Koniec éry „máme antivírus": Vyhláška NBÚ 226/2025 mení pravidlá hlásenia kyberútokov

Slovensko sprísňuje pravidlá kybernetickej ochrany

Od 1. septembra 2025 nadobúda účinnosť vyhláška NBÚ č. 226/2025 Z. z. o hláseniach kybernetických bezpečnostných incidentov. Už nebude stačiť strohé oznámenie o nefunkčnom systéme.

Národný bezpečnostný úrad (NBÚ) vyžaduje hĺbkové technické dáta: presný čas prieniku do siete, vektory útoku, hashe škodlivých súborov. Údaje, ktoré z bežného antivírusu jednoducho nedostanete.

Zmena súvisí s implementáciou európskej smernice NIS2, ktorú NBÚ adaptoval do slovenského právneho poriadku. Cieľom je vytvoriť ekosystém, kde si firmy a štát vymieňajú informácie o hrozbách v reálnom čase.

Čo presne od vás NBÚ pri incidente vyžaduje

Prevádzkovateľ základnej služby musí cez Jednotný informačný systém kybernetickej bezpečnosti (JISKB) poskytnúť štruktúrované údaje vyžadujúce pokročilú forenznú analýzu.

Štát vyžaduje presný čas prieniku do siete. Kameň úrazu: útočníci v systémoch často „spia" celé týždne pred aktiváciou ransomware.

Povinné náležitosti hlásenia:

• Vektor útoku: Spear-phishing, zraniteľnosť vo VPN, kompromitovaný admin účet, RDP brute-force.
• Indikátory kompromitácie (IoC): IP adresy útočníkov, hashe škodlivých súborov, názvy podozrivých procesov, artefakty v registroch.
• Prijaté opatrenia: Detailný popis toho, čo technické tímy vypli, zablokovali alebo aktualizovali.

Ako uvádza Živé.sk, tieto dáta slúžia na okamžité varovanie ostatných subjektov v sektore.

Prečo bežný antivírus narazí na mantinely

Klasický antivírus detekuje známy škodlivý kód. Nedisponuje však retenciou logov a nevidí laterálne pohyby útočníka naprieč infraštruktúrou.

Ak útočník použije legitímne admin nástroje (Living off the Land), bežný antivírus mlčí.

Pre splnenie legislatívy sú nevyhnutné technológie typu EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) a centrálny log manažment alebo SIEM. Tieto nástroje umožňujú spätne zrekonštruovať celú časovú os incidentu.

Podľa novely zákona sa okruh povinných subjektov výrazne rozširuje. Ignorovanie môže viesť k likvidačným pokutám.

Praktický plán prípravy v siedmich krokoch

Začnite auditom aktuálnej viditeľnosti siete. Ak dnes neviete zistiť, kto sa pred týždňom prihlásil na VPN server z IP adresy v juhovýchodnej Ázii, máte technický dlh.

• Identifikácia subjektu: Overte si, či ste prevádzkovateľom základnej služby.
• Mapovanie dát: Zistite, aké logy aktuálne zbierate a ako dlho ich uchovávate.
• Nasadenie XDR: Nahraďte pasívnu ochranu nástrojmi umožňujúcimi export IoC a časovej osi incidentu.
• Interný proces: Definujte CSIRT tím – kto identifikuje, kto eskaluje, kto reportuje do JISKB.
• Právna zhoda: Zapracujte požiadavky vyhlášky 226/2025 do smerníc pre riadenie incidentov.
• Simulácia útoku: Vyskúšajte „na nečisto" vyplniť hlásenie pre NBÚ počas cvičného incidentu.
• Vzdelávanie: Školte nielen IT tímy, ale aj manažment o rizikách nedodržania NIS2.

Dopad pre slovenský biznis

Pre firmy znamená vyhláška 226/2025 tlak na transparentnosť a technologickú pripravenosť. Kybernetická bezpečnosť už nie je záležitosť len IT oddelenia – ide o právnu a finančnú zodpovednosť.

Pri závažnom incidente nestačí povedať „prišiel útok a systém sme reštartovali". Musíte doložiť dáta v štruktúre, ktorú štát požaduje.

Kto to podcení, riskuje nielen pokuty od NBÚ, ale aj reputačné škody pri úniku zákazníckych dát.

NIS2 prináša jasný odkaz: kybernetická bezpečnosť je od septembra 2025 povinnou súčasťou biznis stratégie, nie voliteľným doplnkom.

Nová legislatíva nie je byrokratickou prekážkou. Je reakciou na sofistikovanosť moderných hrozieb, kde „opravenie systému" nestačí. Štát chce dáta, ktoré pomôžu chrániť celé Slovensko. Firmy, ktoré zareagujú včas, získajú súlad so zákonom aj skutočnú digitálnu odolnosť.