1
NÁRODNÁ RADA SLOVENSKEJ REPUBLIKY
IX. volebné obdobie
508
VLÁDNY NÁVRH
Zákon
z ... 2024,
ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
a ktorým sa menia a dopĺňajú niektoré zákony
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení zákona č. 373/2018 Z. z., zákona č. 134/2020 Z. z., zákona č. 287/2021 Z. z., zákona č. 55/2022 Z. z. a zákona č. 231/2022 Z. z. sa mení a dopĺňa takto:
1.§ 1 a 2 vrátane nadpisov znejú:
„§ 1
Predmet zákona
Tento zákon upravuje
a)podmienky pre riadenie a zabezpečenie kybernetickej bezpečnosti, najmä
1.postavenie a povinnosti prevádzkovateľa základnej služby,
2.bezpečnostné opatrenia,
3.hlásenie kybernetického bezpečnostného incidentu, významnej kybernetickej hrozby, udalosti odvrátenej v poslednej chvíli a zraniteľnosti,
4.riešenie kybernetického bezpečnostného incidentu,
5.opatrenia proti produktom IKT, službám IKT alebo procesom IKT ohrozujúcim kybernetickú bezpečnosť a proti škodlivému obsahu,
b)správu v oblasti kybernetickej bezpečnosti, najmä
1.organizáciu, pôsobnosť a povinnosti orgánov verejnej moci v oblasti kybernetickej bezpečnosti,
2.úlohy a pôsobnosť národnej autority pre certifikáciu kybernetickej bezpečnosti,
3.národnú stratégiu kybernetickej bezpečnosti,
4.národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy,
5.jednotný informačný systém kybernetickej bezpečnosti,
6.súčinnosť a výmenu informácií,
c)organizáciu a pôsobnosť jednotiek pre riešenie kybernetických bezpečnostných incidentov (ďalej len „jednotka CSIRT“) a ich akreditáciu,
d)audit kybernetickej bezpečnosti a dohľad nad plnením povinností prevádzkovateľa základnej služby podľa tohto zákona alebo povinností uložených na základe tohto zákona (ďalej len „dohľad“).“.
§ 2
Pôsobnosť zákona
2
(1)Tento zákon sa vzťahuje na informačné systémy zriadené a prevádzkované v pôsobnosti Ministerstva obrany Slovenskej republiky v rozsahu určenom ústredným orgánom spôsobom podľa § 33 ods. 5.
(2)Ak ide o osobu, ktorá poskytuje službu DNS, službu registrácie názvu domény, službu cloud computingu, službu dátového centra, sieť na sprístupňovanie obsahu, riadenú službu, bezpečnostnú službu, službu online trhu, službu internetového vyhľadávača alebo platformu služieb sociálnej siete, možno ju zapísať do registra prevádzkovateľov základnej služby a tento zákon sa na ňu vzťahuje aj vtedy, ak nemá trvalý pobyt, miesto podnikania alebo sídlo na území Slovenskej republiky,
a) trvalý pobyt, miesto podnikania alebo sídlo v členskom štáte Európskej únie alebo štáte, ktorý je zmluvnou stranou Dohody o Európskom hospodárskom priestore (ďalej len „členský štát Európskej únie“) a na území Slovenskej republiky
1.najčastejšie prijíma rozhodnutia týkajúce sa bezpečnostných opatrení na riadenie rizík,
2.vykonáva opatrenia s cieľom zachovania kybernetickej bezpečnosti, ak nemožno určiť trvalý pobyt, miesto podnikania alebo sídlo podľa písmena a),
3. prevádzkareň s najvyšším počtom zamestnancov spomedzi prevádzkarní umiestnených v členských štátoch Európskej únie,
b)nemá trvalý pobyt, miesto podnikania alebo sídlo v členskom štáte Európskej únie a
1. trvalý pobyt, miesto podnikania alebo sídlo na území Slovenskej republiky jej zástupca podľa § 21 ods. 1,
2.vzťahuje sa na ňu povinnosť podľa § 21 ods. 1, ale nemá určeného zástupcu s trvalým pobytom, miestom podnikania alebo sídlom v Slovenskej republike alebo v inom členskom štáte Európskej únie podľa § 21 ods. 1.
(3)Tento zákon sa nevzťahuje na
a)požiadavky na zabezpečenie sietí a informačných systémov podľa všeobecného predpisu o ochrane utajovaných skutočností,
b)osobitné ustanovenia o úlohách a oprávneniach spravodajskej služby pri ochrane kybernetického priestoru podľa osobitného predpisu,1)
c)ustanovenia osobitných predpisov o vyšetrovaní, odhaľovaní a stíhaní trestných činov,2)
d)požiadavky na zabezpečenie sietí a informačných systémov v sektore bankovníctva, financií alebo finančného systému podľa osobitných predpisov,3) vrátane štandardov a zásad vydaných alebo prijatých Európskou centrálnou bankou, Európskym systémom centrálnych bánk, Eurosystémom alebo európskymi orgánmi dohľadu,4) ako aj dohľad a kontrolu plnenia týchto požiadaviek a ani na platobné systémy a na systémy zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom podľa osobitných predpisov.5)“.
Poznámky pod čiarou k odkazom 1 a 3 znejú:
1) § 2 ods. 1 písm. g), ods. 3 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení zákona č. 151/2010 Z. z.
§ 4 ods. 3, § 5 ods. 1 písm. c) a h) a § 7 zákona č. 500/2022 Z. z. o Vojenskom spravodajstve.
Zákon č. 319/2002 Z. z. o obrane Slovenskej republiky v znení neskorších predpisov.
3) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. L 333, 27.12.2022).“.
Poznámky pod čiarou k odkazom 6 a 7 sa vypúšťajú.
2.V § 3 písmeno f) znie:
„f) dostupnosťou záruka, že údaj alebo poskytovaná služba pre používateľa, informačný systém, sieť alebo zariadenie prístupné vo chvíli, keď sú potrebné a požadované,“.
3.V § 3 písm. g) sa slovo „informácie“ nahrádza slovom „údaja“.
3
4.V § 3 písmená i) a j) znejú:
„i) rizikom potenciál straty alebo narušenia v dôsledku kybernetického bezpečnostného incidentu vyjadrený ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu kybernetického bezpečnostného incidentu,
j) kybernetickou hrozbou kybernetická hrozba podľa čl. 2 bodu 8 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019) (ďalej len „nariadenie (EÚ) 2019/881“),“.
5.V § 3 sa za písmeno j) vkladajú nové písmená k) a l), ktoré znejú:
„k) významnou kybernetickou hrozbou kybernetická hrozba, o ktorej možno na základe jej technických charakteristík predpokladať, že potenciál spôsobiť závažný kybernetický bezpečnostný incident alebo môže mať iný závažný vplyv na sieť a informačný systém subjektu alebo používateľov služieb subjektu tým, že spôsobí značnú škodu,9)
l) kybernetickou krízou obdobie, počas ktorého bezprostredne hrozí vznik rozsiahleho kybernetického bezpečnostného incidentu alebo trvá rozsiahly kybernetický bezpečnostný incident, “.
Poznámka pod čiarou k odkazu 9 znie:
9) § 125 ods. 1 Trestného zákona.“.
Doterajšie písmená k) až p) sa označujú ako písmená m) až r).
6.V § 3 písmená m) až r) znejú:
„m)kybernetickým bezpečnostným incidentom udalosť ohrozujúca dostupnosť, pravosť, integritu
alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom sietí a informačných systémov,
n)rozsiahlym kybernetickým bezpečnostným incidentom kybernetický bezpečnostný incident, ktorý spôsobí následky na úrovni presahujúcej schopnosť Slovenskej republiky naň reagovať, alebo ktorý má významný vplyv aspoň na dva členské štáty Európskej únie,
o)riešením kybernetického bezpečnostného incidentu aktivita a postup zamerané na
prevenciu, odhaľovanie, analýzu a obmedzovanie kybernetického bezpečnostného incidentu alebo na reakciu naň a zotavenie z neho,
p)udalosťou odvrátenou v poslednej chvíli udalosť, ktorá by mohla ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ale ktorej vzniku sa úspešne zabránilo alebo ku ktorej nedošlo,
q)zraniteľnosťou akýkoľvek nežiaduci stav alebo chyba technického prostriedku alebo programového prostriedku, alebo nedostatok procesu vrátane nesprávnej bezpečnostnej konfigurácie, ktorá môže byť zneužitá kybernetickou hrozbou,
r)produktom IKT produkt IKT podľa čl. 2 ods. 12 nariadenia (EÚ) 2019/881.“.
7.§ 3 sa dopĺňa písmenami s) až ac), ktoré znejú:
„s) službou IKT služba IKT podľa čl. 2 ods. 13 nariadenia (EÚ) 2019/881,
t)procesom IKT proces IKT podľa čl. 2 ods. 14 nariadenia (EÚ) 2019/881,
u)európskym certifikátom kybernetickej bezpečnosti európsky certifikát kybernetickej bezpečnosti podľa čl. 2 ods. 11 nariadenia (EÚ) 2019/881,
v)správcom TLD osoba, ktorej bola pridelená osobitná doména najvyššej úrovne (TLD) a ktorá je zodpovedná za správu TLD vrátane registrácie názvov domén v rámci TLD a za technickú prevádzku TLD vrátane prevádzky názvových serverov, údržby jeho databáz a distribúcie súborov zóny TLD v rámci názvových serverov bez ohľadu na to, či ktorúkoľvek z týchto operácií vykonáva sama alebo prostredníctvom inej osoby,
4
w)službou DNS hierarchický distribuovaný systém názvov, ktorý umožňuje identifikáciu internetových služieb a zdrojov a to, aby zariadenia koncových používateľov používali služby smerovania internetu a pripojenia na účely prístupu k týmto službám a zdrojom,
x)službou registrácie názvu domény služba, ktorú vykonáva registrátor alebo zástupca konajúci v mene registrátora, ktorej cieľom je vznik práva na využívanie domény druhej úrovne držiteľom domény v dohodnutom rozsahu, na dohodnuté časové obdobie a za dohodnutých podmienok,
y)kľúčovou službou služba pre zachovanie dôležitých spoločenských oblastí alebo hospodárskych činností, pri ktorej dopad kybernetického bezpečnostného incidentu v informačnom systéme alebo v sieti, na ktorých fungovaní je závislé poskytovanie služby, môže spôsobiť
1.ohrozenie dostupnosti, pravosti, integrity alebo dôvernosti uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ktoré postihuje viac ako 25 000 osôb,
2.obmedzenie alebo narušenie kritického subjektu, jeho základnej služby alebo kritickej infraštruktúry,
3.hospodársku stratu vyššiu ako 0,1 % hrubého domáceho produktu podľa údajov z bezprostredne predchádzajúceho rozpočtového roka, alebo
4.hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 eur,
z)významným vplyvom na verejný poriadok, bezpečnosť alebo verejné zdravie vplyv, pri ktorom dopad kybernetického bezpečnostného incidentu v informačnom systéme alebo v sieti, na ktorých fungovaní je závislé poskytovanie služby, môže spôsobiť narušenie verejného poriadku, bezpečnosti, ohrozenie verejného zdravia, mimoriadnu udalosť alebo tieseň, ktorá môže
1.vyžadovať vykonanie záchranných prác alebo výkon činností a opatrení súvisiacich s poskytovaním pomoci v tiesni,
2.spôsobiť viac ako 100 zranených osôb vyžadujúcich lekárske ošetrenie alebo úmrtie aspoň jednej osoby,
aa)významným systémovým rizikom riziko narušenia systému, ktoré môže mať závažné negatívne dôsledky alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti, a tým ohrozuje život alebo zdravie osôb, hospodárske fungovanie štátu, verejný poriadok, bezpečnosť alebo majetok osôb, alebo ohrozuje bezpečnostné záujmy Slovenskej republiky,
ab) osobou, ktorá je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej kritická osoba, ktorej narušenie z dôvodu kybernetického bezpečnostného incidentu môže vyžadovať vykonanie záchranných prác alebo výkon činností a opatrení súvisiacich s poskytovaním pomoci v tiesni,
ac) technickou špecifikáciou technická špecifikácia podľa čl. 2 bodu 4 nariadenia Európskeho parlamentu a Rady (EÚ) č. 1025/2012 z 25. októbra 2012 o európskej normalizácii, ktorým sa menia a dopĺňajú smernice Rady 89/686/EHS a 93/15/EHS a smernice Európskeho parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES a ktorým sa zrušuje rozhodnutie Rady 87/95/EHS a rozhodnutie Európskeho parlamentu a Rady č. 1673/2006/ES (Ú. v. L 316, 14. 11. 2012) v platnom znení.“.
8.Doterajší text § 3 sa označuje ako odsek 1 a dopĺňa sa odsekom 2, ktorý znie:
„(2) Prevádzkovateľom základnej služby je ten, kto je zapísaný v registri prevádzkovateľov základnej služby.“.
9.V § 4 úvodnej vete sa slovo „vykonáva“ nahrádza slovom „vykonávajú“.
10.V § 4 písm. b) sa vypúšťajú slová „a výstavby“, za slovami „Ministerstvo životného prostredia Slovenskej republiky“ sa slovo „a“ nahrádza čiarkou a za slová „Ministerstvo investícií,
5
regionálneho rozvoja a informatizácie Slovenskej republiky“ sa vkladajú slová „a Správa štátnych hmotných rezerv Slovenskej republiky“.
11.V § 5 ods. 1 písm. d) sa za slová „v Slovenskej republike“ vkladajú slová „a národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy, je orgánom pre riadenie kybernetických kríz a plní úlohu národného koordinátora riadenia rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz,“.
12.V § 5 ods. 1 písm. e) sa za slová „je národným kontaktným miestom pre kybernetickú bezpečnosť“ vkladá čiarka a slová „pre vnútroštátnu spoluprácu a“ a vypúšťajú sa slová „a Organizácie Severoatlantickej zmluvy“.
13.V § 5 ods. 1 písm. f) a h) sa vypúšťajú slová „a Organizácie Severoatlantickej zmluvy“.
14.V § 5 ods. 1 písm. i) sa slová „poskytovateľmi digitálnych služieb“ nahrádzajú slovami „s vedeckými inštitúciami a akademickými inštitúciami“.
15.V § 5 ods. 1 písmená k) a l) znejú:
„k)koná vo veci určenia subjektu ako prevádzkovateľa základnej služby a jeho zápisu do registra prevádzkovateľov základnej služby,
l)vedie a spravuje
1.register prevádzkovateľov základnej služby,
2.zoznam akreditovaných jednotiek CSIRT,
3.zoznam autorizovaných orgánov posudzovania zhody,
4.zoznam vydaných európskych certifikátov kybernetickej bezpečnosti,
5.zoznam notifikovaných osôb akreditovaných v rozsahu schémy certifikácie kybernetickej bezpečnosti podľa čl. 49 nariadenia (EÚ) 2019/881,“.
16.V § 5 ods. 1 písmeno o) znie:
„o) určuje ústredný orgán pre sektor podľa prílohy č. 1 alebo prílohy č. 2 v súlade s oblasťami jeho pôsobnosti podľa osobitného predpisu10aaa) a plní úlohy ústredného orgánu pre typ subjektu podľa prílohy č. 1 a prílohy č. 2,“.
Poznámka pod čiarou k odkazu 10aaa) znie:
10aaa) Zákon č. 575/2001 Z. z. v znení neskorších predpisov.“.
17.V § 5 ods. 1 písm. r) sa za slovo „zasiela“ vkladajú slová „a vyhlasuje“ a na konci sa dopĺňajú slová „výstrahy alebo vyhlasuje stav kybernetickej krízy,“.
18.V § 5 ods. 1 písmeno s) znie:
„s) prijíma vnútroštátne hlásenia o kybernetických bezpečnostných incidentoch, kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli a o zraniteľnostiach,“.
19.V § 5 ods. 1 písm. t) sa za slová „o kybernetických bezpečnostných incidentoch“ vkladá čiarka a slová „ kybernetických hrozbách a zraniteľnostiach“.
20.V § 5 ods. 1 písmeno u) znie:
„u) vykonáva dohľad,“
21.V § 5 ods. 1 písm. w) sa slová „vedy, výskumu a športu“ nahrádzajú slovami „výskumu, vývoja a mládeže“.
22.Poznámka pod čiarou k odkazu 10aa znie:
10aa) Čl. 58, 60 ods. 2 a 61 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii
6
kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019).“.
23.V § 5 ods. 1 písmeno aa) znie:
„aa) vykonáva kontrolu a dozor podľa čl. 58 ods. 7 písm. a) a b) nariadenia (EÚ) 2019/881 a prijíma opatrenia podľa čl. 58 ods. 8 písm. c) nariadenia (EÚ) 2019/881,“.
24.V § 5 ods. 1 sa vypúšťa písmeno ac).
Doterajšie písmená ad) až ag) sa označujú ako písmená ac) až af).
25.§ 5a vrátane nadpisu znie:
„§ 5a
Systém certifikácie kybernetickej bezpečnosti
(1)Systémom certifikácie kybernetickej bezpečnosti je súbor pravidiel a postupov na riadenie jednotlivých schém certifikácie kybernetickej bezpečnosti.
(2)Schéma certifikácie kybernetickej bezpečnosti je súbor pravidiel, technických požiadaviek, technických noriem a postupov, ktoré sa uplatňujú na certifikáciu alebo posudzovanie zhody konkrétnych produktov IKT, služieb IKT alebo procesov IKT.
(3)Certifikáciu kybernetickej bezpečnosti pre úrovne záruky základná, významná a vysoká podľa osobitého predpisu10b) vykonáva len akreditovaná osoba.10c) Akreditovanou osobou pre certifikáciu kybernetickej bezpečnosti pre úroveň záruky vysoká10d) môže byť len úrad.10e)“.
Poznámky pod čiarou k odkazom 10b až 10e znejú:
10b) Čl. 52 nariadenia (EÚ) 2019/881.
10c) Čl. 60 nariadenia (EÚ) 2019/881.
§ 19 ods. 2 zákona č. 53/2023 Z. z. o akreditácii orgánov posudzovania zhody.
10d) Čl. 52 ods. 7 nariadenia (EÚ) 2019/881.
10e) Čl. 56 ods. 6 nariadenia (EÚ) 2019/881.“.
26.V § 6 ods. 1 sa slová „a digitálne služby“ nahrádzajú slovami „alebo v prílohe č. 2“.
27.§ 6 sa dopĺňa odsekmi 5 až 8, ktoré znejú:
„(5) Úrad prostredníctvom národnej jednotky CSIRT na účely zverejňovania zraniteľností alebo zamedzenia ich zneužitia plní úlohu koordinátora vo veciach komunikácie o zistených alebo nahlásených zraniteľnostiach medzi prevádzkovateľom základnej služby, výrobcom alebo dodávateľom produktu IKT alebo služby IKT a inými dotknutými osobami. Na účely podľa prvej vety úrad prostredníctvom národnej jednotky CSIRT
a)identifikuje a kontaktuje dotknuté osoby,
b)komunikuje o zraniteľnosti s výrobcom alebo poskytovateľom produktu IKT alebo služby IKT,
c)oznamuje prevádzkovateľovi základnej služby zraniteľnosť, ktorá sa ho týka a odporučí mu opatrenia na zamedzenie jej zneužiteľnosti; opatrenia na úseku kontroly a riešenia kybernetických bezpečnostných incidentov tým nie sú dotknuté,
d)poskytuje pomoc osobám oznamujúcim zraniteľnosti,
e)riadi zverejňovanie zraniteľností.
(6)Úrad zabezpečí, aby bolo možné oznamovať zraniteľnosti aj prostredníctvom jednotného informačného systému kybernetickej bezpečnosti, vrátane anonymných oznámení a na žiadosť oznamovateľa zabezpečí zachovanie jeho anonymity vo vzťahu k oznámeným skutočnostiam.
(7)Ak ide o zraniteľnosť týkajúcu sa služby, ku ktorej vykonáva služby jednotka CSIRT v inom členskom štáte Európskej únie, postúpi úrad oznámenie o zraniteľnosti tejto jednotke CSIRT a informuje o tom oznamovateľa.
7
(8)Úrad prostredníctvom národnej jednotky CSIRT vykonáva neinvazívne zisťovanie a hodnotenie zraniteľností verejne prístupnej siete a informačného systému v kybernetickom priestore Slovenskej republiky, ktoré nemá negatívny vplyv na tieto siete a informačné systémy, ako ani na služby, ktoré poskytujú a činnosti, ktoré zabezpečujú.“.
28.§ 7 vrátane nadpisu znie:
„§ 7
Národná stratégia kybernetickej bezpečnosti a národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy
(1)Národná stratégia kybernetickej bezpečnosti je východiskový strategický dokument, ktorý komplexne určuje strategický prístup Slovenskej republiky k zabezpečeniu vysokej úrovne kybernetickej bezpečnosti. Súčasťou národnej stratégie kybernetickej bezpečnosti politiky a národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy, ktorý je konkrétnym plánom čiastkových úloh a zdrojov.
(2)Národná stratégia kybernetickej bezpečnosti obsahuje najmä
a)ciele a priority,
b)rámec riadenia na dosiahnutie cieľov a priorít,
c)rámec riadenia na objasnenie úloh a povinností zainteresovaných osôb na vnútroštátnej úrovni a ich zoznam,
d)mechanizmus na identifikáciu relevantných prostriedkov a hodnotenie rizík,
e)identifikáciu opatrení na zabezpečenie pripravenosti a schopnosti reakcie na kybernetické hrozby, zraniteľnosti a kybernetické bezpečnostné incidenty a zotavenia z nich vrátane spolupráce medzi verejným sektorom a súkromným sektorom,
f)rámec pre posilnenú koordináciu medzi príslušnými orgánmi podľa tohto zákona za účelom výmeny informácií o rizikách, kybernetických hrozbách a kybernetických bezpečnostných incidentoch,
g)plán vrátane potrebných opatrení na zvýšenie všeobecnej úrovne informovanosti občanov Slovenskej republiky o kybernetickej bezpečnosti.
(3)V rámci národnej stratégie kybernetickej bezpečnosti sa prijímajú politiky najmä na zabezpečenie
a)kybernetickej bezpečnosti v dodávateľskom reťazci produktov IKT a služieb IKT,
b)zohľadňovania požiadaviek na kybernetickú bezpečnosť produktov IKT a služieb IKT vo verejnom obstarávaní, a to aj ak ide o certifikáciu kybernetickej bezpečnosti, kryptografické opatrenia a využívanie produktov s otvoreným zdrojovým kódom,
c)riadenia zraniteľností vrátane podpory a sprostredkovania koordinovaného zverejňovania zraniteľností,
d)udržania všeobecnej dostupnosti, integrity a dôvernosti základných komunikačných protokolov a infraštruktúry otvoreného internetu,
e)podpory vývoja a integrácie pokročilých technológií so zámerom implementovať najmodernejšie opatrenia na riadenie rizík,
f)podpory a rozvoja vzdelávania a odbornej prípravy v oblasti kybernetickej bezpečnosti, kvalifikácií v oblasti kybernetickej bezpečnosti, zvyšovania informovanosti a výskumných a vývojových iniciatív v oblasti kybernetickej bezpečnosti, ako aj usmernenia o správnych postupoch a kontrolách bezpečnostného vzdelávania a získavania vedomostí a zručností, zamerané na občanov Slovenskej republiky a iné zainteresované osoby,
g)podpory akademických inštitúcií a výskumných inštitúcií pri vývoji, zlepšovaní a zavádzaní nástrojov kybernetickej bezpečnosti a bezpečnej sieťovej infraštruktúry,
h)postupov a vhodných nástrojov zdieľania informácií na podporu dobrovoľného zdieľania informácií o kybernetickej bezpečnosti medzi prevádzkovateľmi základnej služby a inými osobami, pri dodržaní podmienok ich zdieľania,
i)posilnenia kybernetickej bezpečnosti a schopnosti identifikovať a odvrátiť kybernetickú hrozbu a obnoviť pôvodný stav po kybernetickom bezpečnostnom incidente,
j)podpory aktívnej kybernetickej ochrany.
8
(4)Ústredný orgán a iný orgán štátnej správy spolupracujú s úradom na vypracovaní národnej stratégie kybernetickej bezpečnosti a na tento účel povinné poskytnúť úradu informácie v potrebnom rozsahu.
(5)Národnú stratégiu kybernetickej bezpečnosti schvaľuje vláda Slovenskej republiky na návrh úradu, na obdobie piatich rokov.
(6)Národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy je strategický dokument, ktorý určuje ciele a spôsoby riadenia rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz a obsahuje najmä
a)ciele, prípravu a opatrenia v oblasti pripravenosti na vznik rozsiahleho kybernetického bezpečnostného incidentu a kybernetickej krízy,
b)úlohy orgánov krízového riadenia pri riadení kybernetických kríz v rozsahu ich oprávnení podľa osobitných predpisov,
c)postupy riadenia kybernetických kríz vrátane ich začlenenia do krízového riadenia mimo času vojny a vojnového stavu a postupy a spôsob výmeny informácií,
d)identifikáciu príslušných dotknutých osôb a potrebnej infraštruktúry a iných zdrojov,
e)opatrenia a úlohy na účely zabezpečenia účinnej účasti na koordinovanom riadení rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz na úrovni Európskej únie, ako aj podporu tohto riadenia.
(7)Národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy a jeho zmenu schvaľuje vláda Slovenskej republiky na návrh úradu.
(8)Ústredný orgán a iný orgán štátnej správy spolupracujú s úradom na vypracovaní národného plánu reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy a na tento účel sú povinné poskytnúť úradu informácie v potrebnom rozsahu.“.
29.V § 8 odseky 2 a 3 znejú:
„(2) Jednotný informačný systém kybernetickej bezpečnosti obsahuje komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálny systém včasného varovania. Jednotný informačný systém pozostáva z verejnej časti a neverejnej časti a prístup k nemu je bezodplatný. Verejná časť jednotného informačného systému kybernetickej bezpečnosti obsahuje
a) register ústredných orgánov,
b)register prevádzkovateľov základnej služby,
c)zoznam akreditovaných jednotiek CSIRT,
d)metodiky, usmernenia, štandardy, politiky a oznamy,
e)informácie potrebné na používanie jednotného informačného systému kybernetickej bezpečnosti,
f)výstrahy, varovania a ďalšie informácie slúžiace na minimalizovanie, odvrátenie alebo nápravu následkov kybernetického bezpečnostného incidentu,
g)nástroj na registráciu zmien, hlásenie zmien a ostatné súvisiace nástroje.
(3)Komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov je komunikačný systém, ktorým sa zabezpečuje
a)hlásenia podľa § 24,
b)systematické získavanie, sústreďovanie, analyzovanie a vyhodnocovanie informácií o kybernetických bezpečnostných incidentoch,
c)komunikácia medzi národnou jednotkou CSIRT, vládnou jednotkou CSIRT a akreditovanými jednotkami CSIRT v Slovenskej republike a takýmito jednotkami CSIRT v inom členskom štáte Európskej únie, vrátane výmeny informácií a údajov potrebných na účinnú spoluprácu pri zabezpečovaní ich úloh v oblasti kybernetickej bezpečnosti.“.
30.V § 8 ods. 4 20 ods. 5 písm. e) sa slovo „hrozba“ vo všetkých tvaroch nahrádza slovami „kybernetická hrozba“ v príslušnom tvare.
31.V § 8 ods. 5 písm. c) sa vypúšťajú slová „a poskytovateľ digitálnej služby“.
9
32.V § 9 ods. 1 a 2, § 10a ods. 1, § 15 ods. 1 a § 32 ods. 2 sa za slová „podľa prílohy č. 1“ vkladajú slová „alebo prílohy č. 2“.
33.V § 9 ods. 1 sa vypúšťa písmeno e).
Doterajšie písmená f) a g) sa označujú ako e) a f).
34.V § 9 ods. 1 písmeno e) sa slová „základnú službu a“ a slová „zoznamu základných služieb a“ vypúšťajú.
35.V § 10 sa čiarka za slovom „systémov“, slová „ktoré nie základnou službou“ a slová „a ústredný orgán“ vypúšťajú.
36.V § 12 ods. 3 sa vypúšťajú slová „a poskytovateľa digitálnej služby“.
37.V § 12 ods. 4 sa za slovo „varovania“ vkladajú slová „alebo stavu kybernetickej krízy“.
38.V § 12 ods. 5 sa vypúšťajú slová „poskytovateľom digitálnej služby,“ a slovo „ich“ sa nahrádza slovom „jeho“.
39.V § 15 ods. 2 písm. d) sa za slovo „evidenciou“ vkladajú slová „zraniteľností, kybernetických hrozieb, kybernetických kríz a“.
40.V § 15 sa odsek 2 dopĺňa písmenami h) až l), ktoré znejú:
„h)poskytovaním pomoci s monitorovaním siete a informačného systému alebo vykonávaním takéhoto monitorovania po dohode so správcom siete alebo prevádzkovateľom siete alebo prevádzkovateľom informačného systému,
i)vykonávaním neinvazívneho zisťovania a hodnotenia zraniteľností verejne prístupnej siete a informačného systému v rozsahu pôsobnosti jednotky CSIRT podľa odseku 1, ktoré nemá negatívny vplyv na tieto siete a informačné systémy, ako ani na služby, ktoré poskytujú a činnosti, ktoré zabezpečujú,
j)vykonávaním hodnotenia zraniteľností, ktoré boli zistené podľa písmena h), po dohode so správcom siete alebo prevádzkovateľom siete alebo prevádzkovateľom informačného systému,
k)spoluprácou s národnou jednotkou CSIRT a inými jednotkami CSIRT,
l)využívaním podnetov, skúseností a spolupráce s osobami pôsobiacimi v oblasti kybernetickej bezpečnosti.“.
41.V § 15 ods. 4 sa vypúšťajú slová „alebo poskytovateľa digitálnej služby“.
42.§ 15 sa dopĺňa odsekom 5, ktorý znie:
„(5) Ten, kto plní úlohy jednotky CSIRT, môže určovať spôsob, rozsah a priorizáciu prostriedkov a zdrojov pri poskytovaní preventívnych služieb a reaktívnych služieb prostredníctvom objektívnych kritérií založených na analýze rizík zraniteľností, kybernetických hrozieb, kybernetických kríz a kybernetických bezpečnostných incidentov.“.
43.§ 16 sa dopĺňa odsekom 4, ktorý znie:
„(4) Ten, kto plní úlohy jednotky CSIRT, zabezpečuje spoluprácu s úradom, príslušným ústredným orgánom a ostatnými jednotkami CSIRT, ako aj s jednotkami CSIRT z iných členských štátov Európskej únie a účasť na partnerských preskúmaniach organizovaných v rámci spolupráce medzi členskými štátmi Európskej únie, Európskou komisiou a Agentúrou Európskej únie pre kybernetickú bezpečnosť.“.
44.§ 17 a 18 vrátane nadpisov znejú:
„§ 17
10
Prevádzkovateľ základnej služby
(1)Do registra prevádzkovateľov základnej služby sa zapisuje
a)ústredný orgán štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou,
b)kritický subjekt,
c)osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
1.je podnikom poskytujúcim verejnú elektronickú komunikačnú sieť alebo verejnú elektronickú komunikačnú službu,
2.je poskytovateľom dôveryhodnej služby,
3.je správcom TLD,
4.poskytuje službu DNS,
5.je v Slovenskej republike jediným poskytovateľom služby, ktorá je kľúčovou službou,
6.poskytuje službu, ktorej narušenie by mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
7.poskytuje službu alebo také postavenie, že narušenie poskytovania služby alebo zásah do postavenia by mohli vyvolať významné systémové riziko pre celý sektor vykonávanej činnosti, najmä ak by takéto riziko mohlo mať cezhraničný vplyv,
8.je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritická pre konkrétny sektor, alebo
9.je subjektom hospodárskej mobilizácie, ktorému bolo uložené opatrenie podľa osobitného predpisu,23)
d)štátny orgán vykonávajúci pôsobnosť v najmenej dvoch okresoch a vyšší územný celok, ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie; ustanovenie písmena a) tým nie je dotknuté,
e)osoba, ktorá spĺňa najmenej podmienky veľkosti pre stredný podnik a vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2,
f)mesto, ak by narušenie výkonu jeho pôsobnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
g)správca informačnej technológie verejnej správy23a),
h)osoba, ktorá poskytuje službu registrácie názvu domény bez ohľadu na splnenie podmienok veľkosti pre stredný podnik alebo
i)tretia strana, ktorá významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, a uzatvorenú zmluvu s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu.
(2)Ten, kto vykonáva činnosť podľa odseku 1 je povinný do 60 dní odo dňa, kedy činnosť začne vykonávať, oznámiť to úradu. Oznámenie podľa predchádzajúcej vety musí obsahovať
a)názov, sídlo a kontaktné údaje vrátane elektronických adries, verejných IP adries a telefónnych čísel,
b)zoznam členských štátov Európskej únie, v ktorých vykonáva činnosť alebo poskytuje službu,
c)názov, sídlo a kontaktné údaje zástupcu podľa § 21 ods. 1.
(3)Úrad zapíše do registra prevádzkovateľov základnej služby osobu podľa odseku 1
a)po predchádzajúcej konzultácii s príslušným ústredným orgánom, a to z vlastnej iniciatívy alebo na základe odôvodnenej žiadosti osoby podľa odseku 1, alebo
b)na návrh príslušného ústredného orgánu.
(4)Zápis do registra prevádzkovateľov základnej služby oznámi úrad bezodkladne prevádzkovateľovi základnej služby prostredníctvom jednotného informačného systému kybernetickej bezpečnosti a doručí do elektronickej schránky podľa osobitného predpisu; 23b) osobitné rozhodnutie sa nevydáva.
(5)Práva a povinnosti prevádzkovateľa základnej služby vznikajú prevádzkovateľovi základnej služby dňom uvedeným v oznámení o zápise do registra prevádzkovateľov základnej služby, najskôr však tridsiaty deň nasledujúci po dni tohto zápisu.
11
(6)Ak dôjde k zmene zapísaných skutočností, úrad vykoná zmenu v registri prevádzkovateľov základnej služby, a to aj bez návrhu. Prevádzkovateľ základnej služby je povinný každú zmenu zapísaných skutočností, ktorá nie je referenčným údajom, oznámiť najneskôr do 14 dní prostredníctvom jednotného informačného systému kybernetickej bezpečnosti úradu. Na vykonanie zmeny a povinnosť jej oznamovania sa primerane použijú odseky 3 až 5.
(7)Úrad môže vymazať prevádzkovateľa základnej služby z registra prevádzkovateľov základnej služby
a)na základe odôvodnenej žiadosti prevádzkovateľa základnej služby, po predchádzajúcej konzultácií s príslušným ústredným orgánom, najneskôr do 60 dní odo dňa doručenia odôvodnenej žiadosti,
b)na základe oznámenia ústredného orgánu, alebo
c)z vlastnej iniciatívy v odôvodnených prípadoch.
(8)Úrad o výmaze prevádzkovateľa základnej služby z registra prevádzkovateľov základnej služby informuje prevádzkovateľa základnej služby.
§ 18
Kritická základná služba
(1)Kritickou základnou službou je
a)výkon pôsobnosti ústredného orgánu štátnej správy10) alebo iného štátneho orgánu s celoštátnou pôsobnosťou,
b)činnosť v sektore podľa prílohy č. 1, okrem sektoru verejná správa, ak ju vykonáva osoba, ktorá presahuje podmienky veľkosti pre stredný podnik,
c)kvalifikovaná dôveryhodná služba,
d)správa TLD,
e)služba DNS,
f)poskytovanie verejnej elektronickej komunikačnej siete alebo verejnej elektronickej komunikačnej služby osobou, ktorá dosahuje najmenej podmienky veľkosti pre stredný podnik,
g)vykonávanie činnosti alebo existencia postavenia podľa § 17 ods. 1 písm. c) piateho deviateho bodu,
h)poskytovanie základnej služby kritickým subjektom, alebo
i)informačná činnosť a elektronické služby, vykonávané s použitím informačnej technológie verejnej správy,23a) určených úradom.
(2)Ak prevádzkovateľ základnej služby vykonáva aspoň jednu z kritických základných služieb, je prevádzkovateľom kritickej základnej služby a túto skutočnosť je povinný oznámiť úradu.
(3) Skutočnosť, že prevádzkovateľ základnej služby prevádzkuje kritickú základnú službu, ako aj každú zmenu v týchto skutočnostiach, zapíše úrad do registra prevádzkovateľov základnej služby; na toto oznámenie a spôsob zápisu, ako aj na povinnosť oznamovania zmien a na ich zápis sa primerane použije § 17 ods. 3.
Poznámky pod čiarou k odkazom 23 až 23b znejú:
23) Zákon č. 179/2011 Z. z. v znení neskorších predpisov.
23a) Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
23b) Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) v znení neskorších predpisov.“.
45.V § 19 odsek 1 znie:
„(1) Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základnej služby v závislosti od vykonanej analýzy rizík prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a vykonávať ich s cieľom zabezpečovania kybernetickej bezpečnosti a odolnosti. Na účely plnenia povinnosti podľa prvej vety prevádzkovateľ základnej služby prijíma, dodržiava a vykonáva sektorové bezpečnostné opatrenia, ak ustanovené;24) povinnosť prijímať opatrenia
12
podľa § 20 ods. 4 tým nie je dotknutá. Osoba poskytujúca niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2 plní bezpečnostné opatrenia.“.
Poznámka pod čiarou k odkazu 24 znie:
24) Napríklad nariadenie (EÚ) 2022/2554, zákon č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 95/2019 Z. z. v znení neskorších predpisov, vyhláška Úradu jadrového dozoru Slovenskej republiky č. 430/2011 Z. z. o požiadavkách na jadrovú bezpečnosť v znení vyhlášky č. 103/2016 Z. z.“.
46.V § 19 ods. 2 sa na konci pripájajú tieto vety:
„Tretia strana je počas trvania zmluvného vzťahu povinná vykonávať a realizovať bezpečnostné opatrenia v súlade s písomnou zmluvou a týmto zákonom a je povinná podrobiť sa kontrole plnenia týchto opatrení zo strany prevádzkovateľa základnej služby. Ak ide o zmluvu podľa prvej vety uzatvorenú s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu, kontrolu môže vykonávať aj úrad; na tento účel tretia strana postavenie prevádzkovateľa základnej služby. Uzatvorenie zmluvy podľa prvej vety nesmie brániť v hospodárskej súťaži.“.
47.V § 19 ods. 3 sa vypúšťajú slová „alebo poskytovateľom digitálnej služby“.
48.V § 19 sa odsek 6 dopĺňa písmenami f) až i), ktoré znejú:
„f) analyzovať závislosti svojich aktív, informačných systémov, využívaných produktov IKT a služieb IKT tretích strán v dodávateľskom reťazci a poskytovaných služieb s cieľom identifikovať možné dopady kybernetického bezpečnostného incidentu,
g)prijať, dodržiavať a vykonávať bezpečnostné opatrenia s prihliadnutím na bezpečnostné metodiky a politiky úradu, najnovšie bezpečnostné trendy, príklady dobrej praxe a medzinárodné normy,
h)vytvoriť a zaviesť účinný mechanizmus včasného informovania štatutárneho orgánu a zodpovedných vedúcich zamestnancov o kybernetických hrozbách, zraniteľnostiach, kybernetických bezpečnostných incidentoch, udalostiach odvrátených v poslednej chvíli, možných dopadoch kybernetických bezpečnostných incidentov, výsledkoch analýzy rizík a stavu implementácie ošetrenia rizík s cieľom dodržiavania tohto zákona,
i)oznamovať úradu menovanie alebo zmenu štatutárneho orgánu, ak táto zmena nie je referenčným údajom.“.
49.V § 19 ods. 7 sa slová „v údajoch podľa § 17 ods. 4“ nahrádzajú slovami „v zapísaných údajoch, okrem referenčných údajov“, na konci sa pripájajú tieto slová: „a ak prevádzkovateľ základnej služby prevádzkuje kritickú základnú službu, je povinný hlásiť úradu aj informáciu o uzatvorení zmluvy s treťou stranou o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností, ktorá významný vplyv pri zabezpečovaní kybernetickej bezpečnosti a aj informáciu o jej ukončení“ a táto veta: „Úrad vykoná zmenu v registri prevádzkovateľov základnej služby, a to aj bez návrhu.“.
50.V § 19 ods. 8 sa slová „kontinuity základnej služby“ nahrádzajú slovami „kontinuity činnosti“.
51.V § 20 odseky 1 až 3 znejú:
„(1) Bezpečnostnými opatreniami na účely tohto zákona úlohy, procesy, role a technológie v organizačnej, personálnej, fyzickej a technologickej oblasti, ktorých cieľom je dosiahnutie, zaručenie a udržanie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov a operačných technológií. Bezpečnostné opatrenia realizované na základe vykonanej analýzy rizík a s prihliadnutím na bezpečnostné metodiky a politiky úradu, najnovšie bezpečnostné trendy a medzinárodné normy a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti a prijímajú sa s cieľom
a)identifikovať zraniteľnosti, kybernetické hrozby a riziká,
13
b)chrániť preventívne informačné aktíva pred kybernetickou hrozbou a zabrániť vzniku kybernetického bezpečnostného incidentu,
c)detegovať kybernetické bezpečnostné incidenty,
d)reagovať na identifikované zraniteľnosti a kybernetické bezpečnostné incidenty a minimalizovať ich vplyv na siete a informačné systémy a
e)obnoviť siete a informačné systémy, napraviť negatívne dopady po vzniku kybernetického bezpečnostného incidentu a uviesť poskytované služby do stavu plynulého a nerušeného poskytovania.
(2)Bezpečnostné opatrenia sa prijímajú aspoň pre
a)organizáciu a riadenie informačnej bezpečnosti a kybernetickej bezpečnosti,
b)správu zraniteľností a kybernetických hrozieb,
c)správu aktív a riadenie kybernetických hrozieb a rizík,
d)riadenie udalostí a kybernetických bezpečnostných incidentov,
e)riadenie kontinuity činností, zálohovanie, obnovu systémov po havárii a krízové riadenie,
f)bezpečnosť pri nadobúdaní, vývoji a údržbe siete, informačných systémov, aplikácií a konfigurácií,
g)postupy posudzovania účinnosti opatrení, riadenie súladu a kontrolné činnosti,
h)kryptografické opatrenia a zásady používania kryptografie,
i)bezpečnosť a spôsobilosti ľudských zdrojov,
j)správu identít a prístupov,
k)bezpečnosť pri prevádzke sietí a informačných systémov,
l)ochranu proti škodlivému kódu a nežiaducemu obsahu,
m)systémovú bezpečnosť, sieťovú bezpečnosť a komunikačnú bezpečnosť,
n)monitorovanie, zaznamenávanie a hlásenie udalostí,
o)fyzickú bezpečnosť, bezpečnosť prostredia a správu koncových zariadení,
p)ochranu záznamov, súkromia a označovanie informácií,
q)dodávateľský reťazec,
r)obstarávanie a využívanie certifikovaných produktov IKT, služieb IKT a procesov IKT.
(3) Bezpečnostné opatrenia sa prijímajú a realizujú v rozsahu a spôsobom podľa § 32 ods. 1 písm. b) alebo osobitného predpisu24), ak je vydaný, a na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.“.
52.V § 20 sa odsek 4 dopĺňa písmenami g) až i), ktoré znejú:
„g) určenie a pridelenie úloh, rolí a zodpovednosti podľa podmienok prevádzkovateľa základnej služby a zabezpečenie primeraného vzdelávania a preškoľovania pre všetky zavedené roly,
h)určenie konkrétnej osoby alebo konkrétnych osôb zodpovedných za schvaľovanie bezpečnostných opatrení, dohľad, kontrolu a audit, zabezpečenie primeranosti zdrojov na riadenie kybernetickej bezpečnosti a za vzdelávanie,
i)vzdelávanie a budovanie bezpečnostného povedomia v oblasti kybernetickej bezpečnosti.“.
53.V § 20 sa vypúšťa odsek 6.
Doterajší odsek 7 sa označuje ako odsek 6.
54.§ 21 a 22 vrátane nadpisu nad § 21 znejú:
„Osobitné povinnosti
§ 21
(1)Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2 , alebo o osobu, ktorá je treťou stranou, ktorá nemá trvalý pobyt, miesto podnikania alebo sídlo na území členského štátu Európskej únie a poskytuje tieto služby alebo vykonáva tieto činnosti na území Slovenskej republiky, je povinná mať počas celej doby poskytovania týchto služieb alebo vykonávania týchto činností určeného zástupcu s trvalým pobytom, miestom podnikania alebo sídlom na území Slovenskej republiky alebo na území iného
14
členského štátu Európskej únie, v ktorom tiež poskytuje tieto služby alebo vykonáva tieto činnosti.
(2)Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2, na ktorú sa vzťahuje pôsobnosť tohto zákona a ktorej siete a informačné systémy sa nachádzajú v inom členskom štáte Európskej únie, úrad pri výkone svojej pôsobnosti podľa tohto zákona spolupracuje s príslušným orgánom členského štátu Európskej únie.
(3)Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2, na ktorú sa vzťahuje pôsobnosť tohto zákona, je povinná písomne oznámiť na výzvu úradu prostredníctvom jednotného informačného systému kybernetickej bezpečnosti každú zmenu, bezodkladne najneskôr do troch mesiacov odo dňa zmeny, niektorého z týchto údajov
a)názov,
b)zaradenie podľa prílohy č. 1 alebo prílohy č. 2,
c)adresu prevádzkarne, kde sa vykonáva niektorá z činností podľa § § 2 ods. 2 a adresu každej prevádzkarne zriadenej na základe zákona na území členského štátu Európskej únie,
d)adresu sídla, trvalého pobytu alebo miesta podnikania zástupcu podľa odseku 1, ak povinnosť ho určiť,
e)kontaktné údaje najmenej v rozsahu elektronickej adresy a telefónneho čísla,
f)kontaktné údaje zástupcu, ak povinnosť ho určiť, najmenej v rozsahu elektronickej adresy a telefónneho čísla,
g)členský štát Európskej únie, v ktorom poskytuje službu alebo vykonáva činnosť,
h)rozsah IP adries, ktoré používa.
(4)Úrad oznamuje každú oznámenú zmenu údajov podľa odseku 3 bezodkladne Agentúre Európskej únie pre kybernetickú bezpečnosť.
§ 22
(1)Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény povinní pri registrácii domény evidovať a viesť osobitnú evidenciu registračných údajov názvu domény.
(2)Evidencia registračných údajov názvu domény obsahuje tieto údaje:
a)názov domény,
b)dátum registrácie názvu domény,
c)meno a priezvisko alebo názov držiteľa domény,
d)kontaktné údaje držiteľa domény najmenej v rozsahu elektronickej adresy a telefónneho čísla,
e)kontaktné údaje žiadateľa o registráciu názvu domény najmenej v rozsahu elektronickej adresy a telefónneho čísla, ak ide o inú osobu, ako je držiteľ domény.
(3)Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény povinní prijať vnútorné predpisy a zaviesť osobitné postupy na zabezpečenie overenia údajov predkladaných pri registrácii názvu domény, aspoň v rozsahu overenia údajov podľa odseku 2 písm. c), s cieľom zabezpečiť súlad údajov podľa odseku 2 so skutočnosťou. Na tieto účely osoby podľa prvej vety oprávnené aj bez súhlasu dotknutej osoby získavať, zaznamenávať a kopírovať údaje z dokladu totožnosti.
(4)Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény povinní bezodkladne po registrácii názvu domény bezodplatne zverejniť údaje predkladané pri registrácii názvu domény, ktoré nie sú osobnými údajmi.24a)
(5)Úrad a ústredný orgán majú na účely výkonu štátnej správy podľa tohto zákona prístup k údajom predkladaným pri registrácii názvu domény. Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény povinní údaje podľa prvej vety úradu alebo ústrednému orgánu na požiadanie bezodplatne poskytnúť najneskôr do 72 hodín od doručenia žiadosti.
(6)Ak osobitný predpis ustanovuje orgánu verejnej moci alebo inej osobe oprávnenie na prístup k údajom predkladaným pri registrácii názvu domény, správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény povinní takéto údaje poskytnúť; na poskytnutie údajov sa použije postup podľa odseku 5 druhej vety.
(7)Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény povinní vnútorné predpisy a informáciu o postupoch pri poskytovaní údajov podľa odsekov 5 a 6 bezodplatne zverejniť na svojom webovom sídle.
15
(8)Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény povinní si navzájom poskytovať údaje potrebné na registráciu názvu domény tak, aby pri registrácii názvu domény nebol žiadateľ o registráciu názvu domény povinný predkladať také údaje, ktorými niektorá z týchto osôb podľa zákona má disponovať.“.
Poznámka pod čiarou k odkazu 24a znie:
24a) Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.“.
55.§ 23 sa vrátane nadpisu vypúšťa.
56.§ 24 vrátane nadpisu znie:
„§ 24
Hlásenia
(1)Prevádzkovateľ základnej služby je povinný hlásiť každý závažný kybernetický bezpečnostný incident.
(2)Za závažný kybernetický bezpečnostný incident sa považuje rozsiahly kybernetický bezpečnostný incident a kybernetický bezpečnostný incident, ktorý
a)spôsobil alebo môže spôsobiť závažné narušenie fungovania prevádzkovateľa základnej služby, alebo škodu, inú ujmu na majetku alebo ušlý zisk vo veľkom rozsahu,9)
b)zasiahol alebo môže zasiahnuť iné osoby tým, že im spôsobí škodu, inú ujmu alebo ušlý zisk v značnom rozsahu.9)
(3)Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
a)bez zbytočného odkladu, avšak najneskôr do 24 hodín od jeho zistenia sa hlási včasné varovanie, v ktorom sa uvádza najmä, či závažný kybernetický bezpečnostný incident mohol byť spôsobený protiprávnym konaním, alebo či môže mať cezhraničný vplyv, a ak ide o prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodných služieb, uvádza sa tiež vplyv na poskytovanie dôveryhodných služieb,
b)bez zbytočného odkladu, avšak najneskôr do 72 hodín od jeho zistenia sa hlási oznámenie o závažnom kybernetickom bezpečnostnom incidente, v ktorom sa aktualizujú a dopĺňajú informácie z včasného varovania, najmä sa uvádza prvotné posúdenie kybernetického bezpečnostného incidentu, jeho závažnosti a následkov ak ide o prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodných služieb bez zbytočného odkladu, avšak najneskôr do 24 hodín od jeho zistenia,
c)na žiadosť toho, kto prevádzkuje jednotku CSIRT, sa v určenej lehote hlásia aktualizované alebo iné vyžiadané informácie o priebehu závažného kybernetického bezpečnostného incidentu,
d)najneskôr jeden mesiac po nahlásení oznámenia podľa písmena b) sa hlási záverečná správa, ktorá obsahuje najmä podrobný opis závažného kybernetického bezpečnostného incidentu vrátane jeho závažnosti a následkov, druh kybernetickej hrozby alebo hlavnú príčinu, ktorá pravdepodobne kybernetický bezpečnostný incident spôsobila, zavedené a prebiehajúce opatrenia a cezhraničný vplyv, ak existuje,
e)ak ide o závažný kybernetický bezpečnostný incident s cezhraničným vplyvom, ktorý v lehote podľa písmena d) stále trvá, hlási sa do 30 dní odo