Národný bezpečnostný úrad (NBU) pripravil novelu kybernetického zákona, ktorá vyvolala pomerne širokú diskusiu o nej. K novele sa vyjadrila IT Asociácia Slovenska (ITAS), Slovensko.Digital či Nadácie Zastavme korupciu. Zatiaľ je to novela, ktorá nie je definitívne schválená a je ešte čas zapracovať do nej pripomienky. My sme sa na situáciu okolo tejto novely spýtali prezidenta ITASu, pána Emila Fitoša (EF).

Pridávame k tomu aj aktuálne vyhlásenie Nadácia Zastavme korupciu a občianskeho združenia Slovensko.Digital po stretnutí s NBU. V stanovisku sa uvádza: „Vítame ochotu NBÚ prehodnotiť problematické ustanovenia novely zákona o kybernetickej bezpečnosti. Rozumieme, že táto novela obsahuje aj množstvo ďalších zmien, v prípade ak do jej prerokovania v parlamente nedôjde k odbornému konsenzu, za najlepšie riešenie považujeme neblokovať spornými témami jej ďalšie schvaľovanie, vypustiť ich a pripraviť nový návrh, ktorý ich upraví“.

TOUCHIT:

NBU predložilo návrh novely zákona o kybernetickej bezpečnosti. ITAS, ale aj mimovládne organizácie sa postavili proti nej. Prečo sa tak stalo a čo potom nasledovalo?

EF: Odborná verejnosť vôbec nie je proti tomuto zákonu. To by sme „vyliali s vaničkou aj dieťa“ a to nechceme. Málokto si uvedomuje, že kybernetická bezpečnosť je kľúčová a jej význam bude rásť. Práve naopak, chceme zdôrazniť význam zákona pre občanov a firmy a dosiahnuť zvýšenie váhy kybernetickej bezpečnosti v každodennom živote. Tak ako sme opatrní v reálnom svete, musíme byť ešte ostražitejší  v kybernetickom priestore. Občania majú zároveň právo vedieť, aké zásahy prichádzajú do úvahy a ako budovanie kybernetickej bezpečnosti môže ovplyvniť ich životy, komunikáciu, podnikanie či súkromie. Tieto aspekty by mali byť proporcionálne vyvážené v súlade s európskymi princípmi. A to je naším cieľom. TOUCHIT: Ako sa NBU postavil k vzneseným pripomienkam a ako ich zapracoval do svojho návrhu? EF: Proces komunikácie odbornej verejnosti s NBÚ je dlhodobý a sme radi, že komunikácia tu je. Chápeme dokonca aj to, že všetky naše pripomienky nemusia byť akceptované. Avšak také zásadné rozšírenie kompetencií NBÚ, ako napr. automatizovaný prístup k informáciám či blokovanie škodlivých aktivít, by malo byť dôslednejšie analyzované a diskutované aj s odbornou verejnosťou. Viaceré zásadné pripomienky pritom stále zostali nezapracované. Preto by sme radi v rokovaniach pokračovali. TOUCHIT: NBÚ tvrdí, že táto novela vychádza z požiadaviek EÚ a Programového vyhlásenia vlády SR a zahrňuje tiež požiadavky 5G Toolboxu. Je to tak? EF: Áno, jej primárnym účelom je aj  implementácia 5G Toolboxu EÚ, ktorá je potrebná. Čo sa nám však až tak nepáči je goldplating, čiže nadregulácia nad rámec smernice NIS[1]. To je už priamo v rozpore aj s programovým vyhlásením vlády, ktoré sľubuje odstránenie goldplatingu. TOUCHIT: Najviac pozornosti vzbudil vami už spomenutý inštitút blokovania určitého softvéru alebo služby. V podobe, v akej to bolo navrhnuté, to môže pripomínať plošné odpočúvanie. Navyše dotknutý subjekt by údajne nemal mať možnosť obrániť si svoje záujmy s výnimkou obrátenia sa na Ústavný súd SR. Ako tento inštitút vidí ITAS? EF: Inštitút blokovania je nová povinnosť. Pomaly sa vyjasňuje jej zámer a rozsah, predložený bol aj návrh Vyhlášky. Súvisí so zásahom do základných práv a slobôd, preto je na mieste tento inštitút detailne analyzovať a nastaviť pravidlá ochrany proti zneužitiu. Je tiež dôležité stanoviť, aby zodpovednosť za škodu niesol štát. Pokiaľ máte na mysli zákaz používania produktu, procesu alebo služby, ide o iné opatrenie v súvislosti s 5G Security Toolboxom. Sektor má k nemu tiež viaceré výhrady. Minimálne by bolo potrebné dať aktérom dostatočný čas na zníženie rizík, zmenu procesov alebo vynútenú výmenu zariadení pred uplynutím ich životnosti. Samozrejme, s adekvátnym odškodnením dodatočných nákladov vzniknutých v súvislosti s rozhodnutím štátu. TOUCHIT: Rovnako novela vedie k automatizovanému získavaniu informácií pod hlavičkou štátnych organizácií pri riešení kybernetických bezpečnostných incidentov. Je to v poriadku a ak áno prečo? EF: Práveže zatiaľ podľa návrhu znenia, ktoré je predložené do NR SR, nie je automatizované vyhodnocovanie a získavanie informácií výslovne naviazané na riešenie kybernetického incidentu, minimálne je to nejasné. Toto ustanovenie musíme vykladať v kontexte ďalších bodov novely. Myslíme si, že primárne by sa opatrenie malo vzťahovať len na orgány verejnej moci, nie na súkromné osoby a firmy a malo by mať svoj legitímny dôvod. Tiež by sa mali jasnejšie odborne prediskutovať prípadné dopady z hľadiska ochrany súkromia a nastaviť potom pravidlá kontroly. TOUCHIT: Celkovo ide o pomerme dôležitý zákon. Myslíte si, že diskusia o ňom či už verejná ale hlavne odborná bola dostatočná? EF: Sme presvedčení, že ďalšia odborná diskusia návrhu zákona prospeje. Samozrejme za predpokladu, že pretrvávajúce pripomienky odbornej verejnosti budú vypočuté. Potenciálne sa zákon dotýka každého občana a každej  firmy. Preto by bolo užitočné dopriať verejnosti viac osvety a porozumenia. Uvedomenie si rozsahu a významu kybernetickej bezpečnosti prispeje k jej širšej akceptácii, čo je naším spoločným cieľom – odbornej verejnosti, EÚ a veríme, že aj NBÚ. [1] Smernica č.2016/1148/ES o bezpečnosti sietí a informačných systémov (NIS) Za TOUCHIT sa pýtal Ondrej Macko