Vyhláška č. 227/2025 Z. z. v kontexte „starej“ vyhlášky č. 362/2018 Z. z.
Slovenská kybernetická bezpečnosť dostala od 1. 9. 2025 nové „pracovné prostredie“. Z pohľadu práva, ale už aj existujúcej praxe v oblasti kybernetickej bezpečnosti, nejde rozhodne o kozmetickú zmenu. Mení sa predovšetkým filozofia a s tým súvisiaca štruktúra aj „mikronastavenie“ mnohých požiadaviek so spoločným a jediným správnym začiatkom.
Vyhláška Národného bezpečnostného úradu č. 227/2025 Z. z. o bezpečnostných opatreniach („227/2025“) nahrádza doterajšiu vyhlášku č. 362/2018 Z. z. („362/2018“) a spolu so skoršou transpozíciou NIS2 vo forme novely zákona o kybernetickej bezpečnosti, ktorej účinnosť datujeme k prvému dňa roka 2025, mení pravidlá hry nielen pre starých známych prevádzkovateľov základných služieb. Pozrime sa spolu ako.
Od „checklistu“ k risk-based
Vyhláška 362/2018 bola v čase prijatia dôležitým krokom, vytvorila značne detailný katalóg bezpečnostných opatrení viazaných na oblasti podľa § 20 ods. 3 zákona o kybernetickej bezpečnosti, doplnený o klasifikáciu informácií, kategorizáciu IS a minimálne požiadavky pre jednotlivé kategórie IS I–III. Textácia vyhlášky 362/2018 povinné osoby často motivovala ku tendenciám a „compliance“ prístupu mať značný rozsah bezpečnostných požiadaviek spracovaný len formálne, prostredníctvom dokumentácie, bez skutočného prepojenia na reálnu analýzu rizík či kontinuitu činností. Hoci je potrebné jedným dychom dodať, že práve formalizácia a dokumentácia boli často auditmi identifikované ako nedostatkový „tovar“ u povinných osôb.
Bez ohľadu na uvedené, s vyhláškou 362/2018 nám v reáliách slovenskej kyberbezpečnosti čiastočne končí aj konštatovaný formálny prístup a tento je nahradený odlišnou filozofiou a prístupom na podklade vyhlášky 227/2025. Hoci sa to na prvý, a možno ani na druhý pohľad, nemusí takto hneď javiť.
Bezpečnostné opatrenia sa podľa ostatného znenia zákona o kybernetickej bezpečnosti delia na minimálne opatrenia podľa § 20 ods. 4 zákona a všeobecné bezpečnostné opatrenia (oblasti, pre ktoré sa prijímajú bezpečnostné opatrenia) podľa § 20 ods. 2 zákona s tým, že obsah oblastí bezpečnostných opatrení podľa § 20 ods. 2 zákona stanovuje práve vyhláška 227/2025 v rámci rozsiahlej 151 riadkovej prílohy č. 1. Zatiaľ nič nové, takto obdobne bol vyskladaný aj zákon pred novelou v spojení s vyhláškou 362/2018.
Kľúčovou je však skutočnosť, že rozsah bezpečnostných opatrení sa v zmysle nových pravidiel viaže len na výsledky analýzy rizík. Argumentom by mohlo byť, že analýza rizík predsa bola vyžadovaná aj v zmysle vyhlášky 362/2018, no pravda je taká, že primárna identifikácia bezpečnostných opatrení bola založená na klasifikácii informačných aktív a kategorizácii sietí a informačných systémov (minimálne opatrenia boli fixné podľa kategórie I / II / III) s tým, že analýza rizík bola častokrát vykonaná len formálne, naoko, voči katalógu aktív nekorešpondujúcemu s už klasifikovanými aktívami.
Výstup sa teda volal analýza rizík, aj sa tak obsahovo tváril, no prevažne sa jednalo o izolovaný dokument, ktorý nereflektoval všetky aktíva prevádzkovateľa základnej služby, „pracujúceho“ so štandardnými katalógmi hrozieb, výnimočne aj zraniteľností, bez reflexie na skutočný rizikový profil organizácie, jej aktíva, kritické činnosti a v neposlednom rade (biznisové a iné) potreby. Šlo v zásade len o formalitu predloženú audítorovi, lebo checklist si ju „pýta“.
Pokiaľ sa však jedná už o vyhlášku 227/2025, povinný je ňou ukotvený systematický proces riadenia rizík so zrejmým mapovaním na metodiku NBÚ (hoci metodika nie je záväzná) a s jasným rozlíšením prijatých, neprijatých a zvyškových rizík. Vyhláška 227/2025 výslovne vyžaduje preukázateľné schvaľovanie výsledkov analýzy rizík osobou podľa § 20 ods. 4 písm. h) zákona.
Z pohľadu praxe je to krok dopredu, posúva od „odfajknutia opatrení“ k diskusii, čo je pre konkrétneho prevádzkovateľa základnej služby potrebné, dôležité a obhájiteľné.
Bezpečnostná dokumentácia: menej rozprávania, viac obsahu
Vyhláška 362/2018 definovala bezpečnostnú dokumentáciu pomerne široko a miestami opisne – so záberom aj na súvisiacu organizačnú kultúru, rámce riadenia operačných rizík či bezpečnostné návody.
Vyhláška 227/2025 tento rámec síce obsahovo nepribližuje (dokonca je tu prítomná nižšia miera detailu v porovnaní s vyhláškou 362/2018), avšak čo do objemu rámec rozširuje. A to napr. požiadavkou o existenciu bezpečnostných politík pre jednotlivé oblasti bezpečnosti (novelou zákona došlo k rozšíreniu oblastí), výkon analýzy rizík, určenie úrovne identifikovaných rizík, akceptovaných rizík a zvyškových rizík pre aktíva spolu so zoznamom aktív alebo zadokumentované určenie rozsahu a spôsobu prijatia, dodržiavania a vykonávania bezpečnostných opatrení vrátane odôvodnenia neprijatia bezpečnostného opatrenia.
Okrem uvedeného je možné posun vnímať aj v tom, že dokumentácia je podľa vyhlášky 227/2025 jasnejšie previazaná na riadenie rizík a na reálnu architektúru prostredia. Pre organizácie, ktoré už v praxi používajú napr. ISO 27001 alebo iné rámce, je výslovne umožnené mapovanie existujúcich metodík výkonu analýzy rizík na (hoci nezáväznú, ale dobrú) metodiku zverejnenú Národným bezpečnostným úradom SR.
Uvedené teda vytvára tlak na tých, ktorí doteraz fungovali „papierovo“. Bezpečnostná dokumentácia nemôže byť len univerzálny šablónový balík. Musí reálne odrážať aktíva organizácie, jej architektúru a riziká.
OT „naozaj“ na scéne
Jedným z najväčších posunov je explicitné zakotvenie operačných technológií (OT) v texte vyhlášky 227/2025, kde pracuje s pojmom operačné technológie priamo napr. v § 1 a § 4 a v prílohe č. 1 rozdeľuje opatrenia podľa relevancie pre IKT a OT a stanovuje bezpečnostné požiadavky v reflexii na špecifiká OT (napr. núdzové napájanie, oddelené zálohovacie systémy, fyzická a logická segmentácia OT vs. IT, vrstvy OT, nezávislé firewally pre OT).
Z hľadiska kybernetickej bezpečnosti ide o výrazný posun. Regulačný rámec konečne explicitne reflektuje, že PLC, SCADA či DCS sa nedajú riadiť podľa rovnakých zásad ako „kancelárske“ IT, a zároveň, že narušenie OT môže mať skutočné dopady.
Uvedeným jednoznačným rozšírením pôsobnosti zákona však zároveň otvárame aj novú pandorinu skrinku. Spomedzi už teraz úzkej skupiny IKT odborníkov pre oblasť kybernetickej bezpečnosti je potrebné nájsť aj takých, ktorí disponujú reálnou znalosťou a špecializáciou pre svet OT.
Pri napĺňaní nových povinností je dôležité riešiť kybernetickú bezpečnosť nielen technicky, ale aj z právneho hľadiska. Ak organizácia potrebuje vyhodnotiť svoje záväzky podľa rozšíreného regulačného rámca, právna istota je kľúčová. Advokátska kancelária SIGNUM legal s. r. o.
dlhodobo pôsobí v oblasti regulačného a technologického práva a pomáha pri implementácii požiadaviek kybernetickej bezpečnosti – od identifikácie rizík až po nastavenie procesov a zmluvných vzťahov v súlade so zákonom.
Na právne nastavenie však musí nadviazať aj technická realizácia. Pre efektívne zvládnutie požiadaviek zákona je vhodné spolupracovať s partnerom, ktorý rozumie bezpečnosti OT aj IT. GAMO a.s. ponúka implementáciu požiadaviek zákona, IT/OT audity, bezpečnostný monitoring aj služby manažéra kybernetickej bezpečnosti. Vďaka kombinácii technického know-how a praktických skúseností dokáže organizáciám ponúknuť riešenia, ktoré sú udržateľné, funkčné a v súlade s legislatívou.
Záverom
Kam sa teda posúvame prostredníctvom vyhlášky 227/2025? Či dopredu alebo dozadu bude závisieť predovšetkým od toho, ako si budú svoju prácu robiť kontrolóri, audítori a manažéri kybernetickej bezpečnosti. Prax vytvorená týmito subjektmi ukáže, či sa budeme v kybernetickej bezpečnosti uchyľovať ku vzorovosti a formalizmu, alebo k reálnemu plneniu bezpečnostných požiadaviek, na ktorého začiatku je výkon analýzy rizík a mapovanie bezpečnostných opatrení, ktoré reálne mitigujú identifikované riziká.
