ISO/IEC 27001 je medzinárodná norma pre systém manažérstva informačnej bezpečnosti (ISMS). Pre malé a stredné firmy nie je všeobecne povinná, no v 2026 sa stáva de facto nutnosťou pri B2B kontraktoch s veľkými klientmi, vo verejných obstarávaniach a v sektoroch regulovaných NIS2. Certifikácia trvá 4 – 9 mesiacov a stojí 8 000 – 25 000 EUR pre stredne veľkú firmu, ale otvára dvere k tendrom v hodnote stoviek tisíc až miliónov EUR ročne.

Tento článok je súčasťou série o bezpečnosti a compliance v cloud ERP. Vysvetlí, čo ISO 27001 reálne znamená pre SMB firmu, ako sme ju získali v skupine AMCEF (zriaďovateľ Modularia) a aké benefity z toho plynú našim klientom.

Čo je ISO 27001 v ľudskej reči

ISO 27001 nie je „len papier“, ako si občas myslia firmy zvonku. Je to systém riadenia informačnej bezpečnosti, ktorý pokrýva tri vrstvy:

  1. Politiky a procesy — ako prijímate zamestnancov, ako pracujete s heslami, ako reagujete na incident, ako vyradíte starý notebook.
  2. Technické opatrenia — šifrovanie, MFA, monitoring, segregácia sietí, backup.
  3. Riadenie rizík — pravidelná analýza aktív, hrozieb a slabých miest s plánmi mitigácie.

Norma definuje 114 kontrol v Annex A rozdelených do 14 oblastí (od organizácie bezpečnosti cez riadenie incidentov po complianciu). Audítor overuje, či máte pre každú aplikovateľnú kontrolu dôkaz — politiku, záznam, log, screenshot, tréningový materiál.

Kľúčové pojmy, ktoré stretnete

  • ISMS (Information Security Management System) — celý systém ako celok.
  • SoA (Statement of Applicability) — dokument, kde uvediete, ktoré z 114 kontrol Annex A aplikujete a prečo.
  • Riziková analýza — formálny proces identifikácie aktív, hrozieb, zraniteľností a výpočtu rizika.
  • Surveillance audit — ročný kontrolný audit po certifikácii.
  • Recertifikácia — kompletný audit každé 3 roky.

Kedy je ISO 27001 pre SMB povinná alebo nutná

Z legislatívy: takmer nikdy priamo, často nepriamo

ISO 27001 nie je všeobecne povinná žiadnou EÚ smernicou. Stáva sa však nepriamo nutnou v týchto situáciách:

  • NIS2 regulované subjekty — smernica vyžaduje „primerané opatrenia“ a ISO 27001 je de facto uznaná ako dôkaz primeranosti. Bez nej si robíte život ťažší pri kontrole.
  • DORA regulované subjekty — pre ICT third-party providers finančných inštitúcií je certifikácia prakticky vyžadovaná.
  • Verejná správa a strategické sektory — zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti (SK) a zákon č. 181/2014 Sb. (CZ) odkazujú na ISO/IEC 27001/27002 ako referenčný štandard.

Z trhu: čoraz častejšie

V 2026 ISO 27001 stretáte ako vstupnú podmienku v týchto kontextoch:

KontextFrekvencia požiadavkyNáklady chýbania
Tender u veľkej automotive firmyVysokáVyradenie z obstarávania
Dodávateľ pre banku / poisťovňuVysokáDiskvalifikácia
Verejné obstarávanie nad 200 tis. EURStredná až vysokáBody navyše alebo vyradenie
Kontrakt so štátnou inštitúciouVysokáZvýšená dokumentácia
SaaS pre EU enterprise klientovStrednáPredĺžené vendor due diligence
Cyber poistkaStrednáVyššia poistná sadzba

Príklad z praxe: spoločnosť AMCEF (skupina, do ktorej patrí Modulario) získala ISO 27001 v 2024 hlavne preto, že 5 z 10 najväčších potenciálnych klientov vyžadovalo certifikáciu ako podmienku pre RFP.

Ako prebieha certifikácia: časová os a náklady

Fáza 1: Príprava (2 – 4 mesiace)

  • Gap analýza — kde stojíme dnes vs. kde musíme byť. Typicky 2 – 3 dni externý konzultant alebo interný projektový manažér.
  • Návrh ISMS scope — celá firma alebo len jedna divízia/produkt? Pre SMB odporúčame začať s celou firmou (jednoduchšie udržiavať, lacnejšie v dlhom horizonte).
  • Politiky a procedúry — typicky 25 – 35 dokumentov: bezpečnostná politika, prístupová politika, klasifikácia dát, incident response plan, BCP, supplier policy, atď.
  • Riziková analýza — register aktív (servery, aplikácie, dáta, ľudia, dodávatelia), threat modeling, risk treatment plan.
  • Implementácia kontrol — technické (MFA, monitoring, šifrovanie, backup) aj organizačné (tréning, code of conduct, vendor onboarding).

Fáza 2: Interný audit a manažment review (1 mesiac)

Pred externým auditom musíte preukázať, že systém funguje min. 3 mesiace. To znamená:

  • Aspoň jeden cyklus interného auditu s nálezmi a nápravnými opatreniami.
  • Manažment review (zápis z porady, kde sa preberá výkon ISMS).
  • Aktívne logy, incident records, training records.

Fáza 3: Certifikačný audit (1 – 2 mesiace)

Externý certifikačný orgán (v SK napr. SGS, TÜV SÜD, BSI, DEKRA; v ČR Bureau Veritas, LRQA) vykoná dvojstupňový audit:

  • Stage 1: Documentation review. Audítor príde na 1 – 2 dni a overí, či máte všetky dokumenty.
  • Stage 2: Implementation audit. Audítor 2 – 5 dní (podľa veľkosti firmy) overuje, či to, čo je v dokumentoch, sa aj reálne deje. Robí rozhovory s ľuďmi, kontroluje logy, sample testing.

Ak prejdete bez „major non-conformity“, dostanete certifikát platný 3 roky s povinnými ročnými surveillance auditmi.

Náklady

Pre SMB s 20 – 80 zamestnancami:

PoložkaCenové rozpätie
Gap analýza + konzultácia3 000 – 8 000 EUR
Interná implementácia (časť úvazku 1 osoby na 4 – 6 mes.)6 000 – 15 000 EUR mzda
Certifikačný audit (Stage 1 + Stage 2)4 000 – 10 000 EUR
Surveillance audit / rok1 500 – 3 500 EUR
Recertifikácia / 3 roky4 000 – 8 000 EUR
Spolu prvý rok8 000 – 25 000 EUR

Naša skúsenosť: ISO 27001 v AMCEF a Modulario

Skupina AMCEF (zriaďovateľ Modularia) prešla ISO 27001 certifikáciou v roku 2024. Tu sú reálne lessons learned, ktoré stoja za zdieľanie:

Čo nám pomohlo

  1. Cloud-natívna architektúra od začiatku. Modulario beží na EÚ infraštruktúre s natívnym šifrovaním, MFA, audit logom a backup riešeniami. To znamenalo, že veľká časť technických kontrol bola splnená by-default. Pre firmy s on-premise legacy systémami je certifikácia výrazne ťažšia.
  2. Dedikovaná osoba. Mali sme jedného človeka, ktorý mal ISMS ako primárnu zodpovednosť (nie ako side hustle) na 4 mesiace.
  3. Externý konzultant na gap analýzu a Stage 0. Investícia 5 000 EUR ušetrila 2 mesiace tápania.

Čo nás prekvapilo

  • Rozsah dokumentácie. Skončili sme s ~30 politikami a ~50 procedúrami. Nemusíte vymýšľať — existujú templates, ktoré sa adaptujú.
  • Záťaž tréningu. Každý zamestnanec musel prejsť aspoň 2-hodinovým tréningom + ročným refresher. Pre 50-člennú firmu je to 100 hodín ročne.
  • Vendor management. Každý SaaS dodávateľ musí byť posúdený a zaznamenaný. Excelová tabuľka rastie rýchlo.

Čo by sme spravili inak

  • Začali by sme tracking incidentov skôr. Audítor potreboval 3 mesiace záznamov; my sme ich začali zbierať systematicky až 2 mesiace pred Stage 2. Tesné.
  • Konzistentnejšia klasifikácia dát. Strávili sme zbytočne veľa času „prepisovaním“ klasifikácie z public/internal na 4-úrovňový model.

Čo z našej certifikácie plynie pre klienta Modularia

Klient Modularia, ktorý si nás vyberá, automaticky zdedí veľkú časť bezpečnostných kontrol bez toho, aby si ich budoval sám:

  • EÚ-výlučný hosting (Frankfurt, Praha) s certifikovanými datacentrami.
  • Šifrovanie at rest a in transit — AES-256, TLS 1.3.
  • Audit log v každom module — kompatibilný s GDPR, NIS2 a interným auditom klienta.
  • Role-based access control s konfigurovateľnými právami na úrovni atribútu cez modul Ľudia.
  • 2FA / SSO podpora (TOTP, WebAuthn, SAML, OIDC).
  • Backup a DR plán s definovaným RTO < 8h a RPO < 1h.
  • Incident response process s SLA na hlásenie < 24h.
  • Štandardizovaná DPA podľa GDPR čl. 28.
  • Verejný zoznam sub-processorov s pre-approval procesom.

Pre klienta to znamená, že pri vlastnom ISO 27001 audite alebo NIS2 due diligence môže odkázať na Modulario ako certifikovaného poskytovateľa, namiesto budovania vlastnej dokumentácie pre SaaS vrstvu. To šetrí desiatky strán dokumentácie a týždne práce.

Detailne sú naše bezpečnostné opatrenia popísané na stránke Bezpečnosť a v prípadovej štúdii AMCEF.

Kedy NEinvestovať do ISO 27001

ISO 27001 nie je univerzálny liek. Investícia sa neoplatí ak:

  • Ste 2 – 8 členná firma bez B2B kontraktov vyžadujúcich certifikáciu.
  • Vaše dáta sú nízko-rizikové (verejne dostupné informácie, žiadne osobné údaje vo veľkom rozsahu).
  • Nepôsobíte v NIS2/DORA regulovaných sektoroch.
  • Nemáte v 12-mesačnom horizonte plánovaný tender, kde sa vyžaduje.

V takomto prípade je rozumnejšie:

  1. Dodržiavať GDPR compliance (20-bodový checklist).
  2. Vybrať si ISO 27001 certifikovaného SaaS poskytovateľa pre kritické systémy (ERP, CRM, e-mail, file storage).
  3. Mať základné technické opatrenia (MFA, šifrovanie, backup, vendor management) a dokumentáciu.

Ak neskôr potrebnete certifikáciu, máte solídne základy a cesta je rýchlejšia.

Často kladené otázky

Ako dlho trvá získať ISO 27001 pre 30-člennú firmu? Realisticky 4 – 6 mesiacov od rozhodnutia po certifikát, ak má firma cloud-natívnu architektúru a dedikovanú osobu. Pre on-premise prostredie alebo bez dedikovanej osoby skôr 9 – 12 mesiacov.

Stačí mi ISO 27001 alebo potrebujem aj SOC 2? Pre EÚ B2B trh je ISO 27001 dominantná. SOC 2 je primárne pre US trh a finančný sektor. Ak cieľujete US klientov alebo ste SaaS poskytovateľ pre fintech, oba certifikáty zvyšujú dôveryhodnosť. Pre SMB v SK/CZ je ISO 27001 prioritou.

Čo ak prejdem auditom s minor non-conformity? Minor non-conformity (drobný nález) nie je dôvod na neudelenie certifikátu. Audítor vám dá termín (typicky 1 – 3 mesiace) na nápravné opatrenie. Major non-conformity (závažný nález) znamená, že certifikát nedostanete, kým ho neopravíte a nepreukážete fungovanie.

Môžem certifikovať len jednu divíziu firmy? Áno, ISMS scope si definujete sami. Pre cloud SaaS produkt napríklad certifikujeme len divíziu, ktorá produkt vyvíja a prevádzkuje (engineering + ops + support), nie celú materskú spoločnosť. Šetrí to čas aj náklady. Pozor však — scope musí byť jasne ohraničený a dáva zmysel pre klienta.