(1) V
prípade závažného kybernetického bezpečnostného incidentu alebo jeho hrozby,
môže úrad
a) vyhlásiť
výstrahu a varovanie pred závažným kybernetickým bezpečnostným incidentom,
b) uložiť
povinnosť riešiť kybernetický bezpečnostný incident,
c) uložiť
povinnosť vykonať reaktívne opatrenie,
d) požadovať
návrh opatrení a vykonanie opatrení určených na zabránenie ďalšieho
pokračovania, šírenia a opakovaného výskytu závažného kybernetického
bezpečnostného incidentu (ďalej len „ochranné opatrenie“).
(2) Výstrahu
a varovanie vyhlasuje úrad prostredníctvom jednotného informačného systému
kybernetickej bezpečnosti. Ak ide o naliehavý verejný záujem, výstraha a
varovanie sa vyhlási aj prostredníctvom hromadných oznamovacích prostriedkov [25] a na ústrednom portáli verejnej správy.
(3) Povinnosť
riešiť kybernetický bezpečnostný incident ukladá úrad rozhodnutím tomu, kto plní
úlohy jednotky CSIRT, prevádzkovateľovi základnej služby a poskytovateľovi
digitálnej služby.
(4) Reaktívne
opatrenie je priama odpoveď na závažný kybernetický bezpečnostný incident
a zabezpečuje sa službami podľa § 15 ods. 3 písm. b) až g).
(5) Povinnosť
vykonať reaktívne opatrenie ukladá úrad rozhodnutím prevádzkovateľovi základnej
služby alebo poskytovateľovi digitálnej služby, ktorí sú pri riešení závažného
kybernetického bezpečnostného incidentu nečinní, alebo ak riešenie závažného
kybernetického bezpečnostného incidentu je zjavne neúspešné. Poskytovateľovi
digitálnej služby možno uložiť povinnosť vykonať reaktívne opatrenie iba počas krízovej
situácie. [26]
(6) Prevádzkovateľ
základnej služby alebo poskytovateľ digitálnej služby je povinný
bezodkladne oznámiť a preukázať úradu prostredníctvom jednotného
informačného systému kybernetickej bezpečnosti vykonanie reaktívneho opatrenia
a jeho výsledok.
(7) Ochranné
opatrenie prijíma prevádzkovateľ základnej služby na základe analýzy riešeného
závažného kybernetického bezpečnostného incidentu.
(8) Prevádzkovateľ
základnej služby je na výzvu úradu v určenej lehote povinný predložiť
navrhované ochranné opatrenie na schválenie. Úrad rozhodnutím navrhované
opatrenie schváli a určí lehotu na jeho vykonanie. V prípade, ak
prevádzkovateľ základnej služby nenavrhne ochranné opatrenie v určenej
lehote alebo ak je navrhované ochranné opatrenie zjavne neúspešné, je
prevádzkovateľ základnej služby povinný spolupracovať s úradom, s ústredným
orgánom a tým, kto prevádzkuje jednotku CSIRT, na jeho návrhu.
(9) Ak
úrad na účely zaistenia kybernetickej bezpečnosti vyčerpá všetky spôsoby
riešenia závažného kybernetického bezpečnostného incidentu podľa tohto zákona, predloží
predsedovi Bezpečnostnej rady Slovenskej republiky informáciu
o predpokladaných vplyvoch kybernetického bezpečnostného incidentu na
bezpečnosť štátu ako podklad na riešenie krízovej situácie. [27]
(10) Z dôvodu neodkladnosti
a naliehavosti riešenia závažného kybernetického bezpečnostného incidentu
úrad na účely kybernetickej obrany [28] informuje Vojenské spravodajstvo, že závažný kybernetický bezpečnostný incident
je kategórie tretieho (III) stupňa alebo o skutočnostiach, ktoré
nasvedčujú, že závažný kybernetický bezpečnostný incident môže byť
kybernetickým terorizmom. Prevádzkovateľ základnej služby a poskytovateľ
digitálnej služby, ktorí hlásia tento kybernetický bezpečnostný incident, sú na
účely zabezpečenia kybernetickej obrany povinní poskytnúť Vojenskému
spravodajstvu informácie v potrebnom rozsahu. O postupe podľa prvej
vety informuje úrad predsedu Bezpečnostnej rady Slovenskej republiky.
[25] Napríklad § 16 ods. 3
písm. j) zákona č. 308/2000 Z. z. o vysielaní
a retransmisii a o zmene zákona č. 195/2000 Z. z.
o telekomunikáciách v znení neskorších predpisov, § 6 ods. 1
zákona č. 167/2008 Z. z. o periodickej tlači
a agentúrnom spravodajstve a o zmene a doplnení niektorých
zákonov (tlačový zákon).
[26] Zákon č. 387/2002 Z. z.
v znení neskorších predpisov.
[27] Napríklad čl. 1 ods. 4 ústavného
zákona č. 227/2002 Z. z. o bezpečnosti štátu v čase vojny, vojnového stavu,
výnimočného stavu a núdzového stavu, § 2 písm. a) zákona č. 387/2002 Z. z.
[28] § 2 ods. 2 zákona č. 319/2002 Z. z.
v znení zákona č. .../2018 Z. z.