V prípade novely zákona o kybernetickej bezpečnosti platí, že aj správna vec sa dá zneužiť. Súhlasíme, že zmeny sú potrebné, nie však za cenu nadmerných obmedzení a ohrození pre používateľov. Považujeme preto za mimoriadne dôležité upozorniť na možné riziká pripravovanej novely.
Predložená novela zákona o kybernetickej bezpečnosti, ktorá má byť prerokovaná v prvom čítaní na zajtrajšej schôdzi NR SR, má viacero rizík a ide nad rámec európskej legislatívy. Považujeme za nelogické a aj neprípustné, že NBÚ pripravil novelu zákona o kybernetickej bezpečnosti ešte pred predložením Národnej stratégie kybernetickej bezpečnosti na roky 2021 až 2025, ktorá by mala tvoriť rámec novely.
V skutočnosti sa do znenia novely nepremietli princípy tohto dôležitého strategického dokumentu. Ak by mal byť zákon schválený v súčasnom znení, navrhujeme, aby sa radšej stiahol z rokovania Národnej rady SR na prepracovanie a aby sa pokračovalo v odbornej diskusii.
Novela zákona prekračuje to, čo sa považuje za štandard v Európskej únii a obsahuje ustanovenia s viacerými rizikami. Poslanci Národnej rady SR by sa preto mali hlboko zamyslieť nad tým, ako v prípade jej schválenia poslúžia občanom a podnikateľom.
„Národná stratégia kybernetickej bezpečnosti reflektuje strategické smerovanie štátu v oblasti kybernetickej bezpečnosti, zohľadňuje princípy Bezpečnostnej stratégie SR a vychádza aj zo strategických dokumentov NATO, EÚ, OECD a OSN,“ komentuje NBÚ. Súhlasíme s tým, čo sa uvádza v samotnej stratégii: „Štát musí pri budovaní dôveryhodnosti a bezpečnosti vykonávať všetky aktivity v súlade s Ústavou Slovenskej republiky a vstupovať do základných ľudských práv a slobôd len v nevyhnutnej miere.“ Kľúčovou otázkou teda je, prečo tieto isté princípy nerešpektuje aj novela zákona. O to viac nás zaráža, že predkladateľom stratégie a aj zákona je ten istý Národný bezpečnostný úrad (NBÚ).
Návrh novely ide nad rámec aktuálne platnej Smernice NIS (Smernica Európskeho parlamentu a Rady EÚ 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii. Prekračovanie smerníc a odporúčaní Európskej únie (tzv. gold-plating) je známou slovenskou chorobou. Je jedným z hlavných dôvodov nezvládnutého čerpania eurofondov alebo nekonečných verejných obstarávaní. Teraz sme v priamom prenose svedkami gold-platingu v oblasti kybernetickej bezpečnosti. Môže to viesť k tomu, že podnikanie na Slovensku bude menej predvídateľné, nákladnejšie a občania si začnú zvykať na pocit, že môžu byť nepretržite sledovaní.
Sektor elektronických komunikácií je v tejto oblasti už roky regulovaný európskym regulačným rámcom pre elektronické komunikácie a zákonom o elektronických komunikáciách, a preto v tej istej veci nemá byť regulovaný aj zákonom o kybernetickej bezpečnosti. Bezpečnostné požiadavky podľa zákona o kybernetickej bezpečnosti nie sú aplikovateľné na sektor elektronických komunikácií. Keby sa totiž v absolútnej miere uplatnili v praxi, išlo by o celoplošné nepretržité sledovanie.
Automatizované poskytovanie informácii je nielen technicky náročné a drahé opatrenie, ale vyvoláva aj množstvo otázok: napríklad či je v poriadku, keď citlivé dáta občanov a firiem zhromažďuje štát, ktorý má za sebou bohatú históriu únikov informácií a ich zneužitia, na rozdiel od firiem, ktoré majú v oblasti ochrany dát oveľa lepšiu povesť.
Nepretržité sledovanie systémových informácii zo sietí a informačných systémov vybraných prevádzkovateľov základných služieb na základe určenia NBÚ môže priniesť výrazný zásah aj do súkromia občanov. Toto opatrenie je možno vhodné pre internú komunikáciu v niektorých štátnych inštitúciách, ale určite nie vo firmách a verejných komunikačných sieťach. Navyše to prináša vysoké riziko úniku citlivých informácií vzhľadom na skutočnosť, že úroveň zabezpečenia v bankovom či telekomunikačnom sektore je vyššia ako na strane vládnych organizácií (napr. nedávny únik dát z NCZI).
Novela ide nad rámec odporúčaní EÚ aj v prípade návrhu v podobe zákazu používania produktu, procesu alebo služby. To môže viesť k poškodeniu záujmov podnikateľských subjektov bez toho, aby sa voči takémuto opatreniu dokázala dotknutá firma účinne brániť.
Blokovanie takzvaného škodlivého obsahu alebo škodlivých aktivít, ktoré môžu zapríčiniť bezpečnostný incident, sa má naviac diať bez predchádzajúceho súhlasu súdu a len na základe rozhodnutia NBÚ. Nevieme však, kto bude mať systémový dozor nad činnosťou NBÚ (rozhodnutie bude aspoň preskúmateľné súdom), ani akým spôsobom sa štát postaví k prípadným hospodárskym škodám, ktoré takto môžu vzniknúť.
Emil Fitoš, prezident IT Asociácie Slovenska