301
VYHLÁŠKA
Národného bezpečnostného úradu
z 19. septembra 2013
o priemyselnej bezpečnosti a o bezpečnostnom projekte podnikateľa
Národný bezpečnostný úrad (ďalej len „úrad“) podľa § 6 ods. 10 a § 45 ods. 12 zákona č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení
zákona č. 668/2007 Z. z. (ďalej len „zákon“) ustanovuje:
§1 Prístup podnikateľa k utajovaným skutočnostiam
(1)
Postúpenie utajovanej skutočnosti je činnosť, pri ktorej sa podnikateľ oboznamuje
s utajovanou skutočnosťou tak, že
a)
utajovaná skutočnosť mu nie je postúpená v materiálnej podobe alebo v elektronickej
podobe alebo
b)
utajovaná skutočnosť mu je postúpená v materiálnej podobe alebo v elektronickej podobe
a podnikateľ ju uchováva vo vlastných podmienkach.
(2)
Vytváranie utajovanej skutočnosti je proces, počas ktorého podnikateľ utajovanú skutočnosť
vytvára bez využitia technického prostriedku alebo ju vytvára na technickom prostriedku.
§2 Podrobnosti o bezpečnostnej previerke podnikateľa
(1)
Žiadosť o vydanie potvrdenia o priemyselnej bezpečnosti podnikateľa (ďalej len „potvrdenie“)
sa predkladá prostredníctvom špecializovaného portálu.1)
(2)
Bezpečnostný dotazník podnikateľa sa predkladá prostredníctvom špecializovaného portálu.
(3)
Žiadosť o vykonanie bezpečnostnej previerky štatutárneho orgánu na stupeň utajenia
Dôverné alebo vyšší stupeň sa k žiadosti o vydanie potvrdenia nepripája, ak táto osoba
má platné osvedčenie podľa § 26 ods. 1 zákona príslušného stupňa alebo sa jej vykonáva bezpečnostná previerka príslušného stupňa;
v takom prípade sa uvedie meno, priezvisko a rodné číslo fyzickej osoby, ktorej bezpečnostná
previerka príslušného stupňa už prebieha. Predloženie žiadosti o vykonanie bezpečnostnej
previerky štatutárneho orgánu na stupeň utajenia Dôverné alebo vyšší stupeň sa považuje
za splnené, ak je podaná spoločne so žiadosťou o vydanie potvrdenia podľa odseku 1.
(4)
Za určenie stupňa utajenia v žiadosti o vydanie potvrdenia sa považuje určenie
a)
stupňa utajenia na postúpenie utajovanej skutočnosti v rozsahu podľa § 1 ods. 1 písm. a) a b),
b)
stupňa utajenia na vytváranie utajovanej skutočnosti.
(5)
Stupeň utajenia a určenie typu prístupu podľa odseku 4, na ktoré sa potvrdenie žiada,
sa uvádza v žiadosti o vydanie potvrdenia v súlade s odôvodnením potreby prístupu
podnikateľa k utajovaným skutočnostiam a s prihliadnutím na analýzu rizík ohrozujúcich
zabezpečenie ochrany utajovaných skutočností, ku ktorým žiada podnikateľ vo svojich
podmienkach prístup.
(6)
Stupeň utajenia na postúpenie utajovanej skutočnosti podľa § 1 ods. 1 písm. a) musí byť rovnaký alebo vyšší ako stupeň utajenia na postúpenie utajovanej skutočnosti
podľa § 1 ods. 1 písm. b) alebo na vytváranie utajovanej skutočnosti.
(7)
Stupeň utajenia, na ktorý sa má bezpečnostná previerka fyzickej osoby, ktorá je štatutárnym
orgánom podnikateľa alebo jeho členom, vykonávať, musí byť rovnaký alebo vyšší ako
pre stupeň utajenia postúpenia utajovanej skutočnosti podľa § 1 ods. 1 písm. a) uvedený v žiadosti o vydanie potvrdenia.
(8)
Žiadosť o vydanie potvrdenia nemožno podať, ak predchádzajúca bezpečnostná previerka
podnikateľa ešte nebola právoplatne ukončená.
§3 Bezpečnostný projekt podnikateľa
(1)
Bezpečnostný projekt podnikateľa ako sústava zákonom požadovaných opatrení na personálne
a technické zabezpečenie ochrany utajovaných skutočností sa vypracúva na základe analýzy
rizík ohrozujúcich zabezpečenie ochrany utajovanej skutočnosti v podmienkach podnikateľa
v závislosti od typu prístupu k utajovaným skutočnostiam. V analýze rizík sa prihliada
najmä na stupeň utajenia, podobu, formu a množstvo utajovaných skutočností, lokalitu,
lokálne hrozby, kriminálne aktivity vrátane hrozby ohrozenia utajovanej skutočnosti,
vyzvedačstva, sabotáže a terorizmu. Analýza rizík sa spracúva aj pre stav počas mimoriadnych,
núdzových a krízových situácií.
(2)
Ak ďalej nie je ustanovené v odseku 3 inak, v bezpečnostnom projekte podnikateľa,
ktorého vzor je uvedený v prílohe č. 1, podnikateľ uvádza
a)
predpokladaný stupeň utajenia, na ktorý je požadované potvrdenie, typ prístupu podnikateľa
k utajovaným skutočnostiam a miesta ich výskytu v štruktúre podnikateľa; ak ide o
vytváranie utajovanej skutočnosti, podnikateľ uvedie, či chce na vytváranie utajovanej
skutočnosti využívať technický prostriedok,
b)
realizáciu bezpečnostnej politiky na personálne zabezpečenie ochrany utajovaných
skutočností zahŕňajúcu zoznam osôb, ktoré sa môžu v podmienkach podnikateľa oboznamovať
s utajovanými skutočnosťami, s uvedením požadovaného stupňa utajenia, ako aj zoznam
pracovných zaradení, na ktorých sa predpokladá prístup k utajovaným skutočnostiam,
c)
realizáciu bezpečnostnej politiky v súvislosti s technickým zabezpečením ochrany
utajovaných skutočností v oblasti
1.
fyzickej bezpečnosti a objektovej bezpečnosti, ktorú tvorí bezpečnostná dokumentácia
fyzickej bezpečnosti a objektovej bezpečnosti vypracovaná podľa § 53 ods. 4 zákona,
2.
informačnej bezpečnosti, ktorú tvoria navrhované prostriedky informačnej bezpečnosti,
spôsob ich použitia, identifikačné údaje certifikátov certifikovaných technických
prostriedkov, ak navrhované prostriedky informačnej bezpečnosti ešte neboli certifikované
podľa § 56 zákona aj bezpečnostný projekt na technické prostriedky podľa § 58 zákona alebo dokumentácia k prostriedkom určeným na šifrovú ochranu informácií,
3.
administratívnej bezpečnosti, ktorú tvorí registratúrny poriadok podnikateľa vypracovaný
v súlade s osobitným predpisom.1a)
(3)
Bezpečnostný projekt podnikateľa, ktorý požiadal o vykonanie bezpečnostnej previerky
podnikateľa podľa § 1 ods. 1 písm. a), obsahuje iba definovanie a spôsob realizácie bezpečnostnej politiky v oblasti personálnej
bezpečnosti podľa odseku 2 písm. b) spracovanú podľa vzoru, ktorý je uvedený v prílohe č. 2.
(4)
Ak počas bezpečnostnej previerky podnikateľa dôjde zo strany podnikateľa k zmene
požiadaviek na stupeň utajenia alebo k zmene typu prístupu k utajovaným skutočnostiam
podľa § 1, postupuje podnikateľ podľa § 45 ods. 2 a 7 zákona.
(5)
Ak úrad v procese posudzovania bezpečnostného projektu podnikateľa zistí, že sústava
opatrení na personálne alebo technické zabezpečenie ochrany utajovaných skutočností
nedosahuje požadovanú úroveň ochrany utajovaných skutočností vzhľadom na podnikateľom
požadovaný stupeň utajenia a typ prístupu k utajovaným skutočnostiam, vyzve žiadateľa,
aby opatrenia na personálne alebo technické zabezpečenie ochrany utajovaných skutočností
v určenej lehote zmenil alebo doplnil. Ak žiadateľ v stanovenej lehote tieto nezmení
alebo nedoplní, úrad postupuje podľa § 50 ods. 2 zákona.
§4 Potvrdenie
(1)
Potvrdenie obsahuje
a)
označenie úradu,
b)
číslo potvrdenia,
c)
identifikačné údaje podnikateľa v rozsahu
1.
obchodné meno a sídlo,
2.
právna forma,
3.
identifikačné číslo organizácie,
d)
uvedenie typu prístupu podnikateľa k utajovaným skutočnostiam podľa § 1 s uvedením príslušného stupňa utajenia, na ktorý je vydané,
e)
identifikácia potvrdenia, ktoré sa nahrádza, ak ide o postup podľa § 5,
f)
dátum vydania potvrdenia,
g)
dátum začiatku a skončenia platnosti potvrdenia,
h)
podpis oprávneného zástupcu úradu a odtlačok úradnej pečiatky; to neplatí, ak je
potvrdenie vyhotovené výlučne elektronickými prostriedkami podľa osobitných predpisov.2)
(2)
Údaje v potvrdení sa uvádzajú v slovenskom jazyku, anglickom jazyku a francúzskom
jazyku.
§5 Postup pri strate, krádeži, poškodení alebo zmene údajov v potvrdení
(1)
Ak dôjde k zmene obchodného mena podnikateľa bez zmeny právnej formy alebo k zmene
sídla podnikateľa, ktorá nemá vplyv na realizáciu bezpečnostnej politiky v súvislosti
s technickým zabezpečením ochrany utajovaných skutočností v oblasti fyzickej bezpečnosti
a objektovej bezpečnosti, na základe žiadosti jeho držiteľa sa vydá nové potvrdenie,
ktoré nahrádza pôvodné potvrdenie s dobou platnosti, na akú je vydané pôvodné potvrdenie;
v novom potvrdení sa uvedie identifikácia potvrdenia, ktoré sa nahrádza. Žiadosť podľa
prvej vety sa predkladá prostredníctvom špecializovaného portálu.
(2)
Ak je tomu istému držiteľovi potvrdenia vydané nové potvrdenie na základe vykonania
novej bezpečnostnej previerky podnikateľa, v novom potvrdení sa uvedie identifikácia
potvrdenia, ktoré sa nahrádza.
(3)
Ak dôjde k strate, krádeži alebo poškodeniu potvrdenia vydaného v listinnej podobe,
na základe žiadosti jeho držiteľa sa vydá potvrdenie, ktoré nahrádza pôvodné potvrdenie
s dobou platnosti, na akú je vydané pôvodné potvrdenie. Žiadosť sa predkladá prostredníctvom
špecializovaného portálu.
§6 Zmluva o prístupe podnikateľa k utajovaným skutočnostiam
(1)
Špecifikáciou postupovaných utajovaných skutočností podľa § 44 ods. 2 zákona je uvedenie konkrétneho stupňa utajenia a príslušnej položky zo zoznamu utajovaných
skutočností štátneho orgánu.
(2)
Obdobím, počas ktorého budú postupované utajované skutočnosti podľa § 44 ods. 2 zákona, je obdobie, počas ktorého má podnikateľ prístup k utajovanej skutočnosti. Toto obdobie
sa v zmluve podľa § 44 ods. 1 zákona (ďalej len „zmluva“) vymedzuje tak, že začína najskôr v deň, keď je zmluva podpísaná
všetkými zmluvnými stranami, a končí najneskôr dátumom skončenia platnosti potvrdenia
platného v čase podpisovania zmluvy, ktorý je uvedený v potvrdení.
(3)
Zoznamom osôb a rozsahom ich oprávnenia na oboznamovanie sa s utajovanými skutočnosťami
podľa § 44 ods. 2 zákona je zoznam osôb, ktoré sú štatutárnym orgánom podnikateľa a zamestnancov podnikateľa,
ktoré môžu mať na základe zmluvy prístup k utajovaným skutočnostiam s uvedením
a)
identifikačných údajov osoby v rozsahu meno a priezvisko,
b)
čísla osvedčenia podľa § 26 ods. 1 zákona alebo dátumu a identifikačného údaja vyhodnotenia podkladových materiálov podľa § 20 zákona,
c)
stupňa utajenia utajovaných skutočností, ku ktorým môže mať osoba na základe zmluvy
prístup,
d)
konkrétnych bodov zo špecifikácie postupovaných utajovaných skutočností vrátane konkrétnych
stupňov utajenia, ku ktorým môže mať osoba na základe zmluvy prístup.
(4)
Rozsahom činností s utajovanými skutočnosťami podľa § 44 ods. 2 zákona je uvedenie typu prístupu podnikateľa k utajovaným skutočnostiam, ktorý nesmie byť
v rozpore s typom prístupu (§ 1) uvedenom v potvrdení vrátane uvedenia podrobností o manipulácii s utajovanými skutočnosťami
v podmienkach podnikateľa.
(5)
Rozsahom kontrolných opatrení podľa § 44 ods. 2 zákona je vymedzenie kontrolných opatrení podnikateľa, ktoré vykonáva na účel zabezpečenia
ochrany utajovaných skutočností, ku ktorým má prístup, ako aj vymedzenie kontrolných
opatrení štátneho orgánu podľa § 44 ods. 3 zákona.
(6)
Postupovaním utajovaných skutočností na iného podnikateľa podľa § 44 ods. 2 zákona je vymedzenie práv a povinností zmluvných strán pre prípad vzniku potreby prístupu
k utajovaným skutočnostiam iným podnikateľom, najmä vymedzenie, či také postúpenie
utajovaných skutočností je možné a uvedenie podmienok štátneho orgánu na také postúpenie.
(7)
Povinnosťou oznámenia o zrušení podnikateľa alebo o zmenách ovplyvňujúcich ochranu
utajovaných skutočností podľa § 44 ods. 2 zákona je úprava práv a povinností zmluvných strán, ak dôjde k zmenám majúcim vplyv na ochranu
utajovaných skutočností. Podnikateľ oznamuje svoje zrušenie a zmluvné strany oznamujú
zmeny majúce vplyv na ochranu utajovaných skutočností tak, aby
a)
bola zabezpečená preukázateľnosť tohto úkonu,
b)
oznámenie bolo vykonané bezodkladne,
c)
bola zabezpečená ochrana utajovaných skutočností, ktoré sa u podnikateľa nachádzajú.
(8)
Povinnosťami podnikateľa pri zániku platnosti potvrdenia podľa § 44 ods. 2 zákona je úprava práv a povinností zmluvných strán, ak podnikateľovi zanikne platnosť potvrdenia,
ako aj pre prípad skončenia platnosti zmluvy.
§7 Prechodné ustanovenia
(1)
Potvrdenie vydané do 31. októbra 2013 sa počas obdobia, na ktoré bolo vydané, považuje
za potvrdenie vydané podľa tejto vyhlášky.
(2)
Zmluva uzatvorená do 31. októbra 2013, sa považuje za zmluvu podľa tejto vyhlášky
po dobu, na ktorú bola uzatvorená.
§8 Zrušovacie ustanovenie
Zrušuje sa vyhláška Národného bezpečnostného úradu č. 325/2004 Z. z. o priemyselnej bezpečnosti.
§9 Účinnosť
Táto vyhláška nadobúda účinnosť 1. novembra 2013.
Jozef Magala v. r.
Príloha č. 1 k vyhláške č. 301/2013 Z. z.
(VZOR)
BEZPEČNOSTNÝ PROJEKT PODNIKATEĽA
(prvá strana)
Štruktúra bezpečnostného projektu
I.
Bezpečnostná politika podnikateľa
1.
Ciele podnikateľa v oblasti ochrany utajovaných skutočností
2.
Očakávané utajované skutočnosti a ich špecifikácia v zhode s podnikateľskými zámermi
3.
Štruktúra, pracovné činnosti a právomoci bezpečnostného manažmentu podnikateľa
II.
Bezpečnostný projekt podnikateľa
a)
Utajované skutočnosti
1.
predpokladaný stupeň utajenia, na ktorý je požadované potvrdenie o priemyselnej bezpečnosti
podnikateľa,
2.
predpokladaný typ prístupu podnikateľa k utajovaným skutočnostiam; ak ide o vytváranie
utajovanej skutočnosti, uviesť, či sa predpokladá vytváranie utajovanej skutočnosti
na technickom prostriedku alebo nie,
3.
miesta výskytu utajovaných skutočností v štruktúre podnikateľa.
b)
Subsystémy zabezpečenia ochrany utajovaných skutočností
1.
Realizácia bezpečnostnej politiky na personálne zabezpečenie ochrany utajovaných
skutočností zahŕňajúca
1.1
zoznam osôb, ktoré sa majú v podmienkach podnikateľa oboznamovať s utajovanými skutočnosťami
s uvedením požadovaného stupňa utajenia,
1.2
zoznam pracovných zaradení, na ktorých sa predpokladá prístup k utajovaným skutočnostiam.
2.
Realizácia bezpečnostnej politiky v súvislosti s technickým zabezpečením ochrany
utajovaných skutočností v oblasti fyzickej bezpečnosti a objektovej bezpečnosti (navrhované
prostriedky fyzickej bezpečnosti a objektovej bezpečnosti a spôsob ich použitia, bezpečnostná
dokumentácia fyzickej bezpečnosti a objektovej bezpečnosti podľa § 53 ods. 4 zákona) vrátane možných rizík ohrozenia utajovaných skutočností v zmysle § 3 ods. 1 vyhlášky č. 301/2013 Z. z. o priemyselnej bezpečnosti a o bezpečnostnom projekte podnikateľa (ďalej len „vyhláška“)
z hľadiska fyzickej bezpečnosti a objektovej bezpečnosti.
3.
Realizácia bezpečnostnej politiky v súvislosti s technickým zabezpečením ochrany
utajovaných skutočností v oblasti informačnej bezpečnosti alebo šifrovej ochrany informácií
(navrhované prostriedky informačnej bezpečnosti, spôsob ich použitia, identifikačné
údaje certifikátov certifikovaných technických prostriedkov, ak navrhované prostriedky
informačnej bezpečnosti ešte neboli certifikované podľa § 56 zákona aj bezpečnostný projekt na technické prostriedky podľa § 58 zákona, prípadne dokumentácia k prostriedkom určeným na šifrovú ochranu informácií) vrátane
možných rizík ohrozenia utajovaných skutočností v zmysle § 3 ods. 1 vyhlášky z hľadiska používaných technických prostriedkov a šifrovej ochrany informácií.
4.
Realizácia bezpečnostnej politiky v súvislosti s technickým zabezpečením ochrany
utajovaných skutočností v oblasti administratívnej bezpečnosti (navrhované opatrenia
v oblasti administratívnej bezpečnosti vrátane návrhu registratúrneho poriadku podnikateľa
vypracovaného v súlade s osobitným predpisom vrátane možných rizík ohrozenia utajovaných
skutočností v zmysle § 3 ods. 1 vyhlášky z hľadiska administratívnej bezpečnosti).
Príloha č. 2 k vyhláške č. 301/2013 Z. z.
(VZOR)
BEZPEČNOSTNÝ PROJEKT PODNIKATEĽA
1)
§ 5 ods. 1 písm. b) zákona č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení
niektorých zákonov (zákon o e-Governmente).
1a)
Vyhláška Národného bezpečnostného úradu č. 453/2007 Z. z. o administratívnej bezpečnosti v znení vyhlášky č. 232/2013 Z. z.
2)
Napríklad zákon č. 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov v znení neskorších
predpisov, zákon č. 275/2006 Z. z. o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov
v znení neskorších predpisov.
