Audit kybernetickej bezpečnosti (NIS 2)

 

Hrozia vám sankcie za nedodržanie zákona o kybernetickej bezpečnosti?

Novela zákona č. 69/2018 z.z. účinná od 1.1.2025 prináša prísnejšie požiadavky NIS 2 smernice. Ak ste prevádzkovateľom základnej služby alebo poskytovateľom digitálnej služby, audit kybernetickej bezpečnosti už nie je len formalita – je to zákonná povinnosť, ktorá môže zachrániť vašu firmu pred:

• Finančnými sankciami. Pokuta až do 10 000 000 € alebo 2 % celosvetového ročného obratu (podľa toho, čo je vyššie). Stratou obchodných príležitostí, ktorá priamo ohrozí kontinuitu obchodných vzťahov a účasť v dodávateľských reťazcoch. Kybernetickým útokom, ktoré môžu paralyzovať váš biznis
• Právnymi následkami pri úniku osobných údajov zákazníkov

 

Audit kybernetickej bezpečnosti od CeMS: váš partner pre compliance a ochranu

Sme akreditovaný certifikačný orgán s tímom autorizovaných audítorov kybernetickej bezpečnosti. Naši experti majú za sebou stovky úspešných auditov v priemyselnom, finančnom a IT sektore naprieč Slovenskom a zahraničím.

 

Čo získate auditom od CeMS?

• Zákonný súlad (compliance)
  • Overíme plnenie všetkých povinností podľa zákona č. 69/2018 z.z. a NIS 2 smernice. Posúdime, či vaše bezpečnostné opatrenia zodpovedajú legislatívnym požiadavkám.

• Identifikácia rizík a zraniteľností
  • Dôkladná analýza vašich IT systémov, procesov a bezpečnostných opatrení. Pomôžeme vám zistiť a pochopiť slabé miesta (vrátane tých v dodávateľskom reťazci) skôr, než ich objavia a zneužijú útočníci.

• Detailná správa s odporúčaniami
  • Namiesto všeobecného súpisu problémov dostanete konkrétne, implementovateľné riešenia na odstránenie nedostatkov. Odporúčania budú prioritizované podľa kritickosti pre splnenie zákona a reálneho dopadu na bezpečnosť vašej prevádzky.

• Ochrana pred kybernetickými útokmi
  • Audit zvýši vašu obranyschopnosť pred ransomware, phishingom, DDoS útokmi a inými hrozbami.

• Dôvera zákazníkov a partnerov
  • Správa o audite od autorizovaného audítora je hmatateľným dôkazom vášho profesionálneho a proaktívneho prístupu k ochrane kritických dát a prevádzok. Tým posilníte dôveru zákazníkov a obchodných partnerov.

 

Pre koho je audit povinný?

Smernica NIS 2 výrazne rozširuje okruh organizácií, ktoré musia pravidelne preukazovať svoju kybernetickú odolnosť.

1.Kritické subjekty

Ide o organizácie s najväčším dopadom na kritické služby. Tieto subjekty sú nástupcami prevádzkovateľov základných služieb (PZS/OES) z pôvodnej NIS smernice. Spadajú sem sektory:

• Energetika: elektrina, plyn, ropa, centrálne zásobovanie teplom.
• Doprava: letecká, železničná, cestná a vodná.
• Zdravotníctvo: poskytovatelia zdravotnej starostlivosti, referenčné laboratóriá.
• Bankovníctvo a finančný trh: úverové inštitúcie, burzy, platobné služby.
• Digitálna infraštruktúra: poskytovatelia DNS, TLD registre, cloud computing služby (iaas, paas, saas).
• Vodné hospodárstvo, odpadové hospodárstvo, verejná správa a ďalšie.

 

Audit: povinný

Audit je zákonne povinný v pravidelných intervaloch (v súčasnosti každé 2 roky) a po významných zmenách v informačných systémoch.

 

2.Základné subjekty

Táto kategória pokrýva organizácie s významným dopadom na kritické služby, ktoré v starej legislatíve často nemali povinnosti. Ide o novú kategóriu povinných subjektov. Spadajú sem napríklad:

• Digitálni poskytovatelia: online trhoviská (e-shopy s veľkým obratom), vyhľadávače.
• Sektory: poštové a kuriérske služby, subjekty vo výrobe (farmaceutický, chemický, strojársky priemysel).
• Potravinárska výroba a distribúcia.

Audit: preukazovanie súladu je povinné (forma auditu alebo samohodnotenia).

 

3.Kritériá veľkosti (stredné a veľké podniky)

NIS 2 smernica rozširuje povinnosti na všetky stredné a veľké podniky, ktoré pôsobia vo vyššie uvedených sektoroch:

• Veľký podnik: viac ako 250 zamestnancov alebo ročný obrat nad 50 mil. € a/alebo celková ročná súvaha nad 43 mil. €.
• Stredný podnik: viac ako 50 zamestnancov alebo ročný obrat nad 10 mil. € a/alebo celková ročná súvaha nad 10 mil. €.

Kľúčová zmena: ak vaša spoločnosť spĺňa kritériá veľkosti a pôsobí v menovaných sektoroch, s veľkou pravdepodobnosťou sa na vás vzťahujú povinnosti NIS 2.

 

Neviete, či audit potrebujete?

Kontaktujte nás pre bezplatnú konzultáciu – do 24 hodín vám povieme, či spadáte pod zákon.

 

Ako prebieha audit kybernetickej bezpečnosti v CeMS?

 

FÁZA 1: príprava

Čo robíme:

• Analýza dokumentácie (bezpečnostné politiky, incident management plány, risk assessmenty)
• Gap analýza – porovnanie súčasného stavu s požiadavkami zákona
• Interview s kľúčovými osobami (it manažéri, manažéri KB, dpo)
• Mapovanie it infraštruktúry a procesov

 

Čo potrebujeme od vás:

• Prístup k relevantnej dokumentácii
• Zoznam informačných systémov a sietí
• Kontaktné osoby pre interview

 

FÁZA 2: audit na mieste

V tejto kľúčovej fáze vykonávame komplexnú kontrolu, ktorá overuje reálnu implementáciu a funkčnosť požadovaných bezpečnostných opatrení priamo vo vašom prostredí.

Čo overujeme:
Overovanie sa zameriava na tri hlavné piliere implementácie, ktoré sú detailne definované vo vykonávacích vyhláškach k zákonu o kybernetickej bezpečnosti:

• Technické bezpečnostné opatrenia:
  • Kontrola konfigurácie a funkčnosti sieťových prvkov (firewall, ids/ips), šifrovania dát (v pokoji aj pri prenose), viacfaktorovej autentifikácie a segmentácie sietí.
  • Overenie pravidelnosti a integrity mechanizmov zálohovania a obnovy.
• Organizačné opatrenia (dokumentácia a ľudský faktor):
  • Preskúmanie platnosti a implementácie vnútorných politík a smerníc.
  • Overenie rozsahu a periodickosti školení zamestnancov a ich povedomia.
  • Posúdenie pripravenosti na krízové situácie (incident response a disaster recovery plány).
• Procesy (riadenie a kontrola):
  • Audit procesov riadenia prístupových práv, správy zraniteľností a aktualizácií (patch management).
  • Kontrola nastavenia monitorovania, správy protokolov (log management) a detekcie hrozieb.
• Súlad s legislatívou (compliance):
  • Overenie súladu s vyhláškou o bezpečnostných opatreniach (zákon č. 69/2018 z. z.).
  • Posúdenie súladu s NIS 2 (príprava na transpozíciu) a ďalšími relevantnými normami (napr. gdpr, iso/iec 27001, ak je relevantné).

 

Použité metódy:

• Technické testy: cielený vulnerability scanning a audity konfigurácie kritických systémov.
• Revízia dokumentácie a záznamov: dôkazové overenie politík, záznamov incidentov a logov.
• Rozhovory s kľúčovým personálom: overenie reálneho pochopenia a dodržiavania procedúr.
• Verifikácia bezpečnostných kontrol: potvrdenie, že bezpečnostné kontroly sú implementované a fungujú v súlade s dokumentáciou.

 

FÁZA 3: správa z auditu

Záverečná správa z autorizovaného auditu je kľúčovým výstupom, ktorý slúži nielen pre váš manažment, ale aj ako oficiálny doklad o splnení zákonnej povinnosti voči NBÚ.

Čo dostanete:

• Oficiálna správa z auditu:
  • Zhrnutie nálezov (executive summary): prehľadné zhrnutie zistených skutočností a celkového posúdenia stavu kybernetickej bezpečnosti pre najvyšší manažment.
  • Zoznam nedostatkov a nesúladov: presný súpis identifikovaných nedostatkov voči požiadavkám zákona č. 69/2018 z. z. a jeho vykonávacích vyhlášok.
  • Klasifikácia kritickosti: každý nález je profesionálne klasifikovaný (napr. kritická, vysoká, stredná, nízka) z pohľadu dopadu na prevádzku a súlad s legislatívou.
  • Konkrétne nápravné opatrenia: detailné a implementovateľné odporúčania zamerané na efektívne odstránenie zistených nedostatkov.
• Vyhodnotenie súladu (compliance verdict):
  • Jasné posúdenie, či (a v akej miere) organizácia spĺňa alebo nespĺňa požiadavky zákona č. 69/2018 z. z. a súvisiacej legislatívy (vrátane prípravy na NIS 2).
  • Správa slúži ako podklad pre preukázanie plnenia povinností pred Národným bezpečnostným úradom.
• Akčný plán (action plan):
  • Prioritizovaný plán náprav: prevedenie všetkých odporúčaní do prehľadného plánu s návrhom reálneho harmonogramu (timeline) a priradením zodpovedností.
• Prezentácia pre vedenie:
  • Osobná prezentácia kľúčových zistení a odporúčaní pre manažment a vedenie spoločnosti na zabezpečenie efektívneho schválenia a implementácie nápravných opatrení.

 

Požiadavky na audit podľa zákona 69/2018 z.z.
 

Kritérium	Požiadavka
Audítor	Autorizovaný audítor kybernetickej bezpečnosti, ktorého na túto činnosť autorizoval Národný bezpečnostný úrad (NBÚ).
Frekvencia	Každé 2 roky (pre prevádzkovateľov kritických služieb) alebo každých 5 rokov pre ostatné sektory
Dokumentácia	Overenie súladu všetkej bezpečnostnej dokumentácie (politiky, smernice, analýza rizík, plán reakcie na incidenty) s Vyhláškou o bezpečnostných opatreniach.
Technické testy	Posúdenie účinnosti bezpečnostných opatrení (firewall, antivirus, šifrovanie, zálohy)
Reporting	Podrobná správa s nálezmi a odporúčaniami, zaslanie NBÚ SR
Nápravné opatrenia	Implementácia do 6 mesiacov od auditu

 

Prečo vybrať CeMS na audit kybernetickej bezpečnosti?

 

• Certifikovaný audítor kybernetickej bezpečnosti
  • Sme autorizovaný audítor kybernetickej bezpečnosti zapísaný v zozname národného bezpečnostného úradu (NBÚ)
  • Certifikovaní audítori s praxou
  • Náš tím tvoria certifikovaní audítori kybernetickej bezpečnosti s minimálne 5-ročnou praxou v IT security a compliance.
• Stovky úspešných auditov
  • Od roku 2004 sme vykonali 300+ auditov pre firmy v priemysle, financiách, zdravotníctve, energetike a verejnej správe.
• Komplexné služby pod jednou strechou
  • Okrem auditu ponúkame:
    • Školenia manažérov kybernetickej bezpečnosti
    • Certifikáciu ISO/IEC 27001 (systém manažérstva informačnej bezpečnosti)
    • Implementáciu gdpr a NIS 2
    • Externého manažéra kybernetickej bezpečnosti 
    • Penetračné testovanie
• Expresné termíny
  • Audit dokážeme realizovať do 2-3 týždňov od objednávky (pri štandardných projektoch).

 

Koľko stojí audit kybernetickej bezpečnosti?

Cena auditu závisí od:

• Veľkosti organizácie (počet zamestnancov, počet lokácií)
• Komplexnosti IT infraštruktúry (počet systémov, aplikácií, sietí)
• Rozsahu dokumentácie a procesov
• Časovej náročnosti auditu

 

Chcete presnú cenovú ponuku?

Vyžiadajte si nezáväznú cenovú ponuku na mieru – odpovieme do 24 hodín.

 

Aké sú sankcie za nedodržanie zákona o kybernetickej bezpečnosti?

Národný bezpečnostný úrad (NBÚ SR) môže uložiť pokuty za:
 

Porušenie	Pokuta
Nevykonanie auditu KB	do 50 000 €
Nesplnenie bezpečnostných opatrení	do 100 000 €
Neoznámenie bezpečnostného incidentu	do 100 000 €
Neplnenie povinností z NIS 2 smernice	10 000 000€ alebo do 2% celosvetového ročného obratu / (7 000 000€ alebo do 1,4% celosvetového ročného obratu)

Vyžiadajte si cenovú ponuku:

• Krok 1: kontaktujte nás cez formulár alebo telefón
• Krok 2: bezplatná konzultácia (zistíme, či audit potrebujete)
• Krok 3: cenová ponuka na mieru do 24 hodín
• Krok 4: zahájenie auditu do 2-3 týždňov

 

Často kladené otázky (FAQ)

1.Kto môže vykonať audit kybernetickej bezpečnosti?

• Audit môže vykonať len autorizovaný audítor kybernetickej bezpečnosti, ktorého na túto činnosť autorizoval národný bezpečnostný úrad (NBÚ) a je zapísaný v jeho oficiálnom zozname.

 

2. Koľko trvá audit kybernetickej bezpečnosti?

• Celkový čas: 3-9 týždňov (závisí od veľkosti firmy)
• Prípravná fáza: 1-2 týždne
• Audit na mieste: 5 a viac dní
• Správa a odporúčania: 1-2 týždne

 

3. Ako často treba robiť audit KB?

Frekvencia sa líši:

• Kritické subjekty (podľa NIS 2): prvý audit je povinný vykonať do 2 rokov od zaradenia do registra NBÚ. Následné audity sa odporúčajú minimálne každé 2 roky alebo po každej významnej zmene v prostredí.
• Prevádzkovatelia základných služieb (PZS): samohodnotenie po 2 rokoch od zaradenia do registra NBÚ a audit do 5 rokov.

 

4. Čo ak nevykonám povinný audit?

Organizácii hrozí uloženie pokuty do 50 000 € (podľa aktuálne platného zákona) od NBÚ za nesplnenie povinnosti. Po plnej účinnosti NIS 2 (od 1. 1. 2025) sa maximálne pokuty pre kritické a základné subjekty zvyšujú na milióny eur.

Okrem sankcií riskujete:

• neschopnosť preukázať súlad so zákonom pri kontrole
• Stratu dôvery zákazníkov a partnerov
• Zvýšené riziko kybernetických útokov

 

5. Musím mať zavedené ISO/IEC 27001 pred auditom KB?

Nie. ISO 27001 certifikácia nie je povinná, ale je veľkou výhodou. Ak máte zavedený ISMS podľa ISO 27001, audit KB bude rýchlejší a jednoduchší, pretože už máte značnú časť procesov a dokumentácie hotovej.

 

6. Ako sa audit KB líši od penetračného testovania?

• Audit KB je širší – hodnotí celý systém kybernetickej bezpečnosti (technické, organizačné a procesné opatrenia) a súlad so zákonom.
• Penetračné testovanie je užšie – simuluje reálny útok na IT systémy, aby odhalilo konkrétne technické zraniteľnosti.

Audit KB zahŕňa aj posúdenie vulnerability managementu, ale nie nevyhnutne penetračný test. Oba nástroje sa dopĺňajú.

 

7. Môžem robiť audit interným tímom?

Nie. Zákon č. 69/2018 z.z. vyžaduje nezávislý audit vykonaný certifikovaným audítorom KB. Interný tím môže robiť interné kontroly alebo self-assessment, ale nie oficiálny audit.

 

8. Poskytujete aj asistenciu pri implementácii nápravných opatrení?

Áno. Po audite vám môžeme pomôcť:

• Implementovať odporúčania z auditu
• Vytvoriť chýbajúce politiky a smernice
• Zaškoliť zamestnancov
• Zabezpečiť pozíciu externého manažéra KB

Viac o službe externý manažér kybernetickej bezpečnosti

 

9. Ako dlho trvá odstránenie nedostatkov po audite?

Zákon vyžaduje implementáciu nápravných opatrení do 6 mesiacov od auditu.

 

10. Spadám pod NIS 2 smernicu?

NIS 2 rozširuje požiadavky na širší okruh subjektov, vrátane:

• Stredných a veľkých firiem v kritických sektoroch
• Poskytovateľov digitálnych služieb
• Dodávateľov cloud služieb
• Výrobcov zdravotníckych prístrojov

 

Nie ste si istí?

Kontaktujte nás pre bezplatnú analýzu – zistíme, či NIS 2 platí aj pre vás.

 

 

Mohlo by Vás zaujímať:

• Revízia normy ISO/IEC 27018:2025
• Externý manažér kybernetickej bezpečnosti (outsourcing)
• Certifikácia systému manažérstva cloudových služieb podľa normy ISO/IEC 27018
• TISAX - Informačná bezpečnosť dodávateľov v automotive
• Certifikácia systému manažérstva informačnej bezpečnosti podľa normy ISO/IEC 27001