Zákon č. [69/2018 Z. z.] o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení zákona č. [373/2018 Z. z.], zákona č. [134/2020 Z. z.], zákona č. [287/2021 Z. z.], zákona č. [55/2022 Z. z.] a zákona č. [231/2022 Z. z.] sa mení a dopĺňa takto:
1. § 1 a 2 vrátane nadpisov znejú:
2. V § 3 písmeno f) znie:
3. V § 3 písm. g) sa slovo „informácie“ nahrádza slovom „údaja“.
4. V § 3 písmená i) a j) znejú:
5. V § 3 sa za písmeno j) vkladajú nové písmená k) a l), ktoré znejú:
6. V § 3 písmená m) až r) znejú:
7. § 3 sa dopĺňa písmenami s) až ab), ktoré znejú:
8. Doterajší text § 3 sa označuje ako odsek 1 a dopĺňa sa odsekom 2, ktorý znie:
9. V § 4 úvodnej vete sa slovo „vykonáva“ nahrádza slovom „vykonávajú“.
10. V § 4 písm. b) sa vypúšťajú slová „a výstavby“, za slovami „Ministerstvo životného prostredia Slovenskej republiky“ sa slovo „a“ nahrádza čiarkou a za slová „Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky“ sa vkladajú slová „a Správa štátnych hmotných rezerv Slovenskej republiky“.
11. V § 5 ods. 1 písm. d) sa za slová „v Slovenskej republike“ vkladajú slová „a národný plán reakcie na rozsiahle kybernetické bezpečnostné incidenty a kybernetické krízy, je orgánom pre riadenie kybernetických kríz a plní úlohu národného koordinátora riadenia rozsiahlych kybernetických bezpečnostných incidentov a kybernetických kríz,“.
12. V § 5 ods. 1 písm. e) sa za slová „je národným kontaktným miestom pre kybernetickú bezpečnosť“ vkladá čiarka a slová „pre vnútroštátnu spoluprácu a“ a vypúšťajú sa slová „a Organizácie Severoatlantickej zmluvy“.
13. V § 5 ods. 1 písm. f) a h) sa vypúšťajú slová „a Organizácie Severoatlantickej zmluvy“.
14. V § 5 ods. 1 písm. i) sa slová „poskytovateľmi digitálnych služieb“ nahrádzajú slovami „s vedeckými inštitúciami a akademickými inštitúciami“.
15. V § 5 ods. 1 písmená k) a l) znejú:
16. V § 5 ods. 1 písmeno o) znie:
17. V § 5 ods. 1 písm. r) sa za slovo „zasiela“ vkladajú slová „a vyhlasuje“ a na konci sa dopĺňajú slová „výstrahy alebo vyhlasuje stav kybernetickej krízy,“.
18. V § 5 ods. 1 písmeno s) znie:
19. V § 5 ods. 1 písm. t) sa za slová „o kybernetických bezpečnostných incidentoch“ vkladá čiarka a slová „kybernetických hrozbách a zraniteľnostiach“.
20. V § 5 ods. 1 písmeno u) znie:
21. V § 5 ods. 1 písm. w) sa slová „vedy, výskumu a športu“ nahrádzajú slovami „výskumu, vývoja a mládeže“.
22. Poznámka pod čiarou k odkazu 10aa znie:
23. V § 5 ods. 1 písmeno aa) znie:
24. V § 5 ods. 1 sa vypúšťa písmeno ac).
25. § 5a vrátane nadpisu znie:
26. V § 6 ods. 1 sa slová „a digitálne služby“ nahrádzajú slovami „alebo v prílohe č. 2“.
27. § 6 sa dopĺňa odsekmi 5 až 8, ktoré znejú:
28. § 7 vrátane nadpisu znie:
29. V § 8 odseky 2 a 3 znejú:
30. V § 8 ods. 4 a v § 20 ods. 5 písm. e) sa slovo „hrozbách“ nahrádza slovami „kybernetických hrozbách“.
31. V § 8 ods. 5 písm. c) sa vypúšťajú slová „a poskytovateľ digitálnej služby“.
32. V § 9 ods. 1 a 2, § 10a ods. 1, § 15 ods. 1 a § 32 ods. 2 sa za slová „podľa prílohy č. 1“ vkladajú slová „alebo prílohy č. 2“.
33. V § 9 ods. 1 sa vypúšťa písmeno e).
34. V § 9 ods. 1 písmeno e) sa slová „základnú službu a“ a slová „zoznamu základných služieb a“ vypúšťajú.
35. V § 10 sa slová „systémov, ktoré nie sú základnou službou a procesu riešenia kybernetických bezpečnostných incidentov, iný orgán štátnej správy a ústredný orgán“ nahrádzajú slovami „systémov a procesu riešenia kybernetických bezpečnostných incidentov, iný orgán štátnej správy“.
36. V § 12 ods. 3 sa vypúšťajú slová „a poskytovateľa digitálnej služby“.
37. V § 12 ods. 4 sa za slovo „varovania“ vkladajú slová „alebo stavu kybernetickej krízy“.
38. V § 12 ods. 5 sa vypúšťajú slová „poskytovateľom digitálnej služby,“ a slovo „ich“ sa nahrádza slovom „jeho“.
39. V § 15 ods. 2 písm. d) sa za slovo „evidenciou“ vkladajú slová „zraniteľností, kybernetických hrozieb, kybernetických kríz a“.
40. V § 15 sa odsek 2 dopĺňa písmenami h) až l), ktoré znejú:
41. V § 15 ods. 4 sa vypúšťajú slová „alebo poskytovateľa digitálnej služby“.
42. § 15 sa dopĺňa odsekom 5, ktorý znie:
43. § 16 sa dopĺňa odsekom 4, ktorý znie:
44. § 17 a 18 vrátane nadpisov znejú:
45. V § 19 odsek 1 znie:
46. V § 19 ods. 2 sa na konci pripájajú tieto vety: „Tretia strana je počas trvania zmluvného vzťahu povinná vykonávať a realizovať bezpečnostné opatrenia v súlade s písomnou zmluvou a týmto zákonom a je povinná podrobiť sa kontrole plnenia týchto opatrení zo strany prevádzkovateľa základnej služby. Ak ide o zmluvu podľa prvej vety uzatvorenú s prevádzkovateľom základnej služby, ktorý prevádzkuje kritickú základnú službu, kontrolu môže vykonávať aj úrad; na tento účel má tretia strana postavenie prevádzkovateľa základnej služby. Uzatvorenie zmluvy podľa prvej vety nesmie brániť v hospodárskej súťaži.“.
47. V § 19 ods. 3 sa vypúšťajú slová „alebo poskytovateľom digitálnej služby“.
48. V § 19 sa odsek 6 dopĺňa písmenami f) až i), ktoré znejú:
49. V § 19 ods. 7 sa slová „v údajoch podľa § 17 ods. 4“ nahrádzajú slovami „v zapísaných údajoch, okrem referenčných údajov“, na konci sa pripájajú tieto slová: „a ak prevádzkovateľ základnej služby prevádzkuje kritickú základnú službu, je povinný hlásiť úradu aj informáciu o uzatvorení zmluvy s treťou stranou o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti a aj informáciu o jej ukončení“ a pripája sa táto veta: „Úrad vykoná zmenu v registri prevádzkovateľov základnej služby, a to aj bez návrhu.“.
50. V § 19 ods. 8 sa slová „kontinuity základnej služby“ nahrádzajú slovami „kontinuity činnosti“.
51. V § 20 odseky 1 až 3 znejú:
52. V § 20 sa odsek 4 dopĺňa písmenami g) až i), ktoré znejú:
53. V § 20 sa vypúšťa odsek 6.
54. § 21 a 22 vrátane nadpisu nad § 21 znejú:
55. § 23 sa vrátane nadpisu vypúšťa.
56. § 24 vrátane nadpisu znie:
57. V § 24a ods. 1 sa za slovo „dôležitosť“ vkladá slovo „prevádzkovateľa“, slová „§ 24 ods. 6“ sa nahrádzajú slovami „§ 24 ods. 4“ a za slová „výstrahy, varovania“ sa vkladá čiarka a slová „stav kybernetickej krízy“.
58. V § 24a ods. 4 sa nad slovom „predpisu“ odkaz „ 28a )“ nahrádza odkazom „ 24c )“.
59. § 25 a 26 sa vrátane nadpisov vypúšťajú.
60. Nadpis § 27 znie: „Reakcie na kybernetické bezpečnostné incidenty a kybernetické hrozby a riešenie kybernetického bezpečnostného incidentu“.
61. V § 27 ods. 1 úvodnej vete sa slovo „jeho“ nahrádza slovami „významnej kybernetickej“ a v písmene a) sa slová „výstrahu a varovanie pred závažným kybernetickým bezpečnostným incidentom“ nahrádzajú slovami „výstrahu, varovanie alebo stav kybernetickej krízy“.
62. V § 27 ods. 3 sa slová „a poskytovateľovi digitálnej služby“ nahrádzajú slovami „alebo tretej strane, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti“.
63. V § 27 ods. 5 sa slová „poskytovateľovi digitálnej služby“ vo všetkých tvaroch nahrádzajú slovami „tretej strane, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti“ v príslušnom tvare.
64. V § 27 ods. 6 sa slová „poskytovateľ digitálnej služby je povinný“ nahrádzajú slovami „tretia strana, ktorá má významný vplyv pri zabezpečovaní kybernetickej bezpečnosti, sú povinní“.
65. V § 27 odsek 10 znie:
66. § 27 sa dopĺňa odsekmi 11 a 12, ktoré znejú:
67. V § 27a ods. 1 úvodnej vete sa vypúšťa slovo „základnej“.
68. V § 27a sa vypúšťa odsek 4.
69. V § 27a ods. 4 a 6 sa slová „poskytovanie základnej služby“ nahrádzajú slovami „poskytovanie služby“.
70. § 28 vrátane nadpisu sa vypúšťa.
71. V § 29 ods. 1 sa slová „systémy základnej služby“ nahrádzajú slovami „systémy služby“, slová „podporujú základné služby“ sa nahrádzajú slovami „podporujú služby“ a na konci sa pripája táto veta: „Prevádzkovateľ základnej služby, ktorý nie je prevádzkovateľom kritickej základnej služby, môže zabezpečiť plnenie povinnosti vykonať audit kybernetickej bezpečnosti v lehote podľa predchádzajúcej vety preverením účinnosti prijatých bezpečnostných opatrení a plnenia požiadaviek ustanovených týmto zákonom samohodnotením prostredníctvom jednotného informačného systému kybernetickej bezpečnosti spôsobom podľa odseku 8.“.
72. V § 29 ods. 2 sa vypúšťajú slová „v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov“.
73. V § 29 ods. 3 sa slová „osoba akreditovaná“ nahrádzajú slovami „subjekt verejnej správy podľa osobitného predpisu 31aa ) akreditovaný“.
74. § 29 sa dopĺňa odsekmi 8 a 9, ktoré znejú:
75. Za § 29 sa vkladajú § 29a až 29n, ktoré vrátane nadpisov znejú:
76. V § 30 ods. 1 písm. b) sa slová „§ 17 ods. 4“ nahrádzajú slovami „§ 17 ods. 2.
77. V § 30 ods. 1 sa vypúšťa písmeno d).
78. V § 30 sa odsek 1 dopĺňa písmenami e) a f), ktoré znejú:
79. § 31 vrátane nadpisu znie:
80. V § 32 ods. 1 sa vypúšťa písmeno b).
81. V § 32 ods. 1 písm. b) sa vypúšťajú slová „ods.1 a 6“.
82. V § 32 ods. 1 písm. c) sa slová „§ 20 ods.1“ nahrádzajú slovami „§ 20“.
83. V § 32 ods. 1 sa vypúšťa písmeno d).
84. V § 32 ods. 1 písm. d) sa za slová „pravidlá auditu kybernetickej bezpečnosti“ vkladajú slová „alebo samohodnotenia“, za slová „periodicitu vykonávania auditu kybernetickej bezpečnosti“ sa vkladajú slová „alebo samohodnotenia“, slová „certifikačnú schému a“ sa nahrádzajú slovami „certifikačné schémy,“ a vypúšťajú sa slová „(§ 29 ods. 1 až 5)“.
85. V § 32 sa odsek 1 dopĺňa písmenami h) a i), ktoré znejú:
86. V § 33 ods. 1 sa za slová „§ 27 až 27c“ vkladá čiarka a slová „§ 29a ods. 1 písm. a), b) a d) a § 29l okrem doručovania rozkazu o uložení sankcie a jeho náležitostí“.
87. V § 33 odsek 4 znie:
88. Poznámka pod čiarou k odkazu 34 znie:
89. § 33 sa dopĺňa odsekom 6, ktorý znie
„ (6) Národná banka Slovenska a úrad uzatvoria písomnú zmluvu o spolupráci o základných rámcoch hlásenia kybernetických bezpečnostných incidentov a riešenia kybernetických bezpečnostných incidentov a o hlásení stavu zabezpečovania kybernetickej bezpečnosti v Národnej banke Slovenska.“.
90. Za § 34a sa vkladá § 34b, ktorý vrátane nadpisu znie:
91. Za § 35 sa vkladá § 36, ktorý vrátane nadpisu znie:
92. Slová „prevádzkovateľ základných služieb“ a „prevádzkovatelia základných služieb“ vo všetkých tvaroch sa v celom texte zákona nahrádzajú slovami „prevádzkovateľ základnej služby“ v príslušnom tvare.
93. Prílohy č. 1 až 3 znejú:
Tento zákon nadobúda účinnosť 1. januára 2025.