367/2024 Z. z.

Časová verzia predpisu účinná od 01.01.2025

icon-warning

Obsah zobrazeného právneho predpisu má informatívny charakter, právne záväzný obsah sa nachádza v pdf verzii právneho predpisu.

História button-close
Dátum účinnostiNovela
1.Vyhlásené znenie
2.01.01.2025 -
Obsah
button-close
Čl. I
§ 1 Predmet a pôsobnosť zákona
(1)
a)
b)
c)
d)
e)
(2)
(3)
§ 2 Vymedzenie základných pojmov
Pôsobnosť orgánov štátnej správy na úseku kritickej infraštruktúry
§ 3
§ 4
§ 5
§ 6
§ 7 Stratégia
(1)
a)
b)
c)
d)
e)
f)
g)
h)
(2)
§ 8 Posúdenie rizika ústredným orgánom
(1)
(2)
(3)
a)
b)
c)
d)
e)
f)
(4)
(5)
§ 9 Identifikácia kritických subjektov a kritických subjektov osobitného európskeho významu
(1)
a)
b)
c)
(2)
(3)
(4)
(5)
(6)
a)
b)
c)
(7)
(8)
(9)
(10)
§ 10 Opatrenia na zabezpečenie odolnosti kritických subjektov
(1)
a)
b)
c)
d)
e)
f)
(2)
(3)
(4)
(5)
§ 11 Povinnosti kritického subjektu
(1)
(2)
(3)
(4)
a)
b)
c)
d)
e)
1.
2.
3.
4.
5.
f)
g)
h)
(5)
a)
b)
c)
d)
(6)
(7)
a)
b)
(8)
(9)
§ 12 Kontaktná osoba a oprávnená osoba kritického subjektu
(1)
(2)
(3)
(4)
(5)
(6)
§ 13 Limitovaná informácia
(1)
(2)
§ 14 Oznamovanie incidentov a významnosť vplyvu na poskytovanie základnej služby
(1)
(2)
(3)
a)
b)
c)
d)
e)
f)
(4)
(5)
a)
b)
c)
d)
e)
f)
g)
(6)
(7)
(8)
(9)
a)
b)
c)
(10)
§ 15 Podpora orgánov štátnej správy na úseku kritickej infraštruktúry kritickým subjektom
(1)
(2)
(3)
(4)
§ 16 Kontrola a audit
(1)
(2)
(3)
(4)
a)
b)
(5)
(6)
§ 17 Priestupky
(1)
(2)
(3)
(4)
§ 18 Iné správne delikty
(1)
(2)
(3)
(4)
(5)
(6)
(7)
(8)
(9)
(10)
(11)
Spoločné, prechodné a záverečné ustanovenia
§ 19
(1)
(2)
(3)
§ 20
(1)
(2)
(3)
(4)
(5)
(6)
§ 21
(1)
(2)
(3)
§ 22
§ 23
Čl. II
1.
2.
Čl. III
1.
2.
3.
Čl. IV
Čl. V
1.
2.
3.
(9)
(10)
(11)
(12)
a)
b)
c)
d)
(13)
(14)
4.
5.
6.
7.
Čl. VI
Čl. VII
1.
2.
3.
Čl. VIII
1.
2.
Čl. IX
1.
2.
Čl. X
1.
2.
3.
Čl. XI
1.
2.
Čl. XII
Prílohy
Poznámky
button-searchbutton-downloadbutton-printbutton-historybutton-content
button-search button-download button-print button-history button-content
Číslo predpisu:367/2024 Z. z.
Názov:Zákon o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov
Typ:Zákon
Dátum schválenia:27.11.2024
Dátum vyhlásenia:19.12.2024
Dátum účinnosti od:01.01.2025
Autor:Národná rada Slovenskej republiky
Právna oblasť:
  • Rozpočtové právo
  • Energetika a priemysel
  • Štátna správa
  • Verejný ochranca práv
  • Bezpečnosť a obrana štátu
  • Cestná doprava
  • Pozemné komunikácie
  • Vodná doprava
  • Vzdušná doprava
  • Železničná doprava
  • Informácie a informačný systém
  • Lekári, zdravotnícki zamestnanci
  • Lekárske komory
  • Zdravotnícke zariadenia
  • Ochrana životného prostredia
  • Vlastnícke práva

17/1992 Zb. Zákon o životnom prostredí
211/2000 Z. z. Zákon o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií)
319/2002 Z. z. Zákon o obrane Slovenskej republiky
215/2004 Z. z. Zákon o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov
578/2004 Z. z. Zákon o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých zákonov
87/2018 Z. z. Zákon o radiačnej ochrane a o zmene a doplnení niektorých zákonov
95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov
452/2021 Z. z. Zákon o elektronických komunikáciách
497/2022 Z. z. Zákon o preverovaní zahraničných investícií a o zmene a doplnení niektorých zákonov
500/2022 Z. z. Zákon o Vojenskom spravodajstve

45/2011 Z. z. Zákon o kritickej infraštruktúre
367
ZÁKON
z 27. novembra 2024
o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
§ 1
Predmet a pôsobnosť zákona
(1)
Tento zákon upravuje
a)
organizáciu a pôsobnosť orgánov štátnej správy na úseku kritickej infraštruktúry,
b)
postup pri identifikácii kritického subjektu a kritického subjektu osobitného európskeho významu,
c)
povinnosti kritického subjektu pri zabezpečovaní odolnosti kritickej infraštruktúry a zabezpečovaní kontinuity poskytovania základnej služby,
d)
zodpovednosť za porušenie povinností ustanovených týmto zákonom,
e)
kontrolu nad dodržiavaním tohto zákona a audit.
(2)
Tento zákon sa nevzťahuje na kritické subjekty v sektore vesmír, ktoré prevádzkujú infraštruktúru, ktorú vlastní, riadi alebo prevádzkuje Európska únia ako súčasť svojho vesmírneho programu, alebo je vlastnená, riadená alebo prevádzkovaná v jej mene.
(3)
Tento zákon sa nevzťahuje na činnosti na úseku obrany Slovenskej republiky, na vyšetrovanie, odhaľovanie a stíhanie trestných činov, na platobné systémy, systémy zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom.
§ 2
Vymedzenie základných pojmov
Na účely tohto zákona sa rozumie
a)
kritickou infraštruktúrou aktívum, zariadenie, vybavenie, sieť alebo systém, alebo časť aktíva, zariadenia, vybavenia, siete alebo systému, ktoré sú nevyhnutné na poskytovanie základnej služby,
b)
základnou službou služba kritického subjektu, ktorá má zásadný význam z hľadiska zachovania životne dôležitých spoločenských funkcií alebo hospodárskych činností, vrátane ochrany verejného zdravia, bezpečnosti alebo životného prostredia a ktorá je uvedená v prílohe č. 1,
c)
kritickým subjektom právnická osoba alebo fyzická osoba – podnikateľ, ktorá poskytuje základnú službu podľa prílohy č. 1 a ktorá je postupom podľa tohto zákona identifikovaná ako kritický subjekt,
d)
odolnosťou schopnosť predchádzať incidentu, chrániť sa pred incidentom a reagovať naň, odolávať mu, zmierňovať ho, absorbovať ho, prispôsobiť sa mu a zotaviť sa z neho,
e)
incidentom udalosť, ktorá môže významne narušiť alebo ktorá narúša poskytovanie základnej služby kritickým subjektom, alebo ktorá ovplyvňuje vnútroštátne systémy, ktoré chránia právny štát,
f)
rizikom miera ohrozenia, ktorá môže mať nepriaznivý vplyv na odolnosť kritických subjektov, vyjadrená pravdepodobnosťou vzniku incidentu a jeho dôsledkami,
g)
posúdením rizika celkový proces hodnotenia rizík prostredníctvom metód na ich analýzu a identifikáciu hrozieb, nebezpečenstiev a zraniteľností, ktoré by mohli ohroziť poskytovanie základnej služby kritickým subjektom alebo ktoré narúšajú poskytovanie základnej služby kritickým subjektom,
h)
limitovanou informáciou neverejná informácia na úseku kritickej infraštruktúry, ktorej zverejnenie by mohlo ohroziť poskytovanie základnej služby kritickým subjektom,
i)
mechanickým zábranným prostriedkom najmä prostriedok
1.
obvodovej ochrany, najmä oplotenie, pevná bariéra, brána, závora alebo turniket,
2.
plášťovej ochrany, najmä stavebné prvky budov alebo otvorové výplne (dvere, mreža, bezpečnostné sklo a bezpečnostná zámka),
3.
predmetovej ochrany, najmä komorový trezor alebo komerčný úschovný objekt,
j)
technickým zabezpečovacím prostriedkom najmä systém kontroly vstupu, elektronický zabezpečovací systém, kamerový systém, elektrická požiarna signalizácia, zariadenie na detekciu látok a predmetov, zariadenie proti odpočúvaniu, zariadenie na fyzické ničenie nosičov informácií a zariadenie na detekciu bezpilotných leteckých systémov,
k)
subjektom verejnej správy ministerstvo podľa osobitného predpisu1) a ostatný ústredný orgán štátnej správy podľa osobitného predpisu2) okrem Slovenskej informačnej služby,
l)
oprávnenou osobou fyzická osoba, ktorá plní v kritickom subjekte nevyhnutné úlohy pri zabezpečovaní odolnosti kritickej infraštruktúry a ktorej bol v tejto súvislosti povolený priamy prístup alebo diaľkový prístup do priestorov kritického subjektu, ku kritickej infraštruktúre, k limitovaným informáciám alebo ku kontrolným systémom,
m)
členským štátom členský štát Európskej únie.
Pôsobnosť orgánov štátnej správy na úseku kritickej infraštruktúry
§ 3
Štátnu správu na úseku kritickej infraštruktúry vykonáva
a)
vláda Slovenskej republiky (ďalej len „vláda“),
b)
Ministerstvo vnútra Slovenskej republiky (ďalej len „ministerstvo vnútra“),
c)
Ministerstvo hospodárstva Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky, Ministerstvo dopravy Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky, Ministerstvo zdravotníctva Slovenskej republiky, Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky, ministerstvo vnútra, Národný bezpečnostný úrad a Správa štátnych hmotných rezerv Slovenskej republiky (ďalej len „ústredný orgán“).
§ 4
Vláda na úseku kritickej infraštruktúry schvaľuje stratégiu odolnosti kritických subjektov (ďalej len „stratégia“), v ktorej určuje na príslušné obdobie ciele, priority a úlohy, ako aj spôsoby a opatrenia ich uskutočňovania, a finančné zabezpečenie úloh vyplývajúcich z tohto zákona.
§ 5
Ministerstvo vnútra na úseku kritickej infraštruktúry
a)
vypracúva v spolupráci s ústrednými orgánmi návrh stratégie, ktorý predkladá vláde,
b)
poskytuje súčinnosť pri výkone štátnej správy uskutočňovanej ústrednými orgánmi,
c)
určuje v rámci svojej pôsobnosti rozsah limitovaných informácií3) a je oprávnené vyzvať kritický subjekt na poskytnutie limitovanej informácie,
d)
spravuje verejnú časť zoznamu identifikovaných kritických subjektov pre každý sektor a podsektor a pre každú základnú službu podľa prílohy č. 1 v rozsahu:
1.
názov ústredného orgánu, sektor, podsektor, obchodné meno alebo názov, sídlo, poskytovaná základná služba podľa prílohy č. 1, ak kritický subjekt je právnická osoba,
2.
názov ústredného orgánu, sektor, podsektor, obchodné meno, miesto podnikania, poskytovaná základná služba podľa prílohy č. 1, ak kritický subjekt je fyzická osoba – podnikateľ,
e)
spravuje neverejnú časť zoznamu identifikovaných kritických subjektov pre každý sektor a podsektor a pre každú základnú službu podľa prílohy č. 1 v rozsahu:
1.
popis kritickej infraštruktúry poskytujúcej základné služby, kontaktná osoba, dotknutý členský štát, meno, priezvisko a adresa trvalého pobytu štatutárneho orgánu alebo členov štatutárneho orgánu, identifikačné číslo organizácie, ak kritický subjekt je právnická osoba,
2.
popis kritickej infraštruktúry poskytujúcej základné služby, kontaktná osoba, dotknutý členský štát, adresa trvalého pobytu, identifikačné číslo organizácie, ak kritický subjekt je fyzická osoba – podnikateľ,
3.
zoznam všetkých incidentov,
f)
je jednotným kontaktným miestom pre zabezpečenie odolnosti kritických subjektov a kritických subjektov osobitného európskeho významu, zabezpečuje spoluprácu s Európskou komisiou (ďalej len „Komisia“), Skupinou pre odolnosť kritických subjektov Komisie a s jednotnými kontaktnými miestami iných členských štátov, najmä
1.
plní voči orgánom Európskej únie a agentúram Európskej únie informačnú povinnosť a oznamovaciu povinnosť,
2.
oznamuje Komisii správy o posúdení rizika ústredným orgánom podľa § 8 ods. 1 a jej významné zmeny do troch mesiacov od ich predloženia,
3.
oznamuje Komisii schválenie stratégie a jej významné zmeny do troch mesiacov od ich schválenia,
4.
informuje Komisiu podľa potreby, najmenej raz za štyri roky v súhrnnej podobe o počte kritických subjektov identifikovaných pre každý sektor a podsektor, o zozname základných služieb podľa prílohy č. 1, ak existujú ďalšie základné služby v porovnaní so zoznamom základných služieb podľa osobitného predpisu,4) a o prahových hodnotách použitých na určenie jedného alebo viacerých kritérií pre kritériá významnosti vplyvu podľa § 14 ods. 3 pre sektor a podsektor a pre základnú službu podľa prílohy č. 1,
5.
informuje Komisiu o zavedených opatreniach kritických subjektov a kritických subjektov osobitného európskeho významu,
6.
predkladá každé dva roky Komisii a Skupine pre odolnosť kritických subjektov Komisie súhrnnú správu o prijatých oznámeniach o incidentoch vrátane ich počtu a povahy a o prijatých opatreniach na zabezpečenie odolnosti kritických subjektov,
7.
môže požiadať Komisiu o konzultáciu pri určovaní kritických subjektov osobitného európskeho významu,
8.
poskytuje súčinnosť Komisii pri organizovaní poradnej misie Komisie (ďalej len „poradná misia“) s cieľom posúdiť opatrenia, ktoré kritický subjekt osobitného európskeho významu zaviedol na splnenie svojich povinností, predkladá Komisii relevantné časti posúdenia rizika kritickým subjektom, zoznam prijatých opatrení kritického subjektu podľa § 10, spolu so závermi kontrol, alebo iných podkladov získaných podľa § 16, ktoré ministerstvu vnútra zasiela ústredný orgán,
9.
navrhuje kandidátov za Slovenskú republiku, ktorí majú byť súčasťou poradnej misie,
10.
spolupracuje s dotknutým členským štátom a Komisiou ohľadom kritických subjektov osobitného európskeho významu,
11.
zúčastňuje sa spolu s ústredným orgánom rokovania s príslušným orgánom dotknutého členského štátu pri určovaní kritických subjektov osobitného európskeho významu,
12.
informuje dotknutý členský štát o vyradení zo zoznamu kritického subjektu osobitného európskeho významu a o dôvode tohto vyradenia,
13.
oznamuje bez zbytočného odkladu jednotným kontaktným miestam iných dotknutých členských štátov incident, ktorý mu oznámil ústredný orgán, ktorý má alebo môže mať významný rušivý vplyv na kritické subjekty a kontinuitu poskytovania základných služieb do jedného členského štátu alebo viacerých členských štátov alebo v nich,
14.
vedie konzultácie s jednotnými kontaktnými miestami iných členských štátov, ktoré sa týkajú kritických subjektov s cieľom zvýšiť odolnosť kritických subjektov a, ak je to možné, znížiť ich administratívne zaťaženie; tieto konzultácie sa uskutočnia najmä v súvislosti s kritickými subjektmi, ktoré využívajú kritickú infraštruktúru, ktorá je fyzicky prepojená medzi dvoma alebo viacerými členskými štátmi, sú súčasťou podnikových štruktúr, ktoré sú prepojené alebo spojené s kritickými subjektmi v iných členských štátoch alebo ktoré boli identifikované ako kritické subjekty v jednom členskom štáte a základné služby poskytujú do iných členských štátov alebo v nich,
g)
podieľa sa na vytváraní partnerstiev na národnej a medzinárodnej úrovni na úseku kritickej infraštruktúry a podporuje ich.
§ 6
Ústredný orgán na úseku kritickej infraštruktúry v sektore a podsektore svojej pôsobnosti podľa prílohy č. 1
a)
spolupodieľa sa na vypracovaní stratégie a navrhuje prahové hodnoty pre kritériá významnosti vplyvu podľa § 14 ods. 3 pre sektor a podsektor a pre základnú službu podľa prílohy č. 1, po vykonaní konzultácií so združeniami podnikateľov,
b)
posudzuje a vyhodnocuje riziká v sektore a podsektore podľa prílohy č. 1 vrátane určenia prahových hodnôt incidentov podľa § 8 ods. 3 písm. e) za príslušné sektory a podsektory podľa prílohy č. 1, posudzuje a vyhodnocuje riziká kritických subjektov za príslušné sektory a podsektory podľa prílohy č. 1, ktoré priamo súvisia s poskytovaním základnej služby, a výslednú správu predkladá ministerstvu vnútra,
c)
identifikuje kritický subjekt, zaraďuje a vyraďuje kritický subjekt zo sektora a podsektora podľa prílohy č. 1,
d)
oznamuje kritickému subjektu, že bol identifikovaný ako kritický subjekt, a jeho zaradenie a vyradenie zo sektora a podsektora podľa prílohy č. 1,
e)
oznamuje ministerstvu vnútra identifikáciu kritického subjektu a jeho zaradenie a vyradenie zo sektora a podsektora podľa prílohy č. 1,
f)
spravuje neverejnú časť zoznamu identifikovaných kritických subjektov v tomto rozsahu:
1.
názov ústredného orgánu, sektor, podsektor, obchodné meno alebo názov, sídlo, poskytovaná základná služba podľa prílohy č. 1, ak kritický subjekt je právnická osoba,
2.
názov ústredného orgánu, sektor, podsektor, obchodné meno, miesto podnikania, poskytovaná základná služba podľa prílohy č. 1, ak kritický subjekt je fyzická osoba – podnikateľ,
3.
popis kritickej infraštruktúry poskytujúcej základné služby, kontaktná osoba, dotknutý členský štát, identifikačné číslo organizácie, ak kritický subjekt je právnická osoba,
4.
popis kritickej infraštruktúry poskytujúcej základné služby, kontaktná osoba, dotknutý členský štát, adresa trvalého pobytu, identifikačné číslo organizácie, ak kritický subjekt je fyzická osoba – podnikateľ,
5.
zoznam všetkých incidentov,
g)
prehodnocuje podľa potreby, najmenej raz za štyri roky zoznam kritických subjektov,
h)
oznamuje bez zbytočného odkladu ministerstvu vnútra zmenu v zozname kritických subjektov,
i)
odporúča minimálne opatrenia na zabezpečenie odolnosti kritických subjektov podľa § 10 vo svojom sektore a podsektore podľa prílohy č. 1 vrátane používania noriem a technických špecifikácií5) vhodných pre kritické subjekty,
j)
posudzuje a vyhodnocuje prijaté bezpečnostné plány kritického subjektu z hľadiska zabezpečenia odolnosti kritického subjektu a zohľadnenia posúdenia rizika kritickým subjektom a posúdenia rizika ústredným orgánom,
k)
určuje v spolupráci s kritickými subjektmi v rámci svojej pôsobnosti rozsah limitovaných informáciía je oprávnený vyzvať kritický subjekt na poskytnutie limitovanej informácie,
l)
poskytuje súčinnosť Komisii a ministerstvu vnútra pri organizovaní poradnej misie s cieľom posúdiť opatrenia, ktoré uvedený kritický subjekt zaviedol na splnenie svojich povinností, predkladá ministerstvu vnútra relevantné časti posúdenia rizika kritickým subjektom, zoznam prijatých opatrení kritického subjektu podľa § 10, spolu so závermi kontrol, prípadne iných podkladov získaných podľa § 16 zaslaných mu kritickým subjektom,
m)
vypracúva zameranie kontrolnej činnosti a kontroluje plnenie povinností a dohliada na plnenie opatrení kritických subjektov na zabezpečenie odolnosti kritických subjektov,
n)
predkladá ministerstvu vnútra do 31. marca súhrnnú správu o kontrole kritických subjektov za predchádzajúci kalendárny rok,
o)
prejednáva priestupky a iné správne delikty na úseku kritickej infraštruktúry,
p)
oznamuje bez zbytočného odkladu ministerstvu vnútra všetky incidenty,
q)
je oprávnený vyzvať kritický subjekt na poskytnutie informácií, podkladov a vysvetlení, ktoré sa týkajú odolnosti kritickej infraštruktúry, ktorú kritický subjekt prevádzkuje, a ktorá môže byť nepriaznivo ovplyvnená zahraničnou investíciou podľa osobitného predpisu,6)
r)
podieľa sa na vytváraní partnerstiev na národnej a medzinárodnej úrovni na úseku kritickej infraštruktúry a podporuje ich.
§ 7
Stratégia
(1)
Stratégia obsahuje najmä
a)
strategické ciele a priority na účely zvýšenia celkovej odolnosti kritických subjektov s prihliadnutím na cezhraničné a medzisektorové závislosti a vzájomné závislosti,
b)
rámec riadenia na dosiahnutie strategických cieľov a priorít vrátane opisu úloh a zodpovedností orgánov štátnej správy na úseku kritickej infraštruktúry, kritických subjektov a iných zainteresovaných strán zapojených do vykonávania stratégie,
c)
opis opatrení nevyhnutných na zvýšenie celkovej odolnosti kritických subjektov vrátane opisu posúdenia rizika,
d)
opis procesu, ktorým sa kritické subjekty identifikujú, vrátane určenia prahových hodnôt pre kritériá významnosti vplyvu podľa § 14 ods. 3 pre každý sektor a podsektor a pre každú základnú službu podľa prílohy č. 1,
e)
opis procesu, ktorým sa podporujú kritické subjekty v súlade s týmto zákonom vrátane opatrení na posilnenie spolupráce medzi verejným sektorom a súkromným sektorom,
f)
zoznam orgánov štátnej správy a príslušných zainteresovaných strán okrem kritických subjektov zapojených do vykonávania stratégie,
g)
rámec pre koordináciu medzi orgánmi štátnej správy podľa tohto zákona a orgánmi štátnej správy na úseku kybernetickej bezpečnosti podľa osobitného predpisu7) na účely zdieľania informácií o kybernetických bezpečnostných rizikách, kybernetických hrozbách, kybernetických bezpečnostných incidentoch a nekybernetických rizikách, hrozbách a incidentoch a vykonávanie úloh dohľadu,
h)
opis už zavedených opatrení, ktoré sú zamerané na uľahčenie vykonávania povinností malými a strednými podnikmi, ktoré sú identifikované ako kritické subjekty.
(2)
Aktualizácia stratégie sa vykonáva podľa potreby, najmenej raz za štyri roky.
§ 8
Posúdenie rizika ústredným orgánom
(1)
Ústredný orgán predkladá ministerstvu vnútra správy o posúdení rizika v sektoroch a podsektoroch podľa prílohy č. 1. Posúdenie rizika sa vykonáva podľa potreby, najmenej raz za štyri roky. Ústredný orgán aktualizuje posúdenie rizika vždy, keď dôjde k zmene v posudzovaných rizikách podľa odseku 3, ktoré majú alebo môžu mať významný vplyv na poskytovanie základných služieb uvedených v prílohe č. 1 kritickými subjektmi, a bez zbytočného odkladu o tom predloží správu ministerstvu vnútra.
(2)
Posúdenie rizika sa využíva pri identifikovaní kritických subjektov podľa § 9 a na pomoc kritickým subjektom pri prijímaní ich opatrení podľa § 10.
(3)
Pri posudzovaní rizika sa zohľadňujú všetky relevantné prírodné riziká a riziká spôsobené ľudskou činnosťou vrátane rizík medzisektorovej povahy alebo rizík cezhraničnej povahy, nehôd, prírodných katastrof, ohrození verejného zdravia, hybridných hrozieb alebo iných hrozieb vrátane trestných činov terorizmu. Posúdenie rizika obsahuje aspoň
a)
všeobecné posúdenie rizika vykonané podľa osobitného predpisu,8)
b)
relevantné posúdenia rizík vykonané podľa osobitných predpisov,9)
c)
analýzu rizík podľa všeobecného predpisu o kybernetickej bezpečnosti,7)
d)
relevantné riziká vyplývajúce z miery, v akej sektory a podsektory uvedené v prílohe č. 1 závisia jeden od druhého, a to aj z miery, v akej závisia od subjektov nachádzajúcich sa v iných členských štátoch a tretích krajinách, a vplyv, ktorý môže mať významné narušenie v jednom sektore a podsektore na iné sektory a podsektory vrátane akýchkoľvek významných rizík pre obyvateľov Slovenskej republiky a vnútorný trh Európskej únie; na tento účel ústredné orgány podľa potreby spolupracujú s príslušnými orgánmi iných členských štátov a s príslušnými orgánmi tretích krajín,
e)
prahové hodnoty incidentov, ktoré zohľadnia najmä počet a podiel používateľov dotknutých narušením, trvanie narušenia a geografické územie dotknuté narušením s prihliadnutím na to, či je toto územie geograficky izolované, a
f)
informácie o incidentoch oznámených podľa § 14.
(4)
Ústredný orgán sprístupňuje relevantné časti posúdenia rizika v príslušnom sektore a podsektore podľa prílohy č. 1 kritickým subjektom na účely vykonania posúdenia rizík kritickým subjektom podľa § 11, prijímania opatrení na zabezpečenie odolnosti kritických subjektov podľa § 10 a oznamovania incidentov podľa § 14. Ústredný orgán bez zbytočného odkladu sprístupní kritickým subjektom relevantné časti posúdenia rizika podľa prvej vety aj vtedy, keď dôjde k aktualizácii posúdenia rizika podľa odseku 1 tretej vety a súčasne určí lehotu, ktorá nesmie byť kratšia ako šesť mesiacov, v ktorej sú kritické subjekty povinné aktualizovať bezpečnostný plán.
(5)
Posúdenie rizika podľa odsekov 1 až 4 sa v sektore energetika, podsektore jadrová energetika vykonáva v takom rozsahu, v akom nie je posúdenie rizika vykonávané iným spôsobom.
§ 9
Identifikácia kritických subjektov a kritických subjektov osobitného európskeho významu
(1)
Ústredný orgán identifikuje subjekt ako kritický subjekt, ak
a)
subjekt poskytuje jednu alebo viacero základných služieb podľa prílohy č. 1,
b)
subjekt pôsobí a jeho kritická infraštruktúra sa nachádza na území Slovenskej republiky a
c)
incident u kritického subjektu by mal na základe splnenia aspoň jedného kritéria významnosti vplyvu podľa § 14 ods. 3 významný rušivý vplyv na poskytovanie jednej alebo viacerých základných služieb kritickým subjektom alebo na poskytovanie iných základných služieb v sektoroch a podsektoroch uvedených v prílohe č. 1, ktoré závisia od uvedenej základnej služby alebo od uvedených základných služieb.
(2)
Ak sú splnené kritériá pre identifikáciu kritického subjektu podľa odseku 1, po zohľadnení stratégie podľa § 7 a posúdení rizika ústredným orgánom podľa § 8, ústredný orgán je povinný najneskôr do 30 dní po identifikácii subjektu ako kritického subjektu písomne oznámiť kritickému subjektu, že bol identifikovaný ako kritický subjekt. Ústredný orgán v oznámení uvedie deň, ku ktorému sa subjekt identifikuje ako kritický subjekt, ktorú základnú službu alebo základné služby podľa prílohy č. 1 kritický subjekt poskytuje, do ktorého sektora a podsektora podľa prílohy č. 1 sa kritický subjekt zaraďuje a splnenie kritéria významnosti vplyvu podľa § 14 ods. 3. Kritický subjekt je povinný dodržiavať povinnosti podľa tohto zákona odo dňa uvedeného v oznámení o identifikovaní ako kritického subjektu, ak nie je v tomto zákone ustanovené inak (§ 10 ods. 1 a § 11 ods. 1).
(3)
Ústredný orgán písomne informuje kritické subjekty v sektore financie a v sektore digitálnej infraštruktúry, že sa na ne nevzťahujú povinnosti uvedené v § 19 ods. 3.
(4)
Ústredný orgán do 30 dní po identifikácii subjektu ako kritického subjektu oznámi orgánom štátnej správy podľa osobitného predpisu7) údaje týkajúce sa identifikovaných kritických subjektov podľa odseku 2 v rozsahu údajov vedených v zozname kritických subjektov podľa § 6 písm. f). Ústredný orgán do 30 dní po identifikácii subjektu ako kritického subjektu oznámi orgánom štátnej správy podľa osobitného predpisu7) údaje týkajúce sa kritických subjektov uvedených v odseku 3 v rozsahu údajov vedených v zozname kritických subjektov podľa § 6 písm. f) s tým, že nemajú povinnosti kritických subjektov podľa tohto zákona.
(5)
Ústredný orgán podľa potreby, najmenej raz za štyri roky preskúmava a aktualizuje zoznam kritických subjektov podľa § 6 písm. f) jeho dopĺňaním o ďalšie identifikované kritické subjekty, alebo ich vyraďovaním z tohto zoznamu kritických subjektov. Ak aktualizácia podľa prvej vety vedie k identifikácii ďalších kritických subjektov, postupuje ústredný orgán podľa odseku 1 až 4. Ak aktualizácia podľa prvej vety vedie k vyradeniu kritických subjektov zo zoznamu kritických subjektov, postupuje ústredný orgán podľa poslednej vety. Ak sa kritický subjekt domnieva, že nespĺňa aspoň jedno kritérium pre identifikáciu kritického subjektu podľa odseku 1, môže písomne požiadať ústredný orgán o preverenie splnenia kritérií podľa odseku 1. Kritický subjekt v žiadosti podľa štvrtej vety poskytne ústrednému orgánu údaje, doklady a vysvetlenia potrebné na posúdenie splnenia kritérií podľa odseku 1. Ak kritický subjekt neuvedie v žiadosti podľa štvrtej vety údaje, doklady a vysvetlenia potrebné na posúdenie splnenia kritérií podľa odseku 1, ústredný orgán žiadosť odloží a písomne o tom informuje kritický subjekt. Ústredný orgán je povinný preveriť žiadosť podľa štvrtej vety, ak obsahuje údaje, doklady a vysvetlenia potrebné na posúdenie splnenia kritérií podľa odseku 1 a písomne sa k nej vyjadriť najneskôr do 60 dní odo dňa doručenia písomnej žiadosti kritického subjektu. Ak nie je splnené aspoň jedno kritérium pre identifikáciu kritického subjektu podľa odseku 1, ústredný orgán vyradí subjekt zo zoznamu kritických subjektov a najneskôr do 30 dní po jeho vyradení informuje o tejto skutočnosti kritický subjekt a o tom, že sa naň nevzťahujú povinnosti podľa tohto zákona odo dňa doručenia tohto oznámenia.
(6)
Kritickým subjektom osobitného európskeho významu je subjekt,
a)
ktorý bol identifikovaný ako kritický subjekt podľa odseku 1,
b)
ktorý poskytuje rovnaké alebo podobné základné služby podľa prílohy č. 1 do šiestich alebo viacerých členských štátov alebo v šiestich alebo viacerých členských štátoch, a
c)
ktorému bolo oznámené, že bol identifikovaný ako kritický subjekt osobitného európskeho významu podľa odseku 8.
(7)
Kritický subjekt, ktorý poskytuje základné služby podľa prílohy č. 1 do šiestich alebo viacerých členských štátov alebo v šiestich alebo viacerých členských štátoch, je povinný informovať o tejto skutočnosti ústredný orgán bez zbytočného odkladu. Ústredný orgán o skutočnosti podľa predchádzajúcej vety informuje ministerstvo vnútra bez zbytočného odkladu. Ministerstvo vnútra oznámi Komisii údaje týkajúce sa kritických subjektov podľa prvej vety bez zbytočného odkladu a súčasne aj uvedie, či poskytované služby sú základnými službami podľa prílohy č. 1.
(8)
Ak Komisia oznámi ministerstvu vnútra, že kritický subjekt podľa odseku 7 sa považuje za kritický subjekt osobitného európskeho významu, ministerstvo vnútra bezodkladne oznámi túto skutočnosť ústrednému orgánu. Ústredný orgán na základe informácie poskytnutej ministerstvom vnútra podľa prvej vety je povinný bez zbytočného odkladu oznámiť dotknutému kritickému subjektu, že bol identifikovaný ako kritický subjekt osobitného európskeho významu a že sa naň vzťahujú povinnosti určené pre takýto subjekt podľa tohto zákona, a to odo dňa doručenia tohto oznámenia. Ústredný orgán vyznačí v zozname kritických subjektov podľa § 6 písm. f) poznámku, že kritický subjekt bol identifikovaný ako kritický subjekt osobitného európskeho významu, a bez zbytočného odkladu oznámi túto skutočnosť ministerstvu vnútra.
(9)
Ak kritický subjekt alebo kritický subjekt osobitného európskeho významu poskytuje základné služby vo viacerých sektoroch a podsektoroch v pôsobnosti viac ako jedného ústredného orgánu podľa prílohy č. 1, každý z týchto ústredných orgánov uplatňuje voči kritickému subjektu práva a povinnosti samostatne, a to len v rozsahu základných služieb, ktoré sú v pôsobnosti konkrétneho ústredného orgánu podľa prílohy č. 1.
(10)
Ak nie je splnené kritérium pre identifikáciu kritického subjektu osobitného európskeho významu uvedené v odseku 6 písm. b), ústredný orgán bez zbytočného odkladu informuje ministerstvo vnútra o tejto skutočnosti spolu so svojím stanoviskom. Ministerstvo vnútra oznámi Komisii údaje týkajúce sa takéhoto kritického subjektu osobitného európskeho významu spolu so stanoviskom ústredného orgánu na účel vykonania konzultácií. Ak po vykonaní konzultácií dospeje Komisia k záveru, že dotknutý subjekt sa už nepovažuje za kritický subjekt osobitného európskeho významu, je ústredný orgán na základe informácie poskytnutej ministerstvu vnútra bez zbytočného odkladu povinný informovať dotknutý kritický subjekt, že už nie je považovaný za kritický subjekt osobitného európskeho významu a že sa naň nevzťahujú povinnosti určené pre takýto subjekt podľa tohto zákona, a to odo dňa doručenia tohto oznámenia.
§ 10
Opatrenia na zabezpečenie odolnosti kritických subjektov
(1)
Kritický subjekt je povinný do desiatich mesiacov odo dňa doručenia oznámenia o jeho identifikovaní ako kritického subjektu podľa § 9 ods. 2 prijať a následne dodržiavať bezpečnostný plán, ktorý obsahuje popis a umiestnenie kritickej infraštruktúry prostredníctvom GPS súradníc a technické opatrenia, organizačné opatrenia, personálne opatrenia a kontrolné opatrenia na zabezpečenie odolnosti kritickej infraštruktúry, najmä opatrenia potrebné na
a)
predchádzanie vzniku incidentov s náležitým zohľadnením opatrení na znižovanie rizika katastrof a adaptáciu na zmenu klímy,
b)
zabezpečenie primeranej fyzickej ochrany a ochrany prostredníctvom mechanických zábranných prostriedkov a technických zabezpečovacích prostriedkov,
c)
reakciu na incidenty, odolávanie incidentom a zmierňovanie ich následkov vrátane protokolov riadenia rizík a krízového riadenia a postupov spojených s bezpečnostnými varovaniami,
d)
zotavenie sa z incidentov s náležitým zohľadnením opatrení na zabezpečenie kontinuity činností a identifikácie alternatívnych dodávateľských reťazcov na obnovenie plynulého poskytovania základnej služby,
e)
zabezpečenie primeraného riadenia bezpečnosti v súvislosti so zamestnancami a externými pracovníkmi s náležitým zohľadnením opatrení, najmä určenie kontaktnej osoby, určenie kategórií oprávnených osôb podľa § 12 ods. 2, určenie kategórií osôb, u ktorých sa vyžaduje preukázanie totožnosti a bezúhonnosť, určenie prístupových práv ku kritickej infraštruktúre a k limitovaným informáciám,
f)
zvyšovanie informovanosti príslušných zamestnancov o opatreniach uvedených v písmenách a) až e), s náležitým zohľadnením kurzov odbornej prípravy, informačných materiálov a cvičení, a určenie požiadaviek na odbornú prípravu a kvalifikácie.
(2)
Opatrenia na zabezpečenie odolnosti kritického subjektu podľa odseku 1 zohľadnia posúdenie rizika kritickým subjektom podľa § 11 a posúdenie rizika ústredným orgánom podľa § 8 ods. 4.
(3)
Ak sa na účel zabezpečenia odolnosti kritického subjektu podľa odseku 1 využíva kamerový systém, kritický subjekt monitoruje kritickú infraštruktúru a jej bezprostredné okolie v rozsahu nevyhnutnom10) na dosiahnutie tohto účelu, čo kritický subjekt riadne odôvodní v bezpečnostnom pláne, kde zohľadní umiestnenie kritickej infraštruktúry a súvisiace riziká. Kritický subjekt je povinný kamerové záznamy uchovávať po dobu siedmich dní od ich zaznamenania. Kamerové záznamy kritický subjekt poskytne na iný účel len súdom, orgánom činným v trestnom konaní a spravodajskej službe.11)
(4)
Ak kritické subjekty vypracovali dokumenty alebo prijali opatrenia na plnenie povinností podľa osobitných predpisov,12) ktoré sú relevantné pre opatrenia podľa odseku 1, môžu uvedené dokumenty a opatrenia použiť na splnenie požiadaviek ustanovených v odseku 1. Ústredný orgán môže vyhlásiť takéto dokumenty alebo opatrenia prijaté kritickým subjektom na zvýšenie odolnosti, ktorými sa vhodne a primerane riešia technické, bezpečnostné a organizačné opatrenia uvedené v odseku 1, za úplne alebo čiastočne v súlade s povinnosťami podľa odseku 1. Ak ústredný orgán takéto dokumenty alebo opatrenia podľa druhej vety nevyhlási za súladné s povinnosťami podľa odseku 1, oznámi kritickému subjektu, že je povinný prijať opatrenia podľa odseku 1, a určí na to primeranú lehotu, ktorá nemôže byť kratšia ako tri mesiace a dlhšia ako desať mesiacov.
(5)
Kritický subjekt je povinný prehodnocovať v prípade potreby, najmenej raz za štyri roky bezpečnostný plán a ak je to potrebné, zaviesť aktualizované bezpečnostné opatrenia kritických subjektov na zabezpečenie odolnosti. Kritický subjekt aktualizuje bezpečnostný plán aj vtedy, ak sú mu ústredným orgánom sprístupnené relevantné časti posúdenia rizika podľa § 8 ods. 4 vrátane ich aktualizácie, a to v lehote určenej ústredným orgánom.
§ 11
Povinnosti kritického subjektu
(1)
Kritický subjekt je povinný do deviatich mesiacov odo dňa doručenia oznámenia o jeho identifikovaní ako kritický subjekt podľa § 9 ods. 2 vykonať posúdenie rizika kritickým subjektom a následne ho vykonávať v prípade potreby, najmenej raz za štyri roky na základe posúdenia rizika sprístupneného ústredným orgánom podľa § 8 ods. 4 a iných relevantných informačných zdrojov s cieľom posúdiť všetky relevantné riziká, ktoré by mohli narušiť poskytovanie ich základných služieb.
(2)
V posúdení rizika kritickým subjektom sa zohľadňujú všetky relevantné prírodné riziká a riziká spôsobené ľudskou činnosťou vrátane rizík medzisektorovej povahy alebo cezhraničnej povahy, nehôd, prírodných katastrof, ohrození verejného zdravia a hybridných hrozieb alebo iných hrozieb alebo trestných činov terorizmu. V posúdení rizika kritickým subjektom sa zohľadňuje miera, v akej iné sektory a podsektory podľa prílohy č. 1 závisia od základnej služby, ktorú poskytuje kritický subjekt, a miera, v akej uvedený kritický subjekt závisí od základnej služby poskytovanej inými subjektmi v takýchto iných sektoroch a podsektoroch, v prípade potreby aj v susedných členských štátoch a tretích krajinách.
(3)
Ak už kritický subjekt uskutočnil iné posúdenia rizika alebo vypracoval dokumenty na plnenie povinností podľa osobitných predpisov,12) ktoré sú relevantné pre jeho posúdenie rizika kritickým subjektom, môže tieto posúdenia a dokumenty použiť na splnenie požiadaviek ustanovených v tomto zákone. Ústredný orgán môže vyhlásiť takéto posúdenie rizika uskutočnené kritickým subjektom, ktoré sa zaoberá rizikami a mierou závislosti podľa odseku 2, za úplne alebo čiastočne v súlade s povinnosťami podľa tohto zákona. Ak ústredný orgán posúdenie rizika podľa druhej vety nevyhlási za súladné s povinnosťami podľa odseku 2, oznámi kritickému subjektu, že je povinný vykonať posúdenie rizika kritickým subjektom, a určí na to primeranú lehotu, ktorá nemôže byť kratšia ako šesť mesiacov a dlhšia ako deväť mesiacov.
(4)
Kritický subjekt je povinný ochraňovať kritickú infraštruktúru poskytujúcu základnú službu pred narušením alebo zničením. Na ten účel je povinný
a)
udržiavať technológiu, ktorá zabezpečuje ochranu a funkčnosť kritickej infraštruktúry,
b)
oboznámiť svojich zamestnancov v nevyhnutnom rozsahu s bezpečnostným plánom,
c)
precvičiť podľa bezpečnostného plánu aspoň raz za štyri roky modelovú situáciu hrozby narušenia alebo zničenia kritickej infraštruktúry a poskytovania základnej služby,
d)
určiť kontaktnú osobu a oprávnenú osobu a rozsah ich oprávnení (§ 12 ods. 2),
e)
poskytnúť ústrednému orgánu a ministerstvu vnútra súčinnosť na základe žiadosti a v určenej lehote, ktorá nesmie byť kratšia ako 30 dní, údaje, doklady a vysvetlenia potrebné na
1.
popis a umiestnenie kritickej infraštruktúry prostredníctvom GPS súradníc, posúdenie splnenia kritérií pre identifikáciu podľa § 9 ods. 1, zaradenie do sektora a podsektora podľa prílohy č. 1, ako aj ich vyradenie zo sektora a podsektora podľa prílohy č. 1; tú istú povinnosť majú aj subjekty, o ktorých možno dôvodne predpokladať, že budú identifikované podľa tohto zákona ako kritické subjekty alebo kritické subjekty osobitného európskeho významu,
2.
posúdenie ochrany vrátane zabezpečenia ochrany kritickej infraštruktúry prevádzkovateľom strážnej služby alebo ozbrojeným bezpečnostným zborom,
3.
posúdenie rizika,
4.
správu zoznamu kritických subjektov,
5.
poskytnutie súčinnosti ústredným orgánom a ministerstvu vnútra na účely poradnej misie,
f)
postupovať podľa bezpečnostného plánu v prípade rizika narušenia alebo zničenia kritickej infraštruktúry a zabezpečiť obnovu kontinuity poskytovania základnej služby,
g)
oznámiť ústrednému orgánu všetky incidenty, ktoré významne narúšajú alebo majú potenciál významne narušiť poskytovanie základných služieb,
h)
poskytnúť ústrednému orgánu a ministerstvu vnútra na základe žiadosti a v určenej lehote limitovanú informáciu podľa § 5 písm. c) alebo § 6 písm. k); kritický subjekt poskytne ústrednému orgánu a ministerstvu vnútra limitovanú informáciu aj vtedy, ak je to potrebné vzhľadom k zabezpečeniu odolnosti kritického subjektu, alebo z iných dôležitých dôvodov.
(5)
Kritický subjekt je povinný
a)
do 30 dní odo dňa vzniku danej skutočnosti písomne oznámiť ústrednému orgánu zmenu v predmete činnosti, ktorá môže mať vplyv na identifikáciu kritického subjektu a jeho zaradenie do sektora a podsektora podľa prílohy č. 1,
b)
do 30 dní odo dňa vzniku danej skutočnosti písomne oznámiť ústrednému orgánu taký prevod alebo prechod kritickej infraštruktúry na iný subjekt, ktorý môže mať vplyv na poskytovanie základnej služby kritickým subjektom,
c)
do 30 dní odo dňa vzniku danej skutočnosti písomne oznámiť ústrednému orgánu vstup do likvidácie, začatie konkurzného konania, reštrukturalizačného konania alebo iného obdobného konania, exekúcie alebo iného obdobného vykonávacieho konania, ako aj začatie výkonu záložného práva alebo iného obdobného práva vo vzťahu ku kritickému subjektu alebo jeho majetku, a to bez ohľadu na to, či ide o konanie, na ktoré je daná právomoc orgánov Slovenskej republiky,
d)
na základe písomnej žiadosti ústredného orgánu poskytnúť ústrednému orgánu informácie, podklady a vysvetlenia, ktoré sa týkajú odolnosti kritickej infraštruktúry, ktorú kritický subjekt prevádzkuje, a ktorá môže byť nepriaznivo ovplyvnená zahraničnou investíciou podľa osobitného predpisu.6)
(6)
Kritický subjekt osobitného európskeho významu plní všetky povinnosti kritického subjektu podľa tohto zákona.
(7)
Ak sa u kritického subjektu osobitného európskeho významu uskutočňuje poradná misia, ktorej účelom je posúdenie prijatých opatrení tohto subjektu podľa § 10, je tento subjekt povinný
a)
na základe žiadosti ústredného orgánu poskytnúť ústrednému orgánu relevantné časti posúdenia rizika kritickým subjektom podľa odseku 1 a zoznam prijatých relevantných opatrení kritického subjektu podľa § 10,
b)
na základe žiadosti ústredného orgánu poskytnúť poradnej misii prístup k informáciám, systémom a zariadeniam súvisiacim s poskytovaním ich základných služieb s cieľom posúdenia jeho opatrení podľa § 10.
(8)
Ústredný orgán predloží Komisii prostredníctvom ministerstva vnútra podklady získané podľa odseku 7 písm. a) spolu so závermi kontrol, prípadne iných podkladov získaných podľa § 16.
(9)
Ak sú súčasťou stanoviska Komisie po skončení poradnej misie u kritického subjektu osobitného európskeho významu ďalšie opatrenia na zlepšenie jeho odolnosti, je kritický subjekt osobitného európskeho významu povinný ich po oznámení ústredným orgánom splniť; na účel ich splnenia ústredný orgán určí primeranú lehotu. Ústredný orgán prostredníctvom ministerstva vnútra informuje Komisiu o prijatých opatreniach podľa prvej vety.
§ 12
Kontaktná osoba a oprávnená osoba kritického subjektu
(1)
Kontaktná osoba je oprávnená osoba, ktorá zabezpečuje styk medzi kritickým subjektom, ústredným orgánom, ministerstvom vnútra a medzi kritickými subjektmi pri zabezpečovaní odolnosti kritickej infraštruktúry a pri zabezpečovaní kontinuity poskytovania základnej služby, najmä výmenu informácií o riziku jej narušenia alebo zničenia.
(2)
Kritický subjekt určí rozsah oprávnení kontaktnej osoby a oprávnenej osoby tak, aby zodpovedal ich vykonávaným činnostiam. V oprávnení sa zároveň určí, či im povoľuje priamy alebo diaľkový prístup ku kritickej infraštruktúre, k limitovaným informáciám alebo ku kontrolným systémom v nevyhnutnom rozsahu.
(3)
Oprávnená osoba kritického subjektu musí preukázať svoju totožnosť kritickému subjektu a musí byť bezúhonná. Za bezúhonnú sa na účely tohto zákona považuje fyzická osoba, ktorá nebola právoplatne odsúdená za úmyselný trestný čin, ak odsúdenie nebolo zahladené. Totožnosť a bezúhonnosť sa preukazuje pred vznikom oprávnenia podľa odseku 2.
(4)
Fyzická osoba, ktorá je štátnym občanom Slovenskej republiky, poskytne na účel preukázania bezúhonnosti podľa odseku 3 kritickému subjektu výpis z registra trestov.13) Výpis z registra trestov nesmie byť pri jeho predložení starší ako tri mesiace.
(5)
Fyzická osoba, ktorá nie je štátnym občanom Slovenskej republiky, poskytne na účel preukázania bezúhonnosti podľa odseku 3 kritickému subjektu výpis z registra trestov vydaný príslušným orgánom krajiny, ktorej je štátnym príslušníkom; ak sa taký doklad v danej krajine nevydáva, nahrádza výpis z registra trestov rovnocenná listina vydaná príslušným súdnym orgánom alebo administratívnym orgánom alebo čestné vyhlásenie osvedčené príslušným orgánom krajiny, ktorej je štátnym príslušníkom. Výpis z registra trestov alebo listina, ktorá ho nahrádza, nesmú byť pri ich predložení staršie ako tri mesiace, musia byť opatrené osvedčením a predložené spolu s osvedčeným prekladom do štátneho jazyka; u občana Českej republiky sa osvedčený preklad výpisu z registra trestov alebo listiny, ktorá ho nahrádza, do štátneho jazyka nevyžaduje.
(6)
Oprávnená osoba je povinná počas doby platnosti oprávnení podľa odseku 2 bez zbytočného odkladu oznámiť kritickému subjektu každú zmenu skutočností rozhodujúcich na posúdenie bezúhonnosti, a to najneskôr do 14 dní po jej právoplatnom odsúdení za úmyselný trestný čin podľa odseku 3 druhej vety.
§ 13
Limitovaná informácia
(1)
Limitovanú informáciu upravuje osobitný predpis.3)
(2)
Citlivé informácie podľa osobitného predpisu14) týmto nie sú dotknuté.
§ 14
Oznamovanie incidentov a významnosť vplyvu na poskytovanie základnej služby
(1)
Kritický subjekt je povinný oznámiť ústrednému orgánu každý incident, ktorý spĺňa prahové hodnoty incidentu podľa § 8 ods. 3 písm. e).
(2)
Oznamovanie incidentov sa vykonáva elektronicky spôsobom určeným ústredným orgánom zverejneným na jeho webovom sídle.
(3)
Významnosť vplyvu na poskytovanie základnej služby sa posudzuje podľa týchto kritérií:
a)
počet používateľov využívajúcich základnú službu, ktorú dotknutý subjekt poskytuje,
b)
miera, v akej iné sektory a podsektory uvedené v prílohe č. 1 závisia od predmetnej základnej služby,
c)
vplyv, ktorý by mohli mať incidenty z hľadiska závažnosti a trvania na hospodárske a spoločenské činnosti, životné prostredie, verejnú ochranu a bezpečnosť, alebo zdravie obyvateľstva,
d)
trhový podiel subjektu na trhu s dotknutou základnou službou alebo dotknutými základnými službami,
e)
geografická oblasť, ktorú by incident mohol ovplyvniť, vrátane akéhokoľvek cezhraničného vplyvu, s prihliadnutím na zraniteľnosť súvisiacu so stupňom izolácie určitých typov geografických oblastí, ako sú vzdialené regióny alebo horské oblasti, alebo
f)
význam subjektu z hľadiska zachovania dostatočnej úrovne základnej služby berúc do úvahy dostupnosť alternatívnych spôsobov poskytovania danej základnej služby.
(4)
Ak to je z prevádzkového hľadiska možné, kritické subjekty sú povinné predložiť prvé oznámenie o incidente najneskôr do 24 hodín po tom, ako nadobudnú vedomosť o incidente. Ak incident trvá dlhšie ako jeden mesiac, kritické subjekty sú povinné predložiť aj podrobnú správu o incidente najneskôr do jedného mesiaca odo dňa predloženia prvého oznámenia o incidente.
(5)
V prvom oznámení o incidente kritický subjekt uvedie najmä
a)
predpokladanú alebo skutočnú príčinu vzniku incidentu,
b)
odhadovaný počet a podiel používateľov základnej služby dotknutých incidentom,
c)
čas trvania incidentu,
d)
geografické vymedzenie územia dotknutého incidentom a informáciu, či je toto územie geograficky izolované,
e)
informáciu o možnom alebo existujúcom cezhraničnom presahu incidentu,
f)
predpokladaný spôsob odstránenia incidentu,
g)
iné významné skutočnosti týkajúce sa incidentu.
(6)
V podrobnej správe podľa odseku 4 kritický subjekt uvedie najmä, akým spôsobom sa odstraňuje narušenie poskytovania základnej služby, či sa vyžaduje súčinnosť ústredného orgánu alebo iných orgánov verejnej správy, predpokladaný čas začatia poskytovania základnej služby a súčasne doplní údaje uvedené v prvom oznámení o incidente.
(7)
Ústredný orgán po doručení oznámenia podľa odseku 1 bez zbytočného odkladu poskytne dotknutému kritickému subjektu relevantné nadväzujúce informácie vrátane informácií, ktoré by mohli podporiť účinnú reakciu uvedeného kritického subjektu na predmetný incident. Ak je to vo verejnom záujme, ústredný orgán informuje verejnosť o významnom narušení poskytovania základnej služby.
(8)
Ústredný orgán bez zbytočného odkladu oznamuje ministerstvu vnútra všetky incidenty.
(9)
Ministerstvo vnútra bez zbytočného odkladu oznámi
a)
incident oznámený ústredným orgánom spravodajským zložkám Slovenskej republiky,15) a Národnému bezpečnostnému úradu,
b)
incident oznámený ústredným orgánom, ktorý má alebo môže mať významný rušivý vplyv na kritické subjekty a kontinuitu poskytovania základných služieb do jedného členského štátu alebo viacerých štátov členských štátov alebo v nich, jednotnému kontaktnému miestu ostatných dotknutých členských štátov,
c)
incident oznámený ústredným orgánom, ktorý má alebo môže mať významný rušivý vplyv na kritické subjekty a kontinuitu poskytovania základných služieb do šiestich alebo viacerých členských štátov alebo v šiestich alebo viacerých členských štátoch, Komisii.
(10)
Postupy podľa odsekov 1 až 9 sa neuplatnia na kritický subjekt v rozsahu, v akom sa uplatňujú na oznamovanie incidentov v oblasti fyzickej ochrany jadrových zariadení podľa osobitného predpisu.16)
§ 15
Podpora orgánov štátnej správy na úseku kritickej infraštruktúry kritickým subjektom
(1)
Orgány štátnej správy na úseku kritickej infraštruktúry podporujú kritické subjekty pri zvyšovaní ich odolnosti.
(2)
Podpora podľa odseku 1 môže zahŕňať vypracúvanie poradenského materiálu a metodiky, podporu v súvislosti s organizovaním cvičení na testovanie ich odolnosti a poskytovanie poradenstva a odbornej prípravy zamestnancom kritických subjektov.
(3)
Ministerstvo vnútra a ústredné orgány spolupracujú a vymieňajú si informácie a osvedčené postupy s kritickými subjektami pôsobiacimi v sektoroch a podsektoroch uvedených v prílohe č. 1.
(4)
Kritické subjekty môžu medzi sebou zdieľať informácie týkajúce sa záležitostí, ktoré upravuje tento zákon; tým nie sú dotknuté povinnosti ustanovené osobitnými predpismi týkajúce sa najmä utajovaných skutočností17) a limitovaných informácií,3) hospodárskej súťaže18) a ochrany osobných údajov.19)
§ 16
Kontrola a audit
(1)
Pri výkone kontroly nad dodržiavaním ustanovení tohto zákona postupuje ústredný orgán ako pri výkone kontroly v štátnej správe podľa osobitného predpisu.20)
(2)
Na účely výkonu kontroly má kritický subjekt práva a povinnosti kontrolovaného subjektu podľa osobitného predpisu.20)
(3)
V prípade dôvodného podozrenia, že kritický subjekt nedodržiava povinnosti podľa tohto zákona vrátane prijatia požadovaných opatrení podľa § 10, môže ústredný orgán vykonať u kritického subjektu aj audit alebo nariadiť jeho vykonanie inou osobou21) na základe písomného a odôvodneného poverenia; v poverení ústredný orgán určí rozsah činností inej osoby, ktoré neprekročia rozsah pôsobnosti ústredného orgánu. Kritický subjekt je povinný na odôvodnené požiadanie ústredného orgánu alebo inej osoby určenej v poverení podľa prvej vety poskytnúť súčinnosť, najmä informácie, podklady a vysvetlenia potrebné na posúdenie toho, či opatrenia prijaté týmto kritickým subjektom na zabezpečenie jeho odolnosti spĺňajú požiadavky ustanovené v § 10, ako aj na posúdenie toho, či kritický subjekt plní iné povinností podľa tohto zákona. Náklady auditu vykonávaného podľa tohto odseku znáša ústredný orgán, ktorý vykonanie auditu nariadil.
(4)
Na účely posúdenia či kritický subjekt, ktorý je súčasne prevádzkovateľom základnej služby podľa osobitného predpisu,7) dodržiava povinnosti podľa tohto zákona, je kritický subjekt na základe žiadosti ústredného orgánu povinný v primeranej lehote, ktorá nemôže byť kratšia ako 30 dní, poskytnúť
a)
informácie potrebné na posúdenie toho, či opatrenia prijaté týmto kritickým subjektom na zabezpečenie ich odolnosti spĺňajú požiadavky ustanovené v § 10,
b)
dôkazy o účinnom vykonávaní opatrení podľa § 10 vrátane výsledkov auditu vykonaného audítorom vybraným týmto kritickým subjektom a na jeho náklady podľa osobitného predpisu.22)
(5)
Ústredný orgán, ktorý vykonáva kontrolu podľa osobitného predpisu20) u kritického subjektu podľa odseku 4, je povinný do 30 dní od jej skončenia informovať orgán štátnej správy podľa osobitného predpisu7) a súčasne môže požiadať o vykonanie kontroly týmto orgánom štátnej správy. Ministerstvo vnútra a ústredné orgány spolupracujú a vymieňajú si informácie s orgánmi štátnej správy podľa prvej vety.
(6)
Ústredný orgán pri výkone kontroly podľa odsekov 1, 2, 4 a 5, pri vykonávaní auditu podľa odseku 3 a iná osoba pri vykonávaní auditu podľa odseku 3 postupujú objektívnym, transparentným a primeraným spôsobom tak, aby boli riadne chránené práva a oprávnené záujmy kritických subjektov.
§ 17
Priestupky
(1)
Priestupku na úseku kritickej infraštruktúry sa dopustí fyzická osoba, ak poruší povinnosť podľa § 12 ods. 6.
(2)
Priestupok podľa tohto zákona prejednáva ústredný orgán, v ktorého sektore a podsektore podľa prílohy č. 1 došlo k porušeniu povinnosti zakladajúcej priestupok.
(3)
Za priestupok podľa odseku 1 ústredný orgán môže uložiť pokutu do 3 000 eur.
(4)
Na priestupky a ich prejednávanie sa vzťahuje všeobecný predpis o priestupkoch.
§ 18
Iné správne delikty
(1)
Správnym deliktom na úseku kritickej infraštruktúry je porušenie niektorej z povinností podľa § 9, § 10, § 11, § 14, § 16 alebo § 21 ods. 3 poslednej vety.
(2)
Ústredný orgán, v ktorého sektore a podsektore podľa prílohy č. 1 došlo k porušeniu povinnosti zakladajúcej správny delikt, môže uložiť kritickému subjektu pokutu do 100 000 eur, ak poruší niektorú z povinností podľa § 9 ods. 7, § 10 ods. 3, § 11 ods. 1, ods. 4 písm. a) až g) a ods. 5, § 14 ods. 1 a 4 alebo § 16 ods. 4.
(3)
Ústredný orgán, v ktorého sektore a podsektore podľa prílohy č. 1 došlo k porušeniu povinnosti zakladajúcej správny delikt, uloží kritickému subjektu pokutu od 5 000 eur do 300 000 eur, ak poruší povinnosť podľa § 10 ods. 1 a 5 alebo § 11 ods. 7.
(4)
Ústredný orgán, v ktorého sektore a podsektore podľa prílohy č. 1 došlo k porušeniu povinnosti zakladajúcej správny delikt, uloží právnickej osobe alebo fyzickej osobe – podnikateľovi pokutu od 5 000 eur do 300 000 eur, ak poruší povinnosť podľa § 21 ods. 3 poslednej vety.
(5)
Ústredný orgán, v ktorého sektore a podsektore podľa prílohy č. 1 došlo k porušeniu iných povinností podľa tohto zákona ako sú uvedené v odseku 2 až 4, môže uložiť kritickému subjektu, právnickej osobe alebo fyzickej osobe – podnikateľovi pokutu do 10 000 eur.
(6)
Ústredný orgán prihliada pri určení výšky pokuty na závažnosť, okolnosti, spôsob, čas trvania a následky porušenia povinnosti.
(7)
Ak do jedného roka odo dňa nadobudnutia právoplatnosti rozhodnutia o uložení pokuty za správne delikty podľa odseku 2 až 4 dôjde k opätovnému porušeniu povinnosti, za ktorú bola pokuta za správne delikty podľa odseku 2 až 4 uložená, ústredný orgán, v ktorého sektore a podsektore podľa prílohy č. 1 došlo k porušeniu povinnosti, uloží pokutu až do dvojnásobku výšky súm podľa odsekov 2 až 4.
(8)
Pokutu možno uložiť do dvoch rokov odo dňa, keď sa ústredný orgán dozvedel o porušení povinnosti, najneskôr však do troch rokov odo dňa, keď k porušeniu povinnosti došlo.
(9)
Pokuta je splatná do 30 dní od nadobudnutia právoplatnosti rozhodnutia o uložení pokuty.
(10)
Na ukladanie pokút sa vzťahuje Správny poriadok.
(11)
Pokuty sú príjmom štátneho rozpočtu.
Spoločné, prechodné a záverečné ustanovenia
§ 19
(1)
Na identifikáciu kritického subjektu a kritického subjektu osobitného európskeho významu a ich zaradenie a vyradenie zo sektora a podsektora podľa prílohy č. 1 sa nevzťahuje Správny poriadok. Na doručovanie a počítanie lehôt podľa tohto zákona sa vzťahuje Správny poriadok.
(2)
Subjekty v sektore energetika, podsektore jadrová energetika, ktoré poskytujú základné služby podľa prílohy č. 1 pred dňom účinnosti tohto zákona, sa považujú za kritické subjekty ku dňu účinnosti tohto zákona; postup podľa § 9 ods. 1, 2, 4 až 10 sa neuplatňuje. Subjekty v sektore energetika, podsektore jadrová energetika, ktoré začnú poskytovať základné služby podľa prílohy č. 1 po dni účinnosti tohto zákona, sa považujú za kritické subjekty podľa tohto zákona ku dňu začatia poskytovania základnej služby podľa prílohy č. 1; postup podľa § 9 ods. 1, 2, 4 až 10 sa neuplatňuje. Kritické subjekty podľa prvej vety splnia povinnosť uvedenú v § 11 ods. 1 do deviatich mesiacov odo dňa účinnosti tohto zákona a povinnosť uvedenú v § 10 ods. 1 do desiatich mesiacov odo dňa účinnosti tohto zákona. Kritické subjekty podľa druhej vety splnia povinnosť uvedenú v § 11 ods. 1 do deviatich mesiacov odo dňa začatia poskytovania základnej služby podľa prílohy č. 1 a povinnosť uvedenú v § 10 ods. 1 do desiatich mesiacov odo dňa začatia poskytovania základnej služby podľa prílohy č. 1. Povinnosti podľa § 6 písm. a), b), f) tretieho až piateho bodu, písm. i), j), l) až n), písm. p), r), § 7, § 9 ods. 8 až 10 a § 16 sa nevzťahujú na kritické subjekty podľa prvej a druhej vety v rozsahu, v akom sú tieto povinnosti upravené podľa osobitného predpisu.23) Orgán štátnej správy podľa osobitného predpisu24) oznámi ústrednému orgánu a orgánu štátnej správy podľa osobitného predpisu7) údaje týkajúce sa kritických subjektov podľa prvej a druhej vety v rozsahu § 6 písm. f) prvého a druhého bodu bez zbytočného odkladu.
(3)
Povinnosti podľa § 9 ods. 7 až 10, § 10 až 14 a § 16 sa nevzťahujú na kritické subjekty v sektore digitálna infraštruktúra a v sektore financie.
§ 20
(1)
Ministerstvo vnútra predloží Komisii údaje týkajúce sa určenia, zriadenia alebo zmeny ústredných orgánov a jednotného kontaktného miesta podľa tohto zákona vrátane ich úloh a povinností, ako aj o ich kontaktných údajoch prvýkrát najneskôr do troch mesiacov od účinnosti tohto zákona.
(2)
Ústredné orgány predložia ministerstvu vnútra správy o posúdení rizika podľa sektorov a podsektorov v prílohe č. 1 vrátane určenia prahových hodnôt incidentov podľa § 8 ods. 3 písm. e) a podklady k spracovaniu návrhu stratégie podľa sektorov a podsektorov v prílohe č. 1 vrátane prahových hodnôt pre kritériá významnosti vplyvu podľa § 14 ods. 3 najneskôr do 31. augusta 2025.
(3)
Ministerstvo vnútra predloží návrh stratégie vláde najneskôr do 31. októbra 2025.
(4)
Vláda schváli stratégiu najneskôr do 17. januára 2026.
(5)
Ústredné orgány identifikujú kritické subjekty prvýkrát po schválení stratégie najneskôr do 17. júla 2026.
(6)
Ministerstvo vnútra predloží Komisii a Skupine pre odolnosť kritických subjektov Komisie súhrnnú správu o prijatých oznámeniach podľa § 14 ods. 8 vrátane počtu oznámení, povahy oznámených incidentov a opatrení prvýkrát najneskôr do 17. júla 2028.
§ 21
(1)
Rozhodnutia o určení prvku kritickej infraštruktúry a prvku európskej kritickej infraštruktúry oznámené podľa doterajších predpisov zostávajú v platnosti do 17. júla 2026. Prevádzkovatelia okrem kritických subjektov v sektore energetika, podsektore jadrová energetika plnia povinnosti podľa doterajších predpisov do 17. júla 2026. Ústredné orgány v konaniach o uložení pokuty postupujú podľa doterajších predpisov do 17. júla 2026. Ustanovenia prvej vety až tretej vety neplatia, ak odsek 3 ustanovuje inak.
(2)
Pri určovaní prvku kritickej infraštruktúry a prvku európskej kritickej infraštruktúry a ich vyraďovaní vládou sa do schválenia stratégie postupuje podľa doterajších predpisov.
(3)
Ak do 17. júla 2026 bolo prevádzkovateľovi podľa doterajších predpisov oznámené, že je kritickým subjektom alebo kritickým subjektom európskeho významu podľa tohto zákona, zostávajú rozhodnutia o určení prvku a prvku európskej kritickej infraštruktúry podľa doterajších predpisov v platnosti do dňa predchádzajúcemu dňu, od ktorého sa na takýto kritický subjekt alebo kritický subjekt európskeho významu vzťahujú povinnosti podľa § 9 ods. 2 a 8. Do konca lehoty podľa prvej vety plnia prevádzkovatelia okrem kritických subjektov v sektore energetika, podsektore jadrová energetika povinnosti podľa doterajších predpisov. Do konca lehoty podľa prvej vety postupujú ústredné orgány v konaniach o uložení pokuty podľa doterajších predpisov. Prevádzkovatelia podľa prvej vety sú povinní postupovať podľa bezpečnostných plánov prijatých podľa doterajších predpisov až do doby prijatia bezpečnostných plánov podľa tohto zákona.
§ 22
Týmto zákonom sa preberajú právne záväzné akty Európskej únie uvedené v prílohe č. 2.
§ 23
Zrušuje sa zákon č. 45/2011 Z. z. o kritickej infraštruktúre v znení zákona č. 69/2018 Z. z., zákona č. 177/2018 Z. z., zákona č. 373/2018 Z. z., zákona č. 134/2020 Z. z., zákona č. 9/2021 Z. z., zákona č. 72/2021 Z. z. a zákona č. 497/2022 Z. z.
Čl. II
Zákon č. 17/1992 Zb. o životnom prostredí v znení zákona Národnej rady Slovenskej republiky č. 127/1994 Z. z., zákona Národnej rady Slovenskej republiky č. 287/1994 Z. z., zákona č. 171/1998 Z. z., zákona č. 211/2000 Z. z., zákona č. 332/2007 Z. z. a zákona č. 388/2021 Z. z. sa mení takto:
1.
§ 14 sa vypúšťa.
2.
§ 34a sa vypúšťa.
Čl. III
Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení zákona č. 747/2004 Z. z., zákona č. 628/2005 Z. z., zákona č. 207/2008 Z. z., zákona č. 477/2008 Z. z., zákona č. 145/2010 Z. z., zákona č. 546/2010 Z. z., zákona č. 204/2011 Z. z., zákona č. 220/2011 Z. z., zákona č. 382/2011 Z. z., zákona č. 341/2012 Z. z., zákona č. 340/2015 Z. z., zákona č. 125/2016 Z. z., zákona č. 276/2020 Z. z., zákona č. 392/2020 Z. z., zákona č. 373/2021 Z. z., zákona č. 395/2021 Z. z., zákona č. 251/2022 Z. z. a zákona č. 428/2022 Z. z. sa mení a dopĺňa takto:
1.
V § 8 ods. 1 sa za slová „utajovanú skutočnosť“ vkladajú slová „alebo je limitovanou informáciou“.
2.
V § 11 sa odsek 1 dopĺňa písmenom j), ktoré znie:
„j)
ide o bezpečnostnú dokumentáciu alebo o auditné správy na úseku kritickej infraštruktúry alebo kybernetickej bezpečnosti.“.
3.
V § 21c ods. 1 písm. k) sa slová „citlivej informácie o kritickej infraštruktúre,27kd)“ nahrádzajú slovami „limitovanej informácie,27kd)“.
Poznámka pod čiarou k odkazu 27kd znie:
27kd) § 2 písm. h) zákona č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov.
§ 3a zákona č. 215/2004 Z. z. v znení zákona č. 367/2024 Z. z.“.
Čl. IV
Zákon č. 319/2002 Z. z. o obrane Slovenskej republiky v znení zákona č. 330/2003 Z. z., zákona č. 545/2003 Z. z., zákona č. 570/2005 Z. z., zákona č. 333/2007 Z. z., zákona č. 452/2008 Z. z., zákona č. 473/2009 Z. z., zákona č. 345/2012 Z. z., zákona č. 69/2018 Z. z., zákona č. 306/2019 Z. z. a zákona č. 205/2023 Z. z. sa mení takto:
V § 2 ods. 2 sa vypúšťa slovo „prvkov“.
Poznámka pod čiarou k odkazu 1c znie:
1c) § 2 písm. a) zákona č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov.“.
Čl. V
Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení nálezu Ústavného súdu Slovenskej republiky č. 638/2005 Z. z., zákona č. 255/2006 Z. z., zákona č. 330/2007 Z. z., zákona č. 668/2007 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 290/2009 Z. z., zákona č. 291/2009 Z. z., zákona č. 400/2009 Z. z., zákona č. 192/2011 Z. z., zákona č. 122/2013 Z. z., zákona č. 195/2014 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 261/2014 Z. z., zákona č. 362/2014 Z. z., zákona č. 247/2015 Z. z., zákona č. 338/2015 Z. z., zákona č. 91/2016 Z. z., zákona č. 125/2016 Z. z., zákona č. 301/2016 Z. z., zákona č. 340/2016 Z. z., zákona č. 51/2017 Z. z., zákona č. 152/2017 Z. z., zákona č. 334/2017 Z. z., zákona č. 69/2018 Z. z., zákona č. 177/2018 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 40/2019 Z. z., zákona č. 90/2019 Z. z., zákona č. 221/2019 Z. z., zákona č. 364/2020 Z. z., zákona č. 423/2020 Z. z., zákona č. 161/2024 Z. z. a zákona č. 166/2024 Z. z. sa mení a dopĺňa takto:
1.
V § 1 ods. 1 sa za slovo „skutočností“ vkladajú slová „a limitovaných informácií“ a za slovo „skutočnostiam“ sa vkladajú slová „a limitovaným informáciám“.
2.
§ 2 sa dopĺňa písmenom v), ktoré znie:
„v)
vedúcim v štátnom orgáne štatutárny orgán, v obci starosta, vo vyššom územnom celku predseda a v inej právnickej osobe štatutárny orgán; ak je štatutárnym orgánom kolektívny orgán, je vedúcim na účely tohto zákona ním písomne poverený člen kolektívneho orgánu.“.
3.
Za § 3 sa vkladá § 3a, ktorý vrátane nadpisu znie:
㤠3a
Limitovaná informácia
(1)
Vedúci môže určiť informáciu ako limitovanú, ak ďalej nie je ustanovené inak, ktorá sa týka
a)
utajovanej skutočnosti, najmä okolností jej vzniku, spôsobu manipulácie s ňou alebo jej technických parametrov a bezpečnostných parametrov,
b)
organizácie alebo činnosti orgánu verejnej moci alebo subjektu plniaceho úlohy v oblasti zabezpečenia verejného poriadku, bezpečnosti alebo obrany Slovenskej republiky podľa osobitného predpisu1b) a ktorá je spôsobilá jednotlivo alebo v spojení s inou informáciou ohroziť, obmedziť alebo znemožniť plnenie týchto úloh,
c)
informácie o kritickej infraštruktúre, ktorej zverejnenie by na základe posúdenia rizík ohrozilo poskytovanie základnej služby kritickým subjektom.1c)
(2)
Určiť informáciu ako limitovanú podľa odseku 1 písm. b) je možné len v oblastiach podľa osobitného predpisu.1d)
(3)
Limitovanou informáciou je aj taká informácia, ktorú cudzia moc poskytla orgánu verejnej moci alebo subjektu plniacemu úlohy v oblasti zabezpečenia verejného poriadku, bezpečnosti alebo obrany Slovenskej republiky podľa osobitného predpisu1b) v rámci medzinárodnej spolupráce a ktorá je označená spôsobom, z ktorého sú zrejmé obmedzenia týkajúce sa jej zverejnenia alebo sprístupnenia alebo ktorá obsahuje osobitné pravidlá manipulácie, z ktorých vyplývajú obmedzenia týkajúce sa jej zverejnenia alebo sprístupnenia.
(4)
Na účely zabezpečenia ochrany kritickej infraštruktúry môže určiť limitovanú informáciu aj kritický subjekt,1e) ktorý o tom bezodkladne informuje príslušný ústredný orgán na úseku kritickej infraštruktúry.
(5)
Za ochranu limitovanej informácie a dodržiavanie podmienok na jej označenie a manipuláciu s ňou zodpovedá ten, kto ju za limitovanú informáciu určil.
(6)
Zákaz utajovania niektorých informácií podľa § 4 sa na limitovanú informáciu vzťahuje rovnako.
(7)
Na oboznamovanie sa s limitovanou informáciou sa nevzťahujú ustanovenia o oprávnení na oboznamovanie sa s utajovanými skutočnosťami podľa druhej hlavy a tretej hlavy druhej časti tohto zákona.
(8)
Limitovaná informácia sa označuje slovom „Limit“.
(9)
Limitovanú informáciu sprístupňuje ten, kto ju za limitovanú informáciu určil.
(10)
Limitovanú informáciu nemožno sprístupniť neurčitému okruhu osôb prostredníctvom masovokomunikačných prostriedkov alebo iným obdobným spôsobom. Limitovaná informácia sa nesprístupňuje podľa osobitného predpisu.1f)
(11)
Každý, kto sa oboznámi s limitovanou informáciou, je povinný zachovávať mlčanlivosť o limitovanej informácii. Povinnosť zachovávať mlčanlivosť trvá počas doby ochrany limitovanej informácie, a to aj po pominutí potreby a zániku dôvodu oboznamovať sa s limitovanou informáciou, ak nedošlo k zbaveniu mlčanlivosti. O zbavení povinnosti mlčanlivosti môže rozhodnúť ten, kto ju za limitovanú informáciu určil, ak v osobitných predpisoch1g) nie je ustanovené inak.
(12)
Ten, kto určil limitovanú informáciu,
a)
vedie zoznam limitovaných informácií,
b)
rozhoduje o dobe trvania ochrany limitovanej informácie,
c)
prehodnocuje dôvody trvania určenia informácie za limitovanú informáciu najneskôr pred uzatvorením spisu, k 31. decembru kalendárneho roka, v ktorom bola informácia určená za limitovanú informáciu, alebo raz za kalendárny rok,
d)
zverejňuje na svojom webovom sídle zásady manipulácie s limitovanou informáciou a oblasti ich vzniku.
(13)
Ten, kto určil informáciu za limitovanú informáciu, bezodkladne zruší toto určenie, ak pominie dôvod určenia informácie za limitovanú informáciu a informuje o tom všetkých, ktorým bola limitovaná informácia sprístupnená; povinnosť oznamovať zrušenie určenia limitovanej informácie sa nevzťahuje na Slovenskú informačnú službu, Vojenské spravodajstvo a Policajný zbor.
(14)
Základné princípy manipulácie s limitovanou informáciou zverejňuje úrad na svojom webovom sídle; ak je limitovaná informácia označená cudzou mocou, za základné princípy sa považujú pravidlá pre takúto informáciu určené cudzou mocou.“.
Poznámky pod čiarou k odkazom 1b až 1g znejú:
1b) Napríklad zákon č. 124/1992 Zb. o Vojenskej polícii v znení neskorších predpisov, zákon č. 321/2002 Z. z. o ozbrojených silách Slovenskej republiky v znení neskorších predpisov, zákon č. 500/2022 Z. z. o Vojenskom spravodajstve.
1c) § 5 písm. c) a § 6 písm. k) zákona č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov.
1d) § 1 nariadenia vlády Slovenskej republiky č. 216/2004 Z. z., ktorým sa ustanovujú oblasti utajovaných skutočností.
1e) § 2 písm. c) zákona č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov.
1f) Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov.
1g) Napríklad § 134 ods. 1 písm. k) zákona č. 281/2015 Z. z. o štátnej službe profesionálnych vojakov a o zmene a doplnení niektorých zákonov, § 41 až 43 zákona č. 500/2022 Z. z.“.
4.
V § 8 odsek 1 znie:
„(1)
Ochranu utajovaných skutočností je povinný zabezpečiť vedúci.“.
5.
V § 31 ods. 6 sa slová „prístup k utajovaným skutočnostiam“ nahrádzajú slovami „oboznamovanie sa s utajovanými skutočnosťami“.
6.
V § 39 ods. 1 sa za slovo „utajovaná“ vkladajú slová „alebo je určená ako limitovaná“.
7.
Doterajší text § 82 sa označuje ako odsek 1 a dopĺňa sa odsekmi 2 a 3, ktoré znejú:
„(2)
Ak sa v § 3a uvádza úrad, rozumie sa tým aj Slovenská informačná služba, Vojenské spravodajstvo a Policajný zbor.
(3)
Ak sa v § 3a uvádza vedúci, rozumie sa tým aj riaditeľ Slovenskej informačnej služby, riaditeľ Vojenského spravodajstva a prezident Policajného zboru.“.
Čl. VI
Zákon č. 578/2004 Z. z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých zákonov v znení zákona č. 720/2004 Z. z., zákona č. 351/2005 Z. z., zákona č. 538/2005 Z. z., zákona č. 282/2006 Z. z., zákona č. 527/2006 Z. z., zákona č. 673/2006 Z. z., zákona č. 18/2007 Z. z., zákona č. 272/2007 Z. z., zákona č. 330/2007 Z. z., zákona č. 464/2007 Z. z., zákona č. 653/2007 Z. z., zákona č. 206/2008 Z. z., zákona č. 284/2008 Z. z., zákona č. 447/2008 Z. z., zákona č. 461/2008 Z. z., zákona č. 560/2008 Z. z., zákona č. 192/2009 Z. z., zákona č. 214/2009 Z. z., zákona č. 8/2010 Z. z., zákona č. 133/2010 Z. z., zákona č. 34/2011 Z. z., zákona č. 250/2011 Z. z., zákona č. 362/2011 Z. z., zákona č. 390/2011 Z. z., zákona č. 512/2011 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 5/2012 Z. z., zákona č. 185/2012 Z. z., zákona č. 313/2012 Z. z., zákona č. 324/2012 Z. z., zákona č. 41/2013 Z. z., zákona č. 153/2013 Z. z., zákona č. 204/2013 Z. z., zákona č. 220/2013 Z. z., zákona č. 365/2013 Z. z., zákona č. 185/2014 Z. z., zákona č. 333/2014 Z. z., zákona č. 53/2015 Z. z., zákona č. 77/2015 Z. z., zákona č. 393/2015 Z. z., zákona č. 422/2015 Z. z., zákona č. 428/2015 Z. z., zákona č. 91/2016 Z. z., zákona č. 125/2016 Z. z., zákona č. 167/2016 Z. z., zákona č. 317/2016 Z. z., zákona č. 356/2016 Z. z., zákona č. 41/2017 Z. z., zákona č. 92/2017 Z. z., zákona č. 257/2017 Z. z., zákona č. 336/2017 Z. z., zákona č. 351/2017 Z. z., zákona č. 4/2018 Z. z., zákona č. 87/2018 Z. z., zákona č. 109/2018 Z. z., zákona č. 156/2018 Z. z., zákona č. 177/2018 Z. z., zákona č. 192/2018 Z. z., zákona č. 270/2018 Z. z., zákona č. 351/2018 Z. z., zákona č. 374/2018 Z. z., zákona č. 139/2019 Z. z., zákona č. 212/2019 Z. z., zákona č. 231/2019 Z. z., zákona č. 383/2019 Z. z., zákona č. 398/2019 Z. z., zákona č. 467/2019 Z. z., zákona č. 125/2020 Z. z., zákona č. 158/2020 Z. z., zákona č. 243/2020 Z. z., zákona č. 319/2020 Z. z., zákona č. 346/2020 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 347/2020 Z. z., zákona č. 392/2020 Z. z., zákona č. 393/2020 Z. z., zákona č. 9/2021 Z. z., zákona č. 133/2021 Z. z., zákona č. 213/2021 Z. z., zákona č. 252/2021 Z. z., zákona č. 264/2021 Z. z., zákona č. 310/2021 Z. z., zákona č. 540/2021 Z. z., zákona č. 2/2022 Z. z., zákona č. 67/2022 Z. z., zákona č. 92/2022 Z. z., zákona č. 266/2022 Z. z., zákona č. 267/2022 Z. z., zákona č. 341/2022 Z. z., zákona č. 390/2022 Z. z., zákona č. 419/2022 Z. z., zákona č. 495/2022 Z. z., zákona č. 518/2022 Z. z., zákona č. 119/2023 Z. z., zákona č. 285/2023 Z. z., zákona č. 310/2023 Z. z., zákona č. 125/2024 Z. z., zákona č. 201/2024 Z. z., zákona č. 278/2024 Z. z., zákona č. 309/2024 Z. z., zákona č. 360/2024 Z. z., zákona č. 361/2024 Z. z. a zákona č. 363/2024 Z. z. sa mení takto:
V § 91 ods. 2 písm. b) sa vypúšťa slovo „prvku“.
Čl. VII
Zákon č. 87/2018 Z. z. o radiačnej ochrane a o zmene a doplnení niektorých zákonov v znení zákona č. 69/2020 Z. z., zákona č. 388/2021 Z. z., zákona č. 119/2023 Z. z. a zákona č. 205/2023 Z. z. sa mení a dopĺňa takto:
1.
V § 32 sa odsek 3 dopĺňa písmenom e), ktoré znie:
„e)
k optimalizačnej štúdii k spracovaniu rádioaktívnych odpadov.“.
2.
V § 34 ods. 7 sa na konci pripája bodkočiarka a tieto slová: „okrem prípadov, v ktorých ide o nakladanie s rádioaktívnymi odpadmi v súlade s osobitným predpisom29aa) a na proces spracovania bola úradom posúdená a schválená optimalizačná štúdia.“.
Poznámka pod čiarou k odkazu 29aa znie:
29aa) § 21 ods. 12 písm. b) zákona č. 541/2004 Z. z. v znení neskorších predpisov.“.
3.
§ 163a vrátane nadpisu sa vypúšťa.
Čl. VIII
Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 134/2020 Z. z., zákona č. 423/2020 Z. z., zákona č. 287/2021 Z. z., zákona č. 395/2021 Z. z., zákona č. 264/2022 Z. z., zákona č. 325/2022 Z. z., zákona č. 351/2022 Z. z. a zákona č. 301/2023 Z. z. sa mení a dopĺňa takto:
1.
V poznámke pod čiarou k odkazu 1a sa citácia „zákon č. 45/2011 Z. z. o kritickej infraštruktúre v znení neskorších predpisov.“ nahrádza citáciou „zákon č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov.“.
2.
V § 1 ods. 2 sa za slová „informácie, ktoré sú podľa osobitných predpisov“ vkladajú slová „limitovanou informáciou,1c) alebo sú“.
Poznámky pod čiarou k odkazom 1c a 2 znejú:
1c) § 2 písm. h) zákona č. 367/2024 Z. z. o kritickej infraštruktúre a zmene a doplnení niektorých zákonov.
§ 3a zákona č. 215/2004 Z. z. v znení zákona č. 367/2024 Z. z.
2) Napríklad § 3 ods. 16 a 17 zákona č. 541/2004 Z. z. v znení zákona č. 96/2017 Z. z.“.
Čl. IX
Zákon č. 452/2021 Z. z. o elektronických komunikáciách v znení zákona č. 533/2021 Z. z., zákona č. 205/2023 Z. z., zákona č. 287/2023 Z. z., zákona č. 46/2024 Z. z., zákona č. 108/2024 Z. z., zákona č. 334/2024 Z. z. a zákona č. 366/2024 Z. z. sa mení takto:
1.
V § 15 ods. 7 sa slová „citlivou informáciou o kritickej infraštruktúre.51)“ nahrádzajú slovami „limitovanou informáciou o kritickej infraštruktúre.51)“.
Poznámka pod čiarou k odkazu 51 znie:
51) § 2 písm. h) zákona č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov.“.
2.
V § 25 ods. 5, § 26 ods. 3 písm. b) štvrtom bode, § 27 ods. 1 sa slová „prvkov kritickej infraštruktúry“ nahrádzajú slovami „kritickej infraštruktúry,“ a slová „citlivých informácií o kritickej infraštruktúre“ sa nahrádzajú slovami „limitovaných informácií o kritickej infraštruktúre“.
Poznámka pod čiarou k odkazu 63 znie:
63) § 2 písm. a) zákona č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov.“.
Čl. X
Zákon č. 497/2022 Z. z. o preverovaní zahraničných investícií a o zmene a doplnení niektorých zákonov v znení zákona č. 95/2023 Z. z. sa mení takto:
1.
V § 8 ods. 1 sa slová „skutočností16) a citlivých informácií.17)“ nahrádzajú slovami „skutočností,16) limitovaných informácií16a) a citlivých informácií.17)“.
Poznámka pod čiarou k odkazu 16a znie:
16a) § 2 písm. h) zákona č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov.
§ 3a zákona č. 215/2004 Z. z. v znení zákona č. 367/2024 Z. z.“.
2.
V poznámke pod čiarou k odkazu 17 sa vypúšťa citácia „§ 2 písm. k) zákona č. 45/2011 Z. z. o kritickej infraštruktúre“.
3.
V § 12 sa vypúšťa odsek 4 vrátane poznámky pod čiarou k odkazu 20a.
Čl. XI
Zákon č. 500/2022 Z. z. o Vojenskom spravodajstve sa mení takto:
1.
V § 7 ods. 7 písm. a) sa slová „prvky kritickej infraštruktúry“ nahrádzajú slovami „kritickú infraštruktúru“.
2.
V § 7 ods. 10 sa slová „prvkov kritickej infraštruktúry“ nahrádzajú slovami „kritických subjektov5a)“.
Poznámka pod čiarou k odkazu 5a znie:
5a) § 2 písm. c) zákona č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov.“.
Čl. XII
Tento zákon nadobúda účinnosť 1. januára 2025.
Peter Pellegrini v. r.

v z. Peter Žiga v. r.

Robert Fico v. r.
Príloha č. 1 k zákonu č. 367/2024 Z. z.
Prevziať prílohu -
Príloha č. 2
k zákonu č. 367/2024 Z. z.
Zoznam preberaných právne záväzných aktov Európskej únie
Smernica Európskeho parlamentu a Rady (EÚ) 2022/2557 zo 14. decembra 2022 o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES (Ú. v. EÚ L 333, 27. 12. 2022).
1)
§ 3 zákona č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy v znení neskorších predpisov.
2)
§ 21 zákona č. 575/2001 Z. z. v znení neskorších predpisov.
3)
§ 3a zákona č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení zákona č. 367/2024 Z. z.
4)
Delegované nariadenie Komisie (EÚ) 2023/2450 z 25. júla 2023, ktorým sa dopĺňa smernica Európskeho parlamentu a Rady (EÚ) 2022/2557 stanovením zoznamu základných služieb (Ú. v. EÚ L, 2023/2450, 30. 10. 2023).
5)
§ 3 ods. 1 zákona č. 60/2018 Z. z. o technickej normalizácii v znení zákona č. 297/2023 Z. z.
6)
Zákon č. 497/2022 Z. z. o preverovaní zahraničných investícií a o zmene a doplnení niektorých zákonov v znení zákona č. 95/2023 Z. z.
7)
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
8)
Čl. 6 ods. 1 rozhodnutia Európskeho parlamentu a Rady č. 1313/2013/EÚ zo 17. decembra 2013 o mechanizme Únie v oblasti civilnej ochrany (Ú. v. EÚ L 347, 20. 12. 2013) v platnom znení.
9)
Napríklad nariadenie Európskeho parlamentu a Rady (EÚ) 2017/1938 z 25. októbra 2017 o opatreniach na zaistenie bezpečnosti dodávok plynu a o zrušení nariadenia (EÚ) č. 994/2010 (Ú. v. EÚ L 280, 28. 10. 2017) v platnom znení, nariadenie Európskeho parlamentu a Rady (EÚ) 2019/941 z 5. júna 2019 o pripravenosti na riziká v sektore elektrickej energie a o zrušení smernice 2005/89/ES (Ú. v. EÚ L 158, 14. 6. 2019), zákon č. 7/2010 Z. z. o ochrane pred povodňami v znení neskorších predpisov, zákon č. 128/2015 Z. z. o prevencii závažných priemyselných havárií a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
10)
Čl. 5 ods. 1 písm. c) nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4. 5. 2016) v platnom znení.
11)
Zákon č. 500/2022 Z. z. o Vojenskom spravodajstve.
12)
Napríklad § 18 ods. 1 písm. b) zákona č. 319/2002 Z. z. o obrane Slovenskej republiky v znení zákona č. 306/2019 Z. z., § 7 ods. 5, príloha č. 1 bod B. písm. f), bod C. písm. k) a bod D. písm. f) zákona č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov, § 10 zákona č. 128/2015 Z. z., zákon č. 69/2018 Z. z. v znení neskorších predpisov, zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
13)
§ 12 zákona č. 192/2023 Z. z. o registri trestov a o zmene a doplnení niektorých zákonov.
14)
§ 3 ods. 16 a 17 zákona č. 541/2004 Z. z.
15)
Zákon Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení neskorších predpisov.
Zákon č. 500/2022 Z. z.
16)
§ 7 ods. 5,príloha č. 1 bod B. písm. f), bod C. písm. k) a bod D. písm. f) zákona č. 541/2004 Z. z.
17)
Zákon č. 215/2004 Z. z. v znení neskorších predpisov.
18)
Napríklad Obchodný zákonník, zákon č. 187/2021 Z. z. o ochrane hospodárskej súťaže a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
19)
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 v platnom znení.
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
20)
Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov.
21)
Napríklad § 16, § 19 zákona č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, § 29 ods. 3 zákona č. 69/2018 Z. z. v znení zákona č. 287/2021 Z. z.
22)
§ 29 ods. 3 zákona č. 69/2018 Z. z. v znení zákona č. 287/2021 Z. z.
23)
§ 25a a § 26 a príloha č. 1 bod B. písm. f), bod C. písm. k), bod D. písm. f) zákona č. 541/2004 Z. z. v znení neskorších predpisov.
24)
§ 4 zákona č. 541/2004 Z. z. v znení neskorších predpisov.