Kritické subjekty na Slovensku 2026: Ako zistiť, či sa nové povinnosti týkajú aj vás
Do 17. júla 2026 musí Slovensko podľa zákona č. 367/2024 Z. z. o kritickej infraštruktúre zverejniť, ktoré firmy budú oficiálne označené ako „kritické subjekty". A je tu jeden problém: nikto vopred nepovie, či na tom zozname bude aj tá vaša. Nestanovili sa pevné prahy podľa obratu ani počtu zamestnancov. Štát identifikuje subjekty sám, na základe analýzy rizík a významu pre fungovanie krajiny.
Ak vás v lete 2026 takéto oznámenie zastihne nepripravených, máte zo zákona len 10 mesiacov na splnenie všetkých povinností. To je veľmi krátky čas na niečo, čo by malo realisticky trvať dva až tri roky budovania.
Čo zákon reálne rieši: odolnosť, nie len kyberbezpečnosť
Zákon o kritickej infraštruktúre sa často mylne stotožňuje s kybernetickou bezpečnosťou. V skutočnosti rieši niečo iné a širšie: celkovú odolnosť subjektov, ktoré poskytujú základné služby pre štát. Zaujíma sa, či dokážete fungovať aj počas povodne, požiaru, sabotáže, energetickej krízy, pandémie alebo hybridného útoku.
Kybernetiku rieši samostatný zákon č. 366/2024 Z. z., ktorý je transpozíciou smernice NIS2. Tieto dva zákony sa však často prekrývajú. Väčšina firiem, ktoré budú zaradené medzi kritické subjekty, bude zároveň podliehať aj povinnostiam podľa NIS2. Logika je jednoduchá: ak je niekto natoľko dôležitý, že ho štát chráni fyzicky, takmer isto ho chce chrániť aj v kyberpriestore.
V skratke: Zákon 367/2024 = fyzická a prevádzková odolnosť. Zákon 366/2024 = kybernetická bezpečnosť. Mnoho firiem bude spadať pod oba zároveň.
11 sektorov, v ktorých štát hľadá kritické subjekty
Príloha č. 1 zákona vymenováva 11 sektorov, v rámci ktorých sa môžu nachádzať kritické subjekty. To ešte neznamená, že každá firma v týchto sektoroch bude na zozname. Znamená to len, že môže byť kandidátom. Konkrétny výber spraví ústredný orgán štátnej správy príslušný pre daný sektor.
- Energetika (elektrina, plyn, ropa, diaľkové vykurovanie, vodík)
- Doprava (letecká, železničná, vodná, cestná)
- Financie (bankovníctvo, infraštruktúra finančného trhu)
- Poštové služby
- Zdravotníctvo
- Voda a ovzdušie (pitná aj odpadová voda)
- Digitálna infraštruktúra (DNS, cloud, dátové centrá, CDN)
- Verejná správa
- Vesmír
- Výroba, spracovanie a distribúcia potravín
- Priemysel a chemické látky
Spadáte do niektorého z týchto sektorov? Potom má zmysel pokračovať v čítaní a urobiť si test podľa kritérií nižšie.
Test: spadáte do hľadáčika štátu?
Podľa § 9 ods. 1 zákona musí subjekt spĺňať všetky tri nasledujúce podmienky súčasne, aby ho štát mohol identifikovať ako kritický:
Subjekt poskytuje jednu alebo viacero základných služieb uvedených v prílohe č. 1 zákona. Napríklad distribúciu elektriny, prevádzku železničnej trate, prevádzku nemocnice, dodávky pitnej vody alebo prevádzku dátového centra.
Subjekt pôsobí na území Slovenskej republiky a jeho kritická infraštruktúra (servery, sieť, výrobné zariadenia) sa nachádza tu. Toto kritérium je takmer vždy splnené pri slovenských firmách v daných sektoroch.
Incident vo vašej firme by mal významný rušivý vplyv na poskytovanie základných služieb. Toto je najsubjektívnejšia časť a posudzuje ju ústredný orgán podľa kritérií významnosti vplyvu uvedených v § 14 ods. 3.
Pevné prahy podľa obratu, počtu zamestnancov ani podielu na trhu zákon neuvádza. Identifikácia stojí na posúdení, či by výpadok vašej firmy reálne narušil chod štátu. Práve preto je rozumné nečakať na list. Aj firmy, ktoré sa pri rýchlom čítaní zdajú „príliš malé", môžu byť kritické pre konkrétny región alebo úzku špecializovanú službu.
CER vs. NIS2: dva zákony, ktoré sa môžu zasiahnuť vašu firmu naraz
Aby v tom bol poriadok, tu je rýchle porovnanie dvoch paralelných predpisov:
Fyzická odolnosť
Pýta sa: „Vydržíte povodeň, sabotáž, výpadok energie, pandémiu, hybridnú hrozbu?" Vyžaduje bezpečnostný plán, posúdenie rizík, kontinuitu prevádzky a fyzickú ochranu infraštruktúry.
Kybernetická bezpečnosť
Pýta sa: „Vydržíte ransomware, DDoS, krádež identity, útok cez dodávateľa?" Vyžaduje šifrovanie, MFA, monitoring, riadenie zraniteľností a incident response.
Pre väčšinu firiem to v praxi znamená, že príprava na jeden zákon je vlastne aj príprava na druhý. Bezpečnostný plán podľa CER bez kapitoly o kyberbezpečnosti dnes neobstojí. A naopak, dobre nastavená kyber stratégia rieši veľkú časť požiadaviek na odolnosť.
Aké povinnosti čakajú identifikované firmy
Keď ústredný orgán identifikuje subjekt ako kritický, do 30 dní mu doručí písomné oznámenie. V ňom uvedie deň identifikácie, sektor, podsektor a konkrétne základné služby, ktoré subjekt poskytuje. Od tohto momentu beží 10-mesačná lehota na splnenie všetkých povinností. Stručný prehľad:
- Vypracovať bezpečnostný plán podľa zákonom stanovenej štruktúry, vrátane analýzy rizík a opatrení proti ich vzniku.
- Posúdiť riziká minimálne raz za 4 roky alebo pri každej významnej zmene v prevádzke či hrozbách.
- Oznámiť incident do 24 hodín od momentu, keď sa o ňom dozviete (§ 14 ods. 4). Toto je tvrdá lehota.
- Určiť kontaktnú osobu pre komunikáciu s orgánmi a viesť aktuálnu evidenciu.
- Informovať o zmenách v činnosti, organizačnej štruktúre alebo prevode infraštruktúry.
- Poskytovať súčinnosť pri kontrolách, cvičeniach a pri vyšetrovaní incidentov.
- Zabezpečiť fyzickú ochranu kritickej infraštruktúry, vrátane vstupov, kamerového systému a kontroly osôb.
- Pravidelne preskúšavať plány obnovy a kontinuity, nie ich len papierovo deklarovať.
Pokuty: prečo to nie je hra na „možno to nezbadajú"
Paragraf 18 zákona stanovuje pokuty v niekoľkých kategóriách. Najvyššia sadzba je 5 000 € až 300 000 € za porušenie kľúčových povinností (napríklad nevypracovanie bezpečnostného plánu alebo nesplnenie oznamovacej povinnosti pri incidente). Pri opakovanom porušení sa môže pokuta zvýšiť až na dvojnásobok, teda až 600 000 €.
Nižšie kategórie pokút (do 10 000 € a do 100 000 €) sa týkajú menej závažných porušení. Aj tak však ide o sumy, ktoré pre malú alebo strednú firmu môžu znamenať vážny zásah do cash flow.
Čo má zmysel urobiť TERAZ, aj keď neviete, či budete na zozname
Ak vaša firma operuje v jednom z 11 sektorov a má významnejšiu úlohu v dodávateľskom reťazci alebo regionálne dôležitú službu, čakanie nedáva zmysel. Aj keby vás nakoniec štát nezaradil, väčšina opatrení sa vám oplatí pre vlastnú prevádzkovú istotu. Tu sú tri kroky, ktoré viete spustiť okamžite:
1. Spravte si interný IT audit a inventarizáciu
Zistite, čo presne máte, kde to máte, kto k tomu má prístup a ako je to chránené. Bez tohto základu sa nedá zostaviť žiadny zmysluplný bezpečnostný plán. Štandardný IT audit dáva výstup, na ktorom sa dá stavať aj kompletná dokumentácia podľa CER aj NIS2.
2. Nastavte zálohovanie a obnovu, ktorá sa naozaj testuje
Kontinuita prevádzky stojí a padá na tom, či viete obnoviť dáta a systémy v reálnom čase. Nie ako sa to píše v zmluve, ale ako to skutočne funguje pri skúške. Pre kritické subjekty bude testovanie obnovy povinnosťou, no aj pre bežné firmy je to dnes minimálny štandard.
3. Začnite riešiť bezpečnostné politiky a školenia ľudí
Žiadny bezpečnostný plán nezachráni firmu, ktorá nemá zaškolených ľudí. Phishing, sociálne inžinierstvo a neuvážená manipulácia s dátami sú najčastejšie cesty, ako sa útočník alebo nehoda dostane k jadru firmy. Pravidlá hesiel, MFA, oprávnenia a školenia majú byť napísané, podpísané a v prípade kritického subjektu aj kontrolovateľné.
Nie ste kritický subjekt? Aj tak čítajte ďalej
Aj keď nie ste priamo na zozname kritických subjektov, môžete byť ich dodávateľom. A zákon 367/2024 aj NIS2 dnes berú vážne aj reťazec dodávateľov. Pre veľkých klientov (energetické spoločnosti, nemocnice, banky, dátové centrá) budete musieť vedieť doložiť, ako máte ošetrené bezpečnostné riziká, zálohy, identity management a postupy pri incidentoch.
To znamená, že aj firmy s 10 zamestnancami môžu byť zmluvne tlačené plniť bezpečnostné štandardy, ktoré sa donedávna týkali len veľkých subjektov. Reálne hrozí, že kritickí klienti začnú odmietať spoluprácu s dodávateľmi, ktorí nemajú aspoň základnú bezpečnostnú dokumentáciu.
Ako vám IT POMOC pomôže pripraviť sa
Stavbu odolnosti podľa CER aj kybernetickej bezpečnosti podľa NIS2 robíme ako jeden previazaný projekt. Začíname auditom, pokračujeme dokumentáciou a postupne nasadzujeme jednotlivé opatrenia. Tu sú dve cesty podľa veľkosti a rozsahu firmy:
Firemná správa IT
Mesačná správa s monitoringom, helpdeskom, zálohovaním a bezpečnostnými politikami. Pripravíme vás na dodávateľské audity od kritických klientov bez zamestnávania vlastného IT.
Pozrieť službu →IT Outsourcing
Kompletné externé IT oddelenie pripravené na audity podľa ISO 27001, NIS2 a CER. Procesy, dokumentácia, SLA a bezpečnostné štandardy ako pre kandidáta na kritický subjekt.
Pozrieť službu →Pri preberaní firmy najprv urobíme inventár, posúdime aktuálnu úroveň bezpečnosti a porovnáme ju s požiadavkami CER a NIS2. Výstupom je jasná mapa, čo treba doriešiť, v akom poradí a v akom horizonte. Bez paniky a bez zbytočného „prepisovania všetkého nanovo".
Spustite si bezplatný online IT audit
Päť minút, interaktívny checklist, jasný prehľad, ako ste pripravení na požiadavky CER a NIS2.
Spustiť online IT auditAlebo nám zavolajte. Úvodná konzultácia je nezáväzná:
📞 +421 948 07 97 07 · ✉️ linka@itpomoc.sk
O IT POMOC
IT POMOC je slovenská IT spoločnosť so sídlom v Bratislave (Čajakova 26), pôsobíme aj vo Viedni a Karlových Varoch. Máme za sebou 30+ rokov skúseností a viac ako 600 spokojných klientov v EÚ. Sme certifikovaní podľa ISO 27001 a ISO 9001, takže rozumieme tomu, čo znamená skutočne dokumentovaná a auditovaná bezpečnosť.
Čo by vás ešte mohlo zaujímať
Ako sa dozviem, že som bol zaradený medzi kritické subjekty?
Ústredný orgán štátnej správy príslušný pre váš sektor (napríklad ministerstvo hospodárstva, dopravy alebo zdravotníctva) vám doručí písomné oznámenie do 30 dní od identifikácie. V oznámení bude uvedený deň identifikácie, sektor a podsektor podľa prílohy č. 1, konkrétne základné služby, ktoré poskytujete, a kritériá významnosti vplyvu, ktoré ste splnili. Od doručenia oznámenia beží 10-mesačná lehota na splnenie všetkých povinností podľa zákona.
Týka sa zákon aj firiem, ktoré sú dodávateľmi kritických subjektov?
Priamo nie, povinnosti zo zákona 367/2024 platia pre samotné kritické subjekty. V praxi sa však veľmi rýchlo prenášajú aj na ich dodávateľov, pretože kritické subjekty si od svojich partnerov budú musieť vyžiadať doklady o bezpečnostných opatreniach, zálohovaní, riadení prístupov a postupoch pri incidentoch. Ak ste dodávateľom väčšieho hráča v energetike, zdravotníctve, financiách alebo IT infraštruktúre, počítajte s tým, že vám pribudnú zmluvné a auditové povinnosti.
Aký je rozdiel medzi zákonom 367/2024 a NIS2 (zákon 366/2024)?
Zákon 367/2024 (transpozícia smernice CER) sa zameriava na celkovú fyzickú a prevádzkovú odolnosť subjektu pri rôznych typoch hrozieb, od prírodných katastrof cez sabotáž a teroristické útoky až po hybridné hrozby. Zákon 366/2024 (transpozícia smernice NIS2) sa zameriava na kybernetickú bezpečnosť, riadenie kyber rizík, ochranu pred ransomware, DDoS, phishingom a podobne. V praxi sa oba zákony prekrývajú a väčšina kritických subjektov bude musieť plniť požiadavky oboch. Z hľadiska firmy je preto najefektívnejšie pripraviť sa naraz na obe.
Sú stanovené pevné prahy, podľa ktorých sa firma stáva kritickým subjektom?
Nie, zákon 367/2024 neuvádza pevné hranice podľa obratu, počtu zamestnancov ani podielu na trhu. Identifikácia stojí na tom, či firma poskytuje základnú službu, pôsobí na území SR a či by jej incident mal významný rušivý vplyv na fungovanie štátu alebo iných základných služieb. Posudzovanie významnosti je v kompetencii ústredného orgánu a riadi sa kritériami v § 14 ods. 3. Preto je rozumné nečakať na list a začať budovať odolnosť proaktívne, najmä ak vaša firma operuje v jednom z 11 sektorov.
Potrebujete pomôcť s IT vo vašej firme?
Kontaktujte nás pre nezáväznú konzultáciu.