Inteligentné zákony pre účtovníkov
Uvádzacia cena

Zákon o kritickej infraštruktúre 2020

45/2011 Z. z.
Časová verzia predpisu účinná od 01.07.2020
45
ZÁKON
z 8. februára 2011
o kritickej infraštruktúre
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
§1 Predmet zákona
Tento zákon ustanovuje
a)
organizáciu a pôsobnosť orgánov štátnej správy na úseku kritickej infraštruktúry,
b)
postup pri určovaní prvku kritickej infraštruktúry,
c)
povinnosti prevádzkovateľa pri ochrane prvku kritickej infraštruktúry a zodpovednosť za porušenie týchto povinností.
§2 Vymedzenie základných pojmov
Na účely tohto zákona sa rozumie
a)
prvkom kritickej infraštruktúry (ďalej len „prvok“) najmä inžinierska stavba,2) služba vo verejnom záujme a informačný systém v sektore kritickej infraštruktúry, ktorých narušenie alebo zničenie by malo podľa sektorových kritérií a prierezových kritérií závažné nepriaznivé dôsledky na uskutočňovanie hospodárskej a sociálnej funkcie štátu, a tým na kvalitu života obyvateľov z hľadiska ochrany ich života, zdravia, bezpečnosti, majetku, ako aj životného prostredia,
b)
sektorom kritickej infraštruktúry (ďalej len „sektor“) časť kritickej infraštruktúry, do ktorej sa zaraďujú prvky; sektor môže obsahovať jeden alebo viac podsektorov kritickej infraštruktúry (ďalej len „podsektor“),
c)
kritickou infraštruktúrou systém, ktorý sa člení na sektory a prvky,
d)
sektorovými kritériami súbor technických a funkčných kritérií s prahovými hodnotami, ktoré sa uplatňujú pri určovaní prvkov toho istého sektora,
e)
prierezovými kritériami súbor kritérií s prahovými hodnotami, ktoré sa uplatňujú prierezovo pri určovaní prvkov všetkých sektorov,
f)
prvkom európskej kritickej infraštruktúry najmä inžinierska stavba,2) služba vo verejnom záujme a informačný systém v sektore, ktorých narušenie alebo zničenie by malo podľa európskych sektorových kritérií a európskych prierezových kritérií závažné nepriaznivé dôsledky uvedené v písmene a) v Slovenskej republike a aspoň v jednom ďalšom členskom štáte Európskej únie (ďalej len „dotknutý členský štát“),
g)
európskymi sektorovými kritériami súbor technických a funkčných kritérií s prahovými hodnotami, ktoré sa uplatňujú pri určovaní prvkov európskej kritickej infraštruktúry toho istého sektora,
h)
európskymi prierezovými kritériami súbor kritérií s prahovými hodnotami, ktoré sa uplatňujú prierezovo pri určovaní prvkov európskej kritickej infraštruktúry,
i)
ochranou prvku zabezpečenie funkčnosti, integrity a kontinuity činnosti prvku s cieľom predísť, odvrátiť alebo zmierniť hrozbu jeho narušenia alebo zničenia,
j)
analýzou rizík sektora dokument, ktorý obsahuje posúdenie hrozby narušenia alebo zničenia sektora, jeho zraniteľné miesta, ako aj predpokladané dôsledky narušenia alebo zničenia sektora,
k)
citlivou informáciou o kritickej infraštruktúre (ďalej len „citlivá informácia“) neverejná informácia, ktorej zverejnenie by sa mohlo zneužiť na činnosť smerujúcu k narušeniu alebo zničeniu prvku,
l)
prevádzkovateľom právnická osoba, fyzická osoba – podnikateľ alebo fyzická osoba, ktorá je vlastníkom prvku alebo z iného právneho dôvodu prevádzkuje prvok,
m)
mechanickým zábranným prostriedkom prostriedok
1.
obvodovej ochrany, najmä pevná bariéra, brána, závora a turniket,
2.
plášťovej ochrany, najmä dvere, mreža, bezpečnostné sklo a bezpečnostná zámka,
3.
predmetovej ochrany, najmä komorový trezor a komerčný úschovný objekt,
n)
technickým zabezpečovacím prostriedkom najmä systém na kontrolu vstupu, elektronický zabezpečovací systém, kamerový systém, elektrická požiarna signalizácia, zariadenie na detekciu látok a predmetov, zariadenie proti odpočúvaniu a zariadenie na fyzické ničenie nosičov informácií.

Organizácia a pôsobnosť orgánov štátnej správy na úseku kritickej infraštruktúry

§3
Štátnu správu na úseku kritickej infraštruktúry vykonávajú
a)
vláda Slovenskej republiky (ďalej len „vláda“),
b)
Ministerstvo vnútra Slovenskej republiky (ďalej len „ministerstvo“),
c)
Ministerstvo hospodárstva Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky a Ministerstvo dopravy a výstavby Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky a Ministerstvo zdravotníctva Slovenskej republiky (ďalej len „ústredný orgán“).
§4
Vláda na úseku kritickej infraštruktúry
a)
schvaľuje koncepciu kritickej infraštruktúry, v ktorej určuje na príslušné obdobie ciele, priority a úlohy, ako aj spôsoby ich uskutočňovania,
b)
schvaľuje medzirezortný program kritickej infraštruktúry na finančné zabezpečenie úloh vyplývajúcich z tohto zákona,
c)
určuje sektorové kritériá, európske sektorové kritériá, prierezové kritériá a európske prierezové kritériá,
d)
rozhoduje o určení prvku a jeho zaradení do sektora, ako aj o vyradení prvku zo sektora.
§5
Ministerstvo na úseku kritickej infraštruktúry
a)
vypracúva v spolupráci s ústrednými orgánmi návrh koncepcie kritickej infraštruktúry, ktorý predkladá vláde,
b)
koordinuje výkon štátnej správy uskutočňovaný ústrednými orgánmi,
c)
predkladá so svojím stanoviskom vláde návrh sektorových kritérií a európskych sektorových kritérií,
d)
vypracúva v spolupráci s ústrednými orgánmi návrh prierezových kritérií a európskych prierezových kritérií, ktorý predkladá vláde,
e)
predkladá so svojím stanoviskom vláde návrh na určenie prvku a jeho zaradenie do sektora, ako aj návrh na vyradenie prvku zo sektora,
f)
oznamuje príslušnému ústrednému orgánu rozhodnutie o určení prvku a zaradení prvku do sektora, ako aj rozhodnutie o vyradení prvku zo sektora,
g)
vypracúva ako gestor v spolupráci s ústrednými orgánmi návrh medzirezortného programu kritickej infraštruktúry, ktorý predkladá vláde,
h)
určuje v rámci svojej pôsobnosti rozsah citlivých informácií,
i)
určuje osobu oprávnenú na oboznamovanie sa s citlivou informáciou (ďalej len „oprávnená osoba“),
j)
spravuje v elektronickej forme neverejný centrálny register prvkov v rozsahu
1.
názov ústredného orgánu, sektor, podsektor, obchodné meno alebo názov, sídlo, predmet činnosti, prvok, kontaktná osoba, dotknutý členský štát, meno, priezvisko a adresa trvalého pobytu štatutárneho orgánu alebo členov štatutárneho orgánu, identifikačné číslo organizácie, ak prevádzkovateľ je právnická osoba,
2.
názov ústredného orgánu, sektor, podsektor, obchodné meno, miesto podnikania, predmet činnosti, prvok, kontaktná osoba, dotknutý členský štát, adresa trvalého pobytu, identifikačné číslo organizácie, ak prevádzkovateľ je fyzická osoba – podnikateľ; to sa vzťahuje aj na prevádzkovateľa, ktorý je fyzická osoba okrem obchodného mena a miesta podnikania,
k)
kontroluje v spolupráci s príslušným ústredným orgánom plnenie povinností prevádzkovateľa prvku európskej kritickej infraštruktúry,
l)
je kontaktným miestom na ochranu prvkov európskej kritickej infraštruktúry, ktoré najmä
1.
koordinuje s dotknutým členským štátom a Európskou komisiou (ďalej len „Komisia“) záležitosti týkajúce sa ochrany prvku európskej kritickej infraštruktúry,
2.
zúčastňuje sa spolu s príslušným ústredným orgánom rokovania s príslušným orgánom dotknutého členského štátu pri určovaní prvku európskej kritickej infraštruktúry,
3.
môže požiadať Komisiu o pomoc pri určovaní prvku európskej kritickej infraštruktúry,
4.
informuje dotknutý členský štát o určení prvku európskej kritickej infraštruktúry a o dôvode tohto určenia,
5.
môže požiadať Komisiu o súčinnosť pri zabezpečení účasti Slovenskej republiky na rokovaní s iným členským štátom Európskej únie pri určovaní európskej kritickej infraštruktúry na jeho území, ak jej narušenie alebo zničenie by malo závažné nepriaznivé dôsledky v Slovenskej republike a Slovenská republika nebola týmto štátom takto identifikovaná,
6.
informuje Komisiu o predĺžení lehoty na zavedenie bezpečnostného plánu prevádzkovateľa (ďalej len „bezpečnostný plán“) prvku európskej kritickej infraštruktúry,
7.
informuje raz za rok Komisiu o počte prvkov európskej kritickej infraštruktúry podľa sektorov a o počte dotknutých členských štátov,
8.
predkladá raz za dva roky Komisii správu o rizikách, hrozbách a zraniteľných miestach v sektoroch, v ktorých sú prvky európskej kritickej infraštruktúry,
9.
informuje dotknutý členský štát o vyradení prvku európskej kritickej infraštruktúry zo sektora a o dôvode tohto vyradenia,
m)
môže spolupracovať v rozsahu svojej pôsobnosti s obdobnou inštitúciou so sídlom v zahraničí.
§6
Ústredný orgán na úseku kritickej infraštruktúry v sektore vo svojej pôsobnosti
a)
vypracúva návrh sektorových kritérií a európskych sektorových kritérií, ktorý predkladá ministerstvu,
b)
uplatňuje postup podľa § 8 a vypracúva návrh na určenie prvku a jeho zaradenie do sektora, ako aj návrh na vyradenie prvku zo sektora, ktoré predkladá ministerstvu,
c)
oznamuje prevádzkovateľovi rozhodnutie o určení prvku a zaradení prvku do sektora, ako aj rozhodnutie o vyradení prvku zo sektora,
d)
prehodnocuje priebežne prvok podľa sektorových kritérií a prierezových kritérií a prvok európskej kritickej infraštruktúry podľa európskych sektorových kritérií a európskych prierezových kritérií,
e)
vypracúva analýzu rizík sektora a jej aktualizáciu, ktorú predkladá ministerstvu,
f)
vyjadruje sa písomne k bezpečnostnému plánu a jeho aktualizácii; oznamuje ministerstvu predĺženie lehoty na zavedenie bezpečnostného plánu,
g)
určuje v spolupráci s prevádzkovateľom rozsah citlivých informácií,
h)
určuje oprávnenú osobu,
i)
spravuje v elektronickej forme neverejný register prvkov v rozsahu podľa § 5 písm. j); oznamuje ministerstvu zmeny údajov v registri,
j)
vypracúva zameranie kontrolnej činnosti a kontroluje plnenie povinností prevádzkovateľa,
k)
predkladá ministerstvu súhrnnú správu o kontrole prevádzkovateľov do 31. marca nasledujúceho roku za predchádzajúci kalendárny rok,
l)
prejednáva priestupky a iné správne delikty,
m)
môže spolupracovať v rozsahu svojej pôsobnosti s obdobnou inštitúciou so sídlom v zahraničí.
§7 Sektorové kritériá, európske sektorové kritériá, prierezové kritériá a európske prierezové kritériá
(1)
Sektorové kritériá a európske sektorové kritériá sa určujú podľa charakteristiky príslušného sektora.
(2)
Prierezové kritériá a európske prierezové kritériá sa ustanovujú podľa predpokladaného
a)
počtu ohrozených osôb, z toho usmrtených osôb a zranených osôb,
b)
hospodárskeho vplyvu, ktorým je rozsah
1.
hospodárskych strát,
2.
zhoršenie kvality tovaru,
3.
zhoršenie kvality poskytovania služby vo verejnom záujme,
4.
negatívneho vplyvu na životné prostredie,
c)
vplyvu na obyvateľov, ktorým je narušenie kvality života obyvateľov z hľadiska
1.
závažnosti výpadku dodávky tovaru a času jej obnovy,
2.
závažnosti výpadku poskytovania služby vo verejnom záujme a času jeho obnovy,
3.
dostupnosti náhrady dodávky tovaru,
4.
dostupnosti náhrady poskytovania služby vo verejnom záujme.
§8 Postup pri určovaní prvku a prvku európskej kritickej infraštruktúry
(1)
Prvok sa určuje podľa sektorových kritérií a prierezových kritérií.
(2)
Na určenie prvku sa vyžaduje splnenie aspoň jedného sektorového kritéria a aspoň jedného prierezového kritéria.
(3)
Prvok európskej kritickej infraštruktúry sa určuje podľa európskych sektorových kritérií a európskych prierezových kritérií.
(4)
Na určenie prvku európskej kritickej infraštruktúry sa vyžaduje splnenie aspoň jedného európskeho sektorového kritéria a aspoň jedného európskeho prierezového kritéria.
(5)
Prvok európskej kritickej infraštruktúry možno určiť len po dohode s príslušným orgánom dotknutého členského štátu.
(6)
Postup podľa etáp pri určovaní prvku a prvku európskej kritickej infraštruktúry je uvedený v prílohe č. 1.
§9 Povinnosti prevádzkovateľa
(1)
Prevádzkovateľ je povinný ochraňovať prvok pred narušením alebo zničením. Na ten účel prevádzkovateľ je povinný
a)
uplatniť pri modernizácii prvku technológiu, ktorá zabezpečuje jeho ochranu,
b)
zaviesť bezpečnostný plán po predchádzajúcom vyjadrení príslušného ústredného orgánu do šiestich mesiacov od doručenia oznámenia o určení prvku a o jeho zaradení do sektora, ak sa vo výnimočnom odôvodnenom prípade nedohodne s príslušným ústredným orgánom na predĺžení tejto lehoty; lehotu je možné predĺžiť iba jedenkrát, maximálne o tri mesiace,
c)
prehodnocovať priebežne bezpečnostný plán, a ak je to potrebné, zaviesť po predchádzajúcom vyjadrení príslušného ústredného orgánu aktualizovaný bezpečnostný plán,
d)
oboznámiť svojich zamestnancov v nevyhnutnom rozsahu s bezpečnostným plánom,
e)
precvičiť podľa bezpečnostného plánu aspoň raz za tri roky modelovú situáciu hrozby narušenia alebo zničenia prvku,
f)
určiť oprávnenú osobu, ktorá je zároveň kontaktná osoba, ak ide o prvok európskej kritickej infraštruktúry,
g)
poskytnúť príslušnému ústrednému orgánu súčinnosť, najmä údaje, doklady a vysvetlenia potrebné na
1.
určenie prvku a jeho zaradenie do sektora, ako aj vyradenie prvku zo sektora,
2.
posúdenie ochrany prvku vrátane zabezpečenia ochrany prvku prevádzkovateľom strážnej služby3) alebo ozbrojeným bezpečnostným zborom,
3.
vypracovanie analýzy rizík sektora,
4.
správu registra prvkov,
h)
postupovať podľa bezpečnostného plánu v prípade hrozby narušenia alebo zničenia prvku.
(2)
Prevádzkovateľ je povinný bezodkladne oznámiť príslušnému ústrednému orgánu
a)
zmenu v predmete činnosti, ktorá môže mať vplyv na určenie prvku a jeho zaradenie do sektora,
b)
predaj prvku alebo inú zmenu majetkovoprávneho vzťahu k prvku,
c)
vstup do likvidácie, vyhlásenie konkurzu alebo povolenie reštrukturalizácie.
(3)
Na prevádzkovateľa, ktorý vypracúva havarijný plán alebo obdobný bezpečnostný dokument podľa osobitného predpisu,4) sa nevzťahuje odsek 1 písm. b), c), d) e) a h).
§10 Bezpečnostný plán
(1)
Bezpečnostný plán obsahuje popis možných spôsobov hrozby narušenia alebo zničenia prvku, zraniteľné miesta prvku a bezpečnostné opatrenia na jeho ochranu.
(2)
Bezpečnostné opatrenia na ochranu prvku sú najmä mechanické zábranné prostriedky, technické zabezpečovacie prostriedky, bezpečnostné opatrenia podľa osobitného predpisu,4a) fyzická ochrana, organizačné opatrenia, kontrolné opatrenia a ich vzájomná kombinácia.
(3)
Rozsah bezpečnostných opatrení na ochranu prvku sa určuje na základe posúdenia hrozby narušenia alebo zničenia prvku.
(4)
Minimálny postup pri vypracúvaní bezpečnostného plánu je uvedený v prílohe č. 2.
§11 Kontaktná osoba
(1)
Kontaktná osoba zabezpečuje styk medzi prevádzkovateľom prvku európskej kritickej infraštruktúry, príslušným ústredným orgánom a ministerstvom pri ochrane prvku európskej kritickej infraštruktúry, najmä výmenu informácií o hrozbe jeho narušenia alebo zničenia.
(2)
Kontaktná osoba je zamestnancom prevádzkovateľa.
(3)
Kontaktná osoba musí byť bezúhonná. Za bezúhonnú sa na účely tohto zákona považuje fyzická osoba, ktorá nebola právoplatne odsúdená za trestný čin. Bezúhonnosť sa preukazuje výpisom z registra trestov. Na účel preukázania bezúhonnosti poskytne fyzická osoba údaje potrebné na vyžiadanie výpisu z registra trestov.4b) Údaje podľa štvrtej vety ministerstvo bezodkladne zašle v elektronickej podobe prostredníctvom elektronickej komunikácie Generálnej prokuratúre Slovenskej republiky na vydanie výpisu z registra trestov.
§12 Citlivá informácia
(1)
Písomnosť alebo iný hmotný nosič, ktorý obsahuje citlivú informáciu, sa označuje slovami „Kritická infraštruktúra – nezverejňovať“.
(2)
Oprávnená osoba je povinná zachovávať mlčanlivosť o citlivej informácii, a to aj po zániku jej oprávnenia oboznamovať sa s citlivou informáciou.
(3)
Citlivá informácia sa nesprístupňuje podľa osobitného predpisu.5)
§13 Vyradenie prvku a prvku európskej kritickej infraštruktúry zo sektora
(1)
Prvok sa vyradí zo sektora, ak nespĺňa aspoň jedno sektorové kritérium a aspoň jedno prierezové kritérium.
(2)
Prvok európskej kritickej infraštruktúry sa vyradí zo sektora, ak nespĺňa aspoň jedno európske sektorové kritérium a aspoň jedno európske prierezové kritérium.
§14 Priestupky
(1)
Priestupku na úseku kritickej infraštruktúry sa dopustí fyzická osoba, ak poruší povinnosť podľa § 12 ods. 2.
(2)
Priestupku na úseku kritickej infraštruktúry sa dopustí iná fyzická osoba ako v odseku 1, ak úmyselne vyzradí citlivú informáciu.
(3)
Priestupky podľa tohto zákona prejednáva ústredný orgán, v ktorého pôsobnosti došlo k porušeniu povinnosti zakladajúcej priestupok.
(4)
Za priestupky podľa odsekov 1 a 2 ústredný orgán uloží pokutu od 200 eur do 3 000 eur.
(5)
Na priestupky a ich prejednávanie sa vzťahuje všeobecný predpis o priestupkoch,6) ak tento zákon neustanovuje inak.
§15 Iné správne delikty
(1)
Prevádzkovateľ sa dopustí správneho deliktu na úseku kritickej infraštruktúry, ak poruší niektorú z povinností podľa § 9 ods. 1 a 2.
(2)
Ústredný orgán, v ktorého pôsobnosti došlo k porušeniu povinnosti zakladajúcej správny delikt, uloží prevádzkovateľovi pokutu
a)
od 500 eur do 50 000 eur, ak poruší niektorú z povinností podľa § 9 ods. 2,
b)
od 1 000 eur do 200 000 eur, ak poruší niektorú z povinností podľa § 9 ods. 1.
(3)
Ústredný orgán prihliada pri určení výšky pokuty na závažnosť, okolnosti, spôsob, čas trvania a následky porušenia povinnosti.
(4)
Pokutu možno uložiť do dvoch rokov odo dňa, keď sa ústredný orgán dozvedel o porušení povinnosti, najneskôr však do troch rokov odo dňa, keď k porušeniu povinnosti došlo.
(5)
Pokuta je splatná do 30 dní od nadobudnutia právoplatnosti rozhodnutia o uložení pokuty.
(6)
Na ukladanie pokút sa vzťahuje všeobecný predpis o správnom konaní.7)
(7)
Výnos pokút je príjmom štátneho rozpočtu.

Spoločné, prechodné a záverečné ustanovenia

§16
(1)
Sektory v pôsobnosti ústredných orgánov sú uvedené v prílohe č. 3.
(2)
Na rozhodovanie o určení prvku a jeho zaradení do sektora, ako aj na rozhodovanie o vyradení prvku zo sektora sa nevzťahuje všeobecný predpis o správnom konaní.7)
(3)
Na určenie utajovanej skutočnosti na úseku kritickej infraštruktúry sa vzťahuje osobitný predpis.8)
(4)
Na výkon kontroly plnenia povinností prevádzkovateľa sa vzťahujú základné pravidlá kontrolnej činnosti podľa osobitného predpisu.9)
(6)
Ustanoveniami tohto zákona nie sú dotknuté vylúčenia podľa osobitného predpisu o kybernetickej bezpečnosti10) z požiadaviek týkajúcich sa bezpečnosti sietí, infraštruktúr a informačných systémov a oznamovania kybernetických bezpečnostných incidentov v sektore bankovníctva, financií alebo finančného systému podľa osobitných predpisov11) vrátane štandardov a zásad vydaných alebo prijatých Európskou centrálnou bankou, Európskym systémom centrálnych bánk, Eurosystémom alebo európskymi orgánmi dohľadu,12) ak ich účinok je najmenej rovnocenný s účinkom povinností podľa tohto zákona, vrátane rozhodnutí, štandardov a zásad vydaných alebo prijatých Národnou bankou Slovenska, ak ich cieľom je dosiahnuť rovnocennú alebo vyššiu úroveň bezpečnosti sietí, infraštruktúr a informačných systémov, než sa dosiahne pri dodržiavaní ustanovení tohto zákona, a ani na platobné systémy a na systémy zúčtovania a vyrovnania cenných papierov a ich infraštruktúry dohliadané alebo prevádzkované Európskou centrálnou bankou alebo Eurosystémom podľa osobitných predpisov.13)
(7)
Ústredný orgán si vyžiada vyjadrenie Národnej banky Slovenska alebo Európskej centrálnej banky, ak plní úlohy podľa tohto zákona týkajúce sa dohliadaných subjektov finančného trhu podľa osobitných predpisov.14)
§17
(1)
Ústredný orgán predloží ministerstvu návrh sektorových kritérií do 31. marca 2011.
(2)
Ministerstvo predloží vláde návrh sektorových kritérií, európskych sektorových kritérií, prierezových kritérií a európskych prierezových kritérií do 31. mája 2011.
(3)
Ústredný orgán predloží ministerstvu návrh na určenie prvku a jeho zaradenie do sektora do 31. augusta 2011.
(4)
Ministerstvo predloží vláde návrh na určenie prvkov a ich zaradenie do sektorov do 31. októbra 2011.
(5)
Ústredný orgán predloží ministerstvu analýzu rizík sektora do 31. októbra 2012.
§17a Prechodné ustanovenia k úprave účinnej od 1. júla 2020
(1)
Pôsobnosť Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, podľa tohto zákona v znení účinnom do 30. júna 2020 prechádza na Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky.
(2)
V súvislosti s prechodom kompetencie podľa odseku 1 prechádzajú od 1. júla 2020 práva a povinnosti Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu vrátane práv a povinností zo štátnozamestnaneckých pomerov, pracovnoprávnych vzťahov a iných právnych vzťahov zamestnancov na Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky. Majetok štátu, ktorý bol k 30. júnu 2020 v správe Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, prechádza k 1. júlu 2020 do správy Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky.
§18
Týmto zákonom sa preberajú právne záväzné akty Európskej únie uvedené v prílohe č. 4.
§19
Tento zákon nadobúda účinnosť 1. marca 2011.
Ivan Gašparovič v. r.

Richard Sulík v. r.

Iveta Radičová v. r.
Príloha č. 1 k zákonu č. 45/2011 Z. z.
POSTUP PODĽA ETÁP PRI URČOVANÍ PRVKU A PRVKU EURÓPSKEJ KRITICKEJ INFRAŠTRUKTÚRY
Pri určovaní prvku a prvku európskej kritickej infraštruktúry sa postupuje takto:
1.
Prvá etapa
Uplatňujú sa sektorové kritériá s cieľom uskutočniť prvý výber predpokladaných prvkov v rámci sektora. Ak niektorý z predpokladaných prvkov spĺňa aspoň jedno sektorové kritérium, posudzuje sa v druhej etape.
2.
Druhá etapa
Uplatňujú sa prierezové kritériá na predpokladané prvky vybrané v prvej etape. Ak niektorý z predpokladaných prvkov spĺňa aspoň jedno prierezové kritérium, navrhne sa na určenie prvku a na zaradenie do sektora.
3.
Tretia etapa
Uplatňujú sa európske sektorové kritériá na účel výberu predpokladaných prvkov európskej kritickej infraštruktúry z navrhnutých prvkov v druhej etape. Ak niektorý z predpokladaných prvkov európskej kritickej infraštruktúry spĺňa aspoň jedno európske sektorové kritérium, posudzuje sa v štvrtej etape.
4.
Štvrtá etapa
Uplatňujú sa európske prierezové kritériá na predpokladané prvky európskej kritickej infraštruktúry vybrané v tretej etape. Ak niektorý z predpokladaných prvkov európskej kritickej infraštruktúry spĺňa aspoň jedno európske prierezové kritérium, navrhne sa na určenie prvku európskej kritickej infraštruktúry a na zaradenie do sektora.
Príloha č. 2 k zákonu č. 45/2011 Z. z.
MINIMÁLNY POSTUP PRI VYPRACÚVANÍ BEZPEČNOSTNÉHO PLÁNU
Pri vypracúvaní bezpečnostného plánu sa postupuje takto:
A.
Určujú sa dôležité zariadenia prvku.
B.
Vyhodnocuje sa riziko hrozby narušenia alebo zničenia jednotlivých zariadení prvku, ich zraniteľné miesta, predpokladané dôsledky ich narušenia alebo zničenia na funkčnosť, integritu a kontinuitu činnosti prvku.
C.
Uskutočňuje sa výber hlavných bezpečnostných opatrení na ochranu prvku, ktoré sa členia na
a)
trvalé bezpečnostné opatrenia, ktorými sú investície a postupy na zabezpečenie ochrany prvku, a to
1.
mechanické zábranné prostriedky,
2.
technické zabezpečovacie prostriedky,
3.
bezpečnostné prvky informačných systémov,
4.
organizačné opatrenia s dôrazom na postup pri vyrozumení a varovaní, ako aj na krízové riadenie,
5.
odborná príprava osôb, ktoré zabezpečujú ochranu prvku,
6.
kontrolné opatrenia na dodržiavanie trvalých bezpečnostných opatrení,
b)
mimoriadne bezpečnostné opatrenia, ktoré sa uplatňujú v závislosti od intenzity hrozby narušenia alebo zničenia prvku.
D.
Určujú sa hlavné bezpečnostné opatrenia na ochranu prvku.
E.
Bezpečnostný plán sa počas jeho tvorby konzultuje s orgánmi, ktorých súčinnosť sa predpokladá pri ochrane prvku.
Príloha č. 3 k zákonu č. 45/2011 Z. z.
SEKTORY V PÔSOBNOSTI ÚSTREDNÝCH ORGÁNOV
Sektor Podsektor Ústredný orgán
1. Doprava Cestná doprava
Letecká doprava
Vodná doprava
Železničná doprava
Ministerstvo dopravy a výstavby Slovenskej republiky
2. Elektronické komunikácie Satelitná komunikácia
Siete a služby pevných elektronických komunikácií a mobilných elektronických komunikácií
Ministerstvo dopravy a výstavby Slovenskej republiky
3. Energetika Baníctvo
Elektroenergetika
Plynárenstvo
Ropa a ropné produkty
Ministerstvo hospodárstva Slovenskej republiky
4. Pošta Poskytovanie poštových služieb, poštový platobný styk a obstarávateľská činnosť Ministerstvo dopravy a výstavby Slovenskej republiky
5. Priemysel Farmaceutický priemysel
Hutnícky priemysel
Chemický priemysel
Ministerstvo hospodárstva Slovenskej republiky
6. Informačné a komunikačné technológie Informačné systémy a siete Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
7. Voda a atmosféra Meteorologická služba
Vodné stavby
Zabezpečovanie pitnej vody
Ministerstvo životného prostredia Slovenskej republiky
8. Zdravotníctvo Ministerstvo zdravotníctva Slovenskej republiky
9. Financie Bankovníctvo; tým nie sú dotknuté vylúčenia podľa osobitného predpisu o kybernetickej bezpečnosti.10)
Finančné trhy; tým nie sú dotknuté vylúčenia podľa osobitného predpisu o kybernetickej bezpečnosti.10)

Systémy riadenia verejných financií.
Ministerstvo financií Slovenskej republiky
Príloha č. 4 k zákonu č. 45/2011 Z. z.
ZOZNAM PREBERANÝCH PRÁVNE ZÁVÄZNÝCH AKTOV EURÓPSKEJ ÚNIE
Smernica Rady 2008/114/ES z 8. decembra 2008 o identifikácii a označení európskych kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu (Ú. v. EÚ, L 345, 23. 12. 2008).
2)
§ 43a ods. 3 zákona č. 50/1976 Zb. o územnom plánovaní a stavebnom poriadku (stavebný zákon) v znení neskorších predpisov.
3)
§ 3 zákona č. 473/2005 Z. z. o poskytovaní služieb v oblasti súkromnej bezpečnosti a o zmene a doplnení niektorých zákonov (zákon o súkromnej bezpečnosti) v znení neskorších predpisov.
4)
Napríklad zákon č. 261/2002 Z. z. o prevencii závažných priemyselných havárií a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
4a)
§ 20 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.
4b)
§ 10 ods. 4 písm. a) zákona č. 330/2007 Z. z. o registri trestov a o zmene a doplnení niektorých zákonov v znení zákona č. 91/2016 Z. z.
5)
Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov.
6)
Zákon Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov.
7)
Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení neskorších predpisov.
8)
Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
9)
Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov.
11)
Napríklad § 28c, § 28d, § 45 ods. 8 a § 64 ods. 4 zákona č. 492/2009 Z. z. o platobných službách a o zmene a doplnení niektorých zákonov, nariadenie Európskeho parlamentu a Rady (EÚ) č. 648/2012 zo 4. júla 2012 o mimoburzových derivátoch, centrálnych protistranách a archívoch obchodných údajov (Ú. v. EÚ L 201, 27. 7. 2012) v platnom znení, čl. 45 nariadenia Európskeho parlamentu a Rady (EÚ) č. 909/2014 z 23. júla 2014 o zlepšení vyrovnania transakcií s cennými papiermi v Európskej únii, centrálnych depozitároch cenných papierov a o zmene smerníc 98/26/ES a 2014/65/EÚ a nariadenia (EÚ) č. 236/2012 (Ú. v. EÚ L 257, 28. 8. 2014) v platnom znení, § 14 zákona č. 429/2002 Z. z. o burze cenných papierov v znení neskorších predpisov, delegované nariadenie Komisie (EÚ) 2017/584 zo 14. júla 2016, ktorým sa dopĺňa smernica Európskeho parlamentu a Rady 2014/65/EÚ, pokiaľ ide o regulačné technické predpisy bližšie určujúce organizačné požiadavky na obchodné miesta (Ú. v. EÚ L 87, 31. 3. 2017).
12)
Napríklad čl. 127 ods. 2 Zmluvy o fungovaní Európskej únie v platnom znení (Ú. v. EÚ C 202, 7. 6. 2016), čl. 12 ods. 12.1, čl. 22 Protokolu (č. 4) o Štatúte Európskeho systému centrálnych bánk a Európskej centrálnej banky v platnom znení (Ú. v. EÚ C 202, 7. 6. 2016), § 2 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení neskorších predpisov, § 2 ods. 9 zákona č. 747/2004 Z. z. o dohľade nad finančným trhom a o zmene a doplnení niektorých zákonov v znení zákona č. 132/2013 Z. z., nariadenie Rady (EÚ) č. 1024/2013 z 15. októbra 2013, ktorým sa Európska centrálna banka poveruje osobitnými úlohami, pokiaľ ide o politiky týkajúce sa prudenciálneho dohľadu nad úverovými inštitúciami (Ú. v. EÚ L 287, 29. 10. 2013).
13)
Napríklad čl. 3 ods. 3.1, čl. 22 Protokolu (č. 4) o Štatúte Európskeho systému centrálnych bánk a Európskej centrálnej banky v platnom znení (Ú. v. EÚ C 202, 7. 6. 2016), nariadenie Európskej centrálnej banky (EÚ) č. 795/2014 z 3. júla 2014 o požiadavkách v oblasti dohľadu nad systémovo dôležitými platobnými systémami v platnom znení (Ú. v. EÚ L 217, 23. 7. 2014).
14)
Napríklad zákon č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 566/2001 Z. z. o cenných papieroch a investičných službách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 429/2002 Z. z. v znení neskorších predpisov, § 1 ods. 3 písm. a), d) a h) zákona č. 747/2004 Z. z. v znení neskorších predpisov, zákon č. 492/2009 Z. z. v znení neskorších predpisov, nariadenie (EÚ) č. 1024/2013, nariadenie Európskej centrálnej banky (EÚ) č. 468/2014 zo 16. apríla 2014 o rámci pre spoluprácu v rámci jednotného mechanizmu dohľadu medzi Európskou centrálnou bankou, príslušnými vnútroštátnymi orgánmi a určenými vnútroštátnymi orgánmi (nariadenie o rámci JMD) (Ú. v. EÚ L 141, 14. 5. 2014).