287/2021 Z. z.
Časová verzia predpisu účinná od 01.08.2021
287
ZÁKON
z 29. júna 2021,
ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení zákona č. 373/2018 Z. z. a zákona č. 134/2020 Z. z. sa mení a dopĺňa takto:
1.
V § 2 ods. 2 písmeno d) znie:
„d)
požiadavky na zabezpečenie sietí a informačných systémov v sektore bankovníctva, financií alebo finančného systému podľa osobitných predpisov,3) vrátane štandardov a zásad vydaných alebo prijatých Európskou centrálnou bankou, Európskym systémom centrálnych bánk, Eurosystémom alebo európskymi orgánmi dohľadu,4) a ani na platobné systémy a na systémy zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom podľa osobitných predpisov,5)“.
2.
V poznámke pod čiarou k odkazu 6 sa vypúšťa citácia „Zákon č. 275/2006 Z. z. o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.“.
3.
V poznámke pod čiarou k odkazu 7 sa za slovami „(zákon o ochrane pred odpočúvaním) v znení neskorších predpisov“ čiarka nahrádza bodkou a vypúšťa sa citácia: „zákon č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov.“.
4.
V § 3 písmeno a) znie:
„a)
sieťou elektronická komunikačná sieť podľa osobitného predpisu,8)“.
Poznámka pod čiarou k odkazu 8 znie:
„8) § 2 ods. 1 zákona č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov.“.
5.
V § 3 sa za písmeno a) vkladá nové písmeno b), ktoré znie:
„b)
informačným systémom funkčný celok, ktorý zabezpečuje získavanie, zhromažďovanie, automatické spracúvanie, udržiavanie, sprístupňovanie, poskytovanie, prenos, ukladanie, archiváciu, likvidáciu a ochranu údajov prostredníctvom technických prostriedkov alebo programových prostriedkov,“.
Doterajšie písmená b) až o) sa označujú ako písmená c) až p).
6.
V § 3 písm. l) prvom bode sa na konci pripája slovo „alebo“.
7.
V § 3 písm. l) sa vypúšťa druhý bod.
Doterajší tretí bod sa označuje ako druhý bod.
8.
V § 3 písm. m) sa slová „písmena k)“ nahrádzajú slovami „písmena l)“.
9.
V § 4 písm. b) sa vypúšťa slovo „úrad,“, za slovami „Ministerstvo životného prostredia Slovenskej republiky“ sa čiarka nahrádza slovom „a“, vypúšťajú sa slová „Slovenská informačná služba,“ a slová „a Vojenské spravodajstvo“.
10.
V § 5 ods. 1 písm. v) sa slová „orgán posudzovania zhody“ nahrádzajú slovami „certifikovaného audítora kybernetickej bezpečnosti“.
11.
V § 5 ods. 1 písm. w) sa za slovo „štandardy“ vkladajú slová „a zverejňuje ich na svojom webovom sídle,“.
12.
V § 5 sa odsek 1 dopĺňa písmenami y) až af), ktoré znejú:
„y)
je vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti a orgánom posudzovania zhody podľa osobitného predpisu10aa),
z)
plní úlohy kompetenčného a odvetvového centra podľa osobitného predpisu10ab),
aa)
odníma certifikát kybernetickej bezpečnosti,
ab)
v rámci systému certifikácie kybernetickej bezpečnosti vydáva bezpečnostné štandardy, certifikačné schémy a postupy,
ac)
plní úlohy ústredného orgánu podľa prílohy č. 1,
ad)
vedie a zverejňuje na svojom webovom sídle zoznam orgánov posudzovania zhody v systéme certifikácie kybernetickej bezpečnosti, zoznam certifikačných orgánov audítorov kybernetickej bezpečnosti a zoznam právnických osôb, prostredníctvom ktorých je možné realizovať audity kybernetickej bezpečnosti,
ae)
posudzuje bezpečnostné riziká dodávateľa na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby (ďalej len „tretia strana“) pre kybernetickú bezpečnosť Slovenskej republiky a správu o tomto posúdení predkladá Bezpečnostnej rade Slovenskej republiky,
af)
predkladá príslušnému osobitnému kontrolnému výboru Národnej rady Slovenskej republiky každoročne správu o dodržiavaní noriem týkajúcich sa ochrany telekomunikačného tajomstva a osobných údajov občanov Slovenskej republiky.“.
Poznámky pod čiarou k odkazom 10aa a 10ab znejú:
„10aa) Čl. 58 a 60 ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7. 6. 2019).
10ab) Čl. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2021/887, ktorým sa zriaďuje Európske centrum priemyselných, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti a sieť národných koordinačných centier (Ú. v. EÚ L 202, 8. 6. 2021).“.
13.
Za § 5 sa vkladá § 5a, ktorý znie:
§5a
(1)
Systémom certifikácie kybernetickej bezpečnosti je komplexný súbor pravidiel, technických požiadaviek, noriem a postupov, ktoré sa uplatňujú na certifikáciu alebo posudzovanie zhody konkrétnych produktov, služieb alebo procesov v oblasti sietí a informačných systémov, informačných a komunikačných technológií a kybernetickej bezpečnosti podľa osobitného predpisu.10b)
(2)
Úrad v rámci systému certifikácie kybernetickej bezpečnosti certifikuje produkty, služby a procesy10c) ako orgán posudzovania zhody podľa osobitného predpisu.10d)
(3)
Certifikačný orgán10e) orgánu posudzovania zhody podľa osobitného predpisu,10f) ktorý je verejným subjektom10g) a nie je vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti, certifikuje produkty, služby a procesy podľa osobitného predpisu10g) v rámci systému certifikácie kybernetickej bezpečnosti.
(4)
Úrad odníme európske certifikáty kybernetickej bezpečnosti, ktoré vydal, alebo európske certifikáty kybernetickej bezpečnosti vydané podľa čl. 56 ods. 6 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (ďalej len „nariadenie (EÚ) 2019/881“) orgánmi posudzovania zhody, ktoré nie sú v súlade s nariadením (EÚ) 2019/881 alebo s európskym systémom certifikácie kybernetickej bezpečnosti.
(5)
Úrad môže odňať vydaný európsky certifikát kybernetickej bezpečnosti aj držiteľovi certifikátu, ak tento
a)
poruší povinnosť podľa čl. 56 ods. 8 nariadenia (EÚ) 2019/881,
b)
neumožní úradu získať prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881,
c)
akýmkoľvek spôsobom znemožní vykonávať oprávnenie podľa čl. 58 ods. 8 písm. b) nariadenia (EÚ) 2019/881.
(6)
Na účely tohto zákona sa rozumie
a)
produktom produkt IKT podľa čl. 2 ods. 12 nariadenia (EÚ) 2019/881,
b)
službou služba IKT podľa čl. 2 ods. 13 nariadenia (EÚ) 2019/881,
c)
procesom proces IKT podľa čl. 2 ods. 14 nariadenia (EÚ) 2019/881.“.
Poznámky pod čiarou k odkazom 10b až 10g znejú:
„10b) Čl. 2 ods. 10 nariadenia (EÚ) 2019/881.
10c) Napríklad STN EN ISO/IEC 17065 Posudzovanie zhody. Požiadavky na orgány vykonávajúce certifikáciu výrobkov, procesov a služieb (ISO/IEC 17065) (01 5256).
10d) Čl. 52 ods. 5 až 7 nariadenia (EÚ) 2019/881.
10e) Čl. 60 ods. 2 a príloha nariadenia (EÚ) 2019/881.
10f) Čl. 56 ods. 5 písm. b) nariadenia (EÚ) 2019/881.
10g) Čl. 52 ods. 5 a 6 nariadenia (EÚ) 2019/881.“.
14.
V § 6 ods. 1 prvej vete sa za slovo „Úrad“ vkladajú slová „zriaďuje Národné centrum kybernetickej bezpečnosti ako svoju organizačnú zložku, ktorá“.
15.
V § 8 ods. 5 sa vkladá nové písmeno f), ktoré znie:
„f)
Úrad pre reguláciu elektronických komunikácií a poštových služieb,“.
Doterajšie písmeno f) sa označuje ako písmeno g).
16.
V § 9 ods. 1 písm. b) sa za slovo „úlohy“ vkladajú slová „spravodajskej služby“.
17.
V § 9 odsek 2 znie:
„(2)
Ústredný orgán na plnenie úloh podľa odseku 1 písm. a) v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa prílohy č. 1 využíva Národné centrum kybernetickej bezpečnosti alebo zriaďuje a prevádzkuje vlastnú akreditovanú jednotku CSIRT alebo využíva akreditovanú jednotku CSIRT v pôsobnosti ústredného orgánu, ak sa tak zmluvne dohodnú.“.
18.
V § 9 sa vypúšťa odsek 3.
19.
Nadpis § 10 znie: „Kybernetická bezpečnosť iného orgánu štátnej správy“.
20.
V § 10 sa vypúšťa odsek 2. Súčasne sa zrušuje označenie odseku 1.
21.
Za § 10 sa vkladá § 10a, ktorý vrátane nadpisu znie:
§10a Súčinnosť
(1)
Orgán verejnej moci, prevádzkovateľ základnej služby a právnická osoba v sektore podľa prílohy č. 1 sú povinní poskytnúť úradu na plnenie jeho úloh pri riešení kybernetického bezpečnostného incidentu podľa tohto zákona požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na zabezpečenie kybernetickej bezpečnosti a riešenie kybernetického bezpečnostného incidentu; informácie sa poskytujú len za podmienky, že sú nevyhnutné pre riešenie kybernetického bezpečnostného incidentu a ich poskytnutím nedôjde k ohrozeniu plnenia konkrétnej úlohy podľa osobitného predpisu13a) alebo spravodajskej služby podľa osobitného predpisu13) alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb, ktoré konajú v jej prospech, alebo k ohrozeniu medzinárodnej spravodajskej spolupráce.
(2)
Žiadosť o súčinnosť musí byť riadne odôvodnená a musí obsahovať konkrétny rozsah požadovanej súčinnosti podľa tohto zákona.“.
Poznámka pod čiarou k odkazu 13a znie:
„13a) Napríklad zákon č. 747/2004 Z. z. v znení neskorších predpisov.“.
22.
V § 13 ods. 2 sa slová „ústredný orgán, ktorý má plniť úlohy jednotky CSIRT;“ nahrádzajú slovami „orgán verejnej moci, ktorý“.
23.
V § 13 ods. 6 sa vypúšťajú slová „ústredného orgánu, ktorý má plniť úlohy jednotky CSIRT,“.
24.
V § 17 ods. 1 sa bodka na konci nahrádza čiarkou a pripájajú sa tieto slová: „najneskôr však do 60 dní, odkedy k prekročeniu došlo.“.
25.
V § 17 ods. 2 úvodnej vete sa slová „podľa § 3 písm. k)“ nahrádzajú slovami „podľa § 3 písm. l)“.
26.
V § 17 sa vypúšťa odsek 3.
Doterajšie odseky 4 až 6 sa označujú ako odseky 3 až 5.
27.
V § 17 ods. 3 sa slová „podľa § 3 písm. k) tretieho bodu“ nahrádzajú slovami „podľa § 3 písm. l) druhého bodu“.
28.
V § 18 ods. 4, § 19 ods. 7 a § 30 ods. 1 písm. b) sa slová „§ 17 ods. 5“ nahrádzajú slovami „§ 17 ods. 4“.
29.
V § 19 ods. 1 sa slovo „šiestich“ nahrádza číslovkou „12“.
30.
V § 19 odseky 2 a 3 znejú:
„(2)
Prevádzkovateľ základnej služby je povinný pri výkone činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby prostredníctvom tretej strany, uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa tohto zákona počas celej doby výkonu tejto činnosti; pri uzatvorení zmluvy sa vykonáva analýza rizík.
(3)
Povinnosť uzatvoriť zmluvu podľa odseku 2 neplatí, ak je tretia strana prevádzkovateľom základnej služby alebo poskytovateľom digitálnej služby, alebo ak je riziko vo vzťahu k činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby prostredníctvom tretej strany nízke.“.
31.
V § 20 ods. 1 druhej vete sa slovo „kontinuitu“, nahrádza slovom „bezpečnosť“.
32.
V § 20 odsek 3 znie:
„(3)
Bezpečnostné opatrenia sa prijímajú a realizujú najmä pre oblasť
a)
organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,
b)
riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
c)
personálnej bezpečnosti,
d)
riadenia prístupov,
e)
riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,
f)
bezpečnosti pri prevádzke informačných systémov a sietí,
g)
hodnotenia zraniteľností a bezpečnostných aktualizácií,
h)
ochrany proti škodlivému kódu,
i)
sieťovej a komunikačnej bezpečnosti,
j)
akvizície, vývoja a údržby informačných sietí a informačných systémov,
k)
zaznamenávania udalostí a monitorovania,
l)
fyzickej bezpečnosti a bezpečnosti prostredia,
m)
riešenia kybernetických bezpečnostných incidentov,
n)
kryptografických opatrení,
o)
kontinuity prevádzky,
p)
auditu, riadenia súladu a kontrolných činností.“.
33.
V § 20 ods. 4 sa vkladá nové písmeno a), ktoré znie:
„a)
určenie manažéra kybernetickej bezpečnosti, ktorý je pri návrhu, prijímaní a presadzovaní bezpečnostných opatrení nezávislý od štruktúry riadenia prevádzky a vývoja služieb informačných technológií a ktorý spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti,“.
Doterajšie písmená a) až e) sa označujú ako písmená b) až f).
34.
V § 20 sa za odsek 4 vkladá nový odsek 5, ktorý znie:
„(5)
Bezpečnostné opatrenia sa prijímajú a realizujú na základe analýzy rizík kybernetickej bezpečnosti, ktorá určuje pravdepodobnosť vzniku škodlivej udalosti. Súčasťou analýzy rizík je aj analýza politického rizika tretej strany, pričom politické riziko sa posudzuje najmä vzhľadom na
a)
plnenie záväzkov z medzinárodných zmlúv, ktorými je Slovenská republika viazaná, a na jej členstvo v medzinárodných organizáciách,
b)
možnosť ovplyvňovania a zasahovania do činnosti tretej strany štátom, ktorý nie je členským štátom Európskej únie a Organizácie Severoatlantickej zmluvy (ďalej len „cudzí štát“),
c)
analýzu vlastníckej štruktúry a riadiacej štruktúry tretej strany vrátane vlastníckeho podielu cudzieho štátu a priamych zahraničných investícií do tretej strany,
d)
analýzu právnych predpisov a medzinárodných záväzkov cudzieho štátu v oblasti ochrany základných ľudských práv a slobôd, kybernetickej bezpečnosti, boja proti počítačovej kriminalite, ochrany osobných údajov a ochrany informácií,
e)
informácie špecifické pre cudzí štát a informácie spravodajskej služby o možných hrozbách pre záujmy Slovenskej republiky.
Politické riziká schvaľuje vláda Slovenskej republiky na základe stanoviska úradu. Stanovisko úradu sa predkladá Bezpečnostnej rade Slovenskej republiky. Politické riziká úrad zverejňuje v jednotnom informačnom systéme kybernetickej bezpečnosti. Úrad v analýze politického rizika zohľadní vyjadrenie Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstva hospodárstva Slovenskej republiky, Ministerstva vnútra Slovenskej republiky, Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky z oblasti ich pôsobnosti.“.
Doterajší odsek 5 sa označuje ako odsek 6.
35.
§ 20 sa dopĺňa odsekom 7, ktorý znie:
„(7)
Povinnosť dodržiavať všeobecné bezpečnostné opatrenia a sektorové bezpečnostné opatrenia v rozsahu podľa tohto zákona a všeobecne záväzných právnych predpisov vydaných na jeho vykonanie sa vzťahuje aj na právne vzťahy, o ktorých tak ustanoví osobitný predpis.“.
36.
V § 22 sa vypúšťa odsek 4.
Doterajší odsek 5 sa označuje ako odsek 4.
37.
V § 24 odsek 6 znie:
„(6)
Na hlásenie kybernetických bezpečnostných incidentov alebo na zaistenie kybernetickej bezpečnosti môže úrad namiesto postupu podľa § 8 ods. 6 uzatvoriť písomnú zmluvu o spôsobe a forme hlásenia kybernetických bezpečnostných incidentov s prevádzkovateľom základnej služby.“.
38.
Za § 24 sa vkladá § 24a, ktorý vrátane nadpisu znie:
§24a Automatizované poskytovanie informácií
(1)
Ak je to vzhľadom na povahu alebo dôležitosť základnej služby potrebné a nedôjde k uzatvoreniu zmluvy podľa § 24 ods. 6, úrad môže rozhodnutím uložiť prevádzkovateľovi základnej služby povinnosť automatizovaným spôsobom vyhodnocovať výskyt kybernetického bezpečnostného incidentu a nahlasovať kybernetický bezpečnostný incident. Na tento účel zverejňuje úrad výstrahy, varovania a ďalšie informácie v jednotnom informačnom systéme kybernetickej bezpečnosti. Náklady spojené s technickým zabezpečením vyhodnocovania a nahlasovania kybernetického bezpečnostného incidentu znáša úrad.
(2)
Povinnosť podľa odseku 1 nie je možné uložiť, ak ide o siete a informačné systémy, ktoré sa týkajú zabezpečenia obrany alebo bezpečnosti Slovenskej republiky.
(3)
Úrad rozhodnutím podľa odseku 1 určí prevádzkovateľa základnej služby, ktorého sa povinnosť týka, spôsob poskytovania a rozsah informácií, ktoré sa týkajú automatizovaného spôsobu vyhodnocovania výskytu kybernetického bezpečnostného incidentu a nahlasovania kybernetického bezpečnostného incidentu a trvanie tejto povinnosti. Rozhodnutie sa môže týkať len takých informácií, ktoré sú nevyhnutné pre zabezpečenie kybernetickej bezpečnosti a riešenie kybernetického bezpečnostného incidentu, ak tento účel nemožno dosiahnuť inak.
(4)
Obsah komunikácie a prenášaných správ a ochrana súkromia podľa osobitného predpisu28a) plnením povinností podľa odseku 1 nie sú dotknuté.“.
Poznámka pod čiarou k odkazu 28a znie:
„28a) Zákon č. 166/2003 Z. z. o ochrane súkromia pred neoprávneným použitím informačno-technických prostriedkov a o zmene a doplnení niektorých zákonov (zákon o ochrane pred odpočúvaním) v znení neskorších predpisov.“.
39.
Za § 27 sa vkladá § 27a, ktorý vrátane nadpisu znie:
§27a Obmedzenie používania produktu, procesu, služby alebo tretej strany
(1)
Úrad môže rozhodnutím zakázať alebo obmedziť používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby ak zistí, že takéto používanie
a)
neumožňuje alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti, a tým ohrozuje život alebo zdravie osôb, hospodárske fungovanie štátu, verejný poriadok, bezpečnosť alebo majetok osôb, alebo
b)
ohrozuje bezpečnostné záujmy Slovenskej republiky.
(2)
Konanie podľa odseku 1 úrad začne z vlastného podnetu alebo na základe odôvodneného podnetu iného orgánu verejnej moci Slovenskej republiky. Oznámenie o začatí konania úrad zverejní najmenej na 30 dní v jednotnom informačnom systéme kybernetickej bezpečnosti a na svojom webovom sídle a počas tejto doby nemôže vydať rozhodnutie.
(3)
Úrad pred vydaním rozhodnutia podľa odseku 1 vždy vykoná vo vzťahu k produktu, procesu, službe alebo k tretej strane analýzu rizík podľa § 20 ods. 5 na základe vyjadrenia Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstva hospodárstva Slovenskej republiky, Ministerstva vnútra Slovenskej republiky, Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky z oblasti ich pôsobnosti. Návrh rozhodnutia predkladá Bezpečnostnej rade Slovenskej republiky a vláde Slovenskej republiky. Od stanoviska vlády Slovenskej republiky sa úrad nemôže odchýliť.
(4)
Úrad vydá rozhodnutie podľa odseku 1 iba v prípade, ak prevádzkovateľ základnej služby alebo tretia strana nedostatky podľa odseku 1 neodstráni v primeranej lehote určenej úradom.
(5)
Prevádzkovateľ základnej služby je povinný zdržať sa používania konkrétneho produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa odseku 1 na poskytovanie základnej služby alebo ich používanie obmedziť.
(6)
Rozhodnutie podľa odseku 1 sa vyhlási zverejnením v Zbierke zákonov Slovenskej republiky28b) a účinky nadobúda dňom vyhlásenia. Ak je vyhlásené rozhodnutie podľa odseku 1 zmenené alebo zrušené, na právny akt, ktorým sa rozhodnutie podľa odseku 1 zmenilo alebo zrušilo, sa prvá veta použije rovnako.
(7)
Ak úrad rozhodnutím podľa odseku 1 zakáže alebo obmedzí používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby, v rozhodnutí podľa odseku 1 zároveň určí primeranú dobu zákazu alebo obmedzenia používania konkrétneho produktu, procesu, služby alebo tretej strany, ktorá nemôže byť dlhšia ako dva roky. O zákaze alebo obmedzení podľa prvej vety môže úrad rozhodnúť aj opakovane.
(8)
Ak ide o produkt, proces, službu alebo tretiu stranu, ktorú prevádzkovateľ základnej služby začal používať pred zverejnením rozhodnutia podľa odseku 1, je prevádzkovateľ základnej služby povinný zdržať sa používania alebo obmedziť používanie produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa odseku 1 v primeranej lehote určenej v rozhodnutí, ktorá nie je kratšia ako dva roky a dlhšia ako päť rokov. Zároveň je prevádzkovateľ základnej služby povinný najneskôr do šiestich mesiacov od zverejnenia rozhodnutia podľa odseku 1 vykonať primerané bezpečnostné opatrenia na riadenie rizík podľa odseku 3.“.
Poznámka pod čiarou k odkazu 28b znie:
„28b) § 13 písm. f) zákona č. 400/2015 Z. z. o tvorbe právnych predpisov a o Zbierke zákonov Slovenskej republiky a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.“.
40.
V § 28 ods. 1 sa slová „podľa základných pravidiel kontrolnej činnosti ustanovených osobitným predpisom.29)“ nahrádzajú slovami „ako pri výkone kontroly v štátnej správe podľa osobitného predpisu.29)“.
Poznámka pod čiarou k odkazu 29 znie:
„29) Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov.“.
41.
V § 29 odsek 1 znie:
„(1)
Auditom kybernetickej bezpečnosti sa rozumie overenie plnenia povinností podľa tohto zákona, posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa tohto zákona a osobitných predpisov, ktoré sa vzťahujú na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy základnej služby a pre prostriedky, ktoré podporujú základné služby. Cieľom auditu kybernetickej bezpečnosti je zabezpečiť požadovanú úroveň kybernetickej bezpečnosti, predchádzať kybernetickým bezpečnostným incidentom a identifikovať nedostatky pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľom základnej služby na navrhnutie a prijatie opatrení na ich odstránenie, nápravu existujúceho stavu a na predchádzanie kybernetickým bezpečnostným incidentom. Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek ustanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti do dvoch rokov odo dňa zaradenia prevádzkovateľa základnej služby do registra prevádzkovateľov základných služieb.“.
42.
V § 29 odsek 3 znie:
„(3)
Audit kybernetickej bezpečnosti vykonáva certifikovaný audítor kybernetickej bezpečnosti,31) ktorým je fyzická osoba, spoločník, štatutárny orgán alebo zamestnanec právnickej osoby. Certifikáciu audítora kybernetickej bezpečnosti vykonáva osoba akreditovaná podľa osobitného predpisu31a) ako orgán certifikujúci osoby31b) (ďalej len „orgán certifikujúci osoby“) v oblasti kybernetickej bezpečnosti.“.
Poznámky pod čiarou k odkazom 31 až 31b znejú:
„31) Vyhláška Národného bezpečnostného úradu č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora.
31a) Zákon č. 505/2009 Z. z. o akreditácii orgánov posudzovania zhody a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
31b) Napríklad STN EN ISO/IEC 17024 (015258) Posudzovanie zhody. Všeobecné požiadavky na orgány vykonávajúce certifikáciu osôb Vestník Úradu pre normalizáciu, metrológiu a skúšobníctvo Slovenskej republiky č. 3/13.“.
43.
V § 29 sa za odsek 3 vkladá nový odsek 4, ktorý znie:
„(4)
Právnická osoba zabezpečuje audit kybernetickej bezpečnosti prostredníctvom certifikovaného audítora kybernetickej bezpečnosti alebo certifikovaných audítorov kybernetickej bezpečnosti. Zabezpečovanie auditu kybernetickej bezpečnosti právnickou osobou je podnikaním podľa osobitného predpisu.31c) Ak právnická osoba zabezpečuje audit prostredníctvom certifikovaného audítora kybernetickej bezpečnosti, zodpovedá za škodu spôsobenú pri výkone auditu kybernetickej bezpečnosti táto právnická osoba.“.
Poznámka pod čiarou k odkazu 31c znie:
„31c) § 2 ods. 2 písm. c) zákona č. 513/1991 Zb.“.
Doterajšie odseky 4 až 6 sa označujú ako odseky 5 až 7.
44.
V § 29 odsek 6 znie:
„(6)
Úrad môže kedykoľvek vykonať audit kybernetickej bezpečnosti u prevádzkovateľa základnej služby alebo požiadať certifikovaného audítora kybernetickej bezpečnosti, aby vykonal takýto audit u prevádzkovateľa základnej služby s cieľom potvrdiť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom.“.
45.
V § 29 ods. 7 sa slová „odseku 5“ nahrádzajú slovami „odseku 6“.
46.
V § 30 ods. 1 písm. d), § 31 ods. 1 písm. b) a § 31 ods. 2 písm. c) sa slová „§ 20 ods. 5“ nahrádzajú slovami „§ 20 ods. 6“.
47.
V § 31 ods. 2 písmeno d) znie:
„d)
nahlásiť závažný kybernetický bezpečnostný incident podľa § 24 ods. 1, odoslať neúplné hlásenie podľa § 24 ods. 5 alebo zasielať automatizovaným spôsobom určené systémové informácie podľa § 24a ods. 1,“.
48.
V § 31 ods. 2 písm. g) sa číslo „4“ nahrádza číslom „5“.
49.
V § 31 ods. 3 sa za slovami „§ 21 ods. 5“ vypúšťa čiarka a slová „§ 22 ods. 4“.
50.
V § 31 odsek 5 znie:
„(5)
Úrad uloží pokutu od 300 eur do 100 000 eur tomu, kto
a)
na výzvu úradu neposkytne informácie podľa § 7 ods. 3,
b)
neposkytne úradu požadovanú súčinnosť alebo informácie podľa § 10a ods. 1,
c)
používa konkrétny produkt, službu alebo proces v rozpore s § 27a ods. 5.“.
51.
V § 31 sa za odsek 5 vkladajú nové odseky 6 až 9, ktoré znejú:
„(6)
Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi produktov, služieb alebo procesov, ktorý sa dopustí správneho deliktu tým, že podľa čl. 53 nariadenia (EÚ) 2019/881 vydá EÚ vyhlásenie o zhode, ktoré je v rozpore s požiadavkami ustanovenými v Európskom systéme certifikácie kybernetickej bezpečnosti.
(7)
Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi certifikovaných produktov, služieb alebo procesov alebo výrobcovi alebo poskytovateľovi produktov, služieb a procesov, pre ktoré je vydané EÚ vyhlásenie o zhode, ktorý sa dopustí správneho deliktu tým, že nezverejní v elektronickej podobe alebo neaktualizuje doplňujúce informácie o kybernetickej bezpečnosti podľa čl. 55 ods. 1 písm. a) až d) nariadenia (EÚ) 2019/881.
(8)
Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody, držiteľovi európskeho certifikátu kybernetickej bezpečnosti alebo vydavateľovi EÚ vyhlásení o zhode, ktorý sa dopustí správneho deliktu tým, že
a)
neposkytne vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti informácie potrebné na plnenie svojich úloh podľa čl. 58 ods. 8 písm. a) nariadenia (EÚ) 2019/881,
b)
znemožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti viesť vyšetrovanie v podobe auditu podľa čl. 58 ods. 8 písm. b) nariadenia (EÚ) 2019/881.
(9)
Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody alebo držiteľovi európskeho certifikátu kybernetickej bezpečnosti, ktorý sa dopustí správneho deliktu tým, že neumožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881.“.
Doterajšie odseky 6 až 12 sa označujú ako odseky 10 až 16.
52.
V § 31 ods. 11 sa číslo „6“ nahrádza číslom „10“.
53.
V § 32 ods. 1 písm. b) sa vypúšťa slovo „CSIRT“.
54.
V § 32 ods. 1 písm. c) sa slová „§ 20 ods. 1 a 5“ nahrádzajú slovami „§ 20 ods. 1 a 6“.
55.
V § 32 ods. 1 písmeno f) znie:
„f)
pravidlá auditu kybernetickej bezpečnosti, časový rozsah a periodicitu vykonávania auditu kybernetickej bezpečnosti, podrobnosti o akreditácii certifikačných orgánov certifikujúcich audítorov kybernetickej bezpečnosti, certifikačnú schému a postupy pri certifikácii audítora kybernetickej bezpečnosti, podrobnosti o certifikáte audítora kybernetickej bezpečnosti a podrobnosti o formáte a obsahu záverečnej správy o výsledkoch auditu kybernetickej bezpečnosti (§ 29 ods. 1 až 5).“.
56.
V § 32 sa odsek 1 dopĺňa písmenami g) a h), ktoré znejú:
„g)
certifikačné schémy a postupy v systéme certifikácie kybernetickej bezpečnosti,
h)
bezpečnostné opatrenia, ak si to vyžadujú právne záväzné akty a odporúčania Európskej únie pre oblasť kybernetickej bezpečnosti.“.
57.
V § 33 ods. 1 sa slová „§ 17 ods. 6, § 21 ods. 4 a § 27“ nahrádzajú slovami „§ 17, § 21 a § 27“.
58.
§ 33 sa dopĺňa odsekom 5, ktorý znie:
„(5)
Ústredný orgán, ktorým je Ministerstvo obrany Slovenskej republiky, plní úlohy, ktoré mu vyplývajú z tohto zákona, prostredníctvom Vojenského spravodajstva.34)“.
Poznámka pod čiarou k odkazu 34 znie:
„34) § 4a zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z. o Vojenskom spravodajstve v znení zákona č. 69/2018 Z. z.“.
59.
Za § 34 sa vkladá § 34a, ktorý vrátane nadpisu znie:
§34a Prechodné ustanovenia k úpravám účinným od 1. augusta 2021
(1)
Prevádzkovateľ základnej služby je povinný zosúladiť bezpečnostné opatrenia platné do 31. júla 2021 s opatreniami podľa § 20 ods. 3 v znení účinnom od 1. augusta 2021 najneskôr do 31. decembra 2021.
(2)
Prevádzkovateľ základnej služby môže v období od 1. augusta 2021 do 31. decembra 2023 pre I. a II. kategóriu sietí a informačných systémov podľa osobitného predpisu35) zabezpečiť plnenie povinnosti podľa § 29 v znení účinnom od 1. augusta 2021 vykonaním preverenia účinnosti prijatých bezpečnostných opatrení a plnenia požiadaviek ustanovených týmto zákonom v znení účinnom do 31. júla 2021, prostredníctvom manažéra kybernetickej bezpečnosti podľa § 20 ods. 4 písm. a) v znení účinnom od 1. augusta 2021 funkcionalitou jednotného informačného systému kybernetickej bezpečnosti.
(3)
Zmluvy uzatvorené podľa § 9 ods. 3 v znení účinnom do 31. júla 2021 sa považujú za zmluvy uzatvorené v súlade s § 9 ods. 2 v znení účinnom od 1. augusta 2021 do konca obdobia, na ktoré sú uzatvorené.“.
Poznámka pod čiarou k odkazu 35 znie:
„35) Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.“.
60.
V prílohe č. 1 v sektore „2. Doprava“ podsektore „Letecká doprava“ v stĺpci „Prevádzkovateľ služieb“ sa slová „riadiace orgány letiska“ nahrádzajú slovami „prevádzkovateľ letiska“.
61.
V prílohe č. 1 v sektore „2. Doprava“ podsektore „Železničná doprava“ v stĺpci „Prevádzkovateľ služieb“ sa za slová „ktoré zabezpečujú len trakciu;“ vkladajú slová „to neplatí pre podniky, ktoré zabezpečujú trakciu pre trolejbusovú a električkovú dráhu,“.
62.
V prílohe č. 1 v sektore „3. Digitálna infraštruktúra“ sa v stĺpci „Prevádzkovateľ služieb“ vkladá nový riadok, ktorý znie: „poskytovateľ služieb webhostingu, DNS hostingu alebo mailhostingu“.
63.
V prílohe č. 1 v sektore „4. Elektronické komunikácie“ podsektore „Siete a služby pevných a mobilných elektronických komunikácií“ v stĺpci „Prevádzkovateľ služieb“ sa vkladá nový riadok, ktorý znie: „služby prístupu do internetu pevnej a mobilnej siete“.
64.
V prílohe č. 1 v sektore „10. Verejná správa“ sa vypúšťa podsektor „Spravodajské služby“ vrátane textu prislúchajúceho k tomuto podsektoru v stĺpcoch „Prevádzkovateľ služieb“ a „Ústredný orgán“.
65.
V prílohe č. 1 v sektore „10. Verejná správa“ podsektore „Utajované skutočnosti“ sa slová „správca a prevádzkovateľ verejnej regulovanej služby, ktorú poskytuje globálny satelitný navigačný systém zriadený v rámci programu Galileo, alebo správcovia a prevádzkovatelia sietí a informačných systémov, ktoré sú naň napojené“ nahrádzajú slovami „správca a prevádzkovateľ informačného systému Úradu pre verejnú regulovanú službu“.
66.
V prílohe č. 1 v sektore „11. Zdravotníctvo“ sa v stĺpci „Prevádzkovateľ služieb“ pripája nový riadok, ktorý znie: „orgány verejného zdravotníctva, správca a prevádzkovateľ národných zdravotných registrov, národných zdravotných administratívnych registrov a národného zdravotníckeho informačného systému“.
Čl. II
Zákon Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení zákona Národnej rady Slovenskej republiky č. 123/1996 Z. z., zákona Národnej rady Slovenskej republiky č. 224/1996 Z. z., zákona č. 70/1997 Z. z., zákona č. 1/1998 Z. z., zákona č. 232/1999 Z. z., zákona č. 3/2000 Z. z., zákona č. 142/2000 Z. z., zákona č. 211/2000 Z. z., zákona č. 468/2000 Z. z., zákona č. 553/2001 Z. z., zákona č. 96/2002 Z. z., zákona č. 118/2002 Z. z., zákona č. 215/2002 Z. z., zákona č. 237/2002 Z. z., zákona č. 418/2002 Z. z., zákona č. 457/2002 Z. z., zákona č. 465/2002 Z. z., zákona č. 477/2002 Z. z., zákona č. 480/2002 Z. z., zákona č. 190/2003 Z. z., zákona č. 217/2003 Z. z., zákona č. 245/2003 Z. z., zákona č. 450/2003 Z. z., zákona č. 469/2003 Z. z., zákona č. 583/2003 Z. z., zákona č. 5/2004 Z. z., zákona č. 199/2004 Z. z., zákona č. 204/2004 Z. z., zákona č. 347/2004 Z. z., zákona č. 382/2004 Z. z., zákona č. 434/2004 Z. z., zákona č. 533/2004 Z. z., zákona č. 541/2004 Z. z., zákona č. 572/2004 Z. z., zákona č. 578/2004 Z. z., zákona č. 581/2004 Z. z., zákona č. 633/2004 Z. z., zákona č. 653/2004 Z. z., zákona č. 656/2004 Z. z., zákona č. 725/2004 Z. z., zákona č. 5/2005 Z. z., zákona č. 8/2005 Z. z., zákona č. 15/2005 Z. z., zákona č. 93/2005 Z. z., zákona č. 171/2005 Z. z., zákona č. 308/2005 Z. z., zákona č. 331/2005 Z. z., zákona č. 341/2005 Z. z., zákona č. 342/2005 Z. z., zákona č. 468/2005 Z. z, zákona č. 473/2005 Z. z., zákona č. 491/2005 Z. z., zákona č. 538/2005 Z. z., zákona č. 558/2005 Z. z., zákona č. 572/2005 Z. z., zákona č. 573/2005 Z. z., zákona č. 610/2005 Z. z., zákona č. 14/2006 Z. z., zákona č. 15/2006 Z. z., zákona č. 24/2006 Z. z., zákona č. 117/2006 Z. z., zákona č. 124/2006 Z. z., zákona č. 126/2006 Z. z., zákona č. 224/2006 Z. z., zákona č. 342/2006 Z. z., zákona č. 672/2006 Z. z., zákona č. 693/2006 Z. z., zákona č. 21/2007 Z. z., zákona č. 43/2007 Z. z., zákona č. 95/2007 Z. z., zákona č. 193/2007 Z. z., zákona č. 220/2007 Z. z., zákona č. 279/2007 Z. z., zákona č. 295/2007 Z. z., zákona č. 309/2007 Z. z., zákona č. 342/2007 Z. z., zákona č. 343/2007 Z. z., zákona č. 344/2007 Z. z., zákona č. 355/2007 Z. z., zákona č. 358/2007 Z. z., zákona č. 359/2007 Z. z., zákona č. 460/2007 Z. z., zákona č. 517/2007 Z. z., zákona č. 537/2007 Z. z., zákona č. 548/2007 Z. z., zákona č. 571/2007 Z. z., zákona č. 577/2007 Z. z., zákona č. 647/2007 Z. z., zákona č. 661/2007 Z. z., zákona č. 92/2008 Z. z., zákona č. 112/2008 Z. z., zákona č. 167/2008 Z. z., zákona č. 214/2008 Z. z., zákona č. 264/2008 Z. z., zákona č. 405/2008 Z. z., zákona č. 408/2008 Z. z., zákona č. 451/2008 Z. z., zákona č. 465/2008 Z. z., zákona č.495/2008 Z. z., zákona č. 514/2008 Z. z., zákona č. 8/2009 Z. z., zákona č. 45/2009 Z. z., zákona č. 188/2009 Z. z., zákona č. 191/2009 Z. z., zákona č. 274/2009 Z. z., zákona č. 292/2009 Z. z., zákona č. 304/2009 Z. z., zákona č. 305/2009 Z. z., zákona č. 307/2009 Z. z., zákona č. 465/2009 Z. z., zákona č. 478/2009 Z. z., zákona č. 513/2009 Z. z., zákona č. 568/2009 Z. z., zákona č. 570/2009 Z. z., zákona č. 594/2009 Z. z., zákona č. 67/2010 Z. z., zákona č. 92/2010 Z. z., zákona č. 136/2010 Z. z., zákona č. 144/2010 Z. z., zákona č. 514/2010 Z. z., zákona č. 556/2010 Z. z., zákona č. 39/2011 Z. z., zákona č. 119/2011 Z. z., zákona č. 200/2011 Z. z., zákona č. 223/2011 Z. z., zákona č. 254/2011 Z. z., zákona č. 256/2011 Z. z., zákona č. 258/2011 Z. z., zákona č. 324/2011 Z. z., zákona č. 342/2011 Z. z., zákona č. 363/2011 Z. z., zákona č. 381/2011 Z. z., zákona č. 392/2011 Z. z., zákona č. 404/2011 Z. z., zákona č. 405/2011 Z. z., zákona č. 409/2011 Z. z., zákona č. 519/2011 Z. z., zákona č. 547/2011 Z. z., zákona č. 49/2012 Z. z., zákona č. 96/2012 Z. z., zákona č. 251/2012 Z. z., zákona č. 286/2012 Z. z., zákona č. 336/2012 Z. z., zákona č. 339/2012 Z. z., zákona č. 351/2012 Z. z., zákona č. 439/2012 Z. z., zákona č. 447/2012 Z. z., zákona č. 459/2012 Z. z., zákona č. 8/2013 Z. z., zákona č. 39/2013 Z. z., zákona č. 40/2013 Z. z., zákona č. 72/2013 Z. z., zákona č. 75/2013 Z. z., zákona č. 94/2013 Z. z., zákona č. 96/2013 Z. z., zákona č. 122/2013 Z. z., zákona č. 144/2013 Z. z., zákona č. 154/2013 Z. z., zákona č. 213/2013 Z. z., zákona č. 311/2013 Z. z., zákona č. 319/2013 Z. z., zákona č.347/2013 Z. z., zákona č. 387/2013 Z. z., zákona č. 388/2013 Z. z., zákona č. 474/2013 Z. z., zákona č. 506/2013 Z. z., zákona č. 35/2014 Z. z., zákona č. 58/2014 Z. z., zákona č. 84/2014 Z. z., zákona č. 152/2014 Z. z., zákona č. 162/2014 Z. z., zákona č. 182/2014 Z. z., zákona č. 204/2014 Z. z., zákona č. 262/2014 Z. z., zákona č. 293/2014 Z. z., zákona č. 335/2014 Z. z., zákona č. 399/2014 Z. z., zákona č. 40/2015 Z. z., zákona č. 79/2015 Z. z., zákona č. 120/2015 Z. z., zákona č. 128/2015 Z. z., zákona č. 129/2015 Z. z., zákona č. 247/2015 Z. z., zákona č. 253/2015 Z. z., zákona č. 259/2015 Z. z., zákona č. 262/2015 Z. z., zákona č. 273/2015 Z. z., zákona č. 387/2015 Z. z., zákona č. 403/2015 Z. z., zákona č. 125/2016 Z. z., zákona č. 272/2016 Z. z., zákona č. 342/2016 Z. z., zákona č. 386/2016 Z. z., zákona č. 51/2017 Z. z., zákona č. 238/2017 Z. z., zákona č. 242/2017 Z. z., zákona č. 276/2017 Z. z., zákona č. 292/2017 Z. z., zákona č. 293/2017 Z. z., zákona č. 336/2017 Z. z., zákona č. 17/2018 Z. z., zákona č. 18/2018 Z. z., zákona č. 49/2018 Z. z., zákona č. 52/2018 Z. z., zákona č. 56/2018 Z. z., zákona č. 87/2018 Z. z., zákona č. 106/2018 Z. z., zákona č. 108/2018 Z. z., zákona č. 110/2018 Z. z., zákona č. 156/2018 Z. z., zákona č. 157/2018 Z. z., zákona č. 212/2018 Z. z., zákona č. 215/2018 Z. z., zákona č. 284/2018 Z. z., zákona č. 312/2018 Z. z., zákona č. 346/2018 Z. z., zákona č. 9/2019 Z. z., zákona č. 30/2019 Z. z., zákona č. 150/2019 Z. z., zákona č. 156/2019 Z. z., zákona č. 158/2019 Z. z., zákona č. 211/2019 Z. z., zákona č. 213/2019 Z. z., zákona č. 216/2019 Z. z., zákona č. 221/2019 Z. z., zákona č. 234/2019 Z. z., zákona č. 356/2019 Z. z., zákona č. 364/2019 Z. z., zákona č. 383/2019 Z. z., zákona č. 386/2019 Z. z., zákona č. 390/2019 Z. z., zákona č. 395/2019 Z. z., zákona č. 460/2019 Z. z., zákona č. 165/2020 Z. z., zákona č. 198/2020 Z. z., zákona č. 310/2020 Z. z., zákona č. 128/2021 Z. z., zákona č. 149/2021 Z. z. a zákona č. 259/2021 Z. z. sa dopĺňa takto:
1.
V prílohe v časti Prehľad sadzobníka správnych poplatkov sa na konci pripájajú tieto slová: „XXV. Kybernetická bezpečnosť ........................................................................ 276“.
2.
V prílohe sa sadzobník správnych poplatkov dopĺňa časťou XXV, ktorá vrátane nadpisu znie:
„XXV. ČASŤ
KYBERNETICKÁ BEZPEČNOSŤ
Položka 276
Podanie žiadosti o akreditáciu jednotky pre riešenie kybernetických bezpečnostných incidentov (jednotky CSIRT) ............................................................................1 000 eur
Podanie žiadosti o certifikáciu produktu .....................................................1 000 eur
Podanie žiadosti o certifikáciu služby ...........................................................1 000 eur
Podanie žiadosti o certifikáciu procesu .........................................................1 000 eur.“.
Čl. III
Zákon č. 351/2011 Z. z. o elektronických komunikáciách v znení zákona č. 547/2011 Z. z., zákona č. 241/2012 Z. z., zákona č. 352/2013 Z. z., zákona č. 402/2013 Z. z, nálezu Ústavného súdu Slovenskej republiky č. 139/2015 Z. z., zákona č. 247/2015 Z. z., zákona č. 269/2015 Z. z., zákona č. 391/2015 Z. z., zákona č. 397/2015 Z. z., zákona č. 444/2015 Z. z., zákona č. 125/2016 Z. z., zákona č. 353/2016 Z. z., zákona č. 386/2016 Z. z., zákona č. 238/2017 Z. z., zákon č. 243/2017 Z. z., zákona č. 319/2017 Z. z., zákona č. 56/2018 Z. z., zákona č. 69/2018 Z. z., zákona č. 177/2018 Z. z., zákona č. 30/2019 Z. z., zákona č. 94/2019 Z. z., zákona č. 211/2019 Z. z., zákona č. 62/2020 Z. z., zákona č. 119/2020 Z. z. a zákona č. 242/2020 Z. z. sa mení a dopĺňa takto:
1.
V § 15 ods. 4 a ods. 5 písm. a) sa slová „§ 73 ods. 13“ nahrádzajú slovami „§ 73 ods. 14“.
2.
V § 64 ods. 1 sa za slová „organizačné opatrenia“ vkladajú slová „a bezpečnostné opatrenia podľa osobitného predpisu46i)“.
Poznámka pod čiarou k odkazu 46i znie:
„46i) § 20 zákona č. 69/2018 Z. z.“.
3.
V § 73 ods. 1 písm. a) sa slová „odseku 13“ nahrádzajú slovami „odseku 14“.
4.
V § 73 ods. 2 písm. a) sa slová „odseku 12“ nahrádzajú slovami „odseku 13“.
5.
V § 73 sa za odsek 9 vkladá nový odsek 10, ktorý znie:
„(10)
Ak ten, komu je možné uložiť sankciu podľa tohto zákona, je prevádzkovateľom základnej služby podľa osobitného predpisu58b) a jeho konanie napĺňa znaky skutkovej podstaty správneho deliktu podľa osobitného predpisu,15a) úrad nie je vo vzťahu k tomuto skutku príslušný konať a rozhodnúť vo veci správneho deliktu podľa tohto zákona. Ak úrad zistí skutočnosti, ktoré nasvedčujú tomu, že došlo ku konaniu podľa prvej vety, oznámi to bezodkladne Národnému bezpečnostnému úradu.“.
Poznámka pod čiarou k odkazu 58b znie:
„58b) § 17 zákona č. 69/2018 Z. z.“.
Doterajšie odseky 10 až 13 sa označujú ako odseky 11 až 14.
Čl. IV
Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 134/2020 Z. z. a zákona č. 423/2020 Z. z. sa mení a dopĺňa takto:
1.
V § 18 odsek 2 znie:
„(2)
Správca, ktorý je prevádzkovateľom základnej služby,20) prijíma a realizuje bezpečnostné opatrenia vo vzťahu k informačným systémom verejnej správy v jeho správe podľa tohto zákona a osobitného predpisu,21) ak ich cieľom je dosiahnuť vyššiu úroveň bezpečnosti ako ustanovuje osobitý predpis.22)“.
Poznámky pod čiarou k odkazom 20 až 22 znejú:
„20) § 3 písm. m) zákona č. 69/2018 Z. z.
21) Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
22) § 20 zákona č. 69/2018 Z. z.“.
2.
V § 19 ods. 1 písm. a) sa slová „politiky alebo inak zdokumentovaných a schválených mechanizmov“ nahrádzajú slovami „dokumentácie schválených procesov“.
3.
V § 19 ods. 1 písmeno c) znie:
„c)
zabezpečí a zdokumentuje identifikovanie aktív v informačných technológiách verejnej správy a riadenie rizík, najmä vo forme bezpečnostnej dokumentácie vrátane bezpečnostného projektu podľa § 23 ods. 1 a 2,“.
4.
V § 19 ods. 1 sa vypúšťajú písmená d) a e).
Doterajšie písmená f) až i) sa označujú ako písmená d) až g).
5.
V § 19 ods. 1 písmeno d) znie:
„d)
určí a zavedie bezpečnostné opatrenia na procesnej, organizačnej a na technickej úrovni,“.
6.
V § 19 ods. 1 písm. e) sa za slovo „prostriedky“ vkladajú slová „a zdroje“.
7.
V § 19 ods. 1 písm. f) sa slovo „mechanizmov“ nahrádza slovom „opatrení“.
8.
V § 19 ods. 1 písm. g) sa vypúšťajú slová „pri narušení definovaných bezpečnostných cieľov v nadväznosti na mechanizmy riešenia bezpečnostných incidentov“.
9.
V § 19 ods. 2 písm. a) sa slová „koncepčných dokumentov“ nahrádzajú slovami „bezpečnostnej stratégie kybernetickej bezpečnosti“.
10.
V § 19 ods. 2 písm. b) sa za slovo „zaznamenaných“ vkladajú slová „závažných kybernetických“.
11.
V § 19 ods. 2 písm. c) sa za slovo „auditov“ vkladá slovo „kybernetickej“.
12.
V § 19 ods. 3 písm. a) sa slová „dokumentov upravujúcich“ nahrádzajú slovami „bezpečnostnej dokumentácie upravujúcej“.
13.
V § 19 ods. 3 písmeno b) znie:
„b)
preskúmanie stavu kybernetickej bezpečnosti informačných technológií verejnej správy najmenej jedenkrát do roka a informovanie riadiacej zložky o výsledkoch preskúmania,“.
14.
V § 19 odsek 5 znie:
„(5)
Správca pri plánovaní vytvorenia alebo nadobudnutia informačného systému verejnej správy
a)
dodržiava bezpečnostnú stratégiu kybernetickej bezpečnosti,
b)
určí osobu zodpovednú za bezpečnosť informačného systému verejnej správy,
c)
identifikuje riziká prostredia, v ktorom bude informačný systém verejnej správy prevádzkovaný.“.
15.
V § 20 ods. 1 sa vypúšťa písmeno b).
Doterajšie písmeno c) sa označuje ako písmeno b).
16.
V § 20 ods. 1 písm. b) sa za slovo „vypracovanie“ vkladajú slová „bezpečnostnej dokumentácie vrátane“.
17.
V § 20 ods. 2 písm. a) druhom bode sa za slovo „vývoja“ vkladajú slová „a testovania“.
18.
V § 20 ods. 2 sa vypúšťa písmeno b).
Doterajšie písmeno c) sa označuje ako písmeno b).
19.
V § 20 ods. 2 písm. b) sa vypúšťa druhý a štvrtý bod.
Doterajší tretí a piaty bod sa označujú ako druhý a tretí bod.
20.
V § 20 ods. 2 písm. b) druhom bode sa slovo „identifikovať“ nahrádza slovom „doplniť“, za slovami „písm. a)“ sa vypúšťa čiarka a vypúšťajú sa slová „ktoré nie sú pokryté týmto systémom,“.
21.
V § 21 ods. 2 písmeno b) znie:
„b)
vykoná bezpečnostné testovanie informačného systému verejnej správy, ktorý má rozhranie s verejnou sieťou internet a ktorý spracúva osobitné kategórie osobných údajov podľa osobitného predpisu22a) alebo informácie klasifikované z hľadiska dôvernosti ako chránené alebo prísne chránené podľa osobitného predpisu.22b)“.
Poznámky pod čiarou k odkazom 22a a 22b znejú:
„22a) Čl. 9 ods. 1 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4. 5. 2016) v platnom znení.
22b) Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.“.
22.
V § 21 ods. 3 písm. a) prvý a druhý bod znejú:
„1.
určenie a pravidelné aktualizovanie bezpečnostnej dokumentácie,
2.
dodržiavanie bezpečnostných opatrení,“.
23.
V § 21 ods. 3 písm. b) prvý bod znie:
„1.
aktualizuje bezpečnostný projekt pre tento systém vypracovaný podľa § 23 ods. 1 a 2,“.
24.
V § 21 ods. 4 písm. a) prvom bode sa vypúšťa slovo „kritických“ a slová „už nepotrebné“ sa nahrádzajú slovom „potrebné“.
25.
V § 23 ods. 1 úvodná veta znie:
„(1)
Bezpečnostný projekt informačného systému verejnej správy sa vypracúva v súlade s osobitným predpisom21) a tvorí súčasť bezpečnostnej dokumentácie. Vypracovanie bezpečnostného projektu informačného systému verejnej správy zabezpečí správca, vychádzajúc:“.
26.
V § 23 ods. 1 písm. a) sa slovo „politiky“ nahrádza slovami „stratégie kybernetickej bezpečnosti a bezpečnostných politík“.
27.
V § 23 odsek 2 znie:
„(2)
Správca vypracuje bezpečnostný projekt pre informačný systém verejnej správy, ktorý:
a)
pri narušení bezpečnosti môže spôsobiť závažný kybernetický bezpečnostný incident,
b)
tvorí základné registre alebo referenčné registre alebo je ich súčasťou,
c)
je agendový informačný systém,
d)
je nevyhnutný na rozhodovanie orgánu verejnej moci,
e)
je špecializovaný portál,
f)
spracúva osobitné kategórie osobných údajov podľa osobitného predpisu,22a)
g)
je zaradený do kategórie III. podľa osobitného predpisu.22b)“.
28.
V § 23 ods. 3 sa vypúšťajú písmená b) a d).
Doterajšie písmená c), e) a f) sa označujú ako písmená b), c) a d).
29.
V § 23 ods. 3 písm. b) sa slová „odseku 5“ nahrádzajú slovami „odseku 4“.
30.
V § 23 sa vypúšťa odsek 4.
Doterajší odsek 5 sa označuje ako odsek 4.
31.
V § 23 ods. 4 písm. a) sa vypúšťajú slová „podľa odseku 3 písm. a)“ a slová „zistení bezpečnostného auditu alebo“ sa nahrádzajú spojkou „a“.
32.
V § 23 ods. 4 písm. d) sa vypúšťajú slová „podľa odseku 3“.
Čl. V
Tento zákon nadobúda účinnosť 1. augusta 2021.
Zuzana Čaputová v. r.
Boris Kollár v. r.
Eduard Heger v. r.
Boris Kollár v. r.
Eduard Heger v. r.