Videokanál poslanca

 
 
Loading the player...

Prosím povoľte Vášmu prehliadaču prehrávať videá vo formáte flash:
Google Chrome | Mozilla Firefox | Internet Explorer | Edge

Vystúpenie v rozprave

29.6.2021 o 9:05 hod.

PhDr.

Juraj Krúpa

Videokanál poslanca
Zobraziť prepis Poslať e-mailom Stiahnut video
 
 
 

Videokanál poslanca

Vystúpenie v rozprave 29.6.2021 9:05 - 9:30 hod.

Juraj Krúpa Zobrazit prepis
Ďakujem veľmi pekne, pán predsedajúci. Vzhľadom na to, že počas písomnej rozpravy, kde som čítal pozmeňujúci návrh, ktorý bol predložený správne, ale nebol prečítaný správne, teraz som nútený tento pozmeňujúci návrh prečítať znova. Čo ma mrzí, ospravedlňujem sa za to. Ak dovolíte, tak by som ho teda prečítal znova. (Prerušenie vystúpenia predsedajúcim.)

Blanár, Juraj, podpredseda NR SR
Nech sa páči, pán poslanec.

Krúpa, Juraj, poslanec NR SR
Čiže vládny návrh zákona, ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony, sa mení a dopĺňa takto:
Bod 1. V čl. I bod 12 znie:
"12. V § 5 sa odsek 1 dopĺňa písmenami y až af, ktoré znejú:
y) Je vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti a orgánom posudzovania zhody podľa osobitného predpisu,10aa
z) plní úlohy kompetenčného a odvetvového centra podľa osobitného predpisu, 10ab,
aa) odníma certifikát kybernetickej bezpečnosti,
ab) v rámci systému certifikácie kybernetickej bezpečnosti vydáva bezpečnostné štandardy, certifikačné schémy a postupy,
ac) plní úlohy ústredného orgánu podľa prílohy č. 1,
ad) vedie a zverejňuje na svojom webovom sídle zoznam orgánov posudzovania zhody v systéme certifikácie kybernetickej bezpečnosti, zoznam certifikačných orgánov, audítorov kybernetickej bezpečnosti a zoznam právnických osôb, prostredníctvom ktorých je možné realizovať audity kybernetickej bezpečnosti,
ae) posudzuje bezpečnostné riziká dodávateľa na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby (ďalej len "tretia strana") pre kybernetickú bezpečnosť Slovenskej republiky a správu o tomto posúdení predkladá Bezpečnostnej rade Slovenskej republiky,
af) predkladá príslušnému Osobitnému kontrolnému výboru Národnej rady Slovenskej republiky každoročne správu o dodržiavaní noriem týkajúcich sa ochrany telekomunikačného tajomstva a osobných údajov občanov Slovenskej republiky."
Poznámky pod čiarou k odkazom 10aa a 10ab znejú:
"10aa) Čl. 58 a 60 ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 256/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7. 6. 2019).
10ab) Čl. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2021/887, ktorým sa zriaďuje Európske centrum priemyselných, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti a sieť národných koordinačných centier (Ú. v. EÚ L 202, 8. 6. 2021)."."
2. V čl. I bod 13, § 5a odseky 4 až 6 znejú:
(4) Úrad odníme európske certifikáty kybernetickej bezpečnosti, ktoré vydal alebo európske certifikáty kybernetickej bezpečnosti vydané podľa čl. 56 ods. 6 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (ďalej len „nariadenie (EÚ) 2019/881") orgánmi posudzovania zhody, ktoré nie sú v súlade s nariadením (EÚ) 2019/881 alebo s európskym systémom certifikácie kybernetickej bezpečnosti.
(5) Úrad môže odňať vydaný európsky certifikát kybernetickej bezpečnosti aj držiteľovi certifikátu, ak tento
a) poruší povinnosť podľa čl. 56 ods. 8 nariadenia (EÚ) 2019/881,
b) neumožní úradu získať prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881,
c) akýmkoľvek spôsobom znemožní vykonávať oprávnenie podľa čl. 58 ods. 8 písm. b) nariadenia (EÚ) 2019/881.
(6) Na účely tohto zákona sa rozumie
a) produktom produkt IKT podľa čl. 2 ods. 12 nariadenia (EÚ) 2019/881,
b) službou služba IKT podľa čl. 2 ods. 13 nariadenia (EÚ) 2019/881,
c) procesom proces IKT podľa čl. 2 ods. 14 nariadenia (EÚ) 2019/881."."
Poznámky pod čiarou 10h) až 10o) sa vypúšťajú.
V súvislosti s touto zmenou sa v čl. I bode 13 primerane upraví úvodná veta k poznámkam pod čiarou.
3. V čl. I sa za bod 14 vkladá nový bod 15, ktorý znie:
"15. V § 8 ods. 5 sa vkladá nové písmeno f), ktoré znie:
"f) Úrad pre reguláciu elektronických komunikácií a poštových služieb,".
Doterajšie písmeno f) sa označuje ako písmeno g)."
Nasledujúce novelizačné body sa primerane prečíslujú.
4. V čl. I bod 20, § 10a odsek 1 znie:
"(1) Orgán verejnej moci, prevádzkovateľ základnej služby a právnická osoba v sektore podľa prílohy č. 1 sú povinní poskytnúť úradu na plnenie jeho úloh pri riešení kybernetického bezpečnostného incidentu podľa tohto zákona požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na zabezpečenie kybernetickej bezpečnosti a riešenie kybernetického bezpečnostného incidentu; informácie sa poskytujú len za podmienky, že sú nevyhnutné pre riešenie kybernetického bezpečnostného incidentu a ich poskytnutím nedôjde k ohrozeniu plnenia konkrétnej úlohy podľa osobitného predpisu (poznámka pod čiaru 13a) alebo spravodajskej služby podľa osobitného predpisu (poznámka pod čiarou 13) alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb, ktoré konajú v jej prospech, alebo k ohrozeniu medzinárodnej spravodajskej spolupráce."
5. V čl. I bod 33 znie:
"33. V § 20 sa za ods. 4 vkladá nový ods. 5, ktorý znie:
"(5) Bezpečnostné opatrenia sa prijímajú a realizujú na základe analýzy rizík kybernetickej bezpečnosti, ktorá určuje pravdepodobnosť vzniku škodlivej udalosti. Súčasťou analýzy rizík je aj analýza politického rizika tretej strany, pričom politické riziko sa posudzuje najmä vzhľadom na
a) plnenie záväzkov z medzinárodných zmlúv, ktorými je Slovenská republika viazaná, a na jej členstvo v medzinárodných organizáciách,
b) možnosť ovplyvňovania a zasahovania do činnosti tretej strany štátom, ktorý nie je členským štátom Európskej únie a Organizácie Severoatlantickej zmluvy (ďalej len "cudzí štát"),
c) analýzu vlastníckej štruktúry a riadiacej štruktúry tretej strany vrátane vlastníckeho podielu cudzieho štátu a priamych zahraničných investícií do tretej strany,
d) analýzu právnych predpisov a medzinárodných záväzkov cudzieho štátu v oblasti ochrany základných ľudských práv a slobôd, kybernetickej bezpečnosti, boja proti počítačovej kriminalite, ochrany osobných údajov a ochrany informácií,
e) informácie špecifické pre cudzí štát a informácie spravodajskej služby o možných hrozbách pre záujmy Slovenskej republiky."
Politické riziká schvaľuje vláda Slovenskej republiky na základe stanoviska úradu. Stanovisko úradu sa predkladá Bezpečnostnej rade Slovenskej republiky. Politické riziká úrad zverejňuje v jednotnom informačnom systéme kybernetickej bezpečnosti. Úrad v analýze politického rizika zohľadní vyjadrenie Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstva hospodárstva Slovenskej republiky, Ministerstva vnútra Slovenskej republiky, Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky z oblasti ich pôsobnosti.
Doterajší odsek 5 sa označuje ako odsek 6.
6. V čl. I bod 37 znie:
"37. Za § 24 vkladá § 24a, ktorý vrátane nadpisu znie:
"§ 24a
Automatizované poskytovanie informácií
(1) Ak je to vzhľadom na povahu alebo dôležitosť základnej služby potrebné a nedôjde k uzatvoreniu zmluvy podľa § 24 ods. 6, úrad môže rozhodnutím uložiť prevádzkovateľovi základnej služby povinnosť automatizovaným spôsobom vyhodnocovať výskyt kybernetického bezpečnostného incidentu a nahlasovať kybernetický bezpečnostný incident. Na tento účel zverejňuje úrad výstrahy, varovania a ďalšie informácie v jednotnom informačnom systéme kybernetickej bezpečnosti. Náklady spojené s technickým zabezpečením vyhodnocovania a nahlasovania kybernetického bezpečnostného incidentu znáša úrad.
(2) Povinnosť podľa ods. 1 nie je možné uložiť, ak ide o siete a informačné systémy, ktoré sa týkajú zabezpečenia obrany alebo bezpečnosti Slovenskej republiky.
(3) Úrad rozhodnutím podľa ods. 1 určí prevádzkovateľa základnej služby, ktorého sa povinnosť týka, spôsob poskytovania a rozsah informácií, ktoré sa týkajú automatizovaného spôsobu vyhodnocovania výskytu kybernetického bezpečnostného incidentu a nahlasovania kybernetického bezpečnostného incidentu a trvanie tejto povinnosti. Rozhodnutie sa môže týkať len takých informácií, ktoré sú nevyhnutné pre zabezpečenie kybernetickej bezpečnosti a riešenie kybernetického bezpečnostného incidentu, ak tento účel nemožno dosiahnuť inak.
(4) Obsah komunikácie a prenášaných správ a ochrana súkromia podľa osobitného predpisu (poznámku pod čiarou 28a) plnením povinností podľa odseku 1 nie sú dotknuté."
Poznámka pod čiarou k odkazu 28a znie:
"28a Zákon č. 166/2003 Z. z. o ochrane súkromia pred neoprávneným použitím informačno-technických prostriedkov a o zmene a doplnení niektorých zákonov (zákon o ochrane pred odpočúvaním) v znení neskorších predpisov."."
7. V čl. I, bod 38 znie:
"38. Za § 27 sa vkladá § 27a, ktorý vrátane nadpisu znie:
"§ 27a
Obmedzenie používania produktu, procesu, služby alebo tretej strany
(1) Úrad môže rozhodnutím zakázať alebo obmedziť používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby, ak zistí, že takéto používanie
a) neumožňuje alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti, a tým ohrozuje život alebo zdravie osôb, hospodárske fungovanie štátu, verejný poriadok, bezpečnosť alebo majetok osôb, alebo
b) ohrozuje bezpečnostné záujmy Slovenskej republiky.
(2) Konanie podľa ods. 1 úrad začne z vlastného podnetu alebo na základe odôvodneného podnetu iného orgánu verejnej moci Slovenskej republiky. Oznámenie o začatí konania úrad zverejní najmenej na 30 dní v jednotnom informačnom systéme kybernetickej bezpečnosti a na svojom webovom sídle a počas tejto doby nemôže vydať rozhodnutie.
(3) Úrad pred vydaním rozhodnutia podľa ods. 1 vždy vykoná vo vzťahu k produktu, procesu, službe alebo k tretej strane analýzu rizík podľa § 20 ods. 5 na základe vyjadrenia Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstva hospodárstva Slovenskej republiky, Ministerstva vnútra Slovenskej republiky, Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky z oblasti ich pôsobnosti. Návrh rozhodnutia predkladá Bezpečnostnej rade Slovenskej republiky a vláde Slovenskej republiky. Od stanoviska vlády Slovenskej republiky sa úrad nemôže odchýliť.
(4) Úrad vydá rozhodnutie podľa ods. 1 iba v prípade, ak prevádzkovateľ základnej služby alebo tretia strana nedostatky podľa ods. 1 neodstráni v primeranej lehote určenej úradom.
(5) Prevádzkovateľ základnej služby je povinný zdržať sa používania konkrétneho produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa ods. 1 na poskytovanie základnej služby alebo ich používanie obmedziť.
(6) Rozhodnutie podľa ods. 1 sa vyhlási zverejnením v Zbierke zákonov Slovenskej republiky (poznámka pod čiarou 28b) a účinky nadobúda dňom vyhlásenia. Ak je vyhlásené rozhodnutie podľa ods. 1 zmenené alebo zrušené, na právny akt, ktorým sa rozhodnutie podľa ods. 1 zmenilo alebo zrušilo, sa prvá veta použije rovnako.
(7) Ak úrad rozhodnutím podľa ods. 1 zakáže alebo obmedzí používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby, v rozhodnutí podľa ods. 1 zároveň určí primeranú dobu zákazu alebo obmedzenia používania konkrétneho produktu, procesu, služby alebo tretej strany, ktorá nemôže byť dlhšia ako dva roky. O zákaze alebo obmedzení podľa prvej vety môže úrad rozhodnúť aj opakovane.
(8) Ak ide o produkt, proces, službu alebo tretiu stranu, ktorú prevádzkovateľ základnej služby začal používať pred zverejnením rozhodnutia podľa ods. 1, je prevádzkovateľ základnej služby povinný zdržať sa používania alebo obmedziť používanie produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa ods. 1 v primeranej lehote určenej v rozhodnutí, ktorá nie je kratšia ako dva roky a dlhšia ako päť rokov. Zároveň je prevádzkovateľ základnej služby povinný najneskôr do šiestich mesiacov od zverejnenia rozhodnutia podľa ods. 1 vykonať primerané bezpečnostné opatrenia na riadenie rizík podľa ods. 3."
Poznámka pod čiarou k odkazu 28b znie:
"28b) § 13 písm. f) zákona č. 400/2015 Z. z. o tvorbe právnych predpisov a o Zbierke zákonov Slovenskej republiky a o zmene a doplnení niektorých zákonov v znení neskorších predpisov."."
8. V čl. I v bode 41 v § 29 ods. 3 v poznámke pod čiarou k odkazu 31b) sa slová "STN EN ISO/IEC 17024" nahrádzajú slovami "STN EN ISO/IEC 17024 (015258)" a slová "(ISO/IEC 17024) (01 5258)" sa nahrádzajú slovami "Vestník Úradu pre normalizáciu, metrológiu a skúšobníctvo Slovenskej republiky č. 3/13."
9. V čl. I bod 43 znie:
„43. V § 29 odsek 6 znie:
"(6) Úrad môže kedykoľvek vykonať audit kybernetickej bezpečnosti u prevádzkovateľa základnej služby alebo požiadať certifikovaného audítora kybernetickej bezpečnosti, aby vykonal takýto audit u prevádzkovateľa základnej služby s cieľom potvrdiť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom."
10. V čl. I bod 45, § 31 ods. 2 písmeno d) sa slová "§ 24a ods. 1 a 2" nahrádzajú slovami "§24a ods. 1".
11. V čl. I bod 48 znie:
"48. V § 31 sa za odsek 5 vkladajú nové odseky 6 až 9, ktoré znejú:
"(6) Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi produktov, služieb alebo procesov, ktorý sa dopustí správneho deliktu tým, že podľa čl. 53 (EÚ) 2019/881 vydá EÚ vyhlásenie o zhode, ktoré je v rozpore s požiadavkami ustanovenými v Európskom systéme certifikácie kybernetickej bezpečnosti.
(7) Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi certifikovaných produktov, služieb alebo procesov alebo výrobcovi alebo poskytovateľovi produktov, služieb a procesov, pre ktoré je vydané EÚ vyhlásenie o zhode, ktorý sa dopustí správneho deliktu tým, že nezverejní v elektronickej podobe alebo neaktualizuje doplňujúce informácie o kybernetickej bezpečnosti podľa čl. 55 ods. 1 písm. a) až d) nariadenia (EÚ) 2019/881.
(8) Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody, držiteľovi európskeho certifikátu kybernetickej bezpečnosti alebo vydavateľovi EÚ vyhlásení o zhode, ktorý sa dopustí správneho deliktu tým, že
a) neposkytne vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti informácie potrebné na plnenie svojich úloh podľa čl. 58 ods. 8 písm. a) nariadenia (EÚ) 2019/881,
b) znemožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti viesť vyšetrovanie v podobe auditu podľa čl. 58 ods. 8 písm. b) nariadenia (EÚ) 2019/881.
(9) Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody alebo držiteľovi európskeho certifikátu kybernetickej bezpečnosti, ktorý sa dopustí správneho deliktu tým, že neumožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881."
Doterajšie odseky 6 až 12 sa označujú ako odseky 10 až 16."
12. V čl. I bod 52 znie:
"52. V § 32 sa odsek 1 dopĺňa písmenami g) a h), ktoré znejú:
"g) certifikačné schémy a postupy v systéme certifikácie kybernetickej bezpečnosti,
h) bezpečnostné opatrenia, ak si to vyžadujú právne záväzné akty a odporúčania Európskej únie pre oblasť kybernetickej bezpečnosti."."
13. V čl. I bod 53 znie:
"53. V § 33 ods. 1 sa slová "§ 17 ods. 6, § 21 ods. 4 a § 27" nahrádzajú slovami "§ 17, § 21 a § 27".
14. V čl. I bod 58 znie:
"58. V prílohe či v sektore "3. Digitálna infraštruktúra" sa v stÍpci "Prevádzkovateľ služieb" vkladá nový riadok, ktorý znie: "poskytovateľ služieb webhostingu, DNS hostingu alebo mailhostingu"."
Týmto som prečítal teda pozmeňujúci návrh.
Ďakujem veľmi pekne.
Skryt prepis
 

Uvádzajúci uvádza bod 22.6.2021 11:53 - 11:55 hod.

Juraj Krúpa Zobrazit prepis
Ďakujem veľmi pekne. Ide o návrh zákona, ktorým sa dopĺňa zákon č. 285/2009 Z. z. o poskytovaní príspevku účastníkom národného boja za oslobodenie. Vzhľadom aj na časovú tieseň len v stručnosti poviem, že ide o symbolický príspevok, ktorý by mal byť vyplatený týmto účastníkom, priamym účastníkom odboja počas osláv, nadchádzajúcich osláv v septembri tohto roka vo výške okolo 630 eur. Ide o v podstate návrh, ktorý bol schválený alebo na ktorom sa ešte vláda uzniesla v roku 2019. Čiže predošlá vláda, ale už sa potom do roku 2020 v podstate nedostalo do legislatívneho procesu a bol vlastne potom prevzatý touto vládou a pripravený legislatívne, ktorý tu dnes máme.
Ja som presvedčený, že nájde širokú podporu naprieč celý spektrom tak, ako to bolo počas prvého čítania. Takže ďakujem veľmi pekne. To je z mojej strany zatiaľ všetko. že nájde širokú podporu naprieč celým spektrom tak, ako to bolo počas prvého čítania. Takže ďakujem veľmi pekne. To je z mojej strany zatiaľ všetko.
Skryt prepis
 

Uvádzajúci uvádza bod 22.6.2021 11:53 - 11:55 hod.

Juraj Krúpa Zobrazit prepis
Ďakujem veľmi pekne. Ide o návrh zákona, ktorým sa dopĺňa zákon č. 285/2009 Z. z. o poskytovaní príspevku účastníkom národného boja za oslobodenie. Vzhľadom aj na časovú tieseň len v stručnosti poviem, že ide o symbolický príspevok, ktorý by mal byť vyplatený týmto účastníkom, priamym účastníkom odboja počas osláv, nadchádzajúcich osláv v septembri tohto roka vo výške okolo 630 eur. Ide o v podstate návrh, ktorý bol schválený alebo na ktorom sa ešte vláda uzniesla v roku 2019. Čiže predošlá vláda, ale už sa potom do roku 2020 v podstate nedostalo do legislatívneho procesu a bol vlastne potom prevzatý touto vládou a pripravený legislatívne, ktorý tu dnes máme.
Ja som presvedčený, že nájde širokú podporu naprieč celý spektrom tak, ako to bolo počas prvého čítania. Takže ďakujem veľmi pekne. To je z mojej strany zatiaľ všetko. že nájde širokú podporu naprieč celým spektrom tak, ako to bolo počas prvého čítania. Takže ďakujem veľmi pekne. To je z mojej strany zatiaľ všetko.
Skryt prepis
 

Vystúpenie s faktickou poznámkou 22.6.2021 11:31 - 11:33 hod.

Juraj Krúpa Zobrazit prepis
Bludy, hlúposti, debiliny. To je to, čo tu zo strany opozície počúvame už vyše roka. Vaše argumenty sa opierajú o úplne hoaxy o sprostosti ktoré sa šíria internetom americkým výmyslom, ktorý potrebujete na to aby ste mohli šíriť vaše zblúdené myšlienky. Vy môžete tvrdiť čo chcete, empirické bádanie, veda vám vždy dokáže opak. Vy môžete len na určitý čas zmiasť časť obyvateľstva, ktoré sa obáva z nových vecí, ktoré úplne na sto percent nerozumie tej pandémii ktorá je komplikovaná a nemá nejakú jasnú logiku. Ale čo vy robíte, týmto vašim zblúdeným argumentovaním, tými klamstvami je že vy vlastne nepriamo budete zodpovedný za smrť tisícov ľudí.

Grendel, Gábor, podpredseda NR SR
Pán poslanec musíte reagovať na vystúpenie na vystúpenie.

Krúpa, Juraj, poslanec NR SR
Áno, samozrejme ja reagujem, ja len vysvetlím jedno, rozdiel medzi zaočkovanými a nezaočkovanými je ten, že tí zaočkovaní neležia v špitáli COVID, tí nezaočkovaní v ňom ležať budú keď príde ďalšia vlna, tak nahrnú sa do špitála, do nemocníc a zaberú všetky miesta. Kde budú potom tí, ktorí potrebujú tiež lekársku starostlivosť? Kde sú tí, ktorí potrebujú operácie, ktorí majú, ktorí majú ja neviem karcinómy, ktorí majú ďalšie problémy a tak isto im hrozí že nebudú ošetrení ale nebudú ošetrení včas, pretože nemocnice budú plné COVID-ových pacientov, kto bude za to zodpovedný? No tí, ktorí budú presviedčať tých ľudí, že očkovanie je riziko a títo ľudia potom budú mrieť a kto je za to zodpovedný, kto? No vy.
Skryt prepis
 

Vystúpenie s procedurálnym návrhom 22.6.2021 11:14 - 11:14 hod.

Juraj Krúpa
Ďakujem. Ja len chcem informovať, že dnes 12.30 v kinosále sa uskutoční diskusia spoločne s výborom pre európske záležitosti k navrhovanému zákonu o strelných zbraniach, ktorého sa zúčastní aj britský veľvyslanec Baker a šéf legislatívy ministerstva vnútra Kriška a takisto aj zástupcovia Legis Telum, kto má záujem, je vítaný. Ďakujem.
Skryt prepis
 

Vystúpenie s faktickou poznámkou 18.6.2021 10:53 - 10:54 hod.

Juraj Krúpa Zobrazit prepis
Ďakujem veľmi pekne. A takisto ďakujem aj pánovi Šefčíkovi, ktorý sa snažil vysvetliť niektoré tak zásadné, až elementárne veci, čo sa týkajú zdravotníctva, zdravotných sestier, človeku, ktorý tomu že vôbec nerozumie. Preto aj tak trošku zbytočná strata času, aj ma miestami drží, mrzí, že tu vôbec vystupujem, pretože ten človek to má pomätené v hlave. Tam je ozvena, keď tam niečo zaznie. On vôbec tomu nerozumie. Jednoducho je mi to ľúto. Je to človek, ktorý podľa mňa keby mohol, tak by si zobral príklad z Uzbekistanu, a by lekárov a sestry vyháňal na polia zbierať obilie a úrodu, tak ako je on s týmto fixovaný. Ja som osobne presvedčený, že tento človek by mal doniesť nejaký papier, že je právne spôsobilý vôbec tu hovoriť, pretože to, čo tu predvádza, sú absolútne bláznovstvá, uletené hovadiny. Ďakujem. (Potlesk. Reakcia z pléna.)
Skryt prepis
 

Vystúpenie s faktickou poznámkou 17.6.2021 19:00 - 19:01 hod.

Juraj Krúpa Zobrazit prepis
Ďakujem. No, nemám s tým problém. Ja by som teda tu rád zostal a znova to prečítal, ako kľudne.
Vy ste sa pýtali na politické riziko. Tá je, myslím si, že aj v tom odôvodnení vcelku jasne vysvetlené. Ja som tam poukazoval aj na príklady zo zahraničia, ako napríklad bolo Holandsko. Ja vám to teda môžem v podstate aj prečítať znova, ale myslím, že stačí, keď vám to prečítam zajtra znova. Ide v podstate o to, že mali by ste brať do úvahy dodávateľov tovarov alebo služieb alebo riešení softvérových od krajín, s ktorými máte nejaké dohody urobené bezpečnostné alebo politické také, ktoré vám zaručujú, že v podstate tieto krajiny v prípade bezpečnostného incidentu jednoducho prestanú s vami spolupracovať alebo niečo podobné. Čiže musíte mať určité záruky a tam sa preto pri tomto definuje to politické riziko.
Ďalšia otázka, už teraz ani neviem, čo to bolo. (Reakcia z pléna.) Dodávateľom, áno, áno. (Reakcia z pléna.) Čo? (Reakcia z pléna.) Tretie krajiny sú mimo, tretie krajiny sú mimo EÚ a NATO. (Reakcia z pléna.) Áno, áno, áno. Áno, vy môžte potom to mať upravené nejakými bilaterálnymi dohodami alebo niečo podobné, ale tak každopádne sú to tretie krajiny mimo. (Reakcia z pléna.) No mimo EÚ a NATO.
Skryt prepis
 

Vystúpenie v rozprave 17.6.2021 18:40 - 18:55 hod.

Juraj Krúpa Zobrazit prepis
Naproti tomu vládou navrhované znenie ustanovenia § 27a predpokladá posúdenie rizika iba vo vzťahu k produktu, procesu a službe. Preto navrhujeme výslovne doplniť aj posudzovanie rizika samotnej tretej strany (dodávateľa), nielen produktov, procesov a služieb. V EÚ Toolboxe totiž boli členské štáty EÚ vyzvané:
- posilniť bezpečnostné požiadavky na operátorov mobilných sietí (napr. zaviesť kontroly prístupu, pravidlá bezpečnej prevádzky, monitorovanie, obmedzenia outsourcingu konkrétnych úloh a funkcií a tak ďalej),
- posúdiť rizikový profil dodávateľa a následne uplatniť príslušné obmedzenia pre dodávateľov považovaných za vysoko rizikových,
- zaistiť, aby mal každý operátor vhodnú stratégiu viacerých dodávateľov, aby sa obmedzila akákoľvek závislosť od jedného dodávateľa (alebo dodávateľov s podobným rizikovým profilom), zabezpečiť primeranú rovnováhu dodávateľov na vnútroštátnej úrovni a vyhnúť sa závislosti od dodávateľov považovaných za vysoko rizikových. Vo vzťahu k poslednej uvedenej povinnosti sa napr. v Taliansku vyžaduje vypracovanie projektu diverzifikácie, ktorý zahŕňa „vertikálnu" diverzifikáciu, čiže použitie systémov od rôznych dodávateľov v oblasti hardvéru a softvéru a "horizontálnu" diverzifikáciu (použitie rôznych softvérových riešení). Niekoľko členských štátov medzitým medzičasom zaviedlo opatrenia, ktoré napríklad požadujú, aby operátori predložili svoje vlastné stratégie diverzifikácie a zabezpečili prijatie opatrení na zvýšenie ich odolnosti a bezpečnostnej spoľahlivosti.
Túto povinnosť naším pozmeňujúcim návrhom navrhujeme zakotviť osobitne vo vzťahu k tým prevádzkovateľom základných služieb, ktorých sa dotkne zákaz alebo obmedzenie používania konkrétnych produktov, procesov, služieb alebo tretích strán.
Ďalej navrhujeme, aby podnet na začatie konania a posúdenia rizika a zákaze produktov, procesov, služieb alebo tretích strán mohol úradu predložiť aj iný orgán verejnej moci Slovenskej republiky, t. j. aby konanie nezačínalo iba na podnet, resp. ex offo z moci samotného úradu.
Tiež navrhujeme doplniť dobu maximálne dvoch rokov, na ktorú môže dôjsť k obmedzeniu používania rizikového produktu, procesu, služby či dodávateľa, a to aj opakovane. V prípade už využívaných produktov, procesov, služieb alebo tretích strán sa stanovuje minimálna doba dvoch rokov a maximálna doba piatich rokov, počas ktorej sa ešte produkty môžu používať. Zároveň však bude musieť prevádzkovateľ základnej služby do šiestich mesiacov vypracovať aj plán diverzifikácie, aby počas plynutia určenej doby minimalizoval riziko a závislosť od rizikového produktu, procesu, služby či dodávateľa.
Vypúšťajú sa vo vládnom návrhu obsiahnuté ustanovenia § 27b a 27c o blokovaní, a to z dôvodu neprimerane koncipovanej širokej navrhovanej pôsobnosti úradu. Blokovanie ako riešenie kybernetického bezpečnostného incidentu, ako nástroja jeho riešenia v podobe aplikácie ustanovenia § 27 v platnom znení zostáva v platnosti.
V čl. I bod 38 znie:
Za § 27 sa vkladá § 27a, ktorý vrátane nadpisu znie:
Obmedzenie používania produktu, procesu, služby alebo tretej strany
(1) Úrad môže rozhodnutím zakázať alebo obmedziť používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby, ak zistí, že takéto používanie
a) neumožňuje alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti a tým ohrozuje život alebo zdravie osôb, hospodárske fungovanie štátu, verejný poriadok, bezpečnosť alebo majetok osôb, alebo
b) ohrozuje bezpečnostné záujmy Slovenskej republiky.
(2) Konanie podľa ods. 1 úrad začne z vlastného podnetu alebo na základe odôvodneného podnetu iného orgánu verejnej moci Slovenskej republiky. Oznámenie o začatí konania úrad zverejní najmenej na 30 dní v jednotnom informačnom systéme kybernetickej bezpečnosti a na svojom webovom sídle a počas tejto doby nemôže vydať rozhodnutie.
(3) Úrad pred vydaním rozhodnutia podľa ods. 1 vždy vykoná vo vzťahu k produktu, procesu, službe alebo k tretej strane analýzu rizík podľa § 20 ods. 5 na základe vyjadrenia Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstva hospodárstva Slovenskej republiky, Ministerstva vnútra Slovenskej republiky, Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky z oblasti ich pôsobnosti. Návrh rozhodnutia predkladá Bezpečnostnej rade Slovenskej republiky a vláde Slovenskej republiky. Od stanoviska vlády Slovenskej republiky sa úrad nemôže odchýliť.
(4) Úrad vydá rozhodnutie podľa ods. 1 iba v prípade, ak prevádzkovateľ základnej služby alebo tretia strana nedostatky podľa ods. 1 neodstráni v primeranej lehote určenej úradom.
(5) Prevádzkovateľ základnej služby je povinný zdržať sa používania konkrétneho produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa ods. 1 na poskytovanie základnej služby alebo ich používanie obmedziť.
(6) Rozhodnutie podľa ods. 1 sa vyhlási zverejnením v Zbierke zákonov Slovenskej republiky, poznámka pod čiarou 28b), a účinky nadobúda dňom vyhlásenia. Ak je vyhlásené rozhodnutie podľa ods. 1 zmenené alebo zrušené, na právny akt, ktorým sa rozhodnutie podľa ods. 1 zmenilo alebo zrušilo, sa prvá veta použije rovnako.
(7) Ak úrad rozhodnutím podľa ods. 1 zakáže alebo obmedzí používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby, v rozhodnutí podľa ods. 1 zároveň určí primeranú dobu zákazu alebo obmedzenia používania konkrétneho produktu, procesu, služby alebo tretej strany, ktorá nemôže byť dlhšia ako dva roky. O zákaze alebo obmedzení podľa prvej vety môže úrad rozhodnúť aj opakovane.
(8) Ak ide o produkt, proces, službu alebo tretiu stranu, ktorú prevádzkovateľ základnej služby začal používať pred zverejnením rozhodnutia podľa ods. 1, je prevádzkovateľ základnej služby povinný zdržať sa používania alebo obmedziť používanie produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa ods. 1 v primeranej lehote určenej v rozhodnutí, ktorá nie je kratšia ako dva roky a dlhšia ako päť rokov. Zároveň je prevádzkovateľ základnej služby povinný najneskôr do šiestich mesiacov od zverejnenia rozhodnutia podľa ods. 1 vykonať primerané bezpečnostné opatrenia na riadenie rizík podľa ods. 3."
Poznámka pod čiarou k odkazu 28b) znie:
28b) § 13 písm. f) zákona č. 400/2015 Z. z. o tvorbe právnych predpisov a o Zbierke zákonov Slovenskej republiky a o zmene a doplnení niektorých zákonov v znení neskorších predpisov."."
Ďalší bod. Ide v čl. I bode 41 v § 29 ods. 3 v poznámke pod čiarou k odkazu 31b) sa slová „STN EN ISO/IEC 17024" nahrádzajú slovami „STN EN ISO/IEC 17024 (015258)" a slová „(ISO/IEC 17024) (01 5258)" sa nahrádzajú slovami „Vestník Úradu pre normalizáciu, metrológiu a skúšobníctvo Slovenskej republiky č. 3/13."
Ide o legislatívnu úpravu, ktorou sa v poznámke pod čiarou spresňuje citácia slovenskej technickej normy doplnením odkazu na Vestník Úradu pre normalizáciu, metrológiu a skúšobníctvo Slovenskej republiky č. 3/13. Podľa § 4 ods. 1 písm. b) zákona č. 60/2018 Z. z. o technickej normalizácii v znení neskorších predpisov sa vo Vestníku zverejňujú oznámenia o slovenskej technickej norme vhodnej na posudzovanie zhody.
Ďalej tu máme § 29 ods. 6
Odôvodnenie: Precizuje sa platný text z dôvodu, aby nevznikala neodôvodnená povinnosť vykonať audit do dvoch rokov aj pre tých prevádzkovateľov základnej služby, ktorým bol v tomto čase nariadený audit úradom.
§ 29 ods. 6 znie:
"(6) Úrad môže kedykoľvek vykonať audit kybernetickej bezpečnosti u prevádzkovateľa základnej služby alebo požiadať certifikovaného audítora kybernetickej bezpečnosti, aby vykonal takýto audit u prevádzkovateľa základnej služby s cieľom potvrdiť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom."
Potom tu máme v čl. I bod 45, § 31 ods. 2 písm. d) sa slová "§ 24a ods. 1 a 2" nahrádzajú slovami "§ 24a ods. 1".
Ide o legislatívno-technickú úpravu vzhľadom na zmenu obsahu ods. 2.
V čl. I bod 48 znie, to máme ďalšiu úpravu.
Odôvodnenie: Namiesto techniky odkazu na príslušné články sa navrhuje technika odkazu na články nariadenia priamo v texte predpisu.
V ods. 7 sa slovo "údaje" nahrádza slovom "informácie".
Ide o legislatívnu úpravu, ktorou sa zosúlaďuje navrhovaný právny text s čl. 55 ods. 1 úvodnej vety nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 (zverejňuje tieto doplňujúce informácie o kybernetickej bezpečnosti'') a súčasne s ďalšími navrhovanými ustanoveniami v § 31, v ktorých sa používa termín "informácie".
Takže ten text znie:
V § 31 sa za ods. 5 vkladajú nové odseky 6 až 9, ktoré znejú:
"(6) Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi produktov, služieb alebo procesov, ktorý sa dopustí správneho deliktu tým, že podľa čl. 53 nariadenia (EÚ) 2019/881 vydá EÚ vyhlásenie o zhode, ktoré je v rozpore s požiadavkami ustanovenými v Európskom systéme certifikácie kybernetickej bezpečnosti.
(7) Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi certifikovaných produktov, služieb alebo procesov alebo výrobcovi, alebo poskytovateľovi produktov, služieb a procesov, pre ktoré je vydané EÚ vyhlásenie o zhode, ktorý sa dopustí správneho deliktu tým, že nezverejní v elektronickej podobe alebo neaktualizuje doplňujúce informácie o kybernetickej bezpečnosti podľa čl. 55 ods. 1 písm. a) až d) nariadenia (EÚ) 2019/881.
(8) Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody držiteľovi európskeho certifikátu kybernetickej bezpečnosti alebo vydavateľovi EÚ vyhlásení o zhode, ktorý sa dopustí správneho deliktu tým, že
a) neposkytne vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti informácie potrebné na plnenie svojich úloh podľa čl. 58 ods. 8 písm. a) nariadenia (EÚ) 2019/881,
b) znemožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti viesť vyšetrovanie v podobe auditu podľa čl. 58 ods. 8 písm. b) nariadenia (EÚ) 2019/881.
(9) Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody alebo držiteľovi európskeho certifikátu kybernetickej bezpečnosti, ktorý sa dopustí správneho deliktu tým, že neumožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881."
Doterajšie odseky 6 až 12 sa označujú ako odseky 10 až 16."
Potom tu máme § 32 sa ods.1 dopĺňa písm. g) a h), ktoré znejú:
V podstate ide o odôvodnenie Nadväzujúca úprava vzhľadom na vypustenie blokovania.
Takže tieto znejú:
"g) certifikácia schémy a postupy v systéme certifikácie kybernetickej bezpečnosti,
h) bezpečnostné opatrenia, ak si to vyžadujú právne záväzné akty a odporúčania Európskej únie pre oblasť kybernetickej bezpečnosti."."
Ďalší bod, teda je to § 33 ods. 1 sa slová "§ 17 ods. 6, § 21 ods. 4 a § 27" nahrádzajú slovami "§ 17, § 21 a § 27"."
Odôvodnenie: Nadväzujúca úprava vzhľadom na vypustenie § 27b a 27c. Vo vzťahu k ust. § 27a) sa, naopak, predpokladá aplikácia správneho poriadku a súdna preskúmateľnosť.
Ďalší bod je, bod 58 znie:
Najprv odôvodnenie: Navrhovaná zmena v porovnaní s vládnym návrhom zužuje reguláciu v sektore digitálna infraštruktúra a odstraňuje prevádzkovateľa obchodu na internete s možnosťou vyhľadávania, objednávania a nákupu tovarov a služieb ako prevádzkovateľa služby v prílohe č. 1 zákona.
58. V prílohe č. 1 v sektore "3. Digitálna infraštruktúra" sa v stĺpci „Prevádzkovateľ služieb" vkladá nový riadok, ktorý znie: "poskytovateľ služieb webhostingu, DNS hostingu alebo mailhostingu"."
To je, takže toto bol pozmeňujúci návrh, ktorý som predniesol, takže dúfam, že nájde pochopenie a podporu. Ďakujem veľmi pekne.
Skryt prepis
 

Vystúpenie v rozprave 17.6.2021 18:16 - 18:55 hod.

Juraj Krúpa Zobrazit prepis
Ďakujem veľmi pekne, pán predsedajúci. Budem úprimný, ja tu mám pred sebou jeden pozmeňujúci návrh, ktorý je výsledkom dlhých rokovaní, ktoré prebiehali jak so spoločnosťami zo súkromného sektora, takisto, samozrejme, aj medzi, v rámci inštitúcií, ktoré máme, či už to bolo NBÚ a ďalšie inštitúcie, ktoré majú priamo dočinenia alebo sa zaoberajú kybernetickou bezpečnosťou. Poviem na rovinu, že túto novelu zákona považujem za zásadnú a dôležitú, pretože je, bavíme sa tu o kybernetickej bezpečnosti, kde kyberbezpečnosť je, vnímam ako bezpečnosť našej budúcnosti. Keď si to porovnáme vlastne v minulosti, ako prebiehal ten vývoj, to napredovanie, že od prvého letu Wrightovcov po let na Mesiac ubehlo len 66 rokov, tak si zoberme, ako prebieha ten vývoj v kybernetickom priestore a ako teda sú dôležité každé rozhodnutia, ktoré dnes robíme. Z jednoduchého dôvodu, pretože v podstate sa ocitáme v situácii, kedy kybernetický priestor je v podstate neregulovaný priestor a je to niečo, ako keď si to porovnáme s dobou, ktorá tu bola niekedy pred 200, 300 alebo 200 rokmi, v podstate s nástupom industrializácie, keď sme ešte nemali nejaké zásadné rámce.
V podstate sa bavíme o tom, že ten kybernetický priestor je z väčšej časti ovládaný súkromnými spoločnosťami a je ťažko ho nejakým spôsobom regulovať. Ja, samozrejme, rozumiem, že sa tu bavíme o tom, že niektorí ľudia majú nejaké obavy o tom, že sa bude zasahovať do ich súkromia alebo slobody slova, ale takisto každý, každá táto doména a každý tento priestor potrebuje mať aj vytvorený nejaký právny, právny rámec, v ktorom sa budeme pohybovať. My už sme tu aj v Národnej rade schválili napr. návrh zákona o kyberšikane a podobné veci, čiže idem, z toho kybernetického priestoru neplynú len nejaké výhody, ale, samozrejme, aj hrozby. Čiže v podstate čaká nás taká široká a komplexná diskusia, nás všetkých, o budúcnosti, akú, akú formu vôbec kybernetický priestor bude mať.
Ale ono, čo zažívame dnes, sme vlastne svedkami takého exponencionálneho nárastu kyberútokov a tuto presne je ten problém, že vlastne na jednej strane ľudia vnímajú to, že internet ako priestor, priestor slobody, na ktorý nechcú, aby im niekto siahal. Na druhej strane očakávajú, že im bude zabezpečená, zaručená bezpečnosť, že takisto bude zaručená bezpečnosť našej kritickej infraštruktúry a tak ďalej. A tuto je presne ten problém, ktorý tu máme, že budeme musieť v budúcnosti nájsť nejaký ten balans medzi súkromím a zaručením bezpečnosti v tomto priestore, preto aj vítam návrh novely o kybernetickej bezpečnosti, ktorý je v podstate takým ďalším krokom, ktorý sa snaží priblížiť k nastaveniu vlastne potreby tejto rovnováhy.
Ono síce novela prešla takým prvým čítaním, má ale niektoré nedostatky, ktoré vyplynuli aj z tých rokovaní a ktoré je potrebné napraviť. Ja len spomeniem niektoré, že napr. o vyradenie možnosti NBÚ blokovať komunikácie bez možnosti odvolania, alebo nedefinovala tak politické riziko pri budovaní našich sietí. To sú určité zásadné veci. Takisto chýbali napr. odvolania na smernicu EÚ alebo odporúčanie 5G ..., čiže ide o zásadné komponenty, ktoré je nutné reflektovať v našej legislatíve. Treba si uvedomiť, že v tomto globalizovanom svete vlastne sa sami nemôžme brániť, A presne tieto kroky, ktoré tu teraz budeme zavádzať, sú tie, ktoré nám budú napomáhať aj budovanie v spolupráci v tom kybernetickom priestore, o ktorý sa snaží aj Európska únia. Je to úplne prirodzený vývoj, čiže ak by sme ale neprijali tento pozmeňujúci návrh, tak v podstate môžeme urobiť chybné rozhodnutia, ktoré nielen ohrozia našu národnú bezpečnosť, ale aj značné množstvo investícií pri akvizícii nových technológií.
Ja teda prejdem rovno k čítaniu toho pozmeňujúceho návrhu, ktorý má deväť strán, takže prejdem teda k bodu 1, to je k čl. I bod 12.
Najprv teda prečítam odôvodnenie: Vypúšťa sa ustanovenie o blokovaní z celého návrhu zákona z dôvodu neprimeranosti výkonu kompetencií úradu. Blokovanie ako riešenie kybernetického bezpečnostného incidentu ako jeden z nástrojov úradu pri riešení závažného kybernetického incidentu zostáva naďalej platným, čiže zostáva naďalej platným nástrojom v zmysle aplikácie ustanovení v § 27 platného znenia zákona. Navrhovaným vyústením, vypustením ustanovenia § 19 ods. 2 prvá veta, s čím pracuje vládny návrh zákona, by v zákone úplne absentovala definícia tretej strany. Tretia strana je pritom pojem, resp. legislatívna skratka, s ktorou zákon na viacerých miestach pracuje, preto túto legislatívnu skratku navrhujeme presunúť z ustanovenia § 19 ods. 2 prvá veta do ustanovenia § 5 ods. 1 písm. a), kde sa tento text, tento pojem prvýkrát používa, takže to prečítam.
(V čl. I bod 12 znie:)
"12. § 5 ods. 1 sa dopĺňa písmenami y) až af), ktoré znejú:
"y) Je vnútroštátnym orgánom pre certifikáciu kybernetickej bezpečnosti a orgánom posudzovania zhody podľa osobitného predpisu, podľa 10aa),
z) plní úlohy kompetenčného a odvetvového centra podľa osobitného predpisu, nad tým odvolávka na 10ab),
aa) odníma certifikát kybernetickej bezpečnosti,
ab) v rámci systému certifikácie kybernetickej bezpečnosti vydáva bezpečnostné štandardy, certifikačné schémy a postupy,
ac) plní úlohy ústredného orgánu podľa prílohy č. 1,
ad) vedie a zverejňuje vo svojom webovom sídle zoznam orgánov posudzovania zhody v systéme certifikácie kybernetickej bezpečnosti, zoznam certifikovaných orgánov, audítorov kybernetickej bezpečnosti a zoznam právnických osôb, prostredníctvom ktorých je možné realizovať audity kybernetickej bezpečnosti,
ae) posudzuje bezpečnostné riziká dodávateľa na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby (ďalej len "tretia strana") pre kybernetickú bezpečnosť Slovenskej republiky a správu o tomto posúdení predkladá Bezpečnostnej rade Slovenskej republiky,
af) predkladá príslušnému osobitnému kontrolnému výboru Národnej rady Slovenskej republiky každoročne správu o dodržiavaní noriem týkajúcich sa ochrany telekomunikačného tajomstva a osobitných údajov občanov Slovenskej republiky.
Poznámky pod čiarou k odkazom 10aa a 10ab znejú:
10aa) Čl. 58 a 60 ods. 2 nariadenia Európskeho parlamentu a Rady EÚ 2019/881 o agentúre ENISA (Agentúra únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (ustanovenie v EÚ L 151, 7. 6. 2019).
"10ab) Čl. 7 nariadenia Európskeho parlamentu a Rady EÚ 2021/887, ktorým sa zriaďuje Európske centrum priemyselných, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti a sieť národných koordinačných centier (Ú. v. EÚ L 202, 8. 6. 2021)."."
2. Čl. I bod 13, § 5a odseky 4 až 6 znejú:
Pardon, najprv odôvodnenie: Namiesto techniky odkazu na príslušné články sa navrhuje technika odkazu na články nariadenia priamo v texte predpisu.
"(4) Úrad odníme európske certifikáty kybernetickej bezpečnosti, ktoré vydal alebo európske certifikáty kybernetickej bezpečnosti vydané podľa čl. 56 ods. 6 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (ďalej len „nariadenie (EÚ) 2019/881") orgánmi posudzovania zhody, ktoré nie sú v súlade s nariadením (EÚ) 2019/881 alebo s európskym systémom certifikácie kybernetickej bezpečnosti.
(5) Úrad môže odňať vydaný európsky certifikát kybernetickej bezpečnosti aj držiteľovi certifikátu, ak tento
a) poruší povinnosť podľa čl. 56 ods. 8 nariadenia (EÚ) 2019/881,
b) neumožní úradu získať prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881,
c) akýmkoľvek spôsobom znemožní vykonávať oprávnenie podľa čl. 58 ods. 8 písm. b) nariadenia (EÚ) 2019/881.
(6) Na účely tohto zákona sa rozumie
a) produktom produkt IKT podľa čl. 2 ods. 12 nariadenia (EÚ) 2019/881,
b) službou služba IKT podľa čl. 2 ods. 13 nariadenia (EÚ) 2019/881,
c) procesom proces IKT podľa čl. 2 ods. 14 nariadenia (EÚ) 2019/881."."
Poznámky pod čiarou 10h) až 10o) sa vypúšťajú.
V súvislosti s touto zmenou sa v čl. I bode 13 primerane upraví úvodná veta k poznámkam pod čiarou.
3. V čl. I sa za bod 14 vkladá nový bod 15, ktorý znie:
"15. V § 8 ods. 5 sa vkladá nové písmeno f), ktoré znie...
Pardon, odôvodnenie najprv: Navrhovaná úprava reflektuje zmeny v navrhovanom právnom predpise uvedené v čl. I a aj v čl. III a zaradí Úrad pre reguláciu elektronických komunikácií a poštových služieb medzi subjekty s prístupom k jednotnému informačnému systému kybernetickej bezpečnosti na účely koordinovaného výkonu pôsobnosti a dodržania zásady jedného prístupového miesta.
Čiže v § 8 ods. 5 sa vkladá nové písmeno f), ktoré znie:
"f) Úrad pre reguláciu elektronických komunikácií a poštových služieb,".
Doterajšie písmeno f) sa označuje ako písmeno g)."
Nasledujúce novelizačné body sa primerane prečíslujú.
Ďalší bod je, to je čl. I bod 20, § 10a odsek 1 znie, ide vlastne odôvodnenie: Navrhovanou úpravou sa v porovnaní s vládnym návrhom zužuje zoznam subjektov, od ktorých je úrad oprávnený požadovať poskytnutie súčinnosti a zdôrazňuje sa, že ide o súčinnosť výlučne na riešenie kybernetického bezpečnostného incidentu.
"(1) Orgán verejnej moci, prevádzkovateľ základnej služby a právnická osoba v sektore podľa prílohy č. 1 sú povinní poskytnúť úradu na plnenie jeho úloh pri riešení kybernetického bezpečnostného incidentu podľa tohto zákona požadovanú súčinnosť a informácie získané z vlastnej činnosti dôležité na zabezpečenie kybernetickej bezpečnosti a riešenie kybernetického bezpečnostného incidentu; informácie sa poskytujú len za podmienky, že sú nevyhnutné pre riešenie kybernetického bezpečnostného incidentu a ich poskytnutím nedôjde k ohrozeniu plnenia konkrétnej úlohy podľa osobitného predpisu, 13a, podľa spravodajskej služby podľa osobitného
predpisu, 13, teda to je odvolávka na tú poznámku pod čiarou, alebo k odhaleniu jej zdrojov, prostriedkov, totožnosti osôb, ktoré konajú v jej prospech, alebo k ohrozeniu medzinárodnej spravodajskej spolupráce."
Ďalší bod je čl. I bod 33, ktorý znie:
Ja vám prečítam najprv teda odôvodnenie: Navrhovaná zmena v porovnaní s vládnym návrhom ponúka presnejšiu definíciu politického rizika. Vládny návrh zákona obsahuje stručný taxatívny výpočet oblastí, ktoré zahŕňa analýza politického rizika. Navrhovaný výpočet zahŕňa širší okruh čiastkových oblastí, ktoré by mal štát zohľadňovať v rámci analýzy politického rizika, čím sa umožňuje lepšie a komplexnejšie posúdenie politického rizika. Navrhovaná zmena tiež lepšie implementuje strategické opatrenia vyplývajúce z EÚ toolboxu kybernetickej bezpečnosti 5G sietí. Odporúčanie komisie z 26. marca 2019 o kybernetickej bezpečnosti sietí 5G (ďalej len "Odporúčanie'') v recitáli 20 objasňuje "iné" faktory kybernetickej bezpečnosti nasledovne: "Iné faktory môžu zahŕňať regulačné alebo iné požiadavky, ktoré boli uložené dodávateľom zariadení informačných a komunikačných technológií. Pri posúdení významu týchto faktorov by sa malo okrem iného zohľadniť celkové riziko vplyvu tretej krajiny, najmä v súvislosti s jej modelom riadenia, absenciou dohôd o spolupráci v oblasti bezpečnosti alebo podobných opatrení, ako napr. rozhodnutí o primeranosti, súvisiacich s ochranou údajov medzi Úniou a dotknutou treťou krajinou, alebo či je táto krajina zmluvnou stranou viacstranných, medzinárodných alebo dvojstranných dohôd v oblasti kybernetickej bezpečnosti, boja proti počítačovej kriminalite alebo ochrany údajov": Podľa správy o pokroku členských štátov pri implementácii EÚ Toolboxu kybernetickej bezpečnosti 5G sietí medzi konkrétne faktory uplatňované jednotlivými členskými štátmi EÚ patria objektívne faktory, ako napr.
– pôvod dodávateľov alebo riziko ovplyvňovania zo strany tretích štátov (pri zohľadnení právneho a politického systému tretieho štátu);
– informácie špecifické pre konkrétny tretí štát a spravodajské informácie o možných rizikách a hrozbách, napr. v Holandsku vyhláška o bezpečnosti a integrite telekomunikácií z 28. novembra 2019 používa nasledujúce kritériá posúdenia rizika: služba alebo výrobok pochádza zo štátu, ktorého právne predpisy ukladajú neštátnym subjektom povinnosť spolupracovať s vládou tohto štátu, alebo ak je poskytovateľom (dodávateľom) služby alebo produktu priamo štátna (štátom vlastnená spoločnosť). Služba alebo produkt pochádza zo štátu s aktívnym útočným spravodajským programom zameraným na Holandsko a holandské záujmy, alebo dodávateľ pochádza zo štátu, s ktorým môžu byť vzťahy napäté do takej miery, že sú mysliteľné také vonkajšie aktivity, ktoré môžu mať vplyv na holandské záujmy.
Pozmeňujúci návrh spresňuje, že politické riziká vyhodnocuje vláda na základe stanoviska úradu a Bezpečnostnej rady po zohľadnení vyjadrení taxatívne vymedzených orgánov a inštitúcií.
Teraz konkrétne k zmenám. Je to, v § 20 sa za odsek 4 vkladá nový odsek 5, ktorý znie:
"(5) Bezpečnostné opatrenia sa prijímajú a realizujú na základe analýzy rizík kybernetickej bezpečnosti, ktorá určuje pravdepodobnosť vzniku škodlivej udalosti. Súčasťou analýzy rizík je aj analýza politického rizika tretej strany, pričom politické riziko sa posudzuje najmä vzhľadom na
a) plnenie záväzkov z medzinárodných zmlúv, ktorými je Slovenská republika viazaná a na jej členstvo v medzinárodných organizáciách,
b) možnosť ovplyvňovania a zasahovania do činnosti tretej strany štátom, ktorý nie je členským štátom Európskej únie a Organizácie Severoatlantickej zmluvy (ďalej len "cudzí štát"),
c) analýzu vlastníckej štruktúry a riadiacej štruktúry tretej strany vrátane vlastníckeho podielu cudzieho štátu a priamych zahraničných investícií do tretej strany,
d) analýzu právnych predpisov a medzinárodných záväzkov cudzieho štátu v oblasti ochrany základných ľudských práv a slobôd, kybernetickej bezpečnosti, boja proti počítačovej kriminalite, ochrany osobných údajov a ochrany informácií,
e) informácie špecifické pre cudzí štát a informácie spravodajskej služby o možných hrozbách pre záujmy Slovenskej republiky.
Politické riziká schvaľuje vláda Slovenskej republiky na základe stanoviska úradu. Stanovisko úradu sa predkladá Bezpečnostnej rade Slovenskej republiky. Politické riziká úrad zverejňuje v jednotnom informačnom systéme kybernetickej bezpečnosti. Úrad v analýze politického rizika zohľadní vyjadrenie Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstva hospodárstva Slovenskej republiky, Ministerstva vnútra Slovenskej republiky, Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky z oblasti ich pôsobnosti.
Doterajší odsek 5 sa označuje ako odsek 6.
Potom tu máme čl. I bod 37. Ide v podstate len o legislatívnu technikáliu.
Čiže za § 24 sa vkladá § 24a, ktorý vrátane nadpisu znie:
Ide v podstate, navrhovanou úpravou sa v porovnaní s vládnym návrhom spresňuje spôsob a rozsah poskytovania informácií zásadne iba na informácie o kybernetickom bezpečnostnom incidente. Pôvodne navrhovaná povinnosť priamo poskytovať systémové informácie zo sietí a informačných systémov, ktoré tvoria hranicu medzi sieťou, ktorú prevádzkuje prevádzkovateľ základnej služby a sieťou Internet, sa nahrádza iba povinnosťou automatizovaným spôsobom vyhodnocovať a nahlasovať kybernetický bezpečnostný incident.
§ 24a
Automatizované poskytovanie informácií
Ak je to vzhľadom na povahu alebo dôležitosť základnej služby potrebné a nedôjde k uzatvoreniu zmluvy podľa § 24 ods. 6, úrad môže rozhodnutím uložiť prevádzkovateľovi základnej služby povinnosť automatizovaným spôsobom vyhodnocovať výskyt kybernetického bezpečnostného incidentu a nahlasovať kybernetický bezpečnostný incident. Na tento účel zverejňuje úrad výstrahy, varovania a ďalšie informácie v jednotnom informačnom systéme kybernetickej bezpečnosti. Náklady spojené s technickým zabezpečením vyhodnocovania a nahlasovania kybernetického bezpečnostného incidentu znáša úrad.
(2) Povinnosť podľa odseku 1 nie je možné uložiť, ak ide o siete a informačné systémy, ktoré sa týkajú zabezpečenia obrany alebo bezpečnosti Slovenskej republiky.
(3) Úrad rozhodnutím podľa odseku 1 určí prevádzkovateľa základnej služby, ktorého sa povinnosť týka, spôsob poskytovania a rozsah informácií, ktoré sa týkajú automatizovaného spôsobu vyhodnocovania výskytu kybernetického bezpečnostného incidentu a nahlasovania kybernetického bezpečnostného incidentu a trvanie tejto povinnosti. Rozhodnutie sa môže týkať len takých informácií, ktoré sú nevyhnutné pre zabezpečenie kybernetickej bezpečnosti a riešenie kybernetického bezpečnostného incidentu, ak tento účel nemožno dosiahnuť inak.
(4) Obsah komunikácie a prenášaných správ a ochrana súkromia podľa osobitného predpisu, odkaz na poznámku pod čiarou 28a, plnením povinností podľa odseku 1 nie sú dotknuté."
Poznámka pod čiarou k odkazu 28a znie:
Zákon č. 166/2003 Z. z. o ochrane súkromia pred neoprávneným použitím informačno-technických prostriedkov a o zmene a doplnení niektorých zákonov (zákon o ochrane pred odpočúvaním) v znení neskorších predpisov."."
Ďalší bod, je to článok, bod 38.
Odôvodnenie: Podľa ústavy ust. § 5 ods. 1 písm. ae) Národný bezpečnostný úrad posudzuje bezpečnostné riziká tretej strany, ktorých posúdenie predkladá Bezpečnostnej rade Slovenskej republiky.
Naproti tomu vládou navrhované znenie ustanovenia § 27a predpokladá posúdenie rizika iba vo vzťahu k produktu, procesu a službe. Preto navrhujeme výslovne doplniť aj posudzovanie rizika samotnej tretej strany (dodávateľa), nielen produktov, procesov a služieb. V EÚ Toolboxe totiž boli členské štáty EÚ vyzvané:
– posilniť bezpečnostné požiadavky na operátorov mobilných sietí (napr. zaviesť kontroly prístupu, pravidlá bezpečnej prevádzky, monitorovanie, obmedzenia outsourcingu konkrétnych úloh a funkcií a tak ďalej),
– posúdiť rizikový profil dodávateľa a následne uplatniť príslušné obmedzenia pre dodávateľov považovaných za vysoko rizikových,
– zaistiť, aby mal každý operátor vhodnú stratégiu viacerých dodávateľov, aby sa obmedzila akákoľvek závislosť od jedného dodávateľa (alebo dodávateľov s podobným rizikovým profilom), zabezpečiť primeranú rovnováhu dodávateľov na vnútroštátnej úrovni a vyhnúť sa závislosti od dodávateľov považovaných za vysoko rizikových. Vo vzťahu k poslednej uvedenej povinnosti sa napr. v Taliansku vyžaduje vypracovanie projektu diverzifikácie, ktorý zahŕňa „vertikálnu" diverzifikáciu, čiže použitie systémov od rôznych dodávateľov v oblasti hardvéru a softvéru a "horizontálnu" diverzifikáciu (použitie rôznych softvérových riešení). Niekoľko členských štátov medzitým medzičasom zaviedlo opatrenia, ktoré napríklad požadujú, aby operátori predložili svoje vlastné stratégie diverzifikácie a zabezpečili prijatie opatrení na zvýšenie ich odolnosti a bezpečnostnej spoľahlivosti.
Túto povinnosť naším pozmeňujúcim návrhom navrhujeme zakotviť osobitne vo vzťahu k tým prevádzkovateľom základných služieb, ktorých sa dotkne zákaz alebo obmedzenie používania konkrétnych produktov, procesov, služieb alebo tretích strán.
Ďalej navrhujeme, aby podnet na začatie konania a posúdenia rizika a zákaze produktov, procesov, služieb alebo tretích strán mohol úradu predložiť aj iný orgán verejnej moci Slovenskej republiky, t. j. aby konanie nezačínalo iba na podnet, resp. ex offo z moci samotného úradu.
Tiež navrhujeme doplniť dobu maximálne dvoch rokov, na ktorú môže dôjsť k obmedzeniu používania rizikového produktu, procesu, služby či dodávateľa, a to aj opakovane. V prípade už využívaných produktov, procesov, služieb alebo tretích strán sa stanovuje minimálna doba dvoch rokov a maximálna doba piatich rokov, počas ktorej sa ešte produkty môžu používať. Zároveň však bude musieť prevádzkovateľ základnej služby do šiestich mesiacov vypracovať aj plán diverzifikácie, aby počas plynutia určenej doby minimalizoval riziko a závislosť od rizikového produktu, procesu, služby či dodávateľa.
Vypúšťajú sa vo vládnom návrhu obsiahnuté ustanovenia § 27b a 27c o blokovaní, a to z dôvodu neprimerane koncipovanej širokej navrhovanej pôsobnosti úradu. Blokovanie ako riešenie kybernetického bezpečnostného incidentu, ako nástroja jeho riešenia v podobe aplikácie ustanovenia § 27 v platnom znení zostáva v platnosti.
V čl. I bod 38 znie:
Za § 27 sa vkladá § 27a, ktorý vrátane nadpisu znie:
Obmedzenie používania produktu, procesu, služby alebo tretej strany
(1) Úrad môže rozhodnutím zakázať alebo obmedziť používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby, ak zistí, že takéto používanie
a) neumožňuje alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti a tým ohrozuje život alebo zdravie osôb, hospodárske fungovanie štátu, verejný poriadok, bezpečnosť alebo majetok osôb, alebo
b) ohrozuje bezpečnostné záujmy Slovenskej republiky.
(2) Konanie podľa ods. 1 úrad začne z vlastného podnetu alebo na základe odôvodneného podnetu iného orgánu verejnej moci Slovenskej republiky. Oznámenie o začatí konania úrad zverejní najmenej na 30 dní v jednotnom informačnom systéme kybernetickej bezpečnosti a na svojom webovom sídle a počas tejto doby nemôže vydať rozhodnutie.
(3) Úrad pred vydaním rozhodnutia podľa ods. 1 vždy vykoná vo vzťahu k produktu, procesu, službe alebo k tretej strane analýzu rizík podľa § 20 ods. 5 na základe vyjadrenia Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstva hospodárstva Slovenskej republiky, Ministerstva vnútra Slovenskej republiky, Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky z oblasti ich pôsobnosti. Návrh rozhodnutia predkladá Bezpečnostnej rade Slovenskej republiky a vláde Slovenskej republiky. Od stanoviska vlády Slovenskej republiky sa úrad nemôže odchýliť.
(4) Úrad vydá rozhodnutie podľa ods. 1 iba v prípade, ak prevádzkovateľ základnej služby alebo tretia strana nedostatky podľa ods. 1 neodstráni v primeranej lehote určenej úradom.
(5) Prevádzkovateľ základnej služby je povinný zdržať sa používania konkrétneho produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa ods. 1 na poskytovanie základnej služby alebo ich používanie obmedziť.
(6) Rozhodnutie podľa ods. 1 sa vyhlási zverejnením v Zbierke zákonov Slovenskej republiky, poznámka pod čiarou 28b), a účinky nadobúda dňom vyhlásenia. Ak je vyhlásené rozhodnutie podľa ods. 1 zmenené alebo zrušené, na právny akt, ktorým sa rozhodnutie podľa ods. 1 zmenilo alebo zrušilo, sa prvá veta použije rovnako.
(7) Ak úrad rozhodnutím podľa ods. 1 zakáže alebo obmedzí používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby, v rozhodnutí podľa ods. 1 zároveň určí primeranú dobu zákazu alebo obmedzenia používania konkrétneho produktu, procesu, služby alebo tretej strany, ktorá nemôže byť dlhšia ako dva roky. O zákaze alebo obmedzení podľa prvej vety môže úrad rozhodnúť aj opakovane.
(8) Ak ide o produkt, proces, službu alebo tretiu stranu, ktorú prevádzkovateľ základnej služby začal používať pred zverejnením rozhodnutia podľa ods. 1, je prevádzkovateľ základnej služby povinný zdržať sa používania alebo obmedziť používanie produktu, procesu, služby alebo tretej strany uvedenej v rozhodnutí podľa ods. 1 v primeranej lehote určenej v rozhodnutí, ktorá nie je kratšia ako dva roky a dlhšia ako päť rokov. Zároveň je prevádzkovateľ základnej služby povinný najneskôr do šiestich mesiacov od zverejnenia rozhodnutia podľa ods. 1 vykonať primerané bezpečnostné opatrenia na riadenie rizík podľa ods. 3."
Poznámka pod čiarou k odkazu 28b) znie:
28b) § 13 písm. f) zákona č. 400/2015 Z. z. o tvorbe právnych predpisov a o Zbierke zákonov Slovenskej republiky a o zmene a doplnení niektorých zákonov v znení neskorších predpisov."."
Ďalší bod. Ide v čl. I bode 41 v § 29 ods. 3 v poznámke pod čiarou k odkazu 31b) sa slová „STN EN ISO/IEC 17024" nahrádzajú slovami „STN EN ISO/IEC 17024 (015258)" a slová „(ISO/IEC 17024) (01 5258)" sa nahrádzajú slovami „Vestník Úradu pre normalizáciu, metrológiu a skúšobníctvo Slovenskej republiky č. 3/13."
Ide o legislatívnu úpravu, ktorou sa v poznámke pod čiarou spresňuje citácia slovenskej technickej normy doplnením odkazu na Vestník Úradu pre normalizáciu, metrológiu a skúšobníctvo Slovenskej republiky č. 3/13. Podľa § 4 ods. 1 písm. b) zákona č. 60/2018 Z. z. o technickej normalizácii v znení neskorších predpisov sa vo Vestníku zverejňujú oznámenia o slovenskej technickej norme vhodnej na posudzovanie zhody.
Ďalej tu máme § 29 ods. 6
Odôvodnenie: Precizuje sa platný text z dôvodu, aby nevznikala neodôvodnená povinnosť vykonať audit do dvoch rokov aj pre tých prevádzkovateľov základnej služby, ktorým bol v tomto čase nariadený audit úradom.
§ 29 ods. 6 znie:
"(6) Úrad môže kedykoľvek vykonať audit kybernetickej bezpečnosti u prevádzkovateľa základnej služby alebo požiadať certifikovaného audítora kybernetickej bezpečnosti, aby vykonal takýto audit u prevádzkovateľa základnej služby s cieľom potvrdiť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom."
Potom tu máme v čl. I bod 45, § 31 ods. 2 písm. d) sa slová "§ 24a ods. 1 a 2" nahrádzajú slovami "§ 24a ods. 1".
Ide o legislatívno-technickú úpravu vzhľadom na zmenu obsahu ods. 2.
V čl. I bod 48 znie, to máme ďalšiu úpravu.
Odôvodnenie: Namiesto techniky odkazu na príslušné články sa navrhuje technika odkazu na články nariadenia priamo v texte predpisu.
V ods. 7 sa slovo "údaje" nahrádza slovom "informácie".
Ide o legislatívnu úpravu, ktorou sa zosúlaďuje navrhovaný právny text s čl. 55 ods. 1 úvodnej vety nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 (zverejňuje tieto doplňujúce informácie o kybernetickej bezpečnosti'') a súčasne s ďalšími navrhovanými ustanoveniami v § 31, v ktorých sa používa termín "informácie".
Takže ten text znie:
V § 31 sa za ods. 5 vkladajú nové odseky 6 až 9, ktoré znejú:
"(6) Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi produktov, služieb alebo procesov, ktorý sa dopustí správneho deliktu tým, že podľa čl. 53 nariadenia (EÚ) 2019/881 vydá EÚ vyhlásenie o zhode, ktoré je v rozpore s požiadavkami ustanovenými v Európskom systéme certifikácie kybernetickej bezpečnosti.
(7) Úrad uloží pokutu od 300 eur do 100 000 eur výrobcovi alebo poskytovateľovi certifikovaných produktov, služieb alebo procesov alebo výrobcovi, alebo poskytovateľovi produktov, služieb a procesov, pre ktoré je vydané EÚ vyhlásenie o zhode, ktorý sa dopustí správneho deliktu tým, že nezverejní v elektronickej podobe alebo neaktualizuje doplňujúce informácie o kybernetickej bezpečnosti podľa čl. 55 ods. 1 písm. a) až d) nariadenia (EÚ) 2019/881.
(8) Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody držiteľovi európskeho certifikátu kybernetickej bezpečnosti alebo vydavateľovi EÚ vyhlásení o zhode, ktorý sa dopustí správneho deliktu tým, že
a) neposkytne vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti informácie potrebné na plnenie svojich úloh podľa čl. 58 ods. 8 písm. a) nariadenia (EÚ) 2019/881,
b) znemožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti viesť vyšetrovanie v podobe auditu podľa čl. 58 ods. 8 písm. b) nariadenia (EÚ) 2019/881.
(9) Úrad uloží pokutu od 300 eur do 100 000 eur orgánu posudzovania zhody alebo držiteľovi európskeho certifikátu kybernetickej bezpečnosti, ktorý sa dopustí správneho deliktu tým, že neumožní vnútroštátnemu orgánu pre certifikáciu kybernetickej bezpečnosti prístup do priestorov podľa čl. 58 ods. 8 písm. d) nariadenia (EÚ) 2019/881."
Doterajšie odseky 6 až 12 sa označujú ako odseky 10 až 16."
Potom tu máme § 32 sa ods.1 dopĺňa písm. g) a h), ktoré znejú:
V podstate ide o odôvodnenie Nadväzujúca úprava vzhľadom na vypustenie blokovania.
Takže tieto znejú:
"g) certifikácia schémy a postupy v systéme certifikácie kybernetickej bezpečnosti,
h) bezpečnostné opatrenia, ak si to vyžadujú právne záväzné akty a odporúčania Európskej únie pre oblasť kybernetickej bezpečnosti."."
Ďalší bod, teda je to § 33 ods. 1 sa slová "§ 17 ods. 6, § 21 ods. 4 a § 27" nahrádzajú slovami "§ 17, § 21 a § 27"."
Odôvodnenie: Nadväzujúca úprava vzhľadom na vypustenie § 27b a 27c. Vo vzťahu k ust. § 27a) sa, naopak, predpokladá aplikácia správneho poriadku a súdna preskúmateľnosť.
Ďalší bod je, bod 58 znie:
Najprv odôvodnenie: Navrhovaná zmena v porovnaní s vládnym návrhom zužuje reguláciu v sektore digitálna infraštruktúra a odstraňuje prevádzkovateľa obchodu na internete s možnosťou vyhľadávania, objednávania a nákupu tovarov a služieb ako prevádzkovateľa služby v prílohe č. 1 zákona.
58. V prílohe č. 1 v sektore "3. Digitálna infraštruktúra" sa v stĺpci „Prevádzkovateľ služieb" vkladá nový riadok, ktorý znie: "poskytovateľ služieb webhostingu, DNS hostingu alebo mailhostingu"."
To je, takže toto bol pozmeňujúci návrh, ktorý som predniesol, takže dúfam, že nájde pochopenie a podporu. Ďakujem veľmi pekne.
Skryt prepis
 

Vystúpenie spoločného spravodajcu 17.6.2021 15:02 - 15:04 hod.

Juraj Krúpa Zobrazit prepis
Vážený pán predsedajúci, Výbor Národnej rady Slovenskej republiky pre obranu a bezpečnosť ako gestorský výbor k návrhu na aktualizáciu vojenského zastúpenia Slovenskej republiky pri orgánoch NATO/EÚ a návrhu na vyslanie príslušníkov OS SR do orgánov vojenského zastúpenia pri NATO/EÚ a do vojenských štruktúr NATO/EÚ podáva Národnej rade Slovenskej republiky túto správu.
Predseda Národnej rady Slovenskej republiky svojím rozhodnutím č. 575 z 31. mája 2021 pridelil návrh na aktualizáciu vojenského zastúpenia Slovenskej republiky pri orgánoch NATO/EÚ a návrh na vyslanie príslušníkov OS SR do orgánov vojenského zastúpenia pri NATO/EÚ, ako aj do vojenských štruktúr NATO/EÚ na prerokovanie Zahraničnému výboru Národnej rady Slovenskej republiky, Výboru Národnej rady Slovenskej republiky pre obranu a bezpečnosť.
Zahraničný výbor Národnej rady Slovenskej republiky o predmetnom návrhu nerokoval, pretože podľa § 52 ods. 2 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady v znení neskorších predpisov nebol uznášaniaschopný.
Výbor Národnej rady Slovenskej republiky pre obranu a bezpečnosť prerokoval návrh na aktualizáciu vojenského zastúpenia SR pri orgánoch NATO/EÚ a návrh na vyslanie príslušníkov OS SR do orgánov vojenského zastúpenia pri NATO/EÚ a do vojenských štruktúr pri NATO/EÚ v určenej lehote a odporučil Národnej rade Slovenskej republiky na základe čl. 86 písm. l) Ústavy Slovenskej republiky vysloviť súhlas s aktualizáciou vojenského zastúpenia SR pri orgánoch NATO/EÚÚ a návrh na vyslanie príslušníkov OS SR do orgánov vojenského zastúpenia pri NATO/EÚ, a do vojenských štruktúr NATO/EÚ. Prílohou tejto správy je návrh na uznesenie Národnej rady Slovenskej republiky.
Pán predsedajúci, skončil som. Prosím, otvorte rozpravu.
Skryt prepis