Skupina pre spoluprácu NIS2 (NIS Cooperation Group) schválila 26. mája 2026 na svojom 39. plenárnom zasadnutí na Cypre jednotné šablóny na hlásenie kybernetických incidentov. Európska komisia plánuje tieto šablóny prijať formou vykonávacieho aktu, čím sa stanú záväznými pre všetky členské štáty.
Pre slovenské organizácie v pôsobnosti zákona 366/2024 Z. z. to znamená jednu vec: proces hlásenia incidentov, ktorý si nastavíte dnes, bude čoskoro musieť rešpektovať celoeurópsky jednotný formát.
Čo šablóny riešia
Doteraz mohol každý členský štát vyžadovať iný formát hlásenia. Firma pôsobiaca vo viacerých krajinách EÚ musela pri jednom incidente vyplniť niekoľko rôznych formulárov s rozdielnymi poľami. Jednotné šablóny tento problém odstraňujú — zavádzajú spoločnú štruktúru údajov naprieč celou úniou.
Šablóny pokrývajú všetky fázy hlásenia podľa článku 23 smernice NIS2 (Smernica (EÚ) 2022/2555):
- Včasné varovanie (24 hodín) — indikácia, či incident súvisí s nezákonnou alebo škodlivou činnosťou a či môže mať cezhraničný dopad.
- Oznámenie incidentu (72 hodín) — aktualizácia úvodného varovania s predbežným hodnotením závažnosti, dopadu a dostupnými indikátormi kompromitácie.
- Priebežná správa — na vyžiadanie CSIRT alebo príslušného orgánu počas riešenia incidentu.
- Záverečná správa (30 dní) — podrobný opis incidentu, pravdepodobná príčina, prijaté opatrenia a cezhraničné dopady.
Kontext pre Slovensko
Na Slovensku upravuje hlásenie incidentov vyhláška NBÚ 226/2025, ktorá je účinná od 1. septembra 2025. Definuje kritériá závažnosti (počet dotknutých používateľov, trvanie výpadku, dopad na dôvernosť) a náležitosti hlásenia voči SK-CERT. Nové európske šablóny túto vyhlášku nenahradzujú — dopĺňajú ju o štandardizovaný formát, ktorý zjednoduší cezhraničnú komunikáciu.
Pre organizácie registrované v JISKB od marca 2025 plynie 24-mesačná lehota na prvý externý audit. Väčšina základných služieb teda bude auditovaná do marca 2027. Audítori budú posudzovať aj pripravenosť procesu hlásenia — vrátane schopnosti dodržať lehoty a vyplniť požadované polia.
Súvislosť s Digital Omnibus
Šablóny sú súčasťou širšieho zjednodušovania v rámci balíka Digital Omnibus. Komisia pracuje na jednotnom vstupnom bode (single-entry point) pre hlásenie incidentov, kde organizácia podá jedno hlásenie a systém ho distribuuje relevantným orgánom. Cieľom je znížiť administratívnu záťaž bez kompromisu v rýchlosti reakcie.
Ako sa pripraviť
Aj keď vykonávací akt zatiaľ nemá pevný dátum účinnosti, organizácie by nemali čakať. Proces hlásenia je jednou z oblastí, ktoré audit podľa vyhlášky 227/2025 posudzuje. Odporúčame:
- Zmapovať interný proces od detekcie po hlásenie — kto rozhoduje o závažnosti, kto vyplní hlásenie, kto komunikuje s SK-CERT.
- Zaviesť šablónu hlásenia, ktorá pokrýva polia článku 23 NIS2 (závažnosť, dopad, indikátory kompromitácie, prijaté opatrenia, cezhraničný rozmer).
- Otestovať proces stolovým cvičením (tabletop exercise) — simulovaný incident s časovým tlakom 24/72 hodín odhalí slabiny rýchlejšie ako papierová revízia.
- Zabezpečiť, aby ITSM nástroj (ticketing systém) vedel exportovať údaje v štruktúre, ktorú budúci formát bude vyžadovať.
Keď vykonávací akt nadobudne účinnosť, organizácie so zavedeným procesom budú potrebovať len technickú úpravu formátu — nie budovanie celého procesu od nuly.