(1) Bezpečnostnými opatreniami na
účely tohto zákona sú úlohy, procesy, role a technológie v organizačnej,
personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej
bezpečnosti počas životného cyklu sietí a informačných systémov.
Bezpečnostné opatrenia, realizované
v závislosti od klasifikácie informácií a kategorizácie sietí
a informačných systémov a v súlade s bezpečnostnými
štandardami v oblasti kybernetickej bezpečnosti sa prijímajú s cieľom
predchádzať kybernetickým bezpečnostným incidentom a minimalizovať vplyv
kybernetických bezpečnostných incidentov na kontinuitu prevádzkovania služby.
Bezpečnostné opatrenia sú všeobecné, realizované v závislosti od
klasifikácie informácií a kategorizácie sietí a informačných systémov
a v súlade s bezpečnostnými štandardami v oblasti
kybernetickej bezpečnosti pre všetky siete a informačné systémy
a sektorové, ktoré sa realizujú na základe špecifík kategorizácie sietí
a informačných systémov ústredného orgánu v rozsahu svojej pôsobnosti
podľa prílohy č. 1 a v súlade s bezpečnostnými štandardami
v oblasti kybernetickej bezpečnosti.
(2) Klasifikácia informácií
a kategorizácia sietí a informačných systémov podľa odseku 1 sa
vykonáva na základe významnosti, funkcie a účelu informácií a informačných
systémov s ohľadom na dôvernosť, integritu, dostupnosť, kvalitu služby
a kontrolnú činnosť.
(3) Bezpečnostné opatrenia sa
prijímajú najmä pre oblasť
a) organizácie informačnej
bezpečnosti,
b) riadenia aktív, hrozieb a
rizík,
c) personálnej bezpečnosti,
d) riadenia dodávateľských
služieb, akvizície, vývoja a údržby informačných systémov,
e) technických zraniteľností
systémov a zariadení,
f) riadenia bezpečnosti sietí a
informačných systémov,
g) riadenia prevádzky,
h) riadenia prístupov,
i) kryptografických opatrení,
j) riešenia kybernetických
bezpečnostných incidentov,
k) monitorovania, testovania
bezpečnosti a bezpečnostných auditov,
l) fyzickej bezpečnosti a
bezpečnosti prostredia,
m) riadenia kontinuity procesov.
(4) Bezpečnostné opatrenia musia
zahŕňať najmenej
a) detekciu kybernetických
bezpečnostných incidentov,
b) evidenciu kybernetických
bezpečnostných incidentov,
c) postupy riešenia
a riešenie kybernetických bezpečnostných incidentov,
d) určenie kontaktnej osoby pre
prijímanie a evidenciu hlásení,
e) pripojenie do komunikačného
systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov
a centrálneho systému včasného varovania.
(5) Bezpečnostné opatrenia sa prijímajú
a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť
aktuálna a musí zodpovedať reálnemu stavu.