(1) Prevádzkovateľ
základnej služby je povinný preveriť
účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených
týmto zákonom vykonaním auditu kybernetickej bezpečnosti do dvoch rokov odo dňa
zaradenia prevádzkovateľa základnej služby do registra prevádzkovateľov základných
služieb.
(2) Prevádzkovateľ
základnej služby je povinný preveriť
účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto
zákonom vykonaním auditu kybernetickej bezpečnosti v rozsahu stanovenom podľa
všeobecne záväzného právneho predpisu, ktorý vydá úrad, a to v závislosti od
klasifikácie informácií a kategorizácie sietí a informačných systémov po každej zmene majúcej významný vplyv na realizované
bezpečnostné opatrenia a v určenom
časovom intervale.
(3) Audit
kybernetickej bezpečnosti vykonáva orgán posudzovania zhody podľa osobitného
predpisu,[31] ktorý je akreditovaný ako orgán príslušný na posudzovanie zhody v oblasti
kybernetickej bezpečnosti.
(4) Prevádzkovateľ
základnej služby je povinný predložiť záverečnú správu o výsledkoch auditu
úradu spolu s opatreniami na nápravu a s lehotami na ich odstránenie do 30
dní od ukončenia auditu.
(5) Bez
toho, aby bol dotknutý odsek 1, môže úrad kedykoľvek vykonať audit
kybernetickej bezpečnosti u prevádzkovateľa základnej služby, alebo požiadať
orgán posudzovania zhody, aby vykonal takýto audit u prevádzkovateľa základnej
služby s cieľom potvrdiť účinnosť prijatých
bezpečnostných opatrení a
plnenie požiadaviek stanovených týmto zákonom.
(6) Náklady
na audit kybernetickej bezpečnosti podľa odseku 1 znáša prevádzkovateľ
základnej služby a náklady na audit kybernetickej bezpečnosti podľa odseku
5 znáša úrad.
[31] Čl. 2 bod 13 nariadenia
Európskeho parlamentu a Rady (ES) č. 765/2008 z 9. júla 2008, ktorým sa stanovujú
požiadavky akreditácie a dohľadu nad trhom v súvislosti s uvádzaním výrobkov na
trh a ktorým sa zrušuje nariadenie (EHS) č. 339/93 (Ú. v. EÚ L 218, 13. 8.
2008).