Národný bezpečnostný úrad (NBU) pripravil novelu kybernetického zákona, ktorá vyvolala pomerne širokú diskusiu o nej. K novele sa vyjadrila IT Asociácia Slovenska (ITAS), Slovensko.Digital či Nadácie Zastavme korupciu. Zatiaľ je to novela, ktorá nie je definitívne schválená a je ešte čas zapracovať do nej pripomienky. My sme sa na situáciu okolo tejto novely spýtali prezidenta ITASu, pána Emila Fitoša (EF).
Pridávame k tomu aj aktuálne vyhlásenie Nadácia Zastavme korupciu a občianskeho združenia Slovensko.Digital po stretnutí s NBU. V stanovisku sa uvádza: „Vítame ochotu NBÚ prehodnotiť problematické ustanovenia novely zákona o kybernetickej bezpečnosti. Rozumieme, že táto novela obsahuje aj množstvo ďalších zmien, v prípade ak do jej prerokovania v parlamente nedôjde k odbornému konsenzu, za najlepšie riešenie považujeme neblokovať spornými témami jej ďalšie schvaľovanie, vypustiť ich a pripraviť nový návrh, ktorý ich upraví“.
TOUCHIT: NBU predložilo návrh novely zákona o kybernetickej bezpečnosti. ITAS, ale aj mimovládne organizácie sa postavili proti nej. Prečo sa tak stalo a čo potom nasledovalo?
EF: Odborná verejnosť vôbec nie je proti tomuto zákonu. To by sme „vyliali s vaničkou aj dieťa“ a to nechceme. Málokto si uvedomuje, že kybernetická bezpečnosť je kľúčová a jej význam bude rásť. Práve naopak, chceme zdôrazniť význam zákona pre občanov a firmy a dosiahnuť zvýšenie váhy kybernetickej bezpečnosti v každodennom živote. Tak ako sme opatrní v reálnom svete, musíme byť ešte ostražitejší v kybernetickom priestore. Občania majú zároveň právo vedieť, aké zásahy prichádzajú do úvahy a ako budovanie kybernetickej bezpečnosti môže ovplyvniť ich životy, komunikáciu, podnikanie či súkromie. Tieto aspekty by mali byť proporcionálne vyvážené v súlade s európskymi princípmi. A to je naším cieľom.
TOUCHIT: Ako sa NBU postavil k vzneseným pripomienkam a ako ich zapracoval do svojho návrhu?
EF: Proces komunikácie odbornej verejnosti s NBÚ je dlhodobý a sme radi, že komunikácia tu je. Chápeme dokonca aj to, že všetky naše pripomienky nemusia byť akceptované. Avšak také zásadné rozšírenie kompetencií NBÚ, ako napr. automatizovaný prístup k informáciám či blokovanie škodlivých aktivít, by malo byť dôslednejšie analyzované a diskutované aj s odbornou verejnosťou. Viaceré zásadné pripomienky pritom stále zostali nezapracované. Preto by sme radi v rokovaniach pokračovali.
TOUCHIT: NBÚ tvrdí, že táto novela vychádza z požiadaviek EÚ a Programového vyhlásenia vlády SR a zahrňuje tiež požiadavky 5G Toolboxu. Je to tak?
EF: Áno, jej primárnym účelom je aj implementácia 5G Toolboxu EÚ, ktorá je potrebná. Čo sa nám však až tak nepáči je goldplating, čiže nadregulácia nad rámec smernice NIS[1]. To je už priamo v rozpore aj s programovým vyhlásením vlády, ktoré sľubuje odstránenie goldplatingu.
TOUCHIT: Najviac pozornosti vzbudil vami už spomenutý inštitút blokovania určitého softvéru alebo služby. V podobe, v akej to bolo navrhnuté, to môže pripomínať plošné odpočúvanie. Navyše dotknutý subjekt by údajne nemal mať možnosť obrániť si svoje záujmy s výnimkou obrátenia sa na Ústavný súd SR. Ako tento inštitút vidí ITAS?
EF: Inštitút blokovania je nová povinnosť. Pomaly sa vyjasňuje jej zámer a rozsah, predložený bol aj návrh Vyhlášky. Súvisí so zásahom do základných práv a slobôd, preto je na mieste tento inštitút detailne analyzovať a nastaviť pravidlá ochrany proti zneužitiu. Je tiež dôležité stanoviť, aby zodpovednosť za škodu niesol štát.
Pokiaľ máte na mysli zákaz používania produktu, procesu alebo služby, ide o iné opatrenie v súvislosti s 5G Security Toolboxom. Sektor má k nemu tiež viaceré výhrady. Minimálne by bolo potrebné dať aktérom dostatočný čas na zníženie rizík, zmenu procesov alebo vynútenú výmenu zariadení pred uplynutím ich životnosti. Samozrejme, s adekvátnym odškodnením dodatočných nákladov vzniknutých v súvislosti s rozhodnutím štátu.
TOUCHIT: Rovnako novela vedie k automatizovanému získavaniu informácií pod hlavičkou štátnych organizácií pri riešení kybernetických bezpečnostných incidentov. Je to v poriadku a ak áno prečo?
EF: Práveže zatiaľ podľa návrhu znenia, ktoré je predložené do NR SR, nie je automatizované vyhodnocovanie a získavanie informácií výslovne naviazané na riešenie kybernetického incidentu, minimálne je to nejasné. Toto ustanovenie musíme vykladať v kontexte ďalších bodov novely. Myslíme si, že primárne by sa opatrenie malo vzťahovať len na orgány verejnej moci, nie na súkromné osoby a firmy a malo by mať svoj legitímny dôvod. Tiež by sa mali jasnejšie odborne prediskutovať prípadné dopady z hľadiska ochrany súkromia a nastaviť potom pravidlá kontroly.
TOUCHIT: Celkovo ide o pomerme dôležitý zákon. Myslíte si, že diskusia o ňom či už verejná ale hlavne odborná bola dostatočná?
EF: Sme presvedčení, že ďalšia odborná diskusia návrhu zákona prospeje. Samozrejme za predpokladu, že pretrvávajúce pripomienky odbornej verejnosti budú vypočuté. Potenciálne sa zákon dotýka každého občana a každej firmy. Preto by bolo užitočné dopriať verejnosti viac osvety a porozumenia. Uvedomenie si rozsahu a významu kybernetickej bezpečnosti prispeje k jej širšej akceptácii, čo je naším spoločným cieľom – odbornej verejnosti, EÚ a veríme, že aj NBÚ.
[1] Smernica č.2016/1148/ES o bezpečnosti sietí a informačných systémov (NIS)
Za TOUCHIT sa pýtal Ondrej Macko