Výklad k zákonu č. 366/2024 Z. z. - Zákon, ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti

23. februára 2025

JUDr. Renáta Považanová, Zdroj: Verlag Dashöfer


Od nového roku účinným zákonom č. 366/2024 Z. z., ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony bola do právneho poriadku Slovenskej republiky transponovaná smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016) (ďalej len „smernica NIS 1”). Siete a informačné systémy, rýchla digitálna transformácia a ich prepojenosť na spoločnosť sa premietajú do celého spektra činností verejného aj súkromného sektora a vytvárajú nové výzvy pre oblasť kybernetickej bezpečnosti. Tento vývoj odhalil prirodzené nedostatky smernice NIS 1 a potrebu reakcie na tento vývoj.


Zákonom sa do právneho poriadku Slovenskej republiky transponuje smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022) v platnom znení a zároveň zákon reaguje na potreby a požiadavky aplikačnej praxe. Návrh zákona modernizuje existujúcu právnu úpravu, čím sa zvýši celková úroveň kybernetickej bezpečnosti na národnej úrovni a znižujú sa riziká, ktoré prichádzajú s rýchlym technologickým vývojom a digitalizáciou.


Najvýraznejšou zmenou je zmena prístupu k identifikácii povinných subjektov, tzv. prevádzkovateľov základnej služby. Mechanizmus identifikácie prevádzkovateľa základnej služby sa smernicou NIS 2 mení oproti právnej úprave vyplývajúcej zo smernice NIS 1 tak, že pôvodný mechanizmus kombinovanej identifikácie podľa prílohy zákona č. 69/2018 Z. z. v spojení s prekročením identifikačných kritérií sa nahrádza taxatívnym vymenovaním subjektov priamo v zákone. Zároveň nedochádza k výraznému nárastu regulovaných odvetví, ale dochádza k rozšíreniu pôsobnosti na ďalšie subjekty. Upravuje sa a precizuje hlásenie kybernetického bezpečnostného incidentu, významnej kybernetickej hrozby, udalosti odvrátenej v poslednej chvíli, zraniteľnosti a riešenie kybernetického bezpečnostného incidentu a podporuje sa dobrovoľné hlásenie.


Smernicou NIS 2 sa odstraňuje rozdiel medzi prevádzkovateľom základnej služby a poskytovateľom digitálnej služby, a samotné regulované subjekty – prevádzkovatelia základných služieb, sa de facto rozdeľujú na základe ich dôležitosti do dvoch kategórií, na kľúčové subjekty – prevádzkujúce kritickú základnú službu a dôležité subjekty – ostatní prevádzkovatelia základných služieb. Tým sa, podľa pravidiel smernice NIS 2, zavádza prahová hodnota veľkosti subjektu (stredné podniky podľa článku 2 prílohy k odporúčaniu 2003/361/ES alebo presahujúce limity pre stredné podniky), ale do regulácie budú spadať aj subjekty kritického významu bez hodnotenia ich veľkosti.


Ďalej sa tiež upravujú a precizujú bezpečnostné opatrenia tak, aby reflektovali nové bezpečnostné štandardy, vrátane kladenia dôrazu na riešenie rizík vyplývajúcich z dodávateľského reťazca. Taktiež sa posilňuje využívanie nástroja analýzy rizík pre aplikáciu bezpečnostných opatrení. Zavádza sa minimálna úroveň bezpečnostných opatrení. Taktiež sa posilňuje dohľadová činnosť zavedením foriem dohľadu, podporuje sa vzdelávanie, dopĺňa sa zodpovednosť a posilňuje sa funkcia manažéra kybernetickej bezpečnosti. Natrvalo sa zavádza inštitút samohodnotenia. Novela zákona opatreniami zvyšuje odolnosť a kapacity reakcie na kybernetické bezpečnostné incidenty príslušných subjektov.

Joint Meeting of the Presidium and Supervisory Board of AKI SR – Evaluation of 2025 and Planning of Activities for 2026

11. decembra 2025
On Thursday, December 4, 2025, a joint meeting of the Presidium and Supervisory Board of the Critical Infrastructure Association of the Slovak Republic took place.

Spoločné rokovanie Prezídia a Dozornej rady AKI SR – vyhodnotenie roku 2025 a plánovanie aktivít na rok 2026

11. decembra 2025
Vo štvrtok 4. decembra 2025 sa uskutočnilo spoločné rokovanie Prezídia a Dozornej rady Asociácie kritickej infraštruktúry Slovenskej republiky.

Expert Statement of the Critical Infrastructure Association of the Slovak Republic (AKI SR) on the Serious Cybersecurity Incident at the Ministry of Economy of the Slovak Republic

3. decembra 2025
The Critical Infrastructure Association of the Slovak Republic (AKI SR) expresses serious concern over the cybersecurity incident that was identified at the Ministry of Economy of the Slovak Republic .

Odborné stanovisko Asociácie kritickej infraštruktúry Slovenskej republiky (AKI SR) k závažnému kybernetickému incidentu na Ministerstve hospodárstva SR

3. decembra 2025
Asociácia kritickej infraštruktúry Slovenskej republiky (AKI SR) vyjadruje vážne znepokojenie nad kybernetickým incidentom, ktorý bol identifikovaný na Ministerstve hospodárstva SR .

AKI SR at ITAPA 2025: Preparing for the Quantum Future of Critical Infrastructure

27. novembra 2025
The Critical Infrastructure Association of the Slovak Republic (AKI SR) actively participated in the Autumn ITAPA 2025 conference, which took place on November 25–27 in Bratislava.

AKI SR na ITAPA 2025: Príprava na kvantovú budúcnosť kritickej infraštruktúry

27. novembra 2025
Asociácia kritickej infraštruktúry Slovenskej republiky (AKI SR) sa aktívne zúčastnila konferencie Jesenná ITAPA 2025, ktorá sa konala 25. – 27. novembra v Bratislave.

Expert Statement of the Critical Infrastructure Association of the Slovak Republic (AKI SR) on Act No. 318/2025 Coll. and the implementation of the Cyber Resilience Act (CRA)

25. novembra 2025
The Critical Infrastructure Association of the Slovak Republic considers the adoption of Act No. 318/2025 Coll. to be a fundamental step in the field of cybersecurity of the Slovak Republic. This legal regulation systematically implements the European Cyber Resilience Act for the first time and regulates the way in which digital products – from software, through IoT devices to specialized technologies used in industry – will be placed on the market and controlled from the perspective of cyber resilience.

Odborné stanovisko Asociácie kritickej infraštruktúry SR (AKI SR) k zákonu č. 318/2025 Z. z. a implementácii nariadenia Cyber Resilience Act (CRA)

25. novembra 2025
Asociácia kritickej infraštruktúry SR považuje prijatie zákona č. 318/2025 Z. z. za zásadný krok v oblasti kybernetickej bezpečnosti Slovenskej republiky. Tento právny predpis prvýkrát systematicky implementuje európske nariadenie Cyber Resilience Act a upravuje spôsob, akým budú digitálne produkty – od softvéru, cez IoT zariadenia až po špecializované technológie používané v priemysle – uvádzané na trh a kontrolované z pohľadu kybernetickej odolnosti.

Stanovisko AKI SR k vyjadreniu poslankyne NR SR Veroniky Remišovej a Juraja Magušina

14. novembra 2025
Asociácia kritickej infraštruktúry SR (AKI SR) dôrazne odmieta snahu poslankyne NR SR Veroniky Remišovej a Juraja Magušina zatiahnuť odbornú a apolitickú organizáciu do lacného politického boja. Ich verejné vyjadrenia sú faktograficky nesprávne, zavádzajúce a poškodzujú dobré meno asociácie aj jej členských subjektov.

Critical Infrastructure Association of the SR welcomes the signing of a memorandum on the protection of soft targets between the Technical University in Košice and the Ministry of Interior of the SR

29. októbra 2025
Košice, October 28, 2025 — The Critical Infrastructure Association of the Slovak Republic (AKI SR) welcomes the signing of a memorandum of cooperation in the field of soft target protection between the Technical University in Košice (TUKE) and the Ministry of Interior of the Slovak Republic.