32. schôdza

Vážený pán predsedajúci, predkladám spoločnú správu výborov Národnej rady Slovenskej republiky o výsledku prerokovania vládneho návrhu zákona, ktorým sa mení a dopĺňa zákon č. 56/2018 Z. z. o posudzovaní zhody výrobku, sprístupňovaní určeného výrobku na trh, na trhu a o zmene a doplnení niektorých zákonov a ktorým sa menia a dopĺňajú niektoré zákony, v druhom čítaní.
Národná rada Slovenskej republiky uznesením č. 708 zo 4. mája 2021 pridelila predmetný návrh zákona na prerokovanie týmto výborom: ústavnoprávnemu výboru a výboru pre hospodárske záležitosti.
Výbory prerokovali návrh zákona v lehote určenej uznesením Národnej rady Slovenskej republiky. Poslanci Národnej rady Slovenskej republiky, ktorí nie sú členmi výborov, ktorým bol návrh zákona pridelený, neoznámili gestorskému výboru v určenej lehote žiadne stanovisko k predmetnému návrhu zákona.
Návrh zákona odporúčali Národnej rade Slovenskej republiky schváliť ústavnoprávny výbor uznesením č. 285 z 10. júna 2021 a výbor pre hospodárske záležitosti uznesením č. 184 zo 14. júna 2021. Z uznesení výborov uvedených pod bodom III tejto správy vyplýva 15 pozmeňujúcich a doplňujúcich návrhov.
Gestorský výbor odporúča hlasovať o bodoch 1 až 15 spoločne s odporúčaním schváliť.
Gestorský výbor na základe stanovísk výborov k predmetnému návrhu zákona vyjadrených v ich uzneseniach a v stanoviskách poslancov gestorského výboru vyjadrených v rozprave k tomuto návrhu zákona odporúča Národnej rade Slovenskej republiky vládny návrh zákona, ktorým sa mení a dopĺňa zákon č. 56/2018 Z. z. o posudzovaní zhody výrobku, sprístupňovaní určeného výrobku na trhu a o zmene a doplnení niektorých zákonov a ktorým sa menia a dopĺňajú niektoré zákony (tlač 497), schváliť v znení pozmeňujúcich a doplňujúcich návrhov uvedených v tejto spoločnej správe, ktoré gestorský výbor odporúčal schváliť.
Spoločná správa výborov o výsledku prerokovania návrhu zákona v druhom čítaní bola schválená uznesením výboru pre hospodárske záležitosti č. 195 zo 14. júna 2021. Týmto uznesením ma výbor zároveň poveril predložiť návrhy v zmysle príslušných ustanovení rokovacieho poriadku Národnej rady Slovenskej republiky.
Pán predsedajúci, otvorte, prosím, rozpravu.

Ďakujem za slovo, pán predsedajúci. Ústavnoprávny výbor je gestorským výborom k tomuto návrhu zákona a ako to už býva pri takýchto rozsiahlejších návrhoch, prichádza aj parlamentná legislatíva s rôznymi vylepšeniami, ktoré majú často legislatívno-technický charakter, a aj v tomto prípade bolo navrhnutých pomerne dosť rôznych vylepšení, ale následne sme mali aj rokovanie s pánom podpredsedom vlády, s vládnou legislatívou a zhodli sme sa, že z toho množstva návrhov na vylepšenie textu, či už v poznámkach pod čiarou, alebo priamo spresnenia niektorých formulácií, vyberieme trinásť, ktoré majú určitý prínos pre právny predpis, pre jeho lepšiu, lepšiu zrozumiteľnosť a porozumenie.
A to je aj odôvodnenie pozmeňujúceho návrhu, ktorý by som teraz rád v rámci tohto môjho príspevku prečítal, pretože inak v princípe ide o technický predpis, tak ako ho vníma aj Európska komisia a vlastne všetky predpisy, ktoré odkazujú na, alebo zákony, ktoré odkazujú na tento zákon, sa tiež považujú za technické predpisy a nič iné v tomto pozmeňováku nie je ako precizovanie právnej úpravy, zlepšenie formulácie textu, spresnenie poznámok pod čiarou. Čiže budem čítať pozmeňovák tak, ako som ho navrhol.
Vládny návrh zákona, ktorým sa mení a dopĺňa zákon č. 56/2018 Z. z. o posudzovaní zhody výrobku, sprístupňovaní určeného výrobku na trhu a o zmene a doplnení niektorých zákonov a ktorým sa menia a dopĺňajú niektoré zákony, sa mení a dopĺňa takto:
Bod 1. V čl. I bode 2 v § 3 ods. 1 písm. h) sa slovo „autorizovaných" nahrádza slovom „notifikovaných".
Bod 2. V čl. I bode 5 (poznámke pod čiarou k odkazu 16), bode 24 (poznámke pod čiarou k odkazu 54), bode 27 (poznámke pod čiarou k odkazu 69) a bode 36 (poznámke pod čiarou k odkazu 81) sa za slová „2017/ 746" vkladajú slová „v platnom znení".
Bod 3. V čl. I bode 6 v § 4 ods. 5 sa slová „hospodárskeho subjektu, tam je zavedený odkaz 16a), alebo podľa osobitného predpisu, tam je zavedený odkaz 16b), len počas mimoriadnej situácie, odkaz 17), z dôvodu nevyhnutnej ochrany oprávneného záujmu." nahrádzajú slovami „hospodárskeho subjektu, 16a), počas mimoriadnej situácie, 17), z dôvodu nevyhnutnej ochrany oprávneného záujmu alebo podľa osobitného predpisu.17a)" a na konci sa pripája táto veta: „Úrad informuje Komisiu podľa osobitného predpisu, 17b).''
Poznámky pod čiarou k odkazom 16a,17a a 17b znejú:
"16a) Čl. 3 ods. 13 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/1020 z 20. júna 2019 o dohľade nad trhom a súlade výrobkov a o zmene smernice 2004/42/ ES a nariadení (ES) č. 765/2008 a (EÚ) č. 305/ 2011 (Ú. v. EÚ L 169, 25. 6. 2019).
17a) Napríklad čl. 59 nariadenia (EÚ) 2017/745 v platnom znení, čl. 54 nariadenia (EÚ) 2017/746, odporúčanie Komisie (EÚ) 2020/403 z 13. marca 2020 o postupoch posudzovania zhody a dohľadu nad trhom v kontexte hrozby súvisiacej s ochorením COVID-19 (Ú. v. EÚ L 791, 16. 3. 2020).
17b) Čl. 59 ods. 2 nariadenia (EÚ) 2017/745 v platnom znení.
Čl. 54 ods. 2 nariadenia (EÚ) 2017/746."
Poznámka pod čiarou k odkazu 16b sa vypúšťa.
Bod 4. V čl. I bode 8 v § 6 ods. 4 sa za slovo "splnomocnenia" vkladajú slová "alebo jeho preklad".
Bod 5. V čl. I bode 9 v § 9a sa za slovo "subjekt" vkladá slovo "určený".
Bod 6. V čl. I bode 27 poznámka pod čiarou k odkazu 65 znie:
"65) Čl. 16 ods. 2 až 4 nariadenia (EÚ) 2019/1020."
Bod 7. V čl. I bode 27 v § 27 ods. 1 písm. e) sa slová "umožniť prijať hospodárskemu subjektu" nahrádzajú slovami "uložiť opatrenie hospodárskemu subjektu prijať", vypúšťajú sa slová "pričom upozornenia a označenia určeného výrobku podľa osobitného predpisu, 66), musia byť v štátnom jazyku," a na konci sa čiarka nahrádza bodkočiarkou a pripájajú sa tieto slová: "orgán dohľadu je oprávnený určiť, že upozornenia a označenia určeného výrobku podľa osobitného predpisu, odkaz 66), musia byť v štátnom jazyku,".
Bod 8. V čl. I bode 27 v § 27 ods. 1 písm. f) sa slová "písmena d)" nahrádzajú slovami "písmen d) a e)".
Bod 9. V čl. I bode 27 v § 27 ods. 1 písm. k), l) a m) sa slovo "c)" nahrádza slovom "d)".
Bod 10. V čl. I bode 27 v § 27 ods. 4 písm. g) sa slová "vzoriek, uchovávania a skúšok" nahrádzajú slovami "na činnosti podľa odseku 1 písm. c)".
Bod 11. V čl. I bode 36 poznámke pod čiarou k odkazu 71 sa vypúšťajú slová „ods. 3".
Bod 12. V čl. I bode 36 v § 29 ods. 4 písm. b) sa slovo „h)" nahrádza slovom „i)".
Bod 13. V čl. I bode 36 v § 29 ods. 4 písm. d) sa slovo „g)" nahrádza slovom „h)".
No a na záver ešte navrhujem, aby sa bod 3 zo spoločnej správy vyňal na osobitné hlasovanie. Hlavne pre pána spravodajcu.
Takže to bol celý pozmeňujúci návrh, ako ste počuli, v podstate legislatívno-technické záležitosti alebo ustanovenia, návrhy, na ktorých bola zhoda aj medzi vládnou a parlamentnou legislatívou, takisto so súhlasom pána podpredsedu vlády. Ja by som vás všetkých chcel požiadať, aby ste najmä s cieľom lepšej zrozumiteľnosti toho návrhu a lepšieho porozumenia pre adresátov právnej normy podporili aj tento pozmeňujúci a doplňujúci návrh a následne aj celý predpis.
Ďakujem pekne za pozornosť.

Nemám žiadne výhrady k pozmeňovaciemu návrhu. Ja by som len, už som sa to raz pýtal, len nerozumiem ešte jednej veci.
Pán Vetrák, vďakabohu, že vás majú. Ja sa chcem spýtať (povedané so smiechom), pán Holý, alebo či sa vy nemôžete spýtať niekoho, čo pánovi Holému pripravuje z legislatívcov tieto zákony, že by vám to poslali dopredu, vy im to spracujte, takto učešte a získame jedenásť minút. Lebo vždy, keď príde niečo, nič proti vám, pán Holý, ale z vášho úradu, tak musí vystúpiť pán Vetrák a desať-dvanásť minút nám tu číta všetky tie chyby technické, čo vravím, že chvalabohu, že tu pána Vetráka máme. Ale keby ste to spravili deň dopredu, že mu to dáte, on vám to spracuje a vy tu vyjdete perfektne alebo tí vaši zamestnanci. Alebo skúste vyhodiť niekoho od vás z úradu, lebo predpokladám, že to neni vaša povinnosť, aby ste toto pripravovali po formálnej stránke. Takže ja neviem, urýchlime tým chod parlamentu. Som zvedavý, čo bude pri druhom bode, či znova vystúpi a zasa jedenásť minút.
Ďakujem.

Ja by som sa chcel teraz troška pána podpredsedu zastať v tom, že ono sa to väčšinou stáva vtedy, keď príde, prichádza návrh z, teda nie priamo od pána podpredsedu, ale z tých úradov, ktoré ako pod neho, pod jeho pôsobnosť patria. A myslím si, že je to hlavne kvôli tomu, že sa ešte potrebuje, potrebuje zohrať jeho úrad s tými ostatnými úradmi, kde už teraz nemajú tých legislatívcov, lebo prešli pod pána podpredsedu ako. A čiastočne musím povedať, že to je aj kvôli tomu, že parlamentná, legislatívne pravidlá parlamentu nie sú úplne zosúladené, a opačne, s legislatívnymi pravidlami vlády a aj niekedy je to dosť náročné sa zhodnúť v názoroch medzi vládnou legislatívou a parlamentnou legislatívou.
Ale áno, ja takisto sa snažím robiť všetko pre to, aby tie návrhy boli dobré, a tak chcel by som sa trošku naozaj zastať aj týmto spôsobom pána podpredsedu, aj keď nie je to asi najšťastnejšie, keď sa tu musíme tým zdržiavať. To súhlasím.

Vážený pán predsedajúci, vážené pani poslankyne, vážení páni poslanci, dovoľujem si vám uviesť vládny návrh zákona, ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony, cieľom ktorého je posilniť legislatívnu úpravu v oblasti kybernetickej bezpečnosti, pričom sa zameriava na posilnenie právomocí príslušných vnútroštátnych orgánov.
Predmetom návrhu zákona je precizovanie niektorých definícií, úprava procesného postupu pri certifikácii kybernetickej bezpečnosti, ktorá vyplýva z nariadenia Európskeho parlamentu a Rady č. 2019/881 zo 17. apríla 2019 o agentúre ENISA a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a zrušení nariadenia č. 526/2013, tzv. akt o kybernetickej bezpečnosti. Zavádza sa inštitút blokovania, jeho hmotnoprávna a procesnoprávna úprava a upravuje sa postavenie audítora kybernetickej bezpečnosti.
V prílohe č. 1 zákona sa precizujú prevádzkovatelia niektorých služieb v podsektore letecká doprava, v sektore digitálna infraštruktúra a zo sektora verejná správa sa vypúšťa podsektor spravodajskej služby v rozsahu Slovenská informačná služba a Vojenské spravodajstvo.
Ďalším rozdielom oproti aktuálne platnej a účinnej zákonnej úprave je zmena poradia krokov pri využívaní akreditovanej jednotky CSIRT. Kým doposiaľ si ústredný orgán zriaďoval prioritne vlastnú jednotku CSIRT, čo je finančne podstatne nákladná činnosť, podľa predkladaného návrhu zákona bude primárne využívať na základe zmluvy jednotky CSIRT už zriadené, a to národnú jednotku CSIRT v gescii Národného centra kybernetickej bezpečnosti na NBÚ alebo vládnu jednotku CSIRT v pôsobnosti MIRRI.
Návrh zákona preto v ďalších novelizačných článkoch upravuje niektoré súvisiace predpisy, a to zákon Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov, zákon č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov a zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Vážený pán predsedajúci, vážené panie poslankyne, vážení páni poslanci, dovoľujem si vás požiadať o podporu predloženého návrhu.
Ďakujem za pozornosť.

Vážený pán predsedajúci, vážené pani poslankyne, poslanci, dovoľte, aby som ako určený spravodajca predniesol spoločnú správu výborov Národnej rady o prerokovaní vládneho návrhu zákona, ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony (tlač 441). Výbor pre obranu a bezpečnosť ako gestorský výbor podáva Národnej rade spoločnú správu výborov.
Národná rada uznesením č. 769 z 13. mája 2021 pridelila vládny návrh zákona na prerokovanie týmto výborom: ústavnoprávnemu výboru, výboru pre verejnú správu a regionálny rozvoj, výboru pre obranu a bezpečnosť ako gestorskému.
Výbory prerokovali predmetný návrh zákona v stanovenej lehote. Výbory zaujali nasledovné stanoviská:
Ústavnoprávny výbor odporučil Národnej rade návrh zákona schváliť s pozmeňujúcimi a doplňujúcimi návrhmi. Výbor pre verejnú správu a regionálny rozvoj odporučil Národnej rade Slovenskej republiky návrh zákona schváliť s pozmeňujúcimi a doplňujúcimi návrhmi. Výbor Národnej rady pre obranu a bezpečnosť odporučil Národnej rade Slovenskej republiky návrh zákona schváliť s pozmeňujúcimi a doplňujúcimi návrhmi.
Z uznesení troch výborov Národnej rady vyplývajú tieto pozmeňujúce a doplňujúce návrhy, ktoré sú uvedené v spoločnej správe. Gestorský výbor odporúča o pozmeňujúcich a doplňujúcich návrhoch hlasovať takto:
O bodoch 1 až 14 hlasovať spoločne a tieto schváliť. Gestorský výbor na základe stanovísk výborov k vládnemu návrhu zákona vyjadrených v ich uzneseniach uvedených pod bodom III tejto správy a v stanoviskách poslancov vyjadrených v rozprave k tomuto návrhu zákona odporúča Národnej rade návrh zákona schváliť v znení schválených pozmeňujúcich a doplňujúcich návrhov uvedených v tejto správe. Gestorský výbor ma určil ako spoločného spravodajcu výborov vystúpiť na schôdzi Národnej rady k uvedenému návrhu zákona v druhom a treťom čítaní, predniesť spoločnú správu výborov a odôvodniť návrh a stanovisko gestorského výboru.
Spoločná správa výborov k vládnemu návrhu zákona bola schválená uznesením výboru pre obranu a bezpečnosť.
Pán predsedajúci, skončil som, otvorte rozpravu, prosím.

Ďakujem veľmi pekne, pán predsedajúci. Budem úprimný, ja tu mám pred sebou jeden pozmeňujúci návrh, ktorý je výsledkom dlhých rokovaní, ktoré prebiehali jak so spoločnosťami zo súkromného sektora, takisto, samozrejme, aj medzi, v rámci inštitúcií, ktoré máme, či už to bolo NBÚ a ďalšie inštitúcie, ktoré majú priamo dočinenia alebo sa zaoberajú kybernetickou bezpečnosťou.
Poviem na rovinu, že túto novelu zákona považujem za zásadnú a dôležitú, pretože je, bavíme sa tu o kybernetickej bezpečnosti, kde kyberbezpečnosť je, vnímam ako bezpečnosť našej budúcnosti. Keď si to porovnáme vlastne v minulosti, ako prebiehal ten vývoj, to napredovanie, že od prvého letu Wrightovcov po let na Mesiac ubehlo len 66 rokov, tak si zoberme, ako prebieha ten vývoj v kybernetickom priestore a ako teda sú dôležité každé rozhodnutia, ktoré dnes robíme. Z jednoduchého dôvodu, pretože v podstate sa ocitáme v situácii, kedy kybernetický priestor je v podstate neregulovaný priestor a je to niečo, ako keď si to porovnáme s dobou, ktorá tu bola niekedy pred 200, 300 alebo 200 rokmi, v podstate s nástupom industrializácie, keď sme ešte nemali nejaké zásadné rámce.
V podstate sa bavíme o tom, že ten kybernetický priestor je z väčšej časti ovládaný súkromnými spoločnosťami a je ťažko ho nejakým spôsobom regulovať. Ja, samozrejme, rozumiem, že sa tu bavíme o tom, že niektorí ľudia majú nejaké obavy o tom, že sa bude zasahovať do ich súkromia alebo slobody slova, ale takisto každý, každá táto doména a každý tento priestor potrebuje mať aj vytvorený nejaký právny, právny rámec, v ktorom sa budeme pohybovať. My už sme tu aj v Národnej rade schválili napr. návrh zákona o kyberšikane a podobné veci, čiže idem, z toho kybernetického priestoru neplynú len nejaké výhody, ale, samozrejme, aj hrozby. Čiže v podstate čaká nás taká široká a komplexná diskusia, nás všetkých, o budúcnosti, akú formu vôbec kybernetický priestor bude mať.
Ale ono, čo zažívame dnes, sme vlastne svedkami takého exponencionálneho nárastu kyberútokov a tuto presne je ten problém, že vlastne na jednej strane ľudia vnímajú to, že internet ako priestor, priestor slobody, na ktorý nechcú, aby im niekto siahal. Na druhej strane očakávajú, že im bude zabezpečená, zaručená bezpečnosť, že takisto bude zaručená bezpečnosť našej kritickej infraštruktúry a tak ďalej. A tuto je presne ten problém, ktorý tu máme, že budeme musieť v budúcnosti nájsť nejaký ten balans medzi súkromím a zaručením bezpečnosti v tomto priestore, preto aj vítam návrh novely o kybernetickej bezpečnosti, ktorý je v podstate takým ďalším krokom, ktorý sa snaží priblížiť k nastaveniu vlastne potreby tejto rovnováhy.
Ono síce novela prešla takým prvým čítaním, má ale niektoré nedostatky, ktoré vyplynuli aj z tých rokovaní a ktoré je potrebné napraviť. Ja len spomeniem niektoré, že napr. o vyradenie možnosti NBÚ blokovať komunikácie bez možnosti odvolania, alebo nedefinovala tak politické riziko pri budovaní našich sietí. To sú určité zásadné veci. Takisto chýbali napr. odvolania na smernicu EÚ alebo odporúčanie 5G toolkitu, čiže ide o zásadné komponenty, ktoré je nutné reflektovať v našej legislatíve.
Treba si uvedomiť, že v tomto globalizovanom svete vlastne sa sami nemôžme brániť, A presne tieto kroky, ktoré tu teraz budeme zavádzať, sú tie, ktoré nám budú napomáhať aj budovanie v spolupráci v tom kybernetickom priestore, o ktorý sa snaží aj Európska únia. Je to úplne prirodzený vývoj, čiže ak by sme ale neprijali tento pozmeňujúci návrh, tak v podstate môžeme urobiť chybné rozhodnutia, ktoré nielen ohrozia našu národnú bezpečnosť, ale aj značné množstvo investícií pri akvizícii nových technológií.
Ja teda prejdem rovno k čítaniu toho pozmeňujúceho návrhu, ktorý má deväť strán, takže prejdem teda k bodu 1, to je k čl. I bod 12.
Najprv teda prečítam odôvodnenie: Vypúšťa sa ustanovenie o blokovaní z celého návrhu zákona z dôvodu neprimeranosti výkonu kompetencií úradu. Blokovanie ako riešenie kybernetického bezpečnostného incidentu ako jeden z nástrojov úradu pri riešení závažného kybernetického incidentu zostáva naďalej platným, čiže zostáva naďalej platným nástrojom v zmysle aplikácie ustanovení v § 27 platného znenia zákona.
Navrhovaným vypustením ustanovenia § 19 ods. 2 prvá veta, s čím pracuje vládny návrh zákona, by v zákone úplne absentovala definícia tretej strany. Tretia strana je pritom pojem, resp. legislatívna skratka, s ktorou zákon na viacerých miestach pracuje, preto túto legislatívnu skratku navrhujeme presunúť z ustanovenia § 19 ods. 2 prvá veta do ustanovenia § 5 ods. 1 písm. a), kde sa tento text, tento pojem prvýkrát používa. Takže to prečítam.
(V čl. I bod 12 znie:)
"12. § 5 sa odsek 1 dopĺňa písmenami y) až af), ktoré znejú:
"y) Je vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti a orgánom posudzovania zhody podľa osobitného predpisu, 10aa),
z) plní úlohy kompetenčného a odvetvového centra podľa osobitného predpisu, 10ab),
aa) odníma certifikát kybernetickej bezpečnosti,
ab) v rámci systému certifikácie kybernetickej bezpečnosti vydáva bezpečnostné štandardy, certifikačné schémy a postupy,
ac) plní úlohy ústredného orgánu podľa prílohy č. 1,
ad) vedie a zverejňuje vo svojom webovom sídle zoznam orgánov posudzovania zhody v systéme certifikácie kybernetickej bezpečnosti, zoznam certifikovaných orgánov, audítorov kybernetickej bezpečnosti a zoznam právnických osôb, prostredníctvom ktorých je možné realizovať audity kybernetickej bezpečnosti,
ae) posudzuje bezpečnostné riziká dodávateľa na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby (ďalej len "tretia strana") pre kybernetickú bezpečnosť Slovenskej republiky a správu o tomto posúdení predkladá Bezpečnostnej rade Slovenskej republiky,
af) predkladá príslušnému osobitnému kontrolnému výboru Národnej rady Slovenskej republiky každoročne správu o dodržiavaní noriem týkajúcich sa ochrany telekomunikačného tajomstva a osobitných údajov občanov Slovenskej republiky.
Poznámky pod čiarou k odkazom 10aa a 10ab znejú:
"10aa) Čl. 58 a 60 ods. 2 nariadenia Európskeho parlamentu a Rady EÚ 2019/881 o agentúre ENISA (Agentúra únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (ustanovenie v EÚ L 151, 7. 6. 2019).
10ab) Čl. 7 nariadenia Európskeho parlamentu a Rady EÚ 2021/887, ktorým sa zriaďuje Európske centrum priemyselných, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti a sieť národných koordinačných centier (Ú. v. EÚ L 202, 8. 6. 2021)."."
2. Čl. I bod 13, § 5a odseky 4 až 6 znejú:
Pardon, najprv odôvodnenie: Namiesto techniky odkazu na príslušné články sa navrhuje technika odkazu na články nariadenia priamo v texte predpisu.
"(4) Úrad odníme európske certifikáty kybernetickej bezpečnosti, ktoré vydal alebo európske certifikáty kybernetickej bezpečnosti vydané podľa čl. 56 ods. 6 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (ďalej len „nariadenie (EÚ) 2019/881") orgánmi posudzovania zhody, ktoré nie sú v súlade s nariadením (EÚ) 2019/881 alebo s európskym systémom certifikácie kybernetickej bezpečnosti.
(5) Úrad môže odňať vydaný európsky certifikát kybernetickej bezpečnosti aj držiteľovi certifikátu, ak tento
a) poruší povinnosť podľa čl. 56 ods. 8 nariadenia (EÚ) 2019/881,
b) neumožní úradu získať prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881,
c) akýmkoľvek spôsobom znemožní vykonávať oprávnenie podľa čl. 58 ods. 8 písm. b) nariadenia (EÚ) 2019/881.
(6) Na účely tohto zákona sa rozumie
a) produktom produkt IKT podľa čl. 2 ods. 12 nariadenia (EÚ) 2019/881,
b) službou služba IKT podľa čl. 2 ods. 13 nariadenia (EÚ) 2019/881,
c) procesom proces IKT podľa čl. 2 ods. 14 nariadenia (EÚ) 2019/881."."
Poznámky pod čiarou 10h) až 10o) sa vypúšťajú.
V súvislosti s touto zmenou sa v čl. I bode 13 primerane upraví úvodná veta k poznámkam pod čiarou.
3. V čl. I sa za bod 14 vkladá nový bod 15, ktorý znie:
"15. V § 8 ods. 5 sa vkladá nové písmeno f), ktoré znie...
Pardon, odôvodnenie najprv: Navrhovaná úprava reflektuje zmeny v navrhovanom právnom predpise uvedené v čl. I a aj v čl. III a zaradí Úrad pre reguláciu elektronických komunikácií a poštových služieb medzi subjekty s prístupom k jednotnému informačnému systému kybernetickej bezpečnosti na účely koordinovaného výkonu pôsobnosti a dodržania zásady jedného prístupového miesta.
Čiže v § 8 ods. 5 sa vkladá nové písmeno f), ktoré znie:
"f) Úrad pre reguláciu elektronických komunikácií a poštových služieb,".
Doterajšie písmeno f) sa označuje ako písmeno g)."
Nasledujúce novelizačné body sa primerane prečíslujú.
Ďalší bod je, to je čl. I bod 20, § 10a odsek 1 znie, ide vlastne odôvodnenie: Navrhovanou úpravou sa v porovnaní s vládnym návrhom zužuje zoznam subjektov, od ktorých je úrad oprávnený požadovať poskytnutie súčinnosti a zdôrazňuje sa, že ide o súčinnosť výlučne na riešenie kybernetického bezpečnostného incidentu.
"(1) Orgán verejnej moci, prevádzkovateľ základnej služby a právnická osoba v sektore podľa prílohy č. 1 sú povinní poskytnúť úradu na plnenie jeho úloh pri riešení kybernetického bezpečnostného incidentu podľa tohto zákona požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na zabezpečenie kybernetickej bezpečnosti a riešenie kybernetického bezpečnostného incidentu; informácie sa poskytujú len za podmienky, že sú nevyhnutné pre riešenie kybernetického bezpečnostného incidentu a ich poskytnutím nedôjde k ohrozeniu plnenia konkrétnej úlohy podľa osobitného predpisu, 13a), alebo spravodajskej služby podľa osobitného predpisu, 13), alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb, ktoré konajú v jej prospech, alebo k ohrozeniu medzinárodnej spravodajskej spolupráce."
Ďalší bod je čl. I bod 33, ktorý znie:
Ja vám prečítam najprv teda odôvodnenie: Navrhovaná zmena v porovnaní s vládnym návrhom ponúka presnejšiu definíciu politického rizika. Vládny návrh zákona obsahuje stručný taxatívny výpočet oblastí, ktoré zahŕňa analýza politického rizika. Navrhovaný výpočet zahŕňa širší okruh čiastkových oblastí, ktoré by mal štát zohľadňovať v rámci analýzy politického rizika, čím sa umožňuje lepšie a komplexnejšie posúdenie politického rizika. Navrhovaná zmena tiež lepšie implementuje strategické opatrenia vyplývajúce z EÚ toolboxu kybernetickej bezpečnosti 5G sietí. Odporúčanie Komisie z 26. marca 2019 o kybernetickej bezpečnosti sietí 5G (ďalej len "Odporúčanie'') v recitáli 20 objasňuje "iné" faktory kybernetickej bezpečnosti nasledovne: "Iné faktory môžu zahŕňať regulačné alebo iné požiadavky, ktoré boli uložené dodávateľom zariadení informačných a komunikačných technológií. Pri posúdení významu týchto faktorov by sa malo okrem iného zohľadniť celkové riziko vplyvu tretej krajiny, najmä v súvislosti s jej modelom riadenia, absenciou dohôd o spolupráci v oblasti bezpečnosti alebo podobných opatrení, ako napr. rozhodnutí o primeranosti, súvisiacich s ochranou údajov medzi Úniou a dotknutou treťou krajinou, alebo či je táto krajina zmluvnou stranou viacstranných, medzinárodných alebo dvojstranných dohôd v oblasti kybernetickej bezpečnosti, boja proti počítačovej kriminalite alebo ochrany údajov": Podľa správy o pokroku členských štátov pri implementácii EÚ Toolboxu kybernetickej bezpečnosti 5G sietí medzi konkrétne faktory uplatňované jednotlivými členskými štátmi EÚ patria objektívne faktory, ako napr.:
– pôvod dodávateľov alebo riziko ovplyvňovania zo strany tretích štátov (pri zohľadnení právneho a politického systému tretieho štátu);
– informácie špecifické pre konkrétny tretí štát a spravodajské informácie o možných rizikách a hrozbách, napr. v Holandsku vyhláška o bezpečnosti a integrite telekomunikácií z 28. novembra 2019 používa nasledujúce kritériá posúdenia rizika: služba alebo výrobok pochádza zo štátu, ktorého právne predpisy ukladajú neštátnym subjektom povinnosť spolupracovať s vládou tohto štátu, alebo ak je poskytovateľom (dodávateľom) služby alebo produktu priamo štátna (štátom vlastnená spoločnosť). Služba alebo produkt pochádza zo štátu s aktívnym útočným spravodajským programom zameraným na Holandsko a holandské záujmy, alebo dodávateľ pochádza zo štátu, s ktorým môžu byť vzťahy napäté do takej miery, že sú mysliteľné také vonkajšie aktivity, ktoré môžu mať vplyv na holandské záujmy.
Pozmeňujúci návrh spresňuje, že politické riziká vyhodnocuje vláda na základe stanoviska úradu a Bezpečnostnej rady po zohľadnení vyjadrení taxatívne vymedzených orgánov a inštitúcií.
Teraz konkrétne k zmenám. Je to,
v § 20 sa za odsek 4 vkladá nový odsek 5, ktorý znie:
"(5) Bezpečnostné opatrenia sa prijímajú a realizujú na základe analýzy rizík kybernetickej bezpečnosti, ktorá určuje pravdepodobnosť vzniku škodlivej udalosti. Súčasťou analýzy rizík je aj analýza politického rizika tretej strany, pričom politické riziko sa posudzuje najmä vzhľadom na
a) plnenie záväzkov z medzinárodných zmlúv, ktorými je Slovenská republika viazaná a na jej členstvo v medzinárodných organizáciách,
b) možnosť ovplyvňovania a zasahovania do činnosti tretej strany štátom, ktorý nie je členským štátom Európskej únie a Organizácie Severoatlantickej zmluvy (ďalej len "cudzí štát"),
c) analýzu vlastníckej štruktúry a riadiacej štruktúry tretej strany vrátane vlastníckeho podielu cudzieho štátu a priamych zahraničných investícií do tretej strany,
d) analýzu právnych predpisov a medzinárodných záväzkov cudzieho štátu v oblasti ochrany základných ľudských práv a slobôd, kybernetickej bezpečnosti, boja proti počítačovej kriminalite, ochrany osobných údajov a ochrany informácií,
e) informácie špecifické pre cudzí štát a informácie spravodajskej služby o možných hrozbách pre záujmy Slovenskej republiky.
Politické riziká schvaľuje vláda Slovenskej republiky na základe stanoviska úradu. Stanovisko úradu sa predkladá Bezpečnostnej rade Slovenskej republiky. Politické riziká úrad zverejňuje v jednotnom informačnom systéme kybernetickej bezpečnosti. Úrad v analýze politického rizika zohľadní vyjadrenie Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstva hospodárstva Slovenskej republiky, Ministerstva vnútra Slovenskej republiky, Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky z oblasti ich pôsobnosti.
Doterajší odsek 5 sa označuje ako odsek 6.
Potom tu máme čl. I bod 37. Ide v podstate len o legislatívnu technikáliu.
Čiže za § 24 sa vkladá § 24a, ktorý vrátane nadpisu znie:
Ide v podstate, navrhovanou úpravou sa v porovnaní s vládnym návrhom spresňuje spôsob a rozsah poskytovania informácií zásadne iba na informácie o kybernetickom bezpečnostnom incidente. Pôvodne navrhovaná povinnosť priamo poskytovať systémové informácie zo sietí a informačných systémov, ktoré tvoria hranicu medzi sieťou, ktorú prevádzkuje prevádzkovateľ základnej služby a sieťou Internet, sa nahrádza iba povinnosťou automatizovaným spôsobom vyhodnocovať a nahlasovať kybernetický bezpečnostný incident.
"§ 24a
Automatizované poskytovanie informácií
Ak je to vzhľadom na povahu alebo dôležitosť základnej služby potrebné a nedôjde k uzatvoreniu zmluvy podľa § 24 ods. 6, úrad môže rozhodnutím uložiť prevádzkovateľovi základnej služby povinnosť automatizovaným spôsobom vyhodnocovať výskyt kybernetického bezpečnostného incidentu a nahlasovať kybernetický bezpečnostný incident. Na tento účel zverejňuje úrad výstrahy, varovania a ďalšie informácie v jednotnom informačnom systéme kybernetickej bezpečnosti. Náklady spojené s technickým zabezpečením vyhodnocovania a nahlasovania kybernetického bezpečnostného incidentu znáša úrad.
(2) Povinnosť podľa odseku 1 nie je možné uložiť, ak ide o siete a informačné systémy, ktoré sa týkajú zabezpečenia obrany alebo bezpečnosti Slovenskej republiky.
(3) Úrad rozhodnutím podľa odseku 1 určí prevádzkovateľa základnej služby, ktorého sa povinnosť týka, spôsob poskytovania a rozsah informácií, ktoré sa týkajú automatizovaného spôsobu vyhodnocovania výskytu kybernetického bezpečnostného incidentu a nahlasovania kybernetického bezpečnostného incidentu a trvanie tejto povinnosti. Rozhodnutie sa môže týkať len takých informácií, ktoré sú nevyhnutné pre zabezpečenie kybernetickej bezpečnosti a riešenie kybernetického bezpečnostného incidentu, ak tento účel nemožno dosiahnuť inak.
(4) Obsah komunikácie a prenášaných správ a ochrana súkromia podľa osobitného predpisu, 28a), plnením povinností podľa odseku 1 nie sú dotknuté."
Poznámka pod čiarou k odkazu 28a znie:
"Zákon č. 166/2003 Z. z. o ochrane súkromia pred neoprávneným použitím informačno-technických prostriedkov a o zmene a doplnení niektorých zákonov (zákon o ochrane pred odpočúvaním) v znení neskorších predpisov."."
Ďalší bod, je to článok, bod 38.
Odôvodnenie: Podľa ust. § 5 ods. 1 písm. ae) Národný bezpečnostný úrad posudzuje bezpečnostné riziká tretej strany, ktorých posúdenie predkladá Bezpečnostnej rade Slovenskej republiky. Naproti tomu vládou navrhované znenie ustanovenia § 27a predpokladá posúdenie rizika iba vo vzťahu k produktu, procesu a službe. Preto navrhujeme výslovne doplniť aj posudzovanie rizika samotnej tretej strany (dodávateľa), nielen produktov, procesov a služieb. V EÚ Toolboxe totiž boli členské štáty EÚ vyzvané:
– posilniť bezpečnostné požiadavky na operátorov mobilných sietí (napr. zaviesť kontroly prístupu, pravidlá bezpečnej prevádzky, monitorovanie, obmedzenia outsourcingu konkrétnych úloh a funkcií a tak ďalej),
– posúdiť rizikový profil dodávateľa a následne uplatniť príslušné obmedzenia pre dodávateľov považovaných za vysoko rizikových,
– zaistiť, aby mal každý operátor vhodnú stratégiu viacerých dodávateľov, aby sa obmedzila akákoľvek závislosť od jedného dodávateľa (alebo dodávateľov s podobným rizikovým profilom), zabezpečiť primeranú rovnováhu dodávateľov na vnútroštátnej úrovni a vyhnúť sa závislosti od dodávateľov považovaných za vysoko rizikových. Vo vzťahu k poslednej uvedenej povinnosti sa napr. v Taliansku vyžaduje vypracovanie projektu diverzifikácie, ktorý zahŕňa „vertikálnu" diverzifikáciu, čiže použitie systémov od rôznych dodávateľov v oblasti hardvéru a softvéru a "horizontálnu" diverzifikáciu (použitie rôznych softvérových riešení). Niekoľko členských štátov medzitým medzičasom zaviedlo opatrenia, ktoré napríklad požadujú, aby operátori predložili svoje vlastné stratégie diverzifikácie a zabezpečili prijatie opatrení na zvýšenie ich odolnosti a bezpečnostnej spoľahlivosti.
Túto povinnosť naším pozmeňujúcim návrhom navrhujeme zakotviť osobitne vo vzťahu k tým prevádzkovateľom základných služieb, ktorých sa dotkne zákaz alebo obmedzenie používania konkrétnych produktov, procesov, služieb alebo tretích strán.
Ďalej navrhujeme, aby podnet na začatie konania a posúdenia rizika a zákaze produktov, procesov, služieb alebo tretích strán mohol úradu predložiť aj iný orgán verejnej moci Slovenskej republiky, t. j. aby konanie nezačínalo iba na podnet, resp. ex offo z moci samotného úradu.
Tiež navrhujeme doplniť dobu maximálne dvoch rokov, na ktorú môže dôjsť k obmedzeniu používania rizikového produktu, procesu, služby či dodávateľa, a to aj opakovane. V prípade už využívaných produktov, procesov, služieb alebo tretích strán sa stanovuje minimálna doba dvoch rokov a maximálna doba piatich rokov, počas ktorej sa ešte produkty môžu používať. Zároveň však bude musieť prevádzkovateľ základnej služby do šiestich mesiacov vypracovať aj plán diverzifikácie, aby počas plynutia určenej doby minimalizoval riziko a závislosť od rizikového produktu, procesu, služby či dodávateľa.
Vypúšťajú sa vo vládnom návrhu obsiahnuté ustanovenia § 27b a 27c o blokovaní, a to z dôvodu neprimerane koncipovanej širokej navrhovanej pôsobnosti úradu. Blokovanie ako riešenie kybernetického bezpečnostného incidentu, ako nástroja jeho riešenia v podobe aplikácie ustanovenia § 27 v platnom znení zostáva v platnosti.
V čl. I bod 38 znie:
"38. Za § 27 sa vkladá § 27a, ktorý vrátane nadpisu znie:
"§ 27a
Obmedzenie používania produktu, procesu, služby alebo tretej strany
(1) Úrad môže rozhodnutím zakázať alebo obmedziť používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby, ak zistí, že takéto používanie
a) neumožňuje alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti a tým ohrozuje život alebo zdravie osôb, hospodárske fungovanie štátu, verejný poriadok, bezpečnosť alebo majetok osôb, alebo
b) ohrozuje bezpečnostné záujmy Slovenskej republiky.
(2) Konanie podľa odseku 1 úrad začne z vlastného podnetu alebo na základe odôvodneného podnetu iného orgánu verejnej moci Slovenskej republiky. Oznámenie o začatí konania úrad zverejní najmenej na 30 dní v jednotnom informačnom systéme kybernetickej bezpečnosti a na svojom webovom sídle a počas tejto doby nemôže vydať rozhodnutie.
(3) Úrad pred vydaním rozhodnutia podľa odseku 1 vždy vykoná vo vzťahu k produktu, procesu, službe alebo k tretej strane analýzu rizík podľa § 20 ods. 5 na základe vyjadrenia Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstva hospodárstva Slovenskej republiky, Ministerstva vnútra Slovenskej republiky, Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky z oblasti ich pôsobnosti. Návrh rozhodnutia predkladá Bezpečnostnej rade Slovenskej republiky a vláde Slovenskej republiky. Od stanoviska vlády Slovenskej republiky sa úrad nemôže odchýliť.
(4) Úrad vydá rozhodnutie podľa odseku 1 iba v prípade, ak prevádzkovateľ základnej služby alebo tretia strana nedostatky podľa odseku 1 neodstráni v primeranej lehote určenej úradom.
(5) Prevádzkovateľ základnej služby je povinný zdržať sa používania konkrétneho produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa odseku 1 na poskytovanie základnej služby alebo ich používanie obmedziť.
(6) Rozhodnutie podľa odseku 1 sa vyhlási zverejnením v Zbierke zákonov Slovenskej republiky, poznámka pod čiarou 28b), a účinky nadobúda dňom vyhlásenia. Ak je vyhlásené rozhodnutie podľa odseku 1 zmenené alebo zrušené, na právny akt, ktorým sa rozhodnutie podľa odseku 1 zmenilo alebo zrušilo, sa prvá veta použije rovnako.
(7) Ak úrad rozhodnutím podľa odseku 1 zakáže alebo obmedzí používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby, v rozhodnutí podľa odseku 1 zároveň určí primeranú dobu zákazu alebo obmedzenia používania konkrétneho produktu, procesu, služby alebo tretej strany, ktorá nemôže byť dlhšia ako dva roky. O zákaze alebo obmedzení podľa prvej vety môže úrad rozhodnúť aj opakovane.
(8) Ak ide o produkt, proces, službu alebo tretiu stranu, ktorú prevádzkovateľ základnej služby začal používať pred zverejnením rozhodnutia podľa odseku 1, je prevádzkovateľ základnej služby povinný zdržať sa používania alebo obmedziť používanie produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa odseku 1 v primeranej lehote určenej v rozhodnutí, ktorá nie je kratšia ako dva roky a dlhšia ako päť rokov. Zároveň je prevádzkovateľ základnej služby povinný najneskôr do šiestich mesiacov od zverejnenia rozhodnutia podľa odseku 1 vykonať primerané bezpečnostné opatrenia na riadenie rizík podľa odseku 3."
Poznámka pod čiarou k odkazu 28b) znie:
"28b) § 13 písm. f) zákona č. 400/2015 Z. z. o tvorbe právnych predpisov a o Zbierke zákonov Slovenskej republiky a o zmene a doplnení niektorých zákonov v znení neskorších predpisov."."
Ďalší bod ide. V čl. I bode 41 v § 29 ods. 3 v poznámke pod čiarou k odkazu 31b) sa slová „STN EN ISO/IEC 17024" nahrádzajú slovami „STN EN ISO/IEC 17024 (015258)" a slová „(ISO/IEC 17024) (01 5258)" sa nahrádzajú slovami „Vestník Úradu pre normalizáciu, metrológiu a skúšobníctvo Slovenskej republiky č. 3/13."
Ide o legislatívnu úpravu, ktorou sa v poznámke pod čiarou spresňuje citácia slovenskej technickej normy doplnením odkazu na Vestník Úradu pre normalizáciu, metrológiu a skúšobníctvo Slovenskej republiky č. 3/13. Podľa § 4 ods. 1 písm. b) zákona č. 60/2018 Z. z. o technickej normalizácii v znení neskorších predpisov sa vo vestníku zverejňujú oznámenia o slovenskej technickej norme vhodnej na posudzovanie zhody.
Ďalej tu máme § 29 odsek 6
Odôvodnenie: Precizuje sa platný text z dôvodu, aby nevznikala neodôvodnená povinnosť vykonať audit do dvoch rokov aj pre tých prevádzkovateľov základnej služby, ktorým bol v tomto čase nariadený audit úradom.
§ 29 odsek 6 znie:
"(6) Úrad môže kedykoľvek vykonať audit kybernetickej bezpečnosti u prevádzkovateľa základnej služby alebo požiadať certifikovaného audítora kybernetickej bezpečnosti, aby vykonal takýto audit u prevádzkovateľa základnej služby s cieľom potvrdiť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom."
Potom tu máme: V čl. I bod 45, § 31 ods. 2 písm. d) sa slová "§ 24a ods. 1 a 2" nahrádzajú slovami "§ 24a ods. 1".
Ide o legislatívno-technickú úpravu vzhľadom na zmenu obsahu ods. 2.
V čl. I bod 48 znie, to máme ďalšiu úpravu.
Odôvodnenie: Namiesto techniky odkazu na príslušné články sa navrhuje technika odkazu na články nariadenia priamo v texte predpisu.
V ods. 7 sa slovo "údaje" nahrádza slovom "informácie".
Ide o legislatívnu úpravu, ktorou sa zosúlaďuje navrhovaný právny text s čl. 55 ods. 1 úvodnej vety nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 ("... zverejňuje tieto doplňujúce informácie o kybernetickej bezpečnosti'') a súčasne s ďalšími navrhovanými ustanoveniami v § 31, v ktorých sa používa termín "informácie".
Takže ten text znie:
V § 31 sa za ods. 5 vkladajú nové odseky 6 až 9, ktoré znejú:
"(6) Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi produktov, služieb alebo procesov, ktorý sa dopustí správneho deliktu tým, že podľa čl. 53 nariadenia (EÚ) 2019/881 vydá EÚ vyhlásenie o zhode, ktoré je v rozpore s požiadavkami ustanovenými v Európskom systéme certifikácie kybernetickej bezpečnosti.
(7) Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi certifikovaných produktov, služieb alebo procesov alebo výrobcovi, alebo poskytovateľovi produktov, služieb a procesov, pre ktoré je vydané EÚ vyhlásenie o zhode, ktorý sa dopustí správneho deliktu tým, že nezverejní v elektronickej podobe alebo neaktualizuje doplňujúce informácie o kybernetickej bezpečnosti podľa čl. 55 ods. 1 písm. a) až d) nariadenia (EÚ) 2019/881.
(8) Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody, držiteľovi európskeho certifikátu kybernetickej bezpečnosti alebo vydavateľovi EÚ vyhlásení o zhode, ktorý sa dopustí správneho deliktu tým, že
a) neposkytne vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti informácie potrebné na plnenie svojich úloh podľa čl. 58 ods. 8 písm. a) nariadenia (EÚ) 2019/881,
b) znemožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti viesť vyšetrovanie v podobe auditu podľa čl. 58 ods. 8 písm. b) nariadenia (EÚ) 2019/881.
(9) Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody alebo držiteľovi európskeho certifikátu kybernetickej bezpečnosti, ktorý sa dopustí správneho deliktu tým, že neumožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881."
Doterajšie odseky 6 až 12 sa označujú ako odseky 10 až 16."
Potom tu máme, § 32 sa ods.1 dopĺňa písm. g) a h), ktoré znejú:
V podstate ide o odôvodnenie nadväzujúca úprava vzhľadom na vypustenie blokovania.
Takže tieto znejú:
"g) certifikácia schémy a postupy v systéme certifikácie kybernetickej bezpečnosti,
h) bezpečnostné opatrenia, ak si to vyžadujú právne záväzné akty a odporúčania Európskej únie pre oblasť kybernetickej bezpečnosti."."
Ďalší bod, teda je to § 33 ods. 1 sa slová "§ 17 ods. 6, § 21 ods. 4 a § 27" nahrádzajú slovami "§ 17, § 21 a § 27"."
Odôvodnenie: Nadväzujúca úprava vzhľadom na vypustenie § 27b a 27c. Vo vzťahu k ust. § 27a) sa, naopak, predpokladá aplikácia správneho poriadku a súdna preskúmateľnosť.
Ďalší bod je, bod 58 znie:
Najprv odôvodnenie: Navrhovaná zmena v porovnaní s vládnym návrhom zužuje reguláciu v sektore digitálna infraštruktúra a odstraňuje prevádzkovateľa obchodu na internete s možnosťou vyhľadávania, objednávania a nákupu tovarov a služieb ako prevádzkovateľa služby v prílohe č. 1 zákona.
"58. V prílohe č. 1 v sektore "3. Digitálna infraštruktúra" sa v stĺpci „Prevádzkovateľ služieb" vkladá nový riadok, ktorý znie: "poskytovateľ služieb webhostingu, DNS hostingu alebo mailhostingu"."
To je, takže toto bol pozmeňujúci návrh, ktorý som predniesol, takže dúfam, že nájde pochopenie a podporu. Ďakujem veľmi pekne.

Ďakujem za slovo, pán podpredseda. Ja mám, ja mám takú pripomienku aj k obsahu, aj k forme predloženia pozmeňujúceho návrhu.
Najprv k tomu obsahu. Vy ste, pán poslanec Krúpa, povedali, že boli tam nejaké nedostatky, ktoré ste potrebovali napraviť. Avšak ja som presvedčený, že ten návrh zákona, ktorý išiel do medzirezortného pripomienkového konania, mal nedostatky, ktoré boli potrebné napraviť, avšak tie boli po tom medzirezortnom pripomienkovom konaní dostatočným spôsobom napravené. Vaším pozmeňujúcim návrhom sa teraz precizujú alebo sa spresňujú ustanovenia o automatizovanom poskytovaní informácií, obmedzovanie poskytovania produktov, procesov alebo služby. To je v poriadku, s tým súhlasím, s tým vlastne nemám problém. Avšak úplne ste odtiaľ dali preč ustanovenia týkajúce sa blokovania. A v tom pozmeňujúcom návrhu sa odkazujete na § 27 súčasného zákona, kde hovoríte o nejakej dostatočnej kompetencii úradu, s čím ja úplne nemôžem súhlasiť, pretože podľa toho paragrafu úrad môže len vyhlásiť nejakú výstrahu alebo uložiť povinnosť nejakému poskytovateľovi základnej služby. Predtým, si myslím, že to bolo dôkladnejšie a lepšie. Boli tam jasné definície škodlivého obsahu, škodlivej aktivity, plus tam bola aj vyhláška, ktorá presne precizovala aj spôsob vykonávania toho blokovania. Takže podľa mňa zbytočne ste to dali odtiaľ preč. Ale rozumiem, že na tom nebola nejaká zhoda v koalícii, takže ste to museli nejakým spôsobom prerobiť.
A teraz k samotnému procesu. To, čo spomenul aj pán podpredseda, zákon o rokovacom poriadku jasným spôsobom hovorí, akým spôsobom má byť prednesený pozmeňujúci alebo doplňujúci návrh. Avšak okrem toho, že vy ste čítali to odôvodnenie počas prednesu toho pozmeňujúceho návrhu, s čím by som nemal až taký zásadný problém, ale mám problém s tým, že vy ste čítali niektoré slová, ktoré tam vôbec neboli napísané a hlavne vy ste vynechali veľmi dôležité veci. Vy ste vynechali ten úvodný text, vy ste napríklad v bode 6 v článku I bod 37... (Prerušenie vystúpenia časomerom.)

Ďakujem za slovo, pán predsedajúci. Áno, ja mám takisto, hovorím, ako povedal kolega, je tam viacero vecí vynechaných. Ja si myslím, že skorej pán poslanec Vetrák odišiel, že toto si budeme musieť zopakovať zajtra. Som rád, že ste na to poukázal, pán predsedajúci.
Ja som sa len chcel spýtať, ten článok I bod 33 analýza politického rizika, akého? Buď som to nepostrehol, alebo sa to tam zlialo. By som to chcel vedieť konkrétne. Recitál 20, tam je množné číslo alebo jednotné číslo? Tým dodávateľom, či sa týka jedného alebo druhého. Teraz Úniou a tretích krajín, to už som si zabudol poznačiť, ktoré to je číslo. Myslíte tretích krajín ako v rámci celého sveta alebo tretích krajín mimo, ako v rámci Európy, ale mimo Európskej únie? To by som chcel vedieť. A ten článok 38 § 1, to som si už nestihol poznačiť. Ja neviem, ja si to zajtra rád vypočujem. Ja s tým nemám problém.