1
TABUĽKA ZHODY
návrhu právneho predpisu s právom Európskej únie
Právny akt EÚ
Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. L 333, 27.12.2022) v platnom znení
Právne predpisy Slovenskej republiky
1.Návrh zákona, ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony
2.Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
3.Zákon č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
4.Zákon č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy v znení neskorších predpisov
5.Zákon č. 60/2018 Z. z. o technickej normalizácii v znení neskorších predpisov
6.Zákon č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov (zákon o dôveryhodných službách) v znení neskorších predpisov
7.Zákon č. 264/2022 Z. z. o mediálnych službách a o zmene a doplnení niektorých zákonov (zákon o mediálnych službách) v znení neskorších predpisov
8.Zákon č. 40/1964 Zb. Občiansky zákonník
9.Zákon č. 513/1991 Zb. Obchodný zákonník
10.Zákon č. 452/2021 Z. z. o elektronických komunikáciách v znení neskorších predpisov
1
2
3
4
5
6
7
8
9
10
Článok
Text
Ssob
Číslo
Článok
Text
Zhoda
Poznámky
Identifikácia
Identifikácia
(Č, O,
transpozície
(Č, §,
goldplatingu
oblasti gold-
V, P)
O, V,
platingu a
P)
vyjadrenie k
2
opodstatnenosti
goldplatingu*
Č:1, O:1
Touto smernicou sa stanovujú opatrenia, ktorých zámerom je dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti v celej Únii na účely lepšieho fungovania vnútorného trhu.
N
Návrh zákona
Č:I,
§:1
Tento zákon upravuje
a)podmienky pre riadenie a zabezpečenie kybernetickej bezpečnosti, najmä
1.postavenie a povinnosti prevádzkovateľa základnej služby,
2.bezpečnostné opatrenia,
3.hlásenie kybernetického bezpečnostného incidentu, významnej kybernetickej hrozby, udalosti odvrátenej v poslednej chvíli a zraniteľnosti,
4.riešenie kybernetického bezpečnostného incidentu,
5.opatrenia proti produktom IKT, službám IKT alebo procesom IKT ohrozujúcim kybernetickú bezpečnosť a proti škodlivému obsahu,
b)správu v oblasti kybernetickej bezpečnosti, najmä
1.organizáciu, pôsobnosť a povinnosti orgánov verejnej moci v oblasti kybernetickej bezpečnosti,
2.úlohy a pôsobnosť národnej autority pre certifikáciu kybernetickej bezpečnosti,
3.národnú stratégiu kybernetickej bezpečnosti,
4.národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy,
5.jednotný informačný systém kybernetickej bezpečnosti,
6.súčinnosť a výmenu informácií,
c)organizáciu a pôsobnosť jednotiek pre riešenie kybernetických bezpečnostných incidentov (ďalej len „jednotka CSIRT“) a ich akreditáciu,
d)audit kybernetickej bezpečnosti a dohľad nad plnením povinností prevádzkovateľa základnej služby podľa tohto zákona alebo povinností uložených na základe tohto zákona (ďalej len „dohľad“).
Ú
GP - N
Č:1, O:2
Na uvedený účel sa v tejto smernici stanovujú:
a)
a) povinnosti, ktorými sa od členských štátov vyžaduje, aby prijali národné stratégie kybernetickej bezpečnosti a určili alebo zriadili príslušné orgány, orgány pre riadenie kybernetických kríz, jednotné kontaktné miesta pre kybernetickú bezpečnosť (jednotné kontaktné miesta) a jednotky pre
N
Návrh zákona
Č:I,
§:1
Tento zákon upravuje
a)podmienky pre riadenie a zabezpečenie kybernetickej bezpečnosti, najmä
1.postavenie a povinnosti prevádzkovateľa základnej služby,
2.bezpečnostné opatrenia,
3.hlásenie kybernetického bezpečnostného incidentu, významnej kybernetickej hrozby, udalosti odvrátenej v poslednej chvíli a zraniteľnosti,
4.riešenie kybernetického bezpečnostného incidentu,
Ú
GP - N
3
riešenie počítačových bezpečnostných incidentov (jednotky CSIRT);
b)
b) opatrenia na riadenie kybernetických rizík a oznamovacie povinnosti pre subjekty typu uvedeného v prílohe I alebo II, ako aj pre subjekty identifikované ako kritické subjekty podľa smernice (EÚ) 2022/2557;
c)
c) pravidlá a povinnosti výmeny informácií o kybernetickej bezpečnosti;
d)
d) povinnosti členských štátov v oblasti dohľadu a presadzovania práva.
5.opatrenia proti produktom IKT, službám IKT alebo procesom IKT ohrozujúcim kybernetickú bezpečnosť a proti škodlivému obsahu,
b)správu v oblasti kybernetickej bezpečnosti, najmä
1.organizáciu, pôsobnosť a povinnosti orgánov verejnej moci v oblasti kybernetickej bezpečnosti,
2.úlohy a pôsobnosť národnej autority pre certifikáciu kybernetickej bezpečnosti,
3.národnú stratégiu kybernetickej bezpečnosti,
4.národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy,
5.jednotný informačný systém kybernetickej bezpečnosti,
6.súčinnosť a výmenu informácií,
c)organizáciu a pôsobnosť jednotiek pre riešenie kybernetických bezpečnostných incidentov (ďalej len „jednotka CSIRT“) a ich akreditáciu,
a)audit kybernetickej bezpečnosti a dohľad nad plnením povinností prevádzkovateľa základnej služby podľa tohto zákona alebo povinností uložených na základe tohto zákona (ďalej len „dohľad“).
Č:2, O:1
Táto smernica sa vzťahuje na verejné alebo súkromné subjekty typu uvedeného v prílohe I alebo II, ktoré sa považujú za stredné podniky podľa článku 2 prílohy k odporúčaniu 2003/361/ES alebo presahujú limity pre stredné podniky stanovené v odseku 1 uvedeného článku a ktoré poskytujú služby alebo vykonávajú svoje činnosti v Únii.
Na účely tejto smernice sa článok 3 ods. 4 prílohy k uvedenému odporúčaniu neuplatňuje.
N
Návrh zákona
Č:I, §:17, O:1, P:e)
Do registra prevádzkovateľov základnej služby sa zapisuje
e) osoba, ktorá spĺňa najmenej podmienky veľkosti pre stredný podnik a vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2,
Ú
GP - N
Č:2, O:2, P:a),
P:i
Táto smernica sa vzťahuje aj na subjekty typu uvedeného v prílohe I alebo II bez ohľadu na ich veľkosť, ak:
a) služby poskytujú:
i. poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb;
N
Návrh zákona
Č:I, §:17, O:1, P:c), P:1
Do registra prevádzkovateľov základnej služby sa zapisuje
c) osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
1. je podnikom poskytujúcim verejnú elektronickú komunikačnú sieť alebo verejnú elektronickú komunikačnú službu,
Ú
GP - N
Č:2, O:2, P:a), P:ii
Táto smernica sa vzťahuje aj na subjekty typu uvedeného v prílohe I alebo II bez ohľadu na ich veľkosť, ak:
a) služby poskytujú:
ii. poskytovatelia dôveryhodných služieb;
N
Návrh zákona
Č:I, §:17, O:1, P:c), P:2
Do registra prevádzkovateľov základnej služby sa zapisuje
c) osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
2. je poskytovateľom dôveryhodnej služby,
Ú
GP - N
4
Č:2, O:2, P:a), P:iii
Táto smernica sa vzťahuje aj na subjekty typu uvedeného v prílohe I alebo II bez ohľadu na ich veľkosť, ak:
a) služby poskytujú:
iii. registre názvov domén najvyššej úrovne a poskytovatelia služieb systému názvov domén;
N
Návrh zákona
Č:I, §:17, O:1,
P:c), P:3
P:4
Do registra prevádzkovateľov základnej služby sa zapisuje
c) osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
3. je správcom TLD,
4. poskytuje službu DNS,
Ú
GP - N
Č:2, O:2, P:b)
Táto smernica sa vzťahuje aj na subjekty typu uvedeného v prílohe I alebo II bez ohľadu na ich veľkosť, ak:
b) subjekt je v členskom štáte jediným poskytovateľom služby, ktorá je kľúčovou pre zachovanie kritických spoločenských alebo hospodárskych činností;
N
Návrh zákona
Návrh zákona
Č:I, §:17, O:1, P:c), P:5
Č:I, §:3, O:1, P:y)
Do registra prevádzkovateľov základnej služby sa zapisuje
c) osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
5. je v Slovenskej republike jediným poskytovateľom služby, ktorá je kľúčovou službou,
y) kľúčovou službou služba pre zachovanie dôležitých spoločenských oblastí alebo hospodárskych činností, pri ktorej dopad kybernetického bezpečnostného incidentu v informačnom systéme alebo v sieti, na ktorých fungovaní je závislé poskytovanie služby, môže spôsobiť
1. ohrozenie dostupnosti, pravosti, integrity alebo dôvernosti uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ktoré postihuje viac ako 25 000 osôb,
2. obmedzenie alebo narušenie kritického subjektu, jeho základnej služby alebo kritickej infraštruktúry,
3. hospodársku stratu vyššiu ako 0,1 % hrubého domáceho produktu podľa údajov z bezprostredne predchádzajúceho rozpočtového roka, alebo
4. hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 eur,
Ú
GP - N
Č:2, O:2, P:c)
Táto smernica sa vzťahuje aj na subjekty typu uvedeného v prílohe I alebo II bez ohľadu na ich veľkosť, ak:
c) narušenie služby poskytovanej subjektom by mohlo mať významný vplyv na verejný poriadok, verejnú bezpečnosť alebo verejné zdravie;
N
Návrh zákona
Č:I, §:17, O:1, P:c), P:6
Do registra prevádzkovateľov základnej služby sa zapisuje
c) osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
6. poskytuje službu, ktorej narušenie by mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
Ú
GP - N
Č:2, O:2, P:d)
Táto smernica sa vzťahuje aj na subjekty typu uvedeného v prílohe I alebo II bez ohľadu na ich veľkosť, ak:
d) narušenie služby poskytovanej subjektom by mohlo vyvolať významné systémové riziko, najmä v odvetviach, v ktorých by takéto narušenie mohlo mať cezhraničný vplyv;
N
Návrh zákona
Č:I, §:17, O:1, P:c), P:7
Do registra prevádzkovateľov základnej služby sa zapisuje
c) osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
7. poskytuje službu alebo také postavenie, že narušenie poskytovania služby alebo zásah do postavenia by mohli vyvolať významné systémové riziko pre celé odvetvie vykonávanej činnosti, najmä ak by mohlo mať cezhraničný vplyv,
Ú
GP - N
5
Návrh zákona
Č:I, §:3, O:1, P:aa)
aa) významným systémovým rizikom riziko narušenia systému, ktoré môže mať závažné negatívne dôsledky alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti, a tým ohrozuje život alebo zdravie osôb, hospodárske fungovanie štátu, verejný poriadok, bezpečnosť alebo majetok osôb, alebo ohrozuje bezpečnostné záujmy Slovenskej republiky,
Č:2, O:2, P:e)
Táto smernica sa vzťahuje aj na subjekty typu uvedeného v prílohe I alebo II bez ohľadu na ich veľkosť, ak:
e) subjekt je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritickým pre konkrétne odvetvie alebo typ služby alebo pre iné vzájomne závislé odvetvia v členskom štáte;
N
Návrh zákona
Návrh zákona
Č:I, §:17, O:1, P:c), P:7
Č:I, §:3, O:1, P:aa)
Do registra prevádzkovateľov základnej služby sa zapisuje
c) osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
7. poskytuje službu alebo také postavenie, že narušenie poskytovania služby alebo zásah do postavenia by mohli vyvolať významné systémové riziko pre celé odvetvie vykonávanej činnosti, najmä ak by mohlo mať cezhraničný vplyv,
aa) významným systémovým rizikom riziko narušenia systému, ktoré môže mať závažné negatívne dôsledky alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti, a tým ohrozuje život alebo zdravie osôb, hospodárske fungovanie štátu, verejný poriadok, bezpečnosť alebo majetok osôb, alebo ohrozuje bezpečnostné záujmy Slovenskej republiky,
Ú
GP - N
Č:2, O:2, P:f),
P:i
Táto smernica sa vzťahuje aj na subjekty typu uvedeného v prílohe I alebo II bez ohľadu na ich veľkosť, ak:
f) subjekt je subjektom verejnej správy:
i. v ústrednej štátnej správe podľa definície členského štátu v súlade s vnútroštátnym právom; alebo
N
Návrh zákona
Č:I, §:17, O:1, P:a)
Do registra prevádzkovateľov základnej služby sa zapisuje
a) ústredný orgán štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou,
Ú
GP - N
Č:2, O:2, P:f), P:ii
Táto smernica sa vzťahuje aj na subjekty typu uvedeného v prílohe I alebo II bez ohľadu na ich veľkosť, ak:
f) subjekt je subjektom verejnej správy:
ii. na regionálnej úrovni podľa definície členského štátu v súlade s vnútroštátnym právom, ktorý po posúdení na základe rizík poskytuje služby, ktorých narušenie by mohlo mať významný vplyv na kritické spoločenské alebo hospodárske činnosti.
N
Návrh zákona
Č:I, §:17, O:1, P:d)
Do registra prevádzkovateľov základnej služby sa zapisuje
d) štátny orgán vykonávajúci pôsobnosť v najmenej dvoch okresoch a vyšší územný celok, ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie, ustanovenie písmena a) tým nie je dotknuté,
Ú
GP - N
Č:2, O:3
Táto smernica sa vzťahuje na subjekty identifikované ako kritické subjekty podľa smernice (EÚ) 2022/2557 bez ohľadu na ich veľkosť.
N
Návrh zákona
Č:I, §:17, O:1, P:b)
Do registra prevádzkovateľov základnej služby sa zapisuje
b) kritický subjekt,
Ú
GP - N
6
Č:2, O:4
Táto smernica sa vzťahuje na subjekty poskytujúce služby registrácie názvov domén bez ohľadu na ich veľkosť.
N
Návrh zákona
Č:I, §:17, O:1, P:h)
Do registra prevádzkovateľov základnej služby sa zapisuje
h) osoba, ktorá poskytuje službu registrácie názvu domény bez ohľadu na splnenie podmienok veľkosti pre stredný podnik alebo
Ú
GP - N
Č:2, O:5, P:a)
Členské štáty môžu ustanoviť, že sa táto smernica vzťahuje na:
a) subjekty verejnej správy na miestnej úrovni;
D
Návrh zákona
Č:I, §:17, O:1, P:d)
P:f)
Do registra prevádzkovateľov základnej služby sa zapisuje
d) štátny orgán vykonávajúci pôsobnosť v najmenej dvoch okresoch a vyšší územný celok, ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť a zdravie, ustanovenie písmena a) tým nie je dotknuté,
f) mesto, ak by narušenie výkonu jeho pôsobnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
Č
GP - N
Č:2, O:5, P:b)
Členské štáty môžu ustanoviť, že sa táto smernica vzťahuje na:
b) vzdelávacie inštitúcie, najmä tie, v ktorých sa vykonávajú kritické výskumné činnosti.
D
Č:2, O:6
Touto smernicou nie je dotknutá zodpovednosť členských štátov za ochranu národnej bezpečnosti ani ich právomoc chrániť iné základné funkcie štátu vrátane zabezpečenia územnej celistvosti štátu a udržiavania verejného poriadku.
n.a.
Č:2, O:7
Táto smernica sa nevzťahuje na subjekty verejnej správy, ktoré vykonávajú činnosť v oblasti národnej bezpečnosti, verejnej bezpečnosti, obrany alebo presadzovania práva vrátane prevencie, vyšetrovania, odhaľovania a stíhania trestných činov.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:2, O:3, P:a)
P:b)
P:c)
Tento zákon sa nevzťahuje na
a) požiadavky na zabezpečenie sietí a informačných systémov podľa všeobecného predpisu o ochrane utajovaných skutočností,
b) osobitné ustanovenia o úlohách a oprávneniach spravodajskej služby pri ochrane kybernetického priestoru podľa osobitného predpisu,
1)
c) ustanovenia osobitných predpisov o vyšetrovaní, odhaľovaní a stíhaní trestných činov,
2)
Poznámky pod čiarou k odkazom 1 a 2 znejú:
1)
§ 2 ods. 1 písm. g)
,
ods. 3 zákona Národnej rady Slovenskej republiky
č. 46/1993 Z. z.
 o Slovenskej informačnej službe v znení zákona č. 151/2010 Z. z.
§ 4 ods. 3, § 5 ods. 1 písm. c) a h) a § 7 zákona č. 500/2022 Z. z. o Vojenskom spravodajstve.
Zákon č.
319/2002 Z. z.
 o obrane Slovenskej republiky neskorších predpisov.
2) Napríklad zákon č.
398/2015 Z. z.
 o európskom ochrannom príkaze v trestných veciach a o zmene a doplnení niektorých zákonov, zákon č.
Ú
GP - N
7
91/2016 Z. z.
 o trestnej zodpovednosti právnických osôb a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Č:2, O:8
Členské štáty môžu vyňať konkrétne subjekty, ktoré vykonávajú činnosti v oblastiach národnej bezpečnosti, verejnej bezpečnosti, obrany alebo presadzovania práva vrátane prevencie, vyšetrovania, odhaľovania a stíhania trestných činov, alebo ktoré poskytujú služby výhradne subjektom verejnej správy uvedeným v odseku 7 tohto článku, v súvislosti s danými činnosťami alebo službami z povinností stanovených v článku 21 alebo článku 23. V takýchto prípadoch sa opatrenia dohľadu a presadzovania uvedené v kapitole VII v súvislosti s týmito konkrétnymi činnosťami alebo službami neuplatňujú. Ak subjekty vykonávajú činnosti alebo poskytujú služby výlučne typu uvedeného v tomto odseku, členské štáty sa môžu tiež rozhodnúť vyňať tieto subjekty z povinností stanovených v článkoch 3 a 27.
D
Návrh zákona
Č:I, §:2, O:3, P:a)
P:b)
P:c)
Tento zákon sa nevzťahuje na
a) požiadavky na zabezpečenie sietí a informačných systémov podľa všeobecného predpisu o ochrane utajovaných skutočností,
b) osobitné ustanovenia o úlohách a oprávneniach spravodajskej služby pri ochrane kybernetického priestoru podľa osobitného predpisu,
1)
c) ustanovenia osobitných predpisov o vyšetrovaní, odhaľovaní a stíhaní trestných činov,
2)
Poznámky pod čiarou k odkazom 1 a 2 znejú:
1)
§ 2 ods. 1 písm. g)
,
ods. 3 zákona Národnej rady Slovenskej republiky
č. 46/1993 Z. z.
 o Slovenskej informačnej službe v znení zákona č. 151/2010 Z. z.
§ 4 ods. 3, § 5 ods. 1 písm. c) a h) a § 7 zákona č. 500/2022 Z. z. o Vojenskom spravodajstve.
Zákon č.
319/2002 Z. z.
 o obrane Slovenskej republiky neskorších predpisov.
2) Napríklad zákon č.
398/2015 Z. z.
 o európskom ochrannom príkaze v trestných veciach a o zmene a doplnení niektorých zákonov, zákon č.
91/2016 Z. z.
 o trestnej zodpovednosti právnických osôb a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Č
GP - N
Č:2, O:9
Ak subjekt koná ako poskytovateľ dôveryhodných služieb, odseky 7 a 8 sa neuplatňujú.
N
Návrh zákona
Č:I, §:17, O:1, P:c), P:2
Do registra prevádzkovateľov základnej služby sa zapisuje
c) osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
2. je poskytovateľom dôveryhodnej služby,
Ú
GP - N
Č:2, O:10
Táto smernica sa nevzťahuje na subjekty, ktoré členské štáty vyňali z rozsahu pôsobnosti nariadenia (EÚ) 2022/2554 v súlade s článkom 2 ods. 4 uvedeného nariadenia.
n.a.
Č:2, O:11
K povinnostiam ustanoveným v tejto smernici nepatrí poskytovanie informácií, ktorých zverejnenie by bolo v rozpore so základnými záujmami členských štátov v oblasti národnej bezpečnosti, verejnej bezpečnosti alebo obrany.
n.a.
8
Č:2, O:12
Táto smernica sa uplatňuje bez toho, aby bolo dotknuté nariadenie (EÚ) 2016/679, smernica 2002/58/ES, smernice Európskeho parlamentu a Rady 2011/93/EÚ
(27)
 a 2013/40/EÚ
(28)
 a smernica (EÚ) 2022/2557.
n.a.
Č:2, O:13
Bez toho, aby bol dotknutý článok 346 ZFEÚ, informácie, ktoré podľa predpisov Únie alebo vnútroštátnych predpisov dôverné, ako napríklad predpisy o obchodnom tajomstve, sa vymieňajú s Komisiou a inými príslušnými orgánmi v súlade s touto smernicou len vtedy, ak je takáto výmena potrebná na účely uplatňovania tejto smernice. Vymieňané informácie sa obmedzia na také informácie, ktoré relevantné a primerané účelu danej výmeny. Pri výmene informácií sa zachováva ich dôvernosť a chránia sa bezpečnostné a komerčné záujmy dotknutých subjektov.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z.
Č:I, §:5, O:1, P:e)
P:t)
Č:I, §:12, O:1
Úrad v oblasti kybernetickej bezpečnosti
e) je národným kontaktným miestom pre kybernetickú bezpečnosť pre vnútroštátnu spoluprácu a pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie,
t) prijíma hlásenia o kybernetických bezpečnostných incidentoch, kybernetických hrozbách a o zraniteľnostiach zo zahraničia a zabezpečuje spoluprácu s medzinárodnými organizáciami a orgánmi iných štátov pri riešení kybernetických bezpečnostných incidentov s cezhraničným charakterom,
Kto plní alebo plnil úlohy na základe tohto zákona alebo v súvislosti s ním, je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa v súvislosti s plnením úloh podľa tohto zákona dozvedel a ktoré nie verejne známe. Povinnosť zachovávať mlčanlivosť trvá aj po skončení dohody o spolupráci podľa
§ 5 ods. 3
, pracovnoprávneho vzťahu alebo obdobného pracovného vzťahu vrátane služobného pomeru.
14)
 Ustanoveniami o povinnosti zachovávať mlčanlivosť podľa tohto zákona nie je dotknutá povinnosť mlčanlivosti alebo zachovania tajomstva podľa osobitných predpisov.
15)
Poznámky pod čiarou k odkazom 14 a 15 znejú:
14) Zákon č.
73/1998 Z. z.
 o služobnom pomere príslušníkov Policajného zboru, Slovenskej informačnej služby, Zboru väzenskej a justičnej stráže Slovenskej republiky a Železničnej polície v znení neskorších predpisov.
Zákon č.
311/2001 Z. z.
 Zákonník práce v znení neskorších predpisov.
Zákon č.
552/2003 Z. z.
 o výkone práce vo verejnom záujme v znení neskorších predpisov.
Zákon č.
281/2015 Z. z.
 o štátnej službe profesionálnych vojakov v znení neskorších predpisov.
Zákon č.
55/2017 Z. z.
 o štátnej službe a o zmene a doplnení niektorých zákonov.
15) Napríklad čl. 37 ods. 37.1 Protokolu (č. 4) o Štatúte Európskeho systému centrálnych bánk a Európskej centrálnej banky v platnom znení
Ú
GP - N
9
(Ú. v. C 202, 7. 6. 2016),
§ 17 20 zákona č. 513/1991 Zb.
 Obchodný zákonník,
§ 39 zákona Slovenskej národnej rady č. 323/1992 Zb.
 o notároch a notárskej činnosti (Notársky poriadok) v znení neskorších predpisov,
§ 23 zákona Národnej rady Slovenskej republiky č. 46/1993 Z.
z.
,
§ 20 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z.
 v znení zákona č. 319/2012 Z. z., zákon č.
483/2001 Z. z.
 o bankách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
§ 23
zákona č. 586/2003 Z. z.
 o advokácii a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov v znení zákona č. 297/2008 Z. z., zákon č.
215/2004
Z. z.
 o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
§ 24
 a
25 zákona č. 576/2004 Z. z.
 o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
§ 11 zákona č. 563/2009 Z. z.
 o správe daní (daňový poriadok) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, § 63 zákona č. 352/2011 Z. z. v znení neskorších predpisov,
§ 10 zákona č.
324/2011 Z. z.
 o poštových službách a o zmene a doplnení niektorých zákonov.
Č:2, O:14
Subjekty, príslušné orgány, jednotné kontaktné miesta a jednotky CSIRT spracúvajú osobné údaje v rozsahu potrebnom na účely tejto smernice a v súlade s nariadením (EÚ) 2016/679, pričom takéto spracovanie sa opiera najmä o jeho článok 6.
Spracovanie osobných údajov podľa tejto smernice poskytovateľmi verejných elektronických komunikačných sietí alebo poskytovateľmi verejne dostupných elektronických komunikačných služieb sa vykonáva v súlade s právom Únie v oblasti ochrany údajov a právom Únie v oblasti ochrany súkromia, najmä so smernicou 2002/58/ES.
N
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z.
Č:I, §:12, O:6
O:7
O:8
Na účely riešenia kybernetického bezpečnostného incidentu v rozsahu potrebnom na jeho identifikáciu a zabezpečenia kybernetickej bezpečnosti úrad v záujme národnej bezpečnosti spracováva v jednotnom informačnom systéme kybernetickej bezpečnosti na čas nevyhnutne potrebný osobné údaje spôsobom podľa osobitného predpisu.
17)
Úrad zabezpečí nepretržitú ochranu osobných údajov a informácií spracúvaných podľa tohto zákona pred nezákonným vyzradením, zneužitím, poškodením, neoprávneným zničením, odcudzením a stratou spôsobom podľa osobitného predpisu.
18)
Informácie a osobné údaje získané na základe tohto zákona alebo v súvislosti s ním môže úrad použiť len na plnenie úloh podľa tohto zákona.
Poznámky pod čiarou k odkazom 17 a 18 znejú:
17) Čl. 23 nariadenia Európskeho parlamentu a Rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119/89, 4. 5. 2016).
18) Čl. 5 nariadenia (EÚ) č. 2016/679.
Ú
GP - N
10
Č:3, O:1, P:a)
Na účely tejto smernice sa za kľúčové subjekty považujú:
a) subjekty typu uvedeného v prílohe I, ktoré presahujú limity pre stredné podniky stanovené v článku 2 ods. 1 prílohy k odporúčaniu 2003/361/ES;
N
Návrh zákona
Č:I, §:18, O:1, P:b)
Kritickou základnou službou je
b) činnosť v sektore podľa prílohy č. 1, okrem sektoru verejná správa, ak ju vykonáva osoba, ktorá presahuje podmienky veľkosti pre stredný podnik,
Ú
GP - N
Č:3, O:1, P:b)
Na účely tejto smernice sa za kľúčové subjekty považujú:
b) kvalifikovaní poskytovatelia dôveryhodných služieb a registre názvov domén najvyššej úrovne, ako aj poskytovatelia služieb DNS, bez ohľadu na ich veľkosť;
N
Návrh zákona
Č:I, §:18, O:1, P:c)
P:d)
P:e)
Kritickou základnou službou je
c) kvalifikovaná dôveryhodná služba,
d) správa TLD,
e) služba DNS,
Ú
GP - N
Č:3, O:1, P:c)
Na účely tejto smernice sa za kľúčové subjekty považujú:
c) poskytovatelia verejných elektronických komunikačných sietí alebo verejne dostupných elektronických komunikačných služieb, ktoré považované za stredné podniky podľa článku 2 prílohy k odporúčaniu 2003/361/ES;
N
Návrh zákona
Č:I, §:18, O:1, P:f)
Kritickou základnou službou je
f) poskytovanie verejnej elektronickej komunikačnej siete alebo verejnej elektronickej komunikačnej služby osobou, ktorá dosahuje najmenej podmienky veľkosti pre stredný podnik,
Ú
GP - N
Č:3, O:1, P:d)
Na účely tejto smernice sa za kľúčové subjekty považujú:
d) subjekty verejnej správy uvedené v článku 2 ods. 2 písm. f) bode i);
N
Návrh zákona
Č:I, §:18, O:1, P:a)
Kritickou základnou službou je
a) výkon pôsobnosti ústredného orgánu štátnej správy10) alebo iného štátneho orgánu s celoštátnou pôsobnosťou,
Poznámka pod čiarou k odkazu 10 znie:
10) § 3 a 21 zákona č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy v znení neskorších predpisov.
Ú
GP - N
Č:3, O:1, P:e)
Na účely tejto smernice sa za kľúčové subjekty považujú:
e) akékoľvek iné subjekty typu uvedeného v prílohe I alebo II, ktoré členský štát označil za kľúčové subjekty podľa článku 2 ods. 2 písm. b) až e);
N
Návrh zákona
Č:I, §:18, O:1, P:g)
Kritickou základnou službou je
g) vykonávanie činnosti alebo existencia postavenia podľa § 17 ods. 1 písm. c) piateho až deviateho bodu,
Ú
GP - N
Č:3, O:1, P:f)
Na účely tejto smernice sa za kľúčové subjekty považujú:
f) subjekty označené ako kritické subjekty podľa smernice (EÚ) 2022/2557 uvedenej v článku 2 ods. 3 tejto smernice;
N
Návrh zákona
Č:I, §:18, O:1, P:h)
Kritickou základnou službou je
h) poskytovanie základnej služby kritickým subjektom, alebo
Ú
GP - N
Č:3, O:1, P:g)
Na účely tejto smernice sa za kľúčové subjekty považujú:
g) ak tak členský štát ustanoví, subjekty, ktoré daný členský štát označil pred 16. januárom 2023 ako prevádzkovateľov základných služieb
N
Návrh zákona
Č:I, §:34b, O:1
1) Prevádzkovateľ základnej služby podľa zákona v znení účinnom do 31. decembra 2024 sa považuje za prevádzkovateľa kritickej základnej služby podľa zákona v znení účinnom od 1. januára 2025.
Ú
GP - N
11
v súlade so smernicou (EÚ) 2016/1148 alebo vnútroštátnym právom.
O:3
3) Poskytovateľ digitálnej služby podľa zákona v znení účinnom do 31. decembra 2024 sa považuje za prevádzkovateľa základnej služby podľa zákona v znení účinnom od 1. januára 2025.
Č:3, O:2
Na účely tejto smernice sa subjekty typu uvedeného v prílohe I alebo II, ktoré sa nepovažujú za kľúčové subjekty podľa odseku 1 tohto článku, považujú za dôležité subjekty. Patria sem subjekty označené členskými štátmi ako dôležité subjekty podľa článku 2 ods. 2 písm. b) až e).
N
Návrh zákona
Č:I, §:17, O:1
Do registra prevádzkovateľov základnej služby sa zapisuje
a)ústredný orgán štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou,
b)kritický subjekt ,
c)osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
1.je podnikom poskytujúcim verejnú elektronickú komunikačnú sieť alebo verejnú elektronickú komunikačnú službu,
2.je poskytovateľom dôveryhodnej služby,
3.je správcom TLD,
4.poskytuje službu DNS,
5.je v Slovenskej republike jediným poskytovateľom služby, ktorá je kľúčovou službou,
6.poskytuje službu, ktorej narušenie by mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
7.poskytuje službu alebo také postavenie, že narušenie poskytovania služby alebo zásah do postavenia by mohli vyvolať významné systémové riziko pre celý sektor vykonávanej činnosti, najmä ak by takéto riziko mohlo mať cezhraničný vplyv,
8.je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritická pre konkrétny sektor, alebo
9.je subjektom hospodárskej mobilizácie, ktorému bolo uložené opatrenie podľa osobitného predpisu,23)
d)štátny orgán vykonávajúci pôsobnosť v najmenej dvoch okresoch a vyšší územný celok, ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie, ustanovenie písmena a) tým nie je dotknuté,
e)osoba, ktorá spĺňa najmenej podmienky veľkosti pre stredný podnik a vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2,
f)mesto, ak by narušenie výkonu jeho pôsobnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť alebo verejné zdravie,
g)správca informačnej technológie verejnej správy,23a)
h)osoba, ktorá poskytuje službu registrácie názvu domény bez ohľadu na splnenie podmienok veľkosti pre stredný podnik alebo
Ú
GP - N
12
Č:I, §:18, O:1
i)tretia strana, ktorá významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, a uzatvorenú zmluvu s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu.
Poznámky pod čiarou k odkazom 23 a 23a znejú:
23) Zákon č. 179/2011 Z. z. v znení neskorších predpisov.
23a) Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Kritickou základnou službou je
a)výkon pôsobnosti ústredného orgánu štátnej správy10) alebo iného štátneho orgánu s celoštátnou pôsobnosťou,
b)činnosť v sektore podľa prílohy č. 1, okrem sektoru verejná správa, ak ju vykonáva osoba, ktorá presahuje podmienky veľkosti pre stredný podnik,
c)kvalifikovaná dôveryhodná služba,
d)správa TLD,
e)služba DNS,
f)poskytovanie verejnej elektronickej komunikačnej siete alebo verejnej elektronickej komunikačnej služby osobou, ktorá dosahuje najmenej podmienky veľkosti pre stredný podnik,
g)vykonávanie činnosti alebo existencia postavenia podľa § 17 ods. 1 písm. c) piateho až desiateho bodu,
h)poskytovanie základnej služby kritickým subjektom, alebo
i)informačná činnosť a elektronické služby, vykonávané s použitím informačnej technológie verejnej správy,23a) určených úradom.
Poznámka pod čiarou k odkazu 10 znie:
10) § 3 a 21 zákona č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy v znení neskorších predpisov.
Poznámka pod čiarou k odkazu 23a znie:
23a) Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Č:3, O:3
Do 17. apríla 2025 vypracujú členské štáty zoznam kľúčových a dôležitých subjektov ako aj subjektov poskytujúcich služby registrácie názvov domén. Členské štáty tento zoznam
N
Návrh zákona
Č:I, §:5, O:1,
P:k)
Úrad v oblasti kybernetickej bezpečnosti
k) koná vo veci určenia subjektu ako prevádzkovateľa základnej služby a jeho zápisu do registra prevádzkovateľov základnej služby,
Ú
Úrad vedie zoznam priebežne v JISKB
GP - N
13
pravidelne prehodnocujú a podľa potreby aktualizujú najmenej každé dva roky po uvedenom dátume.
Návrh zákona
Návrh zákona
P:l)
P:1
Č:I, §:8, O:2
l) vedie a spravuje
1. register prevádzkovateľov základnej služby,
Jednotný informačný systém kybernetickej bezpečnosti obsahuje komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálny systém včasného varovania. Jednotný informačný systém pozostáva z verejnej časti a neverejnej časti a prístup k nemu je bezodplatný. Verejná časť jednotného informačného systému kybernetickej bezpečnosti obsahuje
a) register ústredných orgánov,
b) register prevádzkovateľov základnej služby,
c) zoznam akreditovaných jednotiek CSIRT,
d) metodiky, usmernenia, štandardy, politiky a oznamy,
e) informácie a údaje potrebné na používanie jednotného informačného systému kybernetickej bezpečnosti,
f) výstrahy, varovania a ďalšie informácie slúžiace na minimalizovanie, odvrátenie alebo nápravu následkov kybernetického bezpečnostného incidentu,
g) nástroj na registráciu zmien, hlásenie zmien a ostatné súvisiace nástroje.
Č:3, O:4,
Pododseky 1 až 3
Na účely zostavenia zoznamu uvedeného v odseku 3 členské štáty požadujú od subjektov uvedených v uvedenom odseku, aby príslušným orgánom predložili aspoň tieto informácie:
a) názov subjektu;
b) adresu a aktuálne kontaktné údaje vrátane e-mailových adries, IP adries a telefónnych čísel;
c) podľa potreby príslušné odvetvie a pododvetvie uvedené v prílohe I alebo II; a
d) prípadne zoznam členských štátov, v ktorých poskytujú služby patriace do pôsobnosti tejto smernice.
Subjekty uvedené v odseku 3 bezodkladne a v každom prípade do dvoch týždňov odo dňa zmeny oznámia akékoľvek zmeny údajov zasielaných podľa prvého pododseku tohto odseku.
Komisia s pomocou Agentúry Európskej únie pre kybernetickú bezpečnosť (ENISA) bez
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Návrh zákona
Návrh zákona
Č:I, §:9, O:1, P:e)
Č:I, §:17, O:2
Č:I, §:17, O:6
Ústredný orgán v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa
prílohy č. 1
 alebo prílohy č. 2, zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že
e) identifikuje prevádzkovateľa základnej služby a ich aktuálny zoznam predkladá úradu na účely zaradenia do registra prevádzkovateľov základných služieb,
Ten, kto vykonáva činnosť podľa odseku 1 je povinný do 60 dní odo dňa, kedy činnosť začne vykonávať, oznámiť to úradu. Oznámenie podľa predchádzajúcej vety musí obsahovať
a) názov, sídlo a kontaktné údaje vrátane elektronických adries, verejných IP adries a telefónnych čísel,
b) zoznam členských štátov Európskej únie, v ktorých vykonáva činnosť alebo poskytuje službu,
c) názov, sídlo a kontaktné údaje zástupcu podľa § 21 ods. 1.
Ak dôjde k zmene zapísaných skutočností, úrad vykoná zmenu v registri prevádzkovateľov základnej služby, a to aj bez návrhu. Prevádzkovateľ základnej služby je povinný každú zmenu zapísaných skutočností, ktorá nie je referenčným údajom, oznámiť najneskôr do 14 dní prostredníctvom
Ú
GP - N
14
zbytočného odkladu poskytne usmernenia a vzory súvisiace s povinnosťami stanovenými v tomto odseku.
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Návrh zákona
Návrh zákona
Č:I, §:19, O:7
Č:I, §:21, O:3
Č:I, §:21, O:4
jednotného informačného systému kybernetickej bezpečnosti úradu. Na vykonanie zmeny a povinnosť jej oznamovania sa primerane použijú odseky 3 až 5.
Prevádzkovateľ základnej služby je povinný hlásiť zmeny v zapísaných údajoch okrem referenčných údajov do 30 dní odo dňa ich vzniku prostredníctvom jednotného informačného systému kybernetickej bezpečnosti a ak prevádzkovateľ základnej služby prevádzkuje kritickú základnú službu, je povinný hlásiť úradu aj informáciu o uzatvorení zmluvy s treťou stranou o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností, ktorá významný vplyv pri zabezpečovaní kybernetickej bezpečnosti a aj informáciu o jej ukončení. Úrad vykoná zmenu v registri prevádzkovateľov základnej služby, a to aj bez návrhu.
Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2, na ktorú sa vzťahuje pôsobnosť tohto zákona, je povinná písomne oznámiť na výzvu úradu prostredníctvom jednotného informačného systému kybernetickej bezpečnosti každú zmenu, bezodkladne najneskôr do troch mesiacov odo dňa zmeny, niektorého z týchto údajov
a) názov,
b) zaradenie podľa prílohy č. 1 alebo prílohy č. 2,
c) adresu prevádzkarne, kde sa vykonáva niektorá z činností podľa § 2 ods. 2 a adresu každej prevádzkarne zriadenej na základe zákona na území členského štátu Európskej únie,
d) adresu sídla, trvalého pobytu alebo miesta podnikania zástupcu podľa odseku 1, ak má povinnosť ho určiť,
e) kontaktné údaje najmenej v rozsahu elektronickej adresy a telefónneho čísla,
f) kontaktné údaje zástupcu, ak povinnosť ho určiť, najmenej v rozsahu elektronickej adresy a telefónneho čísla,
g) členský štát Európskej únie, v ktorom poskytuje službu alebo vykonáva činnosť,
h) rozsah IP adries, ktoré používa.
Úrad oznamuje každú oznámenú zmenu údajov podľa odseku 3 bezodkladne Agentúre Európskej únie pre kybernetickú bezpečnosť.
Č:3, O:4,
Pododsek 4
Členské štáty môžu zaviesť vnútroštátne mechanizmy, pomocou ktorých by sa subjekty mohli zaregistrovať samé.
D
15
Č:3, O:5
Do 17. apríla 2025 a potom každé dva roky príslušné orgány nahlasujú:
a) Komisii a skupine pre spoluprácu počet kľúčových a dôležitých subjektov uvedených v odseku 3 za každé odvetvie a pododvetvie uvedené v prílohe I alebo II; a
b) Komisii relevantné informácie o počte kľúčových a dôležitých subjektov označených podľa článku 2 ods. 2 písm. b) e), odvetvie a pododvetvie uvedené v prílohe I alebo II, do ktorých patria, druh nimi poskytovanej služby a ustanovenie spomedzi ustanovení uvedených v článku 2 ods. 2 písm. b) e), podľa ktorého boli označené.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:5, O:1, P:f)
Úrad v oblasti kybernetickej bezpečnosti
f) plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,
Ú
GP - N
Č:3, O:6
Do 17. apríla 2025 a na žiadosť Komisie môžu členské štáty Komisii nahlásiť názvy kľúčových a dôležitých subjektov uvedených v odseku 5 písm. b).
D
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:5, O:1, P:f)
Úrad v oblasti kybernetickej bezpečnosti
f) plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,
Č
GP - N
Č:4, O:1
Ak sa v odvetvových právnych aktoch Únie vyžaduje, aby kľúčové alebo dôležité subjekty prijali opatrenia na riadenie kybernetických rizík alebo aby nahlasovali významné incidenty, a ak majú tieto požiadavky aspoň rovnocenný účinok ako povinnosti stanovené v tejto smernici, príslušné ustanovenia tejto smernice vrátane ustanovení o dohľade a presadzovaní práva v kapitole VII sa na takéto subjekty nevzťahujú. Ak sa odvetvové právne akty Únie nevzťahujú na všetky subjekty v konkrétnom odvetví v pôsobnosti tejto smernice, príslušné ustanovenia tejto smernice sa naďalej vzťahujú na subjekty, na ktoré sa odvetvové právne akty Únie nevzťahujú.
N
Návrh zákona
Č:I, §:19, O:1
Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základnej služby v závislosti od vykonanej analýzy rizík prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a vykonávať ich s cieľom zabezpečovania kybernetickej bezpečnosti a odolnosti. Na účely plnenia povinnosti podľa prvej vety prevádzkovateľ základnej služby prijíma, dodržiava a vykonáva sektorové bezpečnostné opatrenia, ak ustanovené; 24) povinnosť prijímať opatrenia podľa § 20 ods. 4 tým nie je dotknutá. Osoba poskytujúca niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2 plní bezpečnostné opatrenia.
Poznámka pod čiarou k odkazu 24 znie:
24) Napríklad nariadenie (EÚ) 2022/2554, zákon č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 95/2019 Z. z. v znení neskorších predpisov, vyhláška Úradu jadrového dozoru Slovenskej republiky č. 430/2011 Z. z. o požiadavkách na jadrovú bezpečnosť v znení vyhlášky č. 103/2016 Z. z.
Ú
GP - N
16
Návrh zákona
Č:I, §:24, O:8
Prevádzkovateľ základnej služby, na ktorého sa vzťahuje nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. L 333, 27.12.2022) (ďalej len „nariadenie (EÚ) 2022/2554“), plní povinnosť podľa odseku 1 nahlasovaním závažných incidentov súvisiacich s IKT prostredníctvom príslušného orgánu podľa nariadenia (EÚ) 2022/2554 úradu v rozsahu, spôsobom a v lehotách ustanovených v nariadení (EÚ) 2022/2554.
Č:4, O:2
Požiadavky uvedené v odseku 1 tohto článku sa považujú za rovnocenné s povinnosťami stanovenými v tejto smernici, ak:
a) opatrenia na riadenie kybernetických rizík majú prinajmenšom rovnocenný účinok ako opatrenia stanovené v článku 21 ods. 1 a 2; alebo
b) odvetvový právny akt Únie poskytuje okamžitý prístup, podľa potreby automatický a priamy, k hláseniam o incidentoch od jednotiek CSIRT, príslušných orgánov alebo jednotných kontaktných miest podľa tejto smernice a ak požiadavky na nahlasovanie závažných incidentov majú prinajmenšom rovnocenný účinok ako požiadavky stanovené v článku 23 ods. 1 až 6 tejto smernice.
n.a.
Č:4, O:3
Komisia do 17. júla 2023 poskytne usmernenia na objasnenie uplatňovania odsekov 1 a 2. Komisia uvedené usmernenia pravidelne prehodnocuje. Pri príprave uvedených usmernení Komisia zohľadňuje všetky pripomienky skupiny pre spoluprácu a agentúry ENISA.
n.a.
Č:5
Minimálna harmonizácia
Táto smernica nebráni členským štátom, aby prijali alebo ponechali v platnosti ustanovenia na zaistenie vyššej úrovne kybernetickej bezpečnosti, ak nie takéto ustanovenia v rozpore s povinnosťami členských štátov stanovenými v práve Únie.
n.a.
Č:6, O:1
Vymedzenie pojmov
Na účely tejto smernice sa uplatňuje toto vymedzenie pojmov:
N
Zákon č. 69/2018
Č:I, §:3, O:1, P:a)
Na účely tohto zákona sa rozumie
a) sieťou elektronická komunikačná sieť podľa osobitného predpisu,
8)
Ú
GP - N
17
1. „sieť a informačný systém“ je:
a) elektronická komunikačná sieť v zmysle vymedzenia v článku 2 bodu 1 smernice (EÚ) 2018/1972;
2. každé zariadenie alebo skupina vzájomne prepojených alebo súvisiacich zariadení, z ktorých jedno alebo viaceré vykonávajú automatické spracúvanie digitálnych údajov na základe programu; alebo
3. digitálne údaje, ktoré sa ukladajú, spracúvajú, získavajú alebo prenášajú prostredníctvom prvkov uvedených v písmenách a) a b) na účely ich prevádzkovania, používania, ochrany a udržiavania;
Z. z. v znení návrhu zákona
P:b)
b) informačným systémom funkčný celok, ktorý zabezpečuje získavanie, zhromažďovanie, automatické spracúvanie, udržiavanie, sprístupňovanie, poskytovanie, prenos, ukladanie, archiváciu, likvidáciu a ochranu údajov prostredníctvom technických prostriedkov alebo programových prostriedkov,
Poznámka pod čiarou k odkazu 8 znie:
8)
§ 2 ods. 1
 zákona č.
351/2011 Z. z.
 o elektronických komunikáciách v znení neskorších predpisov.
Č:6, O:2
„bezpečnosť sietí a informačných systémov“ je schopnosť sietí a informačných systémov odolávať na určitom stupni spoľahlivosti akejkoľvek udalosti, ktorá môže ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov;
N
Zákon č. 69/2018 Z. z.
Č:I, §:3, O:1, P:h)
Na účely tohto zákona sa rozumie
h) kybernetickou bezpečnosťou stav, v ktorom siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov,
Ú
GP - N
Č:6, O:3
„kybernetická bezpečnosť“ je kybernetická bezpečnosť v zmysle vymedzenia v článku 2 bode 1 nariadenia (EÚ) 2019/881;
N
Zákon č. 69/2018 Z. z.
Č:I, §:3, O:1, P:h)
h) kybernetickou bezpečnosťou stav, v ktorom siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov
Ú
GP - N
Č:6, O:4
„národná stratégia kybernetickej bezpečnosti je koherentný rámec členského štátu, v ktorom sa stanovujú strategické ciele a priority v oblasti kybernetickej bezpečnosti a systém správy na ich dosiahnutie v danom členskom štáte;
N
Návrh zákona
Č:I, §:7, O:1
(1) Národná stratégia kybernetickej bezpečnosti je východiskový strategický dokument, ktorý komplexne určuje strategický prístup Slovenskej republiky k zabezpečeniu vysokej úrovne kybernetickej bezpečnosti. Súčasťou národnej stratégie kybernetickej bezpečnosti politiky a národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy, ktorý je konkrétnym plánom čiastkových úloh a zdrojov.
Ú
GP - N
Č:6, O:5
„udalosť odvrátená v poslednej chvíli“ je udalosť, ktorá by mohla ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných
N
Návrh zákona
Č:I, §:3, O:1, P:p)
Na účely tohto zákona sa rozumie
p) udalosťou odvrátenou v poslednej chvíli udalosť, ktorá by mohla ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ale ktorej vzniku sa úspešne zabránilo alebo ku ktorej nedošlo,
Ú
GP - N
18
systémov, ale ktorej vzniku sa úspešne zabránilo alebo ku ktorej nedošlo;
Č:6, O:6
„incident“ je udalosť ohrozujúca dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom sietí a informačných systémov;
N
Návrh zákona
Č:I, §:3, O:1, P:m)
Na účely tohto zákona sa rozumie
m) kybernetickým bezpečnostným incidentom udalosť ohrozujúca dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom sietí a informačných systémov,
Ú
GP - N
Č:6, O:7
„rozsiahly kybernetický incident“ je incident, ktorý spôsobí narušenie na úrovni presahujúcej schopnosť členského štátu naň reagovať alebo ktorý významný vplyv aspoň na dva členské štáty;
N
Návrh zákona
Č:I, §:3, O:1, P:n)
Na účely tohto zákona sa rozumie
n) rozsiahlym kybernetickým bezpečnostným incidentom kybernetický bezpečnostný incident, ktorý spôsobí následky na úrovni presahujúcej schopnosť Slovenskej republiky naň reagovať, alebo ktorý významný vplyv aspoň na dva členské štáty Európskej únie,
Ú
GP - N
Č:6, O:8
„riešenie incidentov“ akékoľvek kroky a postupy zamerané na prevenciu, odhaľovanie, analýzu a obmedzovanie incidentov alebo na reakciu na incident a zotavenie z neho;
N
Návrh zákona
Č:I, §:3, O:1, P:o)
Na účely tohto zákona sa rozumie
o) riešením kybernetického bezpečnostného incidentu aktivita a postup zamerané na prevenciu, odhaľovanie, analýzu a obmedzovanie kybernetického bezpečnostného incidentu alebo na reakciu naň a zotavenie z neho,
Ú
GP - N
Č:6, O:9
„riziko“ je potenciál straty alebo narušenia v dôsledku incidentu a má byť vyjadrené ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu incidentu;
N
Návrh zákona
Č:I, §:3, O:1, P:i)
Na účely tohto zákona sa rozumie
i) rizikom potenciál straty alebo narušenia v dôsledku kybernetického bezpečnostného incidentu vyjadrený ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu kybernetického bezpečnostného incidentu,
Ú
GP - N
Č:6, O:10
„kybernetická hrozba“ je kybernetická hrozba v zmysle vymedzenia v článku 2 bode 8 nariadenia (EÚ) 2019/881;
N
Návrh zákona
Č:I, §:3, O:1, P:j)
Na účely tohto zákona sa rozumie
j) kybernetickou hrozbou kybernetická hrozba podľa čl. 2 bodu 8 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. L 151, 7.6.2019) (ďalej len „nariadenie (EÚ) 2019/881“),,
Ú
GP - N
Č:6, O:11
„významná kybernetická hrozba“ je kybernetická hrozba, o ktorej možno na základe jej technických charakteristík predpokladať, že potenciál mať závažný vplyv na sieť a informačné systémy subjektu alebo používateľov služieb subjektu tým, že spôsobí značnú hmotnú alebo nehmotnú ujmu;
N
Návrh zákona
Č:I, §:3, O:1, P:k)
Na účely tohto zákona sa rozumie
k) významnou kybernetickou hrozbou kybernetická hrozba, o ktorej možno na základe jej technických charakteristík predpokladať, že potenciál spôsobiť závažný kybernetický bezpečnostný incident alebo môže mať iný závažný vplyv na sieť a informačný systém subjektu alebo používateľov služieb subjektu tým, že spôsobí značnú škodu,9),
Poznámka pod čiarou k odkazu 9 znie:
9) § 125 ods. 1 Trestného zákona.
Ú
GP - N
19
Č:6, O:12
„produkt IKT“ je produkt IKT v zmysle vymedzenia v článku 2 bode 12 nariadenia (EÚ) 2019/881;
N
Návrh zákona
Č:I, §:3, O:1, P:r)
Na účely tohto zákona sa rozumie
r) produktom IKT produkt IKT podľa čl. 2 ods. 12 nariadenia (EÚ) 2019/881,
Ú
GP - N
Č:6, O:13
„služba IKT“ je služba IKT v zmysle vymedzenia v článku 2 bode 13 nariadenia (EÚ) 2019/881;
N
Návrh zákona
Č:I, §:3, O:1, P:s)
Na účely tohto zákona sa rozumie
s) službou IKT služba IKT podľa čl. 2 ods. 13 nariadenia (EÚ) 2019/881,
Ú
GP - N
Č:6, O:14
„proces IKT“ je proces v zmysle vymedzenia v článku 2 bode 14 nariadenia (EÚ) 2019/881;
N
Návrh zákona
Č:I, §:3, O:1, P:t)
Na účely tohto zákona sa rozumie
t) procesom IKT proces IKT podľa čl. 2 ods. 14 nariadenia (EÚ) 2019/881,
Ú
GP - N
Č:6, O:15
„zraniteľnosť“ je slabá stránka, náchylnosť alebo chyba produktov IKT alebo služieb IKT, ktorá môže byť zneužitá kybernetickou hrozbou;
N
Návrh zákona
Č:I, §:3, O:1, P:q)
Na účely tohto zákona sa rozumie
q) zraniteľnosťou akýkoľvek nežiaduci stav alebo chyba technického prostriedku alebo programového prostriedku, alebo nedostatok procesu vrátane nesprávnej bezpečnostnej konfigurácie, ktorá môže byť zneužitá kybernetickou hrozbou,
Ú
GP - N
Č:6, O:16
„norma“ je norma v zmysle vymedzenia v článku 2 bode 1 nariadenia Európskeho parlamentu a Rady (EÚ) č. 1025/2012
(29)
;
N
Zákon č. 60/2018 Z. z.
§:3, O:1
(1) Technickou normou je európska norma,
2)
 medzinárodná norma,
2a)
 harmonizovaná norma
2b)
 a národná norma
2c)
. Technická norma vychádza zo zásad koherencie, transparentnosti, otvorenosti, dobrovoľnosti uplatňovania, nezávislosti od osobitných záujmov, efektivity, obsahuje súbor pravidiel, usmernení, technických špecifikácií alebo výsledkov činností, ktoré odzrkadľujú aktuálny stav vedy a techniky, je výsledkom konsenzu zainteresovaných strán a podlieha systematickým previerkam jej aktuálnosti. Technická norma nie je technickým predpisom.
3)
2) Čl. 2 ods. 1 písm. b) nariadenia (EÚ) č. 1025/2012 v platnom znení.
2a) Čl. 2 ods. 1 písm. a) nariadenia (EÚ) č. 1025/2012 v platnom znení.
2b) Čl. 2 ods. 1 písm. c) nariadenia (EÚ) č. 1025/2012 v platnom znení.
2c) Čl. 2 ods. 1 písm. d) nariadenia (EÚ) č. 1025/2012 v platnom znení.
3)
§ 2 písm. i)
 zákona č.
55/2018 Z. z.
 o poskytovaní informácií o technickom predpise a o prekážkach voľného pohybu tovaru.
Ú
GP - N
Č:6, O:17
„technická špecifikácia“ je technická špecifikácia v zmysle vymedzenia v článku 2 bode 4 nariadenia (EÚ) č. 1025/2012;
N
Návrh zákona
Č:I, §:3,
O:1, P:ac)
ac) technickou špecifikáciou je technická špecifikácia podľa článku 2 bodu 4 nariadenia Európskeho parlamentu a Rady (EÚ) č. 1025/2012 z 25. októbra 2012 o európskej normalizácii, ktorým sa menia a dopĺňajú smernice Rady 89/686/EHS a 93/15/EHS a smernice Európskeho parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES a ktorým sa zrušuje rozhodnutie Rady 87/95/EHS a rozhodnutie Európskeho parlamentu a Rady č. 1673/2006/ES (Ú. v. EÚ L 316, 14. 11. 2012) v platnom znení,
Ú
GP - N
Č:6, O:18
„internetový prepojovací uzol“ je sieťové zariadenie, ktoré umožňuje prepojenie viac než dvoch nezávislých autonómnych sietí (autonómnych systémov) najmä na účely sprostredkovania internetového dátového toku, ktorý prepojuje len autonómne systémy a ktorý nevyžaduje, aby internetový dátový tok medzi
N
Návrh zákona
Príloha č. 1
Internetový prepojovací uzol je sieťové zariadenie, ktoré umožňuje prepojenie viac než dvoch nezávislých autonómnych sietí (autonómnych systémov) najmä na účely sprostredkovania internetového dátového toku, ktorý prepojuje len autonómne systémy a ktorý nevyžaduje, aby internetový dátový tok medzi ktoroukoľvek dvojicou zúčastnených autonómnych systémov prechádzal cez ľubovoľný tretí autonómny systém, takýto dátový tok menil alebo doň nejako nezasahoval.
Ú
GP - N
20
ktoroukoľvek dvojicou zúčastnených autonómnych systémov prechádzal cez ľubovoľný tretí autonómny systém, takýto dátový tok menil alebo doň nejako nezasahoval;
Č:6, O:19
„systém názvov domén“ alebo „DNS“ je hierarchický distribuovaný systém názvov, ktorý umožňuje identifikáciu internetových služieb a zdrojov a to, aby zariadenia koncových používateľov používali služby smerovania internetu a pripojenia na účely prístupu k týmto službám a zdrojom;
N
Návrh zákona
Č:I, §:3, O:1, P:w)
Na účely tohto zákona sa rozumie
w) službou DNS hierarchický distribuovaný systém názvov, ktorý umožňuje identifikáciu internetových služieb a zdrojov a to, aby zariadenia koncových používateľov používali služby smerovania internetu a pripojenia na účely prístupu k týmto službám a zdrojom,
Ú
GP - N
Č:6, O:20
„poskytovateľ služieb DNS“ je subjekt, ktorý poskytuje:
a) verejne dostupné služby rekurzívneho rozlišovania názvov domén pre koncových používateľov internetu; alebo
b) autoritatívne služby rozlišovania názvov domén pre použitie tretích strán s výnimkou koreňových názvových serverov;
N
Návrh zákona
Č:I, §:3, O:1, P:w)
Č:I, §:17, O:1, P:c), P:4
Na účely tohto zákona sa rozumie
w) službou DNS hierarchický distribuovaný systém názvov, ktorý umožňuje identifikáciu internetových služieb a zdrojov a to, aby zariadenia koncových používateľov používali služby smerovania internetu a pripojenia na účely prístupu k týmto službám a zdrojom,
Do registra prevádzkovateľov základnej služby sa zapisuje
c) osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
4. poskytuje službu DNS,
Ú
GP - N
Č:6, O:21
„správca názvov domén najvyššej úrovne“ alebo „správca názvov TLD“ je subjekt, ktorému bola pridelená osobitná doména najvyššej úrovne (TLD) a ktorý je zodpovedný za správu TLD vrátane registrácie názvov domén v rámci TLD a za technickú prevádzku TLD vrátane prevádzky názvových serverov, údržby jeho databáz a distribúcie súborov zóny TLD v rámci názvových serverov bez ohľadu na to, či ktorúkoľvek z týchto operácií vykonáva subjekt sám alebo sa vykonáva externe, avšak s vylúčením situácií, kedy názvy TLD používa správca pre vlastnú potrebu;
N
Návrh zákona
Č:I, §:3, O:1, P:v)
Na účely tohto zákona sa rozumie
v) správcom TLD osoba, ktorej bola pridelená osobitná doména najvyššej úrovne (TLD) a ktorá je zodpovedná za správu TLD vrátane registrácie názvov domén v rámci TLD a za technickú prevádzku TLD vrátane prevádzky názvových serverov, údržby jeho databáz a distribúcie súborov zóny TLD v rámci názvových serverov bez ohľadu na to, či ktorúkoľvek z týchto operácií vykonáva sama alebo prostredníctvom inej osoby,
Ú
GP - N
Č:6, O:22
„subjekt poskytujúci služby registrácie názvov domén“ je registrátor alebo zástupca konajúci v mene registrátorov, ako napríklad poskytovateľ alebo predajca služieb registrácie súkromia alebo proxy;
N
Návrh zákona
Č:I, §:3, O:1, P:x)
Na účely tohto zákona sa rozumie
x) službou registrácie názvu domény služba, ktorú vykonáva registrátor alebo zástupca konajúci v mene registrátora, ktorej cieľom je vznik práva na využívanie domény druhej úrovne držiteľom domény v dohodnutom rozsahu, na dohodnuté časové obdobie a za dohodnutých podmienok,
Ú
GP - N
21
Č:I, §:22, O:1
Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény povinní pri registrácii domény evidovať a viesť osobitnú evidenciu registračných údajov názvu domény.
Č:6, O:23
„digitálna služba“ je služba v zmysle vymedzenia v článku 1 ods. 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535
(30)
;
N
Návrh zákona
Príloha č. 2
Digitálna služba je každá služba poskytovaná informačnou spoločnosťou,
ktorá sa bežne poskytuje za odmenu, na diaľku, elektronickým spôsobom a na základe individuálnej žiadosti príjemcu služieb. Na diaľku znamená, že služba sa poskytuje bez toho, aby pri tom boli obe strany súčasne prítomné. Elektronickým spôsobom znamená, že služba sa z miesta pôvodu odošle a na mieste určenia prijíma prostredníctvom elektronického zariadenia, určeného na spracovávanie (vrátane digitálneho komprimovania) a uskladňovanie údajov a je úplne vysielaná, prenášaná a prijímaná po drôte, prostredníctvom rádiových vĺn, optickým spôsobom, alebo inými elektromagnetickými prostriedkami. Na základe individuálnej žiadosti príjemcu služieb znamená, že služba sa poskytuje prostredníctvom prenosu údajov na individuálnu žiadosť.
Ú
GP - N
Č:6, O:24
„dôveryhodná služba“ je dôveryhodná služba v zmysle vymedzenia v článku 3 bode 16 nariadenia (EÚ) č. 910/2014;
N
Zákon č. 272/2016 Z. z.
Č:I, §:1
Tento zákon upravuje podmienky poskytovania dôveryhodných služieb,
1)
povinnosti poskytovateľov dôveryhodných služieb,
2)
 pôsobnosť Národného bezpečnostného úradu (ďalej len „úrad“) v oblasti dôveryhodných služieb a sankcie za porušenie povinností podľa osobitného predpisu
3)
 a tohto zákona.
1) Čl. 3 ods. 16 nariadenia Európskeho parlamentu a Rady (EÚ) č.
910/2014 o elektronickej identifikácii a dôveryhodných službách pre
elektronické transakcie na vnútornom trhu a o zrušení smernice
1999/93/ES (Ú. v. EÚ L 257, 28. 8. 2014).
2) Čl. 3 ods. 19 nariadenia (EÚ) č. 910/2014.
3) Nariadenie (EÚ) č. 910/2014.
Ú
GP - N
Č:6, O:25
„poskytovateľ dôveryhodných služieb“ je poskytovateľ dôveryhodných služieb v zmysle vymedzenia v článku 3 bode 19 nariadenia (EÚ) č. 910/2014;
N
Zákon č. 272/2016 Z. z.
Č:I, §:1
Tento zákon upravuje podmienky poskytovania dôveryhodných služieb,
1)
 povinnosti poskytovateľov dôveryhodných služieb,
2)
 pôsobnosť
Národného bezpečnostného úradu (ďalej len „úrad“) v oblasti dôveryhodných služieb a sankcie za porušenie povinností podľa osobitného predpisu
3)
 a tohto zákona.
1) Čl. 3 ods. 16 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28. 8. 2014).
2) Čl. 3 ods. 19 nariadenia (EÚ) č. 910/2014.
3) Nariadenie (EÚ) č. 910/2014.
Ú
GP - N
Č:6, O:26
„kvalifikovaná dôveryhodná služba“ je kvalifikovaná dôveryhodná služba v zmysle
N
Zákon č.
Č:I, §:3, O:1
Poskytovateľ dôveryhodných služieb bez kvalifikovaného štatútu predkladá úradu oznámenie o zámere poskytovať kvalifikované dôveryhodné služby
14)
 elektronickým formulárom alebo v listinnej podobe
Ú
GP - N
22
vymedzenia v článku 3 bode 17 nariadenia (EÚ) č. 910/2014;
272/2016 Z. z.
na tlačive, ktorého vzor zverejní úrad na ústrednom portáli verejnej správy a na svojom webovom sídle. K oznámeniu o zámere poskytovať kvalifikované dôveryhodné služby sa prikladajú certifikáty príslušnej kvalifikovanej dôveryhodnej služby,
15)
 ktoré sa po udelení
kvalifikovaného štatútu zaraďujú do dôveryhodného zoznamu.
16)
14) Čl. 21 ods. 1 nariadenia (EÚ) č. 910/2014.
15) Čl. 3 ods. 17 nariadenia (EÚ) č. 910/2014.
16) Čl. 22 nariadenia (EÚ) č. 910/2014.
Č:6, O:27
„poskytovateľ kvalifikovaných dôveryhodných služieb“ je poskytovateľ kvalifikovaných dôveryhodných služieb v zmysle vymedzenia v článku 3 bode 20 nariadenia (EÚ) č. 910/2014;
N
Zákon č. 272/2016 Z. z.
Č:I, §:2, O:1
Ak sa v styku s orgánmi verejnej moci používa kvalifikovaný elektronický podpis,
4)
 kvalifikovaný certifikát pre elektronický podpis
5)
 vydaný kvalifikovaným poskytovateľom dôveryhodných služieb,
6)
 ktorému úrad
udelil kvalifikovaný štatút,
7)
 môže ako osobitný atribút
8)
 obsahovať rodné číslo podpisovateľa;
9)
 ak mu rodné číslo nebolo pridelené, môže obsahovať číslo pasu alebo číslo identifikačnej karty.
4) Čl. 3 ods. 12 nariadenia (EÚ) č. 910/2014.
5) Čl. 3 ods. 15 nariadenia (EÚ) č. 910/2014.Príloha 1 k nariadeniu (EÚ) č. 910/2014.
6) Čl. 3 ods. 20 nariadenia (EÚ) č. 910/2014.
7) Čl. 21 ods. 2 druhý pododsek nariadenia (EÚ) č. 910/2014.
8) Čl. 28 ods. 3 nariadenia (EÚ) č. 910/2014.
9) Čl. 3 ods. 9 nariadenia (EÚ) č. 910/2014.
Ú
GP - N
Č:6, O:28
„online trhovisko“ je online trhovisko v zmysle vymedzenia v článku 2 písm. n) smernice Európskeho parlamentu a Rady 2005/29/ES
(31)
;
N
Návrh zákona
Príloha č. 2
Online trh je služba, ktorá pomocou softvéru, vrátane webového sídla, časti webového sídla alebo aplikácie, prevádzkovaná obchodníkom alebo v jeho mene, umožňuje spotrebiteľom uzatvárať zmluvy na diaľku s inými obchodníkmi alebo so spotrebiteľmi.
Ú
GP - N
Č:6, O:29
„internetový vyhľadávač“ je internetový vyhľadávač v zmysle vymedzenia v článku 2 bodu 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/1150
(32)
;
N
Zákon č. 264/2022 Z. z.
Č:I, §:108, O:1
Štátnu reguláciu v oblasti vysielania, retransmisie, poskytovania audiovizuálnych mediálnych služieb na požiadanie, poskytovania platforiem na zdieľanie obsahu, poskytovania služby informačnej spoločnosti,
65a)
 ktorá je sprostredkovateľskou službou
65b)
 (ďalej len „sprostredkovateľská služba“), poskytovania online sprostredkovateľských služieb
65c)
 a poskytovania internetového
vyhľadávača
65d)
 v rozsahu vymedzenom týmto zákonom a osobitnými
predpismi
65e)
 vykonáva regulátor.
65a)
§ 2 písm. b)
 zákona č.
55/2018 Z. z.
 o poskytovaní informácií o technickom predpise a o prekážkach voľného pohybu tovaru.
65b) Čl. 3 písm. g) nariadenia Európskeho parlamentu a Rady (EÚ) 2022/2065 z 19. októbra 2022 o jednotnom trhu s digitálnymi službami a o
Ú
GP - N
23
zmene smernice 2000/31/ES (akt o digitálnych službách) (Ú. v. L 277, 27. 10. 2022).
65c) Čl. 2 ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/1150 z 20. júna 2019 o podpore spravodlivosti a transparentnosti pre komerčných používateľov online sprostredkovateľských služieb (Ú. v. L 186, 11. 7. 2019).
65d) Čl. 2 ods. 5 nariadenia (EÚ) 2019/1150.
65e) Nariadenie (EÚ) 2019/1150.Nariadenie (EÚ) 2022/2065.
Č:6, O:30
„služba cloud computingu“ je digitálna služba, ktoré umožňuje správu na požiadanie a vzdialený širokopásmový prístup ku škálovateľnému a pružnému súboru zdieľateľných výpočtových zdrojov, a to aj ak sa tieto zdroje nachádzajú na viacerých miestach;
N
Návrh zákona
Príloha č. 1
Služba cloud computing je digitálna služba, ktoré umožňuje správu na požiadanie a vzdialený širokopásmový prístup ku škálovateľnému a pružnému súboru zdieľateľných výpočtových zdrojov, a to aj ak sa tieto zdroje nachádzajú na viacerých miestach.
Ú
GP - N
Č:6, O:31
„služba dátového centra“ je služba, ktorá zahŕňa štruktúry alebo skupiny štruktúr vyhradené na centralizované umiestnenie, vzájomné prepojenie a prevádzku IT a sieťového vybavenia poskytujúcich služby ukladania, spracovania a prepravy dát spolu so všetkými zariadeniami a infraštruktúrami na distribúciu elektrickej energie a environmentálnu kontrolu;
N
Návrh zákona
Príloha č. 1
Služba dátového centra je služba, ktorá zahŕňa štruktúry alebo skupiny štruktúr vyhradené na centralizované umiestnenie, vzájomné prepojenie a prevádzku IT a sieťového vybavenia poskytujúcich služby ukladania, spracovania a prepravy dát spolu so všetkými zariadeniami a infraštruktúrami na distribúciu elektrickej energie a environmentálnu kontrolu.
Ú
GP - N
Č:6, O:32
„sieť na sprístupňovanie obsahu“ je sieť geograficky distribuovaných serverov na zabezpečenie vysokej dostupnosti, prístupnosti alebo rýchleho doručenia digitálneho obsahu a služieb používateľom internetu v mene poskytovateľov obsahu a služieb;
N
Návrh zákona
Príloha č. 1
Sieť na sprístupnenie obsahu je sieť geograficky distribuovaných serverov na zabezpečenie vysokej dostupnosti, prístupnosti alebo rýchleho doručenia digitálneho obsahu a služieb používateľom internetu v mene poskytovateľov obsahu a služieb.
Ú
GP - N
Č:6, O:33
„platforma služieb sociálnej siete“ je platforma, ktorá koncovým používateľom umožňuje vzájomné prepojenie, zdieľanie, objavovanie a komunikáciu prostredníctvom viacerých zariadení, najmä prostredníctvom chatov, príspevkov, videí a odporúčaní;
N
Návrh zákona
Príloha č. 2
Platforma služieb sociálnej siete je platforma, ktorá koncovým používateľom umožňuje vzájomné prepojenie, zdieľanie, objavovanie a komunikáciu prostredníctvom viacerých zariadení, najmä prostredníctvom chatov, príspevkov, videí a odporúčaní.
Ú
GP - N
Č:6, O:34
„zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorá je výslovne určená konať v mene poskytovateľa služieb DNS, správcu názvov TLD, subjektu poskytujúceho služby registrácie názvov domén, poskytovateľa služieb cloud computingu, poskytovateľa služieb dátových centier, poskytovateľa siete na
N
Návrh zákona
Č:I, §:21, O:1
Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2 , alebo o osobu, ktorá je treťou stranou, ktorá nemá trvalý pobyt, miesto podnikania alebo sídlo na území členského štátu Európskej únie a poskytuje tieto služby alebo vykonáva tieto činnosti na území Slovenskej republiky, je povinná mať počas celej doby poskytovania týchto služieb alebo vykonávania týchto činností určeného
Ú
GP - N
24
sprístupňovanie obsahu, poskytovateľa riadených služieb, poskytovateľa riadených bezpečnostných služieb, alebo poskytovateľa online trhoviska, internetového vyhľadávača alebo platformy služieb sociálnych sietí, ktorí nie usadení v Únii, a na ktorú sa príslušný orgán alebo jednotka CSIRT môžu obracať namiesto subjektu v súvislosti s jeho povinnosťami podľa tejto smernice;
zástupcu s trvalým pobytom, miestom podnikania alebo sídlom na území Slovenskej republiky alebo na území iného členského štátu Európskej únie, v ktorom tiež poskytuje tieto služby alebo vykonáva tieto činnosti.
Č:6, O:35
„subjekt verejnej správy“ je subjekt, ktorý je ako taký uznaný v členskom štáte v súlade s vnútroštátnym právom, okrem súdnictva, parlamentov a centrálnych bánk, a ktorý spĺňa tieto kritériá:
a) je zriadený na účely plnenia potrieb všeobecného záujmu a nemá priemyselný ani komerčný charakter;
b) právnu subjektivitu alebo je zo zákona oprávnený konať v mene iného subjektu s právnou subjektivitou;
c) je financovaný prevažne štátnymi, regionálnymi alebo inými verejnoprávnymi orgánmi, podlieha dohľadu týchto inštitúcií alebo orgánov nad svojím riadením alebo v správnom, riadiacom alebo dozornom orgáne viac ako polovicu členov menovaných štátnymi alebo regionálnymi orgánmi alebo inými verejnoprávnymi inštitúciami;
d) právomoc vydávať fyzickým alebo právnickým osobám správne alebo regulačné rozhodnutia, ktoré majú vplyv na ich práva pri cezhraničnom pohybe osôb, tovarov, služieb alebo kapitálu;
N
Zákon č. 523/2004 Z. z.
Návrh zákona
Č:I, §:3, O:1
Č:I, §:2, O:3
Subjektmi verejnej správy právnické osoby zapísané v registri organizácií vedenom Štatistickým úradom Slovenskej republiky podľa osobitného predpisu
3)
 a zaradené vo verejnej správe v súlade s jednotnou metodikou platnou pre Európsku úniu, a to
a) v ústrednej správe,
b) v územnej samospráve,
c) vo fondoch sociálneho poistenia a fondoch zdravotného poistenia.
Poznámka pod čiarou k odkazu 3 znie:
3) § 19 až 21 zákona č. 540/2001 Z. z. o štátnej štatistike.
Tento zákon sa nevzťahuje na
a) požiadavky na zabezpečenie sietí a informačných systémov podľa všeobecného predpisu o ochrane utajovaných skutočností,
b) osobitné ustanovenia o úlohách a oprávneniach spravodajskej služby pri ochrane kybernetického priestoru podľa osobitného predpisu,1)
c) ustanovenia osobitných predpisov o vyšetrovaní, odhaľovaní a stíhaní trestných činov,2)
d) požiadavky na zabezpečenie sietí a informačných systémov v sektore bankovníctva, financií alebo finančného systému podľa osobitných predpisov,3) vrátane štandardov a zásad vydaných alebo prijatých Európskou centrálnou bankou, Európskym systémom centrálnych bánk, Eurosystémom alebo európskymi orgánmi dohľadu,4) ako aj dohľad a kontrolu plnenia týchto požiadaviek a ani na platobné systémy a na systémy zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom podľa osobitných predpisov.5)“.
Poznámky pod čiarou k odkazom 1 až 5 znejú:
1) § 2 ods. 1 písm. g), ods. 3 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení zákona č. 151/2010 Z. z.
§ 4 ods. 3, § 5 ods. 1 písm. c) a h) a § 7 zákona č. 500/2022 Z. z. o Vojenskom spravodajstve.
Ú
GP - N
25
Zákon č. 319/2002 Z. z. o obrane Slovenskej republiky v znení neskorších predpisov.
2) Napríklad zákon č. 398/2015 Z. z. o európskom ochrannom príkaze v trestných veciach a o zmene a doplnení niektorých zákonov, zákon č. 91/2016 Z. z. o trestnej zodpovednosti právnických osôb a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
3) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333, 27.12.2022).
4) Napríklad čl. 127 ods. 2 Zmluvy o fungovaní Európskej únie v platnom znení (Ú. v. C 202, 7. 6. 2016), čl. 12 ods. 12.1, čl. 22 Protokolu (č. 4) o Štatúte Európskeho systému centrálnych bánk a Európskej centrálnej banky v platnom znení (Ú. v. C 202, 7. 6. 2016),
§ 2 zákona Národnej
rady Slovenskej republiky č. 566/1992 Zb.
 o Národnej banke Slovenska v znení neskorších predpisov,
§ 2 ods. 9 zákona č. 747/2004 Z. z.
 o dohľade nad finančným trhom a o zmene a doplnení niektorých zákonov v znení zákona č.
132/2013 Z. z.
, nariadenie Rady (EÚ) č. 1024/2013 z 15. októbra 2013, ktorým sa Európska centrálna banka poveruje osobitnými úlohami, pokiaľ ide o politiky týkajúce sa prudenciálneho dohľadu nad úverovými inštitúciami (Ú. v. EÚ L 287, 29. 10. 2013).
5) Napríklad čl. 3 ods. 3.1, čl. 22 Protokolu (č. 4) o Štatúte Európskeho systému centrálnych bánk a Európskej centrálnej banky v platnom znení (Ú. v. C 202, 7. 6. 2016), nariadenie Európskej centrálnej banky (EÚ) č. 795/2014 z 3. júla 2014 o požiadavkách v oblasti dohľadu nad systémovo dôležitými platobnými systémami (Ú. v. EÚ L 217, 23. 7. 2014).
Č:6, O:36
„verejná elektronická komunikačná sieť“ je verejná elektronická komunikačná sieť v zmysle vymedzenia v článku 2 bode 8 smernice (EÚ) 2018/1972;
N
Návrh zákona
Príloha č. 1
Verejná elektronická komunikačná sieť je elektronická komunikačná sieť, ktorá sa používa úplne alebo prevažne na poskytovanie verejne dostupných elektronických komunikačných služieb, ktoré podporujú prenos informácií medzi koncovými bodmi siete.
Ú
GP - N
Č:6, O:37
„elektronická komunikačná služba“ je elektronická komunikačná služba v zmysle vymedzenia v článku 2 bode 4 smernice (EÚ) 2018/1972;
N
Návrh zákona
Príloha č. 1
Elektronická komunikačná služba je služba obvykle poskytovaná za odplatu prostredníctvom elektronických komunikačných sietí, ktorá zahŕňa, s výnimkou služieb poskytujúcich obsah alebo vykonávajúcich redakčnú kontrolu obsahu prenášaného pomocou elektronických komunikačných sietí a služieb (službu prístupu k internetu, interpersonálnu komunikačnú službu, služby pozostávajúce úplne alebo prevažne z prenosu signálov, ako napríklad prenosové služby používané na poskytovanie služieb komunikácie M2M a na vysielanie).
Ú
GP - N
Č:6, O:38
„subjekt“ je fyzická alebo právnická osoba zriadená a uznaná ako taká podľa vnútroštátneho práva v mieste svojho sídla, ktorá môže vo vlastnom mene vykonávať práva a podliehať povinnostiam;
N
Zákon č. 40/1964 Zb.
§:8
(1) Spôsobilosť fyzickej osoby vlastnými právnymi úkonmi nadobúdať práva a brať na seba povinnosti (spôsobilosť na právne úkony) vzniká v plnom rozsahu plnoletosťou.
(2) Plnoletosť sa nadobúda dovŕšením osemnásteho roku. Pred dosiahnutím tohto veku sa plnoletosť nadobúda len uzavretím manželstva.
Ú
GP - N
26
Zákon č. 40/1964 Zb.
Zákon č. 40/1964 Zb.
Zákon č. 513/1991 Zb.
§:18
§:19
§:2,
O:2
Takto nadobudnutá plnoletosť sa nestráca ani zánikom manželstva ani vyhlásením manželstva za neplatné.
(1) Spôsobilosť mať práva a povinnosti majú aj právnické osoby.
(2) Právnickými osobami sú:
a) združenia fyzických alebo právnických osôb,
b) účelové združenia majetku,
c) jednotky územnej samosprávy,
d) iné subjekty, o ktorých to ustanovuje zákon.
(1) Na zriadenie právnickej osoby je potrebná písomná zmluva alebo zakladacia listina, pokiaľ osobitný zákon neustanovuje inak.
(2) Právnické osoby vznikajú dňom, ku ktorému zapísané do obchodného alebo do iného zákonom určeného registra, pokiaľ osobitný zákon neustanovuje ich vznik inak.
Podnikateľom podľa tohto zákona je:
a) osoba zapísaná v obchodnom registri,
b) osoba, ktorá podniká na základe živnostenského oprávnenia,
c) osoba, ktorá podniká na základe iného než živnostenského oprávnenia podľa osobitných predpisov,
d) fyzická osoba, ktorá vykonáva poľnohospodársku výrobu a je zapísaná do evidencie podľa osobitného predpisu.
Č:6, O:39
„poskytovateľ riadených služieb“ je subjekt, ktorý poskytuje služby súvisiace s inštaláciou, správou, prevádzkou alebo údržbou produktov IKT, sietí, infraštruktúry, aplikácií alebo akýchkoľvek iných sietí a informačných systémov formou pomoci alebo aktívnej správy vykonávanej buď v priestoroch zákazníka alebo na diaľku;
N
Návrh zákona
Príloha č. 1
Poskytovateľ riadenej služby je subjekt, ktorý poskytuje služby súvisiace s inštaláciou, správou, prevádzkou alebo údržbou produktov IKT, sietí, infraštruktúry, aplikácií alebo akýchkoľvek iných sietí a informačných systémov formou pomoci alebo aktívnej správy vykonávanej buď v priestoroch zákazníka alebo na diaľku.
Ú
GP - N
Č:6, O:40
„poskytovateľ riadených bezpečnostných služieb“ je poskytovateľ riadených služieb, ktorý vykonáva alebo poskytuje pomoc pre činnosti súvisiace s riadením kybernetických rizík;
N
Návrh zákona
Príloha č. 1
Poskytovateľ riadenej bezpečnostnej služby je poskytovateľ riadených služieb, ktorý vykonáva alebo poskytuje pomoc pre činnosti súvisiace s riadením kybernetických rizík.
Ú
GP - N
Č:6, O:41
„výskumná organizácia“ je subjekt, ktorého hlavným cieľom je vykonávať aplikovaný výskum alebo experimentálny vývoj s cieľom využiť výsledky tohto výskumu na komerčné účely, ktorého súčasťou však nie vzdelávacie inštitúcie.
N
Návrh zákona
Príloha č. 2
Výskumná organizácia je subjekt, ktorého hlavným cieľom je vykonávať aplikovaný výskum alebo experimentálny vývoj s cieľom využiť výsledky tohto výskumu na komerčné účely, ktorého súčasťou však nie vzdelávacie inštitúcie.
Ú
GP - N
27
Č:7, O:1
Každý členský štát prijme národnú stratégiu kybernetickej bezpečnosti, v ktorej stanoví strategické ciele, zdroje potrebné na dosiahnutie týchto cieľov a vhodné politické a regulačné opatrenia na dosiahnutie a zachovanie vysokej úrovne kybernetickej bezpečnosti. Národná stratégia kybernetickej bezpečnosti sietí obsahuje:
a) ciele a priority stratégie kybernetickej bezpečnosti členského štátu najmä pre odvetvia uvedené v prílohách I a II;
b) rámec riadenia na dosiahnutie cieľov a priorít uvedených v písmene a) tohto odseku vrátane politík uvedených v odseku 2;
c) rámec riadenia na objasnenie úloh a povinností relevantných zainteresovaných strán na vnútroštátnej úrovni, ktorý je základom spolupráce a koordinácie na vnútroštátnej úrovni medzi príslušnými orgánmi, jednotnými kontaktnými miestami a jednotkami CSIRT podľa tejto smernice, ako aj koordináciu a spoluprácu medzi uvedenými orgánmi a príslušnými orgánmi podľa odvetvových právnych aktov Únie;
d) mechanizmus na identifikáciu relevantných prostriedkov a hodnotenie rizík v danom členskom štáte;
e) identifikáciu opatrení na zabezpečenie pripravenosti a schopnosti reakcie na incidenty a zotavenia z nich vrátane spolupráce medzi verejným a súkromným sektorom;
f) zoznam rôznych orgánov a zainteresovaných strán zapojených do vykonávania národnej stratégie kybernetickej bezpečnosti;
g) politický rámec pre posilnenú koordináciu medzi príslušnými orgánmi podľa tejto smernice a príslušnými orgánmi podľa smernice (EÚ) 2022/2557 za účelom výmeny informácií o rizikách, kybernetických hrozbách a incidentoch, ako aj o nekybernetických rizikách, hrozbách a incidentoch, prípadne pri plnení úloh dohľadu;
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Návrh zákona
Návrh zákona
Č:I, §:5, O:1, P:d)
P:e)
Č:I, §:7, O:1
Č:I, §:7, O:2
Úrad v oblasti kybernetickej bezpečnosti
d) vypracúva národnú stratégiu kybernetickej bezpečnosti a ročnú správu o stave kybernetickej bezpečnosti v Slovenskej republike a Národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy, je orgánom pre riadenie kybernetických kríz a plní úlohu národného koordinátora riadenia rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz, v spolupráci s príslušnými štátnymi orgánmi,
e) je národným kontaktným miestom pre kybernetickú bezpečnosť, pre vnútroštátnu spoluprácu a pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie,
(1) Národná stratégia kybernetickej bezpečnosti je východiskový strategický dokument, ktorý komplexne určuje strategický prístup Slovenskej republiky k zabezpečeniu vysokej úrovne kybernetickej bezpečnosti. Súčasťou národnej stratégie kybernetickej bezpečnosti politiky a národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy, ktorý je konkrétnym plánom čiastkových úloh a zdrojov.
(2) Národná stratégia kybernetickej bezpečnosti obsahuje najmä
a) ciele a priority,
b) rámec riadenia na dosiahnutie cieľov a priorít,
c) rámec riadenia na objasnenie úloh a povinností zainteresovaných osôb na vnútroštátnej úrovni a ich zoznam,
d) mechanizmus na identifikáciu relevantných prostriedkov a hodnotenie rizík,
e) identifikáciu opatrení na zabezpečenie pripravenosti a schopnosti reakcie na kybernetické hrozby, zraniteľnosti a kybernetické bezpečnostné incidenty a zotavenia z nich vrátane spolupráce medzi verejným sektorom a súkromným sektorom,
f) rámec pre posilnenú koordináciu medzi príslušnými orgánmi podľa tohto zákona za účelom výmeny informácií o rizikách, kybernetických hrozbách a kybernetických bezpečnostných incidentoch,
g) plán vrátane potrebných opatrení na zvýšenie všeobecnej úrovne informovanosti občanov Slovenskej republiky o kybernetickej bezpečnosti.
Ú
GP - N
28
h) plán vrátane potrebných opatrení na zvýšenie všeobecnej úrovne informovanosti občanov o kybernetickej bezpečnosti.
Návrh zákona
Č:I, §:7, O:4
(4) Ústredný orgán a iný orgán štátnej správy spolupracujú s úradom na vypracovaní národnej stratégie kybernetickej bezpečnosti a na tento účel sú povinné poskytnúť úradu informácie v potrebnom rozsahu.
Č:7, O:2
Členské štáty v rámci národnej stratégie kybernetickej bezpečnosti prijmú najmä politiky:
a) so zameraním na kybernetickú bezpečnosť v dodávateľskom reťazci produktov IKT a služieb IKT, ktoré subjekty používajú na poskytovanie svojich služieb;
b) týkajúce sa zahrnutia a špecifikácie požiadaviek na kybernetickú bezpečnosť produktov IKT a služieb IKT vo verejnom obstarávaní, a to aj pokiaľ ide o certifikáciu kybernetickej bezpečnosti, šifrovanie a využívanie produktov kybernetickej bezpečnosti s otvoreným zdrojovým kódom;
c) riadenia zraniteľností vrátane podpory a sprostredkovania koordinovaného zverejňovania zraniteľností podľa článku 12 ods. 1;
d) v súvislosti s udržiavaním všeobecnej dostupnosti, integrity a dôvernosti verejného jadra otvoreného internetu, v relevantnom prípade vrátane kybernetickej bezpečnosti podmorských komunikačných káblov;
e) na podporu vývoja a integrácie relevantných pokročilých technológií so zámerom implementovať najmodernejšie opatrenia na riadenie rizík kybernetickej bezpečnosti;
f) na podporu a rozvoj vzdelávania a odbornej prípravy v oblasti kybernetickej bezpečnosti, kvalifikácií v oblasti kybernetickej bezpečnosti, zvyšovania informovanosti a výskumných a vývojových iniciatív v oblasti kybernetickej bezpečnosti, ako aj usmernenia o správnych postupoch a kontrolách kybernetickej hygieny, zamerané na občanov, zainteresované strany a subjekty;
N
Návrh zákona
Č:I, §:7, O:3
V rámci národnej stratégie kybernetickej bezpečnosti sa prijímajú politiky najmä na zabezpečenie
a) kybernetickej bezpečnosti v dodávateľskom reťazci produktov IKT a služieb IKT,
b) zohľadňovania požiadaviek na kybernetickú bezpečnosť produktov IKT a služieb IKT vo verejnom obstarávaní, a to aj ak ide o certifikáciu kybernetickej bezpečnosti, kryptografické opatrenia a využívanie produktov s otvoreným zdrojovým kódom,
c) riadenia zraniteľností vrátane podpory a sprostredkovania koordinovaného zverejňovania zraniteľností,
d) udržania všeobecnej dostupnosti, integrity a dôvernosti základných komunikačných protokolov a infraštruktúry otvoreného internetu,
e) podpory vývoja a integrácie pokročilých technológií so zámerom implementovať najmodernejšie opatrenia na riadenie rizík,
f) podpory a rozvoja vzdelávania a odbornej prípravy v oblasti kybernetickej bezpečnosti, kvalifikácií v oblasti kybernetickej bezpečnosti, zvyšovania informovanosti a výskumných a vývojových iniciatív v oblasti kybernetickej bezpečnosti, ako aj usmernenia o správnych postupoch a kontrolách bezpečnostného vzdelávania a získavania vedomostí a zručností, zamerané na občanov Slovenskej republiky a iné zainteresované osoby,
g) podpory akademických inštitúcií a výskumných inštitúcií pri vývoji, zlepšovaní a zavádzaní nástrojov kybernetickej bezpečnosti a bezpečnej sieťovej infraštruktúry,
h) postupov a vhodných nástrojov zdieľania informácií na podporu dobrovoľného zdieľania informácií o kybernetickej bezpečnosti medzi prevádzkovateľmi základnej služby a inými osobami, pri dodržaní podmienok ich zdieľania,
i) posilnenia kybernetickej bezpečnosti a schopnosti identifikovať a odvrátiť kybernetickú hrozbu a obnoviť pôvodný stav po kybernetickom bezpečnostnom incidente,
j) podpory aktívnej kybernetickej ochrany.
Ú
GP - N
29
g) na podporu akademických a výskumných inštitúcií pri vývoji, zlepšovaní a zavádzaní nástrojov kybernetickej bezpečnosti a bezpečnej sieťovej infraštruktúry;
h) vrátane príslušných postupov a vhodných nástrojov zdieľania informácií na podporu dobrovoľného zdieľania informácií o kybernetickej bezpečnosti medzi subjektmi v súlade s právom Únie;
i) na posilnenie kybernetickej odolnosti a základnej kybernetickej hygieny malých a stredných podnikov, najmä podnikov vyňatých z pôsobnosti tejto smernice, poskytovaním ľahko dostupných usmernení a pomoci pre ich špecifické potreby;
j) na podporu aktívnej kybernetickej ochrany.
Č:7, O:3
Členské štáty oznámia Komisii svoje národné stratégie kybernetickej bezpečnosti do troch mesiacov od ich prijatia. Členské štáty môžu z takýchto oznámení vylúčiť informácie, ktoré sa týkajú ich národnej bezpečnosti.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:5, O:1, P:d)
Č:I, §:5, O:1, P:f)
Úrad v oblasti kybernetickej bezpečnosti
d) vypracúva národnú stratégiu kybernetickej bezpečnosti a ročnú správu o stave kybernetickej bezpečnosti v Slovenskej republike a Národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy, je orgánom pre riadenie kybernetických kríz a plní úlohu národného koordinátora riadenia rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz,
f) plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,
Ú
GP - N
Č:7, O:4
Členské štáty pravidelne a aspoň každých päť rokov hodnotia svoje národné stratégie kybernetickej bezpečnosti na základe kľúčových ukazovateľov výkonnosti a v prípade potreby ich aktualizujú. Agentúra ENISA pomáha členským štátom na ich žiadosť pri vývoji alebo aktualizácii národnej stratégie kybernetickej bezpečnosti a kľúčových ukazovateľov výkonnosti na posúdenie tejto
N
Návrh zákona
Zákon č. 575/2001 Z. z.
Č:I, §:7, O:5
§:36
Národnú stratégiu kybernetickej bezpečnosti schvaľuje vláda Slovenskej republiky na návrh úradu, na obdobie piatich rokov.
Ministerstvá a ostatné ústredné orgány štátnej správy skúmajú problematiku vo veciach, ktoré v ich pôsobnosti, a analyzujú dosahované výsledky. Robia opatrenia na riešenie aktuálnych otázok a spracúvajú koncepcie rozvoja zverených oblastí a riešenia základných otázok, ktoré po zverejnení a po pripomienkovom konaní predkladajú vláde. V prípadoch ustanovených zákonom alebo na základe rozhodnutia vlády sa pripomienkové konanie nemusí uskutočniť.
Ú
súčasťou pravidelných materiálov predkladaných na rokovanie vlády SR je vždy aj zhodnotenie predchádzajúceho obdobia a plán na ďalšie obdobie, nie je potrebné to explicitne vyjadrovať
GP - N
30
stratégie s cieľom zosúladiť ju s požiadavkami a povinnosťami stanovenými v tejto smernici.
Č:8, O:1
Každý členský štát určí jeden alebo zriadi jeden alebo viacero príslušných orgánov zodpovedných za kybernetickú bezpečnosť a za úlohy dohľadu uvedené v kapitole VII (príslušné orgány).
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Návrh zákona
Návrh zákona
Návrh zákona
Č:I, §:4
Č:I, §:5, O:1,
P:u)
Č:I, §:5, O:1, P:aa)
Č:I, §:29a, O:1
Pôsobnosť v oblasti kybernetickej bezpečnosti vykonávajú
a) Národný bezpečnostný úrad (ďalej len „úrad“),
b) Ministerstvo dopravy Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo hospodárstva Slovenskej republiky, Ministerstvo obrany Slovenskej republiky, Ministerstvo vnútra Slovenskej republiky, Ministerstvo zdravotníctva Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky, Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky a Správa štátnych hmotných rezerv Slovenskej republiky (ďalej len „ústredný orgán“),
c) ministerstvá a ostatné ústredné orgány štátnej správy,
10)
 ktoré nie ústredným orgánom, Generálna prokuratúra Slovenskej republiky, Najvyšší kontrolný úrad Slovenskej republiky, Úrad pre dohľad nad zdravotnou starostlivosťou, Úrad na ochranu osobných údajov Slovenskej republiky, Úrad pre reguláciu sieťových odvetví a iné štátne orgány v rozsahu svojej pôsobnosti (ďalej len „iný orgán štátnej správy“).
Poznámka pod čiarou k odkazu 10 znie:
10)
§ 3
 a
21 zákona č. 575/2001 Z. z.
 o organizácii činnosti vlády a organizácii ústrednej štátnej správy v znení neskorších predpisov.
Úrad v oblasti kybernetickej bezpečnosti
u) vykonáva dohľad,
aa) vykonáva kontrolu a dozor podľa čl. 58 ods.7 písm. a) a b) nariadenia (EÚ) 2019/881 a prijíma opatrenia podľa čl. 58 ods. 8 písm. c) nariadenia (EÚ) 2019/881,
Úrad vykonáva dohľad
a) vybavovaním sťažností,
b) kontrolou,
c) ukladaním opatrení na zastavenie porušovania povinností a na nápravu nezákonného stavu (ďalej len „opatrenia na nápravu“),
d) schvaľovaním dohody o náprave,
e) prejednávaním správnych deliktov a ukladaním poriadkových pokút a pokút.
Ú
GP - N
31
Č:8, O:2
Príslušné orgány uvedené v odseku 1 monitorujú implementáciu tejto smernice na vnútroštátnej úrovni.
N
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:5, O:1,
P:m)
Č:I, §:9, O:1, P:b)
Úrad v oblasti kybernetickej bezpečnosti
m) systematicky získava, sústreďuje, analyzuje a vyhodnocuje informácie o stave kybernetickej bezpečnosti v Slovenskej republike,
Ústredný orgán v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa
prílohy č. 1
 alebo prílohy č. 2, zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že
b) poskytuje úradu požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na zabezpečenie kybernetickej bezpečnosti; informácie sa poskytujú len za podmienky, že ich poskytnutím nedôjde k ohrozeniu plnenia konkrétnej úlohy spravodajskej služby podľa osobitného predpisu
13)
 alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb konajúcich v jej prospech alebo k ohrozeniu medzinárodnej spravodajskej spolupráce,
Poznámka pod čiarou k odkazu 13 znie:
13) Zákon Národnej rady Slovenskej republiky č.
46/1993 Z. z.
 v znení neskorších predpisov.
Zákon Národnej rady Slovenskej republiky č.
198/1994 Z. z.
 v znení neskorších predpisov.
Ú
GP - N
Č:8, O:3
Každý členský štát určí alebo zriadi miesto jednotného kontaktu. Ak členský štát určí alebo zriadi iba jeden príslušný orgán podľa odseku 1, uvedený príslušný orgán je aj jednotným kontaktným miestom v danom členskom štáte.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:5, O:1, P:e)
Úrad v oblasti kybernetickej bezpečnosti
e) je národným kontaktným miestom pre kybernetickú bezpečnosť pre vnútroštátnu spoluprácu a pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie,
Ú
GP - N
Č:8, O:4
Každé jednotné kontaktné miesto vykonáva styčnú funkciu s cieľom zabezpečiť cezhraničnú spoluprácu orgánov daného členského štátu s príslušnými orgánmi iných členských štátov a v prípade potreby s Komisiou a agentúrou ENISA, ako aj s cieľom zabezpečiť medziodvetvovú spoluprácu s inými príslušnými orgánmi v rámci daného členského štátu.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:5, O:1, P:e)
P:f)
P:t)
Úrad v oblasti kybernetickej bezpečnosti
e) je národným kontaktným miestom pre kybernetickú bezpečnosť, pre vnútroštátnu spoluprácu a pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie,
f) plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,
t) prijíma hlásenia o kybernetických bezpečnostných incidentoch, o kybernetických hrozbách a o zraniteľnostiach zo zahraničia a zabezpečuje spoluprácu s medzinárodnými organizáciami a orgánmi iných štátov pri riešení kybernetických bezpečnostných incidentov s cezhraničným charakterom,
Ú
GP - N
32
Č:8, O:5
Členské štáty zabezpečia, aby ich príslušné orgány a jednotné kontaktné miesta mali primerané zdroje na účinné a efektívne vykonávanie zverených úloh, a teda na plnenie cieľov tejto smernice.
N
Zákon č. 575/2001 Z. z.
Zákon č. 523/2004 Z. z.
§:35, O:3
Č:I, §:6, O:1
Ministerstvá a ostatné ústredné orgány štátnej správy v rozsahu vymedzenej pôsobnosti zodpovedajú aj za úlohy obrany, kybernetickú bezpečnosť a vytváranie podmienok na realizáciu požiadaviek zabezpečovania príprav na obranu, ochranu a kybernetickú bezpečnosť.
Štátny rozpočet je základnou súčasťou rozpočtu verejnej správy a zabezpečuje sa ním financovanie hlavných funkcií štátu v príslušnom rozpočtovom roku. Štátny rozpočet na príslušný rozpočtový rok obsahuje rozpočtované príjmy, rozpočtované výdavky a finančné operácie so štátnymi finančnými aktívami a iné operácie, ktoré ovplyvňujú stav štátnych finančných aktív alebo štátnych finančných pasív.
Ú
GP - N
Č:8, O:6
Každý členský štát bez zbytočného odkladu informuje Komisiu o identite príslušného orgánu uvedeného v odseku 1 a jednotného kontaktného miesta uvedeného v odseku 3, o úlohách uvedených orgánov a o všetkých ich následných zmenách. Každý členský štát totožnosť svojho príslušného orgánu zverejní. Komisia zostaví verejne dostupný zoznam jednotných kontaktných miest.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:5, O:1, P:e)
P:f)
Úrad v oblasti kybernetickej bezpečnosti
e) je národným kontaktným miestom pre kybernetickú bezpečnosť pre vnútroštátnu spoluprácu a pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie,
f) plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,
Ú
GP - N
Č:9, O:1
Každý členský štát určí alebo zriadi jeden alebo viac príslušných orgánov zodpovedných za riadenie rozsiahlych kybernetických incidentov a kríz (orgány pre riadenie kybernetických kríz). Členské štáty zabezpečujú, aby uvedené orgány mali primerané zdroje na účinný a efektívny výkon zverených úloh. Súlad s platnými rámcami pre všeobecné vnútroštátne krízové riadenie zabezpečujú členské štáty.
N
Návrh zákona
Č:I, §:5, O:1, P:d)
Č:I, §:7, O:7
Č:I, §:7, O:8
Úrad v oblasti kybernetickej bezpečnosti
d) vypracúva národnú stratégiu kybernetickej bezpečnosti a ročnú správu o stave kybernetickej bezpečnosti v Slovenskej republike a Národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy, je orgánom pre riadenie kybernetických kríz a plní úlohu národného koordinátora riadenia rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz,
Národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy a jeho zmenu schvaľuje vláda Slovenskej republiky na návrh úradu.
Ústredný orgán a iný orgán štátnej správy spolupracujú s úradom na vypracovaní národného plánu reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy a na tento účel povinné poskytnúť úradu informácie v potrebnom rozsahu.
Ú
GP - N
Č:9, O:2
Ak členský štát určí alebo zriadi viac ako jeden orgán pre riadenie kybernetických kríz podľa odseku 1, jasne uvedie, ktorý z týchto príslušných orgánov slúžiť ako koordinátor riadenia rozsiahlych kybernetických incidentov a kríz.
D
v podmienkach SR ide iba o NBÚ - § 5 ods. 1 písm. d) zákona č. 69/2018 Z. z. v znení návrhu zákona
33
Č:9, O:3
Každý členský štát určí spôsobilosti, aktíva a postupy, ktoré možno použiť na účely tejto smernice v prípade krízy.
N
Zákon č. 69/2018 Z. z.
Návrh zákona
Návrh zákona
Č:I, §:5, O:1, P:b)
Č:I, §:7, O:6
Č:I, §:7, O:7
Úrad v oblasti kybernetickej bezpečnosti
b) určuje štandardy, operačné postupy, vydáva metodiku a politiku správania sa v kybernetickom priestore,
Národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy je strategický dokument, ktorý určuje ciele a spôsoby riadenia rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz a obsahuje najmä
a) ciele, prípravu a opatrenia v oblasti pripravenosti na vznik rozsiahleho kybernetického bezpečnostného incidentu a kybernetickej krízy,
b) úlohy orgánov krízového riadenia pri riadení kybernetických kríz v rozsahu ich oprávnení podľa osobitných predpisov,
c) postupy riadenia kybernetických kríz vrátane ich začlenenia do krízového riadenia mimo času vojny a vojnového stavu a postupy a spôsob výmeny informácií,
d) identifikáciu príslušných dotknutých osôb a potrebnej infraštruktúry a iných zdrojov,
e) opatrenia a úlohy na účely zabezpečenia účinnej účasti na koordinovanom riadení rozsiahlych kybernetických incidentov a kybernetických kríz na úrovni Európskej únie, ako aj podporu tohto riadenia.
Národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy a jeho zmenu schvaľuje vláda Slovenskej republiky na návrh úradu.
Ú
GP - N
Č:9, O:4
Každý členský štát prijme národný plán reakcie na rozsiahle kybernetické incidenty a krízy, v ktorom sa stanovia ciele a spôsoby riadenia rozsiahlych kybernetických incidentov a kríz. V uvedenom pláne sa stanovia najmä:
a) ciele vnútroštátnych opatrení a činností v oblasti pripravenosti;
b) úlohy a povinnosti orgánov pre riadenie kybernetických kríz;
c) postupy riadenia kybernetických kríz vrátane ich začlenenia do všeobecného vnútroštátneho rámca krízového riadenia a kanálov na výmenu informácií;
d) vnútroštátne opatrenia v oblasti pripravenosti vrátane cvičení a činností odbornej prípravy;
N
Návrh zákona
Č:I, §:7, O:6
Národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy je strategický dokument, ktorý určuje ciele a spôsoby riadenia rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz a obsahuje najmä
a) ciele, prípravu a opatrenia v oblasti pripravenosti na vznik rozsiahleho kybernetického bezpečnostného incidentu a kybernetickej krízy,
b) úlohy orgánov krízového riadenia pri riadení kybernetických kríz v rozsahu ich oprávnení podľa osobitných predpisov,
c) postupy riadenia kybernetických kríz vrátane ich začlenenia do krízového riadenia mimo času vojny a vojnového stavu a postupy a spôsob výmeny informácií,
d) identifikáciu príslušných dotknutých osôb a potrebnej infraštruktúry a iných zdrojov,
e) opatrenia a úlohy na účely zabezpečenia účinnej účasti na koordinovanom riadení rozsiahlych kybernetických incidentov a kybernetických kríz na úrovni Európskej únie, ako aj podporu tohto riadenia.
Ú
GP - N
34
e) príslušné verejné a súkromné zainteresované strany a potrebná infraštruktúra;
f) vnútroštátne postupy a dojednania medzi príslušnými vnútroštátnymi orgánmi a inštitúciami s cieľom zabezpečiť účinnú účasť členského štátu na koordinovanom riadení rozsiahlych kybernetických incidentov a kríz na úrovni Únie, ako aj jeho podporu tohto riadenia.
Č:9, O:5
Do troch mesiacov od určenia alebo zriadenia orgánu pre riadenie kybernetických kríz uvedeného v odseku 1 informuje každý členský štát Komisiu o totožnosti svojho orgánu a o všetkých jeho následných zmenách. Členské štáty zasielajú Komisii a Európskej sieti kontaktných organizácií pre kybernetickú krízu (EU-CyCLONe) relevantné informácie v súvislosti s požiadavkami odseku 4 o svojich vnútroštátnych plánoch reakcie na rozsiahle kybernetické incidenty a krízy do troch mesiacov od prijatia uvedených plánov. Členské štáty môžu vylúčiť informácie v prípade a v rozsahu, v akom je takéto vylúčenie potrebné pre ich národnú bezpečnosť.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:5, O:1, P:e)
P:f)
Úrad v oblasti kybernetickej bezpečnosti
e) je národným kontaktným miestom pre kybernetickú bezpečnosť, pre vnútroštátnu spoluprácu a pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie,
f) plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,
Ú
GP - N
Č:10, O:1
Každý členský štát určí alebo zriadi jednu alebo viacero jednotiek CSIRT. Jednotky CSIRT možno určiť alebo zriadiť v rámci príslušného orgánu. Jednotky CSIRT povinné spĺňať požiadavky stanovené v článku 11 ods. 1, pokrývať aspoň odvetvia, pododvetvia alebo druhy subjektov uvedených v prílohách I a II a zodpovedajú za riešenie incidentov podľa presne stanoveného postupu.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z. v znení
Č:I, §:6: O:1
Č:I, §:6, O:2
Č:I, §:9, O:2
Úrad zriaďuje Národné centrum kybernetickej bezpečnosti ako svoju organizačnú zložku, ktorá postavenie národnej jednotky CSIRT s pôsobnosťou pre Slovenskú republiku, ktorá musí spĺňať podmienky akreditácie podľa
§ 14
 a plniť úlohy jednotky CSIRT podľa
§ 15
 pre všetky sektory a podsektory uvedené v
prílohe č. 1
 alebo v prílohe č. 2 okrem tých sektorov a podsektorov, pre ktoré plní úlohy jednotky CSIRT ústredný orgán. Národná jednotka CSIRT je zaradená v zozname akreditovaných jednotiek CSIRT.
Národná jednotka CSIRT plní úlohu ústredného orgánu v rozsahu podľa
§
9 ods. 1 písm. a)
, ak ústredný orgán túto úlohu nezabezpečí spôsobom podľa
§ 9 ods. 2
.
Ústredný orgán na plnenie úloh podľa odseku 1 písm. a) v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa
prílohy č. 1
 alebo prílohy č. 2 využíva Národné centrum kybernetickej bezpečnosti alebo zriaďuje a prevádzkuje vlastnú akreditovanú jednotku CSIRT alebo využíva
Ú
GP - N
35
návrhu zákona
Zákon č. 69/2018 Z. z.
Č:I, §:11
akreditovanú jednotku CSIRT v pôsobnosti ústredného orgánu, ak sa tak zmluvne dohodnú.
Zriaďuje sa vládna jednotka CSIRT v pôsobnosti Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky pre podsektor informačné systémy verejnej správy. Vládna jednotka CSIRT musí spĺňať podmienky akreditácie podľa
§ 14
 a plniť úlohy podľa
§ 15
. Vládna jednotka CSIRT sa zaraďuje do zoznamu akreditovaných jednotiek CSIRT.
Č:10, O:2
Členské štáty zabezpečia, aby každá jednotka CSIRT mala primerané zdroje na účinné plnenie svojich úloh stanovených v článku 11 ods. 3.
N
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z.
Č:I, §:13, O:1
Č:I, §:14
Č:I, §:16, O:1, P:a)
Zhodu jednotky CSIRT s podmienkami akreditácie jednotky CSIRT posudzuje úrad na základe žiadosti.
Žiadateľ o akreditáciu jednotky CSIRT podľa
§ 13
 dokumentáciou preukazuje, že jednotka CSIRT
a) požadované technické, technologické a personálne vybavenie podľa všeobecne záväzného právneho predpisu, ktorý vydá úrad,
b) vytvorené podmienky umožňujúce chránený prenos a spracovanie údajov spôsobom podľa osobitného predpisu,
19)
c) chráni informácie a údaje, ktoré v súvislosti s plnením povinností podľa tohto zákona získava a spracováva ich tak, aby nebola narušená ich dostupnosť, dôvernosť, autentickosť a integrita,
20)
d) umiestnenú dokumentáciu, informačné systémy a ostatné informačno-komunikačné technológie v zabezpečenom priestore tak, aby nebola narušená ich dôvernosť, autentickosť a integrita.
20)
Poznámky pod čiarou k odkazom 19 a 20 znejú:
19) Zákon č.
215/2004 Z. z.
 v znení neskorších predpisov.
§ 6 ods. 10
,
§ 55 ods. 9
,
§ 56 ods. 7
,
§ 58 ods. 4
 a
§ 69 zákona č. 215/2004
Z. z.
20) Napríklad STN ISO/IEC 27002 Informačné technológie. Bezpečnostné metódy. Pravidlá dobrej praxe riadenia informačnej bezpečnosti (ISO/IEC 27002:2013).
Ten, kto plní úlohy jednotky CSIRT,
a) musí zabezpečiť, aby jednotka CSIRT v jeho pôsobnosti, ktorá je zaradená v zozname akreditovaných jednotiek CSIRT, nepretržite počas celej doby svojej prevádzky spĺňala podmienky akreditácie jednotky CSIRT podľa
§ 14
 a zároveň plnila všetky úlohy podľa
§ 15
Ú
GP - N
Č:10, O:3
Členské štáty zabezpečia, aby každá jednotka CSIRT mala k dispozícii vhodnú, bezpečnú a odolnú komunikačnú a informačnú
N
Návrh zákona
Č:I, §:8, O:3, P:c)
Komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov je komunikačný systém, ktorým sa zabezpečuje
Ú
GP - N
36
infraštruktúru na výmenu informácií s kľúčovými a dôležitými subjektmi a ďalšími relevantnými zainteresovanými stranami. Členské štáty na uvedený účel zabezpečia, aby každá jednotka CSIRT prispievala k zavádzaniu bezpečných nástrojov na výmenu informácií.
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z.
Č:I, §:8, O:5, P:b)
Č:I, §:14, P:b),
P:c)
c) komunikácia medzi národnou jednotkou CSIRT, vládnou jednotkou CSIRT a akreditovanými jednotkami CSIRT v Slovenskej republike a takýmito jednotkami CSIRT v inom členskom štáte Európskej únie, vrátane výmeny informácií a údajov potrebných na účinnú spoluprácu pri zabezpečovaní ich úloh v oblasti kybernetickej bezpečnosti.
K neverejnej časti jednotného informačného systému kybernetickej bezpečnosti priamy prístup v elektronickej forme v reálnom čase, v rozsahu určenom úradom alebo osobitným predpisom
12)
 a na základe vecnej pôsobnosti
b) jednotka CSIRT zaradená v zozname akreditovaných jednotiek CSIRT,
Poznámka pod čiarou k odkazu 12 znie:
12) Napríklad nariadenie Európskeho parlamentu a Rady (EÚ) č. 1092/2010 z 24. novembra 2010 o makroprudenciálnom dohľade Európskej únie nad finančným systémom a o zriadení Európskeho výboru pre systémové riziká (Ú. v. L 331, 15. 12. 2010), nariadenie Európskej centrálnej banky (EÚ) č. 468/2014 zo 16. apríla 2014 o rámci pre spoluprácu v rámci jednotného mechanizmu dohľadu medzi Európskou centrálnou bankou, príslušnými vnútroštátnymi orgánmi a určenými vnútroštátnymi orgánmi (nariadenie o rámci JMD) (Ú. v. L 141, 14. 5. 2014), zákon Národnej rady Slovenskej republiky č.
566/1992 Zb.
 v znení neskorších predpisov,
§ 15 ods. 2 zákona Národnej rady Slovenskej
republiky č. 46/1993 Z. z.
 v znení zákona č. 444/2015 Z. z.
Žiadateľ o akreditáciu jednotky CSIRT podľa
§ 13
 dokumentáciou preukazuje, že jednotka CSIRT
b) vytvorené podmienky umožňujúce chránený prenos a spracovanie údajov spôsobom podľa osobitného predpisu,
19)
Poznámka pod čiarou k odkazu 19 znie:
19) Zákon č.
215/2004 Z. z.
 v znení neskorších predpisov.
c) chráni informácie a údaje, ktoré v súvislosti s plnením povinností podľa tohto zákona získava a spracováva ich tak, aby nebola narušená ich dostupnosť, dôvernosť, autentickosť a integrita,
20)
Poznámka pod čiarou k odkazu 20 znie:
20) Napríklad STN ISO/IEC 27002 Informačné technológie. Bezpečnostné metódy. Pravidlá dobrej praxe riadenia informačnej bezpečnosti (ISO/IEC 27002:2013).
Č:10, O:4
Jednotky CSIRT spolupracujú a v prípade potreby si vymieňajú relevantné informácie v súlade s článkom 29 s odvetvovými alebo
N
Zákon č. 69/2018
Č:I, §:5, O:1, P:i)
Úrad v oblasti kybernetickej bezpečnosti
Ú
GP - N
37
medziodvetvovými komunitami kľúčových a dôležitých subjektov.
Z. z. v znení návrhu zákona
Návrh zákona
Návrh zákona
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z.
Návrh zákona
Č:I, §:6, O:7
Č:I, §:8, O:3, P:c)
Č:I, §:15, O:1
Č:I, §:15, O:2, P:c)
Č:I, §:16, O:4
i) spolupracuje s ústrednými orgánmi, inými orgánmi štátnej správy a jednotkami CSIRT, prevádzkovateľmi základných služieb a s vedeckými a akademickými inštitúciami pri plnení úloh podľa tohto zákona,
Ak ide o zraniteľnosť týkajúcu sa služby, ku ktorej vykonáva služby jednotka CSIRT v inom členskom štáte Európskej únie, postúpi úrad oznámenie o zraniteľnosti tejto jednotke CSIRT a informuje o tom oznamovateľa.
Komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov je komunikačný systém, ktorým sa zabezpečuje
c) komunikácia medzi národnou jednotkou CSIRT, vládnou jednotkou CSIRT a akreditovanými jednotkami CSIRT v Slovenskej republike a takýmito jednotkami CSIRT v inom členskom štáte Európskej únie, vrátane výmeny informácií a údajov potrebných na účinnú spoluprácu pri zabezpečovaní ich úloh v oblasti kybernetickej bezpečnosti.
Ten, kto plní úlohy jednotky CSIRT v rozsahu svojej pôsobnosti určenej podľa
prílohy č. 1
 alebo prílohy č. 2 zodpovedá za riešenie kybernetických bezpečnostných incidentov a vykonáva preventívne služby a reaktívne služby.
Preventívne služby sa zameriavajú na prevenciu kybernetických bezpečnostných incidentov
c) spoluprácou s ostatnými jednotkami CSIRT,
Ten, kto plní úlohy jednotky CSIRT zabezpečuje spoluprácu s úradom, príslušným ústredným orgánom a ostatnými jednotkami CSIRT, ako aj s jednotkami CSIRT z iných členských štátov Európskej únie a účasť na partnerských preskúmaniach organizovaných v rámci spolupráce medzi členskými štátmi Európskej únie, Európskou komisiou a Agentúrou Európskej únie pre kybernetickú bezpečnosť.
Č:10, O:5
Jednotky CSIRT sa zúčastňujú na partnerských preskúmaniach organizovaných podľa článku 19.
N
Návrh zákona
Č:I, §:16, O:4
Ten, kto plní úlohy jednotky CSIRT zabezpečuje spoluprácu s úradom, príslušným ústredným orgánom a ostatnými jednotkami CSIRT, ako aj s jednotkami CSIRT z iných členských štátov Európskej únie a účasť na
Ú
GP - N
38
partnerských preskúmaniach organizovaných v rámci spolupráce medzi členskými štátmi Európskej únie, Európskou komisiou a Agentúrou Európskej únie pre kybernetickú bezpečnosť.
Č:10, O:6
Členské štáty zabezpečia účinnú, efektívnu a bezpečnú spoluprácu svojich jednotiek CSIRT v sieti jednotiek CSIRT.
N
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z.
Návrh zákona
Návrh zákona
Č:I, §:5, O:1, P:g)
Č:I, §:15, O:1
Č:I, §:15, O:2, P:c)
P:k)
Č:I, §:16, O:4
Úrad v oblasti kybernetickej bezpečnosti
g) zabezpečuje členstvo Slovenskej republiky v skupine pre spoluprácu a v sieti jednotiek CSIRT,
Ten, kto plní úlohy jednotky CSIRT v rozsahu svojej pôsobnosti určenej podľa
prílohy č. 1
 alebo prílohy č. 2 zodpovedá za riešenie kybernetických bezpečnostných incidentov a vykonáva preventívne služby a reaktívne služby.
Preventívne služby sa zameriavajú na prevenciu kybernetických bezpečnostných incidentov
c) spoluprácou s ostatnými jednotkami CSIRT,
k) spoluprácou s národnou jednotkou CSIRT a inými jednotkami CSIRT,
Ten, kto plní úlohy jednotky CSIRT zabezpečuje spoluprácu s úradom, príslušným ústredným orgánom a ostatnými jednotkami CSIRT, ako aj s jednotkami CSIRT z iných členských štátov Európskej únie a účasť na partnerských preskúmaniach organizovaných v rámci spolupráce medzi členskými štátmi Európskej únie, Európskou komisiou a Agentúrou Európskej únie pre kybernetickú bezpečnosť.
Ú
GP - N
Č:10, O:7
Jednotky CSIRT môžu nadväzovať spoluprácu s národnými jednotkami reakcie na počítačové bezpečnostné incidenty tretích krajín. Ako súčasť takýchto vzťahov spolupráce členské štáty sprostredkujú účinnú, efektívnu a bezpečnú výmenu informácií s uvedenými národnými jednotkami reakcie na počítačové bezpečnostné incidenty z tretích krajín, pričom použijú relevantné protokoly na výmenu informácií vrátane semaforového protokolu. Jednotky CSIRT si môžu vymieňať relevantné informácie s národnými jednotkami reakcie na počítačové bezpečnostné incidenty tretích krajín
N
Návrh zákona
Č:I, §:8, O:3
Komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov je komunikačný systém, ktorým sa zabezpečuje
a) hlásenia podľa § 24,
b) systematické získavanie, sústreďovanie, analyzovanie a vyhodnocovanie informácií o kybernetických bezpečnostných incidentoch,
c) komunikáciu medzi národnou jednotkou CSIRT, vládnou jednotkou CSIRT a akreditovanými jednotkami CSIRT v Slovenskej republike a takýmito jednotkami CSIRT v inom členskom štáte Európskej únie, vrátane výmeny informácií a údajov potrebných na účinnú spoluprácu pri zabezpečovaní ich úloh v oblasti kybernetickej bezpečnosti.
Ú
GP - N
39
vrátane osobných údajov v súlade s právom Únie v oblasti ochrany údajov.
Návrh zákona
Č:I,
§:16, O:4
Ten, kto plní úlohy jednotky CSIRT zabezpečuje spoluprácu s úradom, príslušným ústredným orgánom a ostatnými jednotkami CSIRT, ako aj s jednotkami CSIRT z iných členských štátov Európskej únie a účasť na partnerských preskúmaniach organizovaných v rámci spolupráce medzi členskými štátmi Európskej únie, Európskou komisiou a Agentúrou Európskej únie pre kybernetickú bezpečnosť.
Č:10, O:8
Jednotky CSIRT môžu spolupracovať s národnými jednotkami reakcie na počítačové bezpečnostné incidenty tretích krajín alebo rovnocennými orgánmi tretích krajín najmä na účely poskytovania pomoci v oblasti kybernetickej bezpečnosti.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:5, O:1, P:t)
Úrad v oblasti kybernetickej bezpečnosti
t) prijíma hlásenia o kybernetických bezpečnostných incidentoch, kybernetických hrozbách a zraniteľnostiach zo zahraničia a zabezpečuje spoluprácu s medzinárodnými organizáciami a orgánmi iných štátov pri riešení kybernetických bezpečnostných incidentov s cezhraničným charakterom,
Ú
GP - N
Č:10, O:9
Každý členský štát bez zbytočného odkladu informuje Komisiu o identite jednotky CSIRT uvedenej v odseku 1 tohto článku a jednotky CSIRT určenej za koordinátora podľa článku 12 ods. 1, o úlohách uvedených orgánov v súvislosti s kľúčovými a dôležitými subjektmi a o všetkých následných zmenách.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:5, O:1, P:f)
Úrad v oblasti kybernetickej bezpečnosti
f) plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,
Ú
GP - N
Č:10, O:10
Členské štáty môžu pri zriaďovaní svojich jednotiek CSIRT požiadať o pomoc agentúru ENISA.
D
Č:11, O:1
Jednotky CSIRT povinné spĺňať tieto požiadavky:
a) zabezpečovať vysokú úroveň dostupnosti svojich komunikačných kanálov prevenciou jediných bodov zlyhania a mať k dispozícii niekoľko spôsobov, ktorými ich možno kedykoľvek kontaktovať a ktorými môžu tieto jednotky kontaktovať iných; jasne špecifikovať komunikačné kanály a oboznámiť s nimi zainteresované strany a spolupracujúcich partnerov;
b) mať svoje pracoviská a podporné informačné systémy umiestnené na zabezpečených miestach;
c) byť vybavené vhodným systémom riadenia a smerovania žiadostí, najmä na sprostredkovanie ich účinného a efektívneho odovzdávania;
d) zabezpečovať dôvernosť a dôveryhodnosť svojich operácií;
e) byť primerane personálne vybavené na zabezpečenie stálej dostupnosti svojich služieb
N
Zákon č. 69/2018 Z. z.
Č:I, §:14
Žiadateľ o akreditáciu jednotky CSIRT podľa
§ 13
 dokumentáciou preukazuje, že jednotka CSIRT
a) požadované technické, technologické a personálne vybavenie podľa všeobecne záväzného právneho predpisu, ktorý vydá úrad,
b) vytvorené podmienky umožňujúce chránený prenos a spracovanie údajov spôsobom podľa osobitného predpisu,
19)
c) chráni informácie a údaje, ktoré v súvislosti s plnením povinností podľa tohto zákona získava a spracováva ich tak, aby nebola narušená ich dostupnosť, dôvernosť, autentickosť a integrita,
20)
d) umiestnenú dokumentáciu, informačné systémy a ostatné informačno-komunikačné technológie v zabezpečenom priestore tak, aby nebola narušená ich dôvernosť, autentickosť a integrita.
20)
19) Zákon č.
215/2004 Z. z.
 v znení neskorších predpisov.
§ 6 ods. 10
,
§ 55 ods. 9
,
§ 56 ods. 7
,
§ 58 ods. 4
 a
§ 69 zákona č. 215/2004
Z. z.
20) Napríklad STN ISO/IEC 27002 Informačné technológie. Bezpečnostné metódy. Pravidlá dobrej praxe riadenia informačnej bezpečnosti (ISO/IEC 27002:2013).
Ú
Podrobnosti o technickom, technologickom a personálnom vybavení jednotky CSIRT sú upravené vo vyhláške NBÚ č. 166/2018 Z. z. o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov
GP - N
40
a zabezpečovať patričnú odbornú prípravu pre svojich zamestnancov;
f) byť vybavené redundantnými systémami a záložným pracovným priestorom na zabezpečenie kontinuity svojich služieb.
Jednotky CSIRT môžu byť zapojené do sietí medzinárodnej spolupráce.
Zákon č. 69/2018 Z. z.
Návrh zákona
Zákon č. 69/2018 Z. z.
Č:I, §:16, O:1
Č:I, §:16, O:4
Č:I, §:32, O:1, P:a)
Ten, kto plní úlohy jednotky CSIRT,
a) musí zabezpečiť, aby jednotka CSIRT v jeho pôsobnosti, ktorá je zaradená v zozname akreditovaných jednotiek CSIRT, nepretržite počas celej doby svojej prevádzky spĺňala podmienky akreditácie jednotky CSIRT podľa
§ 14
 a zároveň plnila všetky úlohy podľa
§ 15
,
Ten, kto plní úlohy jednotky CSIRT zabezpečuje spoluprácu s úradom, príslušným ústredným orgánom a ostatnými jednotkami CSIRT, ako aj s jednotkami CSIRT z iných členských štátov Európskej únie a účasť na partnerských preskúmaniach organizovaných v rámci spolupráce medzi členskými štátmi Európskej únie, Európskou komisiou a Agentúrou Európskej únie pre kybernetickú bezpečnosť.
Úrad ustanoví všeobecne záväzným právnym predpisom
a) podrobnosti o technickom, technologickom a personálnom vybavení jednotky CSIRT [
§ 14 písm. a)
],
Č:11, O:2
Členské štáty zabezpečia, aby ich jednotky CSIRT spoločne mali technické spôsobilosti potrebné na výkon úloh uvedených v odseku 3. Aby jednotky CSIRT mohli rozvíjať svoje technické spôsobilosti, členské štáty zabezpečia prídel dostatočných zdrojov pre svoje jednotky CSIRT na zaistenie primeraného počtu zamestnancov.
N
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z.
Návrh zákona
Č:I, §:13, O:1
Č:I, §:14
Č:I, §:15, O:5
Zhodu jednotky CSIRT s podmienkami akreditácie jednotky CSIRT posudzuje úrad na základe žiadosti.
Žiadateľ o akreditáciu jednotky CSIRT podľa
§ 13
 dokumentáciou preukazuje, že jednotka CSIRT
a) požadované technické, technologické a personálne vybavenie podľa všeobecne záväzného právneho predpisu, ktorý vydá úrad,
b) vytvorené podmienky umožňujúce chránený prenos a spracovanie údajov spôsobom podľa osobitného predpisu,
19)
c) chráni informácie a údaje, ktoré v súvislosti s plnením povinností podľa tohto zákona získava a spracováva ich tak, aby nebola narušená ich dostupnosť, dôvernosť, autentickosť a integrita,
20)
d) umiestnenú dokumentáciu, informačné systémy a ostatné informačno-komunikačné technológie v zabezpečenom priestore tak, aby nebola narušená ich dôvernosť, autentickosť a integrita.
20)
Ten, kto plní úlohy jednotky CSIRT môže určovať spôsob, rozsah a priorizáciu prostriedkov a zdrojov pri poskytovaní preventívnych služieb a reaktívnych služieb prostredníctvom objektívnych kritérií, založených na analýze rizík zraniteľností, kybernetických hrozieb, kybernetických kríz a kybernetických bezpečnostných incidentov, ako aj na klasifikácii informácií a kategorizácii sietí a informačných systémov.
Ú
GP - N
41
Č:11, O:3
Jednotky CSIRT plnia tieto úlohy:
a) monitorujú a analyzujú kybernetické hrozby, zraniteľnosti a incidenty na vnútroštátnej úrovni a na požiadanie poskytujú pomoc dotknutým kľúčovým a dôležitým subjektom s ohľadom na monitorovanie ich sietí a informačných systémov v reálnom alebo takmer v reálnom čase;
b) zasielajú včasné varovania, výstrahy a oznámenia a šíria informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch dotknutým kľúčovým a dôležitým subjektom, ako aj príslušným orgánom a ďalším relevantným zainteresovaným stranám pokiaľ možno takmer v reálnom čase;
c) podľa potreby reagujú na incidenty a poskytujú pomoc dotknutým kľúčovým a dôležitým subjektom;
d) zhromažďujú a analyzujú forenzné údaje a poskytujú dynamickú analýzu rizík a incidentov a informácie o situácii v kybernetickej bezpečnosti;
e) na žiadosť kľúčového alebo dôležitého subjektu umožňujú aktívne skenovanie siete a informačných systémov dotknutého subjektu s cieľom odhaľovať zraniteľnosti s potenciálnym významným dosahom;
f) účasť v sieti jednotiek CSIRT a poskytovanie vzájomnej pomoci podľa svojich kapacít a kompetencií ostatným členom siete jednotiek CSIRT na ich žiadosť;
g) v prípade potreby pôsobia ako koordinátor na účely koordinovaného zverejňovania zraniteľností podľa článku 12 ods. 1;
h) prispievajú k zavádzaniu bezpečných nástrojov na výmenu informácií podľa článku 10 ods. 3.
Jednotky CSIRT môžu vykonávať aktívne nerušivé skenovanie verejne prístupných sietí a informačných systémov kľúčových a dôležitých subjektov. Takéto skenovanie sa vykonáva s cieľom odhaliť zraniteľné alebo nezabezpečene
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z.
Č:I, §:15, O:1
Č:I, §:15, O:2
Č:I, §:15, O:3
Ten, kto plní úlohy jednotky CSIRT v rozsahu svojej pôsobnosti určenej podľa
prílohy č. 1
 alebo prílohy č. 2 zodpovedá za riešenie kybernetických bezpečnostných incidentov a vykonáva preventívne služby a reaktívne služby.
Preventívne služby sa zameriavajú na prevenciu kybernetických bezpečnostných incidentov
a) vytváraním bezpečnostného povedomia,
b) výcvikom,
c) spoluprácou s ostatnými jednotkami CSIRT,
d) monitorovaním a evidenciou zraniteľností, kybernetických hrozieb, kybernetických kríz a kybernetických bezpečnostných incidentov,
e) pripojením na jednotný informačný systém kybernetickej bezpečnosti,
f) poskytovaním informácií a údajov do jednotného informačného systému kybernetickej bezpečnosti,
g) prijímaním a zasielaním včasného varovania pred kybernetickými bezpečnostnými incidentmi prostredníctvom jednotného informačného systému kybernetickej bezpečnosti.
h) poskytovaním pomoci s monitorovaním siete a informačného systému alebo vykonávaním takéhoto monitorovania po dohode so správcom alebo prevádzkovateľom siete alebo informačného systému,
i) vykonávaním neinvazívneho hodnotenia zraniteľnosti siete a informačného systému správcov alebo prevádzkovateľov, ktorým poskytujú služby a verejne prístupných sietí a informačných systémov spôsobom, ktorý nemá negatívny vplyv na tieto siete a informačné systémy, ako ani na služby, ktoré poskytujú a činnosti, ktoré zabezpečujú,
j) vykonávaním hodnotenia zraniteľností, ktoré boli zistené podľa písmena h), po dohode so správcom alebo prevádzkovateľom siete alebo informačného systému,
k) spoluprácou s národnou jednotkou CSIRT a inými jednotkami CSIRT,
l) využívaním podnetov, skúseností a spolupráce s osobami pôsobiacimi v oblasti kybernetickej bezpečnosti.
Reaktívne služby sa zameriavajú na riešenie kybernetických bezpečnostných incidentov a sú nimi najmä
a) výstraha a varovanie,
b) detekcia kybernetických bezpečnostných incidentov,
c) analýza kybernetických bezpečnostných incidentov,
d) odozva, ohraničenie, riešenie a náprava následkov kybernetických bezpečnostných incidentov,
e) asistencia pri riešení kybernetického bezpečnostného incidentu na mieste,
Ú
GP - N
42
nakonfigurované siete a informačné systémy a informovať dotknuté subjekty. Takéto skenovanie nesmie mať negatívny vplyv na fungovanie služieb subjektov.
Pri výkone úloh uvedených v prvom pododseku môžu jednotky CSIRT uprednostňovať konkrétne úlohy na základe prístupu založeného na rizikách.
Návrh zákona
Návrh zákona
Č:I, §:15, O:5
Č:I, §:16, O:4
f) reakcia na kybernetický bezpečnostný incident,
g) podpora reakcií na kybernetické bezpečnostné incidenty,
h) koordinácia reakcií na kybernetické bezpečnostné incidenty,
i) návrh opatrení na zabránenie ďalšiemu pokračovaniu, šíreniu a opakovanému výskytu kybernetických bezpečnostných incidentov.
Ten, kto plní úlohy jednotky CSIRT môže určovať spôsob, rozsah a priorizáciu prostriedkov a zdrojov pri poskytovaní preventívnych služieb a reaktívnych služieb prostredníctvom objektívnych kritérií, založených na analýze rizík zraniteľností, kybernetických hrozieb, kybernetických kríz a kybernetických bezpečnostných incidentov, ako aj na klasifikácii informácií a kategorizácii sietí a informačných systémov.
Ten, kto plní úlohy jednotky CSIRT zabezpečuje spoluprácu s úradom, príslušným ústredným orgánom a ostatnými jednotkami CSIRT, ako aj s jednotkami CSIRT z iných členských štátov Európskej únie a účasť na partnerských preskúmaniach organizovaných v rámci spolupráce medzi členskými štátmi Európskej únie, Európskou komisiou a Agentúrou Európskej únie pre kybernetickú bezpečnosť.
Č:11, O:4
Jednotky CSIRT nadviažu spoluprácu s príslušnými zainteresovanými stranami v súkromnom sektore s cieľom dosiahnuť ciele tejto smernice.
N
Návrh zákona
Návrh zákona
Č:I, §:15, O:2, P:l)
Č:I, §:16, O:4
Preventívne služby sa zameriavajú na prevenciu kybernetických bezpečnostných incidentov
k) využívaním podnetov, skúseností a spolupráce s osobami pôsobiacimi v oblasti kybernetickej bezpečnosti.
Ten, kto plní úlohy jednotky CSIRT, zabezpečuje spoluprácu s úradom, príslušným ústredným orgánom a ostatnými jednotkami CSIRT, ako aj s jednotkami CSIRT z iných členských štátov Európskej únie a účasť na partnerských preskúmaniach organizovaných v rámci spolupráce medzi členskými štátmi Európskej únie, Európskou komisiou a Agentúrou Európskej únie pre kybernetickú bezpečnosť.
Ú
GP - N
Č:11, O:5
Jednotky CSIRT v záujme sprostredkovania spolupráce uvedenej v odseku 4 podporujú prijímanie a využívanie spoločných alebo normalizovaných postupov, režimov utajenia a taxonómie v súvislosti s:
a) postupmi riešenia incidentov;
b) krízovým riadením; a
c) koordinovaným zverejňovaním zraniteľností podľa článku 12 ods. 1.
N
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z.
Návrh zákona
Č:I, §:5, O:1, P:b)
P:c)
Č:I, §:8, O:2, P:d)
Úrad v oblasti kybernetickej bezpečnosti
b) určuje štandardy, operačné postupy, vydáva metodiku a politiku správania sa v kybernetickom priestore,
c) určuje zásady predchádzania kybernetickým bezpečnostným incidentom a zásady ich riešenia,
Jednotný informačný systém kybernetickej bezpečnosti obsahuje komunikačný systém pre hlásenie a riešenie kybernetických
Ú
GP - N
43
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:15, O:2
bezpečnostných incidentov a centrálny systém včasného varovania. Jednotný informačný systém pozostáva z verejnej časti a neverejnej časti a prístup k nemu je bezodplatný. Verejná časť jednotného informačného systému kybernetickej bezpečnosti obsahuje
d) metodiky, usmernenia, štandardy, politiky a oznamy,
Preventívne služby sa zameriavajú na prevenciu kybernetických bezpečnostných incidentov
a) vytváraním bezpečnostného povedomia,
b) výcvikom,
c) spoluprácou s ostatnými jednotkami CSIRT,
d) monitorovaním a evidenciou zraniteľností, kybernetických hrozieb, kybernetických kríz a kybernetických bezpečnostných incidentov,
e) pripojením na jednotný informačný systém kybernetickej bezpečnosti,
f) poskytovaním informácií a údajov do jednotného informačného systému kybernetickej bezpečnosti,
g) prijímaním a zasielaním včasného varovania pred kybernetickými bezpečnostnými incidentmi prostredníctvom jednotného informačného systému kybernetickej bezpečnosti.
h) poskytovaním pomoci s monitorovaním siete a informačného systému alebo vykonávaním takéhoto monitorovania po dohode so správcom alebo prevádzkovateľom siete alebo informačného systému,
i) vykonávaním neinvazívneho hodnotenia zraniteľnosti siete a informačného systému správcov alebo prevádzkovateľov, ktorým poskytujú služby a verejne prístupných sietí a informačných systémov spôsobom, ktorý nemá negatívny vplyv na tieto siete a informačné systémy, ako ani na služby, ktoré poskytujú a činnosti, ktoré zabezpečujú,
j) vykonávaním hodnotenia zraniteľností, ktoré boli zistené podľa písmena h), po dohode so správcom alebo prevádzkovateľom siete alebo informačného systému,
k) spoluprácou s národnou jednotkou CSIRT a inými jednotkami CSIRT,
l) využívaním podnetov, skúseností a spolupráce s osobami pôsobiacimi v oblasti kybernetickej bezpečnosti.
Č:12, O:1,
V:1 až 3
Na účely koordinovaného zverejňovania zraniteľností určí každý členský štát jednu zo svojich jednotiek CSIRT za koordinátora. Jednotka CSIRT určená za koordinátora koná ako dôveryhodný sprostredkovateľ, ktorý v prípade potreby sprostredkuje interakciu medzi fyzickou alebo právnickou osobou, ktorá
N
Návrh zákona
Č:I, §:6, O:5
Úrad prostredníctvom národnej jednotky CSIRT na účely zverejňovania zraniteľností alebo zamedzenia ich zneužitia plní úlohu koordinátora vo veciach komunikácie o zistených alebo nahlásených zraniteľnostiach medzi prevádzkovateľom základnej služby, výrobcom alebo dodávateľom produktu IKT alebo služby IKT a inými dotknutými osobami. Na účely podľa prvej vety úrad prostredníctvom národnej jednotky CSIRT
a)identifikuje a kontaktuje dotknuté osoby,
Ú
GP - N
44
na žiadosť niektorej zo strán oznamuje zraniteľnosť a výrobcom alebo poskytovateľom potenciálne zraniteľných produktov IKT alebo služieb IKT. K úlohám jednotky CSIRT určenej za koordinátora patrí:
a)
identifikácia a kontaktovanie dotknutých subjektov;
b)
pomoc fyzickým alebo právnickým osobám oznamujúcim zraniteľnosti a
c)
vyjednávanie harmonogramu zverejňovania a riadenie zraniteľností, ktoré majú dosah na viaceré subjekty.
b)komunikuje o zraniteľnosti s výrobcom alebo poskytovateľom produktu IKT alebo služby IKT,
c)oznamuje prevádzkovateľovi základnej služby zraniteľnosť, ktorá sa ho týka a odporučí mu opatrenia na zamedzenie jej zneužiteľnosti, opatrenia na úseku kontroly a riešenia kybernetických bezpečnostných incidentov tým nie sú dotknuté,
d)poskytuje pomoc osobám oznamujúcim zraniteľnosti,
e)riadi zverejňovanie zraniteľností.
Č:12, O:1, V:4 a 5
Členské štáty zabezpečia, aby fyzické alebo právnické osoby mohli na požiadanie nahlásiť zraniteľnosť jednotke CSIRT určenej za koordinátora anonymne. Jednotka CSIRT určená za koordinátora zabezpečí v súvislosti s oznámenou zraniteľnosťou vykonanie dôsledných následných opatrení a zabezpečí anonymitu fyzickej alebo právnickej osoby, ktorá túto zraniteľnosť oznámila.
N
Návrh zákona
Č:I, §:6, O:6
Úrad zabezpečí, aby bolo možné oznamovať zraniteľnosti aj prostredníctvom jednotného informačného systému kybernetickej bezpečnosti, vrátane anonymných oznámení a na žiadosť oznamovateľa zabezpečí zachovanie jeho anonymity vo vzťahu k oznámeným skutočnostiam.
Ú
GP - N
Č:12, O:1, V:6
Ak by oznámená zraniteľnosť mohla by mať významný vplyv na subjekty vo viac ako jednom členskom štáte, jednotka CSIRT každého dotknutého členského štátu určená za koordinátora v prípade potreby spolupracuje s inými jednotkami CSIRT určenými za koordinátorov v rámci siete jednotiek CSIRT.
N
Návrh zákona
Č:I, §:6, O:7
Ak ide o zraniteľnosť týkajúcu sa služby, ku ktorej vykonáva služby jednotka CSIRT v inom členskom štáte, postúpi úrad oznámenie o zraniteľnosti tejto jednotke CSIRT a informuje o tom oznamovateľa.
Ú
GP - N
Č:12, O:2
Po porade so skupinou pre spoluprácu agentúra ENISA vytvorí a vedie európsku databázu zraniteľností. Na uvedený účel agentúra ENISA zriaďuje a udržiava vhodné informačné systémy, politiky a postupy a prijíma nevyhnutné technické a organizačné opatrenia na zaistenie bezpečnosti a integrity európskej databázy zraniteľností, aby subjektom, bez ohľadu na to či patria do rozsahu pôsobnosti tejto smernice, a ich dodávateľom sietí a informačných systémov umožnila najmä dobrovoľne zverejňovať a do registra zaraďovať verejne známe zraniteľnosti produktov IKT alebo služieb IKT. Prístup k informáciám o zraniteľnostiach v európskej databáze zraniteľností sa poskytuje všetkým
n.a.
45
zainteresovaným stranám. Uvedená databáza obsahuje:
a) informácie s opisom zraniteľností;
b) zasiahnuté produkty IKT alebo služby IKT a závažnosť zraniteľnosti z hľadiska okolností, za ktorých ju možno zneužiť;
c) dostupnosť súvisiacich záplat a v prípade absencie dostupných záplat usmernenia poskytnuté príslušnými orgánmi alebo jednotkami CSIRT určené používateľom zraniteľných produktov IKT a služieb IKT o tom, ako možno zmierniť riziká vyplývajúce zo zverejnených zraniteľností.
Č:13, O:1
Ak príslušné orgány, jednotné kontaktné miesto a jednotky CSIRT jedného členského štátu samostatnými subjektmi, pri plnení povinností stanovených v tejto smernici navzájom spolupracujú.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z.
Návrh zákona
Č:I, §:5, O:1, P:i)
Č:I, §:9, O:1, P:c)
Č:I, §:15, O:2, P:c)
P:k)
Úrad v oblasti kybernetickej bezpečnosti
i) spolupracuje s ústrednými orgánmi, inými orgánmi štátnej správy a jednotkami CSIRT, prevádzkovateľmi základných služieb a s vedeckými a akademickými inštitúciami pri plnení úloh podľa tohto zákona,
Ústredný orgán v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa
prílohy č. 1
 alebo prílohy č. 2, zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že
c) spolupracuje s ostatnými ústrednými orgánmi a prevádzkovateľmi základných služieb vo svojej pôsobnosti pri plnení úloh podľa tohto zákona,
Preventívne služby sa zameriavajú na prevenciu kybernetických bezpečnostných incidentov
c) spoluprácou s ostatnými jednotkami CSIRT,
k) spoluprácou s národnou jednotkou CSIRT a inými jednotkami CSIRT,
Ú
GP - N
Č:13, O:2
Členské štáty zabezpečia, aby ich jednotky CSIRT, prípadne ich príslušné orgány dostávali oznámenia o významných incidentoch podľa článku 23 a o incidentoch, kybernetických
N
Zákon č. 69/2018 Z. z. v znení
Č:I, §:5, O:1, P:e)
Úrad v oblasti kybernetickej bezpečnosti
e) je národným kontaktným miestom pre kybernetickú bezpečnosť pre vnútroštátnu spoluprácu a pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie,
Ú
GP - N
46
hrozbách a udalostiach odvrátených v poslednej chvíli podľa článku 30.
návrhu zákona
Návrh zákona
Návrh zákona
Návrh zákona
Č:I, §:8, O:2, P:f)
Č:I, §:8, O:3
Č:I, §:24
Jednotný informačný systém kybernetickej bezpečnosti obsahuje komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálny systém včasného varovania. Jednotný informačný systém pozostáva z verejnej časti a neverejnej časti a prístup k nemu je bezodplatný. Verejná časť jednotného informačného systému kybernetickej bezpečnosti obsahuje
f) výstrahy, varovania a ďalšie informácie slúžiace na minimalizovanie, odvrátenie alebo nápravu následkov kybernetického bezpečnostného incidentu,
Komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov je komunikačný systém, ktorým sa zabezpečuje
a) hlásenia podľa § 24,
b) systematické získavanie, sústreďovanie, analyzovanie a vyhodnocovanie informácií o kybernetických bezpečnostných incidentoch,
c) komunikácia medzi národnou jednotkou CSIRT, vládnou jednotkou CSIRT a akreditovanými jednotkami CSIRT v Slovenskej republike a takýmito jednotkami CSIRT v inom členskom štáte Európskej únie, vrátane výmeny informácií a údajov potrebných na účinnú spoluprácu pri zabezpečovaní ich úloh v oblasti kybernetickej bezpečnosti.
(1) Prevádzkovateľ základnej služby je povinný hlásiť každý závažný kybernetický bezpečnostný incident.
(2) Za závažný kybernetický bezpečnostný incident sa považuje rozsiahly kybernetický bezpečnostný incident a kybernetický bezpečnostný incident, ktorý
a) spôsobil alebo môže spôsobiť závažné narušenie fungovania prevádzkovateľa základnej služby, alebo škodu, inú ujmu na majetku alebo ušlý zisk vo veľkom rozsahu9),
b) zasiahol alebo môže zasiahnuť iné osoby tým, že im spôsobí škodu, inú ujmu alebo ušlý zisk v značnom rozsahu9).
(3) Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
a) bez zbytočného odkladu, avšak najneskôr do 24 hodín od jeho zistenia sa hlási včasné varovanie, v ktorom sa uvádza najmä, či závažný kybernetický bezpečnostný incident mohol byť spôsobený protiprávnym konaním, alebo či môže mať cezhraničný vplyv, a ak ide o
47
prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodných služieb, uvádza sa tiež vplyv na poskytovanie dôveryhodných služieb,
b) bez zbytočného odkladu, avšak najneskôr do 72 hodín od jeho zistenia sa hlási oznámenie o závažnom kybernetickom bezpečnostnom incidente, v ktorom sa aktualizujú a dopĺňajú informácie z včasného varovania, najmä sa uvádza prvotné posúdenie kybernetického bezpečnostného incidentu, jeho závažnosti a následkov ak ide o prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodných služieb bez zbytočného odkladu, avšak najneskôr do 24 hodín od jeho zistenia,
c) na žiadosť toho, kto prevádzkuje jednotku CSIRT, sa v určenej lehote hlásia aktualizované alebo iné vyžiadané informácie o priebehu závažného kybernetického bezpečnostného incidentu,
d) najneskôr jeden mesiac po nahlásení oznámenia podľa písmena b) sa hlási záverečná správa, ktorá obsahuje najmä podrobný opis závažného kybernetického bezpečnostného incidentu vrátane jeho závažnosti a následkov, druh kybernetickej hrozby alebo hlavnú príčinu, ktorá pravdepodobne kybernetický bezpečnostný incident spôsobila, zavedené a prebiehajúce opatrenia a cezhraničný vplyv, ak existuje,
e) ak ide o závažný kybernetický bezpečnostný incident s cezhraničným vplyvom, ktorý v lehote podľa písmena d) stále trvá, hlási sa do 30 dní odo dňa obnovy riadnej prevádzky siete a informačného systému aktualizovaná záverečná správa v rozsahu podľa písmena d); ak v čase predkladania záverečnej správy podľa písmena d) závažný kybernetický bezpečnostný incident ešte prebieha, hlásia sa ďalšie aktualizované alebo iné vyžiadané informácie a aktualizovaná záverečná správa do 30 dní odo dňa, keď sa závažný kybernetický bezpečnostný incident vyriešil.
(4) Na hlásenie závažných kybernetických bezpečnostných incidentov alebo na zaistenie kybernetickej bezpečnosti môže úrad namiesto postupu podľa § 8 ods. 6 uzatvoriť písomnú zmluvu o odlišnom spôsobe a forme hlásenia kybernetických bezpečnostných incidentov s prevádzkovateľom základnej služby, pri ktorom je to odôvodnené jeho postavením, alebo rozsahom alebo obsahom činnosti.
(5) Prevádzkovateľ základnej služby prostredníctvom jednotného informačného systému kybernetickej bezpečnosti hlási aj
a) významnú kybernetickú hrozbu, o ktorej sa dozvie,
b) udalosť odvrátenú v poslednej chvíli, ktorá mohla spôsobiť závažný kybernetický bezpečnostný incident,
c) zraniteľnosť ním prevádzkovaných verejne dostupných sietí a informačných systémov, ktorá podľa dostupných informácií a technických znalostí môže byť zneužitá na spôsobenie závažného
48
kybernetického bezpečnostného incidentu a prevádzkovateľ základnej služby nemohol v primeranom čase prijať opatrenia na jej odstránenie alebo zníženie rizika.
(6) Prevádzkovateľ základnej služby a iná osoba môžu hlásiť kybernetický bezpečnostný incident, kybernetickú hrozbu alebo udalosť odvrátenú v poslednej chvíli aj dobrovoľne, nad rozsah povinnosti podľa odseku 1; postup podľa odseku 3 sa použije primerane. Úrad spracováva a analyzuje dobrovoľné hlásenia podľa prvej vety v rozsahu, v akom to úradu umožňujú technické podmienky a kapacity tak, aby nedošlo k neprimeranému zaťažovaniu subjektov a obmedzeniu medzinárodnej spolupráce. Osobe, ktorá nie je prevádzkovateľom základnej služby, dobrovoľné hlásenia podľa prvej vety nezakladajú žiadne práva ani povinnosti podľa tohto zákona.
(7) Hlásením podľa odseku 1 alebo odseku 5 nie dotknuté povinnosti prevádzkovateľa základnej služby prijať, dodržiavať a vykonávať bezpečnostné opatrenia. Hlásením podľa odseku 5 nie je dotknutá povinnosť podľa odseku 1.
(8) Prevádzkovateľ základnej služby, na ktorého sa vzťahuje nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. L 333, 27.12.2022) (ďalej len „nariadenie (EÚ) 2022/2554“), plní povinnosť podľa odseku 1 nahlasovaním závažných incidentov súvisiacich s IKT prostredníctvom príslušného orgánu podľa nariadenia (EÚ) 2022/2554 úradu v rozsahu, spôsobom a v lehotách ustanovených v nariadení (EÚ) 2022/2554.
Poznámka pod čiarou k odkazu 9 znie:
9) § 125 ods. 1 Trestného zákona.
Č:13, O:3
Členské štáty zabezpečia, aby ich jednotky CSIRT, prípadne príslušné orgány poskytovali ich jednotným kontaktným miestam hlásenia o incidentoch, kybernetických hrozbách a udalostiach odvrátených v poslednej chvíli zasielané podľa tejto smernice.
N
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z.
Č:I, §:15, O:2, P:f)
P:g)
Preventívne služby sa zameriavajú na prevenciu kybernetických bezpečnostných incidentov
f) poskytovaním informácií a údajov do jednotného informačného systému kybernetickej bezpečnosti,
g) prijímaním a zasielaním včasného varovania pred kybernetickými bezpečnostnými incidentmi prostredníctvom jednotného informačného systému kybernetickej bezpečnosti,
Ú
GP - N
49
Návrh zákona
P:k)
k) spoluprácou s národnou jednotkou CSIRT a inými jednotkami CSIRT,
Č:13, O:4
S cieľom zabezpečiť, aby sa úlohy a povinnosti príslušných orgánov, jednotných kontaktných miest a jednotiek CSIRT vykonávali efektívne, členské štáty v rámci možností zabezpečia primeranú spoluprácu medzi uvedenými orgánmi a orgánmi presadzovania práva, orgánmi na ochranu údajov, vnútroštátnymi orgánmi podľa nariadení (ES) č. 300/2008 a (EÚ) 2018/1139, dozornými orgánmi podľa nariadenia (EÚ) č. 910/2014, príslušnými orgánmi podľa nariadenia (EÚ) 2022/2554, národnými regulačnými orgánmi podľa smernice (EÚ) 2018/1972, príslušnými orgánmi podľa smernice (EÚ) 2022/2557, ako aj príslušnými orgánmi podľa iných odvetvových právnych aktov Únie v danom členskom štáte.
N
Zákon č. 575/2001 Z. z.
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z.
§:38, O:1
Č:I, §:5, O:1, P:i)
Č:I, §:9, O:1, P:c)
Ministerstvá a ostatné ústredné orgány štátnej správy pri plnení svojich úloh úzko spolupracujú. Vymieňajú si potrebné informácie a podklady a prerokúvajú s inými ministerstvami opatrenia, ktoré sa ich dotýkajú.
Úrad v oblasti kybernetickej bezpečnosti
i) spolupracuje s ústrednými orgánmi, inými orgánmi štátnej správy a jednotkami CSIRT, prevádzkovateľmi základných služieb a s vedeckými a akademickými inštitúciami pri plnení úloh podľa tohto zákona,
Ústredný orgán v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa
prílohy č. 1
 alebo prílohy č. 2, zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že
c) spolupracuje s ostatnými ústrednými orgánmi a prevádzkovateľmi základných služieb vo svojej pôsobnosti pri plnení úloh podľa tohto zákona,
Ú
GP - N
Č:13, O:5
Členské štáty zabezpečia, aby ich príslušné orgány podľa tejto smernice a ich príslušné orgány podľa smernice (EÚ) 2022/2557 pravidelne spolupracovali a vymieňali si informácie, pokiaľ ide o identifikáciu kritických subjektov, o rizikách, kybernetických hrozbách a incidentoch, ako aj o nekybernetických rizikách, hrozbách a incidentoch s dosahom na kľúčové subjekty označené ako kritické podľa smernice (EÚ) 2022/2557 a o opatreniach prijatých v reakcii na takéto riziká, hrozby a incidenty. Členské štáty tiež zabezpečia, aby si ich príslušné orgány podľa tejto smernice a ich príslušné orgány podľa nariadenia (EÚ) č. 910/2014, nariadenia (EÚ) 2022/2554 a smernice (EÚ) 2018/1972 pravidelne vymieňali relevantné informácie, a to aj o relevantných incidentoch a kybernetických hrozbách.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z.
Č:I, §:5, O:1, P:i)
Č:I, §:9, O:1, P:c)
Úrad v oblasti kybernetickej bezpečnosti
i) spolupracuje s ústrednými orgánmi, inými orgánmi štátnej správy a jednotkami CSIRT, prevádzkovateľmi základných služieb a s vedeckými a akademickými inštitúciami pri plnení úloh podľa tohto zákona,
Ústredný orgán v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa
prílohy č. 1
 alebo prílohy č. 2, zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že
c) spolupracuje s ostatnými ústrednými orgánmi a prevádzkovateľmi základných služieb vo svojej pôsobnosti pri plnení úloh podľa tohto zákona,
Č:13, O:6
Pre oznamovanie uvedené v článkoch 23 a 30 zjednodušia členské štáty oznamovanie technickými prostriedkami.
N
Zákon č. 69/2018 Z. z.
Č:I, §:8
(1) Jednotný informačný systém kybernetickej bezpečnosti je informačný systém, ktorého správcom a prevádzkovateľom je úrad a ktorý slúži na efektívne riadenie, koordináciu, evidenciu a kontrolu výkonu štátnej správy v oblasti kybernetickej bezpečnosti a jednotiek CSIRT. Jednotný
Ú
GP - N
50
v znení návrhu zákona
informačný systém kybernetickej bezpečnosti je určený aj na spracovanie a vyhodnocovanie údajov a informácií o stave kybernetickej bezpečnosti a slúži pri krízovom plánovaní v čase mieru, riadení štátu v krízových situáciách mimo času vojny a vojnového stavu,
11)
 ako aj na potrebné činnosti v čase vojny alebo vojnového stavu.
(2) Jednotný informačný systém kybernetickej bezpečnosti obsahuje komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálny systém včasného varovania. Jednotný informačný systém pozostáva z verejnej časti a neverejnej časti a prístup k nemu je bezodplatný. Verejná časť jednotného informačného systému kybernetickej bezpečnosti obsahuje
a) register ústredných orgánov,
b) register prevádzkovateľov základnej služby,
c) zoznam akreditovaných jednotiek CSIRT,
d) metodiky, usmernenia, štandardy, politiky a oznamy,
e) informácie a údaje potrebné na používanie jednotného informačného systému kybernetickej bezpečnosti,
f) výstrahy, varovania a ďalšie informácie slúžiace na minimalizovanie, odvrátenie alebo nápravu následkov kybernetického bezpečnostného incidentu,
g) nástroj na registráciu zmien, hlásenie zmien a ostatné súvisiace nástroje
(3) Komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov je komunikačný systém, ktorým sa zabezpečuje
a) hlásenia podľa § 24,
b) systematické získavanie, sústreďovanie, analyzovanie a vyhodnocovanie informácií o kybernetických bezpečnostných incidentoch,
c) komunikáciu medzi národnou jednotkou CSIRT, vládnou jednotkou CSIRT a akreditovanými jednotkami CSIRT v Slovenskej republike a takýmito jednotkami CSIRT v inom členskom štáte Európskej únie, vrátane výmeny informácií a údajov potrebných na účinnú spoluprácu pri zabezpečovaní ich úloh v oblasti kybernetickej bezpečnosti.
(4) Centrálny systém včasného varovania je informačný systém, ktorý zaisťuje včasnú výmenu informácií o kybernetických hrozbách, kybernetických bezpečnostných incidentoch a rizikách s nimi spojených medzi úradom a subjektmi podľa odseku 5.
(5) K neverejnej časti jednotného informačného systému kybernetickej bezpečnosti priamy prístup v elektronickej forme v reálnom čase, v
51
Návrh zákona
Návrh zákona
Č:I, §:24, O:3, V:1
Č:I, §:24, O:6
rozsahu určenom úradom alebo osobitným predpisom
12)
 a na základe vecnej pôsobnosti
a) ústredný orgán,
b) jednotka CSIRT zaradená v zozname akreditovaných jednotiek CSIRT,
c) prevádzkovateľ základnej služby,
d) Národná banka Slovenska,
e) Úrad na ochranu osobných údajov Slovenskej republiky,
f) Úrad pre reguláciu elektronických komunikácií a poštových služieb,
g) iný orgán verejnej moci rozhodnutím úradu.
(6) Ten, kto je povinný podľa tohto zákona poskytovať informácie, údaje a hlásenia prostredníctvom jednotného informačného systému kybernetickej bezpečnosti, je povinný ich poskytovať bezodplatne a bezodkladne po tom, ako sa dozvie o skutočnosti zakladajúcej túto povinnosť. Informácie, údaje a hlásenia sa poskytujú spôsobom určeným funkcionalitou jednotného informačného systému kybernetickej bezpečnosti.
Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
(6) Prevádzkovateľ základnej služby a iná osoba môžu hlásiť kybernetický bezpečnostný incident, kybernetickú hrozbu alebo udalosť odvrátenú v poslednej chvíli aj dobrovoľne, nad rozsah povinnosti podľa odseku 1; postup podľa odseku 3 sa použije primerane. Úrad spracováva a analyzuje dobrovoľné hlásenia podľa prvej vety v rozsahu, v akom to úradu umožňujú technické podmienky a kapacity tak, aby nedošlo k neprimeranému zaťažovaniu subjektov a obmedzeniu medzinárodnej spolupráce. Osobe, ktorá nie je prevádzkovateľom základnej služby, dobrovoľné hlásenia podľa prvej vety nezakladajú žiadne práva ani povinnosti podľa tohto zákona.
Č:14, O:1
S cieľom podporiť a sprostredkovať strategickú spoluprácu a výmenu informácií medzi členskými štátmi, ako aj posilniť vzájomnú dôveru, sa zriaďuje skupina pre spoluprácu.
n.a.
Č:14, O:2
Skupina pre spoluprácu vykonáva svoje úlohy na základe dvojročných pracovných programov uvedených v odseku 7.
n.a.
Č:14, O:3
Skupinu pre spoluprácu tvoria zástupcovia členských štátov, Komisie a agentúry ENISA. Na činnostiach skupiny pre spoluprácu sa ako
n.a.
52
pozorovateľ zúčastňuje Európska služba pre vonkajšiu činnosť. Európske orgány dohľadu (ESA) a príslušné orgány podľa nariadenia (EÚ) 2022/2554 sa môžu zúčastňovať na činnostiach skupiny pre spoluprácu v súlade s článkom 47 ods. 1 uvedeného nariadenia.
Podľa potreby môže skupina pre spoluprácu prizvať k práci Európsky parlament a zástupcov príslušných zainteresovaných strán.
Sekretariát zabezpečuje Komisia.
Č:14, O:4
Skupina pre spoluprácu plní tieto úlohy:
a)a) poskytuje usmernenia príslušným orgánom v súvislosti s transpozíciou a vykonávaním tejto smernice;
b)b) poskytuje usmernenia príslušným orgánom v súvislosti s prípravou a implementáciou politík koordinovaného zverejňovania zraniteľností, ako sa uvádza v článku 7 ods. 2 písm. c);
c)c) vymieňa si najlepšie postupy a informácie v súvislosti s implementáciou tejto smernice, a to aj o kybernetických hrozbách, incidentoch, zraniteľnostiach, udalostiach odvrátených v poslednej chvíli, iniciatívy na zvyšovanie informovanosti, odbornú prípravu, cvičenia a kvalifikácie, budovanie kapacít, normy a technické špecifikácie, ako aj identifikáciu kľúčových a dôležitých subjektov podľa článku 2 ods. 2 písm. b) až e);
d)d) vymieňa si rady a spolupracuje s Komisiou v súvislosti s novými politickými iniciatívami pre kybernetickú bezpečnosť a celkovou konzistentnosťou odvetvových požiadaviek na kybernetickú bezpečnosť;
e)e) vymieňa si rady a spolupracuje s Komisiou v súvislosti s návrhom delegovaných alebo vykonávacích aktov prijímaných podľa tejto smernice;
f)f) vymieňa si najlepšie postupy a informácie s relevantnými inštitúciami, orgánmi, úradmi a agentúrami Únie;
g)g) vymieňa si názory na implementáciu odvetvových právnych aktov Únie, ktoré obsahujú ustanovenia o kybernetickej bezpečnosti;
n.a.
53
h)h) v prípade potreby rokuje o správach o partnerskom hodnotení uvedenom v článku 19 ods. 9 a pripravuje závery a odporúčania;
i)i) vykonáva koordinované hodnotenia bezpečnostných rizík kritických dodávateľských reťazcov v súlade s článkom 22 ods. 1;
j)j) rokuje o prípadoch vzájomnej pomoci vrátane skúseností a výsledkov z cezhraničných spoločných opatrení dohľadu uvedených v článku 37;
k)k) na žiadosť jedného alebo viacerých dotknutých členských štátov rokuje o konkrétnych žiadostiach o vzájomnú pomoc podľa článku 37;
l)l) poskytuje strategické usmernenia pre sieť jednotiek CSIRT a EU-CyCLONe v otázkach konkrétnych vznikajúcich problémov;
m)m) vymieňa si názory na politiku nadväzných opatrení po rozsiahlych kybernetických incidentoch a krízach na základe skúseností siete jednotiek CSIRT a EU-CyCLONe;
n)n) prispieva k spôsobilostiam kybernetickej bezpečnosti v celej Únii sprostredkovaním výmen vnútroštátnych úradníkov prostredníctvom programu budovania kapacít, do ktorého zapojení zamestnanci príslušných orgánov alebo jednotiek CSIRT;
o)o) organizuje pravidelné spoločné stretnutia s príslušnými súkromnými zainteresovanými stranami z celej Únie s cieľom rokovať o činnostiach skupiny a zhromažďovať informácie o nových politických výzvach;
p)p) rokuje o práci vykonanej v súvislosti s cvičeniami kybernetickej bezpečnosti, ako aj o práci agentúry ENISA;
q)q) stanovuje metodiku a organizačné aspekty partnerských preskúmaní uvedených v článku 19 ods. 1, ako aj stanovuje metodiku sebahodnotenia pre členské štáty v súlade s článkom 19 ods. 5 za pomoci Komisie a agentúry ENISA a v spolupráci s Komisiou a agentúrou ENISA vypracovať kódexy správania, ktoré budú základom pracovných metód určených expertov na kybernetickú bezpečnosť v súlade s článkom 19 ods. 6;
54
r)r) vyhotovuje správy o skúsenostiach získaných na strategickej úrovni a z partnerských preskúmaní na účely preskúmania uvedeného v článku 40;
s)s) pravidelne vedie diskusiu o súčasnom stave kybernetických hrozieb alebo incidentov, ako je ransomvér, a vykonávať jeho hodnotenie.
Skupina pre spoluprácu predkladá správy uvedené v prvom pododseku písm. r) Komisii, Európskemu parlamentu a Rade.
Č:14, O:5
Členské štáty zabezpečia účinnú, efektívnu a bezpečnú spoluprácu svojich zástupcov v rámci skupiny pre spoluprácu.
N
Zákon č. 69/2018 Z. z.
Č:I, §:5, O:1, P:g)
Úrad v oblasti kybernetickej bezpečnosti
g) zabezpečuje členstvo Slovenskej republiky v skupine pre spoluprácu a v sieti jednotiek CSIRT,
Ú
GP - N
Č:14, O:6
Skupina pre spoluprácu môže od siete jednotiek CSIRT požadovať technickú správu na vybrané témy.
n.a.
Č:14, O:7
Skupina pre spoluprácu do 1. februára 2024 a potom každé dva roky zostaví pracovný program týkajúci sa činností, ktoré sa majú uskutočniť v rámci dosahovania jej cieľov a úloh.
n.a.
Č:14, O:8
Komisia môže prijať vykonávacie akty stanovujúce procesné opatrenia potrebné na fungovanie skupiny pre spoluprácu.
Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 39 ods. 2.
Pokiaľ ide o návrhy vykonávacích aktov uvedených v prvom pododseku tohto odseku, Komisia sa radí a spolupracuje so skupinou pre spoluprácu v súlade s odsekom 4 písm. e).
n.a.
Č:14, O:9
Skupina pre spoluprácu sa pravidelne a v každom prípade aspoň raz ročne stretáva so skupinou pre odolnosť kritických subjektov zriadenou podľa smernice (EÚ) 2022/2557 s cieľom podporovať a sprostredkovať strategickú spoluprácu a výmenu informácií.
n.a.
55
Č:15, O:1
S cieľom prispieť k zvyšovaniu dôvery a podporiť rýchlu a účinnú operačnú spoluprácu medzi členskými štátmi sa zriaďuje sieť národných jednotiek CSIRT.
n.a.
Č:15, O:2
Sieť jednotiek CSIRT sa skladá zo zástupcov jednotiek CSIRT určených alebo zriadených podľa článku 10 a tímu reakcie na núdzové počítačové situácie v inštitúciách, orgánoch a agentúrach Únie (CERT-EU). Komisia sa zúčastňuje na práci siete jednotiek CSIRT ako pozorovateľ. Agentúra ENISA zabezpečuje sekretariát a aktívne pomáha so spoluprácou medzi jednotkami CSIRT.
n.a.
Č:15, O:3
Sieť jednotiek CSIRT plní tieto úlohy:
a)výmena informácií o spôsobilostiach jednotiek CSIRT;
b)sprostredkovanie spoločného používania, transferu a výmeny technológií a príslušných opatrení, politík, nástrojov, procesov, najlepších postupov a rámcov medzi jednotkami CSIRT;
c)výmena relevantných informácií o incidentoch, udalostiach odvrátených v poslednej chvíli, kybernetických hrozbách, rizikách a zraniteľnostiach;
d)výmena informácií v súvislosti s publikáciami a odporúčaniami o kybernetickej bezpečnosti;
e)zabezpečovanie interoperability, pokiaľ ide o špecifikácie a protokoly výmeny informácií;
f)na žiadosť člena siete jednotiek CSIRT potenciálne zasiahnutej incidentom výmena a prediskutovanie informácií o danom incidente a súvisiacich kybernetických hrozbách, rizikách a zraniteľnostiach;
g)na žiadosť člena siete jednotiek CSIRT prediskutovanie a v rámci možností vykonanie koordinovanej reakcie na incident, ktorý bol identifikovaný v oblasti patriacej do právomoci daného členského štátu;
h)poskytovanie pomoci členským štátom pri riešení cezhraničných incidentov podľa tejto smernice;
n.a.
56
i)spolupráca, výmena najlepších postupov a poskytovanie pomoci jednotkám CSIRT určeným za koordinátorov podľa článku 12 ods. 1, pokiaľ ide o riadenie koordinovaného zverejňovania informácií o zraniteľnostiach, ktoré by mohli mať významný dosah na subjekty vo viac ako jednom členskom štáte;
j)prediskutovanie a určovanie ďalších foriem operačnej spolupráce, a to aj v súvislosti:
i)s kategóriami kybernetických hrozieb a incidentov;
ii)so včasnými varovaniami;
iii) so vzájomnou pomocou;
iv)so zásadami a dojednaniami koordinácie pri reakcii na cezhraničné riziká a incidenty;
v) na žiadosť členského štátu s príspevkom k národnému plánu reakcie na rozsiahle kybernetické incidenty a krízy uvedeného v článku 9 ods. 4;
k)informovanie skupiny pre spoluprácu o svojej činnosti a o ďalších formách operačnej spolupráce prediskutovaných podľa písmena j) a v prípade potreby požadovanie usmernení v tomto ohľade;
l)bilancia kybernetických bezpečnostných cvičení vrátane cvičení organizovaných agentúrou ENISA;
m)na žiadosť niektorej jednotky CSIRT prediskutovanie spôsobilostí a pripravenosti tejto jednotky CSIRT;
n)spolupráca a výmena informácií s regionálnymi a únijnými centrami bezpečnostných operácií (SOC) s cieľom zlepšiť spoločné situačné povedomie o incidentoch a kybernetických hrozbách v celej Únii;
o)v príslušných prípadoch prediskutovanie správ o partnerskom preskúmaní uvedených v článku 19 ods. 9;
p)poskytovanie usmernení s cieľom uľahčiť zbližovanie operačných postupov so zreteľom na uplatňovanie ustanovení tohto článku, pokiaľ ide o operačnú spoluprácu.
57
Č:15, O:4
Na účely preskúmania uvedeného v článku 40 sieť jednotiek CSIRT do 17. januára 2025 a potom každé dva roky posúdi pokrok dosiahnutý s ohľadom na operačnú spoluprácu a prijme správu. V správe sa predovšetkým vyvodia závery a odporúčania na základe výsledkov partnerských preskúmaní uvedených v článku 19 a vykonaných v súvislosti s národnými jednotkami CSIRT. Táto správa sa predloží skupine pre spoluprácu.
n.a.
Č:15, O:5
Sieť jednotiek CSIRT prijme svoj rokovací poriadok.
n.a.
Č:15, O:6
Sieť jednotiek CSIRT a sieť EU-CyCLONe sa dohodnú na procesných opatreniach a v súlade s nimi spolupracujú.
n.a.
Č:16, O:1
Sieť EU-CyCLONe sa zriaďuje s cieľom podporiť koordinované riadenie rozsiahlych kybernetických incidentov a kríz na operačnej úrovni a zabezpečiť pravidelnú výmenu relevantných informácií medzi členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie.
n.a.
Č:16, O:2
Sieť EU-CyCLONe tvoria zástupcovia orgánov členských štátov pre riadenie kybernetických kríz a v prípadoch, keď potenciálny alebo prebiehajúci rozsiahly kybernetický incident alebo pravdepodobne bude mať významný vplyv na služby a činnosti patriace do rozsahu pôsobnosti tejto smernice, aj zástupcovia Komisie. Vo všetkých ostatných prípadoch sa Komisia zúčastňuje na činnostiach siete EU-CyCLONe ako pozorovateľ.
Agentúra ENISA zabezpečuje sekretariát siete EU-CyCLONe, podporuje bezpečnú výmenu informácií a poskytuje potrebné nástroje na podporu spolupráce medzi členskými štátmi zaistením bezpečnej výmeny informácií.
V náležitých prípadoch môže sieť EU-CyCLONe prizvať ako pozorovateľov k svojej práci zástupcov príslušných zainteresovaných strán.
n.a.
58
Č:16, O:3
Sieť EU-CyCLONe plní tieto úlohy:
a)zvyšovanie úrovne pripravenosti na riadenie rozsiahlych kybernetických incidentov a kríz;
b)rozvíjanie spoločného situačného povedomia o rozsiahlych kybernetických incidentoch a krízach;
c)posudzovanie dôsledkov a vplyvu relevantných rozsiahlych kybernetických incidentov a kríz a navrhovanie možných zmierňujúcich opatrení;
d)koordinácia riadenia rozsiahlych kybernetických incidentov a kríz a podpora rozhodovania na politickej úrovni v súvislosti s takýmito incidentmi a krízami;
e)na žiadosť príslušného členského štátu prediskutovanie národných plánov reakcie na rozsiahle kybernetické incidenty a krízy uvedených v článku 9 ods. 4;
n.a.
Č:16, O:4
Sieť EU-CyCLONe prijme vlastný rokovací poriadok.
n.a.
Č:16, O:5
Sieť EU-CyCLONe podáva skupine pre spoluprácu pravidelne správy o riadení rozsiahlych kybernetických incidentov a kríz, ako aj o trendoch, pričom sa zameriava najmä na ich vplyv na kľúčové a dôležité subjekty.
n.a.
Č:16, O:6
Sieť EU-CyCLONe spolupracuje so sieťou jednotiek CSIRT na základe dohodnutých procesných opatrení stanovených v článku 15 ods. 6.
n.a.
Č:16, O:7
Sieť EU-CyCLONe do 17. júla 2024 a potom každých 18 mesiacov predloží Európskemu parlamentu a Rade správu, v ktorej posúdi svoju prácu.
n.a.
Č:17
Únia môže v prípade potreby v súlade s článkom 218 ZFEÚ uzatvárať medzinárodné dohody s tretími krajinami alebo medzinárodnými organizáciami, ktorými môže povoľovať a organizovať ich účasť na konkrétnych činnostiach skupiny pre spoluprácu, siete jednotiek CSIRT a siete EU-CyCLONe. Takéto dohody musia byť v súlade s právom Únie v oblasti ochrany údajov.
n.a.
59
Č:18, O:1
Agentúra ENISA v spolupráci s Komisiou a skupinou pre spoluprácu prijme každé dva roky správu o stave kybernetickej bezpečnosti v Únii a predkladá a prezentuje ju Európskemu parlamentu. Správa sa vydáva aj v strojovo čitateľnom formáte a obsahuje:
a)posúdenie kybernetických rizík na úrovni Únie s prihliadnutím na panorámu kybernetických hrozieb;
b)posúdenie rozvoja spôsobilostí v oblasti kybernetickej bezpečnosti vo verejnom a súkromnom sektore v celej Únii;
c)posúdenie všeobecnej úrovne informovanosti o kybernetickej bezpečnosti a kybernetickej hygieny medzi občanmi a subjektmi vrátane malých a stredných podnikov;
d)súhrnné posúdenie výsledkov partnerského preskúmania uvedeného v článku 19;
e)súhrnné posúdenie úrovne vyspelosti spôsobilostí a zdrojov v oblasti kybernetickej bezpečnosti v celej Únii vrátane spôsobilostí a zdrojov na úrovni odvetví, ako aj rozsahu, v akom národné stratégie kybernetickej bezpečnosti členských štátov zosúladené.
n.a.
Č:18, O:2
Správa obsahuje konkrétne politické odporúčania na riešenie problémov a zvýšenie úrovne kybernetickej bezpečnosti v celej Únii a zhrnutie zistení za konkrétne obdobie z technických situačných správ o kybernetickej bezpečnosti v o incidentoch a kybernetických hrozbách, ktoré vypracúva agentúra ENISA v súlade s článkom 7 ods. 6 nariadenia (EÚ) 2019/881.
n.a.
Č:18, O:3
Agentúra ENISA v spolupráci s Komisiou, skupinou pre spoluprácu a sieťou jednotiek CSIRT pripraví metodiku súhrnného posúdenia uvedeného v prvom odseku písm. e) vrátane príslušných premenných, ako kvantitatívne a kvalitatívne ukazovatele.
n.a.
Č:19, O:1, Pododsek 1,
Skupina pre spoluprácu do 17. januára 2025 s pomocou Komisie a agentúry ENISA a v prípade potreby siete jednotiek CSIRT vypracuje metodiku a organizačné aspekty
n.a.
60
V:1 a 4
partnerských preskúmaní s cieľom čerpať zo spoločných skúseností, posilniť vzájomnú dôveru, dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti, ako aj posilniť spôsobilosti kybernetickej bezpečnosti a politiky členských štátov potrebné na vykonávanie tejto smernice. Expertov na kybernetickú bezpečnosť určia minimálne dva iné členské štáty, než je členský štát, ktorý je predmetom preskúmania.
Č:19, O:1, Pododsek 1,
V: 2 a 3
Účasť na partnerských preskúmaniach je dobrovoľná. Partnerské preskúmania vykonávajú experti na kybernetickú bezpečnosť.
D
Návrh zákona
Č:I, §:16, O:4
Ten, kto plní úlohy jednotky CSIRT zabezpečuje spoluprácu s úradom,
príslušným ústredným orgánom a ostatnými jednotkami CSIRT, ako aj s jednotkami CSIRT z iných členských štátov Európskej únie a účasť na
partnerských preskúmaniach organizovaných v rámci spolupráce medzi
členskými štátmi Európskej únie, Európskou komisiou a Agentúrou
Európskej únie pre kybernetickú bezpečnosť.
Ú
GP - N
Č:19, O:1,
Pododsek 2
Partnerské preskúmania sa týkajú aspoň jedného z týchto aspektov:
a)úrovne vykonávania opatrení na riadenie kybernetických rizík a oznamovacích povinností stanovených v článkoch 21 a 23;
b)úrovne spôsobilostí vrátane dostupných finančných, technických a ľudských zdrojov a účinnosť plnenia úloh príslušných orgánov;
c)operačných spôsobilostí jednotiek CSIRT;
d)úrovne vykonávania vzájomnej pomoci uvedenej v článku 37;
e)úrovne vykonávania dohôd o výmene informácií o kybernetickej bezpečnosti uvedených v článku 29;
f)konkrétnych záležitostí cezhraničného alebo medziodvetvového charakteru.
n.a.
Č:19, O:2
Metodika uvedená v odseku 1 zahŕňa objektívne, nediskriminačné, spravodlivé a transparentné kritériá, na základe ktorých členské štáty určia expertov na kybernetickú bezpečnosť oprávnených vykonávať partnerské preskúmania. Komisia agentúra ENISA sa zúčastňujú na partnerských preskúmaniach ako pozorovatelia.
n.a.
Č:19, O:3
Členské štáty môžu určiť konkrétne záležitosti uvedené v odseku 1 písm. f) na účely partnerského preskúmania.
D
61
Č:19, O:4
Pred začatím partnerského preskúmania uvedeného v odseku 1 členské štáty oznámia zúčastneným členským štátom jeho rozsah vrátane konkrétnych záležitostí určených podľa odseku 3.
n.a.
účasť na partnerských preskúmaniach je dobrovoľná, ide o povinnosť iba pre tie členské štáty, ktoré vyšlú svojich expertov na KB
Č:19, O:5
Pred začatím partnerského preskúmania môžu členské štáty vykonať sebahodnotenie skúmaných aspektov a toto sebahodnotenie poskytnúť určeným expertom na kybernetickú bezpečnosť. Metodiku sebahodnotenia členských štátov stanoví skupina pre spoluprácu s pomocou Komisie a agentúry ENISA.
D
Č:19, O:6
Partnerské preskúmania zahŕňajú osobné alebo virtuálne návštevy na mieste a výmenu informácií na diaľku. Členský štát, ktorý je predmetom partnerského preskúmania, poskytne v súlade so zásadou dobrej spolupráce určeným expertom na kybernetickú bezpečnosť informácie potrebné na hodnotenie, a to bez toho, aby bolo dotknuté právo Únie alebo vnútroštátne právo týkajúce sa ochrany dôverných alebo utajovaných skutočností a ochrany základných funkcií štátu, ako je národná bezpečnosť. Skupina pre spoluprácu v spolupráci s Komisiou a agentúrou ENISA vypracuje vhodné kódexy správania na podporu pracovných metód určených expertov na kybernetickú bezpečnosť. Všetky informácie získané v rámci partnerského preskúmania sa použijú výlučne na uvedený účel. Experti na kybernetickú bezpečnosť, ktorí sa zúčastňujú na partnerskom preskúmaní, nesmú sprístupniť tretím stranám žiadne citlivé alebo dôverné informácie získané v priebehu tohto partnerského preskúmania.
n.a.
Č:19, O:7
Tie isté aspekty, ktoré boli predmetom partnerského preskúmania v členskom štáte, nepodliehajú ďalšiemu partnerskému preskúmaniu v tomto členskom štáte najbližšie dva roky od ukončenia partnerského preskúmania, pokiaľ o to členský štát nepožiada
n.a.
62
alebo nedôjde k dohode po návrhu skupiny pre spoluprácu.
Č:19, O:8
Členské štáty zabezpečia, aby každé riziko konfliktu záujmov týkajúce sa určených expertov na kybernetickú bezpečnosť bolo oznámené ostatným členským štátom, skupine pre spoluprácu, Komisii a agentúre ENISA pred začatím postupu partnerského preskúmania. Členský štát, ktorý je predmetom partnerského preskúmania, môže na základe riadne opodstatnených dôvodov, ktoré oznámi určujúcemu členskému štátu, podať námietku proti určeniu konkrétnych expertov na kybernetickú bezpečnosť.
n.a.
účasť na partnerských preskúmaniach je dobrovoľná, ide o povinnosť iba pre tie členské štáty, ktoré vyšlú svojich expertov na KB
Č:19, O:9
Experti na kybernetickú bezpečnosť zúčastňujúci sa na partnerských preskúmaniach vypracujú správy o zisteniach a záveroch partnerských preskúmaní. Členské štáty, ktoré predmetom partnerského preskúmania, môžu predložiť pripomienky k návrhom správ, ktoré sa ich týkajú, a takéto pripomienky sa priložia k správam. Správy obsahujú odporúčania s cieľom umožniť zlepšenie aspektov, ktoré predmetom partnerského preskúmania. Správy v náležitých prípadoch postúpené skupine pre spoluprácu a sieti jednotiek CSIRT. Členský štát, ktorý je predmetom partnerského preskúmania, sa môže rozhodnúť, že svoju správu alebo jej upravenú verziu sprístupní verejnosti.
n.a.
účasť na partnerských preskúmaniach je dobrovoľná, ide o povinnosť iba pre tie členské štáty, ktoré vyšlú svojich expertov na KB
Č:20, O:1
Členské štáty zabezpečia, aby riadiace orgány kľúčových a dôležitých subjektov schválili opatrenia na riadenie kybernetických rizík, ktoré tieto subjekty prijali s cieľom dosiahnuť súlad s článkom 21, dohliadali na jeho vykonávanie a aby mohli byť brané na zodpovednosť, ak subjekty porušujú uvedený článok.
Uplatňovaním tohto odseku nie je dotknuté vnútroštátne právo, pokiaľ ide o pravidlá zodpovednosti uplatniteľné na verejné inštitúcie, ako aj zodpovednosť štátnych
N
Návrh zákona
Návrh zákona
Č:I, §:19, O:6, P:h)
P:i)
Prevádzkovateľ základnej služby je ďalej povinný
h) vytvoriť a zaviesť účinný mechanizmus včasného informovania štatutárneho orgánu a zodpovedných vedúcich zamestnancov o hrozbách, incidentoch, udalostiach odvrátených na poslednú chvíľu, možných dopadoch kybernetických bezpečnostných incidentov, výsledkoch analýzy rizík a stavu implementácie ošetrenia rizík s cieľom dodržiavania tohto zákona,
i) oznamovať úradu menovanie alebo zmenu štatutárneho orgánu, ak táto zmena nie je referenčným údajom.
Ú
GP - N
63
zamestnancov a volených alebo menovaných činiteľov.
Návrh zákona
Č:I, §:29j, O:4
Ak prevádzkovateľ základnej služby, ktorý prevádzkuje kritickú základnú službu, nesplní povinnosť podľa odseku 1 písm. a) alebo písm. b), ani v dodatočnej lehote určenej vo výzve úradu, môže úrad podľa závažnosti, rozsahu, dĺžky trvania, následkov a povahy zistených nedostatkov zakázať štatutárnemu orgánu prevádzkovateľa základnej služby alebo členovi štatutárneho orgánu prevádzkovateľa základnej služby, jeho vedúcemu zamestnancovi na najvyššej úrovni riadenia zodpovednému za príslušnú činnosť alebo výkonom tejto činnosti poverenému splnomocnencovi vykonávať ich funkciu, zamestnanie alebo činnosť u prevádzkovateľa základnej služby, a to do doby splnenia týchto povinností. Ustanovenie prvej vety sa nepoužije, ak ide o prevádzkovateľa základnej služby, ktorý je orgánom verejnej moci, na ktorý sa vzťahuje tento zákon.
Č:20, O:2
Členské štáty zabezpečia, aby členovia riadiacich orgánov kľúčových a dôležitých subjektov boli povinní absolvovať odbornú prípravu, a kľúčové a dôležité subjekty podporia v tom, aby svojim zamestnancom pravidelne poskytovali podobnú odbornú prípravu a ich zamestnanci tak získali dostatočné znalosti a zručnosti a vedeli rozpoznať riziká a posúdiť postupy riadenia kybernetických rizík a ich vplyv na služby poskytované subjektom.
N
Návrh zákona
Návrh zákona
Návrh zákona
Č:I, §:7, O:3, P:f)
Č:I, §:20, O:4, P:g)
P:h)
V rámci národnej stratégie kybernetickej bezpečnosti sa prijímajú politiky najmä na zabezpečenie
f) podpory a rozvoja vzdelávania a odbornej prípravy v oblasti kybernetickej bezpečnosti, kvalifikácií v oblasti kybernetickej bezpečnosti, zvyšovania informovanosti a výskumných a vývojových iniciatív v oblasti kybernetickej bezpečnosti, ako aj usmernenia o správnych postupoch a kontrolách bezpečnostného vzdelávania a získavania vedomostí a zručností, zamerané na občanov Slovenskej republiky a iné zainteresované osoby,
Bezpečnostné opatrenia musia zahŕňať najmenej
g) určenie a pridelenie úloh, rolí a zodpovednosti podľa podmienok prevádzkovateľa základnej služby a zabezpečenie primeraného vzdelávania a preškoľovania pre všetky zavedené roly,
h) určenie konkrétnej osoby alebo konkrétnych osôb zodpovedných za schvaľovanie bezpečnostných opatrení, dohľad, kontrolu a audit, zabezpečenie primeranosti zdrojov na riadenie kybernetickej bezpečnosti a za vzdelávanie,
Ú
GP - N
Č:21, O:1
Členské štáty zabezpečia, aby kľúčové a dôležité subjekty prijali vhodné a primerané technické, operačné a organizačné opatrenia na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov, ktoré tieto subjekty využívajú na svoju činnosť alebo na poskytovanie svojich služieb a na prevenciu alebo minimalizáciu vplyvu incidentov na príjemcov ich služieb a na ďalšie služby.
N
Návrh zákona
Č:I, §:19, O:1
Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základnej služby v závislosti od vykonanej analýzy rizík prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a vykonávať ich s cieľom zabezpečovania kybernetickej bezpečnosti a odolnosti. Na účely plnenia povinnosti podľa prvej vety prevádzkovateľ základnej služby prijíma, dodržiava a vykonáva sektorové bezpečnostné opatrenia, ak ustanovené;24) povinnosť prijímať opatrenia podľa § 20 ods. 4 tým nie je dotknutá. Osoba poskytujúca niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2 plní bezpečnostné opatrenia.
Ú
GP - N
64
S prihliadnutím na najnovšie, resp. na relevantné európske a medzinárodné normy, ako aj na náklady na vykonávanie sa opatreniami uvedenými v prvom pododseku zabezpečí úroveň bezpečnosti sietí a informačných systémov primeraná rizikám, ktoré predstavujú. Pri posudzovaní primeranosti týchto opatrení sa náležite zohľadní miera vystavenia subjektu rizikám, veľkosť subjektu a pravdepodobnosť výskytu incidentov a ich závažnosti vrátane ich spoločenského a hospodárskeho dosahu.
Návrh zákona
Návrh zákona
Č:I, §:20
Poznámka pod čiarou k odkazu 24 znie:
24) Napríklad nariadenie (EÚ) 2022/2554, zákon č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 95/2019 Z. z. v znení neskorších predpisov, vyhláška Úradu jadrového dozoru Slovenskej republiky č. 430/2011 Z. z. o požiadavkách na jadrovú bezpečnosť v znení vyhlášky č. 103/2016 Z. z.
(1) Bezpečnostnými opatreniami na účely tohto zákona úlohy, procesy, role a technológie v organizačnej, personálnej, fyzickej a technologickej oblasti, ktorých cieľom je dosiahnutie, zaručenie a udržanie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov a operačných technológií. Bezpečnostné opatrenia realizované na základe vykonanej analýzy rizík a s prihliadnutím na bezpečnostné metodiky a politiky úradu, najnovšie bezpečnostné trendy a medzinárodné normy a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti a prijímajú sa s cieľom
a) identifikovať zraniteľnosti, kybernetické hrozby a riziká,
b) chrániť preventívne informačné aktíva pred kybernetickou hrozbou a zabrániť vzniku kybernetického bezpečnostného incidentu,
c) detegovať kybernetické bezpečnostné incidenty,
d) reagovať na identifikované zraniteľnosti a kybernetické bezpečnostné incidenty a minimalizovať ich vplyv na siete a informačné systémy a
e) obnoviť siete a informačné systémy, napraviť negatívne dopady po vzniku kybernetického bezpečnostného incidentu a uviesť poskytované služby do stavu plynulého a nerušeného poskytovania.
(2) Bezpečnostné opatrenia sa prijímajú aspoň pre
a) organizáciu a riadenie informačnej bezpečnosti a kybernetickej bezpečnosti,
b) správu zraniteľností a kybernetických hrozieb,
c) správu aktív a riadenie kybernetických hrozieb a rizík,
d) riadenie udalostí a kybernetických bezpečnostných incidentov,
e) riadenie kontinuity činností, zálohovanie, obnovu systémov po havárii a krízové riadenie,
f) bezpečnosť pri nadobúdaní, vývoji a údržbe siete, informačných systémov, aplikácií a konfigurácií,
g) postupy posudzovania účinnosti opatrení, riadenie súladu a kontrolné činnosti,
h) kryptografické opatrenia a zásady používania kryptografie,
i) bezpečnosť a spôsobilosti ľudských zdrojov,
j) správu identít a prístupov,
k) bezpečnosť pri prevádzke informačných systémov a sietí,
65
Návrh zákona
Zákon č. 69/2018 Z. z. v znení návrhu zákona
l) ochranu proti škodlivému kódu a nežiaducemu obsahu,
m) systémovú bezpečnosť, sieťovú bezpečnosť a komunikačnú bezpečnosť,
n) monitorovanie, zaznamenávanie a hlásenie udalostí,
o) fyzickú bezpečnosť, bezpečnosť prostredia a správu koncových zariadení,
p) ochranu záznamov, súkromia a označovanie informácií,
q) dodávateľský reťazec,
r) obstarávanie a využívanie certifikovaných produktov IKT, služieb IKT a procesov IKT.
(3) Bezpečnostné opatrenia sa prijímajú a realizujú v rozsahu a spôsobom podľa § 32 ods. 1 písm. b) alebo osobitného predpisu24), ak je vydaný, a na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.
Poznámka pod čiarou k odkazu 24 znie:
24) Napríklad nariadenie (EÚ) 2022/2554, zákon č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 95/2019 Z. z. v znení neskorších predpisov, vyhláška Úradu jadrového dozoru Slovenskej republiky č. 430/2011 Z. z. o požiadavkách na jadrovú bezpečnosť v znení vyhlášky č. 103/2016 Z. z.
(4) Bezpečnostné opatrenia musia zahŕňať najmenej
a) určenie manažéra kybernetickej bezpečnosti, ktorý je pri návrhu, prijímaní a presadzovaní bezpečnostných opatrení nezávislý od štruktúry riadenia prevádzky a vývoja služieb informačných technológií a ktorý spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti,
b) detekciu kybernetických bezpečnostných incidentov,
c) evidenciu kybernetických bezpečnostných incidentov,
d) postupy riešenia a riešenie kybernetických bezpečnostných incidentov,
e) určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,
f) pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania,
g) určenie a pridelenie úloh, rolí a zodpovednosti podľa podmienok prevádzkovateľa základnej služby a zabezpečenie primeraného vzdelávania a preškoľovania pre všetky zavedené role,
h) určenie konkrétnej osoby alebo konkrétnych osôb zodpovedných za schvaľovanie bezpečnostných opatrení, dohľad, kontrolu a audit, zabezpečenie primeranosti zdrojov na riadenie kybernetickej bezpečnosti a za vzdelávanie,
66
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z. v znení návrhu zákona
i) vzdelávanie a budovanie bezpečnostného povedomia v oblasti kybernetickej bezpečnosti.
(5) Bezpečnostné opatrenia sa prijímajú a realizujú na základe analýzy rizík kybernetickej bezpečnosti, ktorá určuje pravdepodobnosť vzniku škodlivej udalosti. Súčasťou analýzy rizík je aj analýza politického rizika tretej strany, pričom politické riziko sa posudzuje najmä vzhľadom na
a) plnenie záväzkov z medzinárodných zmlúv, ktorými je Slovenská republika viazaná, a na jej členstvo v medzinárodných organizáciách,
b) možnosť ovplyvňovania a zasahovania do činnosti tretej strany štátom, ktorý nie je členským štátom Európskej únie a Organizácie Severoatlantickej zmluvy (ďalej len „cudzí štát“),
c) analýzu vlastníckej štruktúry a riadiacej štruktúry tretej strany vrátane vlastníckeho podielu cudzieho štátu a priamych zahraničných investícií do tretej strany,
d) analýzu právnych predpisov a medzinárodných záväzkov cudzieho štátu v oblasti ochrany základných ľudských práv a slobôd, kybernetickej bezpečnosti, boja proti počítačovej kriminalite, ochrany osobných údajov a ochrany informácií,
e) informácie špecifické pre cudzí štát a informácie spravodajskej služby o možných kybernetických hrozbách pre záujmy Slovenskej republiky.
Politické riziká schvaľuje vláda Slovenskej republiky na základe stanoviska úradu. Stanovisko úradu sa predkladá Bezpečnostnej rade Slovenskej republiky. Politické riziká úrad zverejňuje v jednotnom informačnom systéme kybernetickej bezpečnosti. Úrad v analýze politického rizika zohľadní vyjadrenie Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstva hospodárstva Slovenskej republiky, Ministerstva vnútra Slovenskej republiky, Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky z oblasti ich pôsobnosti.
(6) Povinnosť dodržiavať všeobecné bezpečnostné opatrenia a sektorové bezpečnostné opatrenia v rozsahu podľa tohto zákona a všeobecne záväzných právnych predpisov vydaných na jeho vykonanie sa vzťahuje aj na právne vzťahy, o ktorých tak ustanoví osobitný predpis.
Č:21, O:2
Opatrenia uvedené v odseku 1 založené na prístupe zohľadňujúcom všetky riziká, ktorého cieľom je chrániť siete a informačné systémy a fyzické prostredie uvedených systémov pred incidentmi, a zahŕňajú aspoň:
N
Návrh zákona
Č:I, §:20, O:2
(2) Bezpečnostné opatrenia sa prijímajú aspoň pre
a) organizáciu a riadenie informačnej bezpečnosti a kybernetickej bezpečnosti,
b) správu zraniteľností a kybernetických hrozieb,
c) správu aktív a riadenie kybernetických hrozieb a rizík,
Ú
GP - N
67
a)zásady analýzy rizík a bezpečnosti informačných systémov;
b)riešenie incidentov;
c)kontinuitu činností, ako je riadenie zálohovania a obnova systému po havárii, a krízové riadenie;
d)bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi jednotlivými subjektmi a ich priamymi dodávateľmi alebo poskytovateľmi služieb;
e)bezpečnosť pri nadobúdaní, vývoji a údržbe siete a informačných systémov vrátane riešenia zraniteľností a zverejňovania informácií o zraniteľnostiach;
f)zásady a postupy posudzovania účinnosti opatrení na riadenie kybernetických rizík;
g)základné postupy kybernetickej hygieny a odborná príprava v oblasti kybernetickej bezpečnosti;
h)zásady a postupy používania kryptografie, prípadne šifrovania;
i)bezpečnosť ľudských zdrojov, zásady kontroly prístupu a správu aktív;
j)v prípade potreby používanie riešení viacstupňovej alebo kontinuálnej autentifikácie, zabezpečenej hlasovej, obrazovej a textovej komunikácie a zabezpečených systémov komunikácie v núdzových situáciách v rámci subjektu.
Návrh zákona
Zákon č. 69/2018 Z. z. v znení návrhu zákona
O:3
O:4
d) riadenie udalostí a kybernetických bezpečnostných incidentov,
e) riadenie kontinuity činností, zálohovanie, obnovu systémov po havárii a krízové riadenie,
f) bezpečnosť pri nadobúdaní, vývoji a údržbe siete, informačných systémov, aplikácií a konfigurácií,
g) postupy posudzovania účinnosti opatrení, riadenie súladu a kontrolné činnosti,
h) kryptografické opatrenia a zásady používania kryptografie,
i) bezpečnosť a spôsobilosti ľudských zdrojov,
j) správu identít a prístupov,
k) bezpečnosť pri prevádzke informačných systémov a sietí,
l) ochranu proti škodlivému kódu a nežiaducemu obsahu,
m) systémovú bezpečnosť, sieťovú bezpečnosť a komunikačnú bezpečnosť,
n) monitorovanie, zaznamenávanie a hlásenie udalostí,
o) fyzickú bezpečnosť, bezpečnosť prostredia a správu koncových zariadení,
p) ochranu záznamov, súkromia a označovanie informácií,
q) dodávateľský reťazec,
r) obstarávanie a využívanie certifikovaných produktov IKT, služieb IKT a procesov IKT.
(3) Bezpečnostné opatrenia sa prijímajú a realizujú v rozsahu a spôsobom podľa § 32 ods. 1 písm. b) alebo osobitného predpisu24), ak je vydaný, a na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.
Poznámka pod čiarou k odkazu 24 znie:
24) Napríklad nariadenie (EÚ) 2022/2554, zákon č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 95/2019 Z. z. v znení neskorších predpisov, vyhláška Úradu jadrového dozoru Slovenskej republiky č. 430/2011 Z. z. o požiadavkách na jadrovú bezpečnosť v znení vyhlášky č. 103/2016 Z. z.
(4) Bezpečnostné opatrenia musia zahŕňať najmenej
a) určenie manažéra kybernetickej bezpečnosti, ktorý je pri návrhu, prijímaní a presadzovaní bezpečnostných opatrení nezávislý od štruktúry riadenia prevádzky a vývoja služieb informačných technológií a ktorý spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti,
b) detekciu kybernetických bezpečnostných incidentov,
c) evidenciu kybernetických bezpečnostných incidentov,
d) postupy riešenia a riešenie kybernetických bezpečnostných incidentov,
68
e) určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,
f) pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania,
g) určenie a pridelenie úloh, rolí a zodpovednosti podľa podmienok prevádzkovateľa základnej služby a zabezpečenie primeraného vzdelávania a preškoľovania pre všetky zavedené roly,
h) určenie konkrétnej osoby alebo konkrétnych osôb zodpovedných za schvaľovanie bezpečnostných opatrení, dohľad, kontrolu a audit, zabezpečenie primeranosti zdrojov na riadenie kybernetickej bezpečnosti a za vzdelávanie,
i) vzdelávanie a budovanie bezpečnostného povedomia v oblasti kybernetickej bezpečnosti.
Č:21, O:3
Členské štáty zabezpečia, aby subjekty pri zvažovaní toho, ktoré opatrenia uvedené v odseku 2 písm. d) tohto článku vhodné, zohľadňovali zraniteľnosti špecifické pre každého priameho dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a postupy svojich dodávateľov a poskytovateľov služieb kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja. Členské štáty tiež zabezpečia, aby subjekty pri zvažovaní toho, ktoré opatrenia uvedené v uvedenom písmene vhodné, boli povinné zohľadňovať výsledky koordinovaných posúdení bezpečnostných rizík kritických dodávateľských reťazcov vykonaných v súlade s článkom 22 ods. 1.
N
Návrh zákona
Návrh zákona
Návrh zákona
Č:I, §:19, O:1
Č:I, §:19, O:6, P:f)
Č:I, §:20, O:1, V:2
Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základnej služby v závislosti od
vykonanej analýzy rizík prijať, dodržiavať a vykonávať všeobecné
bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa
§ 20 a vykonávať ich s cieľom zabezpečovania kybernetickej bezpečnosti
a odolnosti. Na účely plnenia povinnosti podľa prvej vety prevádzkovateľ základnej služby prijíma, dodržiava a vykonáva sektorové bezpečnostné
opatrenia, ak ustanovené;24) povinnosť prijímať opatrenia podľa § 20
ods. 4 tým nie je dotknutá. Osoba poskytujúca niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2 plní bezpečnostné opatrenia.
Poznámka pod čiarou k odkazu 24 znie:
24) Napríklad nariadenie (EÚ) 2022/2554, zákon č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 95/2019 Z. z. v znení neskorších predpisov, vyhláška Úradu jadrového dozoru Slovenskej republiky č. 430/2011 Z. z. o požiadavkách na jadrovú bezpečnosť v znení vyhlášky č. 103/2016 Z. z.
Prevádzkovateľ základnej služby je ďalej povinný
f) analyzovať závislosti svojich aktív, informačných systémov, využívaných produktov IKT a služieb IKT tretích strán v dodávateľskom reťazci a poskytovaných služieb s cieľom identifikovať možné dopady kybernetického bezpečnostného incidentu,
Bezpečnostné opatrenia realizované na základe vykonanej analýzy rizík a s prihliadnutím na bezpečnostné metodiky a politiky úradu, najnovšie bezpečnostné trendy a medzinárodné normy a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti a prijímajú sa s cieľom
Ú
GP - N
69
Návrh zákona
Č:I, §:20, O:2, P:q)
Bezpečnostné opatrenia sa prijímajú aspoň pre
q) dodávateľský reťazec,
Č:21, O:4
Členské štáty zabezpečia, aby subjekt, ktorý zistí, že nedodržiava opatrenia stanovené v odseku 2, prijal bez zbytočného odkladu všetky potrebné, vhodné a primerané nápravné opatrenia.
N
Návrh zákona
Návrh zákona
Návrh zákona
Návrh zákona
Návrh zákona
Č:I, §:24, O:5
O:7
Č:I, §:29e, O:2, P:d)
P:e)
P:f)
Č:I, §:29i, O:1, P:a)
Č:I, §:29j, O:1, P:b)
(5) Prevádzkovateľ základnej služby prostredníctvom jednotného informačného systému kybernetickej bezpečnosti hlási aj
a) významnú kybernetickú hrozbu, o ktorej sa dozvie,
b) udalosť odvrátenú v poslednej chvíli, ktorá mohla spôsobiť závažný kybernetický bezpečnostný incident,
c) zraniteľnosť ním prevádzkovaných verejne dostupných sietí a informačných systémov, ktorá podľa dostupných informácií a technických znalostí môže byť zneužitá na spôsobenie závažného kybernetického bezpečnostného incidentu a prevádzkovateľ základnej služby nemohol v primeranom čase prijať opatrenia na jej odstránenie alebo zníženie rizika.
(7) Hlásením podľa odseku 1 alebo odseku 5 nie dotknuté povinnosti prevádzkovateľa základnej služby prijať, dodržiavať a vykonávať bezpečnostné opatrenia. Hlásením podľa odseku 5 nie je dotknutá povinnosť podľa odseku 1.
Prevádzkovateľ základnej služby je v súvislosti s vykonávaním kontroly povinný
d) prijať opatrenia na nápravu nedostatkov zistených kontrolou a na odstránenie príčin ich vzniku uvedených v čiastkovej správe alebo v správe a predložiť úradu písomný zoznam prijatých opatrení v lehote určenej úradom,
e) predložiť a prepracovať v lehote určenej úradom písomný zoznam prijatých opatrení, ak úrad vyžadoval jeho prepracovanie a predloženie,
f) splniť prijaté opatrenia v primeranej lehote určenej úradom,
Úrad môže pred začatím konania o uložení opatrenia na nápravu vydať predbežné opatrenie, ktorým v rozsahu nevyhnutne potrebnom na predídenie vzniku vážnej škody alebo inej ujmy
a) uloží prevádzkovateľovi základnej služby, aby niečo vykonal, niečoho sa zdržal alebo niečo strpel,
Ak úrad zistí nedostatky v činnosti prevádzkovateľa základnej služby spočívajúce v plnení povinností prevádzkovateľa základnej služby podľa tohto zákona alebo povinností uložených na základe tohto zákona, podľa závažnosti, rozsahu, dĺžky trvania, následkov a povahy zistených nedostatkov, môže uložiť prevádzkovateľovi základnej služby povinnosť
Ú
GP - N
70
b) prijať opatrenia na nápravu,
Č:21, O:5
Komisia do 17. októbra 2024 prijme vykonávacie akty, ktorými stanoví technické a metodické požiadavky na opatrenia uvedené v odseku 2, pokiaľ ide o poskytovateľov služieb DNS, správcov názvov TLD, poskytovateľov služieb cloud computingu, poskytovateľov služieb dátového centra, poskytovateľov sietí na sprístupňovanie obsahu, poskytovateľov riadených služieb, poskytovateľov riadených bezpečnostných služieb, poskytovateľov online trhov, internetových vyhľadávačov a platforiem služieb sociálnej siete a poskytovateľov dôveryhodných služieb.
Komisia môže prijať vykonávacie akty, ktorými podľa potreby stanoví technické, metodické, ako aj odvetvové požiadavky na opatrenia uvedené v odseku 2, pokiaľ ide o iné kľúčové a dôležité subjekty, než subjekty uvedené v prvom pododseku tohto odseku.
Komisia pri príprave vykonávacích aktov uvedených v prvom a druhom pododseku tohto odseku sa v čo najväčšej možnej miere riadi európskymi a medzinárodnými normami, ako aj príslušnými technickými špecifikáciami. Komisia sa radí a spolupracuje so skupinou pre spoluprácu a agentúrou ENISA v súlade s článkom 14 ods. 4 písm. e), pokiaľ ide o návrhy vykonávacích aktov.
Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 39 ods. 2.
n.a.
Č:22, O:1
Skupina pre spoluprácu môže v spolupráci s Komisiou a agentúrou ENISA vykonávať koordinované posúdenia bezpečnostných rizík dodávateľských reťazcov konkrétnych kritických služieb IKT, systémov IKT alebo
n.a.
71
produktov IKT, pričom zohľadní technické a prípadne aj netechnické faktory rizík.
Č:22, O:2
Komisia po konzultácii so skupinou pre spoluprácu a agentúrou ENISA a v prípade potreby s príslušnými zainteresovanými stranami určí konkrétne kritické služby IKT, systémy IKT alebo produkty IKT, ktoré môžu podliehať koordinovanému posúdeniu bezpečnostných rizík uvedenému v odseku 1.
n.a.
Č:23, O:1
Každý členský štát zabezpečí, aby kľúčové a dôležité subjekty bez zbytočného odkladu oznámili svojej jednotke CSIRT alebo v náležitých prípadoch svojmu príslušnému orgánu v súlade s odsekom 4 každý incident s významným vplyvom na poskytovanie ich služieb ako sa uvádza v odseku 3 (významný incident). V prípade potreby dotknuté subjekty bez zbytočného odkladu oznámia príjemcom svojich služieb významné incidenty, ktoré by mohli nepriaznivo ovplyvniť poskytovanie daných služieb. Každý členský štát zabezpečí, aby tieto subjekty oznamovali okrem iného informácie umožňujúce jednotke CSIRT alebo v náležitých prípadoch príslušnému orgánu určiť cezhraničný vplyv incidentu. Samotný akt oznámenia nezakladá zvýšenú zodpovednosť oznamujúceho subjektu.
Ak dotknuté subjekty oznámia príslušnému orgánu významný incident podľa prvého pododseku, členský štát zabezpečí, aby uvedený príslušný orgán postúpil toto oznámenie po jeho prijatí jednotke CSIRT.
V prípade cezhraničného alebo medziodvetvového významného incidentu členské štáty zabezpečia, aby sa ich jednotným kontaktným miestam včas poskytli príslušné informácie oznámené v súlade s odsekom 4.
N
Návrh zákona
Návrh zákona
Č:I, §:24, O:1
O:3
(1) Prevádzkovateľ základnej služby je povinný hlásiť každý závažný kybernetický bezpečnostný incident.
(3) Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
a) bez zbytočného odkladu, avšak najneskôr do 24 hodín od jeho zistenia sa hlási včasné varovanie, v ktorom sa uvádza najmä, či závažný kybernetický bezpečnostný incident mohol byť spôsobený protiprávnym konaním, alebo či môže mať cezhraničný vplyv, a ak ide o prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodných služieb, uvádza sa tiež vplyv na poskytovanie dôveryhodných služieb,
b) bez zbytočného odkladu, avšak najneskôr do 72 hodín od jeho zistenia sa hlási oznámenie o závažnom kybernetickom bezpečnostnom incidente, v ktorom sa aktualizujú a dopĺňajú informácie z včasného varovania, najmä sa uvádza prvotné posúdenie kybernetického bezpečnostného incidentu, jeho závažnosti a následkov ak ide o prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodných služieb bez zbytočného odkladu, avšak najneskôr do 24 hodín od jeho zistenia,
c) na žiadosť toho, kto prevádzkuje jednotku CSIRT, sa v určenej lehote hlásia aktualizované alebo iné vyžiadané informácie o priebehu závažného kybernetického bezpečnostného incidentu,
d) najneskôr jeden mesiac po nahlásení oznámenia podľa písmena b) sa hlási záverečná správa, ktorá obsahuje najmä podrobný opis závažného kybernetického bezpečnostného incidentu vrátane jeho závažnosti a následkov, druh kybernetickej hrozby alebo hlavnú príčinu, ktorá pravdepodobne kybernetický bezpečnostný incident spôsobila, zavedené a prebiehajúce opatrenia a cezhraničný vplyv, ak existuje,
e) ak ide o závažný kybernetický bezpečnostný incident s cezhraničným vplyvom, ktorý v lehote podľa písmena d) stále trvá, hlási sa do 30 dní odo dňa obnovy riadnej prevádzky siete a informačného systému
Ú
GP - N
72
Návrh zákona
O:5
aktualizovaná záverečná správa v rozsahu podľa písmena d); ak v čase predkladania záverečnej správy podľa písmena d) závažný kybernetický bezpečnostný incident ešte prebieha, hlásia sa ďalšie aktualizované alebo iné vyžiadané informácie a aktualizovaná záverečná správa do 30 dní odo dňa, keď sa závažný kybernetický bezpečnostný incident vyriešil.
(5) Prevádzkovateľ základnej služby prostredníctvom jednotného informačného systému kybernetickej bezpečnosti hlási aj
a) významnú kybernetickú hrozbu, o ktorej sa dozvie,
b) udalosť odvrátenú v poslednej chvíli, ktorá mohla spôsobiť závažný kybernetický bezpečnostný incident,
c) zraniteľnosť ním prevádzkovaných verejne dostupných sietí a informačných systémov, ktorá podľa dostupných informácií a technických znalostí môže byť zneužitá na spôsobenie závažného kybernetického bezpečnostného incidentu a prevádzkovateľ základnej služby nemohol v primeranom čase prijať opatrenia na jej odstránenie alebo zníženie rizika.
Č:23, O:2
Členské štáty v náležitých prípadoch zabezpečia, aby kľúčové a dôležité subjekty bez zbytočného odkladu oznámili príjemcom svojich služieb, ktorí potenciálne čelia významnej kybernetickej hrozbe, všetky opatrenia alebo nápravné kroky, ktoré títo príjemcovia môžu v reakcii na danú hrozbu prijať. Subjekty v prípade potreby týchto príjemcov informujú aj o samotnej významnej kybernetickej hrozbe.
N
Návrh zákona
Návrh zákona
Č:I, §:6, O:5
Č:I, §:8, O:2, P:f)
Úrad prostredníctvom národnej jednotky CSIRT na účely zverejňovania zraniteľností alebo zamedzenia ich zneužitia plní úlohu koordinátora vo veciach komunikácie o zistených alebo nahlásených zraniteľnostiach medzi prevádzkovateľom základnej služby, výrobcom alebo dodávateľom produktu IKT alebo služby IKT a inými dotknutými osobami. Na účely podľa prvej vety úrad prostredníctvom národnej jednotky CSIRT
a)identifikuje a kontaktuje dotknuté osoby,
b)komunikuje o zraniteľnosti s výrobcom alebo poskytovateľom produktu IKT alebo služby IKT,
c)oznamuje prevádzkovateľovi základnej služby zraniteľnosť, ktorá sa ho týka a odporučí mu opatrenia na zamedzenie jej zneužiteľnosti, opatrenia na úseku kontroly a riešenia kybernetických bezpečnostných incidentov tým nie sú dotknuté,
d)poskytuje pomoc osobám oznamujúcim zraniteľnosti,
e)riadi zverejňovanie zraniteľností.
Jednotný informačný systém kybernetickej bezpečnosti obsahuje komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálny systém včasného varovania. Jednotný informačný systém pozostáva z verejnej časti a neverejnej časti a prístup k nemu je bezodplatný. Verejná časť jednotného informačného systému kybernetickej bezpečnosti obsahuje
f) výstrahy, varovania a ďalšie informácie slúžiace na minimalizovanie, odvrátenie alebo nápravu následkov kybernetického bezpečnostného incidentu,
Ú
GP - N
73
Zákon č. 69/2018 Z. z.
Č:I, §:19, O:6, P:b)
P:c)
Prevádzkovateľ základnej služby je ďalej povinný
b) bezodkladne hlásiť závažný kybernetický bezpečnostný incident,
c) spolupracovať s úradom a ústredným orgánom pri riešení hláseného kybernetického bezpečnostného incidentu a na tento účel im poskytnúť potrebnú súčinnosť, ako aj informácie získané z vlastnej činnosti dôležité pre riešenie kybernetického bezpečnostného incidentu,
Č:23, O:3
Incident sa považuje za významný, ak:
a)a) spôsobil alebo schopnosť spôsobiť dotknutému subjektu závažné prevádzkové narušenie služieb alebo finančnú stratu;
b)b) zasiahol alebo schopnosť zasiahnuť iné fyzické alebo právnické osoby tým, že im spôsobí značnú majetkovú alebo nemajetkovú ujmu.
N
Návrh zákona
Č:I, §:24, O:2
(2) Za závažný kybernetický bezpečnostný incident sa považuje rozsiahly kybernetický bezpečnostný incident a kybernetický bezpečnostný incident, ktorý
a) spôsobil alebo môže spôsobiť závažné narušenie fungovania prevádzkovateľa základnej služby, alebo škodu, inú ujmu na majetku alebo ušlý zisk vo veľkom rozsahu9),
b) zasiahol alebo môže zasiahnuť iné osoby tým, že im spôsobí škodu, inú ujmu alebo ušlý zisk v značnom rozsahu.9)
Poznámka pod čiarou k odkazu 9 znie:
9) § 125 ods. 1 Trestného zákona.
Ú
GP - N
Č:23, O:4, P:a)
Členské štáty zabezpečia, aby dotknuté subjekty na účely oznámenia podľa odseku 1 postúpili jednotke CSIRT alebo v náležitých prípadoch príslušnému orgánu:
a) bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu včasné varovanie, v ktorom sa prípadne uvedie, či významný incident pravdepodobne spôsobilo konanie, ktoré je nezákonné alebo so zlým úmyslom, alebo či môže mať cezhraničný dosah;
N
Návrh zákona
Č:I, §:24, O:3, P:a)
(3) Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
a) bez zbytočného odkladu, avšak najneskôr do 24 hodín od jeho zistenia sa hlási včasné varovanie, v ktorom sa uvádza najmä, či závažný kybernetický bezpečnostný incident mohol byť spôsobený protiprávnym konaním, alebo či môže mať cezhraničný vplyv, a ak ide o prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodných služieb, uvádza sa tiež vplyv na poskytovanie dôveryhodných služieb,
Ú
GP - N
Č:23, O:4, P:b)
Členské štáty zabezpečia, aby dotknuté subjekty na účely oznámenia podľa odseku 1 postúpili jednotke CSIRT alebo v náležitých prípadoch príslušnému orgánu:
b) bez zbytočného odkladu a v každom prípade do 72 hodín po tom, ako sa dozvedeli o významnom incidente, oznámenie o incidente, ktorým v prípade potreby aktualizujú informácie uvedené v písmene a) a uvedú prvotné posúdenie významného incidentu, vrátane jeho závažnosti a vplyvu, ako aj prípadne indikátory kompromitácie.
N
Návrh zákona
Č:I, §:24, O:3, P:b)
(3) Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
b) bez zbytočného odkladu, avšak najneskôr do 72 hodín od jeho zistenia sa hlási oznámenie o závažnom kybernetickom bezpečnostnom incidente, v ktorom sa aktualizujú a dopĺňajú informácie z včasného varovania, najmä sa uvádza prvotné posúdenie kybernetického bezpečnostného incidentu, jeho závažnosti a následkov ak ide o prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodných služieb bez zbytočného odkladu, avšak najneskôr do 24 hodín od jeho zistenia,
Ú
GP - N
74
Č:23, O:4, P:c)
Členské štáty zabezpečia, aby dotknuté subjekty na účely oznámenia podľa odseku 1 postúpili jednotke CSIRT alebo v náležitých prípadoch príslušnému orgánu:
c) na žiadosť jednotky CSIRT alebo v náležitých prípadoch príslušného orgánu priebežnú správu s relevantnou aktualizáciou daného stavu;
N
Návrh zákona
Č:I, §:24, O:3, P:c)
(3) Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
c) na žiadosť toho, kto prevádzkuje jednotku CSIRT, sa v určenej lehote hlásia aktualizované alebo iné vyžiadané informácie o priebehu závažného kybernetického bezpečnostného incidentu,
Ú
GP - N
Č:23, O:4, P:d)
Členské štáty zabezpečia, aby dotknuté subjekty na účely oznámenia podľa odseku 1 postúpili jednotke CSIRT alebo v náležitých prípadoch príslušnému orgánu:
d) najneskôr jeden mesiac po postúpení oznámenia o incidente podľa písmena b) záverečnú správu, ktorá obsahuje tieto informácie:
i)podrobný opis incidentu vrátane jeho závažnosti a vplyvu
ii)druh hrozby alebo hlavnú príčinu, ktorá pravdepodobne incident spôsobila;
iii)zavedené a prebiehajúce zmierňujúce opatrenia;
iv)v náležitých prípadoch cezhraničný vplyv incidentu;
N
Návrh zákona
Č:I, §:24, O:3, P:d)
(3) Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
d) najneskôr jeden mesiac po nahlásení oznámenia podľa písmena b) sa hlási záverečná správa, ktorá obsahuje najmä podrobný opis závažného kybernetického bezpečnostného incidentu vrátane jeho závažnosti a následkov, druh kybernetickej hrozby alebo hlavnú príčinu, ktorá pravdepodobne kybernetický bezpečnostný incident spôsobila, zavedené a prebiehajúce opatrenia a cezhraničný vplyv, ak existuje,
Ú
GP - N
Č:23, O:4, P:e)
Členské štáty zabezpečia, aby dotknuté subjekty na účely oznámenia podľa odseku 1 postúpili jednotke CSIRT alebo v náležitých prípadoch príslušnému orgánu:
e) v prípade, že v čase predkladania záverečnej správy uvedenej v písmene d) incident ešte prebieha, členské štáty zabezpečia, aby dotknuté subjekty predložili v uvedenom čase ďalšiu priebežnú správu a záverečnú správu do jedného mesiaca odo dňa, keď incident vyriešili.
N
Návrh zákona
Č:I, §:24, O:3, P:e)
(3) Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
e) ak ide o závažný kybernetický bezpečnostný incident s cezhraničným vplyvom, ktorý v lehote podľa písmena d) stále trvá, hlási sa do 30 dní odo dňa obnovy riadnej prevádzky siete a informačného systému aktualizovaná záverečná správa v rozsahu podľa písmena d); ak v čase predkladania záverečnej správy podľa písmena d) závažný kybernetický bezpečnostný incident ešte prebieha, hlásia sa ďalšie aktualizované alebo iné vyžiadané informácie a aktualizovaná záverečná správa do 30 dní odo dňa, keď sa závažný kybernetický bezpečnostný incident vyriešil.
Ú
GP - N
Č:23, O:4, Pododsek 2
Odchylne od prvého pododseku písm. b) poskytovateľ dôveryhodných služieb informuje jednotku CSIRT alebo v náležitých prípadoch príslušný orgán o významných incidentoch, ktoré majú vplyv na poskytovanie jeho
N
Návrh zákona
Č:I, §:24, O:3, P:a)
(3) Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
a) bez zbytočného odkladu, avšak najneskôr do 24 hodín od jeho zistenia sa hlási včasné varovanie, v ktorom sa uvádza najmä, či závažný
Ú
GP - N
75
dôveryhodných služieb, a to bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu.
kybernetický bezpečnostný incident mohol byť spôsobený protiprávnym konaním, alebo či môže mať cezhraničný vplyv, a ak ide o prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodných služieb, uvádza sa tiež vplyv na poskytovanie dôveryhodných služieb,
Č:23, O:5
Jednotka CSIRT alebo príslušný orgán bez zbytočného odkladu a v rámci možností do 24 hodín od doručenia včasného varovania uvedeného v odseku 4 písm. a) poskytne oznamujúcemu subjektu odpoveď vrátane prvotnej spätnej väzby k významnému incidentu a na žiadosť subjektu usmernenie alebo operačné pokyny k vykonávaniu možných zmierňujúcich opatrení. Ak jednotka CSIRT nie je prvotným príjemcom oznámenia uvedeného v odseku 1, usmernenie poskytne príslušný orgán v spolupráci s jednotkou CSIRT. Jednotka CSIRT poskytne doplňujúcu technickú podporu, ak o to dotknutý subjekt požiada. Ak existuje podozrenie, že významný incident je trestnoprávnej povahy, jednotka CSIRT alebo príslušný orgán poskytne aj usmernenie, ako významný incident oznámiť orgánom presadzovania práva.
N
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Návrh zákona
Č:I, §:15, O:3
O:4
Č:I, §:24, O:7
Reaktívne služby sa zameriavajú na riešenie kybernetických bezpečnostných incidentov a sú nimi najmä
a) výstraha a varovanie,
b) detekcia kybernetických bezpečnostných incidentov,
c) analýza kybernetických bezpečnostných incidentov,
d) odozva, ohraničenie, riešenie a náprava následkov kybernetických bezpečnostných incidentov,
e) asistencia pri riešení kybernetického bezpečnostného incidentu na mieste,
f) reakcia na kybernetický bezpečnostný incident,
g) podpora reakcií na kybernetické bezpečnostné incidenty,
h) koordinácia reakcií na kybernetické bezpečnostné incidenty,
i) návrh opatrení na zabránenie ďalšiemu pokračovaniu, šíreniu a opakovanému výskytu kybernetických bezpečnostných incidentov.
Reaktívne služby vykonáva jednotka CSIRT za účasti prevádzkovateľa základnej služby.
(7) Hlásením podľa odseku 1 alebo odseku 5 nie dotknuté povinnosti prevádzkovateľa základnej služby prijať, dodržiavať a vykonávať bezpečnostné opatrenia. Hlásením podľa odseku 5 nie je dotknutá povinnosť podľa odseku 1.
Ú
GP - N
Č:23, O:6
V prípade potreby, a najmä ak sa významný incident týka dvoch alebo viacerých členských štátov, jednotka CSIRT, príslušný orgán alebo jednotné kontaktné miesto bez zbytočného odkladu informuje o významnom incidente ostatné zasiahnuté členské štáty a agentúru ENISA. Takéto informácie obsahujú informácie toho typu, ktoré boli doručené v súlade s odsekom 4. Jednotka CSIRT, príslušný orgán alebo jednotné kontaktné miesto pritom v súlade
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č.
Č:I, §:5, O:1, P:e)
Úrad v oblasti kybernetickej bezpečnosti
e) je národným kontaktným miestom pre kybernetickú bezpečnosť, pre vnútroštátnu spoluprácu a pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie,
Úrad v oblasti kybernetickej bezpečnosti
Ú
Úrad ako národné kontaktné miesto pre kybernetickú bezpečnosť pre zahraničie plní informačné povinnosti voči zahraničným partnerom na základe údajov získaných z hlásení závažných
GP - N
76
s právom Únie alebo vnútroštátnymi právom chránia bezpečnosť a obchodné záujmy subjektu, ako aj dôvernosť poskytnutých informácií.
69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Návrh zákona
Č:I, §:5, O:1, P:f)
Č:I, §:5, O:1, P:t)
Č:I, §:24, O:3, P:e)
f) plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,
Úrad v oblasti kybernetickej bezpečnosti
t) prijíma hlásenia o kybernetických bezpečnostných incidentoch, kybernetických hrozbách a zraniteľnostiach zo zahraničia a zabezpečuje spoluprácu s medzinárodnými organizáciami a orgánmi iných štátov pri riešení kybernetických bezpečnostných incidentov s cezhraničným charakterom,
(3) Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
e) ak ide o závažný kybernetický bezpečnostný incident s cezhraničným vplyvom, ktorý v lehote podľa písmena d) stále trvá, hlási sa do 30 dní odo dňa obnovy riadnej prevádzky siete a informačného systému aktualizovaná záverečná správa v rozsahu podľa písmena d); ak v čase predkladania záverečnej správy podľa písmena d) závažný kybernetický bezpečnostný incident ešte prebieha, hlásia sa ďalšie aktualizované alebo iné vyžiadané informácie a aktualizovaná záverečná správa do 30 dní odo dňa, keď sa závažný kybernetický bezpečnostný incident vyriešil.
kybernetických bezpečnostných incidentov podľa § 24 návrhu zákona.
Č:23, O:7
Po porade s dotknutým subjektom môže jednotka CSIRT, prípadne príslušný orgán členského štátu a v náležitých prípadoch jednotky CSIRT alebo príslušné orgány ďalších dotknutých členských štátov informovať o významnom incidente verejnosť alebo požiadať o to daný subjekt, ak je informovanie verejnosti potrebné na zabránenie významnému incidentu alebo riešenie prebiehajúceho incidentu alebo ak je zverejnenie významného incidentu vo verejnom záujme z iného dôvodu.
N
Zákon č. 69/2018 Z. z.
Č:I, §:27, O:2
Výstrahu a varovanie vyhlasuje úrad prostredníctvom jednotného informačného systému kybernetickej bezpečnosti. Ak ide o naliehavý verejný záujem, výstraha a varovanie sa vyhlási aj prostredníctvom hromadných oznamovacích prostriedkov
25)
 a na ústrednom portáli verejnej správy.
Poznámka pod čiarou k odkazu 25 znie:
25) Napríklad
§ 16 ods. 3 písm. j) zákona č. 308/2000 Z. z.
 o vysielaní a retransmisii a o zmene zákona č. 195/2000 Z. z. o telekomunikáciách v znení neskorších predpisov,
§ 6 ods. 1 zákona č. 167/2008 Z. z.
 o periodickej tlači a agentúrnom spravodajstve a o zmene a doplnení niektorých zákonov (tlačový zákon).
Ú
Úrad zriadené Národné centrum kybernetickej bezpečnosti ako svoju organizačnú zložku, ktorá postavenie národnej jednotky CSIRT
GP - N
Č:23, O:8
Na žiadosť jednotky CSIRT alebo príslušného orgánu jednotné kontaktné miesto postúpi doručené oznámenia podľa odseku 1 jednotným kontaktným miestam ostatných zasiahnutých členských štátov.
N
Zákon č. 69/2018 Z. z. v znení
Č:I, §:5, O:1, P:e)
Úrad v oblasti kybernetickej bezpečnosti
e) je národným kontaktným miestom pre kybernetickú bezpečnosť pre vnútroštátnu spoluprácu a pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie,
Ú
GP - N
77
návrhu zákona
Návrh zákona
Zákon č. 69/2018 Z. z. v znení návrhu zákona
P:s)
P:t)
s) prijíma vnútroštátne hlásenia o kybernetických bezpečnostných incidentoch, kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli a zraniteľnostiach,
t) prijíma hlásenia o kybernetických bezpečnostných incidentoch, kybernetických hrozbách a o zraniteľnostiach zo zahraničia a zabezpečuje spoluprácu s medzinárodnými organizáciami a orgánmi iných štátov pri riešení kybernetických bezpečnostných incidentov s cezhraničným charakterom,
Č:23, O:9
Jednotné kontaktné miesto predkladá agentúre ENISA každé tri mesiace súhrnnú správu s anonymizovanými a agregovanými údajmi o významných incidentoch, incidentoch, kybernetických hrozbách a udalostiach odvrátených v poslednej chvíli oznámených v súlade s odsekom 1 tohto článku a s článkom 30. S cieľom prispieť k poskytovaniu porovnateľných informácií môže agentúra ENISA prijať technické usmernenia k parametrom informácií, ktoré sa majú uvádzať v súhrnnej správe. Agentúra ENISA každých šesť mesiacov informuje skupinu pre spoluprácu a sieť jednotiek CSIRT o svojich zisteniach týkajúcich sa doručených oznámení.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Návrh zákona
Č:I, §:5, O:1, P:f)
P:s)
Úrad v oblasti kybernetickej bezpečnosti
f) plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,
s) prijíma vnútroštátne hlásenia o kybernetických bezpečnostných incidentoch, kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli a zraniteľnostiach,
Ú
GP - N
Č:23, O:10
Jednotky CSIRT alebo v náležitých prípadoch príslušné orgány poskytujú príslušným orgánom podľa smernice (EÚ) 2022/2557 informácie o významných incidentoch, incidentoch, kybernetických hrozbách a udalostiach odvrátených v poslednej chvíli, ktoré v súlade s odsekom 1 tohto článku a s článkom 30 oznámili subjekty označené ako kritické subjekty podľa smernice (EÚ) 2022/2557.
N
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z.
Zákon č.
Č:I, §:5, O:1, P:i)
P:p)
P:r)
Úrad v oblasti kybernetickej bezpečnosti
i) spolupracuje s ústrednými orgánmi, inými orgánmi štátnej správy a jednotkami CSIRT, prevádzkovateľmi základných služieb a s vedeckými a akademickými inštitúciami pri plnení úloh podľa tohto zákona,
p) zabezpečuje a zodpovedá za koordinované riešenie kybernetických bezpečnostných incidentov na národnej úrovni,
r) zasiela včasné varovania a určuje a vyhlasuje stav ohrozenia kybernetickej bezpečnosti Slovenskej republiky,
Ú
GP - N
78
69/2018 Z. z. v znení návrhu zákona
Zákon č. 69/2018 Z. z.
Zákon č. 69/2018 Z. z. v znení návrhu zákona
Č:I, §:8, O:1
O:5
Jednotný informačný systém kybernetickej bezpečnosti je informačný systém, ktorého správcom a prevádzkovateľom je úrad a ktorý slúži na efektívne riadenie, koordináciu, evidenciu a kontrolu výkonu štátnej správy v oblasti kybernetickej bezpečnosti a jednotiek CSIRT. Jednotný informačný systém kybernetickej bezpečnosti je určený aj na spracovanie a vyhodnocovanie údajov a informácií o stave kybernetickej bezpečnosti a slúži pri krízovom plánovaní v čase mieru, riadení štátu v krízových situáciách mimo času vojny a vojnového stavu,
11)
 ako aj na potrebné činnosti v čase vojny alebo vojnového stavu.
Poznámka pod čiarou k odkazu 11 znie:
11) Napríklad zákon č.
319/2002 Z. z.
 v znení neskorších predpisov, zákon č.
387/2002 Z. z.
 o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov, zákon č.
179/2011 Z. z.
 o hospodárskej mobilizácii a o zmene a doplnení zákona č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov.
K neverejnej časti jednotného informačného systému kybernetickej bezpečnosti priamy prístup v elektronickej forme v reálnom čase, v rozsahu určenom úradom alebo osobitným predpisom
12)
 a na základe vecnej pôsobnosti
a) ústredný orgán,
b) jednotka CSIRT zaradená v zozname akreditovaných jednotiek CSIRT,
c) prevádzkovateľ základnej služby,
d) Národná banka Slovenska,
e) Úrad na ochranu osobných údajov Slovenskej republiky,
f) Úrad pre reguláciu elektronických komunikácií a poštových služieb,
g) iný orgán verejnej moci rozhodnutím úradu.
Poznámka pod čiarou k odkazu 12 znie:
12) Napríklad nariadenie Európskeho parlamentu a Rady (EÚ) č. 1092/2010 z 24. novembra 2010 o makroprudenciálnom dohľade Európskej únie nad finančným systémom a o zriadení Európskeho výboru pre systémové riziká (Ú. v. L 331, 15. 12. 2010), nariadenie Európskej centrálnej banky (EÚ) č. 468/2014 zo 16. apríla 2014 o rámci pre spoluprácu v rámci jednotného mechanizmu dohľadu medzi Európskou centrálnou bankou, príslušnými vnútroštátnymi orgánmi a určenými
79
Zákon č. 69/2018 Z. z.
Č:I, §:9, O:1, P:c)
vnútroštátnymi orgánmi (nariadenie o rámci JMD) (Ú. v. L 141, 14. 5. 2014), zákon Národnej rady Slovenskej republiky č.
566/1992 Zb.
 v znení neskorších predpisov,
§ 15 ods. 2 zákona Národnej rady Slovenskej
republiky č. 46/1993 Z. z.
 v znení zákona č. 444/2015 Z. z.
Ústredný orgán v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa
prílohy č. 1
 alebo prílohy č. 2, zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že
c) spolupracuje s ostatnými ústrednými orgánmi a prevádzkovateľmi základných služieb vo svojej pôsobnosti pri plnení úloh podľa tohto zákona,
Č:23, O:11
Komisia môže prijať vykonávacie akty, v ktorých bližšie určí druh informácií, formát a postup oznámenia predkladaného podľa odseku 1 tohto článku a článku 30 a komunikácie predkladanej podľa odseku 2 tohto článku.
Komisia do 17. októbra 2024 vo vzťahu k poskytovateľom služieb DNS, správcom názvov TLD, poskytovateľom služieb cloud computingu, poskytovateľom služieb dátového centra, poskytovateľom sietí na sprístupňovanie obsahu, poskytovateľom riadených služieb, poskytovateľom riadených bezpečnostných služieb, ako aj poskytovateľom online trhov, internetových vyhľadávačov a platforiem služieb sociálnych sietí prijme vykonávacie akty, v ktorých bližšie určí prípady, v ktorých sa incident považuje za významný, ako sa uvádza v odseku 3. Komisia môže prijať takéto vykonávacie akty vo vzťahu k iným kľúčovým a dôležitým subjektom.
Komisia sa radí a spolupracuje so skupinou pre spoluprácu v súlade s článkom 14 ods. 4 písm. e), pokiaľ ide o návrhy vykonávacích aktov uvedených v prvom a druhom pododseku tohto odseku.
Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 39 ods. 2.
n.a.
80
Č:24, O:1
S cieľom preukázať súlad s určitými požiadavkami