b)chrániť preventívne informačné aktíva pred kybernetickou hrozbou a zabrániť vzniku kybernetického bezpečnostného incidentu,
c)detegovať kybernetické bezpečnostné incidenty,
d)reagovať na identifikované zraniteľnosti a kybernetické bezpečnostné incidenty a minimalizovať ich vplyv na siete a informačné systémy a
e)obnoviť siete a informačné systémy, napraviť negatívne dopady po vzniku kybernetického bezpečnostného incidentu a uviesť poskytované služby do stavu plynulého a nerušeného poskytovania.
(2)Bezpečnostné opatrenia sa prijímajú aspoň pre
a)organizáciu a riadenie informačnej bezpečnosti a kybernetickej bezpečnosti,
b)správu zraniteľností a kybernetických hrozieb,
c)správu aktív a riadenie kybernetických hrozieb a rizík,
d)riadenie udalostí a kybernetických bezpečnostných incidentov,
e)riadenie kontinuity činností, zálohovanie, obnovu systémov po havárii a krízové riadenie,
f)bezpečnosť pri nadobúdaní, vývoji a údržbe siete, informačných systémov, aplikácií a konfigurácií,
g)postupy posudzovania účinnosti opatrení, riadenie súladu a kontrolné činnosti,
h)kryptografické opatrenia a zásady používania kryptografie,
i)bezpečnosť a spôsobilosti ľudských zdrojov,
j)správu identít a prístupov,
k)bezpečnosť pri prevádzke sietí a informačných systémov,
l)ochranu proti škodlivému kódu a nežiaducemu obsahu,
m)systémovú bezpečnosť, sieťovú bezpečnosť a komunikačnú bezpečnosť,
n)monitorovanie, zaznamenávanie a hlásenie udalostí,
o)fyzickú bezpečnosť, bezpečnosť prostredia a správu koncových zariadení,
p)ochranu záznamov, súkromia a označovanie informácií,
q)dodávateľský reťazec,
r)obstarávanie a využívanie certifikovaných produktov IKT, služieb IKT a procesov IKT.
(3) Bezpečnostné opatrenia sa prijímajú a realizujú v rozsahu a spôsobom podľa § 32 ods. 1 písm. b) alebo osobitného predpisu24), ak je vydaný, a na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.“.
52.V § 20 sa odsek 4 dopĺňa písmenami g) až i), ktoré znejú:
„g) určenie a pridelenie úloh, rolí a zodpovednosti podľa podmienok prevádzkovateľa základnej služby a zabezpečenie primeraného vzdelávania a preškoľovania pre všetky zavedené roly,
h)určenie konkrétnej osoby alebo konkrétnych osôb zodpovedných za schvaľovanie bezpečnostných opatrení, dohľad, kontrolu a audit, zabezpečenie primeranosti zdrojov na riadenie kybernetickej bezpečnosti a za vzdelávanie,
i)vzdelávanie a budovanie bezpečnostného povedomia v oblasti kybernetickej bezpečnosti.“.
53.V § 20 sa vypúšťa odsek 6.
Doterajší odsek 7 sa označuje ako odsek 6.
54.§ 21 a 22 vrátane nadpisu nad § 21 znejú:
„Osobitné povinnosti
§ 21
(1)Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2 , alebo o osobu, ktorá je treťou stranou, ktorá nemá trvalý pobyt, miesto podnikania alebo sídlo na území členského štátu Európskej únie a poskytuje tieto služby alebo vykonáva tieto činnosti na území Slovenskej republiky, je povinná mať počas celej doby poskytovania týchto služieb alebo vykonávania týchto činností určeného zástupcu s trvalým pobytom, miestom podnikania alebo sídlom na území Slovenskej republiky alebo na území iného