zmluvy s treťou stranou o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti a aj informáciu o jej ukončení“ a pripája sa táto veta: „Úrad vykoná zmenu v registri prevádzkovateľov základnej služby, a to aj bez návrhu.“.
50.V § 19 ods. 8 sa slová „kontinuity základnej služby“ nahrádzajú slovami „kontinuity činnosti“.
51.V § 20 odseky 1 až 3 znejú:
„(1) Bezpečnostnými opatreniami na účely tohto zákona sú úlohy, procesy, role a technológie v organizačnej, personálnej, fyzickej a technologickej oblasti, ktorých cieľom je dosiahnutie, zaručenie a udržanie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov a operačných technológií. Bezpečnostné opatrenia sú realizované na základe vykonanej analýzy rizík a s prihliadnutím na bezpečnostné metodiky a politiky úradu, najnovšie bezpečnostné trendy a medzinárodné normy a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti a prijímajú sa s cieľom
a)identifikovať zraniteľnosti, kybernetické hrozby a riziká,
b)chrániť preventívne informačné aktíva pred kybernetickou hrozbou a zabrániť vzniku kybernetického bezpečnostného incidentu,
c)detegovať kybernetické bezpečnostné incidenty,
d)reagovať na identifikované zraniteľnosti a kybernetické bezpečnostné incidenty a minimalizovať ich vplyv na siete a informačné systémy a
e)obnoviť siete a informačné systémy, napraviť negatívne dopady po vzniku kybernetického bezpečnostného incidentu a uviesť poskytované služby do stavu plynulého a nerušeného poskytovania.
(2)Bezpečnostné opatrenia sa prijímajú aspoň pre
a)organizáciu a riadenie informačnej bezpečnosti a kybernetickej bezpečnosti,
b)správu zraniteľností a kybernetických hrozieb,
c)správu aktív a riadenie kybernetických hrozieb a rizík,
d)riadenie udalostí a kybernetických bezpečnostných incidentov,
e)riadenie kontinuity činností, zálohovanie, obnovu systémov po havárii a krízové riadenie,
f)bezpečnosť pri nadobúdaní, vývoji a údržbe siete, informačných systémov, aplikácií a konfigurácií,
g)postupy posudzovania účinnosti opatrení, riadenie súladu a kontrolné činnosti,
h)kryptografické opatrenia a zásady používania kryptografie,
i)bezpečnosť a spôsobilosti ľudských zdrojov,
j)správu identít a prístupov,
k)bezpečnosť pri prevádzke sietí a informačných systémov,
l)ochranu proti škodlivému kódu a nežiaducemu obsahu,
m)systémovú bezpečnosť, sieťovú bezpečnosť a komunikačnú bezpečnosť,
n)monitorovanie, zaznamenávanie a hlásenie udalostí,
o)fyzickú bezpečnosť, bezpečnosť prostredia a správu koncových zariadení,
p)ochranu záznamov, súkromia a označovanie informácií,
q)dodávateľský reťazec,
r)obstarávanie a využívanie certifikovaných produktov IKT, služieb IKT a procesov IKT.
(3) Bezpečnostné opatrenia sa prijímajú a realizujú v rozsahu a spôsobom podľa § 32 ods. 1 písm. b) alebo osobitného predpisu24), ak je vydaný, a na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.“.
52.V § 20 sa odsek 4 dopĺňa písmenami g) až i), ktoré znejú:
„g) určenie a pridelenie úloh, rolí a zodpovednosti podľa podmienok prevádzkovateľa základnej služby a zabezpečenie primeraného vzdelávania a preškoľovania pre všetky zavedené roly,
h)určenie konkrétnej osoby alebo konkrétnych osôb zodpovedných za schvaľovanie bezpečnostných opatrení, dohľad, kontrolu a audit, zabezpečenie primeranosti zdrojov na riadenie kybernetickej bezpečnosti a za vzdelávanie,