226/2025 Z.z. , ktorou sa ustanovujú podrobnosti o hláseniach

Schválený: 26.08.2025

226/2025 Z.z.

VYHLÁŠKA

Národného bezpečnostného úradu

z 26. augusta 2025,

ktorou sa ustanovujú podrobnosti o hláseniach

Národný bezpečnostný úrad podľa § 32 ods. 1 písm. i) zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len "zákon") ustanovuje:

§ 1

(1) Vymedzenie identifikačných kritérií závažného narušenia fungovania prevádzkovateľa základnej služby je uvedené v prílohe č. 1.

(2) Náležitosti hlásenia závažného kybernetického bezpečnostného incidentu podľa § 24 ods. 3 písm. a) a b) zákona sú uvedené v prílohe č. 2.

(3) Náležitosti hlásenia významnej kybernetickej hrozby, udalosti odvrátenej v poslednej chvíli a zraniteľnosti podľa § 24 ods. 5 zákona a hlásenia kybernetického bezpečnostného incidentu, kybernetickej hrozby a udalosti odvrátenej v poslednej chvíli podľa § 24 ods. 6 zákona sú uvedené v prílohe č. 3.

§ 2

Touto vyhláškou sa preberajú právne záväzné akty Európskej únie uvedené v prílohe č. 4.

§ 3

Táto vyhláška nadobúda účinnosť 1. septembra 2025.

Roman Konečný v.r.

PRÍL.1

IDENTIFIKAČNÉ KRITÉRIÁ ZÁVAŽNÉHO NARUŠENIA FUNGOVANIA PREVÁDZKOVATEĽA ZÁKLADNEJ SLUŽBY

1. Úplný výpadok alebo nedostupnosť činnosti

1.1 prevádzkovateľa kritickej základnej služby na viac ako 30 minút, alebo

1.2 prevádzkovateľa základnej služby na viac ako 60 minút,

2. Narušenie alebo obmedzenie činnosti

2.1 prevádzkovateľa kritickej základnej služby na viac ako 60 minút, alebo

2.2 prevádzkovateľa základnej služby na viac ako 180 minút,

3. Ohrozenie dostupnosti, pravosti, integrity alebo dôvernosti údajov chránených podľa osobitného predpisu,¹⁾

4. Ohrozenie dostupnosti, pravosti, integrity alebo dôvernosti uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom sietí a informačných systémov, ktoré postihuje viac ako 25 000 osôb,

5. Spôsobenie hospodárskej straty vyššej ako 0,1% hrubého domáceho produktu podľa údajov z bezprostredne predchádzajúceho rozpočtového roka,

6. Spôsobenie hospodárskej straty alebo hmotnej škody najmenej jednému užívateľovi viac ako 250 000 eur,

7. Vykonanie záchranných prác alebo výkon činností a opatrení súvisiacich s poskytovaním pomoci v tiesni alebo spôsobenie viac ako 100 zranených osôb vyžadujúcich lekárske ošetrenie alebo úmrtie aspoň jednej osoby, alebo

8. Udalosť,

8.1 pri ktorej došlo k zjavne neoprávnenému prístupu do siete alebo informačného systému alebo došlo k znefunkčneniu siete alebo informačného systému a ktorá by mohla spôsobiť následky uvedené v prvom až siedmom bode,

8.2 ktorá môže významne narušiť alebo ktorá narúša fungovanie iného prevádzkovateľa kritickej základnej služby, alebo

8.3 ktorá je významným incidentom podľa osobitného predpisu²⁾ alebo incidentom podľa osobitného predpisu.³⁾

PRÍL.2

NÁLEŽITOSTI HLÁSENIA ZÁVAŽNÉHO KYBERNETICKÉHO BEZPEČNOSTNÉHO INCIDENTU

1. Náležitosti hlásenia závažného kybernetického bezpečnostného incidentu podľa § 24 ods. 3 písm. a) zákona sú

1.1 identifikačné údaje a kontaktné údaje osoby, ktorá hlási závažný kybernetický bezpečnostný incident,

1.2 informácie o závažnom kybernetickom bezpečnostnom incidente

1.2.1 čas detekcie závažného kybernetického bezpečnostného incidentu,

1.2.2 opis závažného kybernetického bezpečnostného incidentu,

1.2.3 opis následkov závažného kybernetického bezpečnostného incidentu alebo predpokladaný rozsah dopadu závažného kybernetického bezpečnostného incidentu,

1.2.4 informácia, či závažný kybernetický bezpečnostný incident mohol byť spôsobený protiprávnym konaním,

1.2.5 informácia, či závažný kybernetický bezpečnostný incident môže mať cezhraničný vplyv,

1.2.6 vplyv na poskytovanie dôveryhodných služieb, ak ide o prevádzkovateľa základnej služby, ktorý je poskytovateľom dôveryhodnej služby.

2. Náležitosti hlásenia závažného kybernetického bezpečnostného incidentu podľa § 24 ods. 3 písm. b) zákona sú

2.1 aktualizované a doplnené informácie podľa bodu 1.2 vrátane prvotného posúdenia kybernetického bezpečnostného incidentu, jeho závažnosti a následkov, dopĺňajú sa podrobnejšie informácie o časovom priebehu, opis a dopady závažného kybernetického bezpečnostného incidentu,

2.2 informácie o riešení závažného kybernetického bezpečnostného incidentu

2.2.1 stav riešenia závažného kybernetického bezpečnostného incidentu,

2.2.2 vykonané reaktívne opatrenia alebo opatrenia určené na zabránenie ďalšieho pokračovania, šírenia a opakovaného výskytu závažného kybernetického bezpečnostného incidentu.

PRÍL.3

NÁLEŽITOSTI HLÁSENIA PODĽA § 24 ODS. 5 A 6 ZÁKONA

1. Identifikačné údaje a kontaktné údaje osoby, ktorá hlási skutočnosť.

2. Informácie o hlásenej skutočnosti

2.1 druh hlásenej skutočnosti podľa § 24 ods. 5 alebo ods. 6 zákona,

2.2 opis hlásenej skutočnosti podľa § 24 ods. 5 alebo ods. 6 zákona,

2.3 opis možných dopadov hlásenej skutočnosti podľa § 24 ods. 5 alebo ods. 6 zákona na kybernetickú bezpečnosť,

2.4 čas zistenia hlásenej skutočnosti podľa § 24 ods. 5 alebo ods. 6 zákona.

3. Ak ide o zraniteľnosť podľa § 24 ods. 5 písm. c) zákona, hlási sa aj

3.1 označenie alebo opis produktu IKT alebo služby IKT alebo operačnej technológie, ktorej sa zraniteľnosť týka,

3.2 označenie výrobcu produktu IKT alebo poskytovateľa služby IKT alebo výrobcu operačnej technológie, ktorej sa zraniteľnosť týka, ak je tento výrobca produktu IKT alebo poskytovateľ služby IKT alebo výrobca operačnej technológie nahlasujúcej osobe známy.

PRÍL.4

ZOZNAM PREBERANÝCH PRÁVNE ZÁVÄZNÝCH AKTOV EURÓPSKEJ ÚNIE

Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú.v. EÚ L 333, 27.12.2022).

1) Napríklad § 17 až 20 Obchodného zákonníka, § 39 zákona Slovenskej národnej rady č. 323/1992 Zb. o notároch a notárskej činnosti (Notársky poriadok) v znení neskorších predpisov, § 23 zákona Národnej rady Slovenskej republiky č. 46/1993 Z.z. o Slovenskej informačnej službe, zákon č. 483/2001 Z.z. o bankách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, § 23 zákona č. 586/2003 Z.z. o advokácii a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov v znení zákona č. 297/2008 Z.z., zákon č. 215/2004 Z.z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, § 24 a 25 zákona č. 576/2004 Z.z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, § 11 zákona č. 563/2009 Z.z. o správe daní (daňový poriadok) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, § 10 zákona č. 324/2011 Z.z. o poštových službách a o zmene a doplnení niektorých zákonov, § 6 zákona č. 452/2021 Z.z. o elektronických komunikáciách, § 41 zákona č. 500/2022 Z.z. o Vojenskom spravodajstve.

2) Čl. 3 vykonávacieho nariadenia Komisie (EÚ) 2024/2690 zo 17. októbra 2024, ktorým sa stanovujú pravidlá uplatňovania smernice (EÚ) 2022/2555, pokiaľ ide o technické a metodické požiadavky na opatrenia na riadenie kybernetických rizík a o bližšie určenie prípadov, v ktorých sa incident považuje za významný, vo vzťahu k poskytovateľom služieb DNS, správcom názvov TLD, poskytovateľom služieb cloud computingu, poskytovateľom služieb dátového centra, poskytovateľom sietí na sprístupňovanie obsahu, poskytovateľom riadených služieb, poskytovateľom riadených bezpečnostných služieb, poskytovateľom online trhov, internetových vyhľadávačov a platforiem služieb sociálnej siete a poskytovateľom dôveryhodných služieb Ú.v. EÚ L, 2024/2690, 18.10.2024).

3) Zákon č. 367/2024 Z.z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov.

Související dokumenty

Súvisiace články

Aktuálne požiadavky na zabezpečenie kybernetickej bezpečnosti vo verejnej správe (V.)