Cyber Resilience Act vstupuje do prevádzkovej fázy: čo zaznelo na KYBER2026 a čo musí Slovensko stihnúť do 11. septembra 2026

28. apríla 2026

Konferencia KYBER2026 Národného bezpečnostného úradu a SK-CERT, ktorá sa konala 27. a 28. apríla 2026 v hoteli Sitno Vyhne, potvrdila to, čo prevádzkovatelia základných služieb a kritických subjektov tušili už od začiatku roka. Rok 2026 nie je rokom prípravy, ale rokom preukázateľnej funkčnosti. V centre stojí nariadenie Európskeho parlamentu a Rady číslo 2024/2847 o kybernetickej odolnosti, ktoré dosiahne 11. septembra 2026 prvý ostrý míľnik, povinné hlásenie aktívne zneužívaných zraniteľností a závažných incidentov cez Single Reporting Platform agentúry ENISA.


Čo zaznelo na KYBER2026


Konferenciu otvoril riaditeľ Národného bezpečnostného úradu Roman Konečný, ktorý zhrnul stav slovenskej kybernetickej bezpečnosti a predstavil priority na rok 2026. Jaroslav Ďurovka z Národného centra kybernetickej bezpečnosti spolu s Marekom Vlášekom z odboru kontroly a dohľadu prezentovali Správu o kybernetickej bezpečnosti za rok 2025, ktorá zaznamenala medziročný nárast nahlásených incidentov a posun v profile útokov od oportunistických kampaní k cieleným operáciám proti verejnej správe a kritickej infraštruktúre.


Riaditeľ SK-CERT Milan Pikula sa venoval praktickému incident handlingu a väzbe medzi vyhláškou NBÚ číslo 227 z roku 2025 a sektorovými vyhláškami. Martin Senčák ako Národný orgán pre kyberbezpečnostnú certifikáciu vystúpil s blokom o Cyber Resilience Act a o povinnostiach výrobcov produktov s digitálnymi prvkami. Ďalšie panely pokrývali prechod na postkvantovú kryptografiu, koordinované zverejňovanie zraniteľností (CVD) a fungovanie jednotného informačného systému kybernetickej bezpečnosti, t.j. JISKB. Spoločným záverom konferencie bolo, že rok 2026 je prvým rokom, v ktorom NBÚ disponuje plným kontrolným inštrumentáriom podľa zákona číslo 366/2024 Z. z. o kybernetickej bezpečnosti.



Tri ostré dátumy do konca roka


Pre prevádzkovateľov a výrobcov je nevyhnutné mať pred očami tri konkrétne termíny. Po prvé, 11. júna 2026 sa začnú uplatňovať pravidlá pre orgány posudzovania zhody podľa nariadenia o kybernetickej odolnosti, čo je predpoklad pre fungovanie certifikačného režimu CRA. Po druhé, 17. júla 2026 musia ústredné orgány štátnej správy podľa paragrafov 7 a 8 zákona číslo 367/2024 Z. z. o kritickej infraštruktúre identifikovať kritické subjekty v náväznosti na smernicu Európskeho parlamentu a Rady číslo 2022/2557, t.j. CER. Po tretie, 11. septembra 2026 sa začne ostré uplatňovanie 24 hodinového, 72 hodinového a 14 dňového režimu hlásení výrobcov cez Single Reporting Platform agentúry ENISA.


Doplnkové míľniky 30. augusta 2026 a 30. októbra 2026 sa týkajú harmonizovaných noriem pod CRA. Subjekty, ktoré integrujú alebo vyrábajú produkty s digitálnymi prvkami, vrátane priemyselných riadiacich systémov, smart metrov, OT komponentov či sieťových zariadení, musia mať k septembru pripravené nielen technické procesy, ale aj zmluvné a organizačné nastavenia. Pokuty podľa CRA dosahujú až 15 miliónov eur alebo 2,5 percenta globálneho obratu. Návrh revízie aktu o kybernetickej bezpečnosti, COM(2026) 11, počíta so sankciami až do 7 percent obratu pri porušení povinností v dodávateľskom reťazci ICT.


Čo to znamená pre slovenský dodávateľský reťazec


Týždeň pred konferenciou KYBER2026 zverejnil SK-CERT klaster kritických upozornení, ktoré ilustrujú, prečo je téma dodávateľského reťazca ICT v centre pozornosti. V rozmedzí od 13. do 17. apríla 2026 boli vydané varovania pred zraniteľnosťami v produktoch Cisco s CVSS 9,9, v Schneider Electric s CVSS 9,0 (priamy dopad na OT a ICS prostredia), v Microsoft Patch Tuesday, vo Fortinet, v Tenable Identity Exposure a v aktívne zneužívaných produktoch Adobe a Nginx UI. Každé z týchto varovaní spúšťa povinnosti podľa vyhlášky NBÚ číslo 227 z roku 2025, t.j. bezpečnostné aktualizácie a riadenie zraniteľností, ako aj prípadnú povinnosť hlásenia podľa vyhlášky NBÚ číslo 226 z roku 2025.


Hrozbové prostredie tomu zodpovedá. Spoločné varovanie 18 spravodajských a kybernetických agentúr zo 7. apríla 2026, ktoré spolupodpísal aj Národný bezpečnostný úrad spolu so Slovenskou informačnou službou a Vojenským spravodajstvom, popísalo kampaň jednotky 26165 ruskej GRU, t.j. APT28, využívajúcu kompromitované SOHO routre na adversary-in-the-middle útoky proti Outlook Web Access a Microsoft 365. Kampaň Operation Neusploit, dokumentovaná v CERT-EU Cyber Brief 26-03, cielila adresne na verejnú správu Slovenska, Ukrajiny a Rumunska prostredníctvom zneužitia zraniteľnosti CVE-2026-21509 v RTF prílohách. Slovensko je menovaným cieľom, nie vedľajšou škodou.

„Rok 2026 je prelom, ktorý oddeľuje dokumentárnu zhodu od preukázateľnej funkčnosti. Kto si v septembri neotestuje, či dokáže nahlásiť aktívne zneužívanú zraniteľnosť do dvadsaťštyri hodín, kto nezosúladí vyhlášku Národného bezpečnostného úradu číslo 227 z roku 2025 s povinnosťami nariadenia o kybernetickej odolnosti, a kto neidentifikuje svoje kritické závislosti pred 17. júlom 2026, ten v reálnej kontrole neuspeje. Cyber Resilience Act, NIS 2 a CER nie sú abstraktné regulačné dokumenty, sú odpoveďou na konkrétne taktiky štátnych aktérov, ktoré vidíme v slovenskom kybernetickom priestore každý mesiac,“ uvádza Tibor Straka, prezident Asociácie kritickej infraštruktúry Slovenskej republiky.



Praktické odporúčania pre prevádzkovateľov


Pre prevádzkovateľov kritickej infraštruktúry vyplývajú z KYBER2026 niekoľké konkrétne kroky. V prvom rade aktualizácia mapovania dodávateľského reťazca podľa kritickosti komponentov a geografického pôvodu, čo bude relevantné pri každej budúcej certifikačnej schéme európskeho rámca certifikácie ICT (ECCF). V druhom rade prehodnotenie zmluvných mechanizmov hlásenia incidentov tak, aby boli kompatibilné s lehotami stanovenými v NIS 2 a s 24 hodinovou lehotou pre hlásenie aktívne zneužívaných zraniteľností podľa CRA. V treťom rade príprava interných postupov pre koordináciu so SK-CERT a Národným bezpečnostným úradom pri závažných incidentoch.


Asociácia kritickej infraštruktúry Slovenskej republiky (AKI SR) ako odborná platforma a strategický partner Národného bezpečnostného úradu poskytuje svojim členom metodickú podporu pri zosúladení povinností CRA, NIS 2 a CER, výklad zákonov číslo 366/2024 a 367/2024 Z. z., spoluprácu pri príprave hlásení podľa vyhlášok 226/2025 a 227/2025 Z. z., ako aj väzbu na finančné nástroje verejnej správy. Konferencia KYBER2026 ukázala, že čas na prípravu sa skrátil. Nasledujúcich päť mesiacov rozhodne o tom, ktoré subjekty budú mať na 11. septembra 2026 funkčný režim a ktoré budú reagovať až po prvej kontrole.

Introducing Essential Services of Critical Infrastructure: Operation, Maintenance and Development of the Electricity Transmission System

12. júna 2026
The Critical Infrastructure Association of the Slovak Republic continues its series of articles introducing the essential services defined by Act No. 367/2025 Coll. on Critical Infrastructure. Following our previous articles on electricity supply and the operation, maintenance and development of the electricity distribution system, we now turn our attention to the service that ensures the safe and reliable transmission of electricity across the entire territory of the Slovak Republic – the operation, maintenance and development of the electricity transmission system.

Predstavujeme základné služby kritickej infraštruktúry: Prevádzka, údržba a rozvoj elektrizačnej prenosovej sústavy

12. júna 2026
Asociácia kritickej infraštruktúry Slovenskej republiky pokračuje v sérii článkov, v ktorej postupne predstavujeme základné služby definované zákonom č. 367/2025 Z. z. o kritickej infraštruktúre. Po predstavení dodávky elektriny a prevádzky, údržby a rozvoja elektrizačnej distribučnej sústavy sa tentokrát pozrieme na službu, ktorá zabezpečuje bezpečný a spoľahlivý prenos elektrickej energie naprieč celým územím Slovenskej republiky – prevádzku, údržbu a rozvoj elektrizačnej prenosovej sústavy.

Critical Infrastructure Doesn't Start at the Power Plant. It Starts in the Supply Chain.

10. júna 2026
Imagine a situation where equipment that ensures the supply of electricity, the production of drinking water, or the operation of a hospital fails. The failure itself may not be the biggest problem. A much greater challenge can be discovering that the replacement part is manufactured on the other side of the world and its delivery will take several months. It is in situations like these that the true importance of resilient supply chains becomes clear.

Kritická infraštruktúra sa nezačína v elektrárni. Začína sa v dodávateľskom reťazci.

10. júna 2026
Predstavme si situáciu, že dôjde k poruche zariadenia zabezpečujúceho dodávku elektriny, výrobu pitnej vody alebo fungovanie nemocnice. Samotná porucha nemusí znamenať najväčší problém. Oveľa väčšou výzvou môže byť zistenie, že náhradný diel sa vyrába na druhom konci sveta a jeho dodanie potrvá niekoľko mesiacov. Práve v takýchto situáciách sa ukazuje skutočný význam odolnosti dodávateľských reťazcov.

Introducing Critical Infrastructure Sectors: Water and Atmosphere

8. júna 2026
The Critical Infrastructure Association of the Slovak Republic continues its series of professional articles dedicated to the individual sectors of critical infrastructure under Act No. 367/2024 Coll. on Critical Infrastructure. The aim of this series is to present to both the professional and general public the significance of individual critical sectors, their position within the state security system, essential services, risks, and the obligations of critical infrastructure entities.

Predstavujeme sektory kritickej infraštruktúry: Voda a atmosféra

8. júna 2026
Asociácia kritickej infraštruktúry Slovenskej republiky pokračuje v sérii odborných článkov venovaných jednotlivým sektorom kritickej infraštruktúry podľa zákona č. 367/2025 Z. z. o kritickej infraštruktúre. Cieľom tejto série je priblížiť odbornej aj laickej verejnosti význam jednotlivých kritických sektorov, ich postavenie v systéme bezpečnosti štátu, základné služby, riziká a povinnosti subjektov kritickej infraštruktúry.

Introducing Essential Critical Infrastructure Services: Operation, Maintenance, and Development of the Electricity Distribution System

5. júna 2026
The Critical Infrastructure Association of the Slovak Republic continues its series of articles introducing the essential services defined by Act No. 367/2025 Coll. on Critical Infrastructure. Following the topic of electricity supply, we now focus on the service that acts as its "backbone": the operation, maintenance, and development of the electricity distribution system.

Predstavujeme základné služby kritickej infraštruktúry: Prevádzka, údržba a rozvoj elektrizačnej distribučnej sústavy

5. júna 2026
Asociácia kritickej infraštruktúry Slovenskej republiky pokračuje v sérii článkov, v ktorej postupne predstavuje základné služby definované zákonom č. 367/2025 Z. z. o kritickej infraštruktúre. Po téme dodávky elektriny sa tentokrát pozrieme na službu, ktorá je jej neoddeliteľnou „chrbtovou kosťou“: prevádzku, údržbu a rozvoj elektrizačnej distribučnej sústavy.

Europe Faces a New Critical Infrastructure Problem: Attacks Target the Power Grid, Not Just Power Plants

3. júna 2026
When discussing attacks on critical infrastructure, most people still imagine high-tech hacking or the sabotage of major power plants. However, the reality of recent months in Europe reveals a less visible but fundamental shift. The decisive factors are no longer just large power sources, but inconspicuous locations within the distribution grid itself.

Európa rieši nový problém kritickej infraštruktúry: útoky nemieria na elektrárne, ale na energetickú sieť

3. júna 2026
Keď sa hovorí o útokoch na kritickú infraštruktúru, väčšina ľudí si stále predstaví hackerské útoky alebo sabotáž veľkých elektrární. Realita posledných mesiacov v Európe však ukazuje menej viditeľný, ale zásadný posun. Rozhodujúce už nie sú len veľké zdroje energie, ale nenápadné miesta v samotnej distribučnej sieti.