Bezpečnosť3. apríl 20268 min čítania

ISO 27001 bude povinné pre všetkých digitálnych poštárov od októbra 2027

OpenPeppol schválil finálny implementačný plán: od 1. októbra 2027 musí mať každý certifikovaný Peppol poskytovateľ — vrátane všetkých digitálnych poštárov na Slovensku — platnú certifikáciu ISO/IEC 27001 alebo OpenPeppolom schválený ekvivalent. Čo to znamená pre vás ako zákazníka a prečo by ste sa mali zaujímať o to, aký certifikačný plán má váš digitálny poštár.

📋Rozhodnutie

Čo sa zmenilo

Riadiaci výbor OpenPeppol (Managing Committee) schválil finálny ISO/IEC 27001 implementačný plán dňa 24. júna 2026. Plán posúva finálnu certifikačnú lehotu na 1. október 2027 a definuje, aké dôkazy musia poskytovatelia predkladať počas certifikačného projektu.

Pôvodné rozhodnutie bolo prijaté už v decembri 2025 na zasadnutí MC200 a ďalej rozpracované v marci 2026. Finálna verzia z júna 2026 stanovuje praktické termíny, rozsah certifikácie a proces pre existujúcich aj nových poskytovateľov.

Doteraz bola ISO 27001 certifikácia odporúčaná, ale nie vynucovaná. Sieť Peppol mala len jednoduchý model schváliť/odobrať akreditáciu, ktorý nerozlišoval medzi poskytovateľmi, ktorí aktívne pracujú na bezpečnosti, a tými, ktorí nič nerobia. To sa teraz mení.

📅Termíny

Kľúčové termíny

🔵

1. január 2027 — nový práh pre onboarding

Od tohto dátumu nový poskytovateľ nezíska prístup do Peppol siete, pokiaľ:

  • už nemá platnú ISO 27001 certifikáciu, alebo
  • nepreukáže, že na certifikácii aktívne pracuje (s dôkazmi o pokroku)

Toto sa týka všetkých nových digitálnych poštárov, ktorí sa budú chcieť pripojiť k sieti.

🔴

1. október 2027 — povinná certifikácia pre všetkých

ISO/IEC 27001 je povinná pre všetkých certifikovaných poskytovateľov v Peppol sieti. Každý poskytovateľ musí:

  • Potvrdiť platnosť certifikátu a harmonogram monitorovania
  • Predložiť hodnotenie bezpečnostnej situácie (security posture assessment)
  • Overiť, že Vyhlásenie o aplikovateľnosti (SoA) pokrýva Peppol operácie
  • Zabezpečiť zaznamenávanie bezpečnostných incidentov
⚠️

Po 1. októbri 2027 — nesúlad = postih

Poskytovatelia bez platnej certifikácie budú považovaní za nesúladných. OpenPeppol začne proces vynucovania podľa Service Provider Agreement a Internal Regulations.

V praxi to znamená najprv formálne upozornenie. Ak nesúlad pokračuje, od 1. apríla 2028 nasleduje interný blacklist, od 1. mája 2028 verejný blacklist, od 1. júna 2028 dočasné zrušenie produkčného PKI certifikátu a od 1. júla 2028 ukončenie Service Provider Agreement.

🛤️Flexibilita

Tri cesty k súladu

OpenPeppol navrhol trojstupňový rámec, aby poskytovateľom nepadla „gilotína" naraz:

1️⃣

Cesta A: Platná ISO 27001 certifikácia

Ideálny stav. Poskytovateľ má platnú certifikáciu, jeho Statement of Applicability (SoA) pokrýva Peppol operácie a udržiava certifikáciu priebežným zlepšovaním.

2️⃣

Cesta B: Prebiehajúci certifikačný projekt (Evidence Package)

Poskytovateľ ešte nemá certifikát, ale dokáže preukázať merateľný pokrok. Musí predložiť dôkazový balík (Evidence Package) a podrobiť sa pravidelným kontrolám zo strany OpenPeppol.

Táto cesta dáva maximálne 6 mesiacov po deadline na dokončenie certifikácie.

3️⃣

Cesta C: Alternatívna certifikácia

Ak poskytovateľ má inú uznávanú bezpečnostnú certifikáciu (napr. SOC 2), môže požiadať o výnimku. Tá musí byť schválená Bezpečnostným výborom a nakoniec Riadiacim výborom OpenPeppol.

Toto je výnimka, nie pravidlo — ISO 27001 zostáva štandardom.

👤Pre zákazníkov

Čo to znamená pre vás

Ako zákazník digitálneho poštára sa vás ISO 27001 povinnosť priamo netýka — certifikáciu musí mať poskytovateľ služby, nie vy. Ale nepriamo vás ovplyvňuje dosť zásadne:

🔒

Vyššia bezpečnosť vašich dát

ISO 27001 vyžaduje systematické riadenie informačnej bezpečnosti — šifrovanie, riadenie prístupu, zálohovanie, incident management. Vaše faktúry a obchodné dáta budú lepšie chránené.

🔍

Možnosť overiť si poskytovateľa

Po zavedení povinnosti budete môcť ľahko zistiť, či váš digitálny poštár spĺňa bezpečnostné štandardy. OpenPeppol bude klasifikovať certifikačný stav každého poskytovateľa.

⚖️

Riziko nesúladného poskytovateľa

Ak váš digitálny poštár nezíska ISO 27001 do konca roku 2027, hrozí mu odobratie akreditácie. To by znamenalo, že cez neho nebudete môcť odosielať ani prijímať e-faktúry. Pýtajte sa vopred na certifikačný plán.

Praktický tip

Na čo sa pýtať vášho poštára

Pri výbere alebo hodnotení digitálneho poštára sa opýtajte:

  1. „Máte ISO 27001 certifikáciu?" — Ak áno, požiadajte o číslo certifikátu a certifikačný orgán.
  2. „Ak nie, aký je váš certifikačný plán?" — Seriózny poskytovateľ by mal vedieť povedať, v akej fáze je a kedy plánuje certifikáciu dokončiť.
  3. „Pokrýva vaše SoA aj Peppol operácie?" — ISO 27001 môžete mať na čokoľvek. Dôležité je, aby certifikácia pokrývala práve tie systémy, cez ktoré prechádzajú vaše faktúry.
  4. „Čo sa stane s mojimi dátami ak stratíte akreditáciu?" — Dobrý poskytovateľ má plán kontinuity. Zlý nemá odpoveď.
🇸🇰Slovensko

Kontext pre slovenský trh

Na Slovensku sa povinná e-fakturácia spúšťa od 1. januára 2027 podľa zákona 385/2025 Z.z. To znamená, že ISO 27001 deadline pre digitálnych poštárov (1. október 2027) príde 9 mesiacov po štarte povinnej e-fakturácie.

Pre slovenské firmy je preto kľúčové vybrať si digitálneho poštára, ktorý je na ISO 27001 pripravený už teraz — nie takého, ktorý certifikáciu rieši až keď mu hrozí postih.

Kompletné porovnanie dostupných poskytovateľov nájdete v našom porovnaní digitálnych poštárov.

Časová os

December 2025

MC200: Rozhodnutie o zavedení povinnej ISO 27001

Marec 2026

MC203: Schválenie implementačných princípov a trojstupňového modelu

Q2-Q3 2026

OpenPeppol publikuje certifikačné usmernenia pre poskytovateľov

1. január 2027

Noví poskytovatelia získajú produkčný Peppol PKI certifikát iba s ISO 27001 alebo schváleným ekvivalentom

1. január 2027

Povinná e-fakturácia na Slovensku (zákon 385/2025)

1. október 2027

ISO 27001 povinné pre VŠETKÝCH Peppol poskytovateľov

1. jún 2028

Dočasné zrušenie produkčného PKI certifikátu pri pretrvávajúcom nesúlade

💬FAQ

Často kladené otázky

Áno, od 1. októbra 2027 je ISO/IEC 27001 certifikácia povinná pre všetkých certifikovaných Peppol poskytovateľov služieb. Digitálni poštári sú Peppol Access Pointy — teda sa to týka každého jedného z nich.

Bude považovaný za nesúladného a OpenPeppol začne proces vynucovania. Najskôr príde formálne upozornenie, neskôr interný a verejný blacklist, potom dočasné zrušenie produkčného PKI certifikátu a nakoniec ukončenie Service Provider Agreement.

Nie. ISO 27001 sa týka iba poskytovateľov služieb (digitálnych poštárov), nie koncových zákazníkov. Vy ako firma nemusíte nič meniť — ale mali by ste si overiť, že váš digitálny poštár túto povinnosť splní.

Výnimočne áno. Alternatívna certifikácia (napr. SOC 2) môže byť akceptovaná, ak ju schváli Bezpečnostný výbor a Riadiaci výbor OpenPeppol. Ide však o výnimku — ISO 27001 je štandard.

Peppol sieť rastie celosvetovo a doterajší model nerozlišoval medzi poskytovateľmi s rôznou úrovňou bezpečnosti. OpenPeppol chce zabezpečiť, že každý Access Point v sieti spĺňa minimálny bezpečnostný štandard — čo je pochopiteľné, keď cez sieť prechádzajú miliárdy eur vo faktúrach ročne.

Podľa OpenPeppol je priemerný certifikačný proces približne 18 mesiacov. Preto je dôležité, aby poskytovatelia začali čo najskôr — ak ešte nezačali, budú mať po 1. januári 2027 veľmi málo času.

Zdroj: OpenPeppol AISBL — „SP security certification mandate implementation", MC203 Decision Brief, schválené 18. marca 2026. Rozhodnutie je záväzné pre všetkých certifikovaných Peppol poskytovateľov celosvetovo.

Zákonná povinnosť sa blíži

Splňte si povinnosť prijímať e-faktúry

Od 1. 1. 2027 musia firmy vedieť prijímať e-faktúry cez Peppol. Aktivujte si schránku zdarma a buďte pripravení skôr, než to začne riešiť každý naraz.

1

Zadajte základné údaje firmy.

2

Prejdite krátkym overením a potvrdením schránky.

3

Po aktivácii môžete prijímať e-faktúry cez Peppol Box.

Certifikovaný poskytovateľ FS SR
Príjem e-faktúr vo webovom rozhraní do limitu programu Zadarmo (500 prijatých a 5 odoslaných faktúr mesačne)
Aktivačný email po potvrdení