366/2024 Z. z.
Časová verzia predpisu účinná od 01.01.2025
Obsah zobrazeného právneho predpisu má informatívny charakter, právne záväzný obsah sa nachádza v pdf verzii právneho predpisu.
Otvoriť všetky
| Číslo predpisu: | 366/2024 Z. z. |
| Názov: | Zákon, ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony |
| Typ: | Zákon |
| Dátum schválenia: | 28.11.2024 |
| Dátum vyhlásenia: | 19.12.2024 |
| Dátum účinnosti od: | 01.01.2025 |
| Autor: | Národná rada Slovenskej republiky |
| Právna oblasť: |
|
| 455/1991 Zb. | Zákon o živnostenskom podnikaní (živnostenský zákon) |
| 145/1995 Z. z. | Zákon Národnej rady Slovenskej republiky o správnych poplatkoch |
| 143/1998 Z. z. | Zákon o civilnom letectve (letecký zákon) a o zmene a doplnení niektorých zákonov |
| 541/2004 Z. z. | Zákon o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov |
| 69/2018 Z. z. | Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov |
| 452/2021 Z. z. | Zákon o elektronických komunikáciách |
366
ZÁKON
z 28. novembra 2024,
ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene
a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú
niektoré zákony
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení zákona
č. 373/2018 Z. z., zákona č. 134/2020 Z. z., zákona č. 287/2021 Z. z., zákona č. 55/2022
Z. z. a zákona č. 231/2022 Z. z. sa mení a dopĺňa takto:
1.
§ 1 a 2 vrátane nadpisov znejú:
㤠1
Predmet zákona
Tento zákon upravuje
a)
podmienky pre riadenie a zabezpečenie kybernetickej bezpečnosti, najmä
1.
postavenie a povinnosti prevádzkovateľa základnej služby,
2.
bezpečnostné opatrenia,
3.
hlásenie kybernetického bezpečnostného incidentu, významnej kybernetickej hrozby,
udalosti odvrátenej v poslednej chvíli a zraniteľnosti,
4.
riešenie kybernetického bezpečnostného incidentu,
5.
opatrenia proti produktom IKT, službám IKT alebo procesom IKT ohrozujúcim kybernetickú
bezpečnosť a proti škodlivému obsahu,
b)
správu v oblasti kybernetickej bezpečnosti, najmä
1.
organizáciu, pôsobnosť a povinnosti orgánov verejnej moci v oblasti kybernetickej
bezpečnosti,
2.
úlohy a pôsobnosť národnej autority pre certifikáciu kybernetickej bezpečnosti,
3.
národnú stratégiu kybernetickej bezpečnosti,
4.
národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické
krízy,
5.
jednotný informačný systém kybernetickej bezpečnosti,
6.
súčinnosť a výmenu informácií,
c)
organizáciu a pôsobnosť jednotiek pre riešenie kybernetických bezpečnostných incidentov
(ďalej len „jednotka CSIRT“) a ich akreditáciu,
d)
audit kybernetickej bezpečnosti a dohľad nad plnením povinností prevádzkovateľa základnej
služby podľa tohto zákona alebo povinností uložených na základe tohto zákona (ďalej
len „dohľad“).“.
§ 2
Pôsobnosť zákona
(1)
Tento zákon sa vzťahuje na informačné systémy zriadené a prevádzkované v pôsobnosti
Ministerstva obrany Slovenskej republiky v rozsahu určenom ústredným orgánom spôsobom
podľa § 33 ods. 5.
(2)
Ak ide o osobu, ktorá poskytuje službu DNS, službu registrácie názvu domény, službu
cloud computingu, službu dátového centra, sieť na sprístupňovanie obsahu, riadenú
službu, bezpečnostnú službu, službu online trhu, službu internetového vyhľadávača
alebo platformu služieb sociálnej siete, možno ju zapísať do registra prevádzkovateľov
základnej služby a tento zákon sa na ňu vzťahuje aj vtedy, ak nemá trvalý pobyt, miesto
podnikania alebo sídlo na území Slovenskej republiky,
a)
má trvalý pobyt, miesto podnikania alebo sídlo v členskom štáte Európskej únie alebo
štáte, ktorý je zmluvnou stranou Dohody o Európskom hospodárskom priestore (ďalej
len „členský štát Európskej únie“) a na území Slovenskej republiky
1.
najčastejšie prijíma rozhodnutia týkajúce sa bezpečnostných opatrení na riadenie
rizík,
2.
vykonáva opatrenia s cieľom zachovania kybernetickej bezpečnosti, ak nemožno určiť
trvalý pobyt, miesto podnikania alebo sídlo podľa písmena a),
3.
má prevádzkareň s najvyšším počtom zamestnancov spomedzi prevádzkarní umiestnených
v členských štátoch Európskej únie,
b)
nemá trvalý pobyt, miesto podnikania alebo sídlo v členskom štáte Európskej únie
a
1.
má trvalý pobyt, miesto podnikania alebo sídlo na území Slovenskej republiky jej
zástupca podľa § 21 ods. 1,
2.
vzťahuje sa na ňu povinnosť podľa § 21 ods. 1, ale nemá určeného zástupcu s trvalým
pobytom, miestom podnikania alebo sídlom v Slovenskej republike alebo v inom členskom
štáte Európskej únie podľa § 21 ods. 1.
(3)
Tento zákon sa nevzťahuje na
a)
požiadavky na zabezpečenie sietí a informačných systémov podľa všeobecného predpisu
o ochrane utajovaných skutočností,
b)
osobitné ustanovenia o úlohách a oprávneniach spravodajskej služby pri ochrane kybernetického
priestoru podľa osobitného predpisu,1)
c)
ustanovenia osobitných predpisov o vyšetrovaní, odhaľovaní a stíhaní trestných činov,2)
d)
požiadavky na zabezpečenie sietí a informačných systémov v sektore bankovníctva,
financií alebo finančného systému podľa osobitného predpisu,3) vrátane štandardov a zásad vydaných alebo prijatých Európskou centrálnou bankou,
Európskym systémom centrálnych bánk, Eurosystémom alebo európskymi orgánmi dohľadu,4) ako aj dohľad a kontrolu plnenia týchto požiadaviek a ani na platobné systémy a
na systémy zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané
alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom podľa osobitných
predpisov.5)“.
Poznámky pod čiarou k odkazom 1 a 3 znejú:
1) § 2 ods. 1 písm. g), ods. 3 zákona Národnej rady Slovenskej republiky č. 46/1993
Z. z. o Slovenskej informačnej službe v znení zákona č. 151/2010 Z. z.
§ 4 ods. 3, § 5 ods. 1 písm. c) a h) a § 7 zákona č. 500/2022 Z. z. o Vojenskom spravodajstve.
Zákon č. 319/2002 Z. z. o obrane Slovenskej republiky v znení neskorších predpisov.
§ 4 ods. 3, § 5 ods. 1 písm. c) a h) a § 7 zákona č. 500/2022 Z. z. o Vojenskom spravodajstve.
Zákon č. 319/2002 Z. z. o obrane Slovenskej republiky v znení neskorších predpisov.
3) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej
prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ)
č. 648/2012, (EÚ) č. 600/2014, (EÚ) č. 909/2014 a (EÚ) 2016/1011 (Ú. v. EÚ L 333,
27. 12. 2022).
Poznámky pod čiarou k odkazom 6 a 7 sa vypúšťajú.“.
2.
V § 3 písmeno f) znie:
„f)
dostupnosťou záruka, že údaj alebo poskytovaná služba sú pre používateľa, informačný
systém, sieť alebo zariadenie prístupné vo chvíli, keď sú potrebné a požadované,“.
3.
V § 3 písm. g) sa slovo „informácie“ nahrádza slovom „údaja“.
4.
V § 3 písmená i) a j) znejú:
„i)
rizikom potenciál straty alebo narušenia v dôsledku kybernetického bezpečnostného
incidentu vyjadrený ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti
výskytu kybernetického bezpečnostného incidentu,
j)
kybernetickou hrozbou kybernetická hrozba podľa čl. 2 bodu 8 nariadenia Európskeho
parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej
únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných
a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej
bezpečnosti) (ďalej len „nariadenie (EÚ) 2019/881“),“.
5.
V § 3 sa za písmeno j) vkladajú nové písmená k) a l), ktoré znejú:
„k)
významnou kybernetickou hrozbou kybernetická hrozba, o ktorej možno na základe jej
technických charakteristík predpokladať, že má potenciál spôsobiť závažný kybernetický
bezpečnostný incident alebo môže mať iný závažný vplyv na sieť a informačný systém
subjektu alebo používateľov služieb subjektu tým, že spôsobí značnú škodu,9)
l)
kybernetickou krízou obdobie, počas ktorého bezprostredne hrozí vznik rozsiahleho
kybernetického bezpečnostného incidentu alebo trvá rozsiahly kybernetický bezpečnostný
incident, “.
Poznámka pod čiarou k odkazu 9 znie:
„9) § 125 ods. 1 Trestného zákona.“.
Doterajšie písmená k) až p) sa označujú ako písmená m) až r).
6.
V § 3 písmená m) až r) znejú:
„m)
kybernetickým bezpečnostným incidentom udalosť ohrozujúca dostupnosť, pravosť, integritu
alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb
poskytovaných alebo prístupných prostredníctvom sietí a informačných systémov,
n)
rozsiahlym kybernetickým bezpečnostným incidentom kybernetický bezpečnostný incident,
ktorý spôsobí narušenie na úrovni presahujúcej schopnosť Slovenskej republiky naň
reagovať, alebo ktorý má významný vplyv aspoň na dva členské štáty Európskej únie,
o)
riešením kybernetického bezpečnostného incidentu aktivita a postup zamerané na prevenciu,
odhaľovanie, analýzu a obmedzovanie kybernetického bezpečnostného incidentu alebo
na reakciu naň a zotavenie z neho,
p)
udalosťou odvrátenou v poslednej chvíli udalosť, ktorá by mohla ohroziť dostupnosť,
pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov
alebo služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných
systémov, ale ktorej vzniku sa úspešne zabránilo alebo ku ktorej nedošlo,
q)
zraniteľnosťou akýkoľvek nežiaduci stav alebo chyba technického prostriedku alebo
programového prostriedku, alebo nedostatok procesu vrátane nesprávnej bezpečnostnej
konfigurácie, ktorá môže byť zneužitá kybernetickou hrozbou,
r)
produktom IKT produkt IKT podľa čl. 2 ods. 12 nariadenia (EÚ) 2019/881.“.
7.
§ 3 sa dopĺňa písmenami s) až ab), ktoré znejú:
„s)
službou IKT služba IKT podľa čl. 2 ods. 13 nariadenia (EÚ) 2019/881,
t)
procesom IKT proces IKT podľa čl. 2 ods. 14 nariadenia (EÚ) 2019/881,
u)
európskym certifikátom kybernetickej bezpečnosti európsky certifikát kybernetickej
bezpečnosti podľa čl. 2 ods. 11 nariadenia (EÚ) 2019/881,
v)
správcom TLD osoba, ktorej bola pridelená osobitná doména najvyššej úrovne (TLD)
a ktorá je zodpovedná za správu TLD vrátane registrácie názvov domén v rámci TLD a
za technickú prevádzku TLD vrátane prevádzky názvových serverov, údržby jeho databáz
a distribúcie súborov zóny TLD v rámci názvových serverov bez ohľadu na to, či ktorúkoľvek
z týchto operácií vykonáva sama alebo prostredníctvom inej osoby,
w)
službou DNS hierarchický distribuovaný systém názvov, ktorý umožňuje identifikáciu
internetových služieb a zdrojov a to, aby zariadenia koncových používateľov používali
služby smerovania internetu a pripojenia na účely prístupu k týmto službám a zdrojom,
x)
službou registrácie názvu domény služba, ktorú vykonáva registrátor alebo zástupca
konajúci v mene registrátora, ktorej cieľom je vznik práva na využívanie domény druhej
úrovne držiteľom domény v dohodnutom rozsahu, na dohodnuté časové obdobie a za dohodnutých
podmienok,
y)
kľúčovou službou služba pre zachovanie dôležitých spoločenských oblastí alebo hospodárskych
činností, pri ktorej dopad kybernetického bezpečnostného incidentu v informačnom systéme
alebo v sieti, na ktorých fungovaní je závislé poskytovanie služby, môže spôsobiť
1.
ohrozenie dostupnosti, pravosti, integrity alebo dôvernosti uchovávaných, prenášaných
alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných
prostredníctvom týchto sietí a informačných systémov, ktoré postihuje viac ako 25
000 osôb,
2.
obmedzenie alebo narušenie kritického subjektu, jeho základnej služby alebo kritickej
infraštruktúry,
3.
hospodársku stratu vyššiu ako 0,1 % hrubého domáceho produktu podľa údajov z bezprostredne
predchádzajúceho rozpočtového roka, alebo
4.
hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000
eur,
z)
významným vplyvom na verejný poriadok, bezpečnosť alebo verejné zdravie vplyv, pri
ktorom dopad kybernetického bezpečnostného incidentu v informačnom systéme alebo v
sieti, na ktorých fungovaní je závislé poskytovanie služby, môže spôsobiť narušenie
verejného poriadku, bezpečnosti, ohrozenie verejného zdravia, mimoriadnu udalosť alebo
tieseň, ktorá môže
1.
vyžadovať vykonanie záchranných prác alebo výkon činností a opatrení súvisiacich
s poskytovaním pomoci v tiesni,
2.
spôsobiť viac ako 100 zranených osôb vyžadujúcich lekárske ošetrenie alebo úmrtie
aspoň jednej osoby,
aa)
významným systémovým rizikom riziko narušenia systému, ktoré môže mať závažné negatívne
dôsledky alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti, a tým
ohrozuje život alebo zdravie osôb, hospodárske fungovanie štátu, verejný poriadok,
bezpečnosť alebo majetok osôb, alebo ohrozuje bezpečnostné záujmy Slovenskej republiky,
ab)
osobou, ktorá je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej
úrovni kritická osoba, ktorej narušenie z dôvodu kybernetického bezpečnostného incidentu
môže vyžadovať vykonanie záchranných prác alebo výkon činností a opatrení súvisiacich
s poskytovaním pomoci v tiesni,“.
8.
Doterajší text § 3 sa označuje ako odsek 1 a dopĺňa sa odsekom 2, ktorý znie:
„(2)
Prevádzkovateľom základnej služby je ten, kto je zapísaný v registri prevádzkovateľov
základnej služby.“.
9.
V § 4 úvodnej vete sa slovo „vykonáva“ nahrádza slovom „vykonávajú“.
10.
V § 4 písm. b) sa vypúšťajú slová „a výstavby“, za slovami „Ministerstvo životného
prostredia Slovenskej republiky“ sa slovo „a“ nahrádza čiarkou a za slová „Ministerstvo
investícií, regionálneho rozvoja a informatizácie Slovenskej republiky“ sa vkladajú
slová „a Správa štátnych hmotných rezerv Slovenskej republiky“.
11.
V § 5 ods. 1 písm. d) sa za slová „v Slovenskej republike“ vkladajú slová „a národný
plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy,
je orgánom pre riadenie kybernetických kríz a plní úlohu národného koordinátora riadenia
rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz,“.
12.
V § 5 ods. 1 písm. e) sa za slová „je národným kontaktným miestom pre kybernetickú
bezpečnosť“ vkladá čiarka a slová „pre vnútroštátnu spoluprácu a“ a vypúšťajú sa slová
„a Organizácie Severoatlantickej zmluvy“.
13.
V § 5 ods. 1 písm. f) a h) sa vypúšťajú slová „a Organizácie Severoatlantickej zmluvy“.
14.
V § 5 ods. 1 písm. i) sa slová „poskytovateľmi digitálnych služieb“ nahrádzajú slovami
„s vedeckými inštitúciami a akademickými inštitúciami“.
15.
V § 5 ods. 1 písmená k) a l) znejú:
„k)
koná vo veci určenia subjektu ako prevádzkovateľa základnej služby a jeho zápisu
do registra prevádzkovateľov základnej služby,
l)
vedie a spravuje
1.
register prevádzkovateľov základnej služby,
2.
zoznam akreditovaných jednotiek CSIRT,
3.
zoznam autorizovaných orgánov posudzovania zhody,
4.
zoznam vydaných európskych certifikátov kybernetickej bezpečnosti,
5.
zoznam notifikovaných osôb akreditovaných v rozsahu schémy certifikácie kybernetickej
bezpečnosti podľa čl. 49 nariadenia (EÚ) 2019/881,“.
16.
V § 5 ods. 1 písmeno o) znie:
„o)
určuje ústredný orgán pre sektor podľa prílohy č. 1 alebo prílohy č. 2 v súlade s
oblasťami jeho pôsobnosti podľa osobitného predpisu10aaa) a plní úlohy ústredného orgánu pre typ subjektu podľa prílohy č. 1 a prílohy č.
2,“.
Poznámka pod čiarou k odkazu 10aaa) znie:
„10aaa) Zákon č. 575/2001 Z. z. v znení neskorších predpisov.“.
17.
V § 5 ods. 1 písm. r) sa za slovo „zasiela“ vkladajú slová „a vyhlasuje“ a na konci
sa dopĺňajú slová „výstrahy alebo vyhlasuje stav kybernetickej krízy,“.
18.
V § 5 ods. 1 písmeno s) znie:
„s)
prijíma vnútroštátne hlásenia o kybernetických bezpečnostných incidentoch, kybernetických
hrozbách, udalostiach odvrátených v poslednej chvíli a o zraniteľnostiach,“.
19.
V § 5 ods. 1 písm. t) sa za slová „o kybernetických bezpečnostných incidentoch“ vkladá
čiarka a slová „kybernetických hrozbách a zraniteľnostiach“.
20.
V § 5 ods. 1 písmeno u) znie:
„u)
vykonáva dohľad,“.
21.
V § 5 ods. 1 písm. w) sa slová „vedy, výskumu a športu“ nahrádzajú slovami „výskumu,
vývoja a mládeže“.
22.
Poznámka pod čiarou k odkazu 10aa znie:
„10aa) Čl. 58, 60 ods. 2 a 61 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 zo
17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť)
a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií
a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ
L 151, 7. 6. 2019).“.
23.
V § 5 ods. 1 písmeno aa) znie:
„aa)
vykonáva kontrolu a dozor podľa čl. 58 ods. 7 písm. a) a b) nariadenia (EÚ) 2019/881
a prijíma opatrenia podľa čl. 58 ods. 8 písm. c) nariadenia (EÚ) 2019/881,“.
24.
V § 5 ods. 1 sa vypúšťa písmeno ac).
Doterajšie písmená ad) až ag) sa označujú ako písmená ac) až af).
25.
§ 5a vrátane nadpisu znie:
㤠5a
Systém certifikácie kybernetickej bezpečnosti
(1)
Systémom certifikácie kybernetickej bezpečnosti je súbor pravidiel a postupov na
riadenie jednotlivých schém certifikácie kybernetickej bezpečnosti.
(2)
Schéma certifikácie kybernetickej bezpečnosti je súbor pravidiel, technických požiadaviek,
technických noriem a postupov, ktoré sa uplatňujú na certifikáciu alebo posudzovanie
zhody konkrétnych produktov IKT, služieb IKT alebo procesov IKT.
(3)
Certifikáciu kybernetickej bezpečnosti pre úrovne záruky základná, významná alebo
vysoká podľa osobitého predpisu10b) vykonáva len akreditovaná osoba.10c) Akreditovanou osobou pre certifikáciu kybernetickej bezpečnosti pre úroveň záruky
vysoká10d) môže byť len úrad.10e)“.
Poznámky pod čiarou k odkazom 10b až 10e znejú:
„10b) Čl. 52 nariadenia (EÚ) 2019/881.
10c) Čl. 60 nariadenia (EÚ) 2019/881.
§ 19 ods. 2 zákona č. 53/2023 Z. z. o akreditácii orgánov posudzovania zhody.
§ 19 ods. 2 zákona č. 53/2023 Z. z. o akreditácii orgánov posudzovania zhody.
10d) Čl. 52 ods. 7 nariadenia (EÚ) 2019/881.
10e) Čl. 56 ods. 6 nariadenia (EÚ) 2019/881.“.
Poznámky pod čiarou k odkazom 10f a 10g sa vypúšťajú.
26.
V § 6 ods. 1 sa slová „a digitálne služby“ nahrádzajú slovami „alebo v prílohe č.
2“.
27.
§ 6 sa dopĺňa odsekmi 5 až 8, ktoré znejú:
„(5)
Úrad prostredníctvom národnej jednotky CSIRT na účely zverejňovania zraniteľností
alebo zamedzenia ich zneužitia plní úlohu koordinátora vo veciach komunikácie o zistených
alebo nahlásených zraniteľnostiach medzi prevádzkovateľom základnej služby, výrobcom
alebo dodávateľom produktu IKT alebo služby IKT a inými dotknutými osobami. Na účely
podľa prvej vety úrad prostredníctvom národnej jednotky CSIRT
a)
identifikuje a kontaktuje dotknuté osoby,
b)
komunikuje o zraniteľnosti s výrobcom alebo poskytovateľom produktu IKT alebo služby
IKT,
c)
oznamuje prevádzkovateľovi základnej služby zraniteľnosť, ktorá sa ho týka a odporučí
mu opatrenia na zamedzenie jej zneužiteľnosti; opatrenia na úseku kontroly a riešenia
kybernetických bezpečnostných incidentov tým nie sú dotknuté,
d)
poskytuje pomoc osobám oznamujúcim zraniteľnosti,
e)
riadi zverejňovanie zraniteľností.
(6)
Úrad zabezpečí, aby bolo možné oznamovať zraniteľnosti aj prostredníctvom jednotného
informačného systému kybernetickej bezpečnosti vrátane anonymných oznámení a na žiadosť
oznamovateľa zabezpečí zachovanie jeho anonymity vo vzťahu k oznámeným skutočnostiam.
(7)
Ak ide o zraniteľnosť týkajúcu sa služby, ku ktorej vykonáva služby jednotka CSIRT
v inom členskom štáte Európskej únie, postúpi úrad oznámenie o zraniteľnosti tejto
jednotke CSIRT a informuje o tom oznamovateľa.
(8)
Úrad prostredníctvom národnej jednotky CSIRT vykonáva neinvazívne zisťovanie a hodnotenie
zraniteľností verejne prístupnej siete a informačného systému v kybernetickom priestore
Slovenskej republiky, ktoré nemá negatívny vplyv na tieto siete a informačné systémy,
ako ani na služby, ktoré poskytujú a činnosti, ktoré zabezpečujú.“.
28.
§ 7 vrátane nadpisu znie:
㤠7
Národná stratégia kybernetickej bezpečnosti a národný plán reakcie na rozsiahle kybernetické
bezpečnostné incidenty a kybernetické krízy
(1)
Národná stratégia kybernetickej bezpečnosti je východiskový strategický dokument,
ktorý komplexne určuje strategický prístup Slovenskej republiky k zabezpečeniu vysokej
úrovne kybernetickej bezpečnosti. Súčasťou národnej stratégie kybernetickej bezpečnosti
sú politiky a národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty
a kybernetické krízy, ktorý je konkrétnym plánom čiastkových úloh a zdrojov.
(2)
Národná stratégia kybernetickej bezpečnosti obsahuje najmä
a)
ciele a priority,
b)
rámec riadenia na dosiahnutie cieľov a priorít,
c)
rámec riadenia na objasnenie úloh a povinností zainteresovaných osôb na vnútroštátnej
úrovni a ich zoznam,
d)
mechanizmus na identifikáciu relevantných prostriedkov a hodnotenie rizík,
e)
identifikáciu opatrení na zabezpečenie pripravenosti a schopnosti reakcie na kybernetické
hrozby, zraniteľnosti a kybernetické bezpečnostné incidenty a zotavenia z nich vrátane
spolupráce medzi verejným sektorom a súkromným sektorom,
f)
rámec pre posilnenú koordináciu medzi príslušnými orgánmi podľa tohto zákona za účelom
výmeny informácií o rizikách, kybernetických hrozbách a kybernetických bezpečnostných
incidentoch,
g)
plán vrátane potrebných opatrení na zvýšenie všeobecnej úrovne informovanosti občanov
Slovenskej republiky o kybernetickej bezpečnosti.
(3)
V rámci národnej stratégie kybernetickej bezpečnosti sa prijímajú politiky najmä
na zabezpečenie
a)
kybernetickej bezpečnosti v dodávateľskom reťazci produktov IKT a služieb IKT,
b)
zohľadňovania požiadaviek na kybernetickú bezpečnosť produktov IKT a služieb IKT
vo verejnom obstarávaní, a to aj ak ide o certifikáciu kybernetickej bezpečnosti,
kryptografické opatrenia a využívanie produktov s otvoreným zdrojovým kódom,
c)
riadenia zraniteľností vrátane podpory a sprostredkovania koordinovaného zverejňovania
zraniteľností,
d)
udržania všeobecnej dostupnosti, integrity a dôvernosti základných komunikačných
protokolov a infraštruktúry otvoreného internetu,
e)
podpory vývoja a integrácie pokročilých technológií so zámerom implementovať najmodernejšie
opatrenia na riadenie rizík,
f)
podpory a rozvoja vzdelávania a odbornej prípravy v oblasti kybernetickej bezpečnosti,
kvalifikácií v oblasti kybernetickej bezpečnosti, zvyšovania informovanosti a výskumných
a vývojových iniciatív v oblasti kybernetickej bezpečnosti, ako aj usmernenia o správnych
postupoch a kontrolách bezpečnostného vzdelávania a získavania vedomostí a zručností,
zamerané na občanov Slovenskej republiky a iné zainteresované osoby,
g)
podpory akademických inštitúcií a výskumných inštitúcií pri vývoji, zlepšovaní a
zavádzaní nástrojov kybernetickej bezpečnosti a bezpečnej sieťovej infraštruktúry,
h)
postupov a vhodných nástrojov zdieľania informácií na podporu dobrovoľného zdieľania
informácií o kybernetickej bezpečnosti medzi prevádzkovateľmi základnej služby a inými
osobami, pri dodržaní podmienok ich zdieľania,
i)
posilnenia kybernetickej bezpečnosti a schopnosti identifikovať a odvrátiť kybernetickú
hrozbu a obnoviť pôvodný stav po kybernetickom bezpečnostnom incidente,
j)
podpory aktívnej kybernetickej ochrany.
(4)
Ústredný orgán a iný orgán štátnej správy spolupracujú s úradom na vypracovaní národnej
stratégie kybernetickej bezpečnosti a na tento účel sú povinné poskytnúť úradu informácie
v potrebnom rozsahu.
(5)
Národnú stratégiu kybernetickej bezpečnosti schvaľuje vláda Slovenskej republiky
na návrh úradu, na obdobie piatich rokov.
(6)
Národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické
krízy je strategický dokument, ktorý určuje ciele a spôsoby riadenia rozsiahlych kybernetických
bezpečnostných incidentov a kybernetických kríz a obsahuje najmä
a)
ciele, prípravu a opatrenia v oblasti pripravenosti na vznik rozsiahleho kybernetického
bezpečnostného incidentu a kybernetickej krízy,
b)
úlohy orgánov krízového riadenia pri riadení kybernetických kríz v rozsahu ich oprávnení
podľa osobitných predpisov,
c)
postupy riadenia kybernetických kríz vrátane ich začlenenia do krízového riadenia
mimo času vojny a vojnového stavu a postupy a spôsob výmeny informácií,
d)
identifikáciu príslušných dotknutých osôb a potrebnej infraštruktúry a iných zdrojov,
e)
opatrenia a úlohy na účely zabezpečenia účinnej účasti na koordinovanom riadení rozsiahlych
kybernetických bezpečnostných incidentov a kybernetických kríz na úrovni Európskej
únie, ako aj podporu tohto riadenia.
(7)
Národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické
krízy a jeho zmenu schvaľuje vláda Slovenskej republiky na návrh úradu.
(8)
Ústredný orgán a iný orgán štátnej správy spolupracujú s úradom na vypracovaní národného
plánu reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy
a na tento účel sú povinné poskytnúť úradu informácie v potrebnom rozsahu.“.
29.
V § 8 odseky 2 a 3 znejú:
„(2)
Jednotný informačný systém kybernetickej bezpečnosti obsahuje komunikačný systém
pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálny systém
včasného varovania. Jednotný informačný systém pozostáva z verejnej časti a neverejnej
časti a prístup k nemu je bezodplatný. Verejná časť jednotného informačného systému
kybernetickej bezpečnosti obsahuje
a)
register ústredných orgánov,
b)
register prevádzkovateľov základnej služby,
c)
zoznam akreditovaných jednotiek CSIRT,
d)
metodiky, usmernenia, štandardy, politiky a oznamy,
e)
informácie potrebné na používanie jednotného informačného systému kybernetickej bezpečnosti,
f)
výstrahy, varovania a ďalšie informácie slúžiace na minimalizovanie, odvrátenie alebo
nápravu následkov kybernetického bezpečnostného incidentu,
g)
nástroj na registráciu zmien, hlásenie zmien a ostatné súvisiace nástroje.
(3)
Komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov
je komunikačný systém, ktorým sa zabezpečuje
a)
hlásenia podľa § 24,
b)
systematické získavanie, sústreďovanie, analyzovanie a vyhodnocovanie informácií
o kybernetických bezpečnostných incidentoch,
c)
komunikácia medzi národnou jednotkou CSIRT, vládnou jednotkou CSIRT a akreditovanými
jednotkami CSIRT v Slovenskej republike a takýmito jednotkami CSIRT v inom členskom
štáte Európskej únie vrátane výmeny informácií a údajov potrebných na účinnú spoluprácu
pri zabezpečovaní ich úloh v oblasti kybernetickej bezpečnosti.“.
30.
V § 8 ods. 4 a v § 20 ods. 5 písm. e) sa slovo „hrozbách“ nahrádza slovami „kybernetických
hrozbách“.
31.
V § 8 ods. 5 písm. c) sa vypúšťajú slová „a poskytovateľ digitálnej služby“.
32.
V § 9 ods. 1 a 2, § 10a ods. 1, § 15 ods. 1 a § 32 ods. 2 sa za slová „podľa prílohy
č. 1“ vkladajú slová „alebo prílohy č. 2“.
33.
V § 9 ods. 1 sa vypúšťa písmeno e).
Doterajšie písmená f) a g) sa označujú ako e) a f).
34.
V § 9 ods. 1 písmeno e) sa slová „základnú službu a“ a slová „zoznamu základných
služieb a“ vypúšťajú.
35.
V § 10 sa slová „systémov, ktoré nie sú základnou službou a procesu riešenia kybernetických
bezpečnostných incidentov, iný orgán štátnej správy a ústredný orgán“ nahrádzajú slovami
„systémov a procesu riešenia kybernetických bezpečnostných incidentov, iný orgán štátnej
správy“.
36.
V § 12 ods. 3 sa vypúšťajú slová „a poskytovateľa digitálnej služby“.
37.
V § 12 ods. 4 sa za slovo „varovania“ vkladajú slová „alebo stavu kybernetickej krízy“.
38.
V § 12 ods. 5 sa vypúšťajú slová „poskytovateľom digitálnej služby,“ a slovo „ich“
sa nahrádza slovom „jeho“.
39.
V § 15 ods. 2 písm. d) sa za slovo „evidenciou“ vkladajú slová „zraniteľností, kybernetických
hrozieb, kybernetických kríz a“.
40.
V § 15 sa odsek 2 dopĺňa písmenami h) až l), ktoré znejú:
„h)
poskytovaním pomoci s monitorovaním siete a informačného systému alebo vykonávaním
takéhoto monitorovania po dohode so správcom siete alebo prevádzkovateľom siete alebo
prevádzkovateľom informačného systému,
i)
vykonávaním neinvazívneho zisťovania a hodnotenia zraniteľností verejne prístupnej
siete a informačného systému v rozsahu pôsobnosti jednotky CSIRT podľa odseku 1, ktoré
nemá negatívny vplyv na tieto siete a informačné systémy, ako ani na služby, ktoré
poskytujú a činnosti, ktoré zabezpečujú,
j)
vykonávaním hodnotenia zraniteľností, ktoré boli zistené podľa písmena h), po dohode
so správcom siete alebo prevádzkovateľom siete alebo prevádzkovateľom informačného
systému,
k)
spoluprácou s národnou jednotkou CSIRT a inými jednotkami CSIRT,
l)
využívaním podnetov, skúseností a spolupráce s osobami pôsobiacimi v oblasti kybernetickej
bezpečnosti.“.
41.
V § 15 ods. 4 sa vypúšťajú slová „alebo poskytovateľa digitálnej služby“.
42.
§ 15 sa dopĺňa odsekom 5, ktorý znie:
„(5)
Ten, kto plní úlohy jednotky CSIRT, môže určovať spôsob, rozsah a priorizáciu prostriedkov
a zdrojov pri poskytovaní preventívnych služieb a reaktívnych služieb prostredníctvom
objektívnych kritérií založených na analýze rizík zraniteľností, kybernetických hrozieb,
kybernetických kríz a kybernetických bezpečnostných incidentov.“.
43.
§ 16 sa dopĺňa odsekom 4, ktorý znie:
„(4)
Ten, kto plní úlohy jednotky CSIRT, zabezpečuje spoluprácu s úradom, príslušným ústredným
orgánom a ostatnými jednotkami CSIRT, ako aj s jednotkami CSIRT z iných členských
štátov Európskej únie a účasť na partnerských preskúmaniach organizovaných v rámci
spolupráce medzi členskými štátmi Európskej únie, Európskou komisiou a Agentúrou Európskej
únie pre kybernetickú bezpečnosť.“.
44.
§ 17 a 18 vrátane nadpisov znejú:
㤠17
Prevádzkovateľ základnej služby
(1)
Do registra prevádzkovateľov základnej služby sa zapisuje
a)
ústredný orgán štátnej správy a iný štátny orgán s celoštátnou pôsobnosťou,
b)
kritický subjekt,
c)
osoba bez ohľadu na splnenie podmienok veľkosti pre stredný podnik, ktorá vykonáva
činnosť v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2 a ktorá
1.
je podnikom poskytujúcim verejnú elektronickú komunikačnú sieť alebo verejnú elektronickú
komunikačnú službu,
2.
je poskytovateľom dôveryhodnej služby,
3.
je správcom TLD,
4.
poskytuje službu DNS,
5.
je v Slovenskej republike jediným poskytovateľom služby, ktorá je kľúčovou službou,
6.
poskytuje službu, ktorej narušenie by mohlo mať významný vplyv na verejný poriadok,
bezpečnosť alebo verejné zdravie,
7.
poskytuje službu alebo má také postavenie, že narušenie poskytovania služby alebo
zásah do postavenia by mohli vyvolať významné systémové riziko najmä v sektore, v
ktorom by takéto narušenie alebo zásah mohli mať cezhraničný vplyv,
8.
je vzhľadom na svoj osobitný význam na vnútroštátnej alebo regionálnej úrovni kritická
pre konkrétny sektor, alebo
9.
je subjektom hospodárskej mobilizácie, ktorému bolo uložené opatrenie podľa osobitného
predpisu,23)
d)
štátny orgán vykonávajúci pôsobnosť v najmenej dvoch okresoch a vyšší územný celok,
ak by narušenie ich činnosti mohlo mať významný vplyv na verejný poriadok, bezpečnosť
alebo verejné zdravie; ustanovenie písmena a) tým nie je dotknuté,
e)
osoba, ktorá spĺňa najmenej podmienky veľkosti pre stredný podnik a vykonáva činnosť
v niektorom zo sektorov podľa prílohy č. 1 alebo prílohy č. 2,
f)
mesto, ak by narušenie výkonu jeho pôsobnosti mohlo mať významný vplyv na verejný
poriadok, bezpečnosť alebo verejné zdravie,
g)
správca informačnej technológie verejnej správy23a),
h)
osoba, ktorá poskytuje službu registrácie názvu domény bez ohľadu na splnenie podmienok
veľkosti pre stredný podnik alebo
i)
tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti,
a má uzatvorenú zmluvu s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú
základnú službu.
(2)
Ten, kto vykonáva činnosť podľa odseku 1 je povinný do 60 dní odo dňa, kedy činnosť
začne vykonávať, oznámiť to úradu. Oznámenie podľa predchádzajúcej vety musí obsahovať
a)
názov, sídlo a kontaktné údaje vrátane elektronických adries, verejných IP adries
a telefónnych čísel,
b)
zoznam členských štátov Európskej únie, v ktorých vykonáva činnosť alebo poskytuje
službu,
c)
názov, sídlo a kontaktné údaje zástupcu podľa § 21 ods. 1.
(3)
Úrad zapíše do registra prevádzkovateľov základnej služby osobu podľa odseku 1
a)
po predchádzajúcej konzultácii s príslušným ústredným orgánom, a to z vlastnej iniciatívy
alebo na základe odôvodnenej žiadosti osoby podľa odseku 1, alebo
b)
na návrh príslušného ústredného orgánu.
(4)
Zápis do registra prevádzkovateľov základnej služby oznámi úrad bezodkladne prevádzkovateľovi
základnej služby prostredníctvom jednotného informačného systému kybernetickej bezpečnosti
a doručí do elektronickej schránky podľa osobitného predpisu; 23b) osobitné rozhodnutie sa nevydáva.
(5)
Práva a povinnosti prevádzkovateľa základnej služby vznikajú prevádzkovateľovi základnej
služby dňom uvedeným v oznámení o zápise do registra prevádzkovateľov základnej služby,
najskôr však tridsiaty deň nasledujúci po dni tohto zápisu.
(6)
Ak dôjde k zmene zapísaných skutočností, úrad vykoná zmenu v registri prevádzkovateľov
základnej služby, a to aj bez návrhu. Prevádzkovateľ základnej služby je povinný každú
zmenu zapísaných skutočností, ktorá nie je referenčným údajom, oznámiť najneskôr do
14 dní prostredníctvom jednotného informačného systému kybernetickej bezpečnosti úradu.
Na vykonanie zmeny a povinnosť jej oznamovania sa primerane použijú odseky 3 až 5.
(7)
Úrad môže vymazať prevádzkovateľa základnej služby z registra prevádzkovateľov základnej
služby
a)
na základe odôvodnenej žiadosti prevádzkovateľa základnej služby, po predchádzajúcej
konzultácii s príslušným ústredným orgánom, najneskôr do 60 dní odo dňa doručenia
odôvodnenej žiadosti,
b)
na základe oznámenia ústredného orgánu, alebo
c)
z vlastnej iniciatívy v odôvodnených prípadoch.
(8)
Úrad o výmaze prevádzkovateľa základnej služby z registra prevádzkovateľov základnej
služby informuje prevádzkovateľa základnej služby.
§ 18
Kritická základná služba
(1)
Kritickou základnou službou je
a)
výkon pôsobnosti ústredného orgánu štátnej správy10) alebo iného štátneho orgánu s celoštátnou pôsobnosťou,
b)
činnosť v sektore podľa prílohy č. 1, okrem sektoru verejná správa, ak ju vykonáva
osoba, ktorá prekračuje limity veľkosti určené pre stredný podnik,23c)
c)
kvalifikovaná dôveryhodná služba,
d)
správa TLD,
e)
služba DNS,
f)
poskytovanie verejnej elektronickej komunikačnej siete alebo verejnej elektronickej
komunikačnej služby osobou, ktorá dosahuje najmenej podmienky veľkosti pre stredný
podnik,
g)
vykonávanie činnosti alebo existencia postavenia podľa § 17 ods. 1 písm. c) piateho
až deviateho bodu,
h)
poskytovanie základnej služby kritickým subjektom, alebo
i)
informačná činnosť a elektronické služby, vykonávané s použitím informačnej technológie
verejnej správy,23a) určených úradom.
(2)
Ak prevádzkovateľ základnej služby vykonáva aspoň jednu z kritických základných služieb,
je prevádzkovateľom kritickej základnej služby a túto skutočnosť je povinný oznámiť
úradu.
(3)
Skutočnosť, že prevádzkovateľ základnej služby prevádzkuje kritickú základnú službu,
ako aj každú zmenu v týchto skutočnostiach, zapíše úrad do registra prevádzkovateľov
základnej služby; na toto oznámenie a spôsob zápisu, ako aj na povinnosť oznamovania
zmien a na ich zápis sa primerane použije § 17 ods. 3.
Poznámky pod čiarou k odkazom 23 až 23c znejú:
„“.
23) Zákon č. 179/2011 Z. z. v znení neskorších predpisov.
23a) Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene
a doplnení niektorých zákonov v znení neskorších predpisov.
23b) Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej
moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) v znení neskorších
predpisov.
23c) Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmu mikro, malých
a stredných podnikov (Ú. v. EÚ L 124, 20. 5. 2003).“.
45.
V § 19 odsek 1 znie:
„(1)
Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa zápisu do registra
prevádzkovateľov základnej služby v závislosti od vykonanej analýzy rizík prijať,
dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných
opatrení podľa § 20 a vykonávať ich s cieľom zabezpečovania kybernetickej bezpečnosti
a odolnosti. Na účely plnenia povinnosti podľa prvej vety prevádzkovateľ základnej
služby prijíma, dodržiava a vykonáva sektorové bezpečnostné opatrenia, ak sú ustanovené;24) povinnosť prijímať opatrenia podľa § 20 ods. 4 tým nie je dotknutá. Osoba poskytujúca
niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2 plní bezpečnostné
opatrenia podľa osobitného predpisu.24a)“.
Poznámky pod čiarou k odkazom 24 a 24a znejú:
„24) Napríklad nariadenie (EÚ) 2022/2554, zákon č. 541/2004 Z. z. o mierovom využívaní
jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov v znení neskorších
predpisov, zákon č. 95/2019 Z. z. v znení neskorších predpisov, vyhláška Úradu jadrového
dozoru Slovenskej republiky č. 430/2011 Z. z. o požiadavkách na jadrovú bezpečnosť
v znení vyhlášky č. 103/2016 Z. z.
24a) Vykonávacie nariadenie Komisie (EÚ) 2024/2690 zo 17. októbra 2024, ktorým sa stanovujú
pravidlá uplatňovania smernice (EÚ) 2022/2555, pokiaľ ide o technické a metodické
požiadavky na opatrenia na riadenie kybernetických rizík a o bližšie určenie prípadov,
v ktorých sa incident považuje za významný, vo vzťahu k poskytovateľom služieb DNS,
správcom názvov TLD, poskytovateľom služieb cloud computingu, poskytovateľom služieb
dátového centra, poskytovateľom sietí na sprístupňovanie obsahu, poskytovateľom riadených
služieb, poskytovateľom riadených bezpečnostných služieb, poskytovateľom online trhov,
internetových vyhľadávačov a platforiem služieb sociálnej siete a poskytovateľom dôveryhodných
služieb (Ú. v. EÚ L, 2024/2690, 18. 10. 2024).“.
46.
V § 19 ods. 2 sa na konci pripájajú tieto vety: „Tretia strana je počas trvania zmluvného
vzťahu povinná vykonávať a realizovať bezpečnostné opatrenia v súlade s písomnou zmluvou
a týmto zákonom a je povinná podrobiť sa kontrole plnenia týchto opatrení zo strany
prevádzkovateľa základnej služby. Ak ide o zmluvu podľa prvej vety uzatvorenú s prevádzkovateľom
základnej služby, ktorý prevádzkuje kritickú základnú službu, kontrolu môže vykonávať
aj úrad; na tento účel má tretia strana postavenie prevádzkovateľa základnej služby.
Uzatvorenie zmluvy podľa prvej vety nesmie brániť v hospodárskej súťaži.“.
47.
V § 19 ods. 3 sa vypúšťajú slová „alebo poskytovateľom digitálnej služby“.
48.
V § 19 sa odsek 6 dopĺňa písmenami f) až i), ktoré znejú:
„f)
analyzovať závislosti svojich aktív, informačných systémov, využívaných produktov
IKT a služieb IKT tretích strán v dodávateľskom reťazci a poskytovaných služieb s
cieľom identifikovať možné dopady kybernetického bezpečnostného incidentu,
g)
prijať, dodržiavať a vykonávať bezpečnostné opatrenia s prihliadnutím na bezpečnostné
metodiky a politiky úradu, najnovšie bezpečnostné trendy, príklady dobrej praxe a
medzinárodné normy,
h)
vytvoriť a zaviesť účinný mechanizmus včasného informovania štatutárneho orgánu a
zodpovedných vedúcich zamestnancov o kybernetických hrozbách, zraniteľnostiach, kybernetických
bezpečnostných incidentoch, udalostiach odvrátených v poslednej chvíli, možných dopadoch
kybernetických bezpečnostných incidentov, výsledkoch analýzy rizík a stavu implementácie
ošetrenia rizík s cieľom dodržiavania tohto zákona,
i)
oznamovať úradu menovanie alebo zmenu štatutárneho orgánu, ak táto zmena nie je referenčným
údajom.“.
49.
V § 19 ods. 7 sa slová „v údajoch podľa § 17 ods. 4“ nahrádzajú slovami „v zapísaných
údajoch, okrem referenčných údajov“, na konci sa pripájajú tieto slová: „a ak prevádzkovateľ
základnej služby prevádzkuje kritickú základnú službu, je povinný hlásiť úradu aj
informáciu o uzatvorení zmluvy s treťou stranou o zabezpečení plnenia bezpečnostných
opatrení a notifikačných povinností, ktorá má významný vplyv pri zabezpečovaní kybernetickej
bezpečnosti a aj informáciu o jej ukončení“ a pripája sa táto veta: „Úrad vykoná zmenu
v registri prevádzkovateľov základnej služby, a to aj bez návrhu.“.
50.
V § 19 ods. 8 sa slová „kontinuity základnej služby“ nahrádzajú slovami „kontinuity
činnosti“.
51.
V § 20 odseky 1 až 3 znejú:
„(1)
Bezpečnostnými opatreniami na účely tohto zákona sú úlohy, procesy, role a technológie
v organizačnej, personálnej, fyzickej a technologickej oblasti, ktorých cieľom je
dosiahnutie, zaručenie a udržanie kybernetickej bezpečnosti počas životného cyklu
sietí a informačných systémov a operačných technológií. Bezpečnostné opatrenia sú
realizované na základe vykonanej analýzy rizík a s prihliadnutím na bezpečnostné metodiky
a politiky úradu, najnovšie bezpečnostné trendy a medzinárodné normy a v súlade s
bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti a prijímajú sa s cieľom
a)
identifikovať zraniteľnosti, kybernetické hrozby a riziká,
b)
chrániť preventívne informačné aktíva pred kybernetickou hrozbou a zabrániť vzniku
kybernetického bezpečnostného incidentu,
c)
detegovať kybernetické bezpečnostné incidenty,
d)
reagovať na identifikované zraniteľnosti a kybernetické bezpečnostné incidenty a
minimalizovať ich vplyv na siete a informačné systémy a
e)
obnoviť siete a informačné systémy, napraviť negatívne dopady po vzniku kybernetického
bezpečnostného incidentu a uviesť poskytované služby do stavu plynulého a nerušeného
poskytovania.
(2)
Bezpečnostné opatrenia sa prijímajú aspoň pre
a)
organizáciu a riadenie informačnej bezpečnosti a kybernetickej bezpečnosti,
b)
správu zraniteľností a kybernetických hrozieb,
c)
správu aktív a riadenie kybernetických hrozieb a rizík,
d)
riadenie udalostí a kybernetických bezpečnostných incidentov,
e)
riadenie kontinuity činností, zálohovanie, obnovu systémov po havárii a krízové riadenie,
f)
bezpečnosť pri nadobúdaní, vývoji a údržbe siete, informačných systémov, aplikácií
a konfigurácií,
g)
postupy posudzovania účinnosti opatrení, riadenie súladu a kontrolné činnosti,
h)
kryptografické opatrenia a zásady používania kryptografie,
i)
bezpečnosť a spôsobilosti ľudských zdrojov,
j)
správu identít a prístupov,
k)
bezpečnosť pri prevádzke sietí a informačných systémov,
l)
ochranu proti škodlivému kódu a nežiaducemu obsahu,
m)
systémovú bezpečnosť, sieťovú bezpečnosť a komunikačnú bezpečnosť,
n)
monitorovanie, zaznamenávanie a hlásenie udalostí,
o)
fyzickú bezpečnosť, bezpečnosť prostredia a správu koncových zariadení,
p)
ochranu záznamov, súkromia a označovanie informácií,
q)
dodávateľský reťazec,
r)
obstarávanie a využívanie certifikovaných produktov IKT, služieb IKT a procesov IKT.
(3)
Bezpečnostné opatrenia sa prijímajú a realizujú v rozsahu a spôsobom podľa § 32 ods.
1 písm. b) alebo osobitného predpisu24), ak je vydaný, a na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť
aktuálna a musí zodpovedať reálnemu stavu.“.
52.
V § 20 sa odsek 4 dopĺňa písmenami g) až i), ktoré znejú:
„g)
určenie a pridelenie úloh, rolí a zodpovednosti podľa podmienok prevádzkovateľa základnej
služby a zabezpečenie primeraného vzdelávania a preškoľovania pre všetky zavedené
roly,
h)
určenie konkrétnej osoby alebo konkrétnych osôb zodpovedných za schvaľovanie bezpečnostných
opatrení, dohľad, kontrolu a audit, zabezpečenie primeranosti zdrojov na riadenie
kybernetickej bezpečnosti a za vzdelávanie,
i)
vzdelávanie a budovanie bezpečnostného povedomia v oblasti kybernetickej bezpečnosti.“.
53.
V § 20 sa vypúšťa odsek 6.
Doterajší odsek 7 sa označuje ako odsek 6.
54.
§ 21 a 22 vrátane nadpisu nad § 21 znejú:
„Osobitné povinnosti
§ 21
(1)
Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností
podľa § 2 ods. 2, alebo o osobu, ktorá je treťou stranou, ktorá nemá trvalý pobyt,
miesto podnikania alebo sídlo na území členského štátu Európskej únie a poskytuje
tieto služby alebo vykonáva tieto činnosti na území Slovenskej republiky, je povinná
mať počas celej doby poskytovania týchto služieb alebo vykonávania týchto činností
určeného zástupcu s trvalým pobytom, miestom podnikania alebo sídlom na území Slovenskej
republiky alebo na území iného členského štátu Európskej únie, v ktorom tiež poskytuje
tieto služby alebo vykonáva tieto činnosti.
(2)
Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností
podľa § 2 ods. 2, na ktorú sa vzťahuje pôsobnosť tohto zákona a ktorej siete a informačné
systémy sa nachádzajú v inom členskom štáte Európskej únie, úrad pri výkone svojej
pôsobnosti podľa tohto zákona spolupracuje s príslušným orgánom členského štátu Európskej
únie.
(3)
Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností
podľa § 2 ods. 2, na ktorú sa vzťahuje pôsobnosť tohto zákona, je povinná písomne
oznámiť na výzvu úradu prostredníctvom jednotného informačného systému kybernetickej
bezpečnosti každú zmenu, bezodkladne najneskôr do troch mesiacov odo dňa zmeny, niektorého
z týchto údajov
a)
názov,
b)
zaradenie podľa prílohy č. 1 alebo prílohy č. 2,
c)
adresu prevádzkarne, kde sa vykonáva niektorá z činností podľa § 2 ods. 2 a adresu
každej prevádzkarne zriadenej na základe zákona na území členského štátu Európskej
únie,
d)
adresu sídla, trvalého pobytu alebo miesta podnikania zástupcu podľa odseku 1, ak
má povinnosť ho určiť,
e)
kontaktné údaje najmenej v rozsahu elektronickej adresy a telefónneho čísla,
f)
kontaktné údaje zástupcu, ak má povinnosť ho určiť, najmenej v rozsahu elektronickej
adresy a telefónneho čísla,
g)
členský štát Európskej únie, v ktorom poskytuje službu alebo vykonáva činnosť,
h)
rozsah IP adries, ktoré používa.
(4)
Úrad oznamuje každú oznámenú zmenu údajov podľa odseku 3 bezodkladne Agentúre Európskej
únie pre kybernetickú bezpečnosť.
§ 22
(1)
Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény sú povinní pri
registrácii domény evidovať a viesť osobitnú evidenciu registračných údajov názvu
domény.
(2)
Evidencia registračných údajov názvu domény obsahuje tieto údaje:
a)
názov domény,
b)
dátum registrácie názvu domény,
c)
meno a priezvisko alebo názov držiteľa domény,
d)
kontaktné údaje držiteľa domény najmenej v rozsahu elektronickej adresy a telefónneho
čísla,
e)
kontaktné údaje žiadateľa o registráciu názvu domény najmenej v rozsahu elektronickej
adresy a telefónneho čísla, ak ide o inú osobu, ako je držiteľ domény.
(3)
Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény, sú povinní
prijať vnútorné predpisy a zaviesť osobitné postupy na zabezpečenie overenia údajov
predkladaných pri registrácii názvu domény, aspoň v rozsahu overenia údajov podľa
odseku 2 písm. c), s cieľom zabezpečiť súlad údajov podľa odseku 2 so skutočnosťou.
Na tieto účely sú osoby podľa prvej vety oprávnené aj bez súhlasu dotknutej osoby
získavať, zaznamenávať a kopírovať údaje z dokladu totožnosti.
(4)
Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény, sú povinní
bezodkladne po registrácii názvu domény bezodplatne zverejniť údaje predkladané pri
registrácii názvu domény, ktoré nie sú osobnými údajmi.24b)
(5)
Úrad a ústredný orgán majú na účely výkonu štátnej správy podľa tohto zákona prístup
k údajom predkladaným pri registrácii názvu domény. Správca TLD a osoba, ktorá poskytuje
službu registrácie názvu domény, sú povinní údaje podľa prvej vety úradu alebo ústrednému
orgánu na požiadanie bezodplatne poskytnúť najneskôr do 72 hodín od doručenia žiadosti.
(6)
Ak osobitný predpis ustanovuje orgánu verejnej moci alebo inej osobe oprávnenie na
prístup k údajom predkladaným pri registrácii názvu domény, správca TLD a osoba, ktorá
poskytuje službu registrácie názvu domény, sú povinní takéto údaje poskytnúť; na poskytnutie
údajov sa použije postup podľa odseku 5 druhej vety.
(7)
Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény, sú povinní
vnútorné predpisy a informáciu o postupoch pri poskytovaní údajov podľa odsekov 5
a 6 bezodplatne zverejniť na svojom webovom sídle.
(8)
Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény, sú povinní
si navzájom poskytovať údaje potrebné na registráciu názvu domény tak, aby pri registrácii
názvu domény nebol žiadateľ o registráciu názvu domény povinný predkladať také údaje,
ktorými niektorá z týchto osôb podľa zákona má disponovať.“.
Poznámka pod čiarou k odkazu 24b znie:
„24b) Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých
zákonov v znení neskorších predpisov.“.
55.
§ 23 sa vrátane nadpisu vypúšťa.
56.
§ 24 vrátane nadpisu znie:
㤠24
Hlásenia
(1)
Prevádzkovateľ základnej služby je povinný hlásiť každý závažný kybernetický bezpečnostný
incident.
(2)
Za závažný kybernetický bezpečnostný incident sa považuje rozsiahly kybernetický
bezpečnostný incident a kybernetický bezpečnostný incident, ktorý
a)
spôsobil alebo môže spôsobiť závažné narušenie fungovania prevádzkovateľa základnej
služby, alebo škodu, inú ujmu na majetku alebo ušlý zisk vo veľkom rozsahu,9)
b)
zasiahol alebo môže zasiahnuť iné osoby tým, že im spôsobí škodu, inú ujmu alebo
ušlý zisk v značnom rozsahu.9)
(3)
Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom
jednotného informačného systému kybernetickej bezpečnosti
a)
bez zbytočného odkladu, avšak najneskôr do 24 hodín od jeho zistenia sa hlási včasné
varovanie, v ktorom sa uvádza najmä, či závažný kybernetický bezpečnostný incident
mohol byť spôsobený protiprávnym konaním, alebo či môže mať cezhraničný vplyv, a ak
ide o prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodných služieb,
uvádza sa tiež vplyv na poskytovanie dôveryhodných služieb,
b)
bez zbytočného odkladu, avšak najneskôr do 72 hodín od jeho zistenia sa hlási oznámenie
o závažnom kybernetickom bezpečnostnom incidente, v ktorom sa aktualizujú a dopĺňajú
informácie z včasného varovania, najmä sa uvádza prvotné posúdenie kybernetického
bezpečnostného incidentu, jeho závažnosti a následkov ak ide o prevádzkovateľa základnej
služby, ktorý je poskytovateľom dôveryhodných služieb bez zbytočného odkladu, avšak
najneskôr do 24 hodín od jeho zistenia,
c)
na žiadosť toho, kto prevádzkuje jednotku CSIRT, sa v určenej lehote hlásia aktualizované
alebo iné vyžiadané informácie o priebehu závažného kybernetického bezpečnostného
incidentu,
d)
najneskôr jeden mesiac po nahlásení oznámenia podľa písmena b) sa hlási záverečná
správa, ktorá obsahuje najmä podrobný opis závažného kybernetického bezpečnostného
incidentu vrátane jeho závažnosti a následkov, druh kybernetickej hrozby alebo hlavnú
príčinu, ktorá pravdepodobne kybernetický bezpečnostný incident spôsobila, zavedené
a prebiehajúce opatrenia a cezhraničný vplyv, ak existuje,
e)
ak ide o závažný kybernetický bezpečnostný incident s cezhraničným vplyvom, ktorý
v lehote podľa písmena d) stále trvá, hlási sa do 30 dní odo dňa obnovy riadnej prevádzky
siete a informačného systému aktualizovaná záverečná správa v rozsahu podľa písmena
d); ak v čase predkladania záverečnej správy podľa písmena d) závažný kybernetický
bezpečnostný incident ešte prebieha, hlásia sa ďalšie aktualizované alebo iné vyžiadané
informácie a aktualizovaná záverečná správa do 30 dní odo dňa, keď sa závažný kybernetický
bezpečnostný incident vyriešil.
(4)
Na hlásenie závažných kybernetických bezpečnostných incidentov alebo na zaistenie
kybernetickej bezpečnosti môže úrad namiesto postupu podľa § 8 ods. 6 uzatvoriť písomnú
zmluvu o odlišnom spôsobe a forme hlásenia kybernetických bezpečnostných incidentov
s prevádzkovateľom základnej služby, pri ktorom je to odôvodnené jeho postavením,
alebo rozsahom alebo obsahom činnosti.
(5)
Prevádzkovateľ základnej služby prostredníctvom jednotného informačného systému kybernetickej
bezpečnosti hlási aj
a)
významnú kybernetickú hrozbu, o ktorej sa dozvie,
b)
udalosť odvrátenú v poslednej chvíli, ktorá mohla spôsobiť závažný kybernetický bezpečnostný
incident,
c)
zraniteľnosť ním prevádzkovaných verejne dostupných sietí a informačných systémov,
ktorá podľa dostupných informácií a technických znalostí môže byť zneužitá na spôsobenie
závažného kybernetického bezpečnostného incidentu a prevádzkovateľ základnej služby
nemohol v primeranom čase prijať opatrenia na jej odstránenie alebo zníženie rizika.
(6)
Prevádzkovateľ základnej služby a iná osoba môžu hlásiť kybernetický bezpečnostný
incident, kybernetickú hrozbu alebo udalosť odvrátenú v poslednej chvíli aj dobrovoľne,
nad rozsah povinnosti podľa odseku 1; postup podľa odseku 3 sa použije primerane.
Úrad spracováva a analyzuje dobrovoľné hlásenia podľa prvej vety v rozsahu, v akom
to úradu umožňujú technické podmienky a kapacity tak, aby nedošlo k neprimeranému
zaťažovaniu subjektov a obmedzeniu medzinárodnej spolupráce. Osobe, ktorá nie je prevádzkovateľom
základnej služby, dobrovoľné hlásenia podľa prvej vety nezakladajú žiadne práva ani
povinnosti podľa tohto zákona.
(7)
Hlásením podľa odseku 1 alebo odseku 5 nie sú dotknuté povinnosti prevádzkovateľa
základnej služby prijať, dodržiavať a vykonávať bezpečnostné opatrenia. Hlásením podľa
odseku 5 nie je dotknutá povinnosť podľa odseku 1.
(8)
Prevádzkovateľ základnej služby, na ktorého sa vzťahuje nariadenie Európskeho parlamentu
a Rady (EÚ) 2022/2554 zo 14. decembra 2022 o digitálnej prevádzkovej odolnosti finančného
sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014,
(EÚ) č. 909/2014 a (EÚ) 2016/1011 (ďalej len „nariadenie (EÚ) 2022/2554“), plní povinnosť
podľa odseku 1 nahlasovaním závažných incidentov súvisiacich s IKT prostredníctvom
príslušného orgánu podľa nariadenia (EÚ) 2022/2554 úradu v rozsahu, spôsobom a v lehotách
ustanovených v nariadení (EÚ) 2022/2554.“.
57.
V § 24a ods. 1 sa za slovo „dôležitosť“ vkladá slovo „prevádzkovateľa“, slová „§
24 ods. 6“ sa nahrádzajú slovami „§ 24 ods. 4“ a za slová „výstrahy, varovania“ sa
vkladá čiarka a slová „stav kybernetickej krízy“.
58.
V § 24a ods. 4 sa nad slovom „predpisu“ odkaz „28a)“ nahrádza odkazom „24c)“.
Poznámka pod čiarou k odkazu 24c znie:
„24c) Zákon č. 166/2003 Z. z. o ochrane súkromia pred neoprávneným použitím informačno-technických
prostriedkov a o zmene a doplnení niektorých zákonov (zákon o ochrane pred odpočúvaním)
v znení neskorších predpisov.“.
59.
§ 25 a 26 sa vrátane nadpisov vypúšťajú.
60.
Nadpis § 27 znie: „Reakcie na kybernetické bezpečnostné incidenty a kybernetické
hrozby a riešenie kybernetického bezpečnostného incidentu“.
61.
V § 27 ods. 1 úvodnej vete sa slovo „jeho“ nahrádza slovami „významnej kybernetickej“
a v písmene a) sa slová „výstrahu a varovanie pred závažným kybernetickým bezpečnostným
incidentom“ nahrádzajú slovami „výstrahu, varovanie alebo stav kybernetickej krízy“.
62.
V § 27 ods. 3 sa slová „a poskytovateľovi digitálnej služby“ nahrádzajú slovami „alebo
tretej strane, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti“.
63.
V § 27 ods. 5 sa slová „poskytovateľovi digitálnej služby“ vo všetkých tvaroch nahrádzajú
slovami „tretej strane, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti“
v príslušnom tvare.
64.
V § 27 ods. 6 sa slová „poskytovateľ digitálnej služby je povinný“ nahrádzajú slovami
„tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti,
sú povinní“.
65.
V § 27 odsek 10 znie:
„(10)
Z dôvodu neodkladnosti a naliehavosti riešenia závažného kybernetického bezpečnostného
incidentu, detegovania takejto hrozby alebo možného kybernetického terorizmu úrad
na účely kybernetickej obrany28) informuje Vojenské spravodajstvo, ktoré postupuje podľa osobitných predpisov.28a) Prevádzkovateľ základnej služby, ktorý hlási tento kybernetický bezpečnostný incident,
je na účely zabezpečenia kybernetickej obrany povinný poskytnúť Vojenskému spravodajstvu
informácie v potrebnom rozsahu. O postupe podľa prvej vety úrad informuje predsedu
Bezpečnostnej rady Slovenskej republiky.“.
Poznámka pod čiarou k odkazu 28a znie:
„28a) Zákon č. 319/2002 Z. z. v znení neskorších predpisov.
§ 7 zákona č. 500/2022 Z. z.“.
§ 7 zákona č. 500/2022 Z. z.“.
66.
§ 27 sa dopĺňa odsekmi 11 a 12, ktoré znejú:
„(11)
Úrad vyhlási stav kybernetickej krízy v nevyhnutnom rozsahu a na nevyhnutný čas.
O zámere a dôvodoch vyhlásenia stavu kybernetickej krízy ako aj o postupoch jej riešenia
úrad informuje výbor Bezpečnostnej rady Slovenskej republiky pre kybernetickú bezpečnosť.28aa) Pred formálnym vyhlásením stavu kybernetickej krízy úrad včas upovedomí Vojenské
spravodajstvo a Slovenskú informačnú službu o tejto skutočnosti, aby tým nedošlo k
mareniu plnenia úloh podľa osobitných predpisov28ab) a informuje príslušný ústredný orgán a toho, kto prevádzkuje príslušnú jednotku
CSIRT. Úrad odvolá stav kybernetickej krízy, keď pominú dôvody, pre ktoré bol stav
kybernetickej krízy vyhlásený. Vyhlásenie a odvolanie stavu kybernetickej krízy sa
vykonáva prostredníctvom masovokomunikačných prostriedkov. Opatrenia a činnosti počas
stavu kybernetickej krízy definuje Národný plán reakcie na rozsiahle kybernetické
bezpečnostné incidenty a krízy.
(12)
Úrad na zabezpečenie kybernetickej bezpečnosti pri riešení závažného kybernetického
bezpečnostného incidentu a kybernetickej krízy alebo detegovania takejto hrozby môže
požiadať o súčinnosť Vojenské spravodajstvo. Vojenské spravodajstvo poskytne úradu
súčinnosť podľa osobitného predpisu.28ac)“.
Poznámky pod čiarou k odkazom 28aa až 28ac znejú:
„28aa) § 10b zákona č. 110/2004 Z. z. o fungovaní Bezpečnostnej rady Slovenskej republiky
v čase mieru v znení neskorších predpisov.
28ab) Napríklad zákon Národnej rady Slovenskej republiky č. 46/1993 Z. z. v znení neskorších
predpisov, zákon č. 500/2022 Z. z.
28ac) Zákon č. 500/2022 Z. z.“.
67.
V § 27a ods. 1 úvodnej vete sa vypúšťa slovo „základnej“.
68.
V § 27a sa vypúšťa odsek 4.
Doterajšie odseky 5 až 8 sa označujú ako odseky 4 až 7.
69.
V § 27a ods. 4 a 6 sa slová „poskytovanie základnej služby“ nahrádzajú slovami „poskytovanie
služby“.
70.
§ 28 vrátane nadpisu sa vypúšťa.
71.
V § 29 ods. 1 sa slová „systémy základnej služby“ nahrádzajú slovami „systémy služby“,
slová „podporujú základné služby“ sa nahrádzajú slovami „podporujú služby“ a na konci
sa pripája táto veta: „Prevádzkovateľ základnej služby, ktorý nie je prevádzkovateľom
kritickej základnej služby, môže zabezpečiť plnenie povinnosti vykonať audit kybernetickej
bezpečnosti v lehote podľa predchádzajúcej vety preverením účinnosti prijatých bezpečnostných
opatrení a plnenia požiadaviek ustanovených týmto zákonom samohodnotením prostredníctvom
jednotného informačného systému kybernetickej bezpečnosti spôsobom podľa odseku 8.“.
72.
V § 29 ods. 2 sa vypúšťajú slová „v závislosti od klasifikácie informácií a kategorizácie
sietí a informačných systémov“.
73.
V § 29 ods. 3 sa slová „osoba akreditovaná“ nahrádzajú slovami „subjekt verejnej
správy podľa osobitného predpisu31aa) akreditovaný“.
Poznámka pod čiarou k odkazu 31aa znie:
„31aa) § 3 ods. 1 zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a
o zmene a doplnení niektorých zákonov.“.
74.
§ 29 sa dopĺňa odsekmi 8 a 9, ktoré znejú:
„(8)
Prevádzkovateľ základnej služby, ktorý nie je prevádzkovateľom kritickej základnej
služby, môže v periodicite ustanovenej podľa § 32 ods. 1 písm. d) zabezpečiť plnenie
povinnosti vykonať audit kybernetickej bezpečnosti vykonaním samohodnotenia prostredníctvom
jednotného informačného systému kybernetickej bezpečnosti. Samohodnotenie vykonáva
manažér kybernetickej bezpečnosti. Takýto prevádzkovateľ základnej služby je povinný
podrobiť sa auditu kybernetickej bezpečnosti do piatich rokov odo dňa zaradenia do
registra prevádzkovateľov základnej služby a následne podľa periodicity ustanovenej
podľa § 32 ods. 1 písm. d). V čase povinnosti vykonať audit kybernetickej bezpečnosti
sa samohodnotenie nevykonáva.
(9)
Prevádzkovateľ základnej služby, na ktorého sa vzťahuje nariadenie (EÚ) 2022/2554,
vykonáva preverenie účinnosti prijatých bezpečnostných opatrení podľa nariadenia (EÚ)
2022/2554, osobou podľa odseku 3.“.
75.
Za § 29 sa vkladajú § 29a až 29n, ktoré vrátane nadpisov znejú:
㤠29a
Dohľad
(1)
Úrad vykonáva dohľad
a)
vybavovaním sťažností,
b)
kontrolou,
c)
ukladaním opatrení na zastavenie porušovania povinností a nápravu nezákonného stavu
(ďalej len „opatrenia na nápravu“),
d)
schvaľovaním dohody o náprave,
e)
prejednávaním správnych deliktov a ukladaním poriadkových pokút a pokút.
(2)
Úrad vykonáva dohľad vo vzťahu k prevádzkovateľovi základnej služby, ktorý má trvalý
pobyt, miesto podnikania alebo sídlo na území Slovenskej republiky, alebo osobe podľa
§ 2 ods. 2.
(3)
Úrad pri výkone dohľadu postupuje tak, aby
a)
zasahoval do práv a právom chránených záujmov osôb len v rozsahu nevyhnutnom na dosiahnutie
cieľa,
b)
volil prostriedky primerane vo vzťahu k následkom, ktoré zvolený prostriedok spôsobí
na majetku, právach a právom chránených záujmoch iných osôb,
c)
zohľadňoval spôsob, trvanie a závažnosť porušenia povinností.
(4)
Predmetom dohľadu nie je rozhodovanie sporov z právnych vzťahov medzi dohliadanými
subjektmi a ich zamestnancami, inými osobami vykonávajúcimi pre nich činnosť, ich
klientmi a inými odberateľmi služby, na ktorých prejednávanie a rozhodovanie sú príslušné
súdy alebo iné orgány podľa osobitných predpisov.
(5)
Výkonom dohľadu nie sú dotknuté povinnosti prevádzkovateľa základnej služby a oprávnenia
úradu a iných orgánov v oblasti hlásenia podľa § 24 a riešenia kybernetických bezpečnostných
incidentov, kybernetických hrozieb, udalostí odvrátených v poslednej chvíli alebo
zraniteľností.
(6)
Dohľad je neverejný v rozsahu, v akom je to potrebné na zachovanie kybernetickej
bezpečnosti, predchádzanie kybernetickým bezpečnostným incidentom alebo ich pokračovaniu.
(7)
Úrad zabezpečuje a koordinuje poskytnutie súčinnosti a spoluprácu s orgánmi s právomocou
obdobnou právomoci úradu podľa tohto zákona alebo jednotkami CSIRT iného členského
štátu Európskej únie na účely výkonu dohľadu.
§ 29b
Vybavovanie sťažností
(1)
Úrad vybavuje sťažnosti31d) týkajúce sa porušenia povinností prevádzkovateľa základnej služby, ak ich podá odberateľ
služby alebo osoba, ktorej hlavným predmetom činnosti je ochrana a presadzovanie práv
a právom chránených záujmov odberateľov služby alebo oblasť kybernetickej bezpečnosti.
(2)
Ak sťažnosť podľa odseku 1 smeruje proti osobe, na ktorú sa nevzťahuje tento zákon
a ktorá spadá do pôsobnosti iného členského štátu Európskej únie, úrad sťažnosť postúpi
príslušnému orgánu iného členského štátu Európskej únie.
(3)
Na vybavovanie sťažností podľa odseku 1 sa vzťahuje osobitný predpis.31d)
Kontrola
§ 29c
(1)
Úrad je oprávnený vykonávať kontrolu plnenia povinností prevádzkovateľa základnej
služby podľa tohto zákona alebo povinností uložených na základe tohto zákona.
(2)
Kontrolu možno vykonávať aj formou kontroly na mieste.
(3)
Kontrolu možno vykonávať aj na konsolidovanom základe nad skupinami osôb alebo účelových
združení majetku, ktorých súčasťou je prevádzkovateľ základnej služby, ak tieto osoby
sú prepojené a majú vplyv pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľa
základnej služby alebo sa podieľajú na jeho činnosti.
(4)
Kontrolou sa
a)
zisťuje stav kontrolovaných skutočností a ich súlad s povinnosťami podľa tohto zákona
alebo s povinnosťami uloženými na základe tohto zákona,
b)
zisťujú príčiny a škodlivé následky nedostatkov zistených kontrolou,
c)
zisťuje splnenie uložených alebo prijatých opatrení na nápravu (ďalej len „splnenie
prijatých opatrení“).
§ 29d
(1)
Kontrola sa vykonáva na základe písomného poverenia riaditeľa úradu alebo ním splnomocneného
zástupcu (ďalej len „poverenie na vykonanie kontroly“).
(2)
Poverenie na vykonanie kontroly obsahuje najmä
a)
označenie orgánu kontroly,
b)
označenie kontrolovaného subjektu,
c)
mená a priezviská zamestnancov úradu alebo príslušníkov úradu, prípadne aj prizvanej
osoby poverených vykonaním kontroly,
d)
predmet kontroly,
e)
podpis riaditeľa úradu.
(3)
Ak počas výkonu kontroly nastanú skutočnosti, v dôsledku ktorých je potrebné zmeniť
alebo doplniť poverenie na vykonanie kontroly, vypracuje sa k povereniu na vykonanie
kontroly dodatok. Dodatok k povereniu na vykonanie kontroly tvorí neoddeliteľnú súčasť
poverenia na vykonanie kontroly.
(4)
Kontrola je začatá vykonaním prvého úkonu úradu voči prevádzkovateľovi základnej
služby.
(5)
Úrad je v súvislosti s vykonávaním kontroly oprávnený
a)
od prevádzkovateľa základnej služby alebo od osoby, ktorá má informácie, doklady
alebo iné podklady, ktoré sú potrebné na výkon kontroly (ďalej len „tretia osoba“)
vyžadovať a odoberať v určenej lehote a rozsahu originály alebo úradne osvedčené kópie
dokladov, písomností, záznamy dát na pamäťových médiách prostriedkov výpočtovej techniky
alebo prenášaných v sieti a ich výpisy a výstupy, vyjadrenia, informácie, dokumenty
a iné podklady súvisiace s kontrolou, vyhotovovať si ich kópie a nakladať s nimi,
b)
vyžadovať od prevádzkovateľa základnej služby alebo od tretej osoby súčinnosť v rozsahu
oprávnení potrebnú na výkon oprávnení úradu,
c)
vyžadovať od prevádzkovateľa základnej služby predloženie písomného zoznamu opatrení
prijatých na nápravu nedostatkov zistených kontrolou a na odstránenie príčin ich vzniku
(ďalej len „písomný zoznam prijatých opatrení“) v lehote určenej úradom,
d)
v odôvodnených prípadoch vyžadovať prepracovanie písomného zoznamu prijatých opatrení
a predloženie prepracovaného písomného zoznamu prijatých opatrení v lehote určenej
úradom, ak úrad vzhľadom na závažnosť nedostatkov odôvodnene predpokladá, že prijaté
opatrenia nie sú účinné,
e)
vyžadovať od prevádzkovateľa základnej služby splnenie prijatých opatrení v lehote
určenej úradom a vyžadovať predloženie dokumentácie preukazujúcej splnenie prijatých
opatrení po uplynutí tejto lehoty,
f)
overiť splnenie prijatých opatrení.
(6)
Úrad je v súvislosti s vykonávaním kontroly oprávnený v nevyhnutnom rozsahu vstupovať
do objektu, zariadenia, prevádzky, dopravného prostriedku, na pozemok prevádzkovateľa
základnej služby alebo tretej osoby alebo vstupovať do obydlia, ak sa používa aj na
podnikanie alebo na vykonávanie inej hospodárskej činnosti, ktoré súvisia s poskytovaním
služby prevádzkovateľa základnej služby.
(7)
Úrad je v súvislosti s vykonávaním kontroly povinný
a)
vopred, najneskôr pri vstupe podľa odseku 6 oznámiť prevádzkovateľovi základnej služby
alebo tretej osobe termín začatia a cieľ výkonu kontroly, preukázať sa poverením na
vykonanie kontroly a umožniť na žiadosť prevádzkovateľa základnej služby alebo tretej
osoby nahliadnuť do preukazu totožnosti alebo v prípade príslušníka úradu do služobného
preukazu,
b)
potvrdiť prevádzkovateľovi základnej služby alebo tretej osobe odobratie poskytnutých
originálov alebo úradne osvedčených kópií dokladov, písomností, záznamov dát na pamäťových
médiách prostriedkov výpočtovej techniky a ich výpisov a výstupov, vyjadrení, informácií,
dokumentov a iných podkladov súvisiacich s kontrolou a zabezpečiť ich riadnu ochranu
pred stratou, zničením, poškodením a zneužitím,
c)
vrátiť veci podľa písmena b) bezodkladne po splnení účelu, na ktorý boli odobraté
tomu, od koho sa odobrali, ak nie sú potrebné na konanie podľa písmena g),
d)
oboznámiť prevádzkovateľa základnej služby s návrhom čiastkovej správy alebo s návrhom
správy jej doručením, ak boli zistené nedostatky a poučiť prevádzkovateľa základnej
služby o možnosti podať písomné námietky k zisteným nedostatkom, lehote na predloženie
písomného zoznamu prijatých opatrení a lehote na splnenie prijatých opatrení uvedených
v návrhu čiastkovej správy alebo v návrhu správy v primeranej lehote určenej úradom
odo dňa doručenia návrhu čiastkovej správy alebo návrhu správy,
e)
preveriť opodstatnenosť námietok podaných podľa písmena d) a zohľadniť opodstatnené
námietky v čiastkovej správe alebo v správe a neopodstatnenosť námietok spolu s odôvodnením
ich neopodstatnenosti oznámiť prevádzkovateľovi základnej služby v čiastkovej správe
alebo v správe,
f)
zaslať čiastkovú správu alebo správu prevádzkovateľovi základnej služby,
g)
oznámiť podozrenie zo spáchania trestného činu, priestupku alebo iného správneho
deliktu orgánom príslušným podľa osobitných predpisov, pričom tieto podozrenia sa
v prípadoch hodných osobitného zreteľa v návrhu čiastkovej správy, návrhu správy,
čiastkovej správe alebo v správe neuvádzajú.
§ 29e
(1)
Prevádzkovateľ základnej služby je pri vykonávaní kontroly oprávnený
a)
vyžadovať potvrdenie o odobratí poskytnutých originálov alebo úradne osvedčených
kópií dokladov, písomností, záznamov dát na pamäťových médiách prostriedkov výpočtovej
techniky a ich výpisov a výstupov, vyjadrení, informácií, dokumentov a iných podkladov
súvisiacich s kontrolou,
b)
podať písomné námietky k zisteným nedostatkom, lehote na predloženie písomného zoznamu
prijatých opatrení a lehote na splnenie prijatých opatrení, uvedených v návrhu čiastkovej
správy alebo v návrhu správy,
c)
vyžadovať od úradu zaslanie návrhu čiastkovej správy alebo návrhu správy,
d)
vyžadovať od úradu alebo od prizvanej osoby preukázanie sa poverením na vykonanie
kontroly a vyžadovať nahliadnutie do preukazu totožnosti alebo v prípade príslušníka
úradu do služobného preukazu, ak sa vykonáva kontrola na mieste.
(2)
Prevádzkovateľ základnej služby je v súvislosti s vykonávaním kontroly povinný
a)
predložiť úradu alebo prizvanej osobe na vyžiadanie výsledky kontrol alebo auditov
vykonaných inými orgánmi, ktoré súvisia s kontrolou vykonávanou úradom,
b)
predložiť v lehote a rozsahu určených úradom alebo prizvanou osobou vyžiadané originály
alebo úradne osvedčené kópie dokladov, písomností, záznamov dát na pamäťových médiách
prostriedkov výpočtovej techniky alebo prenášaných sieťou a ich výpisy a výstupy,
vyjadrenia, informácie, dokumenty a iné podklady súvisiace s kontrolou, vydať na vyžiadanie
písomné potvrdenie o ich úplnosti a umožniť úradu alebo prizvanej osobe vyhotovovať
si z nich kópie,
c)
poskytnúť súčinnosť úradu alebo prizvanej osobe,
d)
prijať opatrenia na nápravu nedostatkov zistených kontrolou a na odstránenie príčin
ich vzniku uvedených v čiastkovej správe alebo v správe a predložiť úradu písomný
zoznam prijatých opatrení v lehote určenej úradom,
e)
predložiť a prepracovať v lehote určenej úradom písomný zoznam prijatých opatrení,
ak úrad vyžadoval jeho prepracovanie a predloženie,
f)
splniť prijaté opatrenia v primeranej lehote určenej úradom,
g)
predložiť na výzvu úradu dokumentáciu preukazujúcu splnenie prijatých opatrení,
h)
vytvoriť podmienky na vykonanie kontroly na mieste a zdržať sa konania, ktoré by
mohlo ohroziť jej začatie a riadny priebeh,
i)
oboznámiť pri začatí kontroly na mieste úrad alebo prizvanú osobu s bezpečnostnými
predpismi, ktoré sa vzťahujú na priestory, v ktorých sa vykonáva kontrola na mieste,
j)
umožniť úradu alebo prizvanej osobe vstup do objektu, zariadenia, prevádzky, dopravného
prostriedku, na pozemok alebo vstup do obydlia, ak sa používa aj na podnikanie alebo
na vykonávanie inej hospodárskej činnosti, ktoré súvisia s poskytovaním služby prevádzkovateľa
základnej služby.
(3)
Oprávnenia podľa odseku 1 písm. a) a d) patria aj tretej osobe. Povinnosti podľa
odseku 2 písm. a) až c) a h) až j) má aj tretia osoba.
(4)
Náklady, ktoré vznikli prevádzkovateľovi základnej služby alebo tretej osobe v súvislosti
s vykonávaním kontroly uhrádza prevádzkovateľ základnej služby alebo tretia osoba.
§ 29f
(1)
O zistených nedostatkoch z kontroly úrad vypracuje návrh čiastkovej správy alebo
návrh správy a čiastkovú správu alebo správu. Ak neboli zistené nedostatky, úrad vypracuje
len čiastkovú správu alebo správu.
(2)
Čiastková správa sa môže vypracovať, ak
a)
je potrebné alebo účelné skončiť kontrolu v časti kontrolovaných skutočností,
b)
je potrebné bez zbytočného odkladu prijať opatrenia na nápravu nedostatkov zistených
kontrolou a odstrániť príčiny ich vzniku alebo
c)
sa kontrola vykonáva u viacerých prevádzkovateľov základných služieb.
(3)
Návrh správy a návrh čiastkovej správy obsahuje najmä
a)
označenie úradu,
b)
mená, priezviská a podpisy zamestnancov úradu alebo príslušníkov úradu a prizvanej
osoby, ktorí vykonali kontrolu; podpis týchto osôb sa v prípadoch hodných osobitného
zreteľa nevyžaduje, ak je návrh správy alebo návrh čiastkovej správy z vykonanej kontroly
podpísaný aspoň jedným zamestnancom úradu alebo príslušníkom úradu, ktorý vykonal
kontrolu,
c)
označenie prevádzkovateľa základnej služby,
d)
cieľ kontroly,
e)
opis nedostatkov zistených kontrolou spolu s ich odôvodnením,
f)
označenie konkrétnych povinností, ktoré boli porušené,
g)
zoznam dôkazov preukazujúcich zistené nedostatky,
h)
dátum vyhotovenia návrhu čiastkovej správy alebo návrhu správy,
i)
lehotu na podanie námietok k zisteným nedostatkom, lehotu na predloženie písomného
zoznamu prijatých opatrení a lehotu na splnenie prijatých opatrení,
j)
lehotu na predloženie písomného zoznamu prijatých opatrení,
k)
lehotu na splnenie prijatých opatrení.
(4)
Návrh čiastkovej správy alebo návrh správy sa považuje za doručený, aj ak ho prevádzkovateľ
základnej služby odmietne prevziať, a to dňom odmietnutia prevzatia. Ak návrh správy
alebo návrh čiastkovej správy nemožno doručiť, tieto návrhy sa považujú za doručené
dňom vrátenia nedoručeného návrhu čiastkovej správy alebo návrhu správy úradu, aj
keď sa o tom prevádzkovateľ základnej služby nedozvedel.
(5)
Ak prevádzkovateľ základnej služby k zisteným nedostatkom, lehote na predloženie
písomného zoznamu prijatých opatrení a lehote na splnenie prijatých opatrení uvedeným
v návrhu čiastkovej správy alebo v návrhu správy nepredloží námietky v lehote podľa
odseku 3 písm. i), považujú sa zistené nedostatky, lehota na predloženie písomného
zoznamu prijatých opatrení a lehota na splnenie prijatých opatrení za akceptované.
(6)
Na náležitosti čiastkovej správy a správy sa vzťahuje odsek 3 písm. a) až d) rovnako.
Čiastková správa a správa obsahuje aj dátum jej vyhotovenia. Ak boli zistené nedostatky,
čiastková správa a správa obsahuje okrem náležitostí uvedených v prvej a druhej vete
aj
a)
dátum doručenia návrhu čiastkovej správy alebo návrhu správy na oboznámenie prevádzkovateľovi
základnej služby,
b)
informáciu o tom, či prevádzkovateľ základnej služby podal námietky k zisteným nedostatkom,
lehote na predloženie písomného zoznamu prijatých opatrení a lehote na splnenie prijatých
opatrení a spôsob vysporiadania sa s týmito námietkami,
c)
po zohľadnení opodstatnenosti podaných námietok
1.
opis zistených nedostatkov spolu s ich odôvodnením,
2.
označenie konkrétnych povinností, ktoré boli porušené,
d)
zoznam dôkazov preukazujúcich zistené nedostatky,
e)
lehotu na predloženie písomného zoznamu prijatých opatrení a lehotu na splnenie prijatých
opatrení.
(7)
Kontrola je skončená dňom zaslania správy prevádzkovateľovi základnej služby. Zaslaním
čiastkovej správy je skončená tá časť kontroly, ktorej sa čiastková správa týka. Ak
je kontrola alebo jej časť zastavená z dôvodov hodných osobitného zreteľa, kontrola
alebo jej časť sú skončené vyhotovením záznamu, v ktorom sa uvedie dôvod zastavenia
kontroly alebo jej časti. Úrad bezodkladne zašle záznam o zastavení kontroly alebo
jej časti prevádzkovateľovi základnej služby; to neplatí, ak prevádzkovateľ základnej
služby zanikol.
(8)
Ak sú po skončení kontroly zistené chyby v písaní, počítaní alebo iné zrejmé nesprávnosti,
čiastková správa alebo správa sa opraví a časť čiastkovej správy alebo správy, ktorej
sa oprava týka, sa zašle prevádzkovateľovi základnej služby a všetkým, ktorým bola
pôvodná čiastková správa alebo správa zaslaná.
§ 29g
(1)
Ak je to odôvodnené osobitnou povahou kontroly, na jej vykonanie môže úrad prizvať
prizvanú osobu s jej súhlasom. Ak o účasť na kontrole požiada orgán s právomocou obdobnou
právomoci úradu podľa tohto zákona alebo jednotka CSIRT iného členského štátu Európskej
únie, nimi určené osoby úrad prizve na účasť na kontrole.
(2)
Účasť prizvanej osoby na kontrole sa považuje za iný úkon vo všeobecnom záujme.
(3)
Náhradu mzdy alebo náhradu platu vo výške priemerného zárobku alebo náhradu podľa
osobitného predpisu v súvislosti s účasťou na kontrole prizvanej osobe uhrádza úrad,
ak sa prizvaná osoba s úradom nedohodne inak; to neplatí pre prizvané osoby podľa
odseku 1.
(4)
Oprávnenia ustanovené v § 29d ods. 5 písm. a) a b) a ods. 6 a povinnosti ustanovené
v § 29d ods. 7 písm. a), b), e) a g) sa vzťahujú na prizvanú osobu rovnako.
(5)
Zamestnanec úradu a prizvaná osoba, ktorí vykonávajú kontrolu, majú pri plnení úloh
podľa tohto zákona postavenie verejného činiteľa podľa Trestného zákona.
§ 29h
(1)
Zamestnanec úradu alebo príslušník úradu a prizvaná osoba sú povinní zdržať sa konania,
ktoré vedie alebo by mohlo viesť k spochybneniu ich nezaujatosti.
(2)
Zamestnanec úradu alebo príslušník úradu a prizvaná osoba, ktorým sú známe skutočnosti
zakladajúce pochybnosti o ich nezaujatosti vo vzťahu k vykonávanej kontrole, k prevádzkovateľovi
základnej služby alebo k tretej osobe, sú povinní tieto skutočnosti písomne oznámiť
riaditeľovi úradu.
(3)
Prevádzkovateľ základnej služby môže proti účasti na kontrole zamestnanca úradu,
príslušníka úradu alebo prizvanej osoby podať úradu písomné námietky s uvedením dôvodu
námietok, ak má pochybnosti o nezaujatosti zamestnanca úradu, príslušníka úradu alebo
prizvanej osoby. Podanie námietok nemá odkladný účinok na výkon kontroly.
(4)
Zamestnanec úradu alebo príslušník úradu, alebo prizvaná osoba, proti ktorým boli
podané písomné námietky alebo ktorí uskutočnili oznámenie podľa odseku 2, sú oprávnení
až do rozhodnutia riaditeľa úradu vykonať pri kontrole len také úkony, ktoré neznesú
odklad.
(5)
Riaditeľ úradu je povinný rozhodnúť vo veci zaujatosti zamestnanca úradu alebo príslušníka
úradu, alebo prizvanej osoby najneskôr do troch pracovných dní odo dňa doručenia písomných
námietok podľa odseku 3 alebo oznámenia podľa odseku 2.
(6)
Zamestnanec úradu alebo príslušník úradu a prizvaná osoba sú povinní zachovávať mlčanlivosť
o skutočnostiach, o ktorých sa dozvedeli v súvislosti s výkonom kontroly; od tejto
povinnosti ich môže oslobodiť riaditeľ úradu. Povinnosť podľa prvej vety trvá aj po
skončení služobného pomeru, pracovnoprávneho vzťahu alebo obdobného pracovného vzťahu.
Ukladanie opatrení na nápravu
§ 29i
(1)
Úrad môže pred začatím konania o uložení opatrenia na nápravu vydať predbežné opatrenie,
ktorým v rozsahu nevyhnutne potrebnom na predídenie vzniku vážnej škody alebo inej
ujmy
a)
uloží prevádzkovateľovi základnej služby, aby niečo vykonal, niečoho sa zdržal alebo
niečo strpel,
b)
nariadi zabezpečenie vecí, ktoré sú potrebné na vykonanie dôkazov.
(2)
Doručenie predbežného opatrenia prevádzkovateľovi základnej služby sa považuje za
prvý úkon v konaní o uložení opatrenia na nápravu a týmto úkonom je toto konanie začaté.
Konanie o uložení opatrenia na nápravu nie je obmedzené rozsahom a dôvodmi vydaného
predbežného opatrenia.
(3)
Úrad predbežné opatrenie zruší z vlastného podnetu, len čo pominie dôvod, pre ktorý
bolo vydané, alebo ak sa zmenia pomery tak, že predbežné opatrenie už nie je potrebné
alebo účelné; inak predbežné opatrenie zaniká uplynutím času, ak bolo vydané na určitý
čas, alebo dňom nadobudnutia právoplatnosti rozhodnutia o uložení opatrenia. Ak sa
dôvody zrušenia podľa prvej vety vzťahujú len na časť predbežného opatrenia, úrad
zruší predbežné opatrenie v časti.
(4)
Odvolanie proti rozhodnutiu o predbežnom opatrení nemá odkladný účinok.
(5)
Odsekmi 1 až 4 nie je dotknutá možnosť vydať predbežné opatrenie v konaní o uložení
opatrenia na nápravu.
§ 29j
(1)
Ak úrad zistí nedostatky v činnosti prevádzkovateľa základnej služby spočívajúce
v plnení povinností prevádzkovateľa základnej služby podľa tohto zákona alebo povinností
uložených na základe tohto zákona, podľa závažnosti, rozsahu, dĺžky trvania, následkov
a povahy zistených nedostatkov, môže uložiť prevádzkovateľovi základnej služby povinnosť
a)
vykonať audit kybernetickej bezpečnosti a vykonať odporúčania podľa výsledkov tohto
auditu v určenej lehote,
b)
prijať opatrenia na nápravu,
c)
informovať dotknuté osoby alebo verejnosť o rizikách alebo následkoch porušenia povinnosti,
alebo
d)
zakázať poskytovať službu do času nápravy nezákonného stavu, ak je takéto opatrenie
nevyhnutne potrebné z dôvodu bezprostredného ohrozenia života alebo zdravia, iné opatrenia
v rámci dohľadu neboli účinné a nebola vykonaná náprava v lehote určenej úradom; to
neplatí, ak ide o prevádzkovateľa základnej služby, ktorý je orgánom verejnej moci,
alebo ktorý poskytuje službu na základe povinnosti uloženej zákonom alebo na jeho
základe.
(2)
Úrad môže prevádzkovateľovi základnej služby spolu s uložením povinnosti prijať opatrenia
na nápravu uložiť aj povinnosť zaplatiť penále v sume 0,5 % z najvyššej možnej sumy
pokuty, ktorú je za porušenie takejto povinnosti možné uložiť, a to za každý deň omeškania
so splnením povinnosti.
(3)
Úrad môže v konaní o uložení opatrenia na nápravu uložiť aj pokutu za správny delikt,
ak ide o porušenie povinnosti, ktoré naplní skutkovú podstatu správneho deliktu; na
určenie výšky pokuty sa použije § 31 rovnako.
(4)
Ak prevádzkovateľ základnej služby, ktorý prevádzkuje kritickú základnú službu, nesplní
povinnosť podľa odseku 1 písm. a) alebo písm. b), ani v dodatočnej lehote určenej
vo výzve úradu, môže úrad podľa závažnosti, rozsahu, dĺžky trvania, následkov a povahy
zistených nedostatkov zakázať štatutárnemu orgánu prevádzkovateľa základnej služby
alebo členovi štatutárneho orgánu prevádzkovateľa základnej služby, jeho vedúcemu
zamestnancovi na najvyššej úrovni riadenia zodpovednému za príslušnú činnosť alebo
výkonom tejto činnosti poverenému splnomocnencovi vykonávať ich funkciu, zamestnanie
alebo činnosť u prevádzkovateľa základnej služby, a to až do doby splnenia týchto
povinností. Ustanovenie prvej vety sa nepoužije, ak ide o prevádzkovateľa základnej
služby, ktorý je orgánom verejnej moci, na ktorý sa vzťahuje tento zákon.
§ 29k
(1)
Ak prevádzkovateľ základnej služby neplní povinnosti uložené podľa § 29j ods. 1 riadne
a včas, nezákonný stav pretrváva a spôsobuje vážnu škodu alebo inú ujmu a obsahuje
znaky trestného činu proti životu, zdraviu alebo bezpečnosti osôb, môže mu byť rozhodnutím
súdu vydaným na návrh úradu uložená povinnosť dočasne obmedziť prístup
a)
odberateľov dotknutých nezákonným stavom k službe, alebo
b)
k online rozhraniu, prostredníctvom ktorého dochádza k porušeniu spôsobujúcemu nezákonný
stav.
(2)
Ak obmedzenie prístupu podľa odseku 1 nie je v dispozícii prevádzkovateľa služby,
povinnosť obmedziť prístup podľa odseku 1 možno v druhom rade uložiť osobe, ktorá
je objektívne spôsobilá takéto obmedzenie vykonať; splnenie tejto povinnosti nezakladá
osobe ďalšie práva ani povinnosti podľa tohto zákona.
(3)
Návrh úradu podľa odseku 1 musí obsahovať
a)
označenie prevádzkovateľa základnej služby alebo osoby podľa odseku 2, ktorí sú povinní
obmedziť prístup podľa odseku 1,
b)
údaje o online rozhraní, prostredníctvom ktorého dochádza k porušeniu spôsobujúcemu
nezákonný stav,
c)
údaje o rozsahu a lehote obmedzenia prístupu podľa odseku 1,
d)
odôvodnenie potreby obmedzenia prístupu podľa odseku 1.
(4)
Na riadne zistenie a identifikáciu skutočností podľa odseku 3 písm. b) sú úrad aj
súd oprávnení požiadať o súčinnosť orgán verejnej moci alebo právnickú osobu, ktorí
sú povinní tejto žiadosti bezodkladne vyhovieť, ak tým nedôjde k ohrozeniu plnenia
úloh spravodajskej služby alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti
osôb, ktoré konajú v jej prospech, alebo k ohrozeniu medzinárodnej spravodajskej spolupráce.
(5)
Rozhodnutie súdu musí obsahovať aj údaje podľa odseku 3. Rozhodnutie súdu môže obsahovať
oprávnenie úradu na opakované predĺženie doby obmedzenia prístupu podľa odseku 1.
(6)
Úrad doručí rozhodnutie súdu prevádzkovateľovi základnej služby a osobe, ktorej bola
uložená povinnosť obmedziť prístup podľa odseku 1.
(7)
Ak je úrad na základe rozhodnutia súdu oprávnený opakovane predĺžiť dobu obmedzenia
prístupu podľa odseku 1, o každom takomto predĺžení vydá samostatné rozhodnutie.
§ 29l
Rozkazné konanie
(1)
Ak bolo pri výkone dohľadu podľa § 29a ods. 1 písm. a) až c) spoľahlivo zistené,
že prevádzkovateľ základnej služby v jednotlivom prípade porušil povinnosť, úrad je
príslušný bez ďalšieho konania vydať rozkaz o uložení sankcie prevádzkovateľovi základnej
služby za zistené porušenie povinnosti. Na posúdenie porušenia povinnosti ako jednotlivého
prípadu nie je prekážkou, ak úrad pri výkone dohľadu spoľahlivo zistí opakované rovnaké
porušenie alebo viaceré obdobné porušenia povinnosti, ktorých sa dopustil ten istý
prevádzkovateľ základnej služby v iných rôznych prípadoch.
(2)
Rozkazom o uložení sankcie možno podľa závažnosti, rozsahu, dĺžky trvania, následkov
a povahy zisteného nedostatku uložiť pokutu do 10 000 eur a opatrenie na nápravu.
Sankciu podľa prvej vety možno ukladať samostatne alebo súbežne a za trvajúci nedostatok
aj opakovane; sankciu podľa prvej vety možno ukladať opakovane aj za opakované rovnaké
porušenie alebo viaceré obdobné porušenia povinnosti, ktorých sa dopustil ten istý
prevádzkovateľ základnej služby v iných rôznych prípadoch.
(3)
Prevádzkovateľ základnej služby, ktorému bol vydaný rozkaz o uložení sankcie, môže
úradu proti vydanému rozkazu o uložení sankcie podať do 15 dní od jeho doručenia písomne
odpor, ktorý musí byť odôvodnený. Včasným podaním odporu s odôvodnením sa rozkaz o
uložení sankcie zrušuje a úrad pokračuje v konaní o uložení opatrenia na nápravu,
pričom nie je viazaný rozsahom skutkových zistení, právnou kvalifikáciou ani druhom
a výškou sankcie podľa zrušeného rozkazu o uložení sankcie a ani ďalším obsahom zrušeného
rozkazu o uložení sankcie. Ak pred vydaním rozkazu o uložení sankcie nebol proti prevádzkovateľovi
základnej služby urobený iný úkon, po včasnom podaní odporu s odôvodnením sa doručenie
rozkazu o uložení sankcie prevádzkovateľovi základnej služby považuje za prvý úkon
v konaní o uloženie opatrenia na nápravu.
(4)
Rozkaz o uložení sankcie, proti ktorému nebol včas podaný odpor s odôvodnením, má
účinky právoplatného rozhodnutia, proti ktorému nemožno podať opravný prostriedok.
§ 29m
Dohoda o náprave
(1)
Úrad môže kedykoľvek počas výkonu dohľadu navrhnúť prevádzkovateľovi základnej služby
uzatvorenie dohody o náprave.
(2)
Dohoda o náprave obsahuje
a)
označenie prevádzkovateľa základnej služby a úradu,
b)
opis porušení povinností prevádzkovateľa základnej služby, ktorých sa náprava týka,
s uvedením miesta, času a prípadne iných okolností, za ktorých k porušeniu došlo tak,
aby opis nemohol byť zamenený s iným porušením povinností,
c)
opatrenia na odstránenie nezákonného stavu a časový harmonogram ich prijatia,
d)
rozsah a spôsob náhrady škody alebo inej ujmy odberateľom služby alebo iným osobám,
ak bola spôsobená,
e)
opatrenia na predchádzanie vzniku podobných porušení povinností v budúcnosti,
f)
dátum, podpis osoby oprávnenej konať za prevádzkovateľa základnej služby a podpis
riaditeľa úradu.
(3)
Úrad môže uzatvoriť dohodu o náprave, ak opatrenia a náhrada, ktoré sú obsahom dohody
sú spôsobilé odstrániť nezákonný stav a primerane nahradiť vzniknutú škodu alebo inú
ujmu a ak neexistuje iný záujem na pokračovaní vo výkone dohľadu.
(4)
Ak je uzatvorená dohoda o náprave, úrad zastaví výkon dohľadu v rozsahu porušení
povinností, ktoré sú obsahom dohody o náprave.
(5)
Úrad môže opätovne začať dohľad vo veci porušenia povinností, ktoré sú obsahom dohody
o náprave, ak
a)
došlo k podstatnej zmene ktorejkoľvek skutočnosti rozhodujúcej pre uzatvorenie dohody
o náprave,
b)
prevádzkovateľ základnej služby neplní svoje záväzky z dohody o náprave, alebo
c)
bolo uzatvorenie dohody o náprave založené na neúplných, nesprávnych alebo zavádzajúcich
informáciách poskytnutých prevádzkovateľom základnej služby.
§ 29n
Poriadková pokuta
(1)
Kontrolovanému subjektu, ktorý neplní povinnosti podľa tohto zákona pri výkone dohľadu
a tým znemožňuje priebeh kontroly podľa § 29c až 29h, marí výsledok kontroly alebo
nápravu zistených nedostatkov, môže úrad uložiť poriadkovú pokutu do 1 500 eur. Pri
určovaní poriadkovej pokuty úrad prihliada na mieru sťaženia výkonu kontroly alebo
marenia výsledku kontroly.
(2)
Poriadkovú pokutu podľa odseku 1 možno uložiť opakovane, avšak najviac do úhrnnej
výšky 15 000 eur.
(3)
Poriadkovú pokutu možno uložiť do dvoch mesiacov odo dňa zistenia porušenia povinnosti,
najneskôr do jedného roka od porušenia povinnosti.
(4)
Uloženie poriadkovej pokuty nezbavuje kontrolovaný subjekt povinnosti postupovať
v súlade s týmto zákonom.
(5)
Poriadková pokuta je príjmom štátneho rozpočtu.“.
Poznámka pod čiarou k odkazu 31d znie:
„31d) Zákon č. 9/2010 Z. z. o sťažnostiach v znení neskorších predpisov.“.
76.
V § 30 ods. 1 písm. b) sa slová „§ 17 ods. 4“ nahrádzajú slovami „§ 17 ods. 2.
77.
V § 30 ods. 1 sa vypúšťa písmeno d).
Doterajšie písmeno e) sa označuje ako písmeno d).
78.
V § 30 sa odsek 1 dopĺňa písmenami e) a f), ktoré znejú:
„e)
vykoná audit kybernetickej bezpečnosti v rozpore s § 29 ods. 3, alebo
f)
vykoná samohodnotenie prostredníctvom jednotného informačného systému kybernetickej
bezpečnosti v rozpore s § 29 ods. 8.“.
79.
§ 31 vrátane nadpisu znie:
㤠31
Správne delikty
(1)
Úrad môže uložiť pokutu od 300 eur do 500 000 eur prevádzkovateľovi základnej služby,
ktorý sa dopustí správneho deliktu tým, že poruší povinnosť
a)
oznámiť začiatok vykonávania činnosti podľa § 17 ods. 2,
b)
oznámiť zmenu údajov podľa § 17 ods. 6,
c)
oznámiť prevádzkovanie kritickej základnej služby podľa § 18 ods. 2,
d)
podľa § 19 ods. 2 až 4, ods. 6 písm. f) alebo ods. 7,
e)
udržiavať bezpečnostnú dokumentáciu aktuálnu a zodpovedajúcu reálnemu stavu podľa
§ 20 ods. 3,
f)
podľa § 29 ods. 1, 2, 5 alebo ods. 8,
g)
vykonať opatrenie na nápravu v lehote podľa záverečnej správy o výsledkoch auditu
podľa § 29, alebo
h)
uloženú úradom podľa § 29j ods. 1.
(2)
Úrad môže uložiť pokutu od 300 eur do 7 000 000 eur alebo do výšky 1,4 % celkového
celosvetového ročného obratu za predchádzajúce účtovné obdobie, podľa toho, ktorá
suma je vyššia, prevádzkovateľovi základnej služby, ktorý sa dopustí správneho deliktu
tým, že poruší povinnosť
a)
podľa § 19 ods. 1 alebo ods. 6 písm. a) až e) alebo písm. g) až i),
b)
prijať bezpečnostnú dokumentáciu podľa § 20 ods. 3,
c)
nahlásiť závažný kybernetický bezpečnostný incident podľa § 24 ods. 1 alebo ods.
3,
d)
zasielať automatizovaným spôsobom určené systémové informácie podľa § 24a ods. 1,
e)
riešiť kybernetický bezpečnostný incident na základe rozhodnutia úradu podľa § 27
ods. 3, vykonať reaktívne opatrenie na základe rozhodnutia úradu podľa § 27 ods. 5
alebo oznámiť a preukázať vykonanie reaktívneho opatrenia a jeho výsledok podľa §
27 ods. 6, alebo
f)
predložiť ochranné opatrenie na schválenie alebo vykonať schválené ochranné opatrenie
podľa § 27 ods. 8.
(3)
Úrad môže uložiť pokutu od 500 eur do 10 000 000 eur alebo do výšky 2 % celkového
celosvetového ročného obratu za predchádzajúce účtovné obdobie, podľa toho, ktorá
suma je vyššia, prevádzkovateľovi základnej služby, ktorý prevádzkuje kritickú základnú
službu, ktorý sa dopustí správneho deliktu tým, že poruší niektorú z povinností uvedenú
v odseku 2.
(4)
Úrad môže uložiť pokutu od 300 eur do 500 000 eur osobe poskytujúcej niektorú zo
služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2, na ktorú sa vzťahuje
pôsobnosť tohto zákona, ktorý sa dopustí správneho deliktu tým, že na výzvu úradu
neoznámi zmenu údajov podľa § 21 ods. 3.
(5)
Úrad môže uložiť pokutu od 500 eur do 500 000 eur osobe poskytujúcej niektorú zo
služieb alebo vykonávajúcu niektorú z činností podľa § 2 ods. 2 na území Slovenskej
republiky, ktorá nemá trvalý pobyt, miesto podnikania alebo sídlo v členskom štáte
Európskej únie, ktorá sa dopustila správneho deliktu tým, že si neurčila zástupcu
s trvalým pobytom miestom podnikania alebo sídlom, na území Slovenskej republiky,
alebo na území iného členského štátu Európskej únie, v ktorom tiež poskytuje tieto
služby alebo vykonáva tieto činnosti podľa § 21 ods. 1.
(6)
Úrad môže uložiť pokutu od 300 eur do 500 000 eur správcovi TLD a osobe, ktorá poskytuje
službu registrácie názvu domény, ktorá sa dopustí správneho deliktu tým, že poruší
povinnosť
a)
viesť osobitnú evidenciu registračných údajov názvu domény podľa § 22 ods. 1,
b)
prijať vnútorné predpisy, zaviesť osobitné postupy na zabezpečenie overenia údajov
predkladaných pri registrácii názvu domény a ich zverejniť podľa § 22 ods. 3,
c)
sprístupniť údaje predkladané pri registrácii názvu domény podľa § 22 ods. 4, alebo
d)
poskytnúť úradu alebo ústrednému orgánu údaje podľa § 22 ods. 5.
(7)
Úrad môže uložiť pokutu od 300 eur do 500 000 eur tomu, kto
a)
na výzvu úradu neposkytne informácie podľa § 7 ods. 4,
b)
neposkytne úradu požadovanú súčinnosť alebo informácie podľa § 10a ods. 1,
c)
používa konkrétny produkt, službu alebo proces v rozpore s § 27a ods. 4.
(8)
Úrad môže uložiť pokutu od 300 eur do 500 000 eur výrobcovi alebo poskytovateľovi
produktov, služieb alebo procesov, ktorý sa dopustí správneho deliktu tým, že podľa
čl. 53 nariadenia (EÚ) 2019/881 vydá EÚ vyhlásenie o zhode, ktoré je v rozpore s požiadavkami
ustanovenými v schéme certifikácie kybernetickej bezpečnosti vydanej na základe čl.
49 ods. 7 nariadenia (EÚ) 2019/881.
(9)
Úrad môže uložiť pokutu od 300 eur do 500 000 eur výrobcovi alebo poskytovateľovi
certifikovaných produktov, služieb alebo procesov alebo výrobcovi alebo poskytovateľovi
produktov, služieb a procesov, pre ktoré je vydané EÚ vyhlásenie o zhode, ktorý sa
dopustí správneho deliktu tým, že nezverejní v elektronickej podobe alebo neaktualizuje
doplňujúce informácie o kybernetickej bezpečnosti podľa čl. 55 ods. 1 písm. a) až
d) nariadenia (EÚ) 2019/881.
(10)
Úrad môže uložiť pokutu od 300 eur do 500 000 eur orgánu posudzovania zhody, držiteľovi
európskeho certifikátu kybernetickej bezpečnosti alebo vydavateľovi EÚ vyhlásení o
zhode, ktorý sa dopustí správneho deliktu tým, že
a)
neposkytne národnej autorite pre certifikáciu kybernetickej bezpečnosti informácie
potrebné na plnenie svojich úloh podľa čl. 58 ods. 8 písm. a) nariadenia (EÚ) 2019/881,
b)
znemožní národnej autorite pre certifikáciu kybernetickej bezpečnosti viesť vyšetrovanie
v podobe auditu podľa čl. 58 ods. 8 písm. b) nariadenia (EÚ) 2019/881.
(11)
Úrad môže uložiť pokutu od 300 eur do 500 000 eur orgánu posudzovania zhody alebo
držiteľovi európskeho certifikátu kybernetickej bezpečnosti, ktorý sa dopustí správneho
deliktu tým, že neumožní národnej autorite pre certifikáciu kybernetickej bezpečnosti
prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881.
(12)
Pri ukladaní pokuty za správny delikt úrad prihliada na závažnosť správneho deliktu,
najmä na spôsob jeho spáchania, trvanie, následky a na okolnosti, za ktorých bol spáchaný.
Ak je škodlivý následok nepatrný, alebo ak na potrestanie postačuje samotné prejedanie
správneho deliktu, úrad pokutu neuloží.
(13)
Ak do jedného roka odo dňa nadobudnutia právoplatnosti rozhodnutia o uložení pokuty
dôjde k opätovnému porušeniu povinností, za ktoré bola pokuta uložená, úrad môže uložiť
pokutu až do dvojnásobku výšky súm uvedených alebo vypočítaných podľa odsekov 1 až
11.
(14)
Odseky 1 až 6 sa použijú primerane na osobu poskytujúcu niektorú zo služieb alebo
vykonávajúcu niektorú z činností podľa § 2 ods. 2, ktorá nie je usadená v Európskej
únii, ale ponúka služby v rámci Európskej únie a má na území Slovenskej republiky
určeného zástupcu, alebo nemá určeného zástupcu v žiadnom členskom štáte Európskej
únie.
(15)
Celkovým celosvetovým ročným obratom podľa odsekov 2 a 3 sa na účely tohto zákona
rozumie súčet všetkých tržieb, výnosov alebo príjmov z predaja tovaru alebo služieb
bez nepriamych daní, ku ktorému sa pripočíta poskytnutá finančná pomoc. Obrat vyjadrený
v cudzej mene sa prepočíta na eurá, pričom na prepočet cudzej meny na eurá sa použije
priemer referenčných výmenných kurzov určených a vyhlásených Európskou centrálnou
bankou alebo Národnou bankou Slovenska, ktoré sú platné pre príslušné účtovné obdobie.33)
(16)
Predchádzajúcim účtovným obdobím na účely tohto zákona je účtovné obdobie, za ktoré
bola zostavená posledná účtovná závierka.
(17)
Pokutu za správny delikt možno uložiť do dvoch rokov odo dňa zistenia porušenia povinnosti,
najneskôr však do štyroch rokov odo dňa, keď k porušeniu povinnosti došlo.
(18)
Pokuta za správny delikt je splatná do 30 dní odo dňa nadobudnutia právoplatnosti
rozhodnutia o jej uložení.
(19)
Ak nie je možné uložiť sankciu podľa tohto zákona, úrad odstúpi vec príslušnému orgánu.
(20)
Pokuty za správny delikt sú príjmom štátneho rozpočtu.“.
80.
V § 32 ods. 1 sa vypúšťa písmeno b).
Doterajšie písmená c) až i) sa označujú ako písmená b) až h).
81.
V § 32 ods. 1 písm. b) sa vypúšťajú slová „ods.1 a 6“.
82.
V § 32 ods. 1 písm. c) sa slová „§ 20 ods.1“ nahrádzajú slovami „§ 20“.
83.
V § 32 ods. 1 sa vypúšťa písmeno d).
Doterajšie písmená e) až h) sa označujú ako písmená d) až g).
84.
V § 32 ods. 1 písm. d) sa za slová „pravidlá auditu kybernetickej bezpečnosti“ vkladajú
slová „alebo samohodnotenia“, za slová „periodicitu vykonávania auditu kybernetickej
bezpečnosti“ sa vkladajú slová „alebo samohodnotenia“, slová „certifikačnú schému
a“ sa nahrádzajú slovami „certifikačné schémy,“ a vypúšťajú sa slová „(§ 29 ods. 1
až 5)“.
85.
V § 32 sa odsek 1 dopĺňa písmenami h) a i), ktoré znejú:
„h)
podrobnosti o vzdelávaní a budovaní bezpečnostného povedomia v kybernetickej bezpečnosti,
i)
podrobnosti o hláseniach podľa § 24.“.
86.
V § 33 ods. 1 sa za slová „§ 27 až 27c“ vkladá čiarka a slová „§ 29a ods. 1 písm.
a), b) a d) a § 29l okrem doručovania rozkazu o uložení sankcie a jeho náležitostí“.
87.
V § 33 odsek 4 znie:
„(4)
Ak prevádzkovateľ základnej služby spadá pod viaceré sektory alebo ak spadá pod rôzne
ústredné orgány, pôsobnosť podľa tohto zákona je určená úradom na základe predchádzajúcej
konzultácie s dotknutým prevádzkovateľom základnej služby a ústredným orgánom.“.
88.
Poznámka pod čiarou k odkazu 34 znie:
„34) § 7 zákona č. 500/2022 Z. z.“.
89.
§ 33 sa dopĺňa odsekom 6, ktorý znie
„(6) Národná banka Slovenska a úrad uzatvoria písomnú zmluvu o spolupráci o základných
rámcoch hlásenia kybernetických bezpečnostných incidentov a riešenia kybernetických
bezpečnostných incidentov a o hlásení stavu zabezpečovania kybernetickej bezpečnosti
v Národnej banke Slovenska.“.
90.
Za § 34a sa vkladá § 34b, ktorý vrátane nadpisu znie:
㤠34b
Prechodné ustanovenia k úpravám účinným od 1. januára 2025
(1)
Prevádzkovateľ základnej služby podľa tohto zákona v znení účinnom do 31. decembra
2024 sa považuje za prevádzkovateľa kritickej základnej služby podľa tohto zákona
v znení účinnom od 1. januára 2025.
(2)
Úrad môže do 31. decembra 2026 aj z vlastnej iniciatívy rozhodnúť, ktorá z osôb podľa
odseku 1 nie je prevádzkovateľom kritickej základnej služby z dôvodu, že nespĺňa podmienky
podľa § 18 ods. 1 v znení účinnom od 1. januára 2025.
(3)
Poskytovateľ digitálnej služby podľa tohto zákona v znení účinnom do 31. decembra
2024 sa považuje za prevádzkovateľa základnej služby podľa tohto zákona v znení účinnom
od 1. januára 2025.
(4)
Úrad môže aj z vlastnej iniciatívy do 31. decembra 2026 rozhodnúť, ktorá z osôb podľa
odseku 3 nie je prevádzkovateľom základnej služby z dôvodu, že nespĺňa podmienky podľa
§ 17 ods. 1 v znení účinnom od 1. januára 2025.
(5)
Prevádzkovateľ základnej služby podľa odseku 1 môže do 31. decembra 2026 prijímať
a realizovať bezpečnostné opatrenia podľa predpisov účinných od 1. januára 2025 aj
prijímaním a realizovaním bezpečnostných opatrení podľa predpisov účinných do 31.
decembra 2024.
(6)
Úrad vyzve na plnenie povinnosti podľa § 21 ods. 3 do 17. januára 2025 a takto oznámené
údaje v rozsahu podľa § 21 ods. 3 zašle Agentúre Európskej únie pre kybernetickú bezpečnosť
do 30 dní odo dňa ich oznámenia úradu.
(7)
Prevádzkovateľ základnej služby podľa odseku 1 môže vykonávať do 31. decembra 2026
audit podľa predpisov účinných do 31. decembra 2024.
(8)
Prevádzkovateľ základnej služby môže pre I. a II. kategóriu sietí a informačných
systémov zabezpečiť splnenie povinnosti vykonať audit kybernetickej bezpečnosti, ktorý
by bol povinný vykonať v rokoch 2025 a 2026, vykonaním samohodnotenia prostredníctvom
jednotného informačného systému kybernetickej bezpečnosti. Samohodnotenie vykonáva
manažér kybernetickej bezpečnosti a výsledok samohodnotenia doručí prevádzkovateľ
základnej služby úradu bezodkladne po jeho vykonaní.
(9)
Prevádzkovateľ základnej služby pre I. a II. kategóriu sietí a informačných systémov
postupom podľa odseku 8 môže splniť povinnosť vykonať audit kybernetickej bezpečnosti,
ktorý bol povinný vykonať v roku 2024, do 30. septembra 2025.“.
91.
Za § 35 sa vkladá § 36, ktorý vrátane nadpisu znie:
㤠36
Zrušovacie ustanovenia účinné od 1. januára 2025
Zrušujú sa:
1.
vyhláška Národného bezpečnostného úradu č. 164/2018 Z. z., ktorou sa určujú identifikačné
kritéria prevádzkovanej služby (kritériá základnej služby),
2.
vyhláška Národného bezpečnostného úradu č. 165/2018 Z. z., ktorou sa určujú identifikačné
kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov
a podrobnosti hlásenia kybernetických bezpečnostných incidentov.“.
92.
Slová „prevádzkovateľ základných služieb“ a „prevádzkovatelia základných služieb“
vo všetkých tvaroch sa v celom texte zákona nahrádzajú slovami „prevádzkovateľ základnej
služby“ v príslušnom tvare.
93.
Prílohy č. 1 až 3 znejú:
Poznámka pod čiarou k odkazu 36 znie:
„36) Vyhláška Štatistického úradu Slovenskej republiky č. 306/2007 Z. z., ktorou sa vydáva
Štatistická klasifikácia ekonomických činností.“.
Príloha č. 3
k zákonu č. 69/2018 Z. z.
k zákonu č. 69/2018 Z. z.
ZOZNAM PREBERANÝCH PRÁVNE ZÁVÄZNÝCH AKTOV EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach
na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou
sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ)
2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27. 12. 2022).“.
Čl. II
Zákon č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení zákona č. 231/1991 Zb., zákona
č. 600/1992 Zb., zákona č. 231/1992 Zb., zákona Národnej rady Slovenskej republiky
č. 132/1994 Z. z., zákona Národnej rady Slovenskej republiky č. 200/1995 Z. z., zákona
Národnej rady Slovenskej republiky č. 233/1995 Z. z., zákona Národnej rady Slovenskej
republiky č. 216/1996 Z. z., zákona Národnej rady Slovenskej republiky č. 123/1996
Z. z., zákona Národnej rady Slovenskej republiky č. 222/1996 Z. z., zákona Národnej
rady Slovenskej republiky č. 164/1996 Z. z, zákona Národnej rady Slovenskej republiky
č. 289/1996 Z. z., zákona Národnej rady Slovenskej republiky č. 290/1996 Z. z., zákona
č. 288/1997 Z. z., zákona č. 379/1997 Z. z., zákona č. 76/1998 Z. z., zákona č. 144/1998
Z. z., zákona č. 140/1998 Z. z., zákona č. 129/1998 Z. z., zákona č. 179/1998 Z. z.,
zákona č. 194/1998 Z. z., zákona č. 161/1998 Z. z., zákona č. 143/1998 Z. z., zákona
č. 126/1998 Z. z., zákona č. 178/1998 Z. z., zákona č. 263/1999 Z. z., zákona č. 264/1999
Z. z., zákona č. 119/2000 Z. z., zákona č. 142/2000 Z. z., zákona č. 236/2000 Z. z.,
zákona č. 238/2000 Z. z., zákona č. 268/2000 Z. z., zákona č. 338/2000 Z. z., zákona
č. 223/2001 Z. z., zákona č. 279/2001 Z. z., zákona č. 488/2001 Z. z., zákona č. 554/2001
Z. z., zákona č. 279/2001 Z. z., zákona č. 261/2001 Z. z., zákona č. 284/2001 Z. z.,
zákona č. 506/2002 Z. z., zákona č. 279/2001 Z. z., zákona č. 245/2003 Z. z., zákona
č. 219/2003 Z. z., zákona č. 423/2003 Z. z., zákona č. 515/2003 Z. z., zákona č. 602/2003
Z. z., zákona č. 190/2003 Z. z., zákona č. 586/2003 Z. z., zákona č. 279/2001 Z. z.,
zákona č. 347/2004 Z. z., zákona č. 350/2004 Z. z., zákona č. 365/2004 Z. z., zákona
č. 420/2004 Z. z., zákona č. 533/2004 Z. z., zákona č. 544/2004 Z. z., zákona č. 578/2004
Z. z., zákona č. 624/2004 Z. z., zákona č. 656/2004 Z. z., zákona č. 650/2004 Z. z.,
zákona č. 725/2004 Z. z., zákona č. 8/2005 Z. z., zákona č. 93/2005 Z. z., zákona
č. 331/2005 Z. z., zákona č. 340/2005 Z. z., zákona č. 351/2005 Z. z., zákona č. 470/2005
Z. z., zákona č. 567/2005 Z. z., zákona č. 491/2005 Z. z., zákona č. 473/2005 Z. z.,
zákona č. 555/2005 Z. z., zákona č. 126/2006 Z. z., zákona č. 124/2006 Z. z., zákona
č. 17/2007 Z. z., zákona č. 99/2007 Z. z., zákona č. 193/2007 Z. z., zákona č. 218/2007
Z. z., zákona č. 358/2007 Z. z., zákona č. 358/2007 Z. z., zákona č. 577/2007 Z. z.,
zákona č. 112/2008 Z. z., zákona č. 448/2008 Z. z., zákona č. 445/2008 Z. z., zákona
č. 492/2009 Z. z., zákona č. 186/2009 Z. z., zákona č. 129/2010 Z. z., zákona č. 136/2010
Z. z., zákona č. 129/2010 Z. z., zákona č. 556/2010 Z. z., zákona č. 249/2011 Z. z.,
zákona č. 362/2011 Z. z., zákona č. 392/2011 Z. z., zákona č. 324/2011 Z. z., zákona
č. 395/2011 Z. z., zákona č. 568/2009 Z. z., zákona č. 136/2010 Z. z., zákona č. 251/2012
Z. z., zákona č. 321/2012 Z. z., zákona č. 351/2012 Z. z., zákona č. 447/2012 Z. z.,
zákona č. 314/2012 Z. z., zákona č. 39/2013 Z. z., zákona č. 94/2013 Z. z., zákona
č. 95/2013 Z. z., zákona č. 218/2013 Z. z., zákona č. 180/2013 Z. z., zákona č. 1/2014
Z. z., zákona č. 35/2014 Z. z., zákona č. 58/2014 Z. z., zákona č. 182/2014 Z. z.,
zákona č. 182/2014 Z. z., zákona č. 321/2014 Z. z., zákona č. 399/2014 Z. z., zákona
č. 333/2014 Z. z., zákona č. 128/2015 Z. z., zákona č. 219/2014 Z. z., zákona č. 266/2015
Z. z., zákona č. 272/2015 Z. z., zákona č. 274/2015 Z. z., zákona č. 331/2015 Z. z.,
zákona č. 387/2015 Z. z., zákona č. 79/2015 Z. z., zákona č. 77/2015 Z. z., zákona
č. 348/2015 Z. z., zákona č. 278/2015 Z. z., zákona č. 440/2015 Z. z., zákona č. 412/2015
Z. z., zákona č. 89/2016 Z. z., zákona č. 91/2016 Z. z., zákona č. 125/2016 Z. z.,
zákona č. 276/2017 Z. z., zákona č. 289/2017 Z. z., zákona č. 292/2017 Z. z., zákona
č. 87/2018 Z. z., zákona č. 56/2018 Z. z., zákona č. 106/2018 Z. z., zákona č. 157/2018
Z. z., zákona č. 177/2018 Z. z., zákona č. 216/2018 Z. z., zákona č. 170/2018 Z. z.,
zákona č. 276/2017 Z. z., zákona č. 177/2018 Z. z., zákona č. 9/2019 Z. z., zákona
č. 139/2019 Z. z., zákona č. 221/2019 Z. z., zákona č. 371/2019 Z. z., zákona č. 356/2019
Z. z., zákona č. 6/2020 Z. z., zákona č. 476/2019 Z. z., zákona č. 73/2020 Z. z.,
zákona č. 198/2020 Z. z., zákona č. 390/2019 Z. z., zákona č. 279/2020 Z. z., zákona
č. 75/2021 Z. z., zákona č. 261/2021 Z. z., zákona č. 500/2021 Z. z., zákona č. 249/2022
Z. z., zákona č. 256/2022 Z. z., zákona č. 114/2022 Z. z., zákona č. 8/2023 Z. z.,
zákona č. 146/2023 Z. z., zákona č. 309/2023 Z. z., zákona č. 205/2023 Z. z., zákona
č. 205/2023 Z. z., zákona č. 106/2024 Z. z., zákona č. 161/2024 Z. z. zákona č. 248/2024
Z. z. a zákona č. 292/2024 Z. z. sa mení a dopĺňa takto:
1.
Poznámka pod čiarou k odkazu 36cb znie:
„36cb) § 12 ods. 4 písm. a) zákona č. 192/2023 Z. z. o registri trestov a o zmene a doplnení
niektorých zákonov.“.
2.
V prílohe č. 2 Viazané živnosti sa v skupine 214 Ostatné dopĺňa živnosť s poradovým
číslom 99, ktorá znie:
„
| Por. čís. | Živnosť | Preukaz spôsobilosti | Poznámka | Zoznam |
| 99. | Certifikovaný audítor kybernetickej bezpečnosti |
Certifikát audítora kybernetickej bezpečnosti |
§ 29 ods. 3 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov |
Čl. III
Zákon Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení zákona Národnej rady Slovenskej republiky č. 123/1996
Z. z., zákona Národnej rady Slovenskej republiky č. 224/1996 Z. z., zákona č. 70/1997
Z. z., zákona č. 1/1998 Z. z., zákona č. 232/1999 Z. z., zákona č. 3/2000 Z. z., zákona
č. 142/2000 Z. z., zákona č. 211/2000 Z. z., zákona č. 468/2000 Z. z., zákona č. 553/2001
Z. z., zákona č. 96/2002 Z. z., zákona č. 118/2002 Z. z., zákona č. 215/2002 Z. z.,
zákona č. 237/2002 Z. z., zákona č. 418/2002 Z. z., zákona č. 457/2002 Z. z., zákona
č. 465/2002 Z. z., zákona č. 477/2002 Z. z., zákona č. 480/2002 Z. z., zákona č. 190/2003
Z. z., zákona č. 217/2003 Z. z., zákona č. 245/2003 Z. z., zákona č. 450/2003 Z. z.,
zákona č. 469/2003 Z. z., zákona č. 583/2003 Z. z., zákona č. 5/2004 Z. z., zákona
č. 199/2004 Z. z., zákona č. 204/2004 Z. z., zákona č. 347/2004 Z. z., zákona č. 382/2004
Z. z., zákona č. 434/2004 Z. z., zákona č. 533/2004 Z. z., zákona č. 541/2004 Z. z.,
zákona č. 572/2004 Z. z., zákona č. 578/2004 Z. z., zákona č. 581/2004 Z. z., zákona
č. 633/2004 Z. z., zákona č. 653/2004 Z. z., zákona č. 656/2004 Z. z., zákona č. 725/2004
Z. z., zákona č. 5/2005 Z. z., zákona č. 8/2005 Z. z., zákona č. 15/2005 Z. z., zákona
č. 93/2005 Z. z., zákona č. 171/2005 Z. z., zákona č. 308/2005 Z. z., zákona č. 331/2005
Z. z., zákona č. 341/2005 Z. z., zákona č. 342/2005 Z. z., zákona č. 468/2005 Z. z.,
zákona č. 473/2005 Z. z., zákona č. 491/2005 Z. z., zákona č. 538/2005 Z. z., zákona
č. 558/2005 Z. z., zákona č. 572/2005 Z. z., zákona č. 573/2005 Z. z., zákona č. 610/2005
Z. z., zákona č. 14/2006 Z. z., zákona č. 15/2006 Z. z., zákona č. 24/2006 Z. z.,
zákona č. 117/2006 Z. z., zákona č. 124/2006 Z. z., zákona č. 126/2006 Z. z., zákona
č. 224/2006 Z. z., zákona č. 342/2006 Z. z., zákona č. 672/2006 Z. z., zákona č. 693/2006
Z. z., zákona č. 21/2007 Z. z., zákona č. 43/2007 Z. z., zákona č. 95/2007 Z. z.,
zákona č. 193/2007 Z. z., zákona č. 220/2007 Z. z., zákona č. 279/2007 Z. z., zákona
č. 295/2007 Z. z., zákona č. 309/2007 Z. z., zákona č. 342/2007 Z. z., zákona č. 343/2007
Z. z., zákona č. 344/2007 Z. z., zákona č. 355/2007 Z. z., zákona č. 358/2007 Z. z.,
zákona č. 359/2007 Z. z., zákona č. 460/2007 Z. z., zákona č. 517/2007 Z. z., zákona
č. 537/2007 Z. z., zákona č. 548/2007 Z. z., zákona č. 571/2007 Z. z., zákona č. 577/2007
Z. z., zákona č. 647/2007 Z. z., zákona č. 661/2007 Z. z., zákona č. 92/2008 Z. z.,
zákona č. 112/2008 Z. z., zákona č. 167/2008 Z. z., zákona č. 214/2008 Z. z., zákona
č. 264/2008 Z. z., zákona č. 405/2008 Z. z., zákona č. 408/2008 Z. z., zákona č. 451/2008
Z. z., zákona č. 465/2008 Z. z., zákona č. 495/2008 Z. z., zákona č. 514/2008 Z. z.,
zákona č. 8/2009 Z. z., zákona č. 45/2009 Z. z., zákona č. 188/2009 Z. z., zákona
č. 191/2009 Z. z., zákona č. 274/2009 Z. z., zákona č. 292/2009 Z. z., zákona č. 304/2009
Z. z., zákona č. 305/2009 Z. z., zákona č. 307/2009 Z. z., zákona č. 465/2009 Z. z.,
zákona č. 478/2009 Z. z., zákona č. 513/2009 Z. z., zákona č. 568/2009 Z. z., zákona
č. 570/2009 Z. z., zákona č. 594/2009 Z. z., zákona č. 67/2010 Z. z., zákona č. 92/2010
Z. z., zákona č. 136/2010 Z. z., zákona č. 144/2010 Z. z., zákona č. 514/2010 Z. z.,
zákona č. 556/2010 Z. z., zákona č. 39/2011 Z. z., zákona č. 119/2011 Z. z., zákona
č. 200/2011 Z. z., zákona č. 223/2011 Z. z., zákona č. 254/2011 Z. z., zákona č. 256/2011
Z. z., zákona č. 258/2011 Z. z., zákona č. 324/2011 Z. z., zákona č. 342/2011 Z. z.,
zákona č. 363/2011 Z. z., zákona č. 381/2011 Z. z., zákona č. 392/2011 Z. z., zákona
č. 404/2011 Z. z., zákona č. 405/2011 Z. z., zákona č. 409/2011 Z. z., zákona č. 519/2011
Z. z., zákona č. 547/2011 Z. z., zákona č. 49/2012 Z. z., zákona č. 96/2012 Z. z.,
zákona č. 251/2012 Z. z., zákona č. 286/2012 Z. z., zákona č. 336/2012 Z. z., zákona
č. 339/2012 Z. z., zákona č. 351/2012 Z. z., zákona č. 439/2012 Z. z., zákona č. 447/2012
Z. z., zákona č. 459/2012 Z. z., zákona č. 8/2013 Z. z., zákona č. 39/2013 Z. z.,
zákona č. 40/2013 Z. z., zákona č. 72/2013 Z. z., zákona č. 75/2013 Z. z., zákona
č. 94/2013 Z. z., zákona č. 96/2013 Z. z., zákona č. 122/2013 Z. z., zákona č. 144/2013
Z. z., zákona č. 154/2013 Z. z., zákona č. 213/2013 Z. z., zákona č. 311/2013 Z. z.,
zákona č. 319/2013 Z. z., zákona č. 347/2013 Z. z., zákona č. 387/2013 Z. z., zákona
č. 388/2013 Z. z., zákona č. 474/2013 Z. z., zákona č. 506/2013 Z. z., zákona č. 35/2014
Z. z., zákona č. 58/2014 Z. z., zákona č. 84/2014 Z. z., zákona č. 152/2014 Z. z.,
zákona č. 162/2014 Z. z., zákona č. 182/2014 Z. z., zákona č. 204/2014 Z. z., zákona
č. 262/2014 Z. z., zákona č. 293/2014 Z. z., zákona č. 335/2014 Z. z., zákona č. 399/2014
Z. z., zákona č. 40/2015 Z. z., zákona č. 79/2015 Z. z., zákona č. 120/2015 Z. z.,
zákona č. 128/2015 Z. z., zákona č. 129/2015 Z. z., zákona č. 247/2015 Z. z., zákona
č. 253/2015 Z. z., zákona č. 259/2015 Z. z., zákona č. 262/2015 Z. z., zákona č. 273/2015
Z. z., zákona č. 387/2015 Z. z., zákona č. 403/2015 Z. z., zákona č. 125/2016 Z. z.,
zákona č. 272/2016 Z. z., zákona č. 342/2016 Z. z., zákona č. 386/2016 Z. z., zákona
č. 51/2017 Z. z., zákona č. 238/2017 Z. z., zákona č. 242/2017 Z. z., zákona č. 276/2017
Z. z., zákona č. 292/2017 Z. z., zákona č. 293/2017 Z. z., zákona č. 336/2017 Z. z.,
zákona č. 17/2018 Z. z., zákona č. 18/2018 Z. z., zákona č. 49/2018 Z. z., zákona
č. 52/2018 Z. z., zákona č. 56/2018 Z. z., zákona č. 87/2018 Z. z., zákona č. 106/2018
Z. z., zákona č. 108/2018 Z. z., zákona č. 110/2018 Z. z., zákona č. 156/2018 Z. z.,
zákona č. 157/2018 Z. z., zákona č. 212/2018 Z. z., zákona č. 215/2018 Z. z., zákona
č. 284/2018 Z. z., zákona č. 312/2018 Z. z., zákona č. 346/2018 Z. z., zákona č. 9/2019
Z. z., zákona č. 30/2019 Z. z., zákona č. 150/2019 Z. z., zákona č. 156/2019 Z. z.,
zákona č. 158/2019 Z. z., zákona č. 211/2019 Z. z., zákona č. 213/2019 Z. z., zákona
č. 216/2019 Z. z., zákona č. 221/2019 Z. z., zákona č. 234/2019 Z. z., zákona č. 356/2019
Z. z., zákona č. 364/2019 Z. z., zákona č. 383/2019 Z. z., zákona č. 386/2019 Z. z.,
zákona č. 390/2019 Z. z., zákona č. 395/2019 Z. z., zákona č. 460/2019 Z. z., zákona
č. 165/2020 Z. z., zákona č. 198/2020 Z. z., zákona č. 310/2020 Z. z., zákona č. 128/2021
Z. z., zákona č. 149/2021 Z. z., zákona č. 259/2021 Z. z., zákona č. 287/2021 Z. z.,
zákona č. 310/2021 Z. z., zákona č. 372/2021 Z. z., zákona č. 378/2021 Z. z., zákona
č. 395/2021 Z. z., zákona č. 402/2021 Z. z., zákona č. 404/2021 Z. z., zákona č. 455/2021
Z. z., zákona č. 490/2021 Z. z., zákona č. 500/2021 Z. z., zákona č. 532/2021 Z. z.,
zákona č. 540/2021 Z. z., zákona č. 111/2022 Z. z., zákona č. 114/2022 Z. z., zákona
č. 122/2022 Z. z., zákona č. 180/2022 Z. z., zákona č. 181/2022 Z. z., zákona č. 246/2022
Z. z., zákona č. 249/2022 Z. z., zákona č. 253/2022 Z. z., zákona č. 264/2022 Z. z.,
zákona č. 265/2022 Z. z., zákona č. 266/2022 Z. z., zákona č. 325/2022 Z. z., zákona
č. 408/2022 Z. z., zákona č. 427/2022 Z. z., zákona č. 429/2022 Z. z., zákona č. 59/2023
Z. z., zákona č. 109/2023 Z. z., zákona č. 119/2023 Z. z., zákona č. 135/2023 Z. z.,
zákona č. 146/2023 Z. z., zákona č. 183/2023 Z. z., zákona č. 192/2023 Z. z., zákona
č. 287/2023 Z. z., zákona č. 293/2023 Z. z., zákona č. 309/2023 Z. z., zákona č. 331/2023
Z. z., zákona č. 332/2023 Z. z., zákona č. 530/2023 Z. z., zákona č. 120/2024 Z. z.,
zákona č. 142/2024 Z. z., zákona č. 160/2024 Z. z., zákona č. 161/2024 Z. z., zákona
č. 162/2024 Z. z., zákona č. 246/2024 Z. z., zákona č. 292/2024 Z. z., zákona č. 307/2024
Z. z. a zákona č. 364/2024 Z. z. sa dopĺňa takto:
V prílohe Sadzobníku správnych poplatkov časti VII. Elektronické komunikácie sa dopĺňa
položka 105, ktorá znie:
„Položka 105
Podanie žiadosti o uznanie školiaceho strediska27g) ............................................... 300 eur“.
Poznámka pod čiarou k odkazu 27g znie:
„27g) § 52a zákona č. 452/2021 Z. z. v znení zákona č. 366/2024 Z. z.“.
Čl. IV
Zákon č. 143/1998 Z. z. o civilnom letectve (letecký zákon) a o zmene a doplnení niektorých zákonov v znení
zákona č. 37/2002 Z. z., zákona č. 136/2004 Z. z., zákona č. 544/2004 Z. z., zákona
č. 479/2005 Z. z., zákona č. 11/2006 Z. z., zákona č. 278/2009 Z. z., zákona č. 513/2009
Z. z., zákona č. 136/2010 Z. z., zákona č. 241/2011 Z. z., zákona č. 404/2011 Z. z.,
zákona č. 402/2013 Z. z., zákona č. 58/2014 Z. z., zákona č. 299/2014 Z. z., zákona
č. 91/2016 Z. z., zákona č. 305/2016 Z. z., zákona č. 177/2018 Z. z., zákona č. 213/2019
Z. z., zákona č. 90/2020 Z. z., zákona č. 312/2020 Z. z., zákona č. 354/2021 Z. z.,
zákona č. 187/2022 Z. z., zákona č. 205/2023 Z. z. a zákona č. 161/2024 Z. z. sa mení
a dopĺňa takto:
1.
V § 34a sa vypúšťajú odseky 7, 8 a 10.
Doterajší odsek 9 sa označuje ako odsek 7.
2.
V § 34a ods. 7 sa slová „a 7“ nahrádzajú slovami „a § 34b“.
3.
Za § 34a sa vkladá § 34b, ktorý vrátane nadpisu znie:
„34b
Odborná príprava z bezpečnostnej ochrany a kybernetickej bezpečnosti v civilnom letectve
(1)
Osoba podľa osobitného predpisu8l) je povinná absolvovať odbornú prípravu z bezpečnostnej ochrany.
(2)
Odbornú prípravu z bezpečnostnej ochrany vykonáva inštruktor odbornej prípravy z
bezpečnostnej ochrany na základe osvedčenia na vykonávanie odbornej prípravy, ktoré
vydáva ministerstvo a v rozsahu obsahu kurzov, ktoré schvaľuje ministerstvo, ak tento
zákon neustanovuje inak. Právnická osoba je oprávnená zabezpečovať odbornú prípravu
z bezpečnostnej ochrany prostredníctvom inštruktora podľa prvej vety. Ministerstvo
v rozhodnutí určí rozsah a podmienky vykonávania odbornej prípravy z bezpečnostnej
ochrany.
(3)
O absolvovaní odbornej prípravy z bezpečnostnej ochrany vydá potvrdenie inštruktor
podľa odseku 2, ktorý odbornú prípravu vykonal. Vzor potvrdenia o absolvovaní odbornej
prípravy z bezpečnostnej ochrany zverejňuje ministerstvo na svojom webovom sídle.
(4)
Ministerstvo môže určiť dodatočné požiadavky na jednotlivé odbornosti člena personálu
bezpečnostnej ochrany vrátane povinnosti preukázať teoretické znalosti a praktické
schopnosti na výkon tejto činnosti skúškou odbornej spôsobilosti a zverejňuje ich
na svojom webovom sídle. Skúšobnú komisiu na posúdenie odbornej spôsobilosti člena
personálu bezpečnostnej ochrany vymenúva a odvoláva ministerstvo.
(5)
Osoba podľa osobitného predpisu8m) je povinná absolvovať odbornú prípravu z kybernetickej bezpečnosti v civilnom letectve.
(6)
Odbornú prípravu z kybernetickej bezpečnosti v civilnom letectve vykonáva lektor
odbornej prípravy z kybernetickej bezpečnosti v civilnom letectve, ktorý
a)
je držiteľom certifikátu vydaného osobou akreditovanou podľa osobitného predpisu8n) ako orgánom certifikujúcim osoby v oblasti kybernetickej bezpečnosti,
b)
spĺňa podmienky znalostného štandardu vydaného podľa osobitného predpisu8o) a
c)
vykonáva odbornú prípravu z kybernetickej bezpečnosti v civilnom letectve v rozsahu
obsahu kurzov podľa odseku 7.
(7)
Rozsah a obsah kurzov a podrobnosti o odbornej príprave z kybernetickej bezpečnosti
v civilnom letectve upraví Národný program bezpečnostnej ochrany civilného letectva
Slovenskej republiky.“.
Poznámky pod čiarou k odkazom 8l až 8o znejú:
„“.
8l) Bod 11.2. prílohy vykonávacieho nariadenia Komisie (EÚ) 2015/1998 z 5. novembra
2015, ktorým sa stanovujú podrobné opatrenia na vykonávanie spoločných základných
noriem bezpečnostnej ochrany letectva (Ú. v. EÚ L 299, 14. 11. 2015) v platnom znení.
8m) Bod 11.2.8.2. prílohy vykonávacieho nariadenia (EÚ) 2015/1998 v platnom znení.
8n) Zákon č. 53/2023 Z. z. o akreditácii orgánov posudzovania zhody.
8o) Príloha č. 14 vyhlášky Národného bezpečnostného úradu č. 492/2022 Z. z., ktorou
sa ustanovujú znalostné štandardy v oblasti kybernetickej bezpečnosti.“.
4.
V § 47 písm. k) sa slovo „akreditáciu“ nahrádza slovom „osvedčenie“ a vypúšťajú sa
slová „a opakovanej odbornej prípravy v oblasti bezpečnostnej ochrany“.
5.
V § 48 ods. 1 písm. v) sa slová „§ 51 ods. 2 až 6“ nahrádzajú slovami „§ 51 ods.
2 až 7“.
6.
V § 51 ods. 1 sa vypúšťa písmeno e).
Doterajšie písmeno f) sa označuje ako písmeno e).
7.
V § 51 sa za odsek 1 vkladá nový odsek 2, ktorý znie:
„(2)
Ministerstvo uloží pokutu do 40 000 eur osobe, ktorá poskytuje odbornú prípravu
a)
v oblasti bezpečnostnej ochrany bez osvedčenia,
b)
v oblasti bezpečnostnej ochrany v rozpore s podmienkami uvedenými v osvedčení,
c)
v oblasti bezpečnostnej ochrany bez schváleného obsahu kurzov,
d)
v oblasti bezpečnostnej ochrany v rozpore so schváleným rozsahom a obsahom kurzov,
e)
z kybernetickej bezpečnosti v civilnom letectve bez certifikátu podľa § 34b ods.
6 písm. a) alebo
f)
z kybernetickej bezpečnosti v civilnom letectve v rozpore s rozsahom a obsahom kurzov
odbornej prípravy z kybernetickej bezpečnosti v civilnom letectve.“.
Doterajšie odseky 2 až 8 sa označujú ako odseky 3 až 9.
8.
V § 55 ods. 2 písm. i) sa slová „§ 34a ods. 8“ nahrádzajú slovami „§ 34b ods. 2“.
9.
Za § 57ja sa vkladá § 57jb, ktorý vrátane nadpisu znie:
㤠57jb
Prechodné ustanovenia k úpravám účinným od 1. januára 2025
(1)
Konanie začaté podľa § 34a ods. 8 v znení účinnom do 31. decembra 2024 a právoplatne
neskončené do 31. decembra 2024 sa dokončí podľa predpisov účinných od 1. januára
2025.
(2)
Právoplatné rozhodnutie o udelení akreditácie podľa § 34a ods. 8 v znení účinnom
do 31. decembra 2024 vydané podľa doterajších predpisov, zostáva v platnosti do uplynutia
času, na ktorý bolo vydané.“.
Čl. V
Zákon č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých
zákonov v znení zákona č. 238/2006 Z. z., zákona č. 21/2007 Z. z., zákona č. 94/2007
Z. z., zákona č. 335/2007 Z. z., zákona č. 408/2008 Z. z., zákona č. 120/2010 Z. z.,
zákona č. 145/2010 Z. z., zákona č. 350/2011 Z. z., zákona č. 143/2013 Z. z., zákona
č. 314/2014 Z. z., zákona č. 54/2015 Z. z., zákona č. 91/2016 Z. z., zákona č. 125/2016
Z. z., zákona č. 96/2017 Z. z., zákona č. 18/2018 Z. z., zákona č. 87/2018 Z. z.,
zákona 177/2018 Z. z., zákona 308/2018 Z. z., zákona č. 279/2019 Z. z., zákona č.
310/2021 Z. z., zákona č. 363/2021 Z. z., zákona č. 146/2023 Z. z., zákona č. 205/2023,
zákona č. 309/2023 Z. z. a zákona č. 161/2024 Z. z. sa mení takto:
1.
V § 4 ods. 1 písmeno b) znie:
„b)
vykonáva štátny dozor v oblasti využívania jadrovej energie, pri fyzickej ochrane,
kybernetickej bezpečnosti a pri havarijnom plánovaní,“.
2.
V § 31 ods. 11 písmená a) a c) znejú:
„a)
vstupovať kedykoľvek bez obmedzenia do objektov držiteľov povolení a do priestorov
jadrových zariadení a do priestorov, v ktorých sa nachádzajú jadrové materiály, špeciálne
materiály a zariadenia alebo sa nakladá s rádioaktívnymi odpadmi alebo s vyhoretým
jadrovým palivom, vykonávať v nich inšpekčnú činnosť, presvedčovať sa u odborne spôsobilých
zamestnancov, vybraných zamestnancov, ak práve nevykonávajú činnosť s priamym vplyvom
na jadrovú bezpečnosť, o ich znalostiach predpisov, zisťovať stav, príčiny a následky
prevádzkovej udalosti a udalosti pri preprave rádioaktívnych materiálov, ako aj kontrolovať
stav havarijnej pripravenosti, vykonávať kontrolu dodržiavania jadrovej bezpečnosti,
fyzickej ochrany, kybernetickej bezpečnosti, dodržiavania prevádzkových predpisov,
preverovať odbornú spôsobilosť zamestnancov držiteľa povolenia a zúčastňovať sa na
vyšetrovaní prevádzkových udalostí a udalostí pri preprave rádioaktívnych materiálov,
c)
požadovať predloženie dokumentácie, záznamov alebo iných dokladov potrebných na výkon
inšpekčnej činnosti a požadovať ich kópie a poskytnutie informácií a vysvetlení vrátane
záverečnej správy o výsledkoch auditu kybernetickej bezpečnosti podľa osobitného predpisu38d) v oblastiach týkajúcich sa jadrovej bezpečnosti,“.
Poznámka pod čiarou k odkazu 38d znie:
„38d) § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých
zákonov v znení neskorších predpisov.“.
Čl. VI
Zákon č. 452/2021 Z. z. o elektronických komunikáciách v znení zákona č. 533/2021 Z. z., zákona č. 351/2022
Z. z., zákona č. 205/2023 Z. z., zákona č. 287/2023 Z. z., zákona č. 46/2024 Z. z.,
zákona č. 108/2024 Z. z. a zákona č. 334/2024 Z. z. sa mení a dopĺňa takto:
1.
V § 4 sa odsek 5 dopĺňa písmenom r), ktoré znie:
„r)
uznáva školiace stredisko podľa § 52a.“.
2.
Poznámka pod čiarou k odkazu 76 znie:
„76) § 12 ods. 4 písm. a) zákona č. 192/2023 Z. z. o registri trestov a o zmene a doplnení
niektorých zákonov.“.
3.
V § 52 ods. 8 sa vypúšťa druhá a tretia veta.
4.
Za § 52 sa vkladá § 52a, ktorý znie:
㤠52a
(1)
Fyzická osoba, ktorá bude obsluhovať vybrané rádiové zariadenie vybavené zariadeniami
GMDSS na lodiach, ktoré nie sú povinne týmito zariadeniami vybavené, je povinná pred
vykonaním skúšky absolvovať praktický výcvik v školiacom stredisku uznanom úradom
(ďalej len „školiace stredisko“). Podrobnosti o postupe a spôsobe uznávania školiaceho
strediska podľa prvej vety, rozsah povinného technického vybavenia školiaceho strediska
a náležitosti popisu priebehu plánu praktického výcviku (ďalej len „plán praktického
výcviku“) ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
(2)
Žiadosť o uznanie školiaceho strediska môže podať úradu fyzická osoba alebo právnická
osoba, ktorá má záujem vykonávať praktický výcvik podľa odseku 1 (ďalej len „žiadateľ
o uznanie školiaceho strediska“).
(3)
Žiadosť o uznanie školiaceho strediska obsahuje
a)
identifikačné údaje žiadateľa o uznanie školiaceho strediska v rozsahu
1.
meno a priezvisko, identifikačné číslo alebo daňové identifikačné číslo, ak mu bolo
pridelené, ak ide o fyzickú osobu,
2.
obchodné meno, identifikačné číslo organizácie alebo rovnocenné registračné číslo
pridelené v inom členskom štáte a právnu formu, ak ide o právnickú osobu,
3.
obchodné meno, identifikačné číslo organizácie, ak bolo pridelené alebo rovnocenné
registračné číslo pridelené v inom členskom štáte, ak ide o fyzickú osobu – podnikateľa,
b)
poštovú adresu sídla žiadateľa o uznanie školiaceho strediska v Európskej únii, a
adresu organizačnej zložky v Slovenskej republike, ak má takúto organizačnú zložku
zriadenú,
c)
osobu alebo osoby, ktoré sú oprávnené konať v mene fyzickej osoby alebo právnickej
osoby vo veci podania žiadosti a kontaktné údaje tejto osoby alebo osôb,
d)
webové sídlo, ak je zriadené,
e)
predpokladaný dátum začatia činnosti školiaceho strediska,
f)
prílohy podľa odseku 4.
(4)
Prílohami k žiadosti o uznanie školiaceho strediska sú
a)
plán praktického výcviku,
b)
osnovy a metodika praktického výcviku podľa osobitného predpisu,86a)
c)
vzor potvrdenia o absolvovaní praktického výcviku,
d)
zoznam odborne spôsobilých školiteľov,
e)
doklad o zaplatení správneho poplatku.
(5)
Požiadavky, ktoré musí žiadateľ o uznanie školiaceho strediska spĺňať sú
a)
základné technické vybavenie školiaceho strediska,
b)
odborne spôsobilý školiteľ,
c)
osnovy a metodika praktického výcviku podľa odporúčania CEPT ERC/REC 31-04 a
d)
plán praktického výcviku.
(6)
Odborne spôsobilým školiteľom je osoba s vysokoškolským vzdelaním v študijnom programe
so zameraním na elektrotechniku, osoba s úplným stredným odborným vzdelaním v študijnom
odbore elektrotechnika alebo držiteľ preukazu odbornej spôsobilosti veliteľa rekreačného
plavidla stupňa A alebo stupňa B podľa osobitného predpisu.86a) Odborne spôsobilý školiteľ musí byť držiteľom osvedčenia operátora plavebnej pohyblivej
služby SRC (Short Range Certificate).
(7)
Úrad na základe úplnej žiadosti o uznanie školiaceho strediska overí splnenie požiadaviek
podľa odseku 5. Ak žiadateľ o uznanie školiaceho strediska spĺňa požiadavky podľa
odseku 5, úrad mu vydá rozhodnutie o uznaní školiaceho strediska, inak úrad žiadosť
o uznanie školiaceho strediska zamietne.
(8)
Úrad rozhodnutie o uznaní školiaceho strediska zruší, ak školiace stredisko
a)
prestalo spĺňať požiadavky podľa odseku 5 alebo ustanovené všeobecne záväzným právnym
predpisom podľa odseku 1,
b)
opakovane porušilo povinnosti podľa odsekov 10 až 14,
c)
požiadalo o zrušenie rozhodnutia o uznaní školiaceho strediska.
(9)
Úrad vedie evidenciu školiacich stredísk a ich zoznam zverejňuje na svojom webovom
sídle.
(10)
Školiace stredisko je povinné
a)
poskytovať každý praktický výcvik v rozsahu najmenej desať hodín v súlade s osnovami,
metodikou a plánom praktického výcviku podľa odseku 5 písm. c) a d),
b)
oznámiť úradu akékoľvek zmeny v osnovách, metodike a pláne praktického výcviku a
zozname školiteľov do piatich pracovných dní odo dňa, kedy zmena nastala.
(11)
Školiace stredisko písomne informuje úrad o čase a mieste konania praktického výcviku
najneskôr tri dni vopred.
(12)
Školiace stredisko vydá absolventovi praktického výcviku potvrdenie o absolvovaní
praktického výcviku, ktoré obsahuje
a)
identifikačné údaje školiaceho strediska podľa odseku 3 písm. a),
b)
meno, priezvisko, titul absolventa praktického výcviku,
c)
dátum narodenia absolventa praktického výcviku,
d)
termín konania praktického výcviku,
e)
dátum a miesto vystavenia potvrdenia o absolvovaní praktického výcviku,
f)
meno a podpis osoby zastupujúcej školiace stredisko.
(13)
Školiace stredisko vedie evidenciu účastníkov praktického výcviku.
(14)
Školiace stredisko zašle úradu zoznam absolventov praktického výcviku do siedmich
dní po ukončení praktického výcviku.“.
Poznámka pod čiarou k odkazu 86a) znie:
„86a) § 2 ods. 1 písm. a) a b) vyhlášky Ministerstva dopravy, pôšt a telekomunikácií Slovenskej
republiky č. 54/2002 Z. z., ktorou sa ustanovujú podrobnosti o technickej spôsobilosti
rekreačného plavidla a odbornej spôsobilosti veliteľa rekreačného plavidla.“.
5.
§ 103 až 107 sa vypúšťajú.
Poznámky pod čiarou k odkazom 116 až 118 sa vypúšťajú.
6.
V § 117 ods. 20 sa slová „kybernetického bezpečnostného incidentu (III) stupňa“ nahrádzajú
slovami „závažného kybernetického bezpečnostného incidentu“.
7.
V § 124 ods. 1 sa vypúšťajú slová „§ 103 ods. 1 a 4, § 104 ods. 1, 3 až 5,“ a slová
„§ 105,“.
8.
V § 124 ods. 3 sa vypúšťajú slová „§ 102 ods. 3 a 4, § 106,“.
Čl. VII
Tento zákon nadobúda účinnosť 1. januára 2025.
Peter Pellegrini v. r.
v z. Peter Žiga v. r.
Robert Fico v. r.
v z. Peter Žiga v. r.
Robert Fico v. r.
