Často kladené otázky o NIS2

NIS2 (Network and Information Security Directive 2) je európska smernica (EÚ) 2022/2555, ktorá zaväzuje stredné a veľké organizácie v kritických sektoroch prijať opatrenia na ochranu pred kybernetickými útokmi. Týka sa firiem v 18 sektoroch — energetika, doprava, bankovníctvo, zdravotníctvo, vodohospodárstvo, digitálna infraštruktúra, verejná správa, výroba liečiv, poštové a kuriérske služby a ďalších. V SR a ČR sa dotkne okolo 10 000–12 000 firiem (pred NIS1 to bolo okolo 500).

Essential subjekty (kľúčové) sú veľké firmy v najkritickejších sektoroch (Príloha I smernice — energia, doprava, banky, zdravotníctvo, vodovody, DNS, cloud…). Important subjekty (dôležité) sú stredné firmy v Prílohe I alebo všetky stredné/veľké v Prílohe II (poštové služby, chémia, výroba liečiv, potraviny, kuriérska výroba…). Essential má prísnejší dohľad (proaktívne kontroly), vyššie pokuty (až €10M / 2 % obratu vs €7M / 1,4 % pre Important) a štatutári osobne zodpovední za kybernetickú bezpečnosť.

Smernica mala byť transponovaná do 17. októbra 2024. Slovensko transponovalo zákonom č. 366/2024 Z. z. (novela zák. 69/2018) účinným od 1. januára 2025, s vykonávacou vyhláškou NBÚ 227/2025 Z. z. od apríla 2025. Česko transponovalo zákonom č. 264/2025 Sb. o kybernetickej bezpečnosti, účinným od 1. augusta 2025. Firmy majú lehoty na registráciu u NBÚ/NÚKIB a implementáciu opatrení v rozmedzí 3-12 mesiacov od účinnosti.

Slovensko: Národný bezpečnostný úrad (NBÚ) cez SK-CERT — registrácia subjektov, hlásenie incidentov, kontroly, pokuty. Kontakt: incident@nbu.gov.sk, portál pre subjekty: portal.nbu.gov.sk. Česko: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) cez GovCERT.CZ. Kontakt: kyberbezpecnost@nukib.cz, portál: portal.nukib.cz. Obe agentúry vydávajú sektorové usmernenia aj metodiky posúdenia rizík.

Tri kritériá súčasne: (1) sektor podľa NACE kódu musí byť v Prílohe I alebo II smernice, (2) veľkosť firmy — stredná alebo veľká (od 50 zamestnancov ALEBO obrat > €10M), (3) aktivita v EÚ. Niektoré firmy sú pod NIS2 aj pri menšej veľkosti (tzv. size-cap výnimky) — napríklad poskytovatelia verejnej elektronickej komunikácie, TLD registry, qualified trust service providers. NISMap scope engine to skontroluje automaticky na základe IČO cez verejný obchodný register za 10 sekúnd.

Príloha I (11 sektorov Essential/Important): energetika (elektrina, ropa, plyn, vodík), doprava (letecká, železničná, vodná, cestná), bankovníctvo, finančné trhy, zdravotníctvo, pitná voda, odpadové vody, digitálna infraštruktúra, ICT service management, verejná správa, vesmírne aktivity. Príloha II (7 sektorov Important): poštové a kuriérske služby, nakladanie s odpadom, výroba a distribúcia chemikálií, výroba a distribúcia potravín, výroba (liečivá, zdravotnícke pomôcky, elektronika, stroje, motorové vozidlá), digitálni poskytovatelia (online marketplace, vyhľadávače, sociálne siete), výskumné organizácie.

Smernica používa definíciu MSP z Odporúčania Komisie 2003/361/ES. Stredná firma: 50-249 zamestnancov ALEBO ročný obrat €10-50M ALEBO súvaha €10-43M. Veľká firma: ≥250 zamestnancov ALEBO obrat > €50M ALEBO súvaha > €43M. Pozor: pri skupine firiem sa spočítavajú údaje aj materskej / dcérskych spoločností (partnerské a prepojené podniky). NISMap ťahá tieto čísla z ARES (ČR) a RegisterUZ (SK) — nemusíte ich zadávať ručne.

Dva scenáre. (A) Ak ste priamo v Prílohe I/II a ste stredná/veľká firma — platia pre vás plné povinnosti. (B) Ak nie ste v scope ale ste dodávateľom Essential/Important subjektu, vaši zákazníci sú povinní vás NIS2 Art. 21(2)(d) auditovať, vyžadovať bezpečnostné klauzuly v zmluvách a reportovať incidenty. V praxi to znamená: aj malí SaaS/ICT dodávatelia dostávajú dotazníky, žiadosti o DPA, pentesty. NISMap vendor audit modul vám pomôže pripraviť sa a distribuovať svoj security posture zákazníkom.

Čl. 21(2) smernice listuje 10 povinných oblastí: (a) politiky analýzy rizík, (b) hlásenie incidentov, (c) kontinuita činností (BCP/DRP, backup), (d) supply chain security, (e) bezpečnosť vývoja a údržby, (f) hodnotenie efektívnosti opatrení, (g) kyberhygiena a školenia, (h) kryptografia, (i) HR security a prístupy, (j) multifaktorová autentifikácia, šifrovaná komunikácia. Plus: registrácia u NBÚ/NÚKIB (čl. 3), reporting incidentov (čl. 23), zodpovednosť vedenia (čl. 20). NISMap mapuje každú z 10 oblastí na konkrétne otázky a odporúčania.

NIS2 čl. 23 definuje 3-stupňovú schému: Early warning do 24 hodín od zistenia významného incidentu (čo viete v tej chvíli), notifikácia do 72 hodín (rozšírené údaje + prvé hodnotenie), záverečná správa do 1 mesiaca (analýza príčin + opatrenia). Adresát: SR — SK-CERT (incident@nbu.gov.sk + portal.nbu.gov.sk). ČR — GovCERT.CZ cez portal.nukib.cz. "Významný" incident = spôsobuje vážne prevádzkové narušenie alebo finančnú stratu, prípadne dotýka sa iných fyzických/právnických osôb značnou materiálnou alebo nemateriálnou ujmou.

Essential subjekt: do €10 000 000 alebo 2 % celosvetového ročného obratu (podľa toho, čo je vyššie). Important subjekt: do €7 000 000 alebo 1,4 % obratu. Pokuty sa kombinujú s GDPR (až €20M / 4 % obratu) — pri porušení oboch môžu pribudnúť. Sankcie sú administratívneho charakteru, ukladá ich priamo NBÚ/NÚKIB bez súdu. Okrem finančných sankcií hrozí pozastavenie certifikátov, zákaz výkonu riadiacich funkcií pre štatutárov, publikácia porušenia (name and shame).

Áno. Čl. 20 NIS2 explicitne ukladá členom štatutárnych orgánov (konateľom, predstavenstvu) povinnosť schváliť bezpečnostné opatrenia, dohliadnuť na ich implementáciu a absolvovať školenia o kyber bezpečnosti. V prípade porušenia im môže byť osobne uložená pokuta, zákaz výkonu funkcie v NIS2-regulovanej firme, prípadne iné disciplinárne opatrenia podľa vnútroštátneho práva. D&O poistenie väčšinou kryje civilné nároky, ale nie administratívne sankcie regulátora — tie idú priamo z vrecka štatutárov. NISMap board-liability kalkulačka vám zobrazí konkrétnu expozíciu.

NISMap generuje dokumenty a posúdenia, ktoré môžete použiť ako vstup pre internú dokumentáciu aj pre komunikáciu s NBÚ/NÚKIB. Pre záväznú kategorizáciu subjektu (Essential vs Important) sa však musíte obrátiť na NBÚ SR (portal.nbu.gov.sk) alebo NÚKIB (portal.nukib.cz) a zaregistrovať sa. V praxi: NISMap report pomáha pripraviť sa na proaktívny audit (Essential), reaktívnu kontrolu po incidente alebo zákaznícky due diligence. Pre certifikáciu zhody s ISO 27001/27002 potrebujete externého akreditovaného audítora.

Externý audítor je užitočný v 3 scenároch: (1) váš zákazník to vyžaduje v tendri alebo zmluve (typicky pre banky, telco, verejnú správu), (2) chcete certifikát ISO 27001 ako konkurenčnú výhodu, (3) po závažnom incidente potrebujete dôveryhodné potvrdenie, že ste nápravné opatrenia implementovali správne. Cena externého auditu v SR/ČR: malá firma €3-8 tis., stredná €10-25 tis., veľká €30-60+ tis. (plus ročná recertifikácia). NISMap audítorský marketplace vás prepojí s overeným partnerom — typicky sa cena znižuje o 20-30 % vďaka predpripravenej dokumentácii.

ISO 27001 je medzinárodný štandard pre Information Security Management System (ISMS). NIS2 je právna regulácia EÚ. Prekrývajú sa asi na 60-70 %: obe vyžadujú analýzu rizík, riadenie prístupov, hlásenie incidentov, školenia, kontinuitu činností. Rozdiely: NIS2 má konkrétne sektorové povinnosti (poštové služby, výroba…) + lehoty hlásenia incidentov + osobnú zodpovednosť štatutárov — ISO tieto nemá. Naopak ISO vyžaduje formálne Statement of Applicability, externý audit a trojročný certifikačný cyklus. Ideálny stav: ISO 27001 ako základ + NIS2 add-on pre sektorové špecifiká.

Free tier — jeden tech scan + 30-otázkový scope check zadarmo, bez registrácie. Pro €29/mes — neobmedzené scany, AI reporty, generovanie dokumentov, compliance tracking. Business €149/mes — plný multi-framework (NIS2 + GDPR + DORA + ISO), supply chain audit, audit sharing. Holding tier — €29/subjekt/mes od 4 subjektov, konsolidovaný group dashboard, jedna zmluva. Insurance Coverage €49/mes — samostatný balík (nie addon k tarify). Vždy 14-dňový trial na platené plány. Zobraziť aktuálny cenník: /pricing.

Dáta sú hostované v EÚ (Supabase Frankfurt, AES-256 at rest, TLS 1.3 in transit). Citlivé PII polia sú šifrované per-row cez Supabase Vault. Dáta posielané do AI (Claude od Anthropic) sú pred odoslaním anonymizované — neposielame IČO, názov firmy ani kontakt. Prenosy mimo EÚ idú pod Schrems II zárukami: Supabase SCC Modul 2, Anthropic EU-US DPF, Stripe SCC + PCI-DSS Level 1. Plný zoznam sub-processorov + DPA odkazy na /sub-processors. Zero tracking cookies, GDPR-first architektúra.

Áno, hneď — stačí na hlavnej stránke zadať doménu alebo IČO. Do 30 sekúnd dostanete (a) NIS2 scope check (Essential / Important / mimo rozsahu), (b) technický bezpečnostný scan (TLS, hlavičky, DNS, CMS CVE), (c) odhad compliance skóre. Free tier nevyžaduje registráciu ani kreditnú kartu. Pre uloženie histórie, sledovanie trendu a audítorský report stačí registrácia emailom (14-dňový trial Pro / Business automaticky). Bez záväzku, zrušenie kedykoľvek.

Po dokončení NIS2 hodnotenia (scope check + dotazník) si v dashboarde → Certifikáty vystavíte 12-mesačný self-assessment certifikát. Dostanete verejnú overovaciu URL + SVG badge v 3 veľkostiach (sm / md / lg) s HTML embed kódom. Badge na firemnom webe slúži ako marketing signál pre klientov v tendri alebo vendor onboarding — každý klik vedie na overovaciu stránku s aktuálnym stavom certifikátu. Zadarmo v Free tier. Konkurenčné platformy (NIS2-Conform.eu) účtujú za identickú službu €980/rok. Detaily: /certificates.

Crosswalk je matrix 10 NIS2 oblastí × 9 compliance rámcov (NIS2, GDPR, DORA, ISO 27001, SOC 2, NIST CSF 2.0, CIS Controls v8, HIPAA Security Rule, PCI DSS v4). Pre každú kombináciu ukazuje percento pokrytia s odkazom na konkrétny článok daného štandardu. Stratégia: ak implementujete NIS2 kvalitne, v priemere pokryjete ~97 % ISO 27001, ~95 % DORA, ~80 % CIS Controls, ~75 % HIPAA/PCI DSS, ~65 % GDPR. Namiesto budovania 5-9 oddelených ISMS spravíte jeden solídny + cielené dopĺňky. Dostupné zadarmo na /frameworks/crosswalk.

NISMap automaticky analyzuje vašich dodávateľov cez RPVS (SK), RPO (CZ), ARES a Entyrix. Bez manuálneho zadávania — stačí IČO dodávateľa, doplní UBO, majetkovú štruktúru, credit scoring a sankčné zoznamy. Graph-based detekcia hľadá skryté prepojenia: zdieľané skutočné majitele (UBO), spoločné korporátne matky, zdieľané banky/IBAN, geografická koncentrácia. Alert pri 2+ dodávateľoch v jednom uzle — NIS2 Art. 21(2)(d) + DORA Art. 29 koncentračný risk monitoring. Detaily: /supply-chain.

Dashboard zobrazuje unified countdown naprieč všetkými frameworkmi — DORA 4h initial classification, NIS2 24h early warning, NIS2 72h incident report, NIS2 30d final report, GDPR 72h supervisor notification. Pri otvorení incidentu sa automaticky vypočítajú deadlines pre aplikovateľné rámce. Stavy: pending (zelené) / due_soon (amber, posledných 25 % času) / overdue (červené). Každý deadline má link na právny základ (NIS2 Art. 23, DORA Art. 19, GDPR Art. 33 + SK 366/2024 § 27, CZ 264/2025). Email notifikácie a auto-escalácia v Pro tier.