Ministerstvá majú na stole nový kybernetický zákon

Niekoľkomesačná aktivita Národného bezpečnostného úradu putuje do medzirezortného pripomienkového konania. Čo tento návrh obsahuje?

Od vzniku Koncepcie kybernetickej bezpečnosti SR bolo jasné že Slovensko čoskoro dostane nový kybernetický zákon. Síce s malým omeškaním, no zákon je už v medzirezortnom pripomienkovom konaní a treba veriť, že bude čoskoro schválený vládou a následne aj poslancami NR SR.

Príprava zákona bola komplikovaná aj preto, lebo na jeho podobe sa reálne v podobe viacerých kôl neraz náročných diskusií podieľali odborníci nie len zo štátnej správy, ale aj z akademickej obce či mimovládni experti a analytici, ktorí mohli vznášať pripomienky k jeho obsahu. Tie sa väčšinou premietli aj do výslednej podoby návrhu, za čo si predkladatelia zaslúžia pochvalu.

Jadro textu zákona je výsledkom transpozície normy Európskej únie známej pod názvom NIS (Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii). Táto smernica je jedným z kľúčových dokumentov EÚ v tejto oblasti a všetky členské štáty sú povinné implementovať ju do svojej legislatívy.

Zákon pokračuje v tom, čo naznačila koncepcia. Najdôležitejším hráčom v oblasti kyberbezpečnosti sa prirodzene stáva Národný bezpečnostný úrad SR. Ten už dávnejšie vďaka úprave kompetenčného zákona získal rozsiahle právomoci, ale aj adekvátne povinnosti. Stáva sa národnou jednotkou CSIRT (jednotka na riešenie kybernetických incidentov), ktorá je nadradená ostatným jednotkám s rovnakým zameraním, ktoré už na Slovensku pôsobia. Úrad má zároveň právomoc akreditovať ostatné podobné jednotky, prípadne im už udelenú akreditáciu odobrať, ak prestanú spĺňať akreditačné kritériá. Jednotkou CSIRT bude musieť podľa zákona disponovať každá vecne príslušná inštitúcia.

NBÚ sa tak stáva centrálnym orgánom, ktorý určuje štandardy, operačné postupy, vydáva metodiky a pod. Úrad je kontaktným miestom pre zodpovedné inštitúcie (podľa návrhu zákona nimi budú ministerstvo dopravy a výstavby, ministerstvo financií, ministerstvo hospodárstva, ministerstvo obrany, ministerstvo vnútra, ministerstvo zdravotníctva, ministerstvo životného prostredia a Slovenská informačná služba) a prevádzkovateľov základných služieb. Úplne oprávnene má v zákone definované dôležité kompetencie v oblasti kybernetickej obrany Ministerstvo obrany SR, ktoré dohliada nad kritickou obrannou infraštruktúrou v rezorte a tvorí tak jednu z podstatných zložiek celkovej štátnej spôsobilosti v oblasti kybernetickej bezpečnosti.

Zákon tiež NBÚ ukladá povinnosť do troch rokov od jeho prijatia vybudovať jednotný informačný systém kybernetickej bezpečnosti, ktorý bude mať verejnú i neverejnú časť. Tento systém bude potom slúžiť na zverejňovanie všetkých dôležitých registrov, zoznamov či iných informácii, ale aj na nahlasovanie prípadných kybernetických incidentov.

NBÚ bude povinný vytvoriť, udržiavať a aktualizovať zoznam prevádzkovateľov základnej služby a digitálnych služieb, ktorých sa tieto ustanovenia priamo týkajú. Tí čo do tohto zoznamu neboli zahrnutí priamo zákonom, sa k nemu budú môcť prihlásiť a niesť tak výhody i povinnosti, ktoré zákon po jeho schválení určí.

Za prevádzkovateľov základných služieb sú považované subjekty z bankovníctva, vodohospodárstva, dopravy, digitálnej infraštruktúry, energetiky, chemického priemyslu, finančné, verejnej správy, elektronickej komunikácie a zdravotníctva.

Medzi digitálne služby sa radia online trhoviská, internetové vyhľadávače a cloudové služby.

V porovnaní s Európskou smernicou slovenský návrh zákona obsahuje tri dodatočné oblasti, ktoré považuje pre Slovensko za kľúčové – chemický priemysel, verejnú správu a elektronickú komunikáciu. Poskytovatelia a prevádzkovatelia základnej služby majú povinnosť dodržiavať bezpečnostné opatrenia, ktoré sú minimálne na úrovni obsiahnutej v zákone a dodatočných predpisoch. Tie sú zamerané na odhaľovanie, evidenciu a riešenie bezpečnostných incidentov. Schopnosť dodržiavať stanovené opatrenie sa bude preverovať každé dva roky. Ak NBÚ zistí, že povinné subjekty nespĺňajú zákonné podmienky, bude im môcť udeliť pokutu.

Zákon ďalej kategorizuje kybernetické útoky podľa stupňa ohrozenia a úrad má podľa neho právomoc vyhlásiť stav kybernetického ohrozenia. Prevádzkovatelia základnej služby a digitálnej služby sú povinné tieto útoky nahlásiť do plánovaného jednotného informačného systému.

Okrem pôsobnosti na Slovensku je NBÚ aj kontaktným miestom pre kybernetickú bezpečnosť pre zahraničie a má na starosti spoluprácu s partnerskými inštitúciami v iných členských štátoch Európskej únie.

Návrh zákona tvorí dobrý základ pre dalšie legislatívne snahy v oblasti kybernetickej bezpečnosti. Jasne rozdeľuje kompetencie a určuje práva a povinnosti do právnej praxe a zavádza terminológiu používanú EÚ, čím uľahčuje medzinárodnú spoluprácu. Rovnako treba oceniť aj zapojenie súkromných spoločností do procesu jeho prípravy a zahrnutie ich pripomienok. Spoluprácu so súkromným sektorom ako pri príprave relevantnej legislatívy, tak aj v konkrétnych opatreniach v oblasti kybernetickej bezpečnosti odporúčajú aj rôzne medzinárodné organizácie vrátane EÚ a NATO.

Je zrejmé, že v oblasti kybernetickej bezpečnosti ešte stále najmä vzhľadom k množstvu nových, predtým nepokrytých kompetencií, v zákulisí prebiehajú medzi rôznymi ÚOŠS náročné diskusie o ich úlohách a miere zodpovednosti. Bolo by však na škodu veci, ak by okrajové záujmy a zbytočný rezortizmus ohrozovali základné bezpečnostné záujmy krajiny. V konečnom dôsledku kybernetická oblasť je veľmi dynamická a aplikačná prax v priebehu 2-3 rokov určite prinesie potrebu ďalších legislatívnych úprav.