Zákon č. 181 / 2014 Zb.
Zákon o kybernetickej bezpečnosti a zmene súvisiacich zákonov (zákon o kybernetickej bezpečnosti)
Platný
Účinnosť od 01.01.2015
Obsah
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
§ 3
§ 3a
HLAVA II
§ 4
§ 4a
§ 5
§ 6
§ 6a
§ 7
§ 8
§ 9
§ 10
§ 10a
§ 11
§ 12
§ 13
§ 14
§ 15
§ 15a
§ 16
§ 17
§ 18
§ 19
§ 20
HLAVA III
§ 21
HLAVA IV
§ 21a
§ 22
§ 22a
§ 22b
§ 22c
HLAVA V
§ 23
§ 24
§ 24a
§ 24b
§ 24c
§ 25
§ 26
§ 27
HLAVA VI
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
ČÁST TŘETÍ
§ 35
ČÁST PÁTÁ
§ 37
ČÁST ŠESTÁ
§ 38
Zobrazeno prvních 200 z celkem 575 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
181
PRÁVO
z 23. júla 2014,
o kybernetickej bezpečnosti a zmene a doplnení súvisiacich právnych predpisov (zákon o kybernetickej bezpečnosti)
Parlament rozhodol o tomto zákone Českej republiky:
KYBERNETICKÁ BEZPEČNOSŤ
ZÁKLADNÉ USTANOVENIA
Predmet úpravy
(1) Tento zákon upravuje práva a povinnosti osôb a právomoci a právomoci verejných orgánov v oblasti kybernetickej bezpečnosti.
(2) Tento zákon zahŕňa príslušnú Európsku úniu6), pričom vychádza z priamo uplatniteľnej Európskej únie17 a upravuje bezpečnosť elektronických komunikačných sietí a informačných systémov.
(3) Tento zákon sa nevzťahuje na informačné alebo komunikačné systémy, ktoré manipulujú s utajovanými skutočnosťami.
Vymedzenie pojmov
Tento zákon znamená:
a) kybernetický priestor digitálneho prostredia, ktorý umožňuje vytváranie, spracovanie a výmenu informácií pozostávajúcich z informačných systémov a elektronických komunikačných služieb a sietí (1);
(b) prvok alebo systém kritickej informačnej infraštruktúry v komunikačnom a informačnom systéme2 v oblasti kybernetickej bezpečnosti;
(c) bezpečnosť informácií zabezpečujúcich dôvernosť, integritu a dostupnosť informácií a údajov;
(d) dôležitý informačný systém spravovaný verejným orgánom, ktorý nie je kritickou informačnou infraštruktúrou alebo informačným systémom základných služieb a ktorý môže znížiť alebo významne ohroziť výkon právomocí verejného orgánu,
e) prevádzkovateľ informačného systému orgánom alebo osobou, ktorá určuje účel spracúvania informácií a podmienky prevádzky informačného systému;
(f) prevádzkovateľom komunikačného systému, orgánom alebo osobou, ktorá určuje účel komunikačného systému a podmienky jeho prevádzky;
(g) prevádzkovateľ informačného alebo komunikačného systému, orgán alebo osoba zabezpečujúca funkčnosť technických a programovacích prostriedkov tvoriacich informačný alebo komunikačný systém;
(h) dôležitú sieť elektronických komunikačných sietí (1), ktorá poskytuje priame vonkajšie prepojenia na verejné komunikačné siete alebo poskytuje priame pripojenie ku kritickej informačnej infraštruktúre;
i) základná služba, ktorej poskytovanie závisí od elektronických komunikačných sietí (7) alebo informačných systémov a ktorej narušenie by mohlo mať významný vplyv na bezpečnosť sociálnych alebo hospodárskych činností v jednom z týchto sektorov.
1. energia;
2. vpravo,
3. Bankovníctvo,
4. infraštruktúra finančného trhu;
5. zdravotná starostlivosť,
6. vodné hospodárstvo,
7. digitálna infraštruktúra,
8. chemický priemysel,
(j) informačný systém pre základnú službu, ktorého fungovanie závisí od poskytovania základnej služby;
(k) prevádzkovateľ základnej služby zo strany orgánu alebo osoby poskytujúcej základnú službu a určenej Národným úradom pre kybernetickú a informačnú bezpečnosť (ďalej len "úrad") podľa § 22a; na účely plnenia informačnej povinnosti podľa príslušného nariadenia Európskej únie (8) sa orgány a osoby uvedené v § 3 písm. c) a d) takisto považujú za prevádzkovateľa základnej služby;
l) služba informačnej spoločnosti pre digitálne služby podľa zákona upravujúceho určité služby informačnej spoločnosti 9), ktorá spočíva v prevádzkovaní:
1. internetový trh, ktorý umožňuje spotrebiteľovi alebo predávajúcemu uzavrieť kúpnu zmluvu s predávajúcim podniku10) prostredníctvom internetovej stránky trhu alebo prostredníctvom webovej stránky predajcu, ktorá využíva službu poskytovanú online trhom;
2. internetový vyhľadávač, ktorý vám umožní v zásade vyhľadávať na všetkých webových stránkach na základe užívateľského dopytu o akejkoľvek téme vo forme kľúčového slova, frázy alebo inej úlohy, služba poskytujúca odkazy na ktoré informácie týkajúce sa požadovaného obsahu možno nájsť; alebo
3. cloud computing, ktorý umožňuje prístup k expandovateľnému a prispôsobiteľnému úložisku alebo počítačovým zdrojom, ktoré možno zdieľať, a
príslušný orgán, príslušný orgán v oblasti kybernetickej bezpečnosti.
Inštitúcie a osoby, ktoré ukladajú povinnosti v oblasti kybernetickej bezpečnosti:
(a) poskytovateľ elektronických komunikačných služieb a subjekt poskytujúci elektronickú komunikačnú sieť (1), pokiaľ nejde o orgán alebo osobu uvedenú v písmene b);
(b) orgán alebo osoba poskytujúca významnú sieť, pokiaľ nejde o prevádzkovateľa alebo prevádzkovateľa komunikačného systému uvedeného v písmene d);
(c) správca a prevádzkovateľ informačného systému kritickej informačnej infraštruktúry;
(d) prevádzkovateľ a prevádzkovateľ komunikačného systému kritickej informačnej infraštruktúry;
(e) správca a prevádzkovateľ dôležitého informačného systému;
(f) správca a prevádzkovateľ informačného systému základných služieb, ak nie sú prevádzkovateľom alebo prevádzkovateľom uvedeným v písmenách c) alebo d);
(g) prevádzkovateľom základnej služby, ak nie je správcom alebo prevádzkovateľom uvedeným v písmene f), a
(h) poskytovateľom digitálnych služieb.
Zástupca poskytovateľa digitálnych služieb
(1) Poskytovateľ digitálnych služieb poskytujúci túto službu v Českej republike nie je usadený v Európskej únii a nezaložil zástupcu v inom členskom štáte Európskej únie (ďalej len "ďalší členský štát") je povinný zriadiť zástupcu v Českej republike. Zástupca poskytovateľa digitálnych služieb je osoba so sídlom v Českej republike, ktorá je poskytovateľom digitálnej služby pod dohľadom orgánu, ktorý ju zastupuje vo vzťahu k povinnostiam podľa tohto zákona.
(2) Ak má poskytovateľ digitálnych služieb sídlo mimo Európskej únie a zriadil zástupcu v Českej republike, považuje sa za usadeného v Českej republike a podlieha povinnostiam podľa tohto zákona.
(3) V prípade, že je poskytovateľ digitálnych služieb usadený v Českej republike alebo má v nej usadený zástupca, ale elektronické komunikačné siete, ktoré používa, a informačné systémy sa nachádzajú v inom členskom štáte, úrad pri výkone svojej správy spolupracuje s príslušným orgánom dotknutého členského štátu.
SEKURITIZAČNÝ SYSTÉM
Bezpečnostné opatrenia
(1) Bezpečnostné opatrenie znamená zhrnutie opatrení zameraných na zabezpečenie bezpečnosti informácií v informačných systémoch a dostupnosti a spoľahlivosti služieb a elektronických komunikačných sietí (1) v kybernetickom priestore.
(2) Orgány a osoby uvedené v článku 3 písm. c) až f) sú povinné zaviesť a udržiavať bezpečnostné opatrenia v rozsahu potrebnom na zabezpečenie kybernetickej bezpečnosti informačného systému kritickej informačnej infraštruktúry, komunikačného systému kritickej informačnej infraštruktúry, informačného systému základných služieb a významného informačného systému.
(3) Poskytovateľ digitálnych služieb zavedie a zavedie vhodné a primerané bezpečnostné opatrenia pre elektronické komunikačné siete a informačné systémy používané v súvislosti s poskytovaním jeho služieb, pričom zohľadní bezpečnosť informácií, riadenie incidentov v oblasti kybernetickej bezpečnosti, riadenie kontinuity činností, monitorovanie, audit, testovanie a dodržiavanie medzinárodných pravidiel.
(4) Orgány a osoby uvedené v § 3 písm. c) až f) sú povinné zohľadniť požiadavky vyplývajúce z bezpečnostných opatrení pre výber dodávateľa pre ich informačný alebo komunikačný systém a zahrnúť tieto požiadavky do zmluvy uzavretej s dodávateľom. Vzhľadom na požiadavky vyplývajúce z bezpečnostných opatrení podľa prvej vety v rozsahu potrebnom na splnenie povinností vyplývajúcich z tohto zákona ho nemožno považovať za nezákonné obmedzenie hospodárskej súťaže alebo za neodôvodnenú prekážku hospodárskej súťaže.
(5) Pred uzavretím zmluvy s poskytovateľom služieb cloud computingu sa od verejných orgánov vyžaduje, aby do bezpečnostnej úrovne zahrnuli požadovanú cloud computingu, pričom sa zohľadní povaha príslušného informačného alebo komunikačného systému podľa vykonávacích právnych predpisov, a aby zabezpečili dodržiavanie bezpečnostných pravidiel pre poskytovanie služieb cloud computingu, ktoré zaviedol orgán, a aby im poskytovateľ služieb cloud computingu na požiadanie bez zbytočného odkladu poskytol informácie a údaje vrátane možnosti kontroly uložených informácií a údajov v reálnom čase.
(6) Poskytovateľ služieb cloud computingu a verejný orgán sa v zmluve ďalej dohodnú na spôsobe a výške náhrady, ktorá skutočne vznikla pri vykonávaní bezpečnostných pravidiel a vykonávaní bezpečnostnej politiky zákazníka.
(7) Vzhľadom na požiadavky vyplývajúce z bezpečnostnej politiky, bezpečnostných pravidiel, bezpečnostných opatrení a iných podmienok dohodnutých v zmluve uvedenej v odseku 5, ktoré sú potrebné na splnenie povinností vyplývajúcich z tohto zákona, nemožno ho považovať za nezákonné obmedzenie hospodárskej súťaže alebo neodôvodnenú prekážku hospodárskej súťaže.
(1) Orgány a osoby, ktoré sa stali správcami informačných alebo komunikačných systémov kritickej informačnej infraštruktúry alebo manažérmi významných informačných systémov a nie sú povinné prevádzkovať takéto systémy, bezodkladne a preukázateľne informujú prevádzkovateľa sústavy o tejto skutočnosti a o skutočnosti, že sa prevádzkovateľ stal orgánom alebo osobou podľa § 3 písm. c), d) alebo e).
(2) Od orgánov a osôb, ktoré sa stali prevádzkovateľmi alebo manažérmi informačných alebo komunikačných systémov kritickej informačnej infraštruktúry, sa vyžaduje, aby bezodkladne a preukázateľne informovali orgán poskytujúci elektronickú komunikačnú sieť, do ktorej je ich informačný alebo komunikačný systém kritickej informačnej infraštruktúry pripojený, a aby sa tak stali orgánom alebo osobou uvedenou v článku 3 písm. b).
(3) Orgány a osoby, ktoré podľa článku 22a určil prevádzkovateľ základnej služby a ktoré nie sú zároveň prevádzkovateľmi alebo prevádzkovateľmi ich informačných systémov základných služieb, sú povinné bezodkladne a preukázateľne informovať správcu alebo prevádzkovateľa o ich určení a o skutočnosti, že dotknutý správca alebo prevádzkovateľ sa stal orgánom alebo osobou podľa článku 3 písm. f).
(1) Bezpečnostné opatrenia sú:
(a) organizačné opatrenia a
b) technické opatrenia.
(2) Organizačné opatrenia sú:
(a) systém riadenia informačnej bezpečnosti;
(b) riadenie rizík;
(c) bezpečnostná politika;
d) organizačná bezpečnosť;
(e) stanovenie bezpečnostných požiadaviek pre dodávateľov;
(f) správa aktív;
(g) bezpečnosť ľudských zdrojov;
(h) riadenie dopravy a komunikácie;
i) riadenie prístupu;
(j) nadobúdanie, vývoj a údržba;
(k) riadenie incidentov v oblasti kybernetickej bezpečnosti a incidentov v oblasti kybernetickej bezpečnosti;
(l) riadenie kontinuity činnosti a
(m) kontrola a audit.
(3) Technické opatrenia sú:
(a) fyzická bezpečnosť;
(b) nástroj na ochranu integrity komunikačných sietí;
(c) nástroj na overenie totožnosti užívateľa;
(d) nástroj riadenia prístupových povolení;
(e) nástroj na ochranu pred škodlivým kódom;
(f) nástroj na zaznamenávanie činností informačného alebo komunikačného systému, jeho používateľov a správcov;
g) nástroj na odhaľovanie incidentov v oblasti kybernetickej bezpečnosti;
(h) nástroj na zhromažďovanie a hodnotenie incidentov v oblasti kybernetickej bezpečnosti;
i) bezpečnosť pri používaní;
j) kryptografické produkty;
(k) nástroj na zabezpečenie úrovne dostupnosti informácií a
(l) bezpečnosť priemyselných a kontrolných systémov.
Vykonávacie právne predpisy stanovujú:
a) obsah bezpečnostných opatrení;
(b) obsah a štruktúra bezpečnostnej dokumentácie;
c) rozsahu bezpečnostných opatrení pre orgány a osoby uvedené v § 3 písm. c) až f);
(d) významné informačné systémy a ich určujúce kritériá;
(e) obsah a rozsah bezpečnostných pravidiel pre verejné orgány, ktoré využívajú služby poskytovateľov cloud computingu, vrátane bezpečnostných úrovní na používanie cloud computingu verejnými orgánmi.
(1) Správca informačného systému kritickej informačnej infraštruktúry, komunikačného systému kritickej informačnej infraštruktúry alebo významného informačného systému môže zveriť prevádzku informačného systému kritickej informačnej infraštruktúry, komunikačného systému kritickej informačnej infraštruktúry alebo dôležitého informačného systému inému orgánu alebo osobe, pokiaľ to iný zákon nevylučuje.
(2) Prevádzkovateľ informačného systému kritickej informačnej infraštruktúry, komunikačného systému kritickej informačnej infraštruktúry alebo významného informačného systému bez zbytočného odkladu a v dohodnutom formáte odovzdáva údaje, prevádzkové údaje a informácie, ktoré má k dispozícii v súvislosti s prevádzkou tohto systému. Ustanoveniami právnych predpisov upravujúcich práva duševného vlastníctva nie je dotknutý prenos údajov, prevádzkových údajov a informácií.
(3) Ak prevádzkovateľ informačného systému kritickej informačnej infraštruktúry, komunikačného systému kritickej informačnej infraštruktúry alebo dôležitého informačného systému nebude pokračovať v prevádzke systému, prevádzkovateľ tohto systému odošle údaje, prevádzkové údaje a informácie, ktoré má k dispozícii v súvislosti s prevádzkou tohto systému a ktoré sú potrebné na prípadnú ďalšiu prevádzku tohto informačného systému alebo jeho iné použitie, a bezpečne zlikviduje jeho kópie v digitálnom prostredí. Postup na spracúvanie údajov, prevádzkových údajov, informácií a ich kópií sa stanoví vo vykonávacích právnych predpisoch.
(4) Prevádzkovateľ informačného systému kritickej informačnej infraštruktúry, komunikačného systému kritickej informačnej infraštruktúry alebo významného informačného systému má nárok na náhradu nákladov, ktoré skutočne vznikli za prenos údajov, prevádzkových údajov a informácií uvedených v odsekoch 2 a 3; náklady zaplatí prevádzkovateľovi správca tohto systému.
incident s kybernetickou bezpečnosťou a incident s kybernetickou bezpečnosťou
(1) Udalosť kybernetickej bezpečnosti je udalosť, ktorá môže spôsobiť narušenie bezpečnosti informácií v informačných systémoch alebo narušenie bezpečnosti služieb alebo bezpečnosti a integrity elektronických komunikačných sietí (1).
(2) incident v oblasti kybernetickej bezpečnosti je porušením bezpečnosti informácií v informačných systémoch alebo bezpečnosti služieb alebo bezpečnosti a integrity elektronických komunikačných sietí (1) v dôsledku udalosti v oblasti kybernetickej bezpečnosti.
(3) Orgány a osoby uvedené v § 3 písm. b) až f) sú povinné odhaliť incidenty v oblasti kybernetickej bezpečnosti vo svojej významnej sieti, informačnom systéme kritickej informačnej infraštruktúry, komunikačnom systéme kritickej informačnej infraštruktúry, informačnom systéme základnej služby alebo významnom informačnom systéme.
Hlásenie incidentov v oblasti kybernetickej bezpečnosti
(1) od orgánov a osôb uvedených v článku 3 písm. b) až f) sa vyžaduje, aby okamžite po zistení nahlásili incidenty v oblasti kybernetickej bezpečnosti vo svojej významnej sieti, informačnom systéme kritickej informačnej infraštruktúry, komunikačnom systéme kritickej informačnej infraštruktúry, informačnom systéme základnej služby alebo významnom informačnom systéme; Týmto nie je dotknutá povinnosť informácií podľa iných právnych predpisov3 alebo priamo uplatniteľné právo Európskej únie na ochranu osobných údajov (11). Ak má incident v oblasti kybernetickej bezpečnosti významný vplyv na kontinuitu poskytovania základnej služby, prevádzkovateľ základnej služby to oznámi úradu.
(2) Poskytovateľ digitálnych služieb bez zbytočného odkladu oznámi incident v oblasti kybernetickej bezpečnosti, ktorý má významný vplyv na poskytovanie svojich služieb, ak má prístup k informáciám potrebným na posúdenie významu tohto vplyvu.
(3) Orgány a osoby uvedené v § 3 písm. b) a h) hlásia incidenty v oblasti kybernetickej bezpečnosti národnému prevádzkovateľovi CERT.
(4) Orgány a osoby uvedené v § 3 písm. c) až g) oznamujú úradu incidenty v oblasti kybernetickej bezpečnosti.
(5) Povinnosť uvedená v odseku 1 plní prevádzkovateľ informačného systému kritickej informačnej infraštruktúry, komunikačného systému kritickej informačnej infraštruktúry alebo príslušného informačného systému, aj keď prevádzkovateľ tohto systému nahlásil incident v oblasti kybernetickej bezpečnosti. Prevádzkovateľ informačného systému kritickej informačnej infraštruktúry, komunikačného systému kritickej informačnej infraštruktúry alebo významného informačného systému bez zbytočného odkladu informuje správcu tohto systému o hlásených incidentoch v oblasti kybernetickej bezpečnosti.
(6) Orgány a osoby, ktoré nie sú uvedené v oddiele 3, môžu nahlásiť incidenty v oblasti kybernetickej bezpečnosti národnému prevádzkovateľovi CERT alebo úradu.
(7) Vo vykonávacom akte sa stanovuje:
(a) druhy, kategórie a posúdenie významu vplyvu incidentu v oblasti kybernetickej bezpečnosti a
(b) formality a prostriedky hlásenia incidentu v oblasti kybernetickej bezpečnosti.
(8) Ak incident v oblasti kybernetickej bezpečnosti, ktorý ovplyvňuje poskytovateľa digitálnych služieb, má významný vplyv na kontinuitu poskytovania základnej služby, jeho prevádzkovateľ oznámi túto skutočnosť úradu.
Registrácia
(1) Orgán pre cenné papiere a trhy vedie register incidentov v oblasti kybernetickej bezpečnosti ("incidenčné záznamy") obsahujúci:
(a) správu o incidente v oblasti kybernetickej bezpečnosti;
(b) identifikáciu systému, v ktorom došlo k incidentu v oblasti kybernetickej bezpečnosti;
(c) údaje o zdroji incidentu v oblasti kybernetickej bezpečnosti a
(d) postup riešenia incidentu v oblasti kybernetickej bezpečnosti a jeho výsledok.
(2) Záznamy o incidentoch obsahujú údaje uvedené v § 20 písm. f) až h) a l).
(3) Úrad poskytuje údaje zo záznamov o incidentoch verejným orgánom na výkon ich povinností.
(4) Úrad môže poskytnúť záznamy o incidentoch národnému prevádzkovateľovi CERT, orgánom zodpovedným za kybernetickú bezpečnosť v zahraničí a iným osobám zapojeným do kybernetickej bezpečnosti v rozsahu potrebnom na zabezpečenie ochrany kybernetického priestoru.
(1) Zamestnanci Českej republiky, ktorí sa podieľajú na riešení incidentu v oblasti kybernetickej bezpečnosti, sú viazaní povinnosťou zachovávať dôvernosť záznamov o incidentoch. Povinnosť zachovávať mlčanlivosť pokračuje po skončení pracovného pomeru s úradom.
(2) Riaditeľ úradu môže oslobodiť osoby uvedené v odseku 1 od povinnosti zachovávať dôvernosť záznamov o incidentoch, pričom uvedie rozsah údajov a rozsah výnimky.
Informácie, ktorých zverejnenie by mohlo ohroziť bezpečnosť kybernetickej bezpečnosti alebo účinnosť opatrenia udeleného podľa tohto aktu, alebo informácie, ktoré sú uchovávané v zápise o incidentoch, z ktorých by sa mohol identifikovať orgán alebo osoba, ktorá nahlási incident v oblasti kybernetickej bezpečnosti, sa neposkytujú podľa pravidiel upravujúcich voľný prístup k informáciám.
Opatrenia
(1) Opatrenia sú opatrenia potrebné na ochranu informačných systémov alebo služieb a elektronických komunikačných sietí (1) pred hrozbami pre kybernetickú bezpečnosť alebo pred incidentom v oblasti kybernetickej bezpečnosti alebo na riešenie incidentu v oblasti kybernetickej bezpečnosti.
(2) Opatrenia sú:
a) varovania,
b) reaktívne opatrenia a
c) ochranné opatrenie.
(3) Musia sa vykonať reaktívne opatrenia
a) orgány a osoby uvedené v článku 3 písm. a) a b) v kybernetickom nebezpečenstve alebo núdzovom stave (4) vyhlásené na základe žiadosti podľa článku 21 ods. 6 a
b) orgány a osoby uvedené v článku 3 písm. c) až f).
(4) Orgány a osoby uvedené v článku 3 písm. c) až f) musia zaviesť ochranné opatrenia.
Varovanie
(1) Úrad vydá upozornenie, najmä z vlastnej iniciatívy alebo z iniciatívy prevádzkovateľa národného CERT alebo orgánov vykonávajúcich svoje povinnosti v oblasti kybernetickej bezpečnosti v zahraničí, o hrozbe pre kybernetickú bezpečnosť.
(2) Úrad uverejní varovanie na svojej webovej stránke a oznámi ho orgánom a osobám uvedeným v článku 3, ktorých kontaktné údaje sa uchovávajú v registri uvedenom v článku 16 ods. 4.
(3) V záujme ochrany vnútorného poriadku a bezpečnosti, ochrany života a zdravia osôb alebo ochrany hospodárstva štátu má úrad po konzultácii s orgánom alebo osobou uvedenou v § 3 písm. c), d), f), g) alebo h), ktorá je ovplyvnená incidentom v oblasti kybernetickej bezpečnosti, právo informovať verejnosť o incidente alebo nariadiť dotknutej osobe, aby tak urobila sama.
Reaktívne a ochranné opatrenia
(1) Orgán pre cenné papiere a trhy vydá rozhodnutie, ktorým sa ukladajú reaktívne opatrenia na riešenie incidentu v oblasti kybernetickej bezpečnosti alebo na zabezpečenie informačných systémov alebo elektronických komunikačných sietí a služieb (1) pred incidentom v oblasti kybernetickej bezpečnosti, čo je prvý akt v danej veci. Ak sa rozhodnutie o jeho doručení adresátovi nedoručí do troch dní odo dňa jeho vydania, vydá sa visiacim v úradnom zázname úradu a je vykonateľný v tomto čase. Rozhodnutie uvedené v prvej vete môže prijať aj úrad v rámci konania na mieste podľa administratívnych pravidiel.
(2) Odloženie rozhodnutia podľa odseku 1 nemá odkladný účinok.
(3) Ak sa reaktívne opatrenia na riešenie incidentu v oblasti kybernetickej bezpečnosti alebo na zabezpečenie informačných systémov alebo elektronických komunikačných sietí a služieb (1) pred incidentom v oblasti kybernetickej bezpečnosti týkajú špecifikovaného spektra orgánov alebo osôb, úrad ich vydá vo forme všeobecných opatrení.
(4) Od orgánov a osôb uvedených v článku 3 písm. a) až f) sa vyžaduje, aby úradu bezodkladne oznámili vykonávanie reaktívneho opatrenia a jeho výsledok. Podrobnosti o oznámení sa stanovia vo vykonávacích právnych predpisoch.
S cieľom zlepšiť ochranu informačných systémov alebo služieb a elektronických komunikačných sietí (1) a na základe analýzy už vyriešeného incidentu v oblasti kybernetickej bezpečnosti ako ochranného opatrenia úrad vydá všeobecné opatrenie, v ktorom orgány a osoby uvedené v článku 3 písm. c) až f) stanovia spôsob zvýšenia ochrany informačných systémov alebo služieb a elektronických komunikačných sietí (1) a primerané obdobie na jeho vykonávanie.
(1) Opatrenie všeobecnej povahy podľa článku 13 alebo článku 14 nadobúda účinnosť v čase jeho visenia na úradnom štítku úradu; odsek 172 správneho nariadenia sa neuplatňuje. Úrad tiež informuje orgány a osoby uvedené v článku 3, ktorých kontaktné údaje sa uchovávajú v registri uvedenom v článku 16 ods. 4 všeobecného opatrenia.
(2) Pripomienky k opatreniu všeobecnej povahy vydanému podľa odsekov 13 alebo 14 sa môžu predložiť do 30 dní odo dňa jeho uverejnenia na úradnom štítku úradu. Úrad môže na základe predložených pripomienok zmeniť alebo zrušiť opatrenia všeobecnej povahy.
(1) V prípade bezprostredného incidentu v oblasti kybernetickej bezpečnosti môže orgán na návrh správcu informačného systému, ktorý márne vyzval prevádzkovateľa, aby splnil povinnosť zasielať údaje, prevádzkové údaje a informácie, ktoré má k dispozícii v súvislosti s prevádzkou tohto systému kritickej informačnej infraštruktúry, komunikačného systému kritickej informačnej infraštruktúry alebo významného informačného systému, rozhodnutím požiadať prevádzkovateľa tohto systému o prenos údajov, prevádzkových údajov a informácií, ktoré má k dispozícii v súvislosti s prevádzkou tohto systému; návrh obsahuje odôvodnenie žiadosti vzhľadom na bezprostrednú udalosť v oblasti kybernetickej bezpečnosti, podrobný opis predchádzajúceho konania medzi prevádzkovateľom a správcom systému, najmä pokiaľ ide o nesplnenie zmluvných povinností prevádzkovateľa a možných dôsledkov, pokiaľ sa nezasielajú požadované údaje, prevádzkové údaje a informácie.
(2) Rozhodnutie, ktorým sa ukladá povinnosť zasielať údaje, prevádzkové údaje a informácie uvedené v odseku 1, je prvým aktom v konaní, je vykonateľné ku dňu doručenia rozhodnutia a rozklad nemá odkladný účinok.
(3) Na pokrytie nákladov, ktoré vznikli prevádzkovateľovi informačného systému kritickej informačnej infraštruktúry, sa primerane uplatňuje článok 6a ods. 4 na prenos údajov, prevádzkových údajov a informácií uvedených v odseku 1.
Kontaktné údaje
(1) Kontaktné údaje sú:
a) v prípade právnickej osoby meno, adresu sídla, identifikačné číslo osoby alebo podobné číslo pridelené v zahraničí;
b) v prípade právnickej osoby, obchodnej spoločnosti alebo názvu, vrátane rozlišujúceho doplnku alebo iného označenia, adresu sídla a identifikačné číslo osoby;
(c) na orgán verejnej moci, jeho názov, adresu sídla, identifikačné číslo osoby, ak existuje, a identifikátor verejného orgánu za predpokladu, že mu identifikačné číslo osoby nie je pridelené;
a podrobnosti o fyzickej osobe, ktorá je oprávnená konať ako orgán alebo osoba uvedená v článku 3 vo veciach upravených týmto právom, konkrétne meno, priezvisko, telefónne číslo a e-mailová adresa.
(2) Kontaktné údaje a ich zmeny sa oznámia
(a) orgány a osoby uvedené v § 3 písm. a), b) a h) prevádzkovateľa národného CERT a
b) orgány a osoby uvedené v § 3 písm. c) až g) úradu.
(3) Orgány a osoby uvedené v odseku 3 písm. c) až g) bezodkladne oznámia zmeny a doplnenia len tým údajom uvedeným v odseku 1, ktoré nie sú referenčnými údajmi uchovávanými v základných registroch.
(4) Úrad vedie register kontaktných údajov obsahujúcich informácie uvedené v odseku 1.
(5) V prípade kybernetického nebezpečenstva je letecký úrad oprávnený požadovať kontaktné údaje zhromaždené národným prevádzkovateľom CERT v súlade s odsekom 2 písm. a).
(6) Úrad je takisto oprávnený požiadať o kontaktné údaje orgánov a osôb uvedených v článku 3 písm. h) od národného prevádzkovateľa CERT na účely inšpekcie.
(7) Vzor oznámenia kontaktných údajov a ich forma sú stanovené vo vykonávacích právnych predpisoch.
Národná CERT
(1) Národná CERT zabezpečuje v rozsahu stanovenom týmto zákonom výmenu informácií na vnútroštátnej a medzinárodnej úrovni v oblasti kybernetickej bezpečnosti.
(2) Národný prevádzkovateľ CERT
a) prijať oznámenie o kontaktných údajoch od orgánov a osôb uvedených v článku 3 písm. a), b) a h) a registrovať a uchovávať takéto údaje;
Obsah
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
§ 3
§ 3a
HLAVA II
§ 4
§ 4a
§ 5
§ 6
§ 6a
§ 7
§ 8
§ 9
§ 10
§ 10a
§ 11
§ 12
§ 13
§ 14
§ 15
§ 15a
§ 16
§ 17
§ 18
§ 19
§ 20
HLAVA III
§ 21
HLAVA IV
§ 21a
§ 22
§ 22a
§ 22b
§ 22c
HLAVA V
§ 23
§ 24
§ 24a
§ 24b
§ 24c
§ 25
§ 26
§ 27
HLAVA VI
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
ČÁST TŘETÍ
§ 35
ČÁST PÁTÁ
§ 37
ČÁST ŠESTÁ
§ 38
Prihláste sa pre poznámky, obľúbené a upozornenia
Informácie o predpise
| Citácia | Zákon č. 181 / 2014 Zb. o kybernetickej bezpečnosti a zmene súvisiacich zákonov (Cyber Safety Act) |
|---|---|
| Typ predpisu | - |
| Autor | - |
| Zbierka | Zbierka zákonov |
| Dátum vyhlásenia | 29.08.2014 |
|---|---|
| Účinnosť od | 01.01.2015 |
| Účinnosť do | - |
| Stav | Platný |
Znenie predpisu má informatívny charakter.
Komentáre 0