Kde NIS2 nariaďuje školenie bezpečnostného povedomia?
Smernica je v detailoch stručná, no v otázke školenia jednoznačná. Článok 20 ods. 2 smernice NIS2 (smernica (EÚ) 2022/2555) vyžaduje, aby členské štáty zabezpečili, že členovia riadiacich orgánov kľúčových a dôležitých subjektov absolvujú školenie o kybernetickej bezpečnosti, a zároveň tlačí subjekty na to, aby podobné školenie pravidelne ponúkali aj svojim zamestnancom - tak, aby každý dokázal rozpoznať riziká a posúdiť, ako postupy riadenia rizík ovplyvňujú poskytované služby. Práve toto je požiadavka na školenie manažmentu podľa NIS2 (NIS2 management training requirement) a stojí hneď vedľa článku 20 ods. 1, ktorý ukladá riadiacim orgánom schvaľovať a kontrolovať bezpečnostné opatrenia - a robí ich zodpovednými za porušenia.
Článok 21 ods. 2 písm. g) následne uvádza „základné postupy kybernetickej hygieny a školenie v oblasti kybernetickej bezpečnosti“ medzi minimálnymi opatreniami riadenia rizík, ktoré musí zaviesť každý subjekt v pôsobnosti zákona. V slovenskej úprave sa to premieta ako kybernetická hygiena: disciplína pri heslách, aktualizácie, obozretná práca s e-mailami a prílohami a školenia, ktoré tieto návyky udržiavajú nažive. Práve článok 21 ods. 2 písm. g) NIS2 je ustanovenie, na ktoré sa audítor odvolá, keď si vypýta vaše záznamy o školeniach.
Za právnym textom je aj praktická logika. Správy ENISA o stave hrozieb (ENISA Threat Landscape) opakovane radia phishing medzi najčastejšie spôsoby, akými útočníci získajú prvý prienik do organizácie. Program, ktorý spevní systémy, no ľudí nechá nezaškolených, ignoruje práve najviac atakovanú plochu - čo potvrdila aj séria útokov na slovenské inštitúcie.
Ako slovenský zákon mení smernicu na konkrétne povinnosti
Smernica určuje, čo musí existovať; národná úprava určuje, ako hlboko a dokedy. Slovensko transponovalo NIS2 novelou zákona plus vykonávacími vyhláškami - a práve vyhlášky, nie samotný zákon, nesú konkrétne povinnosti v oblasti školení. Rok 2026 je rokom, v ktorom dobiehajú prechodné lehoty.
Slovensko: zákon č. 69/2018 po novele č. 366/2024 a vyhláška NBÚ č. 227/2025
Novela zákona o kybernetickej bezpečnosti (zákon č. 366/2024 Z. z.) účinná od 1. januára 2025 rozšírila pôsobnosť zákona č. 69/2018 Z. z. na vyše 3 400 organizácií, ktoré musia zaviesť všeobecné bezpečnostné opatrenia do 12 mesiacov od zápisu do registra. Detail žije vo vyhláške NBÚ č. 227/2025 Z. z. účinnej od 1. septembra 2025. Jej príloha so všeobecnými opatreniami vyžaduje primerané vzdelávanie zodpovedajúce roliam tak, aby si štatutárny orgán, zamestnanci aj tretie strany udržiavali bezpečnostné povedomie - v praxi zdokumentovaný plán rozvoja bezpečnostného povedomia, ktorý vymedzuje formu, obsah a rozsah školení, pričom bezpečnostné vzdelávanie sa má vykonať najmenej raz za tri roky. Toto je právny základ za tým, čo slovenskí manažéri hľadajú ako povinné školenie kybernetickej bezpečnosti. Subjekty regulované podľa starého režimu môžu postupovať podľa pôvodných pravidiel len do 31. decembra 2026; od 1. januára 2027 platí vyhláška 227/2025 v plnom rozsahu.
Audit, ohlasovanie incidentov a sektor financií (DORA)
Povinnosťou neostáva len samotné školenie. Zákon č. 69/2018 v znení novely vyžaduje certifikovaný audit kybernetickej bezpečnosti - pre nové subjekty prvý raz do dvoch rokov od zápisu do registra, s následným cyklom a so správou pre NBÚ; tu sa kontroluje aj plnenie povinností v oblasti bezpečnostného povedomia. Sprievodná vyhláška NBÚ č. 226/2025 Z. z. zároveň upravuje fázy hlásenia incidentov (24 hodín / 72 hodín / 30 dní), takže zaškolený zamestnanec, ktorý vie phishing rozpoznať a nahlásiť, je prvým článkom celej tejto reťaze.
Finančný sektor má navyše vlastný režim. Nariadenie DORA (EÚ 2022/2554) je uplatniteľné od 17. januára 2025 a na Slovensku nad ním dohliada Národná banka Slovenska. Jeho článok 13 ods. 6 robí z programov zvyšovania povedomia o bezpečnosti IKT a školení digitálnej prevádzkovej odolnosti povinné moduly pre všetkých zamestnancov aj pre vrcholový manažment, pričom testovanie penetrácie založené na hrozbách (TLPT) výslovne zahŕňa aj sociálne inžinierstvo a phishing. Banka, poisťovňa či správcovská spoločnosť teda plnia povinnosti z NIS2 aj z DORA naraz - a phishingová simulácia poslúži ako dôkaz pre obe.
Kto musí byť podľa NIS2 zaškolený?
Naprieč smernicou aj slovenskou úpravou sa opakujú štyri skupiny. Školenie nie je jeden kurz pre všetkých - hĺbka sleduje rolu.
- Štatutárny orgán a vrcholový manažment. Článok 20 ods. 2 robí zo školenia manažmentu tvrdú požiadavku a slovenská úprava menuje štatutárny orgán výslovne. Práve vedenie schvaľuje a kontroluje opatrenia a nesie za ne osobnú zodpovednosť - generické e-learningové školenie pre zamestnancov tu nestačí.
- Všetci zamestnanci. Základ kybernetickej hygieny: rozpoznať phishing, nahlásiť podozrivú správu, narábať s údajmi a prihlasovacími údajmi. Jadrom učiva je tu praktický zoznam varovných signálov.
- Administrátori a bezpečnostné roly. Privilegované účty priťahujú cielené útoky, preto táto skupina potrebuje hlbší, prakticky zameraný obsah - teoretickú aj praktickú prípravu nad rámec bežného povedomia.
- Tretie strany s prístupom. Vyhláška 227/2025 rozširuje očakávania ohľadom povedomia aj na tretie strany a za bezpečnosť dodávateľského reťazca podľa článku 21 ods. 2 písm. d) zodpovedáte vy - dodávatelia s prístupom do systémov majú byť pokrytí zmluvou aj vaším vstupným školením.
Ako často a v akej forme má školenie prebiehať?
Ani smernica, ani vyhláška nefixujú jediný interval typu „raz ročne“. Vyhláška 227/2025 síce uvádza spodnú hranicu - bezpečnostné vzdelávanie najmenej raz za tri roky - no defenzívny program stavia na troch vrstvách:
- Vstupné školenie pred prístupom. Noví zamestnanci aj noví dodávatelia sú zaškolení predtým, alebo bezprostredne pri tom, ako dostanú účty - plán rozvoja bezpečnostného povedomia s týmto počíta.
- Pravidelné opakovanie. Pojem „pravidelné“ sa vo vyhláške objavuje bez konkrétneho čísla; periodicitu treba odôvodniť analýzou rizík. Vyhláškou daný trojročný strop je minimum, nie cieľ - štvrťročné krátke kontaktné body porazia jeden výročný maratón.
- Vyhodnotenie účinnosti. Vyhláška 227/2025 žiada preukázateľné, roliam zodpovedajúce vzdelávanie a jeho overovanie. Ak neviete ukázať, či školenie zmenilo správanie, máte len program na papieri.
Forma rozhoduje rovnako ako frekvencia. E-learning s preklikávaním slajdov vyrobí certifikáty o absolvovaní, nie zmenu správania. Overiť povedomie v praxi znamená otestovať ľudí proti realistickým útokom - preto sa phishingový test zamestnancov stal štandardným nástrojom na meranie účinnosti. Platformy ako PhishGun spájajú simulované kampane s lokalizovanými šablónami v slovenčine, češtine a angličtine s okamžitým mikroškolením vo chvíli, keď niekto klikne - samotný test sa tak stáva učebným momentom a metriky zároveň slúžia ako dôkaz pre audit.
Aké dôkazy očakáva NBÚ a audítor?
Dohľad je založený na dokumentácii. Audítor - prvý slovenský audit kybernetickej bezpečnosti pripadá do dvoch rokov od zápisu do registra - vás len výnimočne uvidí školiť; číta to, čo viete preukázať. Tie isté záznamy uspokoja aj klauzulu 7.3 normy ISO 27001, ako rozoberáme v sprievodcovi ISO 27001 školenie zamestnancov, takže dôkazy vytvorte raz a používajte opakovane.
| Požiadavka | Dôkaz, ktorý očakáva NBÚ |
|---|---|
| Plán rozvoja bezpečnostného povedomia (vyhláška 227/2025) | Schválený, datovaný plán s formou, obsahom a rozsahom školení; história revízií; menovaní zodpovední |
| Školenie manažmentu (čl. 20 ods. 2) | Program, dátum, školiteľ, podpísaná prezenčná listina členov štatutárneho orgánu |
| Vstupné školenie pred prístupom | Onboardingový kontrolný zoznam preukazujúci absolvovanie pred zriadením účtu |
| Pravidelné opakovanie pre všetkých | Záznam o školeniach: témy, dátumy, prezenčné listiny, miera dokončenia |
| Roliam prispôsobené školenie administrátorov | Osnovy kurzov, certifikáty a dátumy pre každú privilegovanú rolu |
| Vyhodnotenie účinnosti | Výsledky testov, miera preklikov a nahlásení z phishingových simulácií, trendové správy, záznamy o náprave |
Všetko držte v jednom úložisku, datované a na požiadanie exportovateľné. Roztrúsené tabuľky padajú pri audite takmer rovnako spoľahlivo ako chýbajúce záznamy.
Pokuty a osobná zodpovednosť, ak školenie chýba
Školenie patrí medzi opatrenia podľa článku 21, takže jeho absencia spadá do najvyššieho pásma pokút. Smernica určuje spodné hranice horných limitov: až do najmenej 10 miliónov eur alebo 2 % celkového celosvetového ročného obratu pre kľúčové subjekty a 7 miliónov eur alebo 1,4 % pre dôležité subjekty, podľa toho, čo je vyššie. Slovenský zákon ich zrkadlí - do 10 mil. eur / 2 % obratu pre kľúčové subjekty (PKZS) a do 7 mil. eur / 1,4 % pre dôležité subjekty (PZS), so samostatnými pokutami za nesplnenie registračnej či auditnej povinnosti vo výške 300 – 500 000 eur. Fyzickej osobe možno uložiť pokutu až do 5 000 eur.
Práve osobný rozmer mení rozhovory na úrovni vedenia. Riadiace orgány schvaľujú a kontrolujú opatrenia a možno ich brať na zodpovednosť za porušenia; pri kľúčových subjektoch môže dohľad dokonca požiadať o dočasný zákaz výkonu riadiacej funkcie konkrétnej osoby. A chýbajúci záznam o školení je tá najľahšia medzera, akú inšpektor nájde - bez technického testovania, len jednou otázkou: ukážte mi, kto bol zaškolený, na čo a kedy.
12-mesačný kalendár školení a simulácií v súlade s NIS2
Obhájiteľný program sa odvíja spätne od tabuľky dôkazov vyššie. Kalendár nižšie sadne na slovenské požiadavky a počíta so štvrťročným rytmom - naškálujte ho podľa svojej analýzy rizík.
| Mesiac | Aktivita | Vyprodukovaný dôkaz |
|---|---|---|
| 1 | Schválenie alebo aktualizácia plánu rozvoja bezpečnostného povedomia; pridelenie zodpovedných | Podpísaný plán s dátumom revízie |
| 2 | Neohlásená vstupná phishingová simulácia | Miera preklikov a nahlásení podľa oddelení |
| 3 | Školenie pre všetkých: kybernetická hygiena, varovné signály phishingu, hlásenie incidentov | Prezenčné listiny, témy, dátumy |
| 4 | Školiace sedenie pre štatutárny orgán | Záznam o účasti vedenia, program |
| 5 | Phishingová simulácia č. 2 (nový scenár); mikroškolenie pre tých, čo klikli | Správa zo simulácie, záznam o náprave |
| 6 | Technické školenie administrátorov a privilegovaných používateľov | Certifikáty, osnovy kurzov |
| 7 | Polročné vyhodnotenie účinnosti oproti východiskovému stavu | Trendová správa, úpravy plánu |
| 8 | Opakovací e-learning a opätovné potvrdenie politík | Miera dokončenia, potvrdenia |
| 9 | Simulácia spear phishingu / CEO podvodu pre financie a manažment | Správa z cielenej simulácie |
| 10 | Audit školení tretích strán a nových zamestnancov | Onboardingové záznamy, potvrdenia dodávateľov |
| 11 | Phishingová simulácia č. 4; náprava pre opakovaných klikajúcich | Správa zo simulácie, záznamy o náprave |
| 12 | Ročné vyhodnotenie; aktualizácia plánu; archivácia balíka dôkazov | Ročná správa o účinnosti |
Ďalšie kroky, kým udrú lehoty
Ak vám beží registračné odpočítavanie - a po 2. marci 2025 vám takmer isto beží - začnite štyrmi položkami, ktoré vyrobia dôkazy najrýchlejšie: prijmite plán rozvoja bezpečnostného povedomia, naplánujte školenie manažmentu, spustite východiskovú simuláciu a zriaďte úložisko dôkazov. Operatívnu stránku krok za krokom rozoberá náš návod na phishingovú simuláciu. Útok ransomvérom na slovenský kataster (ÚGKK) v januári 2025 ukázal, že incident sa môže týkať aj kritickej štátnej infraštruktúry - pripravení by mali byť všetci.
PhishGun, ktorý vyvíja slovenská spoločnosť pre ofenzívnu bezpečnosť Haxoris, vznikol presne pre túto oblasť: realistické phishingové kampane s lokalizovanými šablónami v slovenčine, češtine a angličtine, pracovný postup nahlasovania zo strany zamestnancov a reporty pripravené na audit, ktoré odovzdáte inšpektorovi NBÚ ako dôkaz pre NIS2, ISO 27001 či DORA. Prvá phishingová kampaň je zdarma - bez platobnej karty - a cenník je transparentný za zamestnanca. Viac o tom, ako platforma funguje, nájdete v prehľade produktu PhishGun.
Časté otázky
Stačí na splnenie požiadaviek NIS2 na školenie výročný e-learning?
Spravidla nie sám osebe. NIS2 aj slovenská vyhláška č. 227/2025 očakávajú vstupné školenie pred prístupom, pravidelné opakovanie a vyhodnotenie účinnosti. Jeden výročný modul bez overovania nechá dve z týchto troch vrstiev prázdne. Audítori sa čoraz častejšie pýtajú, ako ste odmerali zmenu správania - a na to samotný certifikát o absolvovaní neodpovedá.
Sú phishingové simulácie podľa NIS2 povinné?
Nie menovite. Smernica ani zákon nikde nehovoria „phishingová simulácia“. Vyhláška č. 227/2025 však žiada preukázateľné, roliam zodpovedajúce vzdelávanie a jeho overovanie a NBÚ aj SK-CERT v praxi spájajú testovanie odolnosti s phishingom. Simulácie sú akceptovaný praktický spôsob, ako tento dôkaz vyprodukovať - vecne sa teda očakávajú.
Musia byť podľa NIS2 zaškolení aj dodávatelia a tretie strany?
Ak majú prístup do vašich systémov, tak v praxi áno. Vyhláška č. 227/2025 rozširuje očakávania ohľadom povedomia na tretie strany popri zamestnancoch a štatutárnom orgáne a článok 21 ods. 2 písm. d) NIS2 robí z bezpečnosti dodávateľského reťazca vašu zodpovednosť. Povinnosti v oblasti povedomia zakotvte do zmlúv, dodávateľov s prístupom zaškoľte pri onboardingu a veďte záznamy presne tak ako pri zamestnancoch.
Potrebuje manažment samostatné školenie podľa NIS2?
Áno. Článok 20 ods. 2 ukladá členom riadiacich orgánov absolvovať školenie tak, aby vedeli rozpoznať riziká a posúdiť postupy riadenia kybernetických rizík - generický e-learning pre zamestnancov toto nepokrýva. Slovenská vyhláška navyše menuje štatutárny orgán výslovne. Vyhradené, zdokumentované sedenie pre vedenie, pravidelne opakované, je obhájiteľné minimum.
Aké lehoty pre školenie podľa NIS2 platia v roku 2026?
Subjekty regulované podľa starého režimu môžu postupovať podľa pôvodných pravidiel len do 31. decembra 2026; od 1. januára 2027 platí vyhláška č. 227/2025 v plnom rozsahu. Novoregistrované subjekty musia zaviesť opatrenia do 12 mesiacov od zápisu do registra a prvý certifikovaný audit kybernetickej bezpečnosti pripadá do dvoch rokov od zápisu, takže rok 2026 je vrcholom prípravy aj prvej auditnej sezóny.