Slovensko má novú vyhlášku o bezpečnostných opatreniach: 227/2025 nahrádza doterajšiu 362/2018. O tom, čo to znamená pre prax, diskutovali právnici, regulátor aj ľudia z prevádzky kybernetickej bezpečnosti. Zhodli sa, že kľúčové sú primeranosť, zrozumiteľnosť a schopnosť preniesť pravidlá do reálneho fungovania organizácií.
Prečo „nový kráľ“: menej detailov, viac zodpovednosti
Predchádzajúca vyhláška mala stovky detailných požiadaviek, no prax neukázala vyšší súlad ani lepšie pochopenie oblasti. Nová 227/2025 je stručnejšia a viac pracuje s princípmi neurčitosti a primeranosti, čím presúva väčšiu časť zodpovednosti na organizácie. To si vyžaduje znalosť prostredia, dobré výklady a schopnosť rozhodovať sa podľa rizík, nie len podľa checklistu.
Právo nemá suplovať technické normy, no bez regulácie mnohé subjekty najmä vo verejnom sektore neurobia potrebné kroky. Argument „nemám na to papier“ v praxi stále funguje a brzdí investície do bezpečnosti. Úlohou predpisu preto nie je byť „kuchárkou“ pre technikov, ale vytvoriť rámec, ktorý je uchopiteľný a vynútiteľný.
Dodávatelia pod lupou: zmluvy, náklady a zdravý rozum
Silnejšia regulácia pomáha prevádzkovateľom presadiť bezpečnostné požiadavky u veľkých vendorov, podobne ako pri GDPR či DORA. Zároveň to však znamená revízie a nové zazmluvnenie, ktoré v korporátnej praxi trvá aj roky a je náročné na kapacity. Ceny sa môžu hýbať, no často už boli rizikové náklady „skryté“ v cene služieb, len neboli transparentne pomenované.
Diskutujúci varovali pred „one size fits all“ prístupom a buldozérom, ktorý nahrádza premyslenú dohodu. Najlepšie výsledky prináša, keď si obe strany urobia domácu úlohu: odberateľ vie, ktoré riziká potrebuje kryť, a dodávateľ vie vecne vyčísliť dodatočnú prácu. Nový zákonný tlak posilňuje aj to, že povinnosti sa v určitých prípadoch viažu priamo na dodávateľov. A po 31. 8. 2025 sa nemajú predlžovať zmluvy, ktoré nie sú zosúladené s požiadavkami – dôkazné bremeno v praxi nesie prevádzkovateľ a kontrolór to vie spätne posúdiť.
Verejná správa, sektorové pravidlá a „risk‑based“ prístup
Vo verejnej správe bude súbeh všeobecnej a sektorovej regulácie, pričom sektorová má byť plnohodnotná a zohľadniť celý rozsah bezpečnostných oblastí. Výklad, ktorý zaznel, smeruje k tomu, že v oblasti IT vo verejnej správe má sektorový predpis nahrádzať všeobecný štandard, no ambícia je, aby obsahovo nič nechýbalo. Kľúčová je koordinácia rezortov s regulátorom, aby nevznikali rozpory ani medzery.
Nová vyhláška stavia na riadení rizík namiesto starých kategórií, no neznamená to „nulové opatrenia“. Minimálny súbor povinností platí vždy a akceptovať možno len zvyškové riziko. Ak analýza rizík vyjde „príliš ružovo“, skôr to poukazuje na slabú metodiku či nesprávne nastavený tím – a na to sa pri kontrole bude pýtať regulátor aj audítor.
