Kybernetická stratégia Slovenska 2026–2030: 7 vecí, ktoré budú od dodávateľov očakávať

Národný bezpečnostný úrad (NBÚ) predstavil kontúry novej Národnej stratégie kybernetickej bezpečnosti na roky 2026–2030. Po rokoch, keď bola kybernetická bezpečnosť na Slovensku skôr témou akademických diskusií než reálnych investícií, prichádza zmena. A s ňou aj nové požiadavky na každého, kto dodáva IT služby štátu.

Kontext: Prečo teraz

Rok 2025 bol pre Slovensko zlomový v oblasti kyberbezpečnosti:

• Nárast ransomware útokov na verejné inštitúcie
• Transpozícia smernice NIS2 do slovenského právneho poriadku
• Rastúce geopolitické napätie a kybernetické hrozby spojené s konfliktom na Ukrajine
• Výpadky kritických štátnych systémov (ESKN, ÚPVS)

Výsledkom je, že kybernetická bezpečnosť sa z „nice to have" stala reálnou podmienkou účasti na verejných zákazkách.

Stratégia reaguje na tieto výzvy a definuje rámec pre nasledujúcich päť rokov.

Čo budú od dodávateľov štátu očakávať

1. Bezpečnosť ako súčasť návrhu, nie dodatok

Stratégia kladie dôraz na princíp "security by design". Dodávatelia budú musieť preukázať, že bezpečnosť je integrovaná do vývojového procesu od začiatku. Nie niečo, čo sa pridá na konci ako patch.

Čo to znamená konkrétne:

• Bezpečnostná analýza ako súčasť návrhu architektúry
• Threat modeling pred začiatkom vývoja
• Bezpečnostné review kódu ako štandard

2. Povinné bezpečnostné testovanie

Očakávajte požiadavky na:

• Pravidelné penetračné testy
• Automatizované bezpečnostné skenovanie (SAST, DAST)
• Testovanie pred každým nasadením do produkcie

3. Incident response plány

Každý dodávateľ bude musieť mať zdokumentovaný plán reakcie na bezpečnostné incidenty, vrátane:

• Definovaných rolí a zodpovedností
• Komunikačných postupov
• Časových rámcov pre notifikáciu (v súlade s NIS2)

4. Supply chain security

Stratégia sa zameriava aj na bezpečnosť dodávateľského reťazca:

• Evidencia a overovanie subdodávateľov
• SBOM (Software Bill of Materials) pre dodávaný softvér
• Kontrola open-source komponentov na známe zraniteľnosti

5. Vzdelávanie a certifikácie

Dodávatelia budú musieť preukázať, že ich tímy majú relevantné bezpečnostné znalosti:

• Certifikácie (CISSP, CEH, alebo ekvivalentné)
• Pravidelné bezpečnostné školenia
• Awareness programy pre všetkých zamestnancov
• Účasť na bezpečnostných cvičeniach a simuláciách

6. Ochrana dát a súkromia

V súlade s GDPR a novými požiadavkami:

• Šifrovanie dát v pokoji aj pri prenose
• Minimalizácia zberu dát
• Pravidelné audity spracovania osobných údajov

7. Kontinuita a odolnosť

Dodávatelia kritických systémov budú musieť preukázať:

• Business continuity plány
• Disaster recovery procedúry s testovanými RTO/RPO
• Redundanciu kritických komponentov

Čo to znamená pre trh

Tieto požiadavky zvýšia vstupnú bariéru pre dodávateľov verejného sektora. Menšie firmy, ktoré nemajú zavedené bezpečnostné procesy, budú v nevýhode. Na druhej strane, firmy, ktoré bezpečnosť berú vážne, budú mať navrch v tendroch.

Je to aj signál, že slovenský verejný sektor sa začína prirovnávať k štandardom regulovaných odvetví ako bankovníctvo alebo zdravotníctvo.

Ako to vyzerá u nás

Pri nedávnom projekte pre klienta z verejného sektora sme zaviedli automatizované SAST/DAST skenovanie do CI/CD pipeline. Prvý scan odhalil 14 zraniteľností v existujúcom kóde, žiadna nebola kritická, ale kumulatívne vytvárali útočný povrch, o ktorom nikto nevedel. Bezpečnosť je u nás súčasť každého sprintu: threat modeling, review kódu, automatizované testovanie.

Pomáhame klientom budovať systémy, ktoré sú bezpečné od prvého riadku kódu.

Ako sa pripraviť

Ak dodávate IT služby verejnému sektoru:

1. Začnite s auditom - Kde sú medzery medzi Vašimi súčasnými procesmi a novými požiadavkami?
2. Investujte do vzdelávania - Bezpečnostné certifikácie a školenia pre Váš tím
3. Automatizujte - Bezpečnostné testovanie musí byť súčasťou CI/CD pipeline
4. Dokumentujte - Procesy, plány, postupy, všetko musí byť zdokumentované a aktuálne

Potrebujete partnera, ktorý Vám pomôže splniť nové bezpečnostné požiadavky? Napíšte nám.