(12) Orgán vedenia posudzuje zámer na vytvorenie a prevádzkovanie mobilnej aplikácie z pohľadu opodstatnenosti existencie takejto aplikácie v prostredí informačných technológií verejnej správy. Povinnosť podľa § 15 ods. 4 písm. f) sa nevzťahuje na
a)mobilnú aplikáciu, ktorá nie je určená verejnosti,
b)orgán riadenia podľa § 5 ods. 2 písm. c) a f), Tlačovú agentúru Slovenskej republiky, Rozhlas a televíziu Slovenska a zdravotnú poisťovňu.
(13) Na orgán riadenia podľa § 5 ods. 2 písm. f) sa pri projektoch, ktoré sú financované z iných ako verejných prostriedkov nevzťahujú ustanovenia odseku 1 písm. a), odseku 2 písm. d) prvý bod, odseku 4 písm. e) a odseku 10.“.
22. § 16 sa dopĺňa odsekom 5, ktorý znie:
„(5) Na orgán riadenia podľa § 5 ods. 2 písm. f) sa pri projektoch, ktoré sú financované z iných ako verejných prostriedkov nevzťahujú ustanovenia odseku 3 písm. c) a f).“.
23. V § 19 ods. 3 písm. e) sa pred slovo „koordináciu“ vkladá slovo „vnútornú“.
24. V § 23 ods. 1 sa slová „s osobitným predpisom21)“ nahrádzajú slovami „so všeobecne záväzným právnym predpisom vydaným ministerstvom investícií“.
25. V § 23 odseky 3 a 4 znejú:
„(3) Orgán riadenia je povinný
a)ak je zaradený do registra prevádzkovateľov základných služieb alebo poskytovateľov digitálnych služieb podľa osobitného predpisu,3) nahlasovať spôsobom podľa osobitného predpisu3) aj kybernetický bezpečnostný incident,24) na ktorý sa nevzťahuje povinnosť nahlasovania podľa osobitného predpisu;3)
b)poskytnúť orgánu vedenia súčinnosť a spoluprácu pri plnení jeho úloh podľa § 23a a plniť pokyny orgánu vedenia pri výkone jeho oprávnení podľa § 23a,
c)zasielať najmenej jedenkrát do roka orgánu vedenia zoznam aktív podľa § 19 ods. 1 písm. c),
d)zasielať spôsobom určeným orgánom vedenia vládnej jednotke CSIRT25) vládnou jednotkou CSIRT určené systémové informácie o aktívach, rizikách, kontaktných bodoch a evidencii kybernetických bezpečnostných incidentov informačných technológií verejnej správy v rozsahu ustanovenom všeobecne záväzným právnym predpisom vydaným ministerstvom investícií a aktualizovať zaslané údaje každých 14 dní,
e)zverejniť na svojom webovom sídle pravidlá na oznamovanie zraniteľností.
(4) Povinnosti podľa odseku 3 sa nevzťahujú na orgán riadenia
a)podľa § 5 ods. 2 písm. f) a g) alebo
b)ktorý je prevádzkovateľom základnej služby2a) alebo poskytovateľom digitálnej služby2b) aj v inom sektore ako je sektor verejná správa.26)“.
Poznámky pod čiarou k odkazom 24 až 26 znejú:
„24) § 3 písm. k) zákona č. 69/2018 Z. z. v znení zákona č. 287/2021 Z. z.
25) § 11 zákona č. 69/2018 Z. z. v znení zákona č. 134/2020 Z. z.
26) Príloha č. 1 k zákonu č. 69/2018 Z. z. v znení neskorších predpisov.“.
Poznámky pod čiarou k odkazom 27 a 30 sa vypúšťajú.
26. V § 23 sa dopĺňa odsekom 5, ktorý znie: