ZBIERKA
ZÁKONOV
SLOVENSKEJ REPUBLIKY
Ročník 2018
Vyhlásené: 9. 3. 2018Časová verzia predpisu účinná od: 1. 7.2020 Obsah dokumentu je právne záväzný.
69
Z Á K O N
z 30. januára 2018
o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
§ 1
Predmet zákona
Tento zákon upravuje
a)organizáciu, pôsobnosť a povinnosti orgánov verejnej moci v oblasti kybernetickej bezpečnosti,
b)národnú stratégiu kybernetickej bezpečnosti,
c)jednotný informačný systém kybernetickej bezpečnosti,
d)organizáciu a pôsobnosť jednotiek pre riešenie kybernetických bezpečnostných incidentov (ďalej len „jednotka CSIRT“) a ich akreditáciu,
e)postavenie a povinnosti prevádzkovateľa základnej služby a poskytovateľa digitálnej služby,
f)bezpečnostné opatrenia,
g)systém zabezpečenia kybernetickej bezpečnosti,
h)kontrolu nad dodržiavaním tohto zákona a audit.
§ 2
Pôsobnosť zákona
(1)Tento zákon ustanovuje minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti.
(2)Tento zákon sa nevzťahuje na
a)požiadavky na zabezpečenie sietí a informačných systémov podľa všeobecného predpisu o ochrane utajovaných skutočností,
b)osobitné ustanovenia o úlohách a oprávneniach orgánu štátu pri ochrane kybernetického priestoru podľa osobitného predpisu,1)
c)ustanovenia osobitných predpisov o vyšetrovaní, odhaľovaní a stíhaní trestných činov,2)
d)požiadavky týkajúce sa bezpečnosti sietí, infraštruktúr a informačných systémov a oznamovania kybernetických
bezpečnostných incidentov v sektore bankovníctva, financií alebo finančného systému podľa osobitných
predpisov,
3)
vrátane štandardov a zásad vydaných alebo prijatých Európskou centrálnou bankou, Európskym
systémom centrálnych bánk, Eurosystémom alebo európskymi orgánmi dohľadu,
4)
ak ich účinok je aspoň
rovnocenný s účinkom povinností podľa tohto zákona, vrátane rozhodnutí, štandardov a zásad vydaných alebo
prijatých Národnou bankou Slovenska, ak ich cieľom je dosiahnuť rovnocennú alebo vyššiu úroveň bezpečnosti
sietí, infraštruktúr a informačných systémov ako podľa tohto zákona, a ani na platobné systémy a na systémy
zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou
centrálnou bankou alebo Eurosystémom podľa osobitných predpisov,
5)
požiadavky na zabezpečenie sietí a
informačných systémov v sektore bankovníctva, financií alebo finančného systému podľa osobitných predpisov,
3)
vrátane štandardov a zásad vydaných alebo prijatých Európskou centrálnou bankou, Európskym systémom centrálnych bánk, Eurosystémom alebo európskymi orgánmi dohľadu,
4)
a ani na platobné systémy a na systémy zúčtovania a
vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom podľa osobitných predpisov,
5)
Strana 2
Zbierka zákonov Slovenskej republiky
69/2018 Z. z.
Eurosystémom alebo európskymi orgánmi dohľadu,4) ak ich účinok je aspoň rovnocenný s účinkom povinností podľa tohto zákona, vrátane rozhodnutí, štandardov a zásad vydaných alebo prijatých Národnou bankou Slovenska, ak ich cieľom je dosiahnuť rovnocennú alebo vyššiu úroveň bezpečnosti sietí, infraštruktúr a informačných systémov ako podľa tohto zákona, a ani na platobné systémy a na systémy zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom podľa osobitných predpisov,5)
e)požiadavky na zabezpečenie sietí a informačných systémov v sektore podľa osobitného predpisu,6) ak ich cieľom je dosiahnuť vyššiu úroveň bezpečnosti sietí a informačných systémov ako podľa tohto zákona,
f)osobitné predpisy.7)
§ 3
Vymedzenie základných pojmov
Na účely tohto zákona sa rozumie
a)sieťou a informačným systémom elektronická komunikačná sieť, informačný systém, každé zariadenie a
komunikačný systém alebo údaje, ktoré v nich vytvárané, ukladané, spracúvané, získavané alebo prenášané
prostredníctvom elektronickej komunikačnej siete alebo informačného systému, na účely prevádzkovania,
používania, ochrany a udržiavania týchto sietí a systémov, sieťou elektronická komunikačná sieť podľa osobitného
predpisu,8)
b)informačným systémom funkčný celok, ktorý zabezpečuje získavanie, zhromažďovanie, automatické spracúvanie, udržiavanie, sprístupňovanie, poskytovanie, prenos, ukladanie, archiváciu, likvidáciu a ochranu údajov prostredníctvom technických prostriedkov alebo programových prostriedkov,
c)kybernetickým priestorom globálny dynamický otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi,
d)kontinuitou strategická a taktická schopnosť organizácie plánovať a reagovať na udalosti a incidenty s cieľom pokračovať vo výkone činností na prijateľnej, vopred stanovenej úrovni,
e)dôvernosťou záruka, že údaj alebo informácia nie je prezradená neoprávneným subjektom alebo procesom,
f)dostupnosťou záruka, že údaj alebo informácia je pre používateľa, informačný systém, sieť alebo zariadenie prístupné vo chvíli, keď je údaj a informácia potrebná a požadovaná,
g)integritou záruka, že bezchybnosť, úplnosť alebo správnosť informácie neboli narušené,
h)kybernetickou bezpečnosťou stav, v ktorom siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov,
i)rizikom miera kybernetického ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami,
j)hrozbou každá primerane rozpoznateľná okolnosť alebo udalosť proti sieťam a informačným systémom, ktorá môže mať nepriaznivý vplyv na kybernetickú bezpečnosť,
k)kybernetickým bezpečnostným incidentom akákoľvek udalosť, ktorá z dôvodu narušenia bezpečnosti siete a informačného systému, alebo porušenia bezpečnostnej politiky alebo záväznej metodiky negatívny vplyv na kybernetickú bezpečnosť alebo ktorej následkom je
1.strata dôvernosti údajov, zničenie údajov alebo narušenie integrity systému,
2.obmedzenie alebo odmietnutie dostupnosti základnej služby alebo digitálnej služby,
3.vysoká pravdepodobnosť kompromitácie činností základnej služby alebo digitálnej služby alebo
69/2018 Z. z.
Zbierka zákonov Slovenskej republiky
Strana 3
4.ohrozenie bezpečnosti informácií,
l)základnou službou služba, ktorá je zaradená v zozname základných služieb a
1.závisí od sietí a informačných systémov a je činnosťou aspoň v jednom sektore alebo podsektore podľa prílohy č. 1, alebo
je informačným systémom verejnej správy,
8)
alebo
2.je prvkom kritickej infraštruktúry,9)
m)prevádzkovateľom základnej služby orgán verejnej moci alebo osoba, ktorá prevádzkuje aspoň jednu službu podľa písmena k) l),
n)digitálnou službou služba, ktorej druh je uvedený prílohe č. 2,
o)poskytovateľom digitálnej služby právnická osoba alebo fyzická osoba podnikateľ, ktorá poskytuje digitálnu službu a zároveň zamestnáva aspoň 50 zamestnancov a ročný obrat alebo celkovú ročnú bilanciu viac ako 10 000 000 eur,
p)riešením kybernetického bezpečnostného incidentu všetky postupy súvisiace s oznamovaním, odhaľovaním, analýzou a reakciou na kybernetický bezpečnostný incident a s obmedzením jeho následkov.
§ 4
Pôsobnosť orgánov verejnej moci
Pôsobnosť v oblasti kybernetickej bezpečnosti vykonáva
a)Národný bezpečnostný úrad (ďalej len „úrad“),
b)úrad, Ministerstvo dopravy a výstavby Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo
hospodárstva Slovenskej republiky, Ministerstvo obrany Slovenskej republiky, Ministerstvo vnútra Slovenskej republiky, Ministerstvo zdravotníctva Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky ,Slovenská informačná služba a Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
a Vojenské spravodajstvo (ďalej len „ústredný orgán“),
c)ministerstvá a ostatné ústredné orgány štátnej správy,10) ktoré nie ústredným orgánom, Generálna prokuratúra Slovenskej republiky, Najvyšší kontrolný úrad Slovenskej republiky, Úrad pre dohľad nad zdravotnou starostlivosťou, Úrad na ochranu osobných údajov Slovenskej republiky, Úrad pre reguláciu sieťových odvetví a iné štátne orgány v rozsahu svojej pôsobnosti (ďalej len „iný orgán štátnej správy“).
(1)Úrad v oblasti kybernetickej bezpečnosti
a)riadi a koordinuje výkon štátnej správy,
§ 5
Úrad
b)určuje štandardy, operačné postupy, vydáva metodiku a politiku správania sa v kybernetickom priestore,
c)určuje zásady predchádzania kybernetickým bezpečnostným incidentom a zásady ich riešenia,
d)vypracúva národnú stratégiu kybernetickej bezpečnosti a ročnú správu o stave kybernetickej bezpečnosti v Slovenskej republike v spolupráci s príslušnými štátnymi orgánmi,
e)je národným kontaktným miestom pre kybernetickú bezpečnosť pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie a Organizácie Severoatlantickej zmluvy,
Strana 4
Zbierka zákonov Slovenskej republiky
69/2018 Z. z.
f)plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a Organizácie Severoatlantickej zmluvy a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,
g)zabezpečuje členstvo Slovenskej republiky v skupine pre spoluprácu a v sieti jednotiek CSIRT,
h)v spolupráci s Ministerstvom zahraničných vecí a európskych záležitostí Slovenskej republiky rozvíja medzinárodnú spoluprácu a sleduje vplyvy aktivít v oblasti kybernetickej bezpečnosti na zahraničnopolitické záujmy Slovenskej republiky a partnerov v rámci Európskej únie a Organizácie Severoatlantickej zmluvy,
i)spolupracuje s ústrednými orgánmi, inými orgánmi štátnej správy a jednotkami CSIRT, prevádzkovateľmi základných služieb a poskytovateľmi digitálnych služieb pri plnení úloh podľa tohto zákona,
j)spravuje a prevádzkuje jednotný informačný systém kybernetickej bezpečnosti,
k)na základe oznámenia ústredného orgánu, prevádzkovateľa základnej služby, poskytovateľa digitálnej služby alebo z vlastnej iniciatívy určuje
1.základnú službu a zaraďuje ju do zoznamu základných služieb,
2.digitálnu službu a zaraďuje ju do zoznamu digitálnych služieb,
3.poskytovateľa digitálnej služby a zaraďuje ho do registra poskytovateľov digitálnych služieb,
4.prevádzkovateľa základnej služby a zaraďuje ho do registra prevádzkovateľov základných služieb,
l)vedie a spravuje
1.zoznam základných služieb,
2.register prevádzkovateľov základných služieb,
3.zoznam digitálnych služieb,
4.register poskytovateľov digitálnych služieb,
5.zoznam akreditovaných jednotiek CSIRT,
m)systematicky získava, sústreďuje, analyzuje a vyhodnocuje informácie o stave kybernetickej bezpečnosti v Slovenskej republike,
n)akredituje jednotky CSIRT okrem Národnej jednotky CSIRT a vládnej jednotky CSIRT a zaraďuje ich do zoznamu akreditovaných jednotiek CSIRT,
o)plní úlohy príslušného orgánu pre digitálne služby,
p)zabezpečuje a zodpovedá za koordinované riešenie kybernetických bezpečnostných incidentov na národnej úrovni,
q)rieši kybernetické bezpečnostné incidenty, vyhlasuje výstrahu a varovania pred závažným kybernetickým bezpečnostným incidentom, ukladá povinnosť vykonať reaktívne opatrenie a schvaľuje ochranné opatrenie,
r)zasiela včasné varovania,
s)prijíma vnútroštátne hlásenia o kybernetických bezpečnostných incidentoch,
t)prijíma hlásenia o kybernetických bezpečnostných incidentoch zo zahraničia a zabezpečuje spoluprácu s medzinárodnými organizáciami a orgánmi iných štátov pri riešení kybernetických bezpečnostných incidentov s cezhraničným charakterom,
u)vykonáva kontrolu, vydáva rozhodnutia o uložení opatrení na nápravu a ukladá pokutu za priestupok alebo iný správny delikt,
v)vykonáva audit alebo požiada orgán posudzovania zhody certifikovaného audítora kybernetickej bezpečnosti o
vykonanie auditu u prevádzkovateľa
69/2018 Z. z.
Zbierka zákonov Slovenskej republiky
Strana 5
základnej služby,
w)vydáva znalostné štandardy a zverejňuje ich na svojom webovom sídle a v spolupráci s Ministerstvom školstva, vedy, výskumu a športu Slovenskej republiky vykonáva a zabezpečuje budovanie bezpečnostného povedomia,
x)koordinuje výskum a vývoj,
y)vydáva rozhodnutie o blokovaní škodlivého obsahu alebo škodlivej aktivity, ktorá smeruje do kybernetického priestoru Slovenskej republiky alebo z kybernetického priestoru Slovenskej republiky (ďalej len „blokovanie“) a zabezpečuje vykonanie tohto rozhodnutia alebo vykonáva blokovanie podľa § 27b aj na základe žiadosti,
z)je vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti a orgánom posudzovania zhody podľa osobitného predpisu,10aa)
aa)plní úlohy kompetenčného a odvetvového centra,
ab) odníma certifikát kybernetickej bezpečnosti,
ac) v rámci systému certifikácie kybernetickej bezpečnosti vydáva bezpečnostné štandardy, certifikačné schémy a postupy,
ad) plní úlohy ústredného orgánu podľa prílohy č. 1,
ae) vedie a zverejňuje na svojom webovom sídle zoznam orgánov posudzovania zhody v systéme certifikácie kybernetickej bezpečnosti, zoznam certifikačných orgánov audítorov kybernetickej bezpečnosti a zoznam právnických osôb, prostredníctvom ktorých je možné realizovať audity kybernetickej bezpečnosti,
af) posudzuje bezpečnostné riziká tretej strany pre kybernetickú bezpečnosť Slovenskej republiky a správu o tomto posúdení predkladá Bezpečnostnej rade Slovenskej republiky,
ag) predkladá príslušnému osobitnému kontrolnému výboru Národnej rady Slovenskej republiky každoročne správu o dodržiavaní noriem týkajúcich sa ochrany osobných údajov občanov Slovenskej republiky.
(2)Na účely zabezpečenia plnenia úloh podľa tohto zákona môže úrad na účel zabezpečenia kybernetickej bezpečnosti uzatvoriť písomnú dohodu o spolupráci a o výmene informácií a podkladov s orgánmi verejnej moci alebo s inou právnickou osobou.10a) Pri poskytnutí informácií je prijímajúci subjekt povinný zabezpečiť najmenej rovnakú úroveň dôvernosti ako subjekt, ktorý informácie poskytol.
(3)Na účely zabezpečenia plnenia úloh podľa tohto zákona môže úrad uzatvoriť písomnú dohodu o spolupráci s fyzickou osobou. Dohoda o spolupráci musí obsahovať konkrétnu formu a podmienky spolupráce a fyzická osoba musí byť oprávnená na oboznamovanie sa s utajovanými skutočnosťami príslušného stupňa utajenia, ak to plnenie úloh vyžaduje.
§ 5a
(1)Systémom certifikácie kybernetickej bezpečnosti sa rozumie komplexný súbor pravidiel, technických požiadaviek, noriem a postupov, ktoré sa uplatňujú na certifikáciu alebo posudzovanie zhody konkrétnych produktov, služieb alebo procesov v oblasti sietí a informačných systémov, informačných a komunikačných technológií a kybernetickej bezpečnosti podľa osobitného predpisu.10b)
(2)Úrad v rámci systému certifikácie kybernetickej bezpečnosti certifikuje produkty, služby a procesy10c) ako orgán posudzovania zhody podľa osobitného predpisu.10d)
(3)Certifikačný orgán10e) orgánu posudzovania zhody,10f) ktorý je verejným subjektom10g) a nie je vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti certifikuje produkty, služby a procesy podľa osobitného predpisu10h) v rámci systému certifikácie kybernetickej bezpečnosti.
(4)Úrad odníme európske certifikáty kybernetickej bezpečnosti, ktoré vydal alebo európske certifikáty kybernetickej bezpečnosti vydané podľa osobitného predpisu10i) orgánmi posudzovania zhody, ktoré nie v súlade s osobitným predpisom10j) alebo s európskym systémom certifikácie kybernetickej bezpečnosti.
(5)Úrad môže odňať vydaný európsky certifikát kybernetickej bezpečnosti aj držiteľovi certifikátu, ak tento
a)poruší povinnosť podľa osobitného predpisu,10k)
b)neumožní úradu získať prístup do priestorov podľa osobitného predpisu,10l)
c)znemožní vykonávať oprávnenie podľa osobitného predpisu.10m)
(6)Na účely tohto zákona sa rozumie
a)produktom produkt IKT podľa osobitného predpisu,10n)
b)službou služba IKT podľa osobitného predpisu,10o)
c)procesom proces IKT podľa osobitného predpisu.10p).
Strana 6
Zbierka zákonov Slovenskej republiky
69/2018 Z. z.
§ 6
Národná jednotka CSIRT
(1)Úrad zriaďuje Národné centrum kybernetickej bezpečnosti, ako svoju organizačnú zložku, ktorá postavenie národnej jednotky CSIRT s pôsobnosťou pre Slovenskú republiku, ktorá musí spĺňať podmienky akreditácie podľa § 14 a plniť úlohy jednotky CSIRT podľa § 15 pre všetky sektory a podsektory uvedené v prílohe č. 1 a digitálne služby okrem tých sektorov a podsektorov, pre ktoré plní úlohy jednotky CSIRT ústredný orgán. Národná jednotka CSIRT je zaradená v zozname akreditovaných jednotiek CSIRT.
(2)Národná jednotka CSIRT plní úlohu ústredného orgánu v rozsahu podľa § 9 ods. 1 písm. a), ak ústredný orgán túto úlohu nezabezpečí spôsobom podľa § 9 ods. 2.
(3)Na činnosti národnej jednotky CSIRT sa vyslaním svojich zástupcov a ďalšími formami spolupráce môže podieľať aj iný orgán štátnej správy v rozsahu a spôsobom ustanovenými na základe uzatvorených zmlúv o spolupráci.
(4)Plnenie úloh úradu podľa odsekov 1 a 2 nezbavuje prevádzkovateľa základnej služby ani ústredný orgán zodpovednosti za plnenie povinností podľa tohto zákona a ani za plnenie povinností vo vzťahu k sieťam a informačným systémom podľa osobitných predpisov.
§ 7
Národná stratégia kybernetickej bezpečnosti
(1)Národná stratégia kybernetickej bezpečnosti je východiskový strategický dokument, ktorý komplexne určuje strategický prístup Slovenskej republiky k zabezpečeniu kybernetickej bezpečnosti. Súčasťou národnej stratégie kybernetickej bezpečnosti je akčný plán ako konkrétny plán čiastkových úloh a zdrojov.
(2)Národná stratégia kybernetickej bezpečnosti obsahuje najmä
a)ciele,prioritya rámecriadenianadosiahnutietýchtocieľova priorítvrátaneúloh a zodpovedností orgánov verejnej moci a ďalších relevantných subjektov,
b)identifikáciu opatrení týkajúcich sa pripravenosti, reakcie a obnovy vrátane spolupráce medzi verejným sektorom a súkromným sektorom,
c)popis bezpečnostného prostredia,
d)definíciu bezpečnostných hrozieb,
e)identifikáciu potrebných zdrojov,
f)určenie vzdelávacích programov, programov na budovanie bezpečnostného povedomia, zvyšovanie informovanosti a odbornej prípravy,
g)určenie plánov výskumu a vývoja,
h)plán posudzovania rizika na účely identifikácie rizík,
i)zoznam subjektov zapojených do vykonávania národnej stratégie kybernetickej bezpečnosti,
j)určenie hlavných zahraničnopolitických partnerov.
(3)Ústredný orgán a iný orgán štátnej správy spolupracujú s úradom na vypracovaní národnej stratégie kybernetickej bezpečnosti a na tento účel sú povinné poskytnúť mu informácie v potrebnom rozsahu.
(4)Národnú stratégiu kybernetickej bezpečnosti schvaľuje vláda Slovenskej republiky.
§ 8
Jednotný informačný systém kybernetickej bezpečnosti
(1)Jednotný informačný systém kybernetickej bezpečnosti je informačný systém, ktorého správcom a prevádzkovateľom je úrad a ktorý slúži na efektívne riadenie, koordináciu, evidenciu a kontrolu výkonu štátnej správy v oblasti kybernetickej bezpečnosti a jednotiek CSIRT. Jednotný informačný systém kybernetickej bezpečnosti je určený aj na spracovanie a vyhodnocovanie údajov a informácií o stave kybernetickej bezpečnosti a slúži pri krízovom plánovaní v čase mieru, riadení štátu v krízových situáciách mimo času vojny a vojnového stavu,11) ako aj na potrebné činnosti v čase vojny alebo vojnového stavu.
(2)Jednotný informačný systém kybernetickej bezpečnosti obsahuje komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálny systém včasného varovania. Jednotný informačný systém pozostáva z verejnej časti a neverejnej časti a prístup k nemu je bezodplatný. Verejná časť jednotného informačného systému kybernetickej bezpečnosti obsahuje
a)register ústredných orgánov,
69/2018 Z. z.
Zbierka zákonov Slovenskej republiky
Strana 7
b)zoznam základných služieb,
c)register prevádzkovateľov základných služieb,
d)zoznam digitálnych služieb,
e)register poskytovateľov digitálnych služieb,
f)register kybernetických bezpečnostných incidentov,
g)zoznam akreditovaných jednotiek CSIRT,
h)metodiky, usmernenia, štandardy, politiky a oznamy,
i)informácie a údaje potrebné na používanie jednotného informačného systému kybernetickej bezpečnosti,
j)výstrahy a varovania a ďalšie informácie slúžiace na minimalizovanie, odvrátenie alebo nápravu následkov kybernetického bezpečnostného incidentu.
(3)Komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov je komunikačný systém, ktorý zaisťuje systematické získavanie, sústreďovanie, analyzovanie a vyhodnocovanie informácií o kybernetických bezpečnostných incidentoch.
(4)Centrálny systém včasného varovania je informačný systém, ktorý zaisťuje včasnú výmenu informácií o hrozbách, kybernetických bezpečnostných incidentoch a rizikách s nimi spojených medzi úradom a subjektmi podľa odseku 5.
(5)K neverejnej časti jednotného informačného systému kybernetickej bezpečnosti priamy prístup v elektronickej forme v reálnom čase, v rozsahu určenom úradom alebo osobitným predpisom12) a na základe vecnej pôsobnosti
a)ústredný orgán,
b)jednotka CSIRT zaradená v zozname akreditovaných jednotiek CSIRT,
c)prevádzkovateľ základnej služby a poskytovateľ digitálnej služby,
d)Národná banka Slovenska,
e)Úrad na ochranu osobných údajov Slovenskej republiky,
f)iný orgán verejnej moci rozhodnutím úradu.
(6)Ten, kto je povinný podľa tohto zákona poskytovať informácie, údaje a hlásenia prostredníctvom jednotného informačného systému kybernetickej bezpečnosti, je povinný ich poskytovať bezodplatne a bezodkladne po tom, ako sa dozvie o skutočnosti zakladajúcej túto povinnosť. Informácie, údaje a hlásenia sa poskytujú spôsobom určeným funkcionalitou jednotného informačného systému kybernetickej bezpečnosti.
§ 9
Ústredný orgán
(1)Ústredný orgán v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa prílohy č. 1, zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že
a)plní úlohy jednotky CSIRT spôsobom podľa odseku 2,
b)poskytuje úradu požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na zabezpečenie kybernetickej bezpečnosti; informácie sa poskytujú len za podmienky, že ich poskytnutím nedôjde k ohrozeniu plnenia konkrétnej úlohy spravodajskej služby podľa osobitného predpisu13) alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb konajúcich v jej prospech alebo k ohrozeniu medzinárodnej spravodajskej spolupráce,
c)spolupracuje s ostatnými ústrednými orgánmi a prevádzkovateľmi základných služieb vo svojej pôsobnosti pri plnení úloh podľa tohto zákona,
d)buduje bezpečnostné povedomie, koordinovanú spoluprácu na všetkých stupňoch riadenia kybernetickej bezpečnosti a aplikuje bezpečnostné opatrenia a politiku správania sa v kybernetickom priestore,
e)v spolupráci s úradom určuje špecifické sektorové identifikačné kritériá podľa § 18 ods. 3,
f)identifikuje základnú službu a prevádzkovateľa základnej služby a ich aktuálny zoznam predkladá úradu na účely zaradenia do zoznamu základných služieb a registra prevádzkovateľov základných služieb,
g)spolupracuje so zahraničnou inštitúciou obdobného zamerania.
(2)Ústredný orgán na účely plnenia úloh podľa odseku 1 písm. a) v rozsahu svojej pôsobnosti pre sektor alebo
podsektor podľa
prílohy č. 1
zriaďuje a prevádzkuje akreditovanú jednotku CSIRT alebo na tento účel využíva
akreditovanú jednotku CSIRT, ktorú zriaďuje a prevádzkuje iný ústredný orgán, ak sa tak dohodnú. Využívanie
akreditovanej jednotky CSIRT, ktorú zriaďuje a prevádzkuje iný ústredný orgán, sa vykonáva na základe zmluvy. Ústredný
orgán na plnenie úloh podľa odseku 1 písm. a) v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa
prílohy č.
1
využíva Národné centrum kybernetickej bezpečnosti alebo zriaďuje a prevádzkuje vlastnú akreditovanú jednotku CSIRT
Strana 8
Zbierka zákonov Slovenskej republiky
69/2018 Z. z.
alebo využíva akreditovanú jednotku CSIRT v pôsobnosti ústredného orgánu, ak sa tak zmluvne dohodnú.
(3) Zmluva podľa odseku 2 musí obsahovať obdobie, počas ktorého sa akreditovaná jednotka CSIRT využíva, zoznam osôb v
pôsobnosti ústredného orgánu, ktoré budú zodpovedné za poskytovanie údajov a informácií a ich rozsah, povinnosti o hlásení
zmien ovplyvňujúcich riadne fungovanie akreditovanej jednotky CSIRT a vyčíslenie prevádzkových nákladov, ktoré je
ústredný orgán povinný uhradiť.
69/2018 Z. z.
Zbierka zákonov Slovenskej republiky
Strana 9
§ 10
Úlohy iného orgánu štátnej správy Kybernetická bezpečnosť iného orgánu
Na účely zaistenia kontinuity a riadenia rizík súvisiacich so zabezpečením sietí a informačných systémov, ktoré nie sú základnou službou a procesu riešenia kybernetických bezpečnostných incidentov, iný orgán štátnej správy a ústredný orgán v rozsahu svojej pôsobnosti zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že prijíma a dodržiava vhodné a primerané bezpečnostné opatrenia podľa § 20.
(2) Iný orgán štátnej správy ďalej poskytuje úradu požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na
zabezpečenie kybernetickej bezpečnosti; informácie sa poskytujú len za podmienky, že ich poskytnutím nedôjde k ohrozeniu
plnenia konkrétnej úlohy podľa osobitného predpisu19) alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb
konajúcich v jej prospech, alebo k ohrozeniu medzinárodnej spravodajskej spolupráce.
§ 10a
Súčinnosť
(1)Orgán verejnej moci, prevádzkovateľ základnej služby, právnická osoba a fyzická osoba povinní poskytnúť úradu na plnenie jeho úloh podľa tohto zákona požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na zabezpečenie kybernetickej bezpečnosti; informácie sa poskytujú len za podmienky, že ich poskytnutím nedôjde k ohrozeniu plnenia konkrétnej úlohy podľa osobitného predpisu13a) alebo spravodajskej služby podľa osobitného predpisu13) alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb, ktoré konajú v jej prospech, alebo k ohrozeniu medzinárodnej spravodajskej spolupráce.
(2)Žiadosť o súčinnosť musí byť riadne odôvodnená a musí obsahovať konkrétny rozsah požadovanej súčinnosti podľa tohto zákona.
§ 11
Vládna jednotka CSIRT
Zriaďuje sa vládna jednotka CSIRT v pôsobnosti Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky pre podsektor informačné systémy verejnej správy. Vládna jednotka CSIRT musí spĺňať podmienky akreditácie podľa § 14 a plniť úlohy podľa § 15. Vládna jednotka CSIRT sa zaraďuje do zoznamu akreditovaných jednotiek CSIRT.
§ 12
Mlčanlivosť a ochrana osobných údajov
(1)Kto plní alebo plnil úlohy na základe tohto zákona alebo v súvislosti s ním, je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa v súvislosti s plnením úloh podľa tohto zákona dozvedel a ktoré nie verejne známe. Povinnosť zachovávať mlčanlivosť trvá aj po skončení dohody o spolupráci podľa § 5 ods. 3, pracovnoprávneho vzťahu alebo obdobného pracovného vzťahu vrátane služobného pomeru.14) Ustanoveniami o povinnosti zachovávať mlčanlivosť podľa tohto zákona nie je dotknutá povinnosť mlčanlivosti alebo zachovania tajomstva podľa osobitných predpisov.15)
(2)O zbavení povinnosti mlčanlivosti osoby podľa odseku 1 rozhodne v pôsobnosti
a)úradu riaditeľ úradu,
b)iného subjektu štatutárny orgán.
(3)Na účely konania pred orgánom verejnej moci, na účely trestného konania, oznamovania skutočnosti nasvedčujúcej tomu, že bol spáchaný trestný čin, alebo oznamovania kriminality alebo inej protispoločenskej činnosti16) sa povinnosť zachovávať mlčanlivosť podľa odseku 1 nevzťahuje na prevádzkovateľa základnej služby a poskytovateľa digitálnej služby a jeho zamestnancov.
(4)Oznamovanie kybernetických bezpečnostných incidentov v rozsahu podľa tohto zákona, informovanie o hlásenom kybernetickom bezpečnostnom incidente, úkony súvisiace s riešením kybernetických bezpečnostných incidentov, vyhlásenie výstrahy a varovania spôsobom podľa tohto zákona nie je porušením povinnosti zachovávať mlčanlivosť podľa tohto zákona a podľa osobitných predpisov.15)
(5)Za škodu spôsobenú prevádzkovateľom základnej služby, poskytovateľom digitálnej služby, ich zamestnancom alebo osobe oznamujúcej kybernetický bezpečnostný incident, ktorá vznikla oznámením podľa odseku 4, zodpovedá
Strana 10
Zbierka zákonov Slovenskej republiky
69/2018 Z. z.
úrad.
(6)Na účely riešenia kybernetického bezpečnostného incidentu v rozsahu potrebnom na jeho identifikáciu a zabezpečenia kybernetickej bezpečnosti úrad v záujme národnej bezpečnosti spracováva v jednotnom informačnom systéme kybernetickej bezpečnosti na čas nevyhnutne potrebný osobné údaje spôsobom podľa osobitného predpisu.17)
(7)Úrad zabezpečí nepretržitú ochranu osobných údajov a informácií spracúvaných podľa tohto zákona pred nezákonným vyzradením, zneužitím, poškodením, neoprávneným zničením, odcudzením a stratou spôsobom podľa osobitného predpisu.18)
(8)Informácie a osobné údaje získané na základe tohto zákona alebo v súvislosti s ním môže úrad použiť len na plnenie úloh podľa tohto zákona.
§ 13
Akreditácia jednotky CSIRT
(1)Zhodu jednotky CSIRT s podmienkami akreditácie jednotky CSIRT posudzuje úrad na základe žiadosti.
(2)Žiadosť podľa odseku 1 predkladá úradu v elektronickej podobe ústredný orgán, ktorý plniť úlohy jednotky
CSIRT; orgán verejnej moci, ktorý k žiadosti prikladá dokumentáciu preukazujúcu splnenie podmienok akreditácie
jednotky CSIRT.
(3)Konanie podľa odseku 1 sa začína dňom doručenia žiadosti úradu podľa odseku 2. Ak žiadosť nie je úplná, úrad vyzve žiadateľa na jej doplnenie v určenej lehote, ktorá nesmie byť kratšia ako desať dní. Ak žiadateľ žiadosť v stanovenej lehote nedoplní požadovaným spôsobom, úrad na žiadosť ďalej neprihliada.
(4)Úrad o akreditácii rozhodne do 90 dní odo dňa doručenia úplnej žiadosti, a ak posúdi splnenie zhody jednotky CSIRT s podmienkami akreditácie jednotky CSIRT, vydá rozhodnutie o akreditácii. Rozhodnutie o akreditácii sa vydáva na dobu určitú, najviac na päť rokov.
(5)Úrad môže na základe žiadosti opakovane predĺžiť platné rozhodnutie o akreditácii, ak nenastala zmena podmienok, na základe ktorých bolo rozhodnutie o akreditácii vydané. Žiadosť podľa predchádzajúcej vety sa predkladá úradu najmenej šesť mesiacov pred uplynutím doby platnosti rozhodnutia o akreditácii, ktoré sa predĺžiť. Na konanie a na podanie žiadosti sa primerane vzťahujú odseky 2 4. Ak úrad predĺženie akreditácie uzná, vydá o tom rozhodnutie podľa odseku 4 s doložkou „predĺženie“.
(6)Úrad na základe žiadosti ústredného orgánu, ktorý plniť úlohy jednotky CSIRT, uzná aj akreditáciu jednotky
CSIRT, ktorá bola akreditovaná podľa predpisov iného štátu alebo medzinárodnej organizácie, ak je preukázateľne zabezpečené splnenie podmienok akreditácie jednotky CSIRT; podmienka podľa
§ 14 písm. a)
sa nepreukazuje. Na
konanie a na podanie žiadosti sa primerane vzťahujú odseky 2 4. Úrad o akreditácii vydá rozhodnutie podľa odseku 4 s doložkou „uznanie“ najviac na dobu platnosti, na ktorú bola jednotka CSIRT akreditovaná podľa predpisov iného štátu alebo medzinárodnej organizácie.
(7)Úrad jednotku CSIRT akreditovanú spôsobom podľa tohto zákona zaradí do zoznamu akreditovaných jednotiek CSIRT.
§ 14
Podmienky akreditácie jednotky CSIRT
Žiadateľ o akreditáciu jednotky CSIRT podľa § 13 dokumentáciou preukazuje, že jednotka CSIRT
a) požadované technické, technologické a personálne vybavenie podľa všeobecne záväzného právneho predpisu, ktorý vydá úrad,
b) vytvorené podmienky umožňujúce chránený prenos a spracovanie údajov spôsobom podľa osobitného predpisu,19)
c)chráni informácie a údaje, ktoré v súvislosti s plnením povinností podľa tohto zákona získava a spracováva ich tak, aby nebola narušená ich dostupnosť, dôvernosť, autentickosť a integrita,20)
d) umiestnenú dokumentáciu, informačné systémy a ostatné informačno-komunikačné technológie v zabezpečenom priestore tak, aby nebola narušená ich dôvernosť, autentickosť a integrita.20)
§ 15
Úlohy jednotky CSIRT
(1)Ten, kto plní úlohy jednotky CSIRT v rozsahu svojej pôsobnosti určenej podľa prílohy č. 1, zodpovedá za riešenie kybernetických bezpečnostných incidentov a vykonáva preventívne služby a reaktívne služby.
(2)Preventívne služby sa zameriavajú na prevenciu kybernetických bezpečnostných incidentov
69/2018 Z. z.
Zbierka zákonov Slovenskej republiky
Strana 11
a)vytváraním bezpečnostného povedomia,
b)výcvikom,
c)spoluprácou s ostatnými jednotkami CSIRT,
d)monitorovaním a evidenciou kybernetických bezpečnostných incidentov,
e)pripojením na jednotný informačný systém kybernetickej bezpečnosti,
f)poskytovaníminformáciía údajovdojednotnéhoinformačnéhosystémukybernetickej bezpečnosti,
g)prijímaním a zasielaním včasného varovania pred kybernetickými bezpečnostnými incidentmi prostredníctvom jednotného informačného systému kybernetickej bezpečnosti.
(3)Reaktívne služby sa zameriavajú na riešenie kybernetických bezpečnostných incidentov a nimi najmä
a)výstraha a varovanie,
b)detekcia kybernetických bezpečnostných incidentov,
c)analýza kybernetických bezpečnostných incidentov,
d)odozva, ohraničenie, riešenie a náprava následkov kybernetických bezpečnostných incidentov,
e)asistencia pri riešení kybernetického bezpečnostného incidentu na mieste,
f)reakcia na kybernetický bezpečnostný incident,
g)podpora reakcií na kybernetické bezpečnostné incidenty,
h)koordinácia reakcií na kybernetické bezpečnostné incidenty,
i)návrh opatrení na zabránenie ďalšiemu pokračovaniu, šíreniu a opakovanému výskytu kybernetických bezpečnostných incidentov.
(4)Reaktívne služby vykonáva jednotka CSIRT za účasti prevádzkovateľa základnej služby alebo poskytovateľa digitálnej služby.
Strana 12
Zbierka zákonov Slovenskej republiky
69/2018 Z. z.
§ 16
Povinnosti toho, kto plní úlohy jednotky CSIRT
(1)Ten, kto plní úlohy jednotky CSIRT,
a)musí zabezpečiť, aby jednotka CSIRT v jeho pôsobnosti, ktorá je zaradená v zozname akreditovaných jednotiek CSIRT, nepretržite počas celej doby svojej prevádzky spĺňala podmienky akreditácie jednotky CSIRT podľa § 14 a zároveň plnila všetky úlohy podľa § 15,
b)oznamuje úradu všetky zmeny, ktoré majú vplyv na akreditáciu jednotky CSIRT bezodkladne po tom, ako nastali,
c)si vyžiada vyjadrenie Národnej banky Slovenska alebo Európskej centrálnej banky k postupu ústredného orgánu pri plnení úloh podľa tohto zákona, ak prevádzkovateľom základnej služby je dohliadaný subjekt finančného trhu,21) nad ktorým vykonáva dohľad Národná banka Slovenska podľa osobitných predpisov22) alebo nad ktorým vykonáva dohľad Európska centrálna banka podľa osobitného predpisu.22a)
(2)Ak akreditovaná jednotka CSIRT prestane spĺňať podmienky podľa § 14 alebo ak neplní úlohy podľa § 15, ten, kto plní úlohy jednotky CSIRT, to bezodkladne oznámi úradu; úrad na základe oznámenia podľa predchádzajúcej vety zruší rozhodnutie o akreditácii a jednotku CSIRT vyradí zo zoznamu akreditovaných jednotiek CSIRT.
(3)Úrad môže na základe vlastného zistenia oboznámiť toho, kto plní úlohy jednotky CSIRT o nedostatkoch v plnení podmienok podľa § 14 alebo úloh podľa § 15 s uvedením lehoty na ich odstránenie. Ak nedostatky podľa prechádzajúcej vety na základe oznámenia úradu neodstráni v určenej lehote, úrad zruší rozhodnutie o akreditácii a jednotku CSIRT vyradí zo zoznamu akreditovaných jednotiek CSIRT.
§ 17
Základná služba, prevádzkovateľ základnej služby a zaradenie do zoznamu základných služieb
(1)Ak prevádzkovateľ služby v sektore podľa prílohy č. 1 zistí, že došlo k prekročeniu identifikačných kritérií prevádzkovanej služby podľa § 18, je povinný to oznámiť úradu do 30 dní odo dňa, keď prekročenie zistil, najneskôr však do 60 dní, odkedy k prekročeniu došlo.
(2)Úrad zaradí základnú službu podľa § 3 písm. k) l) prvého bodu do zoznamu základných služieb a jej
prevádzkovateľa do registra prevádzkovateľov základných služieb
a)na základe oznámenia prevádzkovateľom tejto služby podľa odseku 1,
b)na základe podnetu ústredného orgánu, ak došlo k prekročeniu identifikačných kritérií prevádzkovanej služby podľa § 18,
c)z vlastnej iniciatívy, ak sa úrad dozvedel o prekročení identifikačných kritérií prevádzkovanej služby podľa § 18 a nedošlo k postupu podľa písmena a) alebo písmena b).
(3)Úrad v spolupráci s príslušným ústredným orgánom zaradí základnú službu podľa
§ 3 písm. k) druhého bodu
do
zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb. Úrad zaradí základnú
službu podľa § 3 písm. k) l) tretieho druhého bodu do zoznamu základných služieb a jej prevádzkovateľa do registra
prevádzkovateľov základných služieb zo zákona.
(4)Oznámenie podľa odseku 1 musí obsahovať
a)názov a sídlo,
b)kontaktné údaje,
c)zoznam služieb, ktorých sa prekročenie identifikačných kritérií týka,
d)informáciu o možnom alebo existujúcom cezhraničnom presahu služby,
e)percentuálny podiel služby na trhu,
f)geografické rozšírenie služby,
g)informáciuo alternatívnychmožnostiachzachovaniakontinuityslužbyv prípade kybernetického bezpečnostného incidentu.
(5)Zaradenie služby do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb oznámi úrad prevádzkovateľovi tejto služby prostredníctvom informačného systému kybernetickej bezpečnosti.
§ 18
Identifikačné kritériá prevádzkovanej služby
(1)Identifikačné kritériá prevádzkovanej služby sú dopadové kritériá a špecifické sektorové kritériá.
69/2018 Z. z.
Zbierka zákonov Slovenskej republiky
Strana 13
(2)Dopadové kritériá sú určené všeobecne záväzným právnym predpisom, ktorý vydá úrad, a zohľadňujú najmä
a)počet používateľov využívajúcich základnú službu,
b)závislosť ostatných sektorov podľa prílohy č. 1 od základnej služby,
c)vplyv, ktorý by mohli mať kybernetické bezpečnostné incidenty z hľadiska rozsahu a trvania na hospodárske a spoločenské činnosti a záujmy štátu alebo na bezpečnosť štátu,
d)trhový podiel prevádzkovateľa služby,
e)geografické rozšírenie z hľadiska oblasti, ktorú by kybernetický bezpečnostný incident mohol postihnúť,
f)význam prevádzkovateľa základnej služby z hľadiska zachovania kontinuity poskytovania služby.
(3)Špecifické sektorové kritériá zohľadňujú kritériá určené všeobecne záväzným právnym predpisom, ktorý vydá úrad.
(4)Ak prevádzkovateľ služby podľa prílohy č. 1 zistí, že došlo k prekročeniu špecifických sektorových kritérií, oznámi to úradu do 30 dní odo dňa, keď prekročenie zistil v rozsahu podľa
§ 17 ods. 5 4 aj v prípade, ak neprekročí dopadové kritériá.
§ 19
Povinnosti prevádzkovateľa základnej služby
(1)Prevádzkovateľ základnej služby je povinný do šiestich 12 mesiacov odo dňa oznámenia o zaradení do
registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia