Európska komisia 20. januára 2026 zverejnila rozsiahly kybernetický balíček pozostávajúci z dvoch legislatívnych návrhov: cielených zmien smernice NIS2 a návrhu nového nariadenia o kybernetickej bezpečnosti (CSA2). Cieľom je posilniť kybernetickú odolnosť EÚ, znížiť regulačnú fragmentáciu medzi členskými štátmi a lepšie adresovať riziká v dodávateľskom reťazci IKT.
Navrhované zmeny smernice NIS2
Zmeny sa zameriavajú na spresnenie rozsahu pôsobnosti, harmonizáciu technických požiadaviek a nové povinnosti pri hlásení incidentov.
Rozšírenie a spresnenie rozsahu
- Prevádzkovatelia podmorskej dátovej infraštruktúry pribudnú ako základné entity.
- Poskytovatelia európskych peňaženiek digitálnej identity budú klasifikovaní ako základné entity bez ohľadu na veľkosť organizácie.
- Nová kategória „malý stredný podnik" (small mid-cap) — tieto podniky budú zaradené ako dôležité, nie základné entity, čo zníži intenzitu požiadaviek na plnenie.
- Distribútori chemikálií budú vyňatí z pôsobnosti (výrobcovia zostávajú).
- DNS poskytovatelia podľahnú pravidlám veľkostného limitu, čím sa vylúčia mikro a malí poskytovatelia.
Harmonizácia technických požiadaviek
Komisia navrhuje zásadnú zmenu v článku 21: po prijatí vykonávacích aktov k technickým požiadavkám na riadenie rizík nebudú môcť členské štáty ukladať dodatočné vnútroštátne požiadavky. Vznikne tak jednotný „strop zhody" naprieč celou EÚ. Organizácie zároveň budú môcť využiť európske certifikačné schémy kybernetickej bezpečnosti na preukázanie súladu naprieč jurisdikciami.
Hlásenie ransomware útokov
Entitám pribudne povinnosť hlásiť vektory ransomware útokov a prijaté opatrenia. Na žiadosť regulátora budú musieť poskytnúť aj informácie o výkupnom — výšku požiadavky, prípadnú platbu, sumu a spôsob úhrady.
Post-kvantová kryptografia
Členské štáty budú povinné zahrnúť do národných kybernetických stratégií plán prechodu na post-kvantovú kryptografiu. Cieľové termíny sú nasadenie pre kritické systémy do roku 2030 a širšie nasadenie do roku 2035.
Nový zákon o kybernetickej bezpečnosti (CSA2)
Druhá časť balíčka — nariadenie CSA2 — zavádza povinné rámce pre bezpečnosť IKT dodávateľského reťazca. Mandát agentúry ENISA sa rozšíri o viac ako 75 %. Kybernetická certifikácia sa mení z dobrovoľného kvalitatívneho označenia na regulačný nástroj pokrývajúci organizačnú kybernetickú odolnosť, nielen produkty a služby.
Čo to znamená pre slovenské organizácie
Slovensko transponovalo NIS2 zákonom č. 366/2024 Z. z., účinným od 1. januára 2025. Základné entity momentálne smerujú k termínu prvého externého auditu kybernetickej bezpečnosti do 31. decembra 2026. Navrhované zmeny na tento termín nemajú priamy vplyv — súčasné povinnosti podľa slovenského zákona zostávajú v platnosti.
Po schválení zmien (očakáva sa najskôr koncom 2026 alebo začiatkom 2027) bude mať Slovensko 12 mesiacov na ich transpozíciu. V praxi to znamená ďalšiu vlnu úprav zákona o kybernetickej bezpečnosti, pravdepodobne v rokoch 2027–2028.
Pre organizácie, ktoré práve implementujú opatrenia podľa súčasného zákona, je priorita jasná: sústrediť sa na aktuálne povinnosti. Harmonizácia technických požiadaviek na úrovni EÚ by mala dlhodobo zjednodušiť cezhraničný súlad — najmä pre firmy pôsobiace vo viacerých členských štátoch.