Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

je subjektom hospodárskej mobilizácie, ktorému bolo uložené opatrenie podľa osobitného predpisu, [23)](#poznamky.poznamka-23)

je určená ako subjekt hospodárskej mobilizácie spôsobom podľa osobitného predpisu, [23)](#poznamky.poznamka-23)

správca informačnej technológie verejnej správy, [23a)](#poznamky.poznamka-23a)

správca informačnej technológie verejnej správy, [23a)](#poznamky.poznamka-23a) na ktorého sa vo vzťahu k informačným technológiám verejnej správy vzťahujú minimálne bezpečnostné opatrenia Kategórie II alebo Kategórie III podľa osobitného predpisu, [23aa)](#poznamky.poznamka-23aa)

rozhoduje o blokovaní škodlivého obsahu alebo škodlivej aktivity, ktorá smeruje do kybernetického priestoru Slovenskej republiky alebo z kybernetického priestoru Slovenskej republiky (ďalej len „blokovanie“) a zabezpečuje vykonanie tohto rozhodnutia alebo vykonáva blokovanie na základe žiadosti.

rozhoduje o blokovaní škodlivého obsahu alebo škodlivej aktivity, ktorá smeruje do kybernetického priestoru Slovenskej republiky alebo z kybernetického priestoru Slovenskej republiky (ďalej len „blokovanie“) a zabezpečuje vykonanie tohto rozhodnutia alebo vykonáva blokovanie na základe žiadosti,

organizáciu, pôsobnosť a povinnosti orgánov verejnej moci v oblasti kybernetickej bezpečnosti,

podmienky pre riadenie a zabezpečenie kybernetickej bezpečnosti, najmä

národnú stratégiu kybernetickej bezpečnosti,

správu v oblasti kybernetickej bezpečnosti, najmä

jednotný informačný systém kybernetickej bezpečnosti,

organizáciu a pôsobnosť jednotiek pre riešenie kybernetických bezpečnostných incidentov (ďalej len „jednotka CSIRT“) a ich akreditáciu,

organizáciu a pôsobnosť jednotiek pre riešenie kybernetických bezpečnostných incidentov (ďalej len „jednotka CSIRT“) a ich akreditáciu,

audit kybernetickej bezpečnosti a dohľad nad plnením povinností prevádzkovateľa základnej služby podľa tohto zákona alebo povinností uložených na základe tohto zákona (ďalej len „dohľad“).“.

Na účely zaistenia kontinuity a riadenia rizík súvisiacich so zabezpečením sietí a informačných systémov, ktoré nie sú základnou službou a procesu riešenia kybernetických bezpečnostných incidentov, iný orgán štátnej správy a ústredný orgán v rozsahu svojej pôsobnosti zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že prijíma a dodržiava vhodné a primerané bezpečnostné opatrenia podľa [§ 20] .

Na účely zaistenia kontinuity a riadenia rizík súvisiacich so zabezpečením sietí a informačných systémov a procesu riešenia kybernetických bezpečnostných incidentov, iný orgán štátnej správy v rozsahu svojej pôsobnosti zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že prijíma a dodržiava vhodné a primerané bezpečnostné opatrenia podľa [§ 20] .

Orgán verejnej moci, prevádzkovateľ základnej služby a právnická osoba v sektore podľa [prílohy č. 1] sú povinní poskytnúť úradu na plnenie jeho úloh pri riešení kybernetického bezpečnostného incidentu podľa tohto zákona požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na zabezpečenie kybernetickej bezpečnosti a riešenie kybernetického bezpečnostného incidentu; informácie sa poskytujú len za podmienky, že sú nevyhnutné pre riešenie kybernetického bezpečnostného incidentu a ich poskytnutím nedôjde k ohrozeniu plnenia konkrétnej úlohy podľa osobitného predpisu [13a)](#poznamky.poznamka-13a) alebo spravodajskej služby podľa osobitného predpisu [13)](#poznamky.poznamka-13) alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb, ktoré konajú v jej prospech, alebo k ohrozeniu medzinárodnej spravodajskej spolupráce.

Orgán verejnej moci, prevádzkovateľ základnej služby a právnická osoba v sektore podľa [prílohy č. 1] alebo [prílohy č. 2] sú povinní poskytnúť úradu na plnenie jeho úloh pri riešení kybernetického bezpečnostného incidentu podľa tohto zákona požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na zabezpečenie kybernetickej bezpečnosti a riešenie kybernetického bezpečnostného incidentu; informácie sa poskytujú len za podmienky, že sú nevyhnutné pre riešenie kybernetického bezpečnostného incidentu a ich poskytnutím nedôjde k ohrozeniu plnenia konkrétnej úlohy podľa osobitného predpisu [13a)](#poznamky.poznamka-13a) alebo spravodajskej služby podľa osobitného predpisu [13)](#poznamky.poznamka-13) alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb, ktoré konajú v jej prospech, alebo k ohrozeniu medzinárodnej spravodajskej spolupráce.

Na účely konania pred orgánom verejnej moci, na účely trestného konania, oznamovania skutočnosti nasvedčujúcej tomu, že bol spáchaný trestný čin, alebo oznamovania kriminality alebo inej protispoločenskej činnosti [16)](#poznamky.poznamka-16) sa povinnosť zachovávať mlčanlivosť podľa odseku 1 nevzťahuje na prevádzkovateľa základnej služby a poskytovateľa digitálnej služby a jeho zamestnancov.

Na účely konania pred orgánom verejnej moci, na účely trestného konania, oznamovania skutočnosti nasvedčujúcej tomu, že bol spáchaný trestný čin, alebo oznamovania kriminality alebo inej protispoločenskej činnosti [16)](#poznamky.poznamka-16) sa povinnosť zachovávať mlčanlivosť podľa odseku 1 nevzťahuje na prevádzkovateľa základnej služby a jeho zamestnancov.

Oznamovanie kybernetických bezpečnostných incidentov v rozsahu podľa tohto zákona, informovanie o hlásenom kybernetickom bezpečnostnom incidente, úkony súvisiace s riešením kybernetických bezpečnostných incidentov, vyhlásenie výstrahy a varovania spôsobom podľa tohto zákona nie je porušením povinnosti zachovávať mlčanlivosť podľa tohto zákona a podľa osobitných predpisov. [15)](#poznamky.poznamka-15)

Oznamovanie kybernetických bezpečnostných incidentov v rozsahu podľa tohto zákona, informovanie o hlásenom kybernetickom bezpečnostnom incidente, úkony súvisiace s riešením kybernetických bezpečnostných incidentov, vyhlásenie výstrahy a varovania alebo stavu kybernetickej krízy spôsobom podľa tohto zákona nie je porušením povinnosti zachovávať mlčanlivosť podľa tohto zákona a podľa osobitných predpisov. [15)](#poznamky.poznamka-15)

Za škodu spôsobenú prevádzkovateľom základnej služby, poskytovateľom digitálnej služby, ich zamestnancom alebo osobe oznamujúcej kybernetický bezpečnostný incident, ktorá vznikla oznámením podľa odseku 4, zodpovedá úrad.

Za škodu spôsobenú prevádzkovateľom základnej služby, jeho zamestnancom alebo osobe oznamujúcej kybernetický bezpečnostný incident, ktorá vznikla oznámením podľa odseku 4, zodpovedá úrad.

Ten, kto plní úlohy jednotky CSIRT v rozsahu svojej pôsobnosti určenej podľa [prílohy č. 1] , zodpovedá za riešenie kybernetických bezpečnostných incidentov a vykonáva preventívne služby a reaktívne služby.

Ten, kto plní úlohy jednotky CSIRT v rozsahu svojej pôsobnosti určenej podľa [prílohy č. 1] alebo [prílohy č. 2] , zodpovedá za riešenie kybernetických bezpečnostných incidentov a vykonáva preventívne služby a reaktívne služby.

monitorovaním a evidenciou kybernetických bezpečnostných incidentov,

monitorovaním a evidenciou zraniteľností, kybernetických hrozieb, kybernetických kríz a kybernetických bezpečnostných incidentov,

prijímaním a zasielaním včasného varovania pred kybernetickými bezpečnostnými incidentmi prostredníctvom jednotného informačného systému kybernetickej bezpečnosti.

prijímaním a zasielaním včasného varovania pred kybernetickými bezpečnostnými incidentmi prostredníctvom jednotného informačného systému kybernetickej bezpečnosti,

Reaktívne služby vykonáva jednotka CSIRT za účasti prevádzkovateľa základnej služby alebo poskytovateľa digitálnej služby.

Reaktívne služby vykonáva jednotka CSIRT za účasti prevádzkovateľa základnej služby.

Ak prevádzkovateľ služby v sektore podľa [prílohy č. 1] zistí, že došlo k prekročeniu identifikačných kritérií prevádzkovanej služby podľa [§ 18] , je povinný to oznámiť úradu do 30 dní odo dňa, keď prekročenie zistil, najneskôr však do 60 dní, odkedy k prekročeniu došlo.

Do registra prevádzkovateľov základnej služby sa zapisuje

Úrad zaradí základnú službu podľa [§ 3 písm. l) prvého bodu] do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb

Ten, kto vykonáva činnosť podľa odseku 1 je povinný do 60 dní odo dňa, kedy činnosť začne vykonávať, oznámiť to úradu. Oznámenie podľa predchádzajúcej vety musí obsahovať

na základe oznámenia prevádzkovateľom tejto služby podľa odseku 1,

názov, sídlo a kontaktné údaje vrátane elektronických adries, verejných IP adries a telefónnych čísel,

na základe podnetu ústredného orgánu, ak došlo k prekročeniu identifikačných kritérií prevádzkovanej služby podľa [§ 18] ,

zoznam členských štátov Európskej únie, v ktorých vykonáva činnosť alebo poskytuje službu,

z vlastnej iniciatívy, ak sa úrad dozvedel o prekročení identifikačných kritérií prevádzkovanej služby podľa [§ 18] a nedošlo k postupu podľa písmena a) alebo písmena b).

názov, sídlo a kontaktné údaje zástupcu podľa [§ 21 ods. 1.]

Úrad zaradí základnú službu podľa § 3 písm. l) druhého bodu do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb zo zákona.

Úrad zapíše do registra prevádzkovateľov základnej služby osobu podľa odseku 1

Oznámenie podľa odseku 1 musí obsahovať

Zápis do registra prevádzkovateľov základnej služby oznámi úrad bezodkladne prevádzkovateľovi základnej služby prostredníctvom jednotného informačného systému kybernetickej bezpečnosti a doručí do elektronickej schránky podľa osobitného predpisu; [23b)](#poznamky.poznamka-23b) osobitné rozhodnutie sa nevydáva.

Zaradenie služby do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb oznámi úrad prevádzkovateľovi tejto služby prostredníctvom informačného systému kybernetickej bezpečnosti.

Práva a povinnosti prevádzkovateľa základnej služby vznikajú prevádzkovateľovi základnej služby dňom uvedeným v oznámení o zápise do registra prevádzkovateľov základnej služby, najskôr však tridsiaty deň nasledujúci po dni tohto zápisu.

Identifikačné kritériá prevádzkovanej služby sú dopadové kritériá a špecifické sektorové kritériá.

Kritickou základnou službou je

Dopadové kritériá sú určené všeobecne záväzným právnym predpisom, ktorý vydá úrad, a zohľadňujú najmä

Ak prevádzkovateľ základnej služby vykonáva aspoň jednu z kritických základných služieb, je prevádzkovateľom kritickej základnej služby a túto skutočnosť je povinný oznámiť úradu.

Špecifické sektorové kritériá zohľadňujú kritériá určené všeobecne záväzným právnym predpisom, ktorý vydá úrad.

Skutočnosť, že prevádzkovateľ základnej služby prevádzkuje kritickú základnú službu, ako aj každú zmenu v týchto skutočnostiach, zapíše úrad do registra prevádzkovateľov základnej služby; na toto oznámenie a spôsob zápisu, ako aj na povinnosť oznamovania zmien a na ich zápis sa primerane použije [§ 17 ods. 3.]

Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa [§ 20] a sektorové bezpečnostné opatrenia, ak sú prijaté.

Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa zápisu do registra prevádzkovateľov základnej služby v závislosti od vykonanej analýzy rizík prijať, dodržiavať a vykonávať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa [§ 20] a vykonávať ich s cieľom zabezpečovania kybernetickej bezpečnosti a odolnosti. Na účely plnenia povinnosti podľa prvej vety prevádzkovateľ základnej služby prijíma, dodržiava a vykonáva sektorové bezpečnostné opatrenia, ak sú ustanovené; [24)](#poznamky.poznamka-24) povinnosť prijímať opatrenia podľa [§ 20 ods. 4] tým nie je dotknutá. Osoba poskytujúca niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa [§ 2 ods. 2] plní bezpečnostné opatrenia podľa osobitného predpisu. [24a)](#poznamky.poznamka-24a)

Prevádzkovateľ základnej služby je povinný pri výkone činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby prostredníctvom tretej strany, uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa tohto zákona počas celej doby výkonu tejto činnosti; pri uzatvorení zmluvy sa vykonáva analýza rizík.

Prevádzkovateľ základnej služby je povinný pri výkone činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby prostredníctvom tretej strany, uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa tohto zákona počas celej doby výkonu tejto činnosti; pri uzatvorení zmluvy sa vykonáva analýza rizík. Tretia strana je počas trvania zmluvného vzťahu povinná vykonávať a realizovať bezpečnostné opatrenia v súlade s písomnou zmluvou a týmto zákonom a je povinná podrobiť sa kontrole plnenia týchto opatrení zo strany prevádzkovateľa základnej služby. Ak ide o zmluvu podľa prvej vety uzatvorenú s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu, kontrolu môže vykonávať aj úrad; na tento účel má tretia strana postavenie prevádzkovateľa základnej služby. Uzatvorenie zmluvy podľa prvej vety nesmie brániť v hospodárskej súťaži.

Povinnosť uzatvoriť zmluvu podľa odseku 2 neplatí, ak je tretia strana prevádzkovateľom základnej služby alebo poskytovateľom digitálnej služby, alebo ak je riziko vo vzťahu k činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby prostredníctvom tretej strany nízke.

Povinnosť uzatvoriť zmluvu podľa odseku 2 neplatí, ak je tretia strana prevádzkovateľom základnej služby, alebo ak je riziko vo vzťahu k činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby prostredníctvom tretej strany nízke.

oznámiť orgánu činnému v trestnom konaní alebo Policajnému zboru skutočnosti, že bol spáchaný trestný čin, ktorého sa kybernetický bezpečnostný incident týka, ak sa o ňom hodnoverným spôsobom dozvie.

oznámiť orgánu činnému v trestnom konaní alebo Policajnému zboru skutočnosti, že bol spáchaný trestný čin, ktorého sa kybernetický bezpečnostný incident týka, ak sa o ňom hodnoverným spôsobom dozvie,

Prevádzkovateľ základnej služby je povinný hlásiť zmeny v údajoch podľa [§ 17 ods. 4] do 30 dní odo dňa ich vzniku prostredníctvom jednotného informačného systému kybernetickej bezpečnosti.

Prevádzkovateľ základnej služby je povinný hlásiť zmeny v zapísaných údajoch, okrem referenčných údajov do 30 dní odo dňa ich vzniku prostredníctvom jednotného informačného systému kybernetickej bezpečnosti a ak prevádzkovateľ základnej služby prevádzkuje kritickú základnú službu, je povinný hlásiť úradu aj informáciu o uzatvorení zmluvy s treťou stranou o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti a aj informáciu o jej ukončení. Úrad vykoná zmenu v registri prevádzkovateľov základnej služby, a to aj bez návrhu.

Prevádzkovateľ základnej služby nezodpovedá za škodu, ktorá vznikne inému subjektu obmedzením kontinuity základnej služby pri riešení kybernetického bezpečnostného incidentu spôsobom a postupom podľa [§ 27] . Za škodu spôsobenú obmedzením kontinuity základnej služby kybernetickým bezpečnostným incidentom plnením povinnosti spôsobom podľa predchádzajúcej vety zodpovedá úrad.

Prevádzkovateľ základnej služby nezodpovedá za škodu, ktorá vznikne inému subjektu obmedzením kontinuity činnosti pri riešení kybernetického bezpečnostného incidentu spôsobom a postupom podľa [§ 27] . Za škodu spôsobenú obmedzením kontinuity činnosti kybernetickým bezpečnostným incidentom plnením povinnosti spôsobom podľa predchádzajúcej vety zodpovedá úrad.

Tento zákon ustanovuje minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti.

Tento zákon sa vzťahuje na informačné systémy zriadené a prevádzkované v pôsobnosti Ministerstva obrany Slovenskej republiky v rozsahu určenom ústredným orgánom spôsobom podľa § 33 ods. 5.

Tento zákon sa nevzťahuje na

Ak ide o osobu, ktorá poskytuje službu DNS, službu registrácie názvu domény, službu cloud computingu, službu dátového centra, sieť na sprístupňovanie obsahu, riadenú službu, bezpečnostnú službu, službu online trhu, službu internetového vyhľadávača alebo platformu služieb sociálnej siete, možno ju zapísať do registra prevádzkovateľov základnej služby a tento zákon sa na ňu vzťahuje aj vtedy, ak nemá trvalý pobyt, miesto podnikania alebo sídlo na území Slovenskej republiky,

požiadavky na zabezpečenie sietí a informačných systémov podľa všeobecného predpisu o ochrane utajovaných skutočností,

má trvalý pobyt, miesto podnikania alebo sídlo v členskom štáte Európskej únie alebo štáte, ktorý je zmluvnou stranou Dohody o Európskom hospodárskom priestore (ďalej len „členský štát Európskej únie“) a na území Slovenskej republiky

osobitné ustanovenia o úlohách a oprávneniach orgánu štátu pri ochrane kybernetického priestoru podľa osobitného predpisu, [1)](#poznamky.poznamka-1)

nemá trvalý pobyt, miesto podnikania alebo sídlo v členskom štáte Európskej únie a

Bezpečnostnými opatreniami na účely tohto zákona sú úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov. Bezpečnostné opatrenia realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti sa prijímajú s cieľom predchádzať kybernetickým bezpečnostným incidentom a minimalizovať vplyv kybernetických bezpečnostných incidentov na bezpečnosť prevádzkovania služby. Bezpečnostné opatrenia sú všeobecné, realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti pre všetky siete a informačné systémy a sektorové, ktoré sa realizujú na základe špecifík kategorizácie sietí a informačných systémov ústredného orgánu v rozsahu svojej pôsobnosti podľa [prílohy č. 1] a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti.

Bezpečnostnými opatreniami na účely tohto zákona sú úlohy, procesy, role a technológie v organizačnej, personálnej, fyzickej a technologickej oblasti, ktorých cieľom je dosiahnutie, zaručenie a udržanie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov a operačných technológií. Bezpečnostné opatrenia sú realizované na základe vykonanej analýzy rizík a s prihliadnutím na bezpečnostné metodiky a politiky úradu, najnovšie bezpečnostné trendy a medzinárodné normy a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti a prijímajú sa s cieľom

Klasifikácia informácií a kategorizácia sietí a informačných systémov podľa odseku 1 sa vykonáva na základe významnosti, funkcie a účelu informácií a informačných systémov s ohľadom na dôvernosť, integritu, dostupnosť, kvalitu služby a kontrolnú činnosť.

Bezpečnostné opatrenia sa prijímajú aspoň pre

Bezpečnostné opatrenia sa prijímajú a realizujú najmä pre oblasť

Bezpečnostné opatrenia sa prijímajú a realizujú v rozsahu a spôsobom podľa [§ 32 ods. 1 písm. b)] alebo osobitného predpisu [24)](#poznamky.poznamka-24) , ak je vydaný, a na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.

pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania.

pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania,

informácie špecifické pre cudzí štát a informácie spravodajskej služby o možných hrozbách pre záujmy Slovenskej republiky.

informácie špecifické pre cudzí štát a informácie spravodajskej služby o možných kybernetických hrozbách pre záujmy Slovenskej republiky.

Bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.

Povinnosť dodržiavať všeobecné bezpečnostné opatrenia a sektorové bezpečnostné opatrenia v rozsahu podľa tohto zákona a všeobecne záväzných právnych predpisov vydaných na jeho vykonanie sa vzťahuje aj na právne vzťahy, o ktorých tak ustanoví osobitný predpis.

Poskytovateľ digitálnej služby je povinný do 30 dní odo dňa začatia poskytovania digitálnej služby oznámiť úradu

Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa [§ 2 ods. 2] , alebo o osobu, ktorá je treťou stranou, ktorá nemá trvalý pobyt, miesto podnikania alebo sídlo na území členského štátu Európskej únie a poskytuje tieto služby alebo vykonáva tieto činnosti na území Slovenskej republiky, je povinná mať počas celej doby poskytovania týchto služieb alebo vykonávania týchto činností určeného zástupcu s trvalým pobytom, miestom podnikania alebo sídlom na území Slovenskej republiky alebo na území iného členského štátu Európskej únie, v ktorom tiež poskytuje tieto služby alebo vykonáva tieto činnosti.

Na základe oznámenia podľa odseku 1 úrad zaradí službu do zoznamu digitálnych služieb a jej poskytovateľa do registra poskytovateľov digitálnych služieb.

Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa [§ 2 ods. 2] , na ktorú sa vzťahuje pôsobnosť tohto zákona a ktorej siete a informačné systémy sa nachádzajú v inom členskom štáte Európskej únie, úrad pri výkone svojej pôsobnosti podľa tohto zákona spolupracuje s príslušným orgánom členského štátu Európskej únie.

Úrad zaradí službu do zoznamu digitálnych služieb a jej poskytovateľa do registra poskytovateľov digitálnych služieb aj na základe vlastného zistenia.

Ak ide o osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa [§ 2 ods. 2] , na ktorú sa vzťahuje pôsobnosť tohto zákona, je povinná písomne oznámiť na výzvu úradu prostredníctvom jednotného informačného systému kybernetickej bezpečnosti každú zmenu, bezodkladne najneskôr do troch mesiacov odo dňa zmeny, niektorého z týchto údajov

Zaradenie služby do zoznamu digitálnych služieb a jej poskytovateľa do registra poskytovateľov digitálnych služieb oznámi úrad poskytovateľovi tejto služby.

Úrad oznamuje každú oznámenú zmenu údajov podľa odseku 3 bezodkladne Agentúre Európskej únie pre kybernetickú bezpečnosť.

Poskytovateľ digitálnej služby je povinný do šiestich mesiacov odo dňa oznámenia o zaradení do registra poskytovateľov digitálnych služieb prijať a dodržiavať vhodné a primerané bezpečnostné opatrenia podľa osobitného predpisu [24)](#poznamky.poznamka-24) na účely riadenia rizík súvisiacich s ohrozením kontinuity digitálnej služby a procesu riešenia kybernetických bezpečnostných incidentov. Na tento účel je poskytovateľ digitálnej služby povinný vyčleniť dostatočné personálne, materiálno-technické, časové a finančné zdroje s cieľom zabezpečenia kontinuity digitálnej služby.

Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény sú povinní pri registrácii domény evidovať a viesť osobitnú evidenciu registračných údajov názvu domény.

Poskytovateľ digitálnej služby na účely splnenia povinnosti podľa odseku 1 posudzuje najmä

Evidencia registračných údajov názvu domény obsahuje tieto údaje:

bezpečnosť sietí a informačného systému a jeho schopnosť predchádzať a riešiť kybernetický bezpečnostný incident,

názov domény,

spôsob zachovania kontinuity digitálnej služby v prípade kybernetického bezpečnostného incidentu,

dátum registrácie názvu domény,

súlad sietí a informačného systému s bezpečnostnými štandardmi v oblasti kybernetickej bezpečnosti.

meno a priezvisko alebo názov držiteľa domény,

Poskytovateľ digitálnej služby je povinný

Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény, sú povinní prijať vnútorné predpisy a zaviesť osobitné postupy na zabezpečenie overenia údajov predkladaných pri registrácii názvu domény, aspoň v rozsahu overenia údajov podľa odseku 2 písm. c), s cieľom zabezpečiť súlad údajov podľa odseku 2 so skutočnosťou. Na tieto účely sú osoby podľa prvej vety oprávnené aj bez súhlasu dotknutej osoby získavať, zaznamenávať a kopírovať údaje z dokladu totožnosti.

O hlásenom kybernetickom bezpečnostnom incidente v nevyhnutnom rozsahu informuje poskytovateľ digitálnej služby tretiu stranu, ak by sa plnenie zmluvy stalo nemožným, ak úrad nerozhodne inak. Povinnosť zachovávať mlčanlivosť tým nie je dotknutá.

Správca TLD a osoba, ktorá poskytuje službu registrácie názvu domény, sú povinní bezodkladne po registrácii názvu domény bezodplatne zverejniť údaje predkladané pri registrácii názvu domény, ktoré nie sú osobnými údajmi. [24b)](#poznamky.poznamka-24b)

Prevádzkovateľ základnej služby je povinný hlásiť každý závažný kybernetický bezpečnostný incident, ktorý identifikuje na základe presiahnutia kritérií pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov.

Prevádzkovateľ základnej služby je povinný hlásiť každý závažný kybernetický bezpečnostný incident.

Závažný kybernetický bezpečnostný incident sa člení na kategóriu prvého (I) stupňa, druhého (II) stupňa a tretieho (III) stupňa v závislosti od

Za závažný kybernetický bezpečnostný incident sa považuje rozsiahly kybernetický bezpečnostný incident a kybernetický bezpečnostný incident, ktorý

počtu používateľov základnej služby alebo digitálnej služby zasiahnutých kybernetickým bezpečnostným incidentom,

spôsobil alebo môže spôsobiť závažné narušenie fungovania prevádzkovateľa základnej služby, alebo škodu, inú ujmu na majetku alebo ušlý zisk vo veľkom rozsahu, [9)](#poznamky.poznamka-9)

dĺžky trvania kybernetického bezpečnostného incidentu,

zasiahol alebo môže zasiahnuť iné osoby tým, že im spôsobí škodu, inú ujmu alebo ušlý zisk v značnom rozsahu. [9)](#poznamky.poznamka-9)

Ak prevádzkovateľ základnej služby využíva na poskytovanie základnej služby poskytovateľa digitálnej služby, je poskytovateľ digitálnej služby povinný hlásiť každý závažný kybernetický bezpečnostný incident, ktorý postihol poskytovateľa digitálnej služby.

Hlásenie závažného kybernetického bezpečnostného incidentu sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti

Hlásenie kybernetických bezpečnostných incidentov sa vykonáva prostredníctvom jednotného informačného systému kybernetickej bezpečnosti.

Na hlásenie závažných kybernetických bezpečnostných incidentov alebo na zaistenie kybernetickej bezpečnosti môže úrad namiesto postupu podľa [§ 8 ods. 6] uzatvoriť písomnú zmluvu o odlišnom spôsobe a forme hlásenia kybernetických bezpečnostných incidentov s prevádzkovateľom základnej služby, pri ktorom je to odôvodnené jeho postavením, alebo rozsahom alebo obsahom činnosti.

Ak do okamihu hlásenia kybernetického bezpečnostného incidentu nepominuli jeho účinky, prevádzkovateľ základnej služby je povinný odoslať neúplné hlásenie kybernetického bezpečnostného incidentu, v ktorom vyznačí identifikátor neukončeného hlásenia, a bezodkladne po obnove riadnej prevádzky siete a informačného systému toto hlásenie doplní.

Prevádzkovateľ základnej služby prostredníctvom jednotného informačného systému kybernetickej bezpečnosti hlási aj

Na hlásenie kybernetických bezpečnostných incidentov alebo na zaistenie kybernetickej bezpečnosti môže úrad namiesto postupu podľa [§ 8 ods. 6] uzatvoriť písomnú zmluvu o spôsobe a forme hlásenia kybernetických bezpečnostných incidentov s prevádzkovateľom základnej služby.

Prevádzkovateľ základnej služby a iná osoba môžu hlásiť kybernetický bezpečnostný incident, kybernetickú hrozbu alebo udalosť odvrátenú v poslednej chvíli aj dobrovoľne, nad rozsah povinnosti podľa odseku 1; postup podľa odseku 3 sa použije primerane. Úrad spracováva a analyzuje dobrovoľné hlásenia podľa prvej vety v rozsahu, v akom to úradu umožňujú technické podmienky a kapacity tak, aby nedošlo k neprimeranému zaťažovaniu subjektov a obmedzeniu medzinárodnej spolupráce. Osobe, ktorá nie je prevádzkovateľom základnej služby, dobrovoľné hlásenia podľa prvej vety nezakladajú žiadne práva ani povinnosti podľa tohto zákona.

Ak je to vzhľadom na povahu alebo dôležitosť základnej služby potrebné a nedôjde k uzatvoreniu zmluvy podľa [§ 24 ods. 6] , úrad môže rozhodnutím uložiť prevádzkovateľovi základnej služby povinnosť automatizovaným spôsobom vyhodnocovať výskyt kybernetického bezpečnostného incidentu a nahlasovať kybernetický bezpečnostný incident. Na tento účel zverejňuje úrad výstrahy, varovania a ďalšie informácie v jednotnom informačnom systéme kybernetickej bezpečnosti. Náklady spojené s technickým zabezpečením vyhodnocovania a nahlasovania kybernetického bezpečnostného incidentu znáša úrad.

Ak je to vzhľadom na povahu alebo dôležitosť prevádzkovateľa základnej služby potrebné a nedôjde k uzatvoreniu zmluvy podľa [§ 24 ods. 4] , úrad môže rozhodnutím uložiť prevádzkovateľovi základnej služby povinnosť automatizovaným spôsobom vyhodnocovať výskyt kybernetického bezpečnostného incidentu a nahlasovať kybernetický bezpečnostný incident. Na tento účel zverejňuje úrad výstrahy, varovania, stav kybernetickej krízy a ďalšie informácie v jednotnom informačnom systéme kybernetickej bezpečnosti. Náklady spojené s technickým zabezpečením vyhodnocovania a nahlasovania kybernetického bezpečnostného incidentu znáša úrad.

Obsah komunikácie a prenášaných správ a ochrana súkromia podľa osobitného predpisu [28a)](#poznamky.poznamka-28a) plnením povinností podľa odseku 1 nie sú dotknuté.

Obsah komunikácie a prenášaných správ a ochrana súkromia podľa osobitného predpisu [24c)](#poznamky.poznamka-28a) plnením povinností podľa odseku 1 nie sú dotknuté.

V prípade závažného kybernetického bezpečnostného incidentu alebo jeho hrozby môže úrad

V prípade závažného kybernetického bezpečnostného incidentu alebo významnej kybernetickej hrozby môže úrad

vyhlásiť výstrahu a varovanie pred závažným kybernetickým bezpečnostným incidentom,

vyhlásiť výstrahu, varovanie alebo stav kybernetickej krízy,

Z dôvodu neodkladnosti a naliehavosti riešenia závažného kybernetického bezpečnostného incidentu úrad na účely kybernetickej obrany [28)](#poznamky.poznamka-28) informuje Vojenské spravodajstvo, že závažný kybernetický bezpečnostný incident je kategórie tretieho (III) stupňa, alebo o skutočnostiach, ktoré nasvedčujú, že závažný kybernetický bezpečnostný incident môže byť kybernetickým terorizmom. Prevádzkovateľ základnej služby a poskytovateľ digitálnej služby, ktorí hlásia tento kybernetický bezpečnostný incident, sú na účely zabezpečenia kybernetickej obrany povinní poskytnúť Vojenskému spravodajstvu informácie v potrebnom rozsahu. O postupe podľa prvej vety informuje úrad predsedu Bezpečnostnej rady Slovenskej republiky.

Z dôvodu neodkladnosti a naliehavosti riešenia závažného kybernetického bezpečnostného incidentu, detegovania takejto hrozby alebo možného kybernetického terorizmu úrad na účely kybernetickej obrany [28)](#poznamky.poznamka-28) informuje Vojenské spravodajstvo, ktoré postupuje podľa osobitných predpisov. [28a)](#poznamky.poznamka-28a) Prevádzkovateľ základnej služby, ktorý hlási tento kybernetický bezpečnostný incident, je na účely zabezpečenia kybernetickej obrany povinný poskytnúť Vojenskému spravodajstvu informácie v potrebnom rozsahu. O postupe podľa prvej vety úrad informuje predsedu Bezpečnostnej rady Slovenskej republiky.

Povinnosť riešiť kybernetický bezpečnostný incident ukladá úrad rozhodnutím tomu, kto plní úlohy jednotky CSIRT, prevádzkovateľovi základnej služby a poskytovateľovi digitálnej služby.

Povinnosť riešiť kybernetický bezpečnostný incident ukladá úrad rozhodnutím tomu, kto plní úlohy jednotky CSIRT, prevádzkovateľovi základnej služby alebo tretej strane, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti.

Povinnosť vykonať reaktívne opatrenie ukladá úrad rozhodnutím prevádzkovateľovi základnej služby alebo poskytovateľovi digitálnej služby, ktorí sú pri riešení závažného kybernetického bezpečnostného incidentu nečinní, alebo ak riešenie závažného kybernetického bezpečnostného incidentu je zjavne neúspešné. Poskytovateľovi digitálnej služby možno uložiť povinnosť vykonať reaktívne opatrenie iba počas krízovej situácie. [26)](#poznamky.poznamka-26)

Povinnosť vykonať reaktívne opatrenie ukladá úrad rozhodnutím prevádzkovateľovi základnej služby alebo tretej strane, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, ktorí sú pri riešení závažného kybernetického bezpečnostného incidentu nečinní, alebo ak riešenie závažného kybernetického bezpečnostného incidentu je zjavne neúspešné. Tretej strane, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, možno uložiť povinnosť vykonať reaktívne opatrenie iba počas krízovej situácie. [26)](#poznamky.poznamka-26)

Prevádzkovateľ základnej služby alebo poskytovateľ digitálnej služby je povinný bezodkladne oznámiť a preukázať úradu prostredníctvom jednotného informačného systému kybernetickej bezpečnosti vykonanie reaktívneho opatrenia a jeho výsledok.

Prevádzkovateľ základnej služby alebo tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, sú povinní bezodkladne oznámiť a preukázať úradu prostredníctvom jednotného informačného systému kybernetickej bezpečnosti vykonanie reaktívneho opatrenia a jeho výsledok.

Úrad môže rozhodnutím zakázať alebo obmedziť používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby ak zistí, že takéto používanie

Úrad môže rozhodnutím zakázať alebo obmedziť používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie služby ak zistí, že takéto používanie

Úrad vydá rozhodnutie podľa odseku 1 iba v prípade, ak prevádzkovateľ základnej služby alebo tretia strana nedostatky podľa odseku 1 neodstráni v primeranej lehote určenej úradom.

Prevádzkovateľ základnej služby je povinný zdržať sa používania konkrétneho produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa odseku 1 na poskytovanie služby alebo ich používanie obmedziť.

Prevádzkovateľ základnej služby je povinný zdržať sa používania konkrétneho produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa odseku 1 na poskytovanie základnej služby alebo ich používanie obmedziť.

Rozhodnutie podľa odseku 1 sa vyhlási zverejnením v Zbierke zákonov Slovenskej republiky [28b)](#poznamky.poznamka-28b) a účinky nadobúda dňom vyhlásenia. Ak je vyhlásené rozhodnutie podľa odseku 1 zmenené alebo zrušené, na právny akt, ktorým sa rozhodnutie podľa odseku 1 zmenilo alebo zrušilo, sa prvá veta použije rovnako.

Rozhodnutie podľa odseku 1 sa vyhlási zverejnením v Zbierke zákonov Slovenskej republiky [28b)](#poznamky.poznamka-28b) a účinky nadobúda dňom vyhlásenia. Ak je vyhlásené rozhodnutie podľa odseku 1 zmenené alebo zrušené, na právny akt, ktorým sa rozhodnutie podľa odseku 1 zmenilo alebo zrušilo, sa prvá veta použije rovnako.

Ak úrad rozhodnutím podľa odseku 1 zakáže alebo obmedzí používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie služby, v rozhodnutí podľa odseku 1 zároveň určí primeranú dobu zákazu alebo obmedzenia používania konkrétneho produktu, procesu, služby alebo tretej strany, ktorá nemôže byť dlhšia ako dva roky. O zákaze alebo obmedzení podľa prvej vety môže úrad rozhodnúť aj opakovane.

Ak úrad rozhodnutím podľa odseku 1 zakáže alebo obmedzí používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby, v rozhodnutí podľa odseku 1 zároveň určí primeranú dobu zákazu alebo obmedzenia používania konkrétneho produktu, procesu, služby alebo tretej strany, ktorá nemôže byť dlhšia ako dva roky. O zákaze alebo obmedzení podľa prvej vety môže úrad rozhodnúť aj opakovane.

Ak ide o produkt, proces, službu alebo tretiu stranu, ktorú prevádzkovateľ základnej služby začal používať pred zverejnením rozhodnutia podľa odseku 1, je prevádzkovateľ základnej služby povinný zdržať sa používania alebo obmedziť používanie produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa odseku 1 v primeranej lehote určenej v rozhodnutí, ktorá nie je kratšia ako dva roky a dlhšia ako päť rokov. Zároveň je prevádzkovateľ základnej služby povinný najneskôr do šiestich mesiacov od zverejnenia rozhodnutia podľa odseku 1 vykonať primerané bezpečnostné opatrenia na riadenie rizík podľa odseku 3.

Auditom kybernetickej bezpečnosti sa rozumie overenie plnenia povinností podľa tohto zákona, posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa tohto zákona a osobitných predpisov, ktoré sa vzťahujú na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy základnej služby a pre prostriedky, ktoré podporujú základné služby. Cieľom auditu kybernetickej bezpečnosti je zabezpečiť požadovanú úroveň kybernetickej bezpečnosti, predchádzať kybernetickým bezpečnostným incidentom a identifikovať nedostatky pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľom základnej služby na navrhnutie a prijatie opatrení na ich odstránenie, nápravu existujúceho stavu a na predchádzanie kybernetickým bezpečnostným incidentom. Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek ustanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti do dvoch rokov odo dňa zaradenia prevádzkovateľa základnej služby do registra prevádzkovateľov základných služieb.

Auditom kybernetickej bezpečnosti sa rozumie overenie plnenia povinností podľa tohto zákona, posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa tohto zákona a osobitných predpisov, ktoré sa vzťahujú na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy služby a pre prostriedky, ktoré podporujú služby. Cieľom auditu kybernetickej bezpečnosti je zabezpečiť požadovanú úroveň kybernetickej bezpečnosti, predchádzať kybernetickým bezpečnostným incidentom a identifikovať nedostatky pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľom základnej služby na navrhnutie a prijatie opatrení na ich odstránenie, nápravu existujúceho stavu a na predchádzanie kybernetickým bezpečnostným incidentom. Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek ustanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti do dvoch rokov odo dňa zaradenia prevádzkovateľa základnej služby do registra prevádzkovateľov základnej služby. Prevádzkovateľ základnej služby, ktorý nie je prevádzkovateľom kritickej základnej služby, môže zabezpečiť plnenie povinnosti vykonať audit kybernetickej bezpečnosti v lehote podľa predchádzajúcej vety preverením účinnosti prijatých bezpečnostných opatrení a plnenia požiadaviek ustanovených týmto zákonom samohodnotením prostredníctvom jednotného informačného systému kybernetickej bezpečnosti spôsobom podľa odseku 8.

Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti v rozsahu stanovenom podľa všeobecne záväzného právneho predpisu, ktorý vydá úrad, a to v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov po každej zmene majúcej významný vplyv na realizované bezpečnostné opatrenia a v určenom časovom intervale.

Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti v rozsahu stanovenom podľa všeobecne záväzného právneho predpisu, ktorý vydá úrad, a to po každej zmene majúcej významný vplyv na realizované bezpečnostné opatrenia a v určenom časovom intervale.

Audit kybernetickej bezpečnosti vykonáva certifikovaný audítor kybernetickej bezpečnosti, [31)](#poznamky.poznamka-31) ktorým je fyzická osoba, spoločník, štatutárny orgán alebo zamestnanec právnickej osoby. Certifikáciu audítora kybernetickej bezpečnosti vykonáva osoba akreditovaná podľa osobitného predpisu [31a)](#poznamky.poznamka-31a) ako orgán certifikujúci osoby [31b)](#poznamky.poznamka-31b) (ďalej len „orgán certifikujúci osoby“) v oblasti kybernetickej bezpečnosti.

Audit kybernetickej bezpečnosti vykonáva certifikovaný audítor kybernetickej bezpečnosti, [31)](#poznamky.poznamka-31) ktorým je fyzická osoba, spoločník, štatutárny orgán alebo zamestnanec právnickej osoby. Certifikáciu audítora kybernetickej bezpečnosti vykonáva subjekt verejnej správy podľa osobitného predpisu [31aa)](#poznamky.poznamka-31aa) akreditovaný podľa osobitného predpisu [31a)](#poznamky.poznamka-31a) ako orgán certifikujúci osoby [31b)](#poznamky.poznamka-31b) (ďalej len „orgán certifikujúci osoby“) v oblasti kybernetickej bezpečnosti.

dostupnosťou záruka, že údaj alebo informácia je pre používateľa, informačný systém, sieť alebo zariadenie prístupné vo chvíli, keď je údaj a informácia potrebná a požadovaná,

dostupnosťou záruka, že údaj alebo poskytovaná služba sú pre používateľa, informačný systém, sieť alebo zariadenie prístupné vo chvíli, keď sú potrebné a požadované,

integritou záruka, že bezchybnosť, úplnosť alebo správnosť informácie neboli narušené,

integritou záruka, že bezchybnosť, úplnosť alebo správnosť údaja neboli narušené,

rizikom miera kybernetického ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami,

rizikom potenciál straty alebo narušenia v dôsledku kybernetického bezpečnostného incidentu vyjadrený ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu kybernetického bezpečnostného incidentu,

hrozbou každá primerane rozpoznateľná okolnosť alebo udalosť proti sieťam a informačným systémom, ktorá môže mať nepriaznivý vplyv na kybernetickú bezpečnosť,

kybernetickou hrozbou kybernetická hrozba podľa čl. 2 bodu 8 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (ďalej len „nariadenie (EÚ) 2019/881“),

kybernetickým bezpečnostným incidentom akákoľvek udalosť, ktorá má z dôvodu narušenia bezpečnosti siete a informačného systému, alebo porušenia bezpečnostnej politiky alebo záväznej metodiky negatívny vplyv na kybernetickú bezpečnosť alebo ktorej následkom je

významnou kybernetickou hrozbou kybernetická hrozba, o ktorej možno na základe jej technických charakteristík predpokladať, že má potenciál spôsobiť závažný kybernetický bezpečnostný incident alebo môže mať iný závažný vplyv na sieť a informačný systém subjektu alebo používateľov služieb subjektu tým, že spôsobí značnú škodu, [9)](#poznamky.poznamka-9)

základnou službou služba, ktorá je zaradená v zozname základných služieb a

kybernetickou krízou obdobie, počas ktorého bezprostredne hrozí vznik rozsiahleho kybernetického bezpečnostného incidentu alebo trvá rozsiahly kybernetický bezpečnostný incident,

prevádzkovateľom základnej služby orgán verejnej moci alebo osoba, ktorá prevádzkuje aspoň jednu službu podľa písmena l),

kybernetickým bezpečnostným incidentom udalosť ohrozujúca dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom sietí a informačných systémov,

digitálnou službou služba, ktorej druh je uvedený [prílohe č. 2] ,

rozsiahlym kybernetickým bezpečnostným incidentom kybernetický bezpečnostný incident, ktorý spôsobí narušenie na úrovni presahujúcej schopnosť Slovenskej republiky naň reagovať, alebo ktorý má významný vplyv aspoň na dva členské štáty Európskej únie,

poskytovateľom digitálnej služby právnická osoba alebo fyzická osoba – podnikateľ, ktorá poskytuje digitálnu službu a zároveň zamestnáva aspoň 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 000 000 eur,

riešením kybernetického bezpečnostného incidentu aktivita a postup zamerané na prevenciu, odhaľovanie, analýzu a obmedzovanie kybernetického bezpečnostného incidentu alebo na reakciu naň a zotavenie z neho,

riešením kybernetického bezpečnostného incidentu všetky postupy súvisiace s oznamovaním, odhaľovaním, analýzou a reakciou na kybernetický bezpečnostný incident a s obmedzením jeho následkov.

udalosťou odvrátenou v poslednej chvíli udalosť, ktorá by mohla ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ale ktorej vzniku sa úspešne zabránilo alebo ku ktorej nedošlo,

poskytla nepravdivé údaje v oznámení podľa [§ 17 ods. 4] ,

poskytla nepravdivé údaje v oznámení podľa [§ 17 ods. 2] ,

neprijme bezpečnostnú dokumentáciu podľa [§ 20 ods. 6] alebo

nepostupovala v súlade s technickými, organizačnými alebo personálnymi opatreniami prijatými prevádzkovateľom základnej služby,

nepostupovala v súlade s technickými, organizačnými alebo personálnymi opatreniami prijatými prevádzkovateľom základnej služby.

vykoná audit kybernetickej bezpečnosti v rozpore s [§ 29 ods. 3] , alebo

Úrad uloží pokutu od 300 eur do 30 000 eur prevádzkovateľovi základnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť

Úrad môže uložiť pokutu od 300 eur do 500 000 eur prevádzkovateľovi základnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť

podľa [§ 19 ods. 2 až 4] alebo [ods. 7,] alebo

oznámiť začiatok vykonávania činnosti podľa [§ 17 ods. 2] ,

udržiavať bezpečnostnú dokumentáciu aktuálnu a zodpovedajúcu reálnemu stavu podľa [§ 20 ods. 6.]

oznámiť zmenu údajov podľa [§ 17 ods. 6] ,

Pri ukladaní pokuty za správny delikt úrad prihliadne na závažnosť správneho deliktu, najmä na spôsob jeho spáchania, trvanie, následky a na okolnosti, za ktorých bol spáchaný.

Úrad môže uložiť pokutu od 300 eur do 500 000 eur orgánu posudzovania zhody, držiteľovi európskeho certifikátu kybernetickej bezpečnosti alebo vydavateľovi EÚ vyhlásení o zhode, ktorý sa dopustí správneho deliktu tým, že

Ak do jedného roka odo dňa nadobudnutia právoplatnosti rozhodnutia o uložení pokuty dôjde k opätovnému porušeniu povinností, za ktoré bola pokuta uložená, úrad uloží pokutu až do dvojnásobku výšky súm uvedených alebo vypočítaných podľa odsekov 1 až 10.

Úrad môže uložiť pokutu od 300 eur do 500 000 eur orgánu posudzovania zhody alebo držiteľovi európskeho certifikátu kybernetickej bezpečnosti, ktorý sa dopustí správneho deliktu tým, že neumožní národnej autorite pre certifikáciu kybernetickej bezpečnosti prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881.

Celkovým ročným obratom podľa odsekov 2 a 4 sa na účely tohto zákona rozumie súčet všetkých tržieb, výnosov alebo príjmov z predaja tovaru alebo služieb bez nepriamych daní, ku ktorému sa pripočíta poskytnutá finančná pomoc. Obrat vyjadrený v cudzej mene sa prepočíta na eurá, pričom na prepočet cudzej meny na eurá sa použije priemer referenčných výmenných kurzov určených a vyhlásených Európskou centrálnou bankou alebo Národnou bankou Slovenska, ktoré sú platné pre príslušné účtovné obdobie. [33)](#poznamky.poznamka-33)

Pri ukladaní pokuty za správny delikt úrad prihliada na závažnosť správneho deliktu, najmä na spôsob jeho spáchania, trvanie, následky a na okolnosti, za ktorých bol spáchaný. Ak je škodlivý následok nepatrný, alebo ak na potrestanie postačuje samotné prejedanie správneho deliktu, úrad pokutu neuloží.

Predchádzajúcim účtovným obdobím na účely tohto zákona je účtovné obdobie, za ktoré bola zostavená posledná účtovná závierka.

Ak do jedného roka odo dňa nadobudnutia právoplatnosti rozhodnutia o uložení pokuty dôjde k opätovnému porušeniu povinností, za ktoré bola pokuta uložená, úrad môže uložiť pokutu až do dvojnásobku výšky súm uvedených alebo vypočítaných podľa odsekov 1 až 11.

Pokutu za správny delikt možno uložiť do dvoch rokov odo dňa zistenia porušenia povinnosti, najneskôr však do štyroch rokov odo dňa, keď k porušeniu povinnosti došlo.

Odseky 1 až 6 sa použijú primerane na osobu poskytujúcu niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa [§ 2 ods. 2] , ktorá nie je usadená v Európskej únii, ale ponúka služby v rámci Európskej únie a má na území Slovenskej republiky určeného zástupcu, alebo nemá určeného zástupcu v žiadnom členskom štáte Európskej únie.

Pokuta za správny delikt je splatná do 30 dní odo dňa nadobudnutia právoplatnosti rozhodnutia o jej uložení.

Celkovým celosvetovým ročným obratom podľa odsekov 2 a 3 sa na účely tohto zákona rozumie súčet všetkých tržieb, výnosov alebo príjmov z predaja tovaru alebo služieb bez nepriamych daní, ku ktorému sa pripočíta poskytnutá finančná pomoc. Obrat vyjadrený v cudzej mene sa prepočíta na eurá, pričom na prepočet cudzej meny na eurá sa použije priemer referenčných výmenných kurzov určených a vyhlásených Európskou centrálnou bankou alebo Národnou bankou Slovenska, ktoré sú platné pre príslušné účtovné obdobie. [33)](#poznamky.poznamka-33)

Pokuty za správny delikt sú príjmom štátneho rozpočtu.

Predchádzajúcim účtovným obdobím na účely tohto zákona je účtovné obdobie, za ktoré bola zostavená posledná účtovná závierka.

Úrad uloží pokutu od 300 eur až do výšky 1 % celkového ročného obratu za predchádzajúci účtovný rok, najviac však 300 000 eur, prevádzkovateľovi základnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť

Úrad môže uložiť pokutu od 300 eur do 7 000 000 eur alebo do výšky 1,4 % celkového celosvetového ročného obratu za predchádzajúce účtovné obdobie, podľa toho, ktorá suma je vyššia, prevádzkovateľovi základnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť

podľa [§ 17 ods. 1] ,

podľa [§ 19 ods. 1] alebo [ods. 6 písm. a) až e)] alebo [písm. g) až i)] ,

podľa [§ 19 ods. 1] alebo [ods. 6] ,

prijať bezpečnostnú dokumentáciu podľa [§ 20 ods. 3] ,

prijať bezpečnostnú dokumentáciu podľa [§ 20 ods. 6] ,

nahlásiť závažný kybernetický bezpečnostný incident podľa [§ 24 ods. 1] alebo [ods. 3] ,

nahlásiť závažný kybernetický bezpečnostný incident podľa [§ 24 ods. 1] , odoslať neúplné hlásenie podľa [§ 24 ods. 5] alebo zasielať automatizovaným spôsobom určené systémové informácie podľa [§ 24a ods. 1] ,

zasielať automatizovaným spôsobom určené systémové informácie podľa [§ 24a ods. 1] ,

riešiť kybernetický bezpečnostný incident na základe rozhodnutia úradu podľa [§ 27 ods. 3,] vykonať reaktívne opatrenie na základe rozhodnutia úradu podľa [§ 27 ods. 5] alebo oznámiť a preukázať vykonanie reaktívneho opatrenia a jeho výsledok podľa [§ 27 ods. 6] ,

riešiť kybernetický bezpečnostný incident na základe rozhodnutia úradu podľa [§ 27 ods. 3] , vykonať reaktívne opatrenie na základe rozhodnutia úradu podľa [§ 27 ods. 5] alebo oznámiť a preukázať vykonanie reaktívneho opatrenia a jeho výsledok podľa [§ 27 ods. 6] , alebo

predložiť ochranné opatrenie na schválenie alebo vykonať schválené ochranné opatrenie podľa [§ 27 ods. 8] ,

predložiť ochranné opatrenie na schválenie alebo vykonať schválené ochranné opatrenie podľa [§ 27 ods. 8.]

Úrad uloží pokutu od 300 eur do 30 000 eur poskytovateľovi digitálnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť podľa [§ 21 ods. 5] alebo [§ 23 ods. 2] .

Úrad môže uložiť pokutu od 500 eur do 10 000 000 eur alebo do výšky 2 % celkového celosvetového ročného obratu za predchádzajúce účtovné obdobie, podľa toho, ktorá suma je vyššia, prevádzkovateľovi základnej služby, ktorý prevádzkuje kritickú základnú službu, ktorý sa dopustí správneho deliktu tým, že poruší niektorú z povinností uvedenú v odseku 2.

Úrad uloží pokutu od 300 eur až do výšky 1 % celkového ročného obratu za predchádzajúci účtovný rok, najviac však 300 000 eur, poskytovateľovi digitálnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť podľa [§ 21 ods. 1] , [§ 22 ods. 3] , [§ 24 ods. 3] , [§ 25 ods. 1] alebo [ods. 2] alebo povinnosť vykonať reaktívne opatrenie na základe rozhodnutia úradu podľa [§ 27 ods. 5] .

Úrad môže uložiť pokutu od 300 eur do 500 000 eur osobe poskytujúcej niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa [§ 2 ods. 2] , na ktorú sa vzťahuje pôsobnosť tohto zákona, ktorý sa dopustí správneho deliktu tým, že na výzvu úradu neoznámi zmenu údajov podľa [§ 21 ods. 3.]

Úrad uloží pokutu od 300 eur do 100 000 eur tomu, kto

Úrad môže uložiť pokutu od 500 eur do 500 000 eur osobe poskytujúcej niektorú zo služieb alebo vykonávajúcu niektorú z činností podľa [§ 2 ods. 2] na území Slovenskej republiky, ktorá nemá trvalý pobyt, miesto podnikania alebo sídlo v členskom štáte Európskej únie, ktorá sa dopustila správneho deliktu tým, že si neurčila zástupcu s trvalým pobytom miestom podnikania alebo sídlom, na území Slovenskej republiky, alebo na území iného členského štátu Európskej únie, v ktorom tiež poskytuje tieto služby alebo vykonáva tieto činnosti podľa [§ 21 ods. 1.]

Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi produktov, služieb alebo procesov, ktorý sa dopustí správneho deliktu tým, že podľa čl. 53 nariadenia (EÚ) 2019/881 vydá EÚ vyhlásenie o zhode, ktoré je v rozpore s požiadavkami ustanovenými v Európskom systéme certifikácie kybernetickej bezpečnosti.

Úrad môže uložiť pokutu od 300 eur do 500 000 eur správcovi TLD a osobe, ktorá poskytuje službu registrácie názvu domény, ktorá sa dopustí správneho deliktu tým, že poruší povinnosť

Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi certifikovaných produktov, služieb alebo procesov alebo výrobcovi alebo poskytovateľovi produktov, služieb a procesov, pre ktoré je vydané EÚ vyhlásenie o zhode, ktorý sa dopustí správneho deliktu tým, že nezverejní v elektronickej podobe alebo neaktualizuje doplňujúce informácie o kybernetickej bezpečnosti podľa čl. 55 ods. 1 písm. a) až d) nariadenia (EÚ) 2019/881.

Úrad môže uložiť pokutu od 300 eur do 500 000 eur tomu, kto

Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody, držiteľovi európskeho certifikátu kybernetickej bezpečnosti alebo vydavateľovi EÚ vyhlásení o zhode, ktorý sa dopustí správneho deliktu tým, že

Úrad môže uložiť pokutu od 300 eur do 500 000 eur výrobcovi alebo poskytovateľovi produktov, služieb alebo procesov, ktorý sa dopustí správneho deliktu tým, že podľa čl. 53 nariadenia (EÚ) 2019/881 vydá EÚ vyhlásenie o zhode, ktoré je v rozpore s požiadavkami ustanovenými v schéme certifikácie kybernetickej bezpečnosti vydanej na základe čl. 49 ods. 7 nariadenia (EÚ) 2019/881.

Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody alebo držiteľovi európskeho certifikátu kybernetickej bezpečnosti, ktorý sa dopustí správneho deliktu tým, že neumožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881.

Úrad môže uložiť pokutu od 300 eur do 500 000 eur výrobcovi alebo poskytovateľovi certifikovaných produktov, služieb alebo procesov alebo výrobcovi alebo poskytovateľovi produktov, služieb a procesov, pre ktoré je vydané EÚ vyhlásenie o zhode, ktorý sa dopustí správneho deliktu tým, že nezverejní v elektronickej podobe alebo neaktualizuje doplňujúce informácie o kybernetickej bezpečnosti podľa čl. 55 ods. 1 písm. a) až d) nariadenia (EÚ) 2019/881.

identifikačné kritériá prevádzkovanej služby ( [§ 18] ),

obsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení ( [§ 20] ),

obsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení ( [§ 20 ods. 1] a [6] ),

bezpečnostné štandardy a znalostné štandardy v oblasti kybernetickej bezpečnosti ( [§ 5 ods. 1 písm. w)] , [§ 20] ),

bezpečnostné štandardy a znalostné štandardy v oblasti kybernetickej bezpečnosti ( [§ 5 ods. 1 písm. w)] , [§ 20 ods. 1] ),

pravidlá auditu kybernetickej bezpečnosti alebo samohodnotenia, časový rozsah a periodicitu vykonávania auditu kybernetickej bezpečnosti alebo samohodnotenia, podrobnosti o akreditácii certifikačných orgánov certifikujúcich audítorov kybernetickej bezpečnosti, certifikačné schémy, postupy pri certifikácii audítora kybernetickej bezpečnosti, podrobnosti o certifikáte audítora kybernetickej bezpečnosti a podrobnosti o formáte a obsahu záverečnej správy o výsledkoch auditu kybernetickej bezpečnosti,

identifikačné kritériá pre jednotlivé kategórie kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov ( [§ 24 ods. 1] a [4] ),

certifikačné schémy a postupy v systéme certifikácie kybernetickej bezpečnosti,

pravidlá auditu kybernetickej bezpečnosti, časový rozsah a periodicitu vykonávania auditu kybernetickej bezpečnosti, podrobnosti o akreditácii certifikačných orgánov certifikujúcich audítorov kybernetickej bezpečnosti, certifikačnú schému a postupy pri certifikácii audítora kybernetickej bezpečnosti, podrobnosti o certifikáte audítora kybernetickej bezpečnosti a podrobnosti o formáte a obsahu záverečnej správy o výsledkoch auditu kybernetickej bezpečnosti ( [§ 29 ods. 1 až 5] ),

bezpečnostné opatrenia, ak si to vyžadujú právne záväzné akty a odporúčania Európskej únie pre oblasť kybernetickej bezpečnosti,

certifikačné schémy a postupy v systéme certifikácie kybernetickej bezpečnosti,

pravidlá blokovania,

bezpečnostné opatrenia, ak si to vyžadujú právne záväzné akty a odporúčania Európskej únie pre oblasť kybernetickej bezpečnosti,

podrobnosti o vzdelávaní a budovaní bezpečnostného povedomia v kybernetickej bezpečnosti,

pravidlá blokovania.

podrobnosti o hláseniach podľa [§ 24] .

Ústredný orgán sa v spolupráci s úradom splnomocňuje na vydanie všeobecne záväzného právneho predpisu, ktorým ustanovia sektorové bezpečnostné opatrenia v rozsahu svojej pôsobnosti podľa [prílohy č. 1] a v súlade s bezpečnostnými štandardmi v oblasti kybernetickej bezpečnosti.

Ústredný orgán sa v spolupráci s úradom splnomocňuje na vydanie všeobecne záväzného právneho predpisu, ktorým ustanovia sektorové bezpečnostné opatrenia v rozsahu svojej pôsobnosti podľa [prílohy č. 1] alebo [prílohy č. 2] a v súlade s bezpečnostnými štandardmi v oblasti kybernetickej bezpečnosti.

Na konanie úradu podľa [§ 13 ods. 7] , [§ 16 ods. 2] a [3] , [§ 17] , [§ 21] , [§ 27 až 27c] sa nevzťahuje správny poriadok.

Na konanie úradu podľa [§ 13 ods. 7] , [§ 16 ods. 2] a [3] , [§ 17] , [§ 21] , [§ 27 až 27c] , [§ 29a ods. 1 písm. a)] , [b)] a [d)] a [§ 29l] okrem doručovania rozkazu o uložení sankcie a jeho náležitostí sa nevzťahuje správny poriadok.

Ak služba spĺňa podmienky základnej služby a zároveň aj digitálnej služby, považuje sa za základnú službu a zaraďuje sa len do zoznamu základných služieb a jej prevádzkovateľ do registra prevádzkovateľov základných služieb.

Ak služba spĺňa podmienky základnej služby a zároveň aj digitálnej služby, považuje sa za základnú službu a zaraďuje sa len do zoznamu základných služieb a jej prevádzkovateľ do registra prevádzkovateľov základnej služby.

Ak základná služba spadá do viacerých sektorov alebo podsektorov podľa [prílohy č. 1] , pôsobnosť podľa tohto zákona vykonáva ústredný orgán určený úradom.

Ak prevádzkovateľ základnej služby spadá pod viaceré sektory alebo ak spadá pod rôzne ústredné orgány, pôsobnosť podľa tohto zákona je určená úradom na základe predchádzajúcej konzultácie s dotknutým prevádzkovateľom základnej služby a ústredným orgánom.

Pôsobnosť v oblasti kybernetickej bezpečnosti vykonáva

Pôsobnosť v oblasti kybernetickej bezpečnosti vykonávajú

Ministerstvo dopravy a výstavby Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo hospodárstva Slovenskej republiky, Ministerstvo obrany Slovenskej republiky, Ministerstvo vnútra Slovenskej republiky, Ministerstvo zdravotníctva Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky a Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky (ďalej len „ústredný orgán“),

Ministerstvo dopravy Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo hospodárstva Slovenskej republiky, Ministerstvo obrany Slovenskej republiky, Ministerstvo vnútra Slovenskej republiky, Ministerstvo zdravotníctva Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky, Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky a Správa štátnych hmotných rezerv Slovenskej republiky (ďalej len „ústredný orgán“),

odníma certifikát kybernetickej bezpečnosti,

vykonáva kontrolu a dozor podľa čl. 58 ods. 7 písm. a) a b) nariadenia (EÚ) 2019/881 a prijíma opatrenia podľa čl. 58 ods. 8 písm. c) nariadenia (EÚ) 2019/881,

plní úlohy ústredného orgánu podľa [prílohy č. 1] ,

vedie a zverejňuje na svojom webovom sídle zoznam orgánov posudzovania zhody v systéme certifikácie kybernetickej bezpečnosti, zoznam certifikačných orgánov audítorov kybernetickej bezpečnosti a zoznam právnických osôb, prostredníctvom ktorých je možné realizovať audity kybernetickej bezpečnosti,

vedie a zverejňuje na svojom webovom sídle zoznam orgánov posudzovania zhody v systéme certifikácie kybernetickej bezpečnosti, zoznam certifikačných orgánov audítorov kybernetickej bezpečnosti a zoznam právnických osôb, prostredníctvom ktorých je možné realizovať audity kybernetickej bezpečnosti,

posudzuje bezpečnostné riziká dodávateľa na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby (ďalej len „tretia strana“) pre kybernetickú bezpečnosť Slovenskej republiky a správu o tomto posúdení predkladá Bezpečnostnej rade Slovenskej republiky,

posudzuje bezpečnostné riziká dodávateľa na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby (ďalej len „tretia strana“) pre kybernetickú bezpečnosť Slovenskej republiky a správu o tomto posúdení predkladá Bezpečnostnej rade Slovenskej republiky,

predkladá príslušnému osobitnému kontrolnému výboru Národnej rady Slovenskej republiky každoročne správu o dodržiavaní noriem týkajúcich sa ochrany telekomunikačného tajomstva a osobných údajov občanov Slovenskej republiky,

predkladá príslušnému osobitnému kontrolnému výboru Národnej rady Slovenskej republiky každoročne správu o dodržiavaní noriem týkajúcich sa ochrany telekomunikačného tajomstva a osobných údajov občanov Slovenskej republiky,

rozhoduje o blokovaní škodlivého obsahu alebo škodlivej aktivity, ktorá smeruje do kybernetického priestoru Slovenskej republiky alebo z kybernetického priestoru Slovenskej republiky (ďalej len „blokovanie“) a zabezpečuje vykonanie tohto rozhodnutia alebo vykonáva blokovanie na základe žiadosti.

vypracúva národnú stratégiu kybernetickej bezpečnosti a ročnú správu o stave kybernetickej bezpečnosti v Slovenskej republike v spolupráci s príslušnými štátnymi orgánmi,

vypracúva národnú stratégiu kybernetickej bezpečnosti a ročnú správu o stave kybernetickej bezpečnosti v Slovenskej republike a národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy, je orgánom pre riadenie kybernetických kríz a plní úlohu národného koordinátora riadenia rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz, v spolupráci s príslušnými štátnymi orgánmi,

je národným kontaktným miestom pre kybernetickú bezpečnosť pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie a Organizácie Severoatlantickej zmluvy,

je národným kontaktným miestom pre kybernetickú bezpečnosť, pre vnútroštátnu spoluprácu a pre zahraničie a zabezpečuje spoluprácu s jednotnými kontaktnými miestami členských štátov Európskej únie,

plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a Organizácie Severoatlantickej zmluvy a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,

plní notifikačné a nahlasovacie povinnosti voči príslušným orgánom Európskej únie a podieľa sa a podporuje vytváranie partnerstiev na národnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti,

v spolupráci s Ministerstvom zahraničných vecí a európskych záležitostí Slovenskej republiky rozvíja medzinárodnú spoluprácu a sleduje vplyvy aktivít v oblasti kybernetickej bezpečnosti na zahraničnopolitické záujmy Slovenskej republiky a partnerov v rámci Európskej únie a Organizácie Severoatlantickej zmluvy,

v spolupráci s Ministerstvom zahraničných vecí a európskych záležitostí Slovenskej republiky rozvíja medzinárodnú spoluprácu a sleduje vplyvy aktivít v oblasti kybernetickej bezpečnosti na zahraničnopolitické záujmy Slovenskej republiky a partnerov v rámci Európskej únie,

spolupracuje s ústrednými orgánmi, inými orgánmi štátnej správy a jednotkami CSIRT, prevádzkovateľmi základných služieb a poskytovateľmi digitálnych služieb pri plnení úloh podľa tohto zákona,

spolupracuje s ústrednými orgánmi, inými orgánmi štátnej správy a jednotkami CSIRT, prevádzkovateľmi základnej služby a s vedeckými inštitúciami a akademickými inštitúciami pri plnení úloh podľa tohto zákona,

na základe oznámenia ústredného orgánu, prevádzkovateľa základnej služby, poskytovateľa digitálnej služby alebo z vlastnej iniciatívy určuje

koná vo veci určenia subjektu ako prevádzkovateľa základnej služby a jeho zápisu do registra prevádzkovateľov základnej služby,

zoznam základných služieb,

register prevádzkovateľov základnej služby,

register prevádzkovateľov základných služieb,

zoznam akreditovaných jednotiek CSIRT,

zoznam digitálnych služieb,

zoznam autorizovaných orgánov posudzovania zhody,

register poskytovateľov digitálnych služieb,

zoznam vydaných európskych certifikátov kybernetickej bezpečnosti,

zoznam akreditovaných jednotiek CSIRT,

zoznam notifikovaných osôb akreditovaných v rozsahu schémy certifikácie kybernetickej bezpečnosti podľa čl. 49 nariadenia (EÚ) 2019/881,

plní úlohy príslušného orgánu pre digitálne služby,

určuje ústredný orgán pre sektor podľa prílohy č. 1 alebo prílohy č. 2 v súlade s oblasťami jeho pôsobnosti podľa osobitného predpisu [10aaa)](#poznamky.poznamka-10aaa) a plní úlohy ústredného orgánu pre typ subjektu podľa [prílohy č. 1] a [prílohy č. 2] ,

zasiela včasné varovania,

zasiela a vyhlasuje včasné varovania, výstrahy alebo vyhlasuje stav kybernetickej krízy,

prijíma vnútroštátne hlásenia o kybernetických bezpečnostných incidentoch,

prijíma vnútroštátne hlásenia o kybernetických bezpečnostných incidentoch, kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli a o zraniteľnostiach,

prijíma hlásenia o kybernetických bezpečnostných incidentoch zo zahraničia a zabezpečuje spoluprácu s medzinárodnými organizáciami a orgánmi iných štátov pri riešení kybernetických bezpečnostných incidentov s cezhraničným charakterom,

prijíma hlásenia o kybernetických bezpečnostných incidentoch, kybernetických hrozbách a zraniteľnostiach zo zahraničia a zabezpečuje spoluprácu s medzinárodnými organizáciami a orgánmi iných štátov pri riešení kybernetických bezpečnostných incidentov s cezhraničným charakterom,

vykonáva kontrolu, vydáva rozhodnutia o uložení opatrení na nápravu a ukladá pokutu za priestupok alebo iný správny delikt,

vykonáva dohľad,

vydáva znalostné štandardy a zverejňuje ich na svojom webovom sídle, a v spolupráci s Ministerstvom školstva, vedy, výskumu a športu Slovenskej republiky vykonáva a zabezpečuje budovanie bezpečnostného povedomia,

vydáva znalostné štandardy a zverejňuje ich na svojom webovom sídle, a v spolupráci s Ministerstvom školstva, výskumu, vývoja a mládeže Slovenskej republiky vykonáva a zabezpečuje budovanie bezpečnostného povedomia,

Systémom certifikácie kybernetickej bezpečnosti je komplexný súbor pravidiel, technických požiadaviek, noriem a postupov, ktoré sa uplatňujú na certifikáciu alebo posudzovanie zhody konkrétnych produktov, služieb alebo procesov v oblasti sietí a informačných systémov, informačných a komunikačných technológií a kybernetickej bezpečnosti podľa osobitného predpisu. [10b)](#poznamky.poznamka-10b)

Systémom certifikácie kybernetickej bezpečnosti je súbor pravidiel a postupov na riadenie jednotlivých schém certifikácie kybernetickej bezpečnosti.

Úrad v rámci systému certifikácie kybernetickej bezpečnosti certifikuje produkty, služby a procesy [10c)](#poznamky.poznamka-10c) ako orgán posudzovania zhody podľa osobitného predpisu. [10d)](#poznamky.poznamka-10d)

Schéma certifikácie kybernetickej bezpečnosti je súbor pravidiel, technických požiadaviek, technických noriem a postupov, ktoré sa uplatňujú na certifikáciu alebo posudzovanie zhody konkrétnych produktov IKT, služieb IKT alebo procesov IKT.

Certifikačný orgán [10e)](#poznamky.poznamka-10e) orgánu posudzovania zhody podľa osobitného predpisu, [10f)](#poznamky.poznamka-10f) ktorý je verejným subjektom [10g)](#poznamky.poznamka-10g) a nie je vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti, certifikuje produkty, služby a procesy podľa osobitného predpisu [10g)](#poznamky.poznamka-10g) v rámci systému certifikácie kybernetickej bezpečnosti.

Certifikáciu kybernetickej bezpečnosti pre úrovne záruky základná, významná alebo vysoká podľa osobitého predpisu [10b)](#poznamky.poznamka-10b) vykonáva len akreditovaná osoba. [10c)](#poznamky.poznamka-10c) Akreditovanou osobou pre certifikáciu kybernetickej bezpečnosti pre úroveň záruky vysoká [10d)](#poznamky.poznamka-10d) môže byť len úrad. [10e)](#poznamky.poznamka-10e)

Úrad zriaďuje Národné centrum kybernetickej bezpečnosti ako svoju organizačnú zložku, ktorá má postavenie národnej jednotky CSIRT s pôsobnosťou pre Slovenskú republiku, ktorá musí spĺňať podmienky akreditácie podľa [§ 14] a plniť úlohy jednotky CSIRT podľa [§ 15] pre všetky sektory a podsektory uvedené v [prílohe č. 1] a digitálne služby okrem tých sektorov a podsektorov, pre ktoré plní úlohy jednotky CSIRT ústredný orgán. Národná jednotka CSIRT je zaradená v zozname akreditovaných jednotiek CSIRT.

Úrad zriaďuje Národné centrum kybernetickej bezpečnosti ako svoju organizačnú zložku, ktorá má postavenie národnej jednotky CSIRT s pôsobnosťou pre Slovenskú republiku, ktorá musí spĺňať podmienky akreditácie podľa [§ 14] a plniť úlohy jednotky CSIRT podľa [§ 15] pre všetky sektory a podsektory uvedené v [prílohe č. 1] alebo v [prílohe č. 2] okrem tých sektorov a podsektorov, pre ktoré plní úlohy jednotky CSIRT ústredný orgán. Národná jednotka CSIRT je zaradená v zozname akreditovaných jednotiek CSIRT.

Národná stratégia kybernetickej bezpečnosti je východiskový strategický dokument, ktorý komplexne určuje strategický prístup Slovenskej republiky k zabezpečeniu kybernetickej bezpečnosti. Súčasťou národnej stratégie kybernetickej bezpečnosti je akčný plán ako konkrétny plán čiastkových úloh a zdrojov.

Národná stratégia kybernetickej bezpečnosti je východiskový strategický dokument, ktorý komplexne určuje strategický prístup Slovenskej republiky k zabezpečeniu vysokej úrovne kybernetickej bezpečnosti. Súčasťou národnej stratégie kybernetickej bezpečnosti sú politiky a národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy, ktorý je konkrétnym plánom čiastkových úloh a zdrojov.

ciele, priority a rámec riadenia na dosiahnutie týchto cieľov a priorít vrátane úloh a zodpovedností orgánov verejnej moci a ďalších relevantných subjektov,

ciele a priority,

identifikáciu opatrení týkajúcich sa pripravenosti, reakcie a obnovy vrátane spolupráce medzi verejným sektorom a súkromným sektorom,

rámec riadenia na dosiahnutie cieľov a priorít,

popis bezpečnostného prostredia,

rámec riadenia na objasnenie úloh a povinností zainteresovaných osôb na vnútroštátnej úrovni a ich zoznam,

definíciu bezpečnostných hrozieb,

mechanizmus na identifikáciu relevantných prostriedkov a hodnotenie rizík,

identifikáciu potrebných zdrojov,

identifikáciu opatrení na zabezpečenie pripravenosti a schopnosti reakcie na kybernetické hrozby, zraniteľnosti a kybernetické bezpečnostné incidenty a zotavenia z nich vrátane spolupráce medzi verejným sektorom a súkromným sektorom,

určenie vzdelávacích programov, programov na budovanie bezpečnostného povedomia, zvyšovanie informovanosti a odbornej prípravy,

rámec pre posilnenú koordináciu medzi príslušnými orgánmi podľa tohto zákona za účelom výmeny informácií o rizikách, kybernetických hrozbách a kybernetických bezpečnostných incidentoch,

určenie plánov výskumu a vývoja,

plán vrátane potrebných opatrení na zvýšenie všeobecnej úrovne informovanosti občanov Slovenskej republiky o kybernetickej bezpečnosti.

Ústredný orgán a iný orgán štátnej správy spolupracujú s úradom na vypracovaní národnej stratégie kybernetickej bezpečnosti a na tento účel sú povinné poskytnúť mu informácie v potrebnom rozsahu.

V rámci národnej stratégie kybernetickej bezpečnosti sa prijímajú politiky najmä na zabezpečenie

Národnú stratégiu kybernetickej bezpečnosti schvaľuje vláda Slovenskej republiky.

Ústredný orgán a iný orgán štátnej správy spolupracujú s úradom na vypracovaní národnej stratégie kybernetickej bezpečnosti a na tento účel sú povinné poskytnúť úradu informácie v potrebnom rozsahu.

zoznam základných služieb,

register prevádzkovateľov základnej služby,

register prevádzkovateľov základných služieb,

zoznam akreditovaných jednotiek CSIRT,

zoznam digitálnych služieb,

metodiky, usmernenia, štandardy, politiky a oznamy,

register poskytovateľov digitálnych služieb,

informácie potrebné na používanie jednotného informačného systému kybernetickej bezpečnosti,

register kybernetických bezpečnostných incidentov,

výstrahy, varovania a ďalšie informácie slúžiace na minimalizovanie, odvrátenie alebo nápravu následkov kybernetického bezpečnostného incidentu,

zoznam akreditovaných jednotiek CSIRT,

nástroj na registráciu zmien, hlásenie zmien a ostatné súvisiace nástroje.

Komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov je komunikačný systém, ktorý zaisťuje systematické získavanie, sústreďovanie, analyzovanie a vyhodnocovanie informácií o kybernetických bezpečnostných incidentoch.

Komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov je komunikačný systém, ktorým sa zabezpečuje

Centrálny systém včasného varovania je informačný systém, ktorý zaisťuje včasnú výmenu informácií o hrozbách, kybernetických bezpečnostných incidentoch a rizikách s nimi spojených medzi úradom a subjektmi podľa odseku 5.

Centrálny systém včasného varovania je informačný systém, ktorý zaisťuje včasnú výmenu informácií o kybernetických hrozbách, kybernetických bezpečnostných incidentoch a rizikách s nimi spojených medzi úradom a subjektmi podľa odseku 5.

prevádzkovateľ základnej služby a poskytovateľ digitálnej služby,

prevádzkovateľ základnej služby,

Ústredný orgán v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa [prílohy č. 1] , zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že

Ústredný orgán v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa [prílohy č. 1] alebo [prílohy č. 2] , zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že

spolupracuje s ostatnými ústrednými orgánmi a prevádzkovateľmi základných služieb vo svojej pôsobnosti pri plnení úloh podľa tohto zákona,

spolupracuje s ostatnými ústrednými orgánmi a prevádzkovateľmi základnej služby vo svojej pôsobnosti pri plnení úloh podľa tohto zákona,

v spolupráci s úradom určuje špecifické sektorové identifikačné kritériá podľa [§ 18 ods. 3] ,

identifikuje prevádzkovateľa základnej služby a ich aktuálny zoznam predkladá úradu na účely zaradenia do registra prevádzkovateľov základnej služby,

identifikuje základnú službu a prevádzkovateľa základnej služby a ich aktuálny zoznam predkladá úradu na účely zaradenia do zoznamu základných služieb a registra prevádzkovateľov základných služieb,

spolupracuje so zahraničnou inštitúciou obdobného zamerania.

Ústredný orgán na plnenie úloh podľa odseku 1 písm. a) v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa [prílohy č. 1] využíva Národné centrum kybernetickej bezpečnosti alebo zriaďuje a prevádzkuje vlastnú akreditovanú jednotku CSIRT alebo využíva akreditovanú jednotku CSIRT v pôsobnosti ústredného orgánu, ak sa tak zmluvne dohodnú.

Ústredný orgán na plnenie úloh podľa odseku 1 písm. a) v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa [prílohy č. 1] alebo [prílohy č. 2] využíva Národné centrum kybernetickej bezpečnosti alebo zriaďuje a prevádzkuje vlastnú akreditovanú jednotku CSIRT alebo využíva akreditovanú jednotku CSIRT v pôsobnosti ústredného orgánu, ak sa tak zmluvne dohodnú.

Rozhodnúť o blokovaní škodlivého obsahu alebo škodlivej aktivity možno len s platnosťou do 30. júna 2022.

Rozhodnúť o blokovaní škodlivého obsahu alebo škodlivej aktivity možno len s platnosťou do 30. septembra 2022.

bezpečnostné opatrenia, ak si to vyžadujú právne záväzné akty a odporúčania Európskej únie pre oblasť kybernetickej bezpečnosti.

bezpečnostné opatrenia, ak si to vyžadujú právne záväzné akty a odporúčania Európskej únie pre oblasť kybernetickej bezpečnosti,

Na konanie úradu podľa [§ 13 ods. 7] , [§ 16 ods. 2] a [3] , [§ 17] , [§ 21] a [§ 27] sa nevzťahuje správny poriadok.

Na konanie úradu podľa [§ 13 ods. 7] , [§ 16 ods. 2] a [3] , [§ 17] , [§ 21] , [§ 27 až 27c] sa nevzťahuje správny poriadok.

predkladá príslušnému osobitnému kontrolnému výboru Národnej rady Slovenskej republiky každoročne správu o dodržiavaní noriem týkajúcich sa ochrany telekomunikačného tajomstva a osobných údajov občanov Slovenskej republiky.

predkladá príslušnému osobitnému kontrolnému výboru Národnej rady Slovenskej republiky každoročne správu o dodržiavaní noriem týkajúcich sa ochrany telekomunikačného tajomstva a osobných údajov občanov Slovenskej republiky,

Na účely zaistenia kontinuity a riadenia rizík súvisiacich so zabezpečením sietí a informačných systémov, ktoré nie sú základnou službou a procesu riešenia kybernetických bezpečnostných incidentov, iný orgán štátnej správy a ústredný orgán v rozsahu svojej pôsobnosti zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že prijíma a dodržiava vhodné a primerané bezpečnostné opatrenia podľa § 20.

Na účely zaistenia kontinuity a riadenia rizík súvisiacich so zabezpečením sietí a informačných systémov, ktoré nie sú základnou službou a procesu riešenia kybernetických bezpečnostných incidentov, iný orgán štátnej správy a ústredný orgán v rozsahu svojej pôsobnosti zodpovedá za zabezpečenie kybernetickej bezpečnosti tým, že prijíma a dodržiava vhodné a primerané bezpečnostné opatrenia podľa [§ 20] .

Žiadosť podľa odseku 1 predkladá úradu v elektronickej podobe ústredný orgán, ktorý má plniť úlohy jednotky CSIRT; k žiadosti prikladá dokumentáciu preukazujúcu splnenie podmienok akreditácie jednotky CSIRT.

Žiadosť podľa odseku 1 predkladá úradu v elektronickej podobe orgán verejnej moci, ktorý k žiadosti prikladá dokumentáciu preukazujúcu splnenie podmienok akreditácie jednotky CSIRT.

Úrad na základe žiadosti ústredného orgánu, ktorý má plniť úlohy jednotky CSIRT, uzná aj akreditáciu jednotky CSIRT, ktorá bola akreditovaná podľa predpisov iného štátu alebo medzinárodnej organizácie, ak je preukázateľne zabezpečené splnenie podmienok akreditácie jednotky CSIRT; podmienka podľa [§ 14 písm. a)] sa nepreukazuje. Na konanie a na podanie žiadosti sa primerane vzťahujú odseky 2 až 4. Úrad o akreditácii vydá rozhodnutie podľa odseku 4 s doložkou „uznanie“ najviac na dobu platnosti, na ktorú bola jednotka CSIRT akreditovaná podľa predpisov iného štátu alebo medzinárodnej organizácie.

Úrad na základe žiadosti uzná aj akreditáciu jednotky CSIRT, ktorá bola akreditovaná podľa predpisov iného štátu alebo medzinárodnej organizácie, ak je preukázateľne zabezpečené splnenie podmienok akreditácie jednotky CSIRT; podmienka podľa [§ 14 písm. a)] sa nepreukazuje. Na konanie a na podanie žiadosti sa primerane vzťahujú odseky 2 až 4. Úrad o akreditácii vydá rozhodnutie podľa odseku 4 s doložkou „uznanie“ najviac na dobu platnosti, na ktorú bola jednotka CSIRT akreditovaná podľa predpisov iného štátu alebo medzinárodnej organizácie.

Ak prevádzkovateľ služby v sektore podľa [prílohy č. 1] zistí, že došlo k prekročeniu identifikačných kritérií prevádzkovanej služby podľa [§ 18] , je povinný to oznámiť úradu do 30 dní odo dňa, keď prekročenie zistil.

Ak prevádzkovateľ služby v sektore podľa [prílohy č. 1] zistí, že došlo k prekročeniu identifikačných kritérií prevádzkovanej služby podľa [§ 18] , je povinný to oznámiť úradu do 30 dní odo dňa, keď prekročenie zistil, najneskôr však do 60 dní, odkedy k prekročeniu došlo.

Úrad zaradí základnú službu podľa [§ 3 písm. k) prvého bodu] do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb

Úrad zaradí základnú službu podľa [§ 3 písm. l) prvého bodu] do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb

Úrad v spolupráci s príslušným ústredným orgánom zaradí základnú službu podľa [§ 3 písm. k) druhého bodu] do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb.

Úrad zaradí základnú službu podľa § 3 písm. l) druhého bodu do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb zo zákona.

Úrad zaradí základnú službu podľa [§ 3 písm. k) tretieho bodu] do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb zo zákona.

Oznámenie podľa odseku 1 musí obsahovať

Oznámenie podľa odseku 1 musí obsahovať

Zaradenie služby do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb oznámi úrad prevádzkovateľovi tejto služby prostredníctvom informačného systému kybernetickej bezpečnosti.

Ak prevádzkovateľ služby podľa [prílohy č. 1] zistí, že došlo k prekročeniu špecifických sektorových kritérií, oznámi to úradu do 30 dní odo dňa, keď prekročenie zistil v rozsahu podľa [§ 17 ods. 5] aj v prípade, ak neprekročí dopadové kritériá.

Ak prevádzkovateľ služby podľa [prílohy č. 1] zistí, že došlo k prekročeniu špecifických sektorových kritérií, oznámi to úradu do 30 dní odo dňa, keď prekročenie zistil v rozsahu podľa [§ 17 ods. 4] aj v prípade, ak neprekročí dopadové kritériá.

Prevádzkovateľ základnej služby je povinný do šiestich mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa [§ 20] a sektorové bezpečnostné opatrenia, ak sú prijaté.

Prevádzkovateľ základnej služby je povinný do 12 mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa [§ 20] a sektorové bezpečnostné opatrenia, ak sú prijaté.

Prevádzkovateľ základnej služby je povinný pri uzatvorení zmluvy s dodávateľom na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby (ďalej len „tretia strana“) uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa tohto zákona počas celej doby platnosti zmluvy.

Prevádzkovateľ základnej služby je povinný pri výkone činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby prostredníctvom tretej strany, uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa tohto zákona počas celej doby výkonu tejto činnosti; pri uzatvorení zmluvy sa vykonáva analýza rizík.

Prevádzkovateľ základnej služby je povinný dňom zaradenia do registra prevádzkovateľov základných služieb o tejto skutočnosti informovať podnik na poskytovanie elektronických komunikačných služieb alebo sietí podľa osobitného predpisu, [23)](#poznamky.poznamka-23) ku ktorému je sieť alebo informačný systém základnej služby pripojená. Na základe informovania podľa predchádzajúcej vety uzatvára prevádzkovateľ základnej služby s podnikom zmluvu podľa odseku 2.

Povinnosť uzatvoriť zmluvu podľa odseku 2 neplatí, ak je tretia strana prevádzkovateľom základnej služby alebo poskytovateľom digitálnej služby, alebo ak je riziko vo vzťahu k činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky sietí a informačných systémov prevádzkovateľa základnej služby prostredníctvom tretej strany nízke.

Prevádzkovateľ základnej služby je povinný hlásiť zmeny v údajoch podľa [§ 17 ods. 5] do 30 dní odo dňa ich vzniku prostredníctvom jednotného informačného systému kybernetickej bezpečnosti.

Prevádzkovateľ základnej služby je povinný hlásiť zmeny v údajoch podľa [§ 17 ods. 4] do 30 dní odo dňa ich vzniku prostredníctvom jednotného informačného systému kybernetickej bezpečnosti.

požiadavky týkajúce sa bezpečnosti sietí, infraštruktúr a informačných systémov a oznamovania kybernetických bezpečnostných incidentov v sektore bankovníctva, financií alebo finančného systému podľa osobitných predpisov, [3)](#poznamky.poznamka-3) vrátane štandardov a zásad vydaných alebo prijatých Európskou centrálnou bankou, Európskym systémom centrálnych bánk, Eurosystémom alebo európskymi orgánmi dohľadu, [4)](#poznamky.poznamka-4) ak ich účinok je aspoň rovnocenný s účinkom povinností podľa tohto zákona, vrátane rozhodnutí, štandardov a zásad vydaných alebo prijatých Národnou bankou Slovenska, ak ich cieľom je dosiahnuť rovnocennú alebo vyššiu úroveň bezpečnosti sietí, infraštruktúr a informačných systémov ako podľa tohto zákona, a ani na platobné systémy a na systémy zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom podľa osobitných predpisov, [5)](#poznamky.poznamka-5)

požiadavky na zabezpečenie sietí a informačných systémov v sektore bankovníctva, financií alebo finančného systému podľa osobitných predpisov, [3)](#poznamky.poznamka-3) vrátane štandardov a zásad vydaných alebo prijatých Európskou centrálnou bankou, Európskym systémom centrálnych bánk, Eurosystémom alebo európskymi orgánmi dohľadu, [4)](#poznamky.poznamka-4) a ani na platobné systémy a na systémy zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom podľa osobitných predpisov, [5)](#poznamky.poznamka-5)

Bezpečnostnými opatreniami na účely tohto zákona sú úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov. Bezpečnostné opatrenia realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti sa prijímajú s cieľom predchádzať kybernetickým bezpečnostným incidentom a minimalizovať vplyv kybernetických bezpečnostných incidentov na kontinuitu prevádzkovania služby. Bezpečnostné opatrenia sú všeobecné, realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti pre všetky siete a informačné systémy a sektorové, ktoré sa realizujú na základe špecifík kategorizácie sietí a informačných systémov ústredného orgánu v rozsahu svojej pôsobnosti podľa [prílohy č. 1] a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti.

Bezpečnostnými opatreniami na účely tohto zákona sú úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov. Bezpečnostné opatrenia realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti sa prijímajú s cieľom predchádzať kybernetickým bezpečnostným incidentom a minimalizovať vplyv kybernetických bezpečnostných incidentov na bezpečnosť prevádzkovania služby. Bezpečnostné opatrenia sú všeobecné, realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti pre všetky siete a informačné systémy a sektorové, ktoré sa realizujú na základe špecifík kategorizácie sietí a informačných systémov ústredného orgánu v rozsahu svojej pôsobnosti podľa [prílohy č. 1] a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti.

Bezpečnostné opatrenia sa prijímajú najmä pre oblasť

Bezpečnostné opatrenia sa prijímajú a realizujú najmä pre oblasť

organizácie informačnej bezpečnosti,

organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,

riadenia aktív, hrozieb a rizík,

riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,

riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov,

riadenia prístupov,

technických zraniteľností systémov a zariadení,

riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,

riadenia bezpečnosti sietí a informačných systémov,

bezpečnosti pri prevádzke informačných systémov a sietí,

riadenia prevádzky,

hodnotenia zraniteľností a bezpečnostných aktualizácií,

riadenia prístupov,

ochrany proti škodlivému kódu,

kryptografických opatrení,

sieťovej a komunikačnej bezpečnosti,

riešenia kybernetických bezpečnostných incidentov,

akvizície, vývoja a údržby informačných sietí a informačných systémov,

monitorovania, testovania bezpečnosti a bezpečnostných auditov,

zaznamenávania udalostí a monitorovania,

riadenia kontinuity procesov.

riešenia kybernetických bezpečnostných incidentov,

detekciu kybernetických bezpečnostných incidentov,

určenie manažéra kybernetickej bezpečnosti, ktorý je pri návrhu, prijímaní a presadzovaní bezpečnostných opatrení nezávislý od štruktúry riadenia prevádzky a vývoja služieb informačných technológií a ktorý spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti,

evidenciu kybernetických bezpečnostných incidentov,

detekciu kybernetických bezpečnostných incidentov,

postupy riešenia a riešenie kybernetických bezpečnostných incidentov,

evidenciu kybernetických bezpečnostných incidentov,

určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,

postupy riešenia a riešenie kybernetických bezpečnostných incidentov,

pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania.

určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,

Bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.

Bezpečnostné opatrenia sa prijímajú a realizujú na základe analýzy rizík kybernetickej bezpečnosti, ktorá určuje pravdepodobnosť vzniku škodlivej udalosti. Súčasťou analýzy rizík je aj analýza politického rizika tretej strany, pričom politické riziko sa posudzuje najmä vzhľadom na

Na účely hlásenia kybernetických bezpečnostných incidentov a zaistenia funkcionality jednotného informačného systému kybernetickej bezpečnosti môže úrad namiesto postupu uvedeného v [§ 8 ods. 6] uzatvoriť písomnú zmluvu o spôsobe a forme hlásenia kybernetických bezpečnostných incidentov s prevádzkovateľom základnej služby.

Na hlásenie kybernetických bezpečnostných incidentov alebo na zaistenie kybernetickej bezpečnosti môže úrad namiesto postupu podľa [§ 8 ods. 6] uzatvoriť písomnú zmluvu o spôsobe a forme hlásenia kybernetických bezpečnostných incidentov s prevádzkovateľom základnej služby.

Pri výkone kontroly nad dodržiavaním ustanovení tohto zákona a jeho vykonávacích predpisov postupuje úrad podľa základných pravidiel kontrolnej činnosti ustanovených osobitným predpisom. [29)](#poznamky.poznamka-29)

Pri výkone kontroly nad dodržiavaním ustanovení tohto zákona a jeho vykonávacích predpisov postupuje úrad ako pri výkone kontroly v štátnej správe podľa osobitného predpisu. [29)](#poznamky.poznamka-29)

Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti do dvoch rokov odo dňa zaradenia prevádzkovateľa základnej služby do registra prevádzkovateľov základných služieb.

Auditom kybernetickej bezpečnosti sa rozumie overenie plnenia povinností podľa tohto zákona, posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa tohto zákona a osobitných predpisov, ktoré sa vzťahujú na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy základnej služby a pre prostriedky, ktoré podporujú základné služby. Cieľom auditu kybernetickej bezpečnosti je zabezpečiť požadovanú úroveň kybernetickej bezpečnosti, predchádzať kybernetickým bezpečnostným incidentom a identifikovať nedostatky pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľom základnej služby na navrhnutie a prijatie opatrení na ich odstránenie, nápravu existujúceho stavu a na predchádzanie kybernetickým bezpečnostným incidentom. Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek ustanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti do dvoch rokov odo dňa zaradenia prevádzkovateľa základnej služby do registra prevádzkovateľov základných služieb.

Audit kybernetickej bezpečnosti vykonáva orgán posudzovania zhody podľa osobitného predpisu, [31)](#poznamky.poznamka-31) ktorý je akreditovaný ako orgán príslušný na posudzovanie zhody v oblasti kybernetickej bezpečnosti.

Audit kybernetickej bezpečnosti vykonáva certifikovaný audítor kybernetickej bezpečnosti, [31)](#poznamky.poznamka-31) ktorým je fyzická osoba, spoločník, štatutárny orgán alebo zamestnanec právnickej osoby. Certifikáciu audítora kybernetickej bezpečnosti vykonáva osoba akreditovaná podľa osobitného predpisu [31a)](#poznamky.poznamka-31a) ako orgán certifikujúci osoby [31b)](#poznamky.poznamka-31b) (ďalej len „orgán certifikujúci osoby“) v oblasti kybernetickej bezpečnosti.

Prevádzkovateľ základnej služby je povinný predložiť záverečnú správu o výsledkoch auditu úradu spolu s opatreniami na nápravu a s lehotami na ich odstránenie do 30 dní od ukončenia auditu.

Právnická osoba zabezpečuje audit kybernetickej bezpečnosti prostredníctvom certifikovaného audítora kybernetickej bezpečnosti alebo certifikovaných audítorov kybernetickej bezpečnosti. Zabezpečovanie auditu kybernetickej bezpečnosti právnickou osobou je podnikaním podľa osobitného predpisu. [31c)](#poznamky.poznamka-31c) Ak právnická osoba zabezpečuje audit prostredníctvom certifikovaného audítora kybernetickej bezpečnosti, zodpovedá za škodu spôsobenú pri výkone auditu kybernetickej bezpečnosti táto právnická osoba.

Bez toho, aby bol dotknutý odsek 1, môže úrad kedykoľvek vykonať audit kybernetickej bezpečnosti u prevádzkovateľa základnej služby, alebo požiadať orgán posudzovania zhody, aby vykonal takýto audit u prevádzkovateľa základnej služby s cieľom potvrdiť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom.

Prevádzkovateľ základnej služby je povinný predložiť záverečnú správu o výsledkoch auditu úradu spolu s opatreniami na nápravu a s lehotami na ich odstránenie do 30 dní od ukončenia auditu.

Náklady na audit kybernetickej bezpečnosti podľa odseku 1 znáša prevádzkovateľ základnej služby a náklady na audit kybernetickej bezpečnosti podľa odseku 5 znáša úrad.

Úrad môže kedykoľvek vykonať audit kybernetickej bezpečnosti u prevádzkovateľa základnej služby alebo požiadať certifikovaného audítora kybernetickej bezpečnosti, aby vykonal takýto audit u prevádzkovateľa základnej služby s cieľom potvrdiť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom.

sieťou a informačným systémom elektronická komunikačná sieť, informačný systém, každé zariadenie a komunikačný systém alebo údaje, ktoré sú v nich vytvárané, ukladané, spracúvané, získavané alebo prenášané prostredníctvom elektronickej komunikačnej siete alebo informačného systému, na účely prevádzkovania, používania, ochrany a udržiavania týchto sietí a systémov,

sieťou elektronická komunikačná sieť podľa osobitného predpisu, [8)](#poznamky.poznamka-8)

kybernetickým priestorom globálny dynamický otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi,

informačným systémom funkčný celok, ktorý zabezpečuje získavanie, zhromažďovanie, automatické spracúvanie, udržiavanie, sprístupňovanie, poskytovanie, prenos, ukladanie, archiváciu, likvidáciu a ochranu údajov prostredníctvom technických prostriedkov alebo programových prostriedkov,

kontinuitou strategická a taktická schopnosť organizácie plánovať a reagovať na udalosti a incidenty s cieľom pokračovať vo výkone činností na prijateľnej, vopred stanovenej úrovni,

kybernetickým priestorom globálny dynamický otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi,

dôvernosťou záruka, že údaj alebo informácia nie je prezradená neoprávneným subjektom alebo procesom,

kontinuitou strategická a taktická schopnosť organizácie plánovať a reagovať na udalosti a incidenty s cieľom pokračovať vo výkone činností na prijateľnej, vopred stanovenej úrovni,

dostupnosťou záruka, že údaj alebo informácia je pre používateľa, informačný systém, sieť alebo zariadenie prístupné vo chvíli, keď je údaj a informácia potrebná a požadovaná,

dôvernosťou záruka, že údaj alebo informácia nie je prezradená neoprávneným subjektom alebo procesom,

integritou záruka, že bezchybnosť, úplnosť alebo správnosť informácie neboli narušené,

dostupnosťou záruka, že údaj alebo informácia je pre používateľa, informačný systém, sieť alebo zariadenie prístupné vo chvíli, keď je údaj a informácia potrebná a požadovaná,

kybernetickou bezpečnosťou stav, v ktorom sú siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov,

integritou záruka, že bezchybnosť, úplnosť alebo správnosť informácie neboli narušené,

rizikom miera kybernetického ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami,

kybernetickou bezpečnosťou stav, v ktorom sú siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov,

hrozbou každá primerane rozpoznateľná okolnosť alebo udalosť proti sieťam a informačným systémom, ktorá môže mať nepriaznivý vplyv na kybernetickú bezpečnosť,

rizikom miera kybernetického ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami,

kybernetickým bezpečnostným incidentom akákoľvek udalosť, ktorá má z dôvodu narušenia bezpečnosti siete a informačného systému, alebo porušenia bezpečnostnej politiky alebo záväznej metodiky negatívny vplyv na kybernetickú bezpečnosť alebo ktorej následkom je

hrozbou každá primerane rozpoznateľná okolnosť alebo udalosť proti sieťam a informačným systémom, ktorá môže mať nepriaznivý vplyv na kybernetickú bezpečnosť,

základnou službou služba, ktorá je zaradená v zozname základných služieb a

kybernetickým bezpečnostným incidentom akákoľvek udalosť, ktorá má z dôvodu narušenia bezpečnosti siete a informačného systému, alebo porušenia bezpečnostnej politiky alebo záväznej metodiky negatívny vplyv na kybernetickú bezpečnosť alebo ktorej následkom je

závisí od sietí a informačných systémov a je činnosťou aspoň v jednom sektore alebo podsektore podľa [prílohy č. 1] ,

strata dôvernosti údajov, zničenie údajov alebo narušenie integrity systému,

je informačným systémom verejnej správy, [8)](#poznamky.poznamka-8) alebo

obmedzenie alebo odmietnutie dostupnosti základnej služby alebo digitálnej služby,

je prvkom kritickej infraštruktúry, [9)](#poznamky.poznamka-9)

vysoká pravdepodobnosť kompromitácie činností základnej služby alebo digitálnej služby alebo

prevádzkovateľom základnej služby orgán verejnej moci alebo osoba, ktorá prevádzkuje aspoň jednu službu podľa písmena k),

základnou službou služba, ktorá je zaradená v zozname základných služieb a

digitálnou službou služba, ktorej druh je uvedený [prílohe č. 2] ,

prevádzkovateľom základnej služby orgán verejnej moci alebo osoba, ktorá prevádzkuje aspoň jednu službu podľa písmena l),

poskytovateľom digitálnej služby právnická osoba alebo fyzická osoba – podnikateľ, ktorá poskytuje digitálnu službu a zároveň zamestnáva aspoň 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 000 000 eur,

digitálnou službou služba, ktorej druh je uvedený [prílohe č. 2] ,

riešením kybernetického bezpečnostného incidentu všetky postupy súvisiace s oznamovaním, odhaľovaním, analýzou a reakciou na kybernetický bezpečnostný incident a s obmedzením jeho následkov.

poskytovateľom digitálnej služby právnická osoba alebo fyzická osoba – podnikateľ, ktorá poskytuje digitálnu službu a zároveň zamestnáva aspoň 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 000 000 eur,

poskytla nepravdivé údaje v oznámení podľa [§ 17 ods. 5] ,

poskytla nepravdivé údaje v oznámení podľa [§ 17 ods. 4] ,

neprijme bezpečnostnú dokumentáciu podľa [§ 20 ods. 5] alebo

neprijme bezpečnostnú dokumentáciu podľa [§ 20 ods. 6] alebo

udržiavať bezpečnostnú dokumentáciu aktuálnu a zodpovedajúcu reálnemu stavu podľa [§ 20 ods. 5] .

udržiavať bezpečnostnú dokumentáciu aktuálnu a zodpovedajúcu reálnemu stavu podľa [§ 20 ods. 6.]

Pokutu za správny delikt možno uložiť do dvoch rokov odo dňa zistenia porušenia povinnosti, najneskôr však do štyroch rokov odo dňa, keď k porušeniu povinnosti došlo.

Pri ukladaní pokuty za správny delikt úrad prihliadne na závažnosť správneho deliktu, najmä na spôsob jeho spáchania, trvanie, následky a na okolnosti, za ktorých bol spáchaný.

Pokuta za správny delikt je splatná do 30 dní odo dňa nadobudnutia právoplatnosti rozhodnutia o jej uložení.

Ak do jedného roka odo dňa nadobudnutia právoplatnosti rozhodnutia o uložení pokuty dôjde k opätovnému porušeniu povinností, za ktoré bola pokuta uložená, úrad uloží pokutu až do dvojnásobku výšky súm uvedených alebo vypočítaných podľa odsekov 1 až 10.

Pokuty za správny delikt sú príjmom štátneho rozpočtu.

Celkovým ročným obratom podľa odsekov 2 a 4 sa na účely tohto zákona rozumie súčet všetkých tržieb, výnosov alebo príjmov z predaja tovaru alebo služieb bez nepriamych daní, ku ktorému sa pripočíta poskytnutá finančná pomoc. Obrat vyjadrený v cudzej mene sa prepočíta na eurá, pričom na prepočet cudzej meny na eurá sa použije priemer referenčných výmenných kurzov určených a vyhlásených Európskou centrálnou bankou alebo Národnou bankou Slovenska, ktoré sú platné pre príslušné účtovné obdobie. [33)](#poznamky.poznamka-33)

prijať bezpečnostnú dokumentáciu podľa [§ 20 ods. 5] ,

prijať bezpečnostnú dokumentáciu podľa [§ 20 ods. 6] ,

nahlásiť závažný kybernetický bezpečnostný incident podľa [§ 24 ods. 1] alebo odoslať neúplné hlásenie podľa [§ 24 ods. 5] ,

nahlásiť závažný kybernetický bezpečnostný incident podľa [§ 24 ods. 1] , odoslať neúplné hlásenie podľa [§ 24 ods. 5] alebo zasielať automatizovaným spôsobom určené systémové informácie podľa [§ 24a ods. 1] ,

podľa [§ 29 ods. 1] , [2] alebo [ods. 4] , alebo

podľa [§ 29 ods. 1] , [2] alebo [ods. 5] , alebo

Úrad uloží pokutu od 300 eur do 30 000 eur poskytovateľovi digitálnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť podľa [§ 21 ods. 5] , [§ 22 ods. 4] alebo [§ 23 ods. 2] .

Úrad uloží pokutu od 300 eur do 30 000 eur poskytovateľovi digitálnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť podľa [§ 21 ods. 5] alebo [§ 23 ods. 2] .

Úrad uloží pokutu od 300 eur do 100 000 eur tomu, kto na výzvu úradu neposkytne informácie podľa [§ 7 ods. 3.]

Úrad uloží pokutu od 300 eur do 100 000 eur tomu, kto

Pri ukladaní pokuty za správny delikt úrad prihliadne na závažnosť správneho deliktu, najmä na spôsob jeho spáchania, trvanie, následky a na okolnosti, za ktorých bol spáchaný.

Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi produktov, služieb alebo procesov, ktorý sa dopustí správneho deliktu tým, že podľa čl. 53 nariadenia (EÚ) 2019/881 vydá EÚ vyhlásenie o zhode, ktoré je v rozpore s požiadavkami ustanovenými v Európskom systéme certifikácie kybernetickej bezpečnosti.

Ak do jedného roka odo dňa nadobudnutia právoplatnosti rozhodnutia o uložení pokuty dôjde k opätovnému porušeniu povinností, za ktoré bola pokuta uložená, úrad uloží pokutu až do dvojnásobku výšky súm uvedených alebo vypočítaných podľa odsekov 1 až 6.

Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi certifikovaných produktov, služieb alebo procesov alebo výrobcovi alebo poskytovateľovi produktov, služieb a procesov, pre ktoré je vydané EÚ vyhlásenie o zhode, ktorý sa dopustí správneho deliktu tým, že nezverejní v elektronickej podobe alebo neaktualizuje doplňujúce informácie o kybernetickej bezpečnosti podľa čl. 55 ods. 1 písm. a) až d) nariadenia (EÚ) 2019/881.

Celkovým ročným obratom podľa odsekov 2 a 4 sa na účely tohto zákona rozumie súčet všetkých tržieb, výnosov alebo príjmov z predaja tovaru alebo služieb bez nepriamych daní, ku ktorému sa pripočíta poskytnutá finančná pomoc. Obrat vyjadrený v cudzej mene sa prepočíta na eurá, pričom na prepočet cudzej meny na eurá sa použije priemer referenčných výmenných kurzov určených a vyhlásených Európskou centrálnou bankou alebo Národnou bankou Slovenska, ktoré sú platné pre príslušné účtovné obdobie. [33)](#poznamky.poznamka-33)

Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody, držiteľovi európskeho certifikátu kybernetickej bezpečnosti alebo vydavateľovi EÚ vyhlásení o zhode, ktorý sa dopustí správneho deliktu tým, že

Predchádzajúcim účtovným obdobím na účely tohto zákona je účtovné obdobie, za ktoré bola zostavená posledná účtovná závierka.

Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody alebo držiteľovi európskeho certifikátu kybernetickej bezpečnosti, ktorý sa dopustí správneho deliktu tým, že neumožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881.

identifikačné kritériá prevádzkovanej služby CSIRT [(§ 18] ),

identifikačné kritériá prevádzkovanej služby ( [§ 18] ),

obsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení ( [§ 20 ods. 1] a [5] ),

obsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení ( [§ 20 ods. 1] a [6] ),

pravidlá a rozsah auditu kybernetickej bezpečnosti a podrobnosti o akreditácii orgánov posudzovania zhody a o obsahu záverečnej správy o výsledkoch auditu kybernetickej bezpečnosti podľa ( [§ 29 ods. 1 až 4] ).

pravidlá auditu kybernetickej bezpečnosti, časový rozsah a periodicitu vykonávania auditu kybernetickej bezpečnosti, podrobnosti o akreditácii certifikačných orgánov certifikujúcich audítorov kybernetickej bezpečnosti, certifikačnú schému a postupy pri certifikácii audítora kybernetickej bezpečnosti, podrobnosti o certifikáte audítora kybernetickej bezpečnosti a podrobnosti o formáte a obsahu záverečnej správy o výsledkoch auditu kybernetickej bezpečnosti ( [§ 29 ods. 1 až 5] ),

Na konanie úradu podľa [§ 13 ods. 7] , [§ 16 ods. 2] a [3] , [§ 17 ods. 6] , [§ 21 ods. 4] a [§ 27] sa nevzťahuje správny poriadok.

Na konanie úradu podľa [§ 13 ods. 7] , [§ 16 ods. 2] a [3] , [§ 17] , [§ 21] a [§ 27] sa nevzťahuje správny poriadok.

úrad, Ministerstvo dopravy a výstavby Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo hospodárstva Slovenskej republiky, Ministerstvo obrany Slovenskej republiky, Ministerstvo vnútra Slovenskej republiky, Ministerstvo zdravotníctva Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky, Slovenská informačná služba, Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky a Vojenské spravodajstvo (ďalej len „ústredný orgán“),

Ministerstvo dopravy a výstavby Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo hospodárstva Slovenskej republiky, Ministerstvo obrany Slovenskej republiky, Ministerstvo vnútra Slovenskej republiky, Ministerstvo zdravotníctva Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky a Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky (ďalej len „ústredný orgán“),

vykonáva audit alebo požiada orgán posudzovania zhody o vykonanie auditu u prevádzkovateľa základnej služby,

vykonáva audit alebo požiada certifikovaného audítora kybernetickej bezpečnosti o vykonanie auditu u prevádzkovateľa základnej služby,

vydáva znalostné štandardy a v spolupráci s Ministerstvom školstva, vedy, výskumu a športu Slovenskej republiky vykonáva a zabezpečuje budovanie bezpečnostného povedomia,

vydáva znalostné štandardy a zverejňuje ich na svojom webovom sídle, a v spolupráci s Ministerstvom školstva, vedy, výskumu a športu Slovenskej republiky vykonáva a zabezpečuje budovanie bezpečnostného povedomia,

koordinuje výskum a vývoj.

koordinuje výskum a vývoj,

Úrad má postavenie národnej jednotky CSIRT s pôsobnosťou pre Slovenskú republiku, ktorá musí spĺňať podmienky akreditácie podľa [§ 14] a plniť úlohy jednotky CSIRT podľa [§ 15] pre všetky sektory a podsektory uvedené v [prílohe č. 1] a digitálne služby okrem tých sektorov a podsektorov, pre ktoré plní úlohy jednotky CSIRT ústredný orgán. Národná jednotka CSIRT je zaradená v zozname akreditovaných jednotiek CSIRT.

Úrad zriaďuje Národné centrum kybernetickej bezpečnosti ako svoju organizačnú zložku, ktorá má postavenie národnej jednotky CSIRT s pôsobnosťou pre Slovenskú republiku, ktorá musí spĺňať podmienky akreditácie podľa [§ 14] a plniť úlohy jednotky CSIRT podľa [§ 15] pre všetky sektory a podsektory uvedené v [prílohe č. 1] a digitálne služby okrem tých sektorov a podsektorov, pre ktoré plní úlohy jednotky CSIRT ústredný orgán. Národná jednotka CSIRT je zaradená v zozname akreditovaných jednotiek CSIRT.

iný orgán verejnej moci rozhodnutím úradu.

Úrad pre reguláciu elektronických komunikácií a poštových služieb,

poskytuje úradu požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na zabezpečenie kybernetickej bezpečnosti; informácie sa poskytujú len za podmienky, že ich poskytnutím nedôjde k ohrozeniu plnenia konkrétnej úlohy podľa osobitného predpisu [13)](#poznamky.poznamka-13) alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb konajúcich v jej prospech alebo k ohrozeniu medzinárodnej spravodajskej spolupráce,

poskytuje úradu požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na zabezpečenie kybernetickej bezpečnosti; informácie sa poskytujú len za podmienky, že ich poskytnutím nedôjde k ohrozeniu plnenia konkrétnej úlohy spravodajskej služby podľa osobitného predpisu [13)](#poznamky.poznamka-13) alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb konajúcich v jej prospech alebo k ohrozeniu medzinárodnej spravodajskej spolupráce,

Ústredný orgán na účely plnenia úloh podľa odseku 1 písm. a) v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa [prílohy č. 1] zriaďuje a prevádzkuje akreditovanú jednotku CSIRT alebo na tento účel využíva akreditovanú jednotku CSIRT, ktorú zriaďuje a prevádzkuje iný ústredný orgán, ak sa tak dohodnú. Využívanie akreditovanej jednotky CSIRT, ktorú zriaďuje a prevádzkuje iný ústredný orgán, sa vykonáva na základe zmluvy.

Ústredný orgán na plnenie úloh podľa odseku 1 písm. a) v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa [prílohy č. 1] využíva Národné centrum kybernetickej bezpečnosti alebo zriaďuje a prevádzkuje vlastnú akreditovanú jednotku CSIRT alebo využíva akreditovanú jednotku CSIRT v pôsobnosti ústredného orgánu, ak sa tak zmluvne dohodnú.

Zriaďuje sa vládna jednotka CSIRT v pôsobnosti Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu pre podsektor informačné systémy verejnej správy. Vládna jednotka CSIRT musí spĺňať podmienky akreditácie podľa [§ 14] a plniť úlohy podľa [§ 15] . Vládna jednotka CSIRT sa zaraďuje do zoznamu akreditovaných jednotiek CSIRT.

Zriaďuje sa vládna jednotka CSIRT v pôsobnosti Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky pre podsektor informačné systémy verejnej správy. Vládna jednotka CSIRT musí spĺňať podmienky akreditácie podľa [§ 14] a plniť úlohy podľa [§ 15] . Vládna jednotka CSIRT sa zaraďuje do zoznamu akreditovaných jednotiek CSIRT.

úrad, Ministerstvo dopravy a výstavby Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo hospodárstva Slovenskej republiky, Ministerstvo obrany Slovenskej republiky, Ministerstvo vnútra Slovenskej republiky, Ministerstvo zdravotníctva Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky, Slovenská informačná služba, Úrad podpredsedu vlády pre investície a informatizáciu a Vojenské spravodajstvo (ďalej len „ústredný orgán“),

úrad, Ministerstvo dopravy a výstavby Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo hospodárstva Slovenskej republiky, Ministerstvo obrany Slovenskej republiky, Ministerstvo vnútra Slovenskej republiky, Ministerstvo zdravotníctva Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky, Slovenská informačná služba, Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky a Vojenské spravodajstvo (ďalej len „ústredný orgán“),

Kto plní alebo plnil úlohy na základe tohto zákona alebo v súvislosti s ním, je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa v súvislosti s plnením úloh podľa tohto zákona dozvedel a ktoré nie sú verejne známe. Povinnosť zachovávať mlčanlivosť trvá aj po skončení dohody o spolupráci podľa [§ 5 ods. 2] , pracovnoprávneho vzťahu alebo obdobného pracovného vzťahu vrátane služobného pomeru. [14)](#poznamky.poznamka-14) Ustanoveniami o povinnosti zachovávať mlčanlivosť podľa tohto zákona nie je dotknutá povinnosť mlčanlivosti alebo zachovania tajomstva podľa osobitných predpisov. [15)](#poznamky.poznamka-15)

Kto plní alebo plnil úlohy na základe tohto zákona alebo v súvislosti s ním, je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa v súvislosti s plnením úloh podľa tohto zákona dozvedel a ktoré nie sú verejne známe. Povinnosť zachovávať mlčanlivosť trvá aj po skončení dohody o spolupráci podľa [§ 5 ods. 3] , pracovnoprávneho vzťahu alebo obdobného pracovného vzťahu vrátane služobného pomeru. [14)](#poznamky.poznamka-14) Ustanoveniami o povinnosti zachovávať mlčanlivosť podľa tohto zákona nie je dotknutá povinnosť mlčanlivosti alebo zachovania tajomstva podľa osobitných predpisov. [15)](#poznamky.poznamka-15)

si vyžiada vyjadrenie Národnej banky Slovenska k postupu ústredného orgánu pri plnení úloh podľa tohto zákona, ak prevádzkovateľom základnej služby je dohliadaný subjekt finančného trhu, [21)](#poznamky.poznamka-21) nad ktorým vykonáva dohľad Národná banka Slovenska podľa osobitných predpisov. [22)](#poznamky.poznamka-22)

si vyžiada vyjadrenie Národnej banky Slovenska alebo Európskej centrálnej banky k postupu ústredného orgánu pri plnení úloh podľa tohto zákona, ak prevádzkovateľom základnej služby je dohliadaný subjekt finančného trhu, [21)](#poznamky.poznamka-21) nad ktorým vykonáva dohľad Národná banka Slovenska podľa osobitných predpisov [22)](#poznamky.poznamka-22) alebo nad ktorým vykonáva dohľad Európska centrálna banka podľa osobitného predpisu. [22a)](#poznamky.poznamka-22a)

požiadavky týkajúce sa bezpečnosti sietí a informačných systémov a oznamovania kybernetických bezpečnostných incidentov v sektore bankovníctva, financií alebo finančného systému podľa osobitného predpisu, [3)](#poznamky.poznamka-3) vrátane štandardov a zásad vydaných alebo prijatých Európskou centrálnou bankou, Európskym systémom centrálnych bánk, Eurosystémom alebo európskymi orgánmi dohľadu, [4)](#poznamky.poznamka-4) ak ich účinok je aspoň rovnocenný s účinkom povinností podľa tohto zákona, vrátane rozhodnutí, štandardov a zásad vydaných alebo prijatých Národnou bankou Slovenska, ak ich cieľom je dosiahnuť vyššiu úroveň bezpečnosti sietí a informačných systémov ako podľa tohto zákona, a ani na platobné systémy a na systémy zúčtovania cenných papierov dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom podľa osobitných predpisov, [5)](#poznamky.poznamka-5)

požiadavky týkajúce sa bezpečnosti sietí, infraštruktúr a informačných systémov a oznamovania kybernetických bezpečnostných incidentov v sektore bankovníctva, financií alebo finančného systému podľa osobitných predpisov, [3)](#poznamky.poznamka-3) vrátane štandardov a zásad vydaných alebo prijatých Európskou centrálnou bankou, Európskym systémom centrálnych bánk, Eurosystémom alebo európskymi orgánmi dohľadu, [4)](#poznamky.poznamka-4) ak ich účinok je aspoň rovnocenný s účinkom povinností podľa tohto zákona, vrátane rozhodnutí, štandardov a zásad vydaných alebo prijatých Národnou bankou Slovenska, ak ich cieľom je dosiahnuť rovnocennú alebo vyššiu úroveň bezpečnosti sietí, infraštruktúr a informačných systémov ako podľa tohto zákona, a ani na platobné systémy a na systémy zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom podľa osobitných predpisov, [5)](#poznamky.poznamka-5)

Na účely zabezpečenia plnenia úloh podľa tohto zákona môže úrad uzatvoriť písomnú dohodu o spolupráci s fyzickou osobou. Dohoda o spolupráci musí obsahovať konkrétnu formu a podmienky spolupráce a fyzická osoba musí byť oprávnená na oboznamovanie sa s utajovanými skutočnosťami príslušného stupňa utajenia, ak to plnenie úloh vyžaduje.

Na účely zabezpečenia plnenia úloh podľa tohto zákona môže úrad na účel zabezpečenia kybernetickej bezpečnosti uzatvoriť písomnú dohodu o spolupráci a o výmene informácií a podkladov s orgánmi verejnej moci alebo s inou právnickou osobou. [10a)](#poznamky.poznamka-10a) Pri poskytnutí informácií je prijímajúci subjekt povinný zabezpečiť najmenej rovnakú úroveň dôvernosti ako subjekt, ktorý informácie poskytol.

Tento zákon nadobúda účinnosť 1. apríla 2018 okrem čl. I § 12 ods. 6, ktorý nadobúda účinnosť 25. mája 2018.

Tento zákon nadobúda účinnosť 1. apríla 2018 okrem čl. I [§ 12 ods. 6] , ktorý nadobúda účinnosť 25. mája 2018.

Tento zákon nadobúda účinnosť 1. apríla 2018 okrem čl. I [§ 12 ods. 6] , ktorý nadobúda účinnosť 25. mája 2018.

Tento zákon nadobúda účinnosť 1. apríla 2018 okrem čl. I § 12 ods. 6, ktorý nadobúda účinnosť 25. mája 2018.