Národný bezpečnostný úrad (NBÚ) pripravil novelu zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorá vyvolala širokú diskusiu medzi odbornou verejnosťou. Novela bola schválená a vstúpila do platnosti 01. 08. 2021. V tomto článku sa dozviete aké zmeny nastali a ktoré časti vyvolali najväčší rozruch.
Novelizácia zákona o kybernetickej bezpečnosti bola vytvorená na základe požiadaviek Európskej únie, ako aj na základe povinností NBÚ vyplývajúcich z Programového vyhlásenia vlády SR. Novela je, podľa stanoviska NBÚ, výsledkom implementovania nariadenia Európskeho parlamentu a Rady EÚ 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti). Podľa tvorcu má novela zvýšiť právomoci vnútroštátnych orgánov, upraviť proces certifikácie kybernetickej bezpečnosti a postavenie audítora, a precizovať niektoré definičné časti zákona. Primárnym účelom novely je aj implementácia 5G Toolboxu EÚ (strategické a technické opatrenia na zmiernenie rizík, ktoré majú posilniť integritu a bezpečnosť nových sietí).
Aké zmeny nám novela priniesla?
Zmeny, ktoré novela zákona o kybernetickej bezpečnosti priniesla sa týkali najmä rozšírených kompetencií úradu. Dané úpravy vyvolali širokú debatu.
Najväčšie výhrady odbornej verejnosti k novele zákona sa týkali najmä automatizovaného poskytovania informácií, inštitútu blokovania a obmedzenia používania produktu alebo služby.
V prípade automatického poskytovania informácií úrad môže rozhodnutím uložiť povinnosť prevádzkovateľovi základnej služby, aby automatizovaným spôsobom vyhodnocoval výskyt kybernetického bezpečnostného incidentu a následne ho nahlasoval. Zjednodušenie ide o automatizovaný proces hlásenia bezpečnostných incidentov vybranými prevádzkovateľmi základných služieb. V očiach odbornej verejnosti táto kompetencia úradu vyvoláva množstvo otázok, ako aj dojem, že súkromie občanov bude výrazným spôsobom narušené.
NBÚ vo svojom stanovisku verejnosť informoval o tom, že nemá vo svojej kompetencii zber žiadnych údajov (či už osobných alebo citlivých), a taktiež nemôže priamo zasahovať do žiadneho softvéru ani do komunikácie v sieti. Ďalej uviedol, že môže pracovať s informáciami len na úrovni technických identifikátorov, ktoré bude pravidelne vydávať a vybraný prevádzkovateľ si na základe rozhodnutia bude musieť skontrolovať, či vo svojich systémoch a službách neeviduje výskyt vydaných sád technických identifikátorov a následne úrad informovať o možnom náleze. V prípade, že sa uvedené kompetencie úradu nebudú zneužívať, by dané povinnosti mali zabezpečiť rýchle a efektívne riešenie bezpečnostných incidentov.
Inštitút blokovania nie je z pohľadu úradu žiadny nový vynález, nakoľko už v roku 2019 bol bezpečnostnou radou SR schválený materiál NBÚ, tzv. Pravidlá pre blokovanie. V danom materiáli má byť zakotvený postup týkajúci sa veci blokovania kybernetických bezpečnostných útokov, ktorý je v súlade s medzinárodnými štandardmi. Inštitút blokovania by sa mal primárne vzťahovať na prevádzkovateľov základnej služby a bol navrhnutý Ministerstvom hospodárstva SR. Vo svojej podstate ide o vykonávanie blokovania v prípadoch riešenia kybernetického bezpečnostného incidentu. Podľa slov úradu sa nesleduje obsah komunikácie, ani nedochádza k zhromažďovaniu údajov, ale sledujú sa technické identifikátory (napr. IP adresa, adresy riadiacich serverov a pod.). Pre odbornú verejnosť však ide o novú povinnosť, ktorá je veľmi nejasná svojim zámerom a rozsahom, a čaká sa na aktualizáciu Vyhlášky, ktorá by, teoreticky, mohla bližšie špecifikovať zámer a rozsah pôsobnosti danej povinnosti. Od aktualizácie Vyhlášky sa taktiež očakáva detailná analýza a nastavenie pravidiel tohto inštitútu, nakoľko úzko súvisí so zásahom do základných práv a slobôd. NBÚ si danú skutočnosť plne uvedomuje a uvádza, že inštitút blokovania slúži len ako krajný prostriedok riešenia kybernetických incidentov v prípadoch, kedy sú iné nástroje neúčinné, akým je napríklad pretrvávajúci útok a hrozba na konečného užívateľa.
Ďalším oprávnením NBÚ je možnosť, za istých okolností, zakázať alebo obmedziť používanie konkrétneho produktu, procesu, služby alebo tretej strany na poskytovanie základnej služby. Ide o široké oprávnenie úradu, ktoré istým spôsobom zasahuje do vlastníckych práv, bez možnosti kompenzácie. Úrad o danom zákaze alebo obmedzení môže rozhodnúť bez predošlého varovania a diskusie. Ide o rozhodovanie NBÚ mimo správneho konania bez procesnej účasti dotknutých prevádzkovateľov. To znamená, že prevádzkovateľ, ktorého sa zákaz alebo obmedzenie týka, môže byť blokovaný bez toho, aby vedel dôvod a mohol uskutočniť nápravu, aby k blokovaniu vôbec nedošlo. Podľa slov NBÚ, k rozhodnutiu dochádza na základe analýzy rizík a posúdenia Bezpečnostnou radou SR. Taktiež, rozhodnutiu predchádza námietkové konanie, návrh je po dobu 30 dní zverejnený na webovom sídle úradu a rozhodnutie je preskúmateľné Ústavným súdom SR.
Toto oprávnenie sa nevzťahuje len na slovenských prevádzkovateľov, ale môžu byť zasiahnutí aj zahraniční prevádzkovatelia, ktorý na Slovensku vykonávajú svoju obchodnú činnosť.
Daným opatrením by sa napríklad zaistila pohotová reakcia úradu na útoky (napr. DOS útoky), ktoré by zahltili systémy prevádzkovateľov. Je však potrebné presne definovať a stanoviť kompetencie úradu k danému oprávneniu, ktoré doposiaľ neboli jednoznačne dokomunikované, aby nedochádzalo k jeho zneužívaniu.
Blokovanie škodlivých aktivít alebo obsahu, ktoré môžu zapríčiniť bezpečnostný incident bude tak plne závisieť od rozhodnutia NBÚ, ktoré bude plne založené na základe podozrenia. Keby sme dané obmedzenia uviedli do praxe, môžeme povedať, že úrad môže napríklad zakázať využívanie istých služieb/produktov pochádzajúcich napríklad z Ruska alebo Číny, dokonca môže blokovať prístup k jednotlivým webovým stránkam.
Novela priniesla aj zmeny týkajúce sa povinností prevádzkovateľa základnej služby. Predĺžila sa lehota na prijatie a dodržiavanie všeobecných bezpečnostných opatrení, a to z pôvodných 6 mesiacov na 12 mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb. Pri uzatvorení zmluvy o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností s treťou stranou, sa vykonáva analýza rizík. Taktiež novela upravuje povinnosť uzatvorenia zmluvy a to tak, že povinnosť neplatí, ak je tretia strana prevádzkovateľom základnej služby alebo poskytovateľom digitálnej služby, alebo ak je riziko vo vzťahu k činnosti nízke.
Novela zákona taktiež upravuje bezpečnostné opatrenia na zabezpečenie kybernetickej bezpečnosti. Bezpečnostné opatrenia sú obšírnejšie v porovnaní so znením zákona pred novelizáciou. Vzhľadom na rozšírenie bezpečnostných opatrení a nutnosť ich bližšej špecifikácie očakávame novelu Vyhlášky ku kybernetickej bezpečnosti.
O vývoji situácie a možnej novelizácii Vyhlášky ku kybernetickej bezpečnosti Vás budeme informovať.
Zdroje:
https://www.trend.sk/spravy/sporna-novela-zakona-kybernetickej-bezpecnosti-spojila-slovensky-it-sektor
https://touchit.sk/ako-je-to-teda-s-novelou-zakona-o-kybernetickej-bezpecnosti/340655
https://sk-nic.sk/nbu-pripravilo-novelu-zakona-o-kybernetickej-bezpecnosti-sk-nic-predpoklada-aktivny-vstup-do-pripomienkoveho-konania/
https://www.nbu.gov.sk/2021/03/31/reakcia-nbu-na-medializovane-informacie-k-novele-zakona-o-kybernetickej-bezpecnosti/index.html
