(1) Poskytovateľ
digitálnej služby je povinný do šiestich mesiacov odo dňa oznámenia
o zaradení do registra poskytovateľov digitálnych služieb prijať a
dodržiavať vhodné a primerané bezpečnostné opatrenia podľa osobitného
predpisu [24] na
účely riadenia rizík súvisiacich s ohrozením kontinuity digitálnej služby
a procesu riešenia kybernetických bezpečnostných incidentov. Na tento účel
je poskytovateľ digitálnej služby povinný vyčleniť dostatočné personálne,
materiálno-technické, časové a finančné zdroje s cieľom zabezpečenia
kontinuity digitálnej služby.
(2) Poskytovateľ
digitálnej služby na účely splnenia povinnosti podľa odseku 1 posudzuje najmä
a) bezpečnosť
sietí a informačného systému a jeho
schopnosť predchádzať a riešiť kybernetický bezpečnostný incident,
b) spôsob
zachovania kontinuity digitálnej služby v prípade kybernetického
bezpečnostného incidentu,
c) súlad
sietí a informačného systému
s bezpečnostnými štandardmi v oblasti kybernetickej bezpečnosti.
(3) Poskytovateľ
digitálnej služby je povinný
a) hlásiť
každý kybernetický bezpečnostný incident, ak disponuje informáciami, na základe
ktorých je spôsobilý identifikovať, či má tento kybernetický bezpečnostný
incident podstatný vplyv podľa osobitného predpisu, [24] a to bezodkladne
po jeho zistení,
b) riešiť
hlásený kybernetický bezpečnostný incident,
c) spolupracovať
s úradom pri riešení hláseného kybernetického bezpečnostného incidentu.
(4) Ak
poskytovateľ digitálnej služby využíva na poskytovanie svojej digitálnej služby
prevádzkovateľa základnej služby, je povinný uzatvoriť s prevádzkovateľom
základnej služby zmluvu o zabezpečení plnenia bezpečnostných opatrení
a notifikačných povinností podľa tohto zákona počas celej doby, kedy
poskytovateľ digitálnej služby využíva na poskytovanie svojej digitálnej služby
prevádzkovateľa základnej služby.
(5) O
hlásenom kybernetickom bezpečnostnom incidente v nevyhnutnom rozsahu
informuje poskytovateľ digitálnej služby tretiu stranu, ak by sa plnenie zmluvy
stalo nemožným, ak úrad nerozhodne inak. Povinnosť zachovávať mlčanlivosť tým nie
je dotknutá.
[24] Vykonávacie nariadenie Komisie
(EÚ) ... / ... ktorým sa stanovujú pravidlá uplatňovania smernice Európskeho
parlamentu a Rady (EÚ) 2016/1148, pokiaľ ide o ďalšie špecifikácie prvkov,
ktoré majú brať do úvahy poskytovatelia digitálnych služieb na riadenie rizík, ktoré
predstavujú pre bezpečnosť sieťových a informačných systémov a parametre na
určenie toho, či incident má podstatný vplyv.