Prezidentské voľby 2024
Najnovšie správy
Výzva poslancom NRSR o novele zákona o kybernetickej bezpečnosti.
Autor OTS
Bratislava 9. júna (OTS) - Plne si uvedomujeme, že kybernetická bezpečnosť je kľúčová a jej význam bude aj naďalej rásť. Vyzývame preto poslancov Národnej rady Slovenskej republiky na prehodnotenie znenia novely zákona 69/2018 Z.z. o Kybernetickej bezpečnosti.
Naším jednotným názorom je, že Slovenská republika potrebuje komplexnú legislatívnu ochranu kybernetického priestoru. Občania však zároveň majú právo vedieť, ako zásahy do kybernetickej bezpečnosti môžu ovplyvniť ich životy, komunikáciu, podnikanie či súkromie.
Tieto aspekty by mali byť proporcionálne vyvážené v súlade s princípmi voľného trhu, férového obchodu a európskymi hodnotami. Hlavnou otázkou teda je, prečo tieto princípy nerešpektuje novela predmetného zákona. Naše kľúčové argumenty sú takéto:
1. Neboli dodržané legislatívne pravidlá pre tvorbu právnych predpisov. Vykonávacie predpisy totiž neboli predložené spolu s návrhom zákona, pri procese medzirezortného pripomienkovania sa objavili až neskôr.
2. Nebol dodržaný legislatívny postup Slovenskej republiky podľa smernice TRIS
Sporným je aj dodržanie legislatívneho postupu členského štátu EÚ podľa smernice Európskeho parlamentu a Rady (EÚ) 2015/1535, ktorou sa stanovuje postup pri poskytovaní informácií v oblasti technických predpisov a pravidiel vzťahujúcich sa na služby informačnej spoločnosti (tzv. „smernica TRIS“) a zákon č.55/2018 Z. z. o poskytovaní informácií o technickom predpise a o prekážkach voľného pohybu tovaru v znení neskorších predpisov (ďalej ako „zákon č. 55/2018 Z. z.). Smernica TRIS a zákon. č.55/2018 Z. z. ukladajú povinnosť členskému štátu okamžite oznámiť Európskej komisii, všetky návrhy tam vymedzených technických predpisov, čiže v danom prípade oznámenie o pripravovanej novele. Slovenská republika si oznamovaciu povinnosť vo vzťahu k Európskej komisii nesplnila. Nesplnenie oznamovacej povinnosti podľa Smernice TRIS môže mať za následok neúčinnosť právneho predpisu.
3. Sme svedkami gold-platingu v oblasti kybernetickej bezpečnosti. Môže to viesť k tomu, že podnikanie na Slovensku bude menej predvídateľné, nákladnejšie a občania budú pod ešte väčšou kontrolou.
O gold-platingu v tomto prípade hovoríme hneď v niekoľkých oblastiach:
a) Návrh novely ide nad rámec aktuálne platnej Smernice NIS. (Smernica Európskeho parlamentu a Rady EÚ 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii).
V schvaľovacom procese Európske únie je v tejto chvíli aktualizovaná a rozšírená verzia smernice NIS2. Podľa Riadneho predbežného stanoviska SR k NIS2, ktoré NBÚ v máji predložil do MPK, bude však táto smernica prijatá najskôr až v polovici roka 2022, s pravdepodobným termínom transpozície do konca roka 2023.
b) Sektor elektronických komunikácií je už roky regulovaný v tejto oblasti európskym regulačným rámcom pre elektronické komunikácie (Kódex) a zákonom o elektronických komunikáciách, a preto nemá byť regulovaný v tej istej veci aj zákonom o kybernetickej bezpečnosti. Odhliadnuc od zákona o kybernetickej bezpečnosti, sektor aj na základe iných zákonov podlieha širokému spektru povinností voči iným orgánom štátu. Trendom posledných rokov je, že počet požiadaviek na súčinnosti neustále narastá. Pri ukladaní týchto povinností často vnímame tendencie k bezplatnosti a plneniu bez účasti súdu.
c) Už pri pripomienkovaní novely sa požadovalo, aby došlo k vypusteniu celého sektora elektronických komunikácií z regulačného rámca zákona o kybernetickej bezpečnosti, a to z dôvodu, že telekomunikačný sektor nie je predmetom Smernice NIS a je regulovaný vlastným regulačným rámcom. Jednoducho povedané, bezpečnostné požiadavky podľa zákona o kybernetickej bezpečnosti nie sú aplikovateľné na sektor elektronických komunikácií.
d) Novela navyše rozširuje základné služby o ďalšie oblasti v sektore Digitálnej infraštruktúry, ako napríklad „prevádzkovateľa obchodu na internete s možnosťou vyhľadávania, objednávania a nákupu tovarov a služieb“, čo považujeme za nesúladné so Smernicou NIS. Toto rozšírenie tvorca novely interpretuje ako spresnenie terminológie, avšak ide o gold-plating.
4. Automatizované poskytovanie informácii je nielen technicky náročné opatrenie, ale vyvoláva aj otázky, či nie je na hranici toho, čo by malo byť slobodnej demokratickej krajine prípustné: napríklad, keď dáta o subjektoch systematicky zhromažďuje štát, ktorý má za sebou históriu únikov informácií a ich zneužitia.
(bod č. 37, navrhovaný §24a)
Sledovanie informácii od vybraných prevádzkovateľov základných služieb na základe určenia NBÚ môže priniesť výrazný zásah aj do súkromia občanov. Navyše to prináša vysoké riziko úniku citlivých informácií vzhľadom na skutočnosť, že úroveň zabezpečenia v bankovom či telekomunikačnom sektore je vyššia ako na strane vládnych organizácií (napr. nedávny únik dát z NCZI). Ustanovenie by sa malo vnímať aj v kontexte iných predpisov.
5. Zákaz používania produktu, procesu alebo služby môže viesť k poškodeniu záujmov podnikateľských subjektov a to bez účasti dotknutých firiem a mimo procesov správneho konania. Oprávnenie má byť použiteľné na všetkých prevádzkovateľov základných služieb nielen do budúcna, ale aj spätne, pričom odporúčaním EÚ je aplikovať reguláciu len pre oblasť budovania 5G sietí. Opäť je to nad rámec odporúčaní EÚ.
(bod č. 33, navrhovaný §20 ods. 5, bod č. 38, navrhovaný §27a)
Spätne predstavuje určitý zásah do vlastníckeho práva, k čomu má dôjsť bez kompenzácie a mimo správneho konania. Ide o široké oprávnenie NBÚ zakázať alebo obmedziť ktorémukoľvek prevádzkovateľovi základnej služby používať konkrétny produkt, proces alebo službu pod pomerne vágne koncipovanou podmienkou. Súčasne predmetná novela neobsahuje analýzu týkajúcu sa finančných dopadov na podnikateľské prostredie, ktoré zákaz používania jednotlivých produktov, procesov alebo službe určite spôsobí. O to viac, že nie je vyriešená otázka kompenzácií podnikateľov v prípade ak bude jednotlivý produkt, proces alebo služba obmedzená alebo zakázaná.
Takéto obmedzenia sa však nemusia uplatniť len na území Slovenska, no aj na subjekty, ktoré na Slovensku vykonávajú svoju obchodnú činnosť zo zahraničia. Tieto subjekty môžu byť blokované bez toho, aby o tom vedeli, aby vedeli dôvod alebo ako tieto chyby opraviť. Aj keď sa vopred stanovujú presnejšie kritéria a riziká, ktoré musí NBÚ bližšie vyhodnocovať, a požaduje sa vyjadrenie Bezpečnostnej rady ako ďalšieho subjektu vstupujúceho do procesu rozhodovania, pôjde o rozhodovanie mimo správneho konania bez procesnej účasti dotknutých prevádzkovateľov. Zároveň NBÚ nie je odborne a kapacitne zabezpečený na posudzovanie takých kritérií ako je analýza politického rizika.
Žiadame preto najmä o:
- vypustenie resp. precizovanie ustanovení o automatizovanom poskytovaní údajov, najmä zúženie a nastavenie kontrolných mechanizmov.
- opätovnú úpravu ustanovení, minimálne jasnejšie pravidlá, pokiaľ ide o určenie primeranej doby potrebnej na výmenu už obstaraných zariadení (napr. 5 rokov od zverejnenia rozhodnutia) a právo na kompenzáciu nákladov vynaložených na zariadenia pred vydaním rozhodnutia. Zároveň žiadame prístup k Analýze rizík, aby mohli firmy prijať primerané opatrenia na ich mitigáciu.
- objektívne kritéria analýzy rizík spočívajúce najmä v technických a merateľných parametroch. Z dôvodu právnej istoty podnikateľského prostredia je dôležité aby technické kritéria ako objektívna kategória boli hlavnou oblasťou posudzovania analýzy rizík, vzhľadom na skutočnosť, že každá vláda SR môže vyhodnocovať politické riziká rozdielne, čo môže vnášať do podnikateľského prostredia neistotu.
- Analýzu rizík (vrátane politického rizika) by nemal vykonávať iba NBÚ, ale v časti politických rizík vzhľadom aj na možné diplomaticko-politické konzekvencie vláda Slovenskej republiky na podklade stanovísk rezortných ministerstiev pôsobiacich v danej oblasti (Ministerstvo vnútra SR, Ministerstvo zahraničných vecí a európskych záležitosti SR, Ministerstvo hospodárstva SR Ministerstvo obrany SR a pod).
- prijatie harmonizovaných pravidiel v súlade s princípmi Európskeho jednotného trhu a etických pravidiel európskeho spoločenstva v tejto oblasti
- deklarovanie transparentnej garancie zodpovednosti za škodu a znášanie vzniknutých nákladov. Za prípadnú škodu spôsobenú vykonaním povinností podľa tohto zákona musí zodpovedať a náklady s ním spojené musí niesť NBÚ. Taktiež musí byť jasne definovaný dohľad a kontrola nad činnosťami NBÚ v tejto oblasti.
Veríme, že argumenty a požiadavky uvedené v tomto liste budú starostlivo zvážené všetkými zainteresovanými stranami.
Signatári otvoreného listu
Ing. Emil Fitoš, IT Asociácia Slovenska (ITAS), prezident
František Palko, JUDr., Ing., PhD., Inštitút hospodárskej politiky (IHP), riaditeľ
Mgr. Milan Ištván, Partnerstvá pre prosperitu (PPP), prezident
UPOZORNENIE: Upozorňujeme odberateľov, že materiály označené skratkou OTS sú poskytované v rámci Originálnej textovej služby a za ich obsah nesie zodpovednosť zadávateľ.
Naším jednotným názorom je, že Slovenská republika potrebuje komplexnú legislatívnu ochranu kybernetického priestoru. Občania však zároveň majú právo vedieť, ako zásahy do kybernetickej bezpečnosti môžu ovplyvniť ich životy, komunikáciu, podnikanie či súkromie.
Tieto aspekty by mali byť proporcionálne vyvážené v súlade s princípmi voľného trhu, férového obchodu a európskymi hodnotami. Hlavnou otázkou teda je, prečo tieto princípy nerešpektuje novela predmetného zákona. Naše kľúčové argumenty sú takéto:
1. Neboli dodržané legislatívne pravidlá pre tvorbu právnych predpisov. Vykonávacie predpisy totiž neboli predložené spolu s návrhom zákona, pri procese medzirezortného pripomienkovania sa objavili až neskôr.
2. Nebol dodržaný legislatívny postup Slovenskej republiky podľa smernice TRIS
Sporným je aj dodržanie legislatívneho postupu členského štátu EÚ podľa smernice Európskeho parlamentu a Rady (EÚ) 2015/1535, ktorou sa stanovuje postup pri poskytovaní informácií v oblasti technických predpisov a pravidiel vzťahujúcich sa na služby informačnej spoločnosti (tzv. „smernica TRIS“) a zákon č.55/2018 Z. z. o poskytovaní informácií o technickom predpise a o prekážkach voľného pohybu tovaru v znení neskorších predpisov (ďalej ako „zákon č. 55/2018 Z. z.). Smernica TRIS a zákon. č.55/2018 Z. z. ukladajú povinnosť členskému štátu okamžite oznámiť Európskej komisii, všetky návrhy tam vymedzených technických predpisov, čiže v danom prípade oznámenie o pripravovanej novele. Slovenská republika si oznamovaciu povinnosť vo vzťahu k Európskej komisii nesplnila. Nesplnenie oznamovacej povinnosti podľa Smernice TRIS môže mať za následok neúčinnosť právneho predpisu.
3. Sme svedkami gold-platingu v oblasti kybernetickej bezpečnosti. Môže to viesť k tomu, že podnikanie na Slovensku bude menej predvídateľné, nákladnejšie a občania budú pod ešte väčšou kontrolou.
O gold-platingu v tomto prípade hovoríme hneď v niekoľkých oblastiach:
a) Návrh novely ide nad rámec aktuálne platnej Smernice NIS. (Smernica Európskeho parlamentu a Rady EÚ 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii).
V schvaľovacom procese Európske únie je v tejto chvíli aktualizovaná a rozšírená verzia smernice NIS2. Podľa Riadneho predbežného stanoviska SR k NIS2, ktoré NBÚ v máji predložil do MPK, bude však táto smernica prijatá najskôr až v polovici roka 2022, s pravdepodobným termínom transpozície do konca roka 2023.
b) Sektor elektronických komunikácií je už roky regulovaný v tejto oblasti európskym regulačným rámcom pre elektronické komunikácie (Kódex) a zákonom o elektronických komunikáciách, a preto nemá byť regulovaný v tej istej veci aj zákonom o kybernetickej bezpečnosti. Odhliadnuc od zákona o kybernetickej bezpečnosti, sektor aj na základe iných zákonov podlieha širokému spektru povinností voči iným orgánom štátu. Trendom posledných rokov je, že počet požiadaviek na súčinnosti neustále narastá. Pri ukladaní týchto povinností často vnímame tendencie k bezplatnosti a plneniu bez účasti súdu.
c) Už pri pripomienkovaní novely sa požadovalo, aby došlo k vypusteniu celého sektora elektronických komunikácií z regulačného rámca zákona o kybernetickej bezpečnosti, a to z dôvodu, že telekomunikačný sektor nie je predmetom Smernice NIS a je regulovaný vlastným regulačným rámcom. Jednoducho povedané, bezpečnostné požiadavky podľa zákona o kybernetickej bezpečnosti nie sú aplikovateľné na sektor elektronických komunikácií.
d) Novela navyše rozširuje základné služby o ďalšie oblasti v sektore Digitálnej infraštruktúry, ako napríklad „prevádzkovateľa obchodu na internete s možnosťou vyhľadávania, objednávania a nákupu tovarov a služieb“, čo považujeme za nesúladné so Smernicou NIS. Toto rozšírenie tvorca novely interpretuje ako spresnenie terminológie, avšak ide o gold-plating.
4. Automatizované poskytovanie informácii je nielen technicky náročné opatrenie, ale vyvoláva aj otázky, či nie je na hranici toho, čo by malo byť slobodnej demokratickej krajine prípustné: napríklad, keď dáta o subjektoch systematicky zhromažďuje štát, ktorý má za sebou históriu únikov informácií a ich zneužitia.
(bod č. 37, navrhovaný §24a)
Sledovanie informácii od vybraných prevádzkovateľov základných služieb na základe určenia NBÚ môže priniesť výrazný zásah aj do súkromia občanov. Navyše to prináša vysoké riziko úniku citlivých informácií vzhľadom na skutočnosť, že úroveň zabezpečenia v bankovom či telekomunikačnom sektore je vyššia ako na strane vládnych organizácií (napr. nedávny únik dát z NCZI). Ustanovenie by sa malo vnímať aj v kontexte iných predpisov.
5. Zákaz používania produktu, procesu alebo služby môže viesť k poškodeniu záujmov podnikateľských subjektov a to bez účasti dotknutých firiem a mimo procesov správneho konania. Oprávnenie má byť použiteľné na všetkých prevádzkovateľov základných služieb nielen do budúcna, ale aj spätne, pričom odporúčaním EÚ je aplikovať reguláciu len pre oblasť budovania 5G sietí. Opäť je to nad rámec odporúčaní EÚ.
(bod č. 33, navrhovaný §20 ods. 5, bod č. 38, navrhovaný §27a)
Spätne predstavuje určitý zásah do vlastníckeho práva, k čomu má dôjsť bez kompenzácie a mimo správneho konania. Ide o široké oprávnenie NBÚ zakázať alebo obmedziť ktorémukoľvek prevádzkovateľovi základnej služby používať konkrétny produkt, proces alebo službu pod pomerne vágne koncipovanou podmienkou. Súčasne predmetná novela neobsahuje analýzu týkajúcu sa finančných dopadov na podnikateľské prostredie, ktoré zákaz používania jednotlivých produktov, procesov alebo službe určite spôsobí. O to viac, že nie je vyriešená otázka kompenzácií podnikateľov v prípade ak bude jednotlivý produkt, proces alebo služba obmedzená alebo zakázaná.
Takéto obmedzenia sa však nemusia uplatniť len na území Slovenska, no aj na subjekty, ktoré na Slovensku vykonávajú svoju obchodnú činnosť zo zahraničia. Tieto subjekty môžu byť blokované bez toho, aby o tom vedeli, aby vedeli dôvod alebo ako tieto chyby opraviť. Aj keď sa vopred stanovujú presnejšie kritéria a riziká, ktoré musí NBÚ bližšie vyhodnocovať, a požaduje sa vyjadrenie Bezpečnostnej rady ako ďalšieho subjektu vstupujúceho do procesu rozhodovania, pôjde o rozhodovanie mimo správneho konania bez procesnej účasti dotknutých prevádzkovateľov. Zároveň NBÚ nie je odborne a kapacitne zabezpečený na posudzovanie takých kritérií ako je analýza politického rizika.
Žiadame preto najmä o:
- vypustenie resp. precizovanie ustanovení o automatizovanom poskytovaní údajov, najmä zúženie a nastavenie kontrolných mechanizmov.
- opätovnú úpravu ustanovení, minimálne jasnejšie pravidlá, pokiaľ ide o určenie primeranej doby potrebnej na výmenu už obstaraných zariadení (napr. 5 rokov od zverejnenia rozhodnutia) a právo na kompenzáciu nákladov vynaložených na zariadenia pred vydaním rozhodnutia. Zároveň žiadame prístup k Analýze rizík, aby mohli firmy prijať primerané opatrenia na ich mitigáciu.
- objektívne kritéria analýzy rizík spočívajúce najmä v technických a merateľných parametroch. Z dôvodu právnej istoty podnikateľského prostredia je dôležité aby technické kritéria ako objektívna kategória boli hlavnou oblasťou posudzovania analýzy rizík, vzhľadom na skutočnosť, že každá vláda SR môže vyhodnocovať politické riziká rozdielne, čo môže vnášať do podnikateľského prostredia neistotu.
- Analýzu rizík (vrátane politického rizika) by nemal vykonávať iba NBÚ, ale v časti politických rizík vzhľadom aj na možné diplomaticko-politické konzekvencie vláda Slovenskej republiky na podklade stanovísk rezortných ministerstiev pôsobiacich v danej oblasti (Ministerstvo vnútra SR, Ministerstvo zahraničných vecí a európskych záležitosti SR, Ministerstvo hospodárstva SR Ministerstvo obrany SR a pod).
- prijatie harmonizovaných pravidiel v súlade s princípmi Európskeho jednotného trhu a etických pravidiel európskeho spoločenstva v tejto oblasti
- deklarovanie transparentnej garancie zodpovednosti za škodu a znášanie vzniknutých nákladov. Za prípadnú škodu spôsobenú vykonaním povinností podľa tohto zákona musí zodpovedať a náklady s ním spojené musí niesť NBÚ. Taktiež musí byť jasne definovaný dohľad a kontrola nad činnosťami NBÚ v tejto oblasti.
Veríme, že argumenty a požiadavky uvedené v tomto liste budú starostlivo zvážené všetkými zainteresovanými stranami.
Signatári otvoreného listu
Ing. Emil Fitoš, IT Asociácia Slovenska (ITAS), prezident
František Palko, JUDr., Ing., PhD., Inštitút hospodárskej politiky (IHP), riaditeľ
Mgr. Milan Ištván, Partnerstvá pre prosperitu (PPP), prezident
UPOZORNENIE: Upozorňujeme odberateľov, že materiály označené skratkou OTS sú poskytované v rámci Originálnej textovej služby a za ich obsah nesie zodpovednosť zadávateľ.
