Čo sa stane ak digitálny poštár nemá ISO 27001 do 1.7.2027?

Bude považovaný za nesúladný. OpenPeppol začne proces vynucovania súladu a poskytovateľ bude musieť predložiť plán nápravy. Má maximálne 6 mesiacov na dokončenie certifikácie.

Týka sa ISO 27001 povinnosť aj zákazníkov?

Nie, ISO 27001 sa týka iba poskytovateľov služieb (digitálnych poštárov), nie ich zákazníkov. Pre vás ako firmu to znamená, že váš poštár bude musieť preukázať vyšší štandard bezpečnosti.

Aké sú kľúčové termíny?

1. januára 2027 — noví poskytovatelia musia mať ISO 27001 alebo preukázateľne pracovať na certifikácii. 1. júla 2027 — ISO 27001 je povinné pre všetkých poskytovateľov.

Bezpečnosť3. apríl 20268 min čítania

ISO 27001 bude povinné pre všetkých digitálnych poštárov od júla 2027

OpenPeppol schválil nové pravidlo: od 1. júla 2027 musí mať každý certifikovaný Peppol poskytovateľ — vrátane všetkých digitálnych poštárov na Slovensku — platnú certifikáciu ISO/IEC 27001. Čo to znamená pre vás ako zákazníka a prečo by ste sa mali zaujímať o to, aký certifikačný plán má váš digitálny poštár.

📋Rozhodnutie

Čo sa zmenilo

Riadiaci výbor OpenPeppol (Managing Committee) schválil na svojom zasadnutí MC203 dňa 18. marca 2026 záväzné rozhodnutie o povinnej bezpečnostnej certifikácii pre všetkých Peppol poskytovateľov služieb (Service Providers).

Pôvodné rozhodnutie bolo prijaté už v decembri 2025 na zasadnutí MC200. Marcové zasadnutie upresnilo implementačné princípy a podmienky — vrátane trojstupňového modelu certifikácie a konkrétnych termínov.

Doteraz bola ISO 27001 certifikácia odporúčaná, ale nie vynucovaná. Sieť Peppol mala len jednoduchý model schváliť/odobrať akreditáciu, ktorý nerozlišoval medzi poskytovateľmi, ktorí aktívne pracujú na bezpečnosti, a tými, ktorí nič nerobia. To sa teraz mení.

📅Termíny

Kľúčové termíny

🔵

1. január 2027 — nový práh pre onboarding

Od tohto dátumu nový poskytovateľ nezíska prístup do Peppol siete, pokiaľ:

už nemá platnú ISO 27001 certifikáciu, alebo
nepreukáže, že na certifikácii aktívne pracuje (s dôkazmi o pokroku)

Toto sa týka všetkých nových digitálnych poštárov, ktorí sa budú chcieť pripojiť k sieti.

🔴

1. júl 2027 — povinná certifikácia pre všetkých

ISO/IEC 27001 je povinná pre všetkých certifikovaných poskytovateľov v Peppol sieti. Každý poskytovateľ musí:

Potvrdiť platnosť certifikátu a harmonogram monitorovania
Predložiť hodnotenie bezpečnostnej situácie (security posture assessment)
Overiť, že Vyhlásenie o aplikovateľnosti (SoA) pokrýva Peppol operácie
Zabezpečiť zaznamenávanie bezpečnostných incidentov

⚠️

Po 1. júli 2027 — nesúlad = postih

Poskytovatelia bez platnej certifikácie budú považovaní za nesúladných. OpenPeppol začne proces vynucovania podľa Service Provider Agreement a Internal Regulations.

V praxi to znamená, že poskytovateľ bude musieť predložiť plán nápravy. Má maximálne 6 mesiacov (do 31. decembra 2027) na dokončenie certifikácie, ak preukáže merateľný pokrok.

🛤️Flexibilita

Tri cesty k súladu

OpenPeppol navrhol trojstupňový rámec, aby poskytovateľom nepadla „gilotína" naraz:

1️⃣

Cesta A: Platná ISO 27001 certifikácia

Ideálny stav. Poskytovateľ má platnú certifikáciu, jeho Statement of Applicability (SoA) pokrýva Peppol operácie a udržiava certifikáciu priebežným zlepšovaním.

2️⃣

Cesta B: Prebiehajúci certifikačný projekt (Evidence Package)

Poskytovateľ ešte nemá certifikát, ale dokáže preukázať merateľný pokrok. Musí predložiť dôkazový balík (Evidence Package) a podrobiť sa pravidelným kontrolám zo strany OpenPeppol.

Táto cesta dáva maximálne 6 mesiacov po deadline na dokončenie certifikácie.

3️⃣

Cesta C: Alternatívna certifikácia

Ak poskytovateľ má inú uznávanú bezpečnostnú certifikáciu (napr. SOC 2), môže požiadať o výnimku. Tá musí byť schválená Bezpečnostným výborom a nakoniec Riadiacim výborom OpenPeppol.

Toto je výnimka, nie pravidlo — ISO 27001 zostáva štandardom.

👤Pre zákazníkov

Čo to znamená pre vás

Ako zákazník digitálneho poštára sa vás ISO 27001 povinnosť priamo netýka — certifikáciu musí mať poskytovateľ služby, nie vy. Ale nepriamo vás ovplyvňuje dosť zásadne:

🔒

Vyššia bezpečnosť vašich dát

ISO 27001 vyžaduje systematické riadenie informačnej bezpečnosti — šifrovanie, riadenie prístupu, zálohovanie, incident management. Vaše faktúry a obchodné dáta budú lepšie chránené.

🔍

Možnosť overiť si poskytovateľa

Po zavedení povinnosti budete môcť ľahko zistiť, či váš digitálny poštár spĺňa bezpečnostné štandardy. OpenPeppol bude klasifikovať certifikačný stav každého poskytovateľa.

⚖️

Riziko nesúladného poskytovateľa

Ak váš digitálny poštár nezíska ISO 27001 do konca roku 2027, hrozí mu odobratie akreditácie. To by znamenalo, že cez neho nebudete môcť odosielať ani prijímať e-faktúry. Pýtajte sa vopred na certifikačný plán.

❓Praktický tip

Na čo sa pýtať vášho poštára

Pri výbere alebo hodnotení digitálneho poštára sa opýtajte:

„Máte ISO 27001 certifikáciu?" — Ak áno, požiadajte o číslo certifikátu a certifikačný orgán.
„Ak nie, aký je váš certifikačný plán?" — Seriózny poskytovateľ by mal vedieť povedať, v akej fáze je a kedy plánuje certifikáciu dokončiť.
„Pokrýva vaše SoA aj Peppol operácie?" — ISO 27001 môžete mať na čokoľvek. Dôležité je, aby certifikácia pokrývala práve tie systémy, cez ktoré prechádzajú vaše faktúry.
„Čo sa stane s mojimi dátami ak stratíte akreditáciu?" — Dobrý poskytovateľ má plán kontinuity. Zlý nemá odpoveď.

🇸🇰Slovensko

Kontext pre slovenský trh

Na Slovensku sa povinná e-fakturácia spúšťa od 1. januára 2027 podľa zákona 385/2025 Z.z. To znamená, že ISO 27001 deadline pre digitálnych poštárov (1. júl 2027) príde iba 6 mesiacov po štarte povinnej e-fakturácie.

Pre slovenské firmy je preto kľúčové vybrať si digitálneho poštára, ktorý je na ISO 27001 pripravený už teraz — nie takého, ktorý certifikáciu rieši až keď mu hrozí postih.

Kompletné porovnanie dostupných poskytovateľov nájdete v našom porovnaní digitálnych poštárov.

Časová os

December 2025

MC200: Rozhodnutie o zavedení povinnej ISO 27001

Marec 2026

MC203: Schválenie implementačných princípov a trojstupňového modelu

Q2-Q3 2026

OpenPeppol publikuje certifikačné usmernenia pre poskytovateľov

1. január 2027

Noví poskytovatelia musia mať ISO 27001 alebo preukázať pokrok

1. január 2027

Povinná e-fakturácia na Slovensku (zákon 385/2025)

1. júl 2027

ISO 27001 povinné pre VŠETKÝCH Peppol poskytovateľov

31. december 2027

Koniec 6-mesačnej grace period pre Evidence Package

💬FAQ

Často kladené otázky

Áno, od 1. júla 2027 je ISO/IEC 27001 certifikácia povinná pre všetkých certifikovaných Peppol poskytovateľov služieb. Digitálni poštári sú Peppol Access Pointy — teda sa to týka každého jedného z nich.

Bude považovaný za nesúladného a OpenPeppol začne proces vynucovania. Poskytovateľ dostane šancu predložiť plán nápravy a má maximálne 6 mesiacov na dokončenie certifikácie — ale len ak preukáže merateľný pokrok. Ak nie, hrozí mu odobratie akreditácie.

Nie. ISO 27001 sa týka iba poskytovateľov služieb (digitálnych poštárov), nie koncových zákazníkov. Vy ako firma nemusíte nič meniť — ale mali by ste si overiť, že váš digitálny poštár túto povinnosť splní.

Výnimočne áno. Alternatívna certifikácia (napr. SOC 2) môže byť akceptovaná, ak ju schváli Bezpečnostný výbor a Riadiaci výbor OpenPeppol. Ide však o výnimku — ISO 27001 je štandard.

Peppol sieť rastie celosvetovo a doterajší model nerozlišoval medzi poskytovateľmi s rôznou úrovňou bezpečnosti. OpenPeppol chce zabezpečiť, že každý Access Point v sieti spĺňa minimálny bezpečnostný štandard — čo je pochopiteľné, keď cez sieť prechádzajú miliárdy eur vo faktúrach ročne.

Podľa OpenPeppol je priemerný certifikačný proces približne 18 mesiacov. Preto je dôležité, aby poskytovatelia začali čo najskôr — ak ešte nezačali, budú mať po 1. januári 2027 veľmi málo času.

Zdroj: OpenPeppol AISBL — „SP security certification mandate implementation", MC203 Decision Brief, schválené 18. marca 2026. Rozhodnutie je záväzné pre všetkých certifikovaných Peppol poskytovateľov celosvetovo.