Oznamovacie povinnosti NIS-2: 24-hodinové včasné varovanie v praxi

Oznamovacie povinnosti podľa NIS-2 zaväzujú dotknuté subjekty hlásiť závažné bezpečnostné incidenty v stupňovitej kaskáde lehôt: včasné varovanie do 24 hodín, úplné hlásenie do 72 hodín a záverečnú správu do jedného mesiaca — vždy príslušnému orgánu, respektíve národnému CSIRT. Táto kaskáda je operatívnym jadrom, na ktorom sa rozhoduje o oznamovacej schopnosti organizácie.

• Tri lehoty, jeden spúšťač: 24 hodín včasné varovanie, 72 hodín úplné hlásenie, jeden mesiac záverečná správa — počítané od okamihu, keď sa subjekt o incidente dozvie, nie od jeho začiatku.
• Jeden kanál príjemcu: príslušný národný orgán, resp. CSIRT (v Rakúsku Spolkový úrad pre kybernetickú bezpečnosť pri BMI predpokladaný v NISG 2026; v Nemecku BSI).
• Skutočným úzkym hrdlom nie je formulár, ale detekcia: kto si incident všimne neskoro, 24-hodinové hodiny už prehral.

Prečo kaskáda lehôt existuje

NIS-2 nahrádza pôvodnú smernicu NIS a výrazne rozširuje rozsah pôsobnosti. V Nemecku sa podľa odhadu BSI počet dotknutých podnikov zvyšuje z približne 4 500 na zhruba 29 500; v Rakúsku je zahrnutých približne 4 000 podnikov v 18 sektoroch. So šírkou rozsahu pôsobnosti rastie aj význam fungujúceho oznamovacieho systému: orgány si z prichádzajúcich hlásení budujú obraz o situácii, varujú ďalšie subjekty a koordinujú pri cezhraničných incidentoch.

Stupňovitá logika zohľadňuje reálny konflikt. V prvých hodinách bezpečnostného incidentu je faktická situácia nejasná — úplná forenzná analýza ešte nie je k dispozícii. Zároveň orgány potrebujú včasný signál. Kaskáda to rieši tak, že najprv vyžaduje málo, ale rýchlo (včasné varovanie) a obsahovú hĺbku dopĺňa počas 72 hodín a jedného mesiaca.

Rozhodujúci a často prehliadaný bod: lehoty plynú od okamihu, keď sa subjekt dozvie (awareness) o závažnom incidente, nie od momentu, keď útok skutočne začal. To presúva compliance riziko dopredu — do detekcie. Práve tu nastupuje štrukturálna asymetria, ktorú obranné organizácie v roku 2026 poznajú: útočníci pracujú asynchrónne a tolerantne voči opakovaniam, zatiaľ čo obrancovia sú viazaní 24-hodinovým včasným varovaním.

Tri stupne podrobne: lehota, obsah, príjemca

Nasledujúca tabuľka zhŕňa kaskádu NIS-2. Slúži ako orientácia; presná podoba vyplýva z príslušného národného transpozičného zákona.

Dôležité: ak incident v čase mesačnej správy ešte trvá, namiesto záverečnej správy najprv nastupuje správa o pokroku; konečná správa nasleduje po ukončení spracovania.

Kto je príjemcom — a čo sa mení v DACH?

NIS-2 je smernica EÚ a svoj konkrétny účinok rozvíja až prostredníctvom národných transpozičných zákonov. Pre prax v regióne DACH to znamená rôznych adresátov a harmonogramy:

• Nemecko: Zákon o transpozícii NIS2 (NIS2UmsuCG) platí od 6. decembra 2025 — bez prechodnej lehoty. Príslušné je BSI; registračný portál bol otvorený začiatkom roka 2026. BSI oznámilo, že neregistrované subjekty bude aktívne identifikovať.
• Rakúsko: NISG 2026 bol vyhlásený 23. decembra 2025 a nadobúda účinnosť 1. októbra 2026. Predpokladá sa nový Spolkový úrad pre kybernetickú bezpečnosť pri Spolkovom ministerstve vnútra (BMI), ktorý sa zriaďuje. Zákon stavia na vlastnom zaradení a vlastnom vyhlásení dotknutých subjektov.
• Švajčiarsko (na zaradenie): Švajčiarsko nie je viazané NIS-2, no s revidovaným zákonom o informačnej bezpečnosti má paralelný režim. Prevádzkovatelia kritických infraštruktúr musia od 1. apríla 2025 hlásiť závažné kybernetické útoky do 24 hodín Spolkovému úradu pre kybernetickú bezpečnosť (BACS) — za prvých šesť mesiacov tam prišlo už vyše 12 000 hlásení.

Pre podniky pôsobiace naprieč DACH z toho vyplýva nepríjemná realita: viacero oznamovacích kanálov, viacero orgánov, sčasti rôzne prahy. K tomu pribúdajú odvetvovo špecifické režimy s vlastnou, no štrukturálne podobnou oznamovacou logikou — napríklad EU Cyber Resilience Act, ktorého oznamovacie povinnosti nastupujú od 11. septembra 2026 (včasné varovanie do 24 hodín, úplné hlásenie do 72 hodín cez centrálnu platformu pri ENISA a národný CSIRT), ako aj DORA pre finančný sektor, ktorá pre IKT incidenty klasifikované ako závažné predpokladá vlastné stupňovité hlásenie incidentu s prvotným hlásením do štyroch hodín po klasifikácii.

Konkrétny príklad: 24-hodinové hodiny bežia

Stredne veľký výrobca strojov (podľa NIS-2 pravdepodobne „dôležitý subjekt") si v piatok o 22:14 všimne nezvyčajné autentifikačné udalosti. Detekcia je v roku 2026 typickým úzkym hrdlom: prieskumy ukazujú, že vysoký podiel detekcií prebieha „malware-free" — útočníci sa prihlasujú s platnými prístupovými údajmi namiesto toho, aby sa nabúrali, a rýchlosť prieniku dramaticky klesla (priemerný breakout-time 29 minút v roku 2025, najrýchlejšia pozorovaná hodnota 27 sekúnd). Oneskorená alebo cez víkend vôbec neobsadená detekcia tu stojí hodiny, ktoré neskôr pri 24-hodinovej lehote chýbajú.

Zjednodušený priebeh:

```
22:14 Awareness — rozpoznané anomálne prihlásenia (T0, plynutie lehoty sa začína)
→ 24h hodiny bežia do soboty 22:14
23:30 Prvotné posúdenie: podozrenie na kompromitovanú identitu, závažné?
So 03:00 Včasné varovanie orgánu/CSIRT (do 24 h):
"Závažný incident, podozrenie na zlovoľné konanie,
cezhraničný dôsledok momentálne nemožno vylúčiť"
→ 72h hodiny bežia do pondelka 22:14
Po 18:00 Úplné hlásenie (do 72 h):
stupeň závažnosti, dotknuté systémy, indikátory, prvé opatrenia
+1 mesiac Záverečná správa: analýza príčin, náprava, lessons learned
```

Rozhodujúce je: včasné varovanie bolo treba odoslať v noci a cez víkend. Bez schopnosti detekcie 24/7 — či už vlastným SOC, poskytovateľom MDR alebo AI-podporovanou triážou — by 24-hodinová lehota bola fakticky neudržateľná.

Ako proces alebo agent pomáha — a kde je hranica

AI-podporované SOC nástroje zasahujú práve do troch bolestivých bodov kaskády: detekcia, dokumentácia, sledovanie lehôt. V produktívnych nasadeniach sú preukázateľné výrazné prírastky efektivity v triáži na úrovni Tier-1 — poskytovatelia uvádzajú 70 až 90 percent redukcie manuálne spracovávaných alertov; jednotlivé nástroje uvádzajú časy vyšetrovania v rádoch minút oproti zhruba 25 minútam manuálne. Pre oznamovaciu povinnosť je to relevantné, pretože rýchlejšia, spoľahlivejšia detekcia spúšťa 24-hodinové hodiny skôr a čistejšie.

Zmysluplné podporné funkcie naprieč kaskádou:

• Detekcia: obohacovanie alertov, korelácia naprieč viacerými zdrojmi, deduplikácia a priorizácia — aby sa závažný incident vôbec včas stal viditeľným ako taký.
• Dokumentácia: automatické, revízne odolné protokolovanie časových značiek, dotknutých systémov, vykonaných krokov a indikátorov kompromitácie ako základ pre 72-hodinové hlásenie a záverečnú správu.
• Sledovanie lehôt: workflow incidentu, ktorý od okamihu awareness počíta 24-hodinovú, 72-hodinovú a mesačnú lehotu, spúšťa eskalácie a udržiava viditeľný stav (včasné varovanie odoslané / hlásenie otvorené / správa splatná).

Jasná však zostáva hranica: v máji 2026 nefunguje žiadny produkčne zrelý SOC autonómne bez ľudskej kontroly v kritických rozhodovacích bodoch. Dve riziká sú pre oznamovaciu povinnosť obzvlášť relevantné. Po prvé halucinovaná atribúcia incidentu: veľké jazykové modely generujú vierohodne znejúce, no nesprávne priradenia k skupinám páchateľov alebo geografiám — a nesprávny údaj voči orgánu je podstatný. Po druhé audítorská preskúmateľnosť: NIS-2 vyžaduje dôkazy o rozhodovaní; závery generované AI musia zostať sledovateľné a preskúmateľné. Posúdenie závažnosti, obsahové schválenie a externá komunikácia s orgánom preto zostávajú v zodpovednosti človeka. Agent urýchľuje a dokumentuje — nerozhoduje a samostatne nehlási navonok.

Praktická poznámka z reality obrancov: logy, phishingové e-maily a prieskumný (reconnaissance) traffic môžu zámerne obsahovať obsah prompt-injection, ktorý manipuluje obranné LLM. Kto zapája AI do oznamovacieho procesu, mal by poznať a dať otestovať obranu nasadeného nástroja proti prompt-injection.

Praktická príprava v piatich bodoch

1. Stanoviť definíciu awareness: kedy sa incident považuje za „známy"? Tento okamih spúšťa všetky lehoty a musí byť jednoznačne zdokumentovaný.
2. Zaistiť detekciu 24/7: vlastný SOC, poskytovateľ MDR alebo AI-podporovaná triáž — 24-hodinová lehota nie je bez priebežnej detekcie udržateľná.
3. Vopred vyjasniť oznamovací kanál: registrácia pri príslušnom orgáne, prístupové údaje k oznamovaciemu portálu, menovité zodpovedné osoby.
4. Workflow incidentu so sledovaním lehôt: proces, ktorý zobrazuje tri stupne a automaticky spúšťa eskalácie.
5. Otestovať oznamovací proces: tabletop cvičenia, ktoré realisticky prehrajú 24-hodinové včasné varovanie — vrátane nočného a víkendového scenára.

Pre agentúry a B2B rozhodovateľov

Pre marketingové agentúry a B2B poskytovateľov je oznamovacia povinnosť podľa NIS-2 relevantná v dvoch ohľadoch. Po prvé ako téma dodávateľského reťazca: kto pracuje pre podstatný alebo dôležitý subjekt, spadá prostredníctvom zmluvných požiadaviek často fakticky do jeho bezpečnostných a oznamovacích očakávaní — čisté detekčné a dokumentačné procesy sa stávajú výberovým kritériom vo výberových konaniach. Po druhé ako oblasť obsahu a poradenstva: kaskáda lehôt si vyžaduje vysvetlenie, je vysoko relevantná z hľadiska vyhľadávania a prirodzeným ukotvením pre fundovaný, citovateľný obsah. Blck Alpaca na to navrhuje AI-podporované knowledge bases a procesné stavebné prvky, ktoré prepájajú detekciu, dokumentáciu a sledovanie lehôt — ako spoľahlivý základ, nie ako náhradu za ľudskú zodpovednosť v oznamovacom procese.

Poznámka: tento príspevok slúži na odbornú orientáciu a nepredstavuje právne poradenstvo. Konkrétne prahové hodnoty, zaradenia a postupy podľa NIS-2, NIS2UmsuCG, NISG 2026, CRA alebo DORA treba vyjasniť s kvalifikovanými poradcami v príslušnej jurisdikcii.