1. jún 2026

Aké pravidelné povinnosti prináša vyhláška č. 227/2025 v oblasti kybernetickej bezpečnosti

Vyhláška č. 227/2025 o bezpečnostných opatreniach prináša organizáciám množstvo konkrétnych povinností v oblasti kybernetickej bezpečnosti. Mnohé z nich nie sú jednorazové úlohy, ale pravidelné činnosti, ktoré je potrebné vykonávať a dokumentovať v stanovených intervaloch. V praxi to znamená, že organizácie musia mať zavedený systém pravidelných kontrol, testovania a revízií, ktoré preukazujú aktívne riadenie kybernetických rizík. Ich cieľom je pravidelne preverovať pripravenosť organizácie, aktuálnosť bezpečnostných opatrení a odolnosť informačných systémov voči kybernetickým hrozbám.

 

Povinnosti vykonávané každé dva roky:

  • preskúmanie podpísaných dohôd o mlčanlivosti, ktoré odrážajú potreby prevádzkovateľa základnej služby pre zachovanie dôvernosti,
  • monitorovanie, preskúmanie, vyhodnocovanie a zmeny v postupoch a v poskytovaní služieb alebo iných činností tretích strán, ktoré priamo súvisia s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby.

 

Povinnosti vykonávané raz ročne:

  • preskúmavanie identifikovaných rizík a v závislosti od výsledkov, aj aktualizácia rizík, revízia analýzy rizík a revízia prijatých bezpečnostných opatrení,
  • posudzovanie zraniteľností,
  • plánovanie a testovanie riešenia kybernetických bezpečnostných incidentov a ako sú definované, prijaté a oznámené procesy, úlohy a zodpovednosti v oblasti riešenia kybernetických bezpečnostných incidentov,
  • testovanie pravidiel pre izoláciu kritických komponentov sietí, informačných systémov a operačných technológií počas kybernetického bezpečnostného incidentu; o vykonaní testovania sa vyhotovuje záznam, ktorý sa uchováva najmenej na obdobie od ukončenia posledného auditu do ukončenia nasledujúceho auditu alebo samohodnotenia,
  • testovať záložné kópie dát, softvéru a konfigurácie sietí, informačných systémov a operačných technológií; o vykonaní testovania sa vyhotovuje záznam, ktorý sa uchováva najmenej  na obdobie od ukončenia posledného auditu do ukončenia nasledujúceho auditu alebo samohodnotenia,
  • kontrola a aktualizácia konfigurácie komponentov sietí, informačných systémov
    a operačných technológií podľa vývoja hrozieb; o kontrole sa vyhotovuje záznam, ktorý sa uchováva najmenej na obdobie od ukončenia posledného auditu do ukončenia nasledujúceho auditu alebo samohodnotenia,           
  • prehodnocovanie odolnosti zavedených kryptografických mechanizmov a vyhotovenie záznamu o tom, ktorý sa uchováva najmenej na obdobie od ukončenia posledného auditu do ukončenia nasledujúceho auditu alebo samohodnotenia,
  • kontrola prístupových účtov a prístupových oprávnení na overenie súladu schválených oprávnení so skutočným stavom vykonávania oprávnení, vrátane detekcie a následného zrušenia nepoužívaných prístupových účtov; vyhotovuje sa o tom záznam, ktorý sa uchováva najmenej na obdobie od ukončenia posledného auditu do ukončenia nasledujúceho auditu alebo samohodnotenia,
  • prehodnotenie súladu so stratégiou kybernetickej bezpečnosti, bezpečnostnými politikami, bezpečnostnými štandardmi.

Vyhláška č. 227/2025 jasne ukazuje, že kybernetická bezpečnosť nie je jednorazový projekt alebo formalita. Ide o kontinuálny proces pravidelného preverovania, testovania a zlepšovania bezpečnostných opatrení. Organizácie, ktoré si včas nastavia harmonogram povinností, zodpovednosti a evidenciu vykonaných činností, budú mať výrazne jednoduchšie plnenie legislatívnych požiadaviek aj zvládanie bezpečnostných incidentov v praxi.

RNDr. Daniel Schikor

manažér kybernetickej bezpečnosti