(1) Bezpečnostný projekt informačného systému verejnej správy je dokument obsahujúci komplexné posúdenie bezpečnostných potrieb, určenie bezpečnostných požiadaviek a návrh spôsobu ich efektívneho naplnenia. Bezpečnostný projekt môže byť vypracovaný aj pre viacero informačných systémov verejnej správy, ktoré sú v správe jedného správcu. Vypracovanie bezpečnostného projektu informačného systému verejnej správy zabezpečí správca, vychádzajúc 

a) z bezpečnostnej politiky, 

b) zo všeobecne akceptovaných štandardov riadenia informačných technológií, ktoré vychádzajú z uznaných technických noriem, 

c) z metodických usmernení orgánu vedenia.

(2) Správca vypracuje bezpečnostný projekt vždy pre informačný systém verejnej správy, ktorý je z pohľadu klasifikácie informácií a kategorizácie sietí a informačných systémov v najvyššej kategórii z hľadiska jeho významnosti, funkcie a účelu použitia s ohľadom na potrebu zabezpečenia ochrany dôvernosti a integrity a zabezpečenia dostupnosti a úrovne činností vykonávaných s jeho použitím.

(3) Orgán riadenia podľa § 5 ods. 2 písm. a) a b) a rozpočtová organizácia a príspevková organizácia v jeho zriaďovateľskej pôsobnosti sú povinní vo vzťahu k informačným technológiám verejnej správy

a) ak sú zaradení do registra prevádzkovateľov základných služieb podľa osobitného predpisu, ²⁴) nahlasovať spôsobom podľa osobitného predpisu ²⁵) aj kybernetický bezpečnostný incident, ²⁶) na ktorý sa nevzťahuje povinnosť nahlasovania podľa osobitného predpisu; ²⁷) ak nie sú do tohto registra zaradení, nahlasujú takýto kybernetický bezpečnostný incident orgánu vedenia ním určeným spôsobom,

b) zasielať automatizovaným spôsobom a najviac v rozsahu ustanovenom v štandardoch orgánu vedenia ním určené systémové informácie z informačných technológií verejnej správy,

c) poskytnúť orgánu vedenia súčinnosť a spoluprácu pri plnení jeho úloh podľa odseku 5,

d) prijať alebo upraviť bezpečnostné opatrenia vrátane vypracovania bezpečnostného projektu, ak bezpečnostný audit alebo hodnotenie zraniteľnosti, vykonané orgánom vedenia zistí riziko ²⁸) alebo hrozbu ²⁹) pre informačnú technológiu verejnej správy a oznámiť mu prijaté alebo upravené bezpečnostné opatrenia,

e) zasielať najmenej jedenkrát do roka orgánu vedenia zoznam aktív podľa § 19 ods. 1 písm. c),

f) určiť jeden kontaktný bod na nahlasovanie kybernetických bezpečnostných incidentov podľa písmena a).

(4) Orgán riadenia, neuvedený v odseku 3, je povinný plniť povinnosti podľa odseku 3 písm. a), c), e) a f).

(5) Orgán vedenia vo vzťahu k informačným technológiám verejnej správy 

a) môže na žiadosť orgánu riadenia vykonávať činnosti na účely riešenia kybernetického bezpečnostného incidentu podľa odseku 3 písm. a), jeho predchádzania alebo odstraňovania zistení bezpečnostného auditu alebo hodnotenia zraniteľnosti,

b) zbiera, spracúva a vyhodnocuje systémové informácie na účely predchádzania kybernetickým bezpečnostným incidentom, ich riešenia a obnovenia kybernetickej bezpečnosti, ³⁰)

c) vykonáva pravidelné, neinvazívne hodnotenie zraniteľnosti služby verejnej správy, služby vo verejnom záujme, verejnej služby a ďalších služieb informačných technológií, poskytovaných prostredníctvom siete internet alebo prostredníctvom Govnetu,

d) môže na žiadosť orgánu riadenia podľa odseku 3 za tento orgán riadenia vykonať bezpečnostný audit alebo pre neho vykonať hodnotenie zraniteľnosti. 

Odkaz na Slov-lex