostnej úrovne kľúčových vendorov (presne to, čo DORA Art. 28 chce od finančného sektora).
Najčastejšie chyby
- Podcenenie scope — "sme len malá firma" neplatí, ak ste v kritickom sektore.
- Ignorovanie subcontractors — ak im outsourcujete IT, musíte kontrolovať ich bezpečnosť.
- Čakanie na kontrolu — prvé sankcie v EÚ už padli (Nemecko, Holandsko, 2025).
Záver
NIS2 nie je iba IT téma. Je to obchodné riziko — pokuty, reputácia, výpadky kontraktov vo verejnej správe. Ak ste v scope, začnite s orientačným self-assessmentom (5 min), potom si spravte formálny gap analysis, a paralelne budujte dokumentáciu.
Článok je orientačným výkladom. Pre záväzné určenie scope kontaktujte NBÚ (SR) alebo NÚKIB (ČR).