Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov 95/2019 účinný od 01.08.2021 do 04.11.2021

§ 18
Základné ustanovenia

(1)
Povinnosť správcu, ktorý je prevádzkovateľom základnej služby,20) prijať a realizovať bezpečnostné opatrenia vo vzťahu k informačným systémom verejnej správy v jeho správe v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov ustanovuje osobitný predpis.21)
(2)
Správca, ktorý je prevádzkovateľom základnej služby,20) prijíma a realizuje bezpečnostné opatrenia vo vzťahu k informačným systémom verejnej správy v jeho správe podľa tohto zákona a osobitného predpisu,21) ak ich cieľom je dosiahnuť vyššiu úroveň bezpečnosti ako ustanovuje osobitý predpis.22)

§ 19
Bezpečnosť informačných technológií verejnej správy v oblasti plánovania a organizácie

(1)
V rámci zabezpečenia riadenia bezpečnosti podľa § 14 ods. 1 písm. i) je správca povinný vo svojej organizácii zaviesť a udržiavať systém riadenia informačnej bezpečnosti, ktorý
a)
určí ciele, rozsah, podmienky, povinnosti osôb, ktoré vykonávajú činnosť pre správcu a organizačných zložiek správcu a prostriedky riadenia bezpečnosti vo forme bezpečnostnej dokumentácie schválených procesov riadenia bezpečnosti informačných technológií verejnej správy,
b)
zriadi riadiacu, výkonnú a kontrolnú zložku systému riadenia bezpečnosti, ktoré sú navzájom personálne a kompetenčne oddelené,
c)
zabezpečí a zdokumentuje identifikovanie aktív v informačných technológiách verejnej správy a riadenie rizík, najmä vo forme bezpečnostnej dokumentácie vrátane bezpečnostného projektu podľa § 23 ods. 1 a 2,
d)
určí a zavedie bezpečnostné opatrenia na procesnej, organizačnej a na technickej úrovni,
e)
určí prostriedky a zdroje na zabezpečenie implementácie a riadneho fungovania bezpečnostných opatrení,
f)
určí prostriedky kontroly uplatňovania bezpečnostných opatrení,
g)
určí postupy riešenia bezpečnostných incidentov.
(2)
Správca prostredníctvom riadiacej zložky systému riadenia bezpečnosti zabezpečuje prerokovanie a schválenie
a)
bezpečnostnej stratégie kybernetickej bezpečnosti a strategických opatrení týkajúcich sa bezpečnosti informačných technológií verejnej správy,
b)
informácií o zaznamenaných závažných kybernetických bezpečnostných incidentoch spolu s návrhom opatrení na minimalizáciu ich opätovného výskytu,
c)
návrhu opatrení vyplývajúcich z analýz, riešených bezpečnostných incidentov, havarijných stavov, kontrol a auditov kybernetickej bezpečnosti informačných technológií verejnej správy.
(3)
Správca prostredníctvom výkonnej zložky systému riadenia bezpečnosti zabezpečuje
a)
vypracovanie a aktualizáciu bezpečnostnej dokumentácie upravujúcej systém riadenia bezpečnosti podľa odseku 1,
b)
preskúmanie stavu kybernetickej bezpečnosti informačných technológií verejnej správy najmenej jedenkrát do roka a informovanie riadiacej zložky o výsledkoch preskúmania,
c)
realizáciu bezpečnostných opatrení,
d)
plánovanie, koordináciu a vyhodnocovanie činností súvisiacich s riadením bezpečnostných rizík v oblasti bezpečnosti informačných technológií verejnej správy,
e)
koordináciu riešenia bezpečnostných incidentov,
f)
organizáciu vzdelávacej činnosti pre oblasť bezpečnosti informačných technológií verejnej správy.
(4)
Správca prostredníctvom kontrolnej zložky systému riadenia bezpečnosti zabezpečuje
a)
nezávislú kontrolu dodržiavania povinností v oblasti bezpečnosti informačných technológií verejnej správy,
b)
hodnotenie súladu stavu bezpečnosti s požiadavkami všeobecne záväzných právnych predpisov.
(5)
Správca pri plánovaní vytvorenia alebo nadobudnutia informačného systému verejnej správy
a)
dodržiava bezpečnostnú stratégiu kybernetickej bezpečnosti,
b)
určí osobu zodpovednú za bezpečnosť informačného systému verejnej správy,
c)
identifikuje riziká prostredia, v ktorom bude informačný systém verejnej správy prevádzkovaný.

§ 20
Bezpečnosť informačných technológií verejnej správy v oblasti obstarávania a implementácie

(1)
Správca pri vytváraní alebo nadobúdaní informačného systému verejnej správy
a)
určí bezpečnostné požiadavky na informačný systém verejnej správy vrátane podmienok jeho vývoja, testovania a dodania v podmienkach vytvorenia alebo dodania informačného systému verejnej správy,
b)
zabezpečí pre tento systém vypracovanie bezpečnostnej dokumentácie vrátane bezpečnostného projektu podľa § 23 ods. 1 a 2.
(2)
Dodávateľ informačného systému verejnej správy pre vývoj tohto systému
a)
zabezpečí
1.
bezpečné vývojové prostredie,
2.
dokumentáciu vývoja a testovania vrátane používateľskej dokumentácie a administrátorskej dokumentácie,
b)
je povinný
1.
dodržiavať mlčanlivosť o dodávanom informačnom systéme verejnej správy aj po ukončení dodania a zaviazať rovnakou povinnosťou všetky osoby, ktoré sa na dodaní podieľali,
2.
doplniť bezpečnostné požiadavky na informačný systém verejnej správy podľa odseku 1 písm. a) a predložiť správcovi návrh bezpečnostných opatrení na naplnenie týchto bezpečnostných požiadaviek pre prostredie, v ktorom bude informačný systém verejnej správy prevádzkovaný,
3.
preukázateľne odstrániť alebo znemožniť používanie funkcie informačného systému verejnej správy, ktoré by jemu alebo tretej strane umožňovali získať neoprávnený prístup do tohto systému a k údajom, ktoré obsahuje.

§ 21
Bezpečnosť informačných technológií verejnej správy v oblasti prevádzky, servisu a podpory

(1)
V rámci zabezpečenia riadenia služieb bezpečnosti prevádzky podľa § 16 ods. 1 písm. d) správca zabezpečuje
a)
zavedenie informačného systému verejnej správy do prevádzky,
b)
prevádzku informačného systému verejnej správy,
c)
vyradenie informačného systému verejnej správy z prevádzky.
(2)
V rámci zabezpečenia zavedenia informačného systému verejnej správy do prevádzky správca
a)
overí splnenie funkčných, výkonnostných a bezpečnostných požiadaviek pred zavedením do prevádzky a nezavedie do prevádzky informačný systém verejnej správy, ktorý tieto požiadavky nespĺňa,
b)
vykoná bezpečnostné testovanie informačného systému verejnej správy, ktorý má rozhranie s verejnou sieťou internet a ktorý spracúva osobitné kategórie osobných údajov podľa osobitného predpisu22a) alebo informácie klasifikované z hľadiska dôvernosti ako chránené alebo prísne chránené podľa osobitného predpisu.22b)
(3)
V rámci zabezpečenia prevádzky informačného systému verejnej správy správca
a)
zabezpečí pre informačný systém verejnej správy
1.
určenie a pravidelné aktualizovanie bezpečnostnej dokumentácie,
2.
dodržiavanie bezpečnostných opatrení,
b)
v závislosti od zaradenia informačného systému verejnej správy z pohľadu klasifikácie informácií a kategorizácie sietí a informačných systémov
1.
aktualizuje bezpečnostný projekt pre tento systém vypracovaný podľa § 23 ods. 1 a 2,
2.
zavedie jednotný systém riadenia informačnej bezpečnosti pre všetky informačné systémy, ktoré sú v jeho správe,
3.
zabezpečí riadenie konfigurácie informačného systému verejnej správy a jeho častí,
4.
určí bezpečnostne závažné operácie, ktorými sa rozumejú najmä správa prístupov a prístupových údajov, ukladanie záznamov o systémových udalostiach, realizácia bezpečného oddelenia vnútornej časti systému a siete od vonkajšej časti, a zavedie dokumentovanie postupov pre tieto operácie,
5.
zabezpečí nepretržitý monitoring informačného systému verejnej správy,
6.
zabezpečí vykonanie bezpečnostného auditu informačného systému verejnej správy v pravidelných intervaloch určených najmä s ohľadom na dôležitosť informačného systému verejnej správy a na minulé zistenia bezpečnostných auditov a pri zistení závažných bezpečnostných nedostatkov prepracuje bezpečnostný projekt a naň nadväzujúce dokumenty.
(4)
V rámci vyradenia informačného systému verejnej správy z prevádzky správca
a)
vypracuje plán vyradenia informačného systému verejnej správy z prevádzky, ktorý obsahuje najmä
1.
uchovanie informácií vyraďovaného informačného systému verejnej správy, ktoré sú potrebné pre funkčnosť iného informačného systému,
2.
spoľahlivé odstránenie informácií z pamäťových médií vyraďovaného informačného systému verejnej správy,
3.
postup vyraďovania programových prostriedkov a technických prostriedkov informačného systému verejnej správy,
b)
zabezpečí, aby nedošlo ku strate alebo k úniku informácií a k narušeniu práv priemyselného vlastníctva a duševného vlastníctva.

§ 23
Osobitné opatrenia na úseku bezpečnosti informačných technológií verejnej správy

(1)
Bezpečnostný projekt informačného systému verejnej správy sa vypracúva v súlade s osobitným predpisom21) a tvorí súčasť bezpečnostnej dokumentácie. Vypracovanie bezpečnostného projektu informačného systému verejnej správy zabezpečí správca, vychádzajúc:
a)
z bezpečnostnej stratégie kybernetickej bezpečnosti a bezpečnostných politík,
b)
zo všeobecne akceptovaných štandardov riadenia informačných technológií, ktoré vychádzajú z uznaných technických noriem,
c)
z metodických usmernení orgánu vedenia.
(2)
Správca vypracuje bezpečnostný projekt pre informačný systém verejnej správy, ktorý:
a)
pri narušení bezpečnosti môže spôsobiť závažný kybernetický bezpečnostný incident,
b)
tvorí základné registre alebo referenčné registre alebo je ich súčasťou,
c)
je agendový informačný systém,
d)
je nevyhnutný na rozhodovanie orgánu verejnej moci,
e)
je špecializovaný portál,
f)
spracúva osobitné kategórie osobných údajov podľa osobitného predpisu,22a)
g)
je zaradený do kategórie III. podľa osobitného predpisu.22b)
(3)
Orgán riadenia podľa § 5 ods. 2 písm. a) a b) a rozpočtová organizácia a príspevková organizácia v jeho zriaďovateľskej pôsobnosti sú povinní vo vzťahu k informačným technológiám verejnej správy
a)
ak sú zaradení do registra prevádzkovateľov základných služieb podľa osobitného predpisu,24) nahlasovať spôsobom podľa osobitného predpisu25) aj kybernetický bezpečnostný incident,26) na ktorý sa nevzťahuje povinnosť nahlasovania podľa osobitného predpisu;27) ak nie sú do tohto registra zaradení, nahlasujú takýto kybernetický bezpečnostný incident orgánu vedenia ním určeným spôsobom,
b)
poskytnúť orgánu vedenia súčinnosť a spoluprácu pri plnení jeho úloh podľa odseku 4,
c)
zasielať najmenej jedenkrát do roka orgánu vedenia zoznam aktív podľa § 19 ods. 1 písm. c),
d)
určiť jeden kontaktný bod na nahlasovanie kybernetických bezpečnostných incidentov podľa písmena a).
(4)
Orgán vedenia vo vzťahu k informačným technológiám verejnej správy
a)
môže na žiadosť orgánu riadenia vykonávať činnosti na účely riešenia kybernetického bezpečnostného incidentu, jeho predchádzania alebo odstraňovania a hodnotenia zraniteľnosti,
b)
zbiera, spracúva a vyhodnocuje systémové informácie na účely predchádzania kybernetickým bezpečnostným incidentom, ich riešenia a obnovenia kybernetickej bezpečnosti,30)
c)
vykonáva pravidelné neinvazívne hodnotenie zraniteľnosti služby verejnej správy, služby vo verejnom záujme, verejnej služby a ďalších služieb informačných technológií poskytovaných prostredníctvom siete internet alebo prostredníctvom Govnetu,
d)
môže na žiadosť orgánu riadenia za tento orgán riadenia vykonať bezpečnostný audit alebo preň vykonať hodnotenie zraniteľnosti.