Zákon č. [69/2018 Z. z.] o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení zákona č. [373/2018 Z. z.], zákona č. [134/2020 Z. z.], zákona č. [287/2021 Z. z.], zákona č. [55/2022 Z. z.] a zákona č. [231/2022 Z. z.] sa mení a dopĺňa takto:

1. § 1 a 2 vrátane nadpisov znejú:

2. V § 3 písmeno f) znie:

3. V § 3 písm. g) sa slovo „informácie“ nahrádza slovom „údaja“.

4. V § 3 písmená i) a j) znejú:

5. V § 3 sa za písmeno j) vkladajú nové písmená k) a l), ktoré znejú:

6. V § 3 písmená m) až r) znejú:

7. § 3 sa dopĺňa písmenami s) až ab), ktoré znejú:

8. Doterajší text § 3 sa označuje ako odsek 1 a dopĺňa sa odsekom 2, ktorý znie:

9. V § 4 úvodnej vete sa slovo „vykonáva“ nahrádza slovom „vykonávajú“.

10. V § 4 písm. b) sa vypúšťajú slová „a výstavby“, za slovami „Ministerstvo životného prostredia Slovenskej republiky“ sa slovo „a“ nahrádza čiarkou a za slová „Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky“ sa vkladajú slová „a Správa štátnych hmotných rezerv Slovenskej republiky“.

11. V § 5 ods. 1 písm. d) sa za slová „v Slovenskej republike“ vkladajú slová „a národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy, je orgánom pre riadenie kybernetických kríz a plní úlohu národného koordinátora riadenia rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz,“.

12. V § 5 ods. 1 písm. e) sa za slová „je národným kontaktným miestom pre kybernetickú bezpečnosť“ vkladá čiarka a slová „pre vnútroštátnu spoluprácu a“ a vypúšťajú sa slová „a Organizácie Severoatlantickej zmluvy“.

13. V § 5 ods. 1 písm. f) a h) sa vypúšťajú slová „a Organizácie Severoatlantickej zmluvy“.

14. V § 5 ods. 1 písm. i) sa slová „poskytovateľmi digitálnych služieb“ nahrádzajú slovami „s vedeckými inštitúciami a akademickými inštitúciami“.

15. V § 5 ods. 1 písmená k) a l) znejú:

16. V § 5 ods. 1 písmeno o) znie:

17. V § 5 ods. 1 písm. r) sa za slovo „zasiela“ vkladajú slová „a vyhlasuje“ a na konci sa dopĺňajú slová „výstrahy alebo vyhlasuje stav kybernetickej krízy,“.

18. V § 5 ods. 1 písmeno s) znie:

19. V § 5 ods. 1 písm. t) sa za slová „o kybernetických bezpečnostných incidentoch“ vkladá čiarka a slová „kybernetických hrozbách a zraniteľnostiach“.

20. V § 5 ods. 1 písmeno u) znie:

21. V § 5 ods. 1 písm. w) sa slová „vedy, výskumu a športu“ nahrádzajú slovami „výskumu, vývoja a mládeže“.

22. Poznámka pod čiarou k odkazu 10aa znie:

23. V § 5 ods. 1 písmeno aa) znie:

24. V § 5 ods. 1 sa vypúšťa písmeno ac).

25. § 5a vrátane nadpisu znie:

26. V § 6 ods. 1 sa slová „a digitálne služby“ nahrádzajú slovami „alebo v prílohe č. 2“.

27. § 6 sa dopĺňa odsekmi 5 až 8, ktoré znejú:

28. § 7 vrátane nadpisu znie:

29. V § 8 odseky 2 a 3 znejú:

30. V § 8 ods. 4 a v § 20 ods. 5 písm. e) sa slovo „hrozbách“ nahrádza slovami „kybernetických hrozbách“.

31. V § 8 ods. 5 písm. c) sa vypúšťajú slová „a poskytovateľ digitálnej služby“.

32. V § 9 ods. 1 a 2, § 10a ods. 1, § 15 ods. 1 a § 32 ods. 2 sa za slová „podľa prílohy č. 1“ vkladajú slová „alebo prílohy č. 2“.

33. V § 9 ods. 1 sa vypúšťa písmeno e).

34. V § 9 ods. 1 písmeno e) sa slová „základnú službu a“ a slová „zoznamu základných služieb a“ vypúšťajú.

35. V § 10 sa slová „systémov, ktoré nie sú základnou službou a procesu riešenia kybernetických bezpečnostných incidentov, iný orgán štátnej správy a ústredný orgán“ nahrádzajú slovami „systémov a procesu riešenia kybernetických bezpečnostných incidentov, iný orgán štátnej správy“.

36. V § 12 ods. 3 sa vypúšťajú slová „a poskytovateľa digitálnej služby“.

37. V § 12 ods. 4 sa za slovo „varovania“ vkladajú slová „alebo stavu kybernetickej krízy“.

38. V § 12 ods. 5 sa vypúšťajú slová „poskytovateľom digitálnej služby,“ a slovo „ich“ sa nahrádza slovom „jeho“.

39. V § 15 ods. 2 písm. d) sa za slovo „evidenciou“ vkladajú slová „zraniteľností, kybernetických hrozieb, kybernetických kríz a“.

40. V § 15 sa odsek 2 dopĺňa písmenami h) až l), ktoré znejú:

41. V § 15 ods. 4 sa vypúšťajú slová „alebo poskytovateľa digitálnej služby“.

42. § 15 sa dopĺňa odsekom 5, ktorý znie:

43. § 16 sa dopĺňa odsekom 4, ktorý znie:

44. § 17 a 18 vrátane nadpisov znejú:

45. V § 19 odsek 1 znie:

46. V § 19 ods. 2 sa na konci pripájajú tieto vety: „Tretia strana je počas trvania zmluvného vzťahu povinná vykonávať a realizovať bezpečnostné opatrenia v súlade s písomnou zmluvou a týmto zákonom a je povinná podrobiť sa kontrole plnenia týchto opatrení zo strany prevádzkovateľa základnej služby. Ak ide o zmluvu podľa prvej vety uzatvorenú s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu, kontrolu môže vykonávať aj úrad; na tento účel má tretia strana postavenie prevádzkovateľa základnej služby. Uzatvorenie zmluvy podľa prvej vety nesmie brániť v hospodárskej súťaži.“.

47. V § 19 ods. 3 sa vypúšťajú slová „alebo poskytovateľom digitálnej služby“.

48. V § 19 sa odsek 6 dopĺňa písmenami f) až i), ktoré znejú:

49. V § 19 ods. 7 sa slová „v údajoch podľa § 17 ods. 4“ nahrádzajú slovami „v zapísaných údajoch, okrem referenčných údajov“, na konci sa pripájajú tieto slová: „a ak prevádzkovateľ základnej služby prevádzkuje kritickú základnú službu, je povinný hlásiť úradu aj informáciu o uzatvorení zmluvy s treťou stranou o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti a aj informáciu o jej ukončení“ a pripája sa táto veta: „Úrad vykoná zmenu v registri prevádzkovateľov základnej služby, a to aj bez návrhu.“.

50. V § 19 ods. 8 sa slová „kontinuity základnej služby“ nahrádzajú slovami „kontinuity činnosti“.

51. V § 20 odseky 1 až 3 znejú:

52. V § 20 sa odsek 4 dopĺňa písmenami g) až i), ktoré znejú:

53. V § 20 sa vypúšťa odsek 6.

54. § 21 a 22 vrátane nadpisu nad § 21 znejú:

55. § 23 sa vrátane nadpisu vypúšťa.

56. § 24 vrátane nadpisu znie:

57. V § 24a ods. 1 sa za slovo „dôležitosť“ vkladá slovo „prevádzkovateľa“, slová „§ 24 ods. 6“ sa nahrádzajú slovami „§ 24 ods. 4“ a za slová „výstrahy, varovania“ sa vkladá čiarka a slová „stav kybernetickej krízy“.

58. V § 24a ods. 4 sa nad slovom „predpisu“ odkaz „ 28a )“ nahrádza odkazom „ 24c )“.

59. § 25 a 26 sa vrátane nadpisov vypúšťajú.

60. Nadpis § 27 znie: „Reakcie na kybernetické bezpečnostné incidenty a kybernetické hrozby a riešenie kybernetického bezpečnostného incidentu“.

61. V § 27 ods. 1 úvodnej vete sa slovo „jeho“ nahrádza slovami „významnej kybernetickej“ a v písmene a) sa slová „výstrahu a varovanie pred závažným kybernetickým bezpečnostným incidentom“ nahrádzajú slovami „výstrahu, varovanie alebo stav kybernetickej krízy“.

62. V § 27 ods. 3 sa slová „a poskytovateľovi digitálnej služby“ nahrádzajú slovami „alebo tretej strane, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti“.

63. V § 27 ods. 5 sa slová „poskytovateľovi digitálnej služby“ vo všetkých tvaroch nahrádzajú slovami „tretej strane, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti“ v príslušnom tvare.

64. V § 27 ods. 6 sa slová „poskytovateľ digitálnej služby je povinný“ nahrádzajú slovami „tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, sú povinní“.

65. V § 27 odsek 10 znie:

66. § 27 sa dopĺňa odsekmi 11 a 12, ktoré znejú:

67. V § 27a ods. 1 úvodnej vete sa vypúšťa slovo „základnej“.

68. V § 27a sa vypúšťa odsek 4.

69. V § 27a ods. 4 a 6 sa slová „poskytovanie základnej služby“ nahrádzajú slovami „poskytovanie služby“.

70. § 28 vrátane nadpisu sa vypúšťa.

71. V § 29 ods. 1 sa slová „systémy základnej služby“ nahrádzajú slovami „systémy služby“, slová „podporujú základné služby“ sa nahrádzajú slovami „podporujú služby“ a na konci sa pripája táto veta: „Prevádzkovateľ základnej služby, ktorý nie je prevádzkovateľom kritickej základnej služby, môže zabezpečiť plnenie povinnosti vykonať audit kybernetickej bezpečnosti v lehote podľa predchádzajúcej vety preverením účinnosti prijatých bezpečnostných opatrení a plnenia požiadaviek ustanovených týmto zákonom samohodnotením prostredníctvom jednotného informačného systému kybernetickej bezpečnosti spôsobom podľa odseku 8.“.

72. V § 29 ods. 2 sa vypúšťajú slová „v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov“.

73. V § 29 ods. 3 sa slová „osoba akreditovaná“ nahrádzajú slovami „subjekt verejnej správy podľa osobitného predpisu 31aa ) akreditovaný“.

74. § 29 sa dopĺňa odsekmi 8 a 9, ktoré znejú:

75. Za § 29 sa vkladajú § 29a až 29n, ktoré vrátane nadpisov znejú:

76. V § 30 ods. 1 písm. b) sa slová „§ 17 ods. 4“ nahrádzajú slovami „§ 17 ods. 2.

77. V § 30 ods. 1 sa vypúšťa písmeno d).

78. V § 30 sa odsek 1 dopĺňa písmenami e) a f), ktoré znejú:

79. § 31 vrátane nadpisu znie:

80. V § 32 ods. 1 sa vypúšťa písmeno b).

81. V § 32 ods. 1 písm. b) sa vypúšťajú slová „ods.1 a 6“.

82. V § 32 ods. 1 písm. c) sa slová „§ 20 ods.1“ nahrádzajú slovami „§ 20“.

83. V § 32 ods. 1 sa vypúšťa písmeno d).

84. V § 32 ods. 1 písm. d) sa za slová „pravidlá auditu kybernetickej bezpečnosti“ vkladajú slová „alebo samohodnotenia“, za slová „periodicitu vykonávania auditu kybernetickej bezpečnosti“ sa vkladajú slová „alebo samohodnotenia“, slová „certifikačnú schému a“ sa nahrádzajú slovami „certifikačné schémy,“ a vypúšťajú sa slová „(§ 29 ods. 1 až 5)“.

85. V § 32 sa odsek 1 dopĺňa písmenami h) a i), ktoré znejú:

86. V § 33 ods. 1 sa za slová „§ 27 až 27c“ vkladá čiarka a slová „§ 29a ods. 1 písm. a), b) a d) a § 29l okrem doručovania rozkazu o uložení sankcie a jeho náležitostí“.

87. V § 33 odsek 4 znie:

88. Poznámka pod čiarou k odkazu 34 znie:

89. § 33 sa dopĺňa odsekom 6, ktorý znie

„ (6) Národná banka Slovenska a úrad uzatvoria písomnú zmluvu o spolupráci o základných rámcoch hlásenia kybernetických bezpečnostných incidentov a riešenia kybernetických bezpečnostných incidentov a o hlásení stavu zabezpečovania kybernetickej bezpečnosti v Národnej banke Slovenska.“.

90. Za § 34a sa vkladá § 34b, ktorý vrátane nadpisu znie:

91. Za § 35 sa vkladá § 36, ktorý vrátane nadpisu znie:

92. Slová „prevádzkovateľ základných služieb“ a „prevádzkovatelia základných služieb“ vo všetkých tvaroch sa v celom texte zákona nahrádzajú slovami „prevádzkovateľ základnej služby“ v príslušnom tvare.

93. Prílohy č. 1 až 3 znejú:

Tento zákon nadobúda účinnosť 1. januára 2025.