Novela zákona o kybernetickej bezpečnosti

skusil si to ?

Za bežných okolností preferujem volanie, až keď nepomáha písanie.
V tomto prípade však úplne súhlasím, že je najvyšší čas už aj volať.

2 Likes

@Lubor a ty to teda vidis ako ?

Za S.D to vidím tak, ako sme napísali v našom stanovisku: v 4 častiach novely vidím exces idúci ďaleko za rámec KyB - blokovanie obsahu, monitorovanie, zákaz produktov/služieb, povinnosť súčinnosti.
Z odbornej komunity nám prišlo skutočne veľa signálov, že aj ďalší v týchto častiach vidia problém. A že pri príprave novely NBÚ nesúhlasné hlasy ignorovalo.
Nemyslím si že ja mám vymyslieť “dobré” znenie v týchto problematických veciach (ani na to nemám odbornú kapacitu).
Podľa všetkého čo som k týmto veciam počul som presvedčený, že ak by sa z novely vypustili, nič katastrofálne sa nestane - následne sa môže pripraviť nový návrh na pokrytie problémov ktoré týmito bodmi NBÚ chce riešiť.

Ja osobne si myslím toto:

  • blokovanie NBÚ - nevidím dôvod aby NBÚ vydávalo rozhodnutia o blokovaní, podľa ich vlastných vyjadrení to má byť použité iba pri riešení incidentov - v tejto situácii však už existujú dnes generické mechanizmy (viď. trestný poriadok) ktoré nerozumiem prečo by práve tu nemali stačiť
  • blokovanie ako súčinnosť s iným úradom - na “iba” zabezpečenie asistencie zo strany NBÚ pre iný úrad netreba do zákona dávať celý nový nástroj - NBÚ už dnes vie inému úradu v rámci spolupráce orgánov verejnej správy poradiť čo do ich originálneho rozhodnutia napísať, NBÚ už dnes vie sprostredkovať kontakt s prevádzkovateľmi základnej služby, nič viac netreba
  • monitorovanie obsahu - v zákone je dnes povinnosť nahlasovať incidenty, alebo si PZS uzavrie zmluvu s NBÚ, táto nová časť je ešte o jedno “alebo” ďalej - nevidím dôvod, prečo by nemali stačiť tie už dnes v zákone veci, ak niekto “úmyselne nespolupracuje”, tak nebude spolupracovať ani ponovom a tie nové § ho nedonútia
  • zákaz produktu/služby - pokiaľ som si pozeral dokumenty, ktoré v tejto téme sú pre SR určujúce, všade sa hovorí o “dôkladom zvážení rizík” (stručne povedané) - presne toto nech sa začne robiť, zatiaľ som to nikde nevidel - keď bude k tomuto jasná metodika, s jasnými závermi, ktoré teda niekto tvrdohlavo odmieta rešpektovať, potom bude dôvod pritvrdiť v leveli zákon
  • súčinnosť - povinnosť súčinnosti s NBÚ nad okruh PZS považujem skrátka za drzý exces
1 Like

Stanoviská odborných združení o ktoré ich požiadalo NBÚ (odrážky sú iba môj výťah):
Stanovisko AKB: stanovisko_AKB.pdf (158.0 KB)

  • vyjadrili sa k verzii predloženej do NRSR
  • novelu ako takú je dôležité prijať, je tam veľa dôležitých vecí, ale:
  • blokovanie navrhujú vypustiť
  • automatizované poskytovanie informácií navrhujú vypustiť alebo upraviť
  • zákaz produktu/služby navrhujú vypustiť alebo opraviť
  • AKB ma informovalo, že konflikt záujmov súvisiaci s tým, že členom Správnej rady je riaditeľ SK-CERT bol pri formulácii tohto stanoviska odstránený

Stanovisko ISACA Slovensko: stanovisko_ISACA.pdf (203.5 KB)

  • vyjadrili sa “k pozmeňovaciemu návrhu poslancov” (ktorý som zatiaľ nevidel)
  • novela je dôležitá a treba ju prijať, ale
  • blokovanie navrhujú vypustiť
  • automatizované poskytovanie informácií je po pozmeňovacom návrhu v poriadku
  • k zákazu produktu/služby sa nechcú veľmi vyjadrovať, ale domnievajú sa, že po pozmeňovacom návrhu to za určitých podmienok (menujú ich) môže byť prijateľné

Stanovisko ZBOP: stanovisko_ZBOP.pdf (157.9 KB)

  • pravdepodobne sa vyjadrujú k verzii predloženej do NRSR (nie je to v stanovisku explicitne, ale tak som to pochopil)
  • o návrhu zákona s NBÚ dôkladne diskutovali
  • vyjadrujú zákonu podporu a veria že bude “v tomto znení” schválený
1 Like

Zda sa, ze poslanci v NRSR sa konecne dohodli ako chcu upravit Zakon o kybernetickej bezpecnosti:
https://www.nrsr.sk/web/Dynamic/DocumentPreview.aspx?DocID=496746

Pre veci, ktore sme my riesili to vyzera asi takto:

  • blokovanie - pojde cele prec
  • automatizovane poskytovanie informacii - upravene, nove znenie vyzera byt bez rizika
  • zakaz produktu/sluzby - upravene, pridali sa tam viacere poistky, ktore su podla mna dostatocne
  • sucinnost - zuzene iba na riesenie B incidentu a na OVM, PZS a PO podla prilohy 1, v prilohe 1 pribudne “poskytovatel sluzieb webhostingu, DNS hostingu alebo mailhostingu” (nebudu tam webshopy) - uvidime ako to bude NBU vykonavat

Su tam aj dalsie zmeny, ktore riesili najma PZS/prevadzkovatelia sluzieb.

Celkovo to na prve precitanie hodnotim ako vcelku dobry vysledok vzhladom na stav v akom to bolo (este zrejme prekonzultujeme s pravnikmi sko presne tie § dopadli), samozrejme treba monitorovat (prislusny organ) ako to bude NBU vykonavat.

2 Likes

Tomuto hovorím konštruktívny prístup. A nie ze "cele zle, treba stiahnuť a začať verejnú diskusiu ", ako hystercil treti sektor.

Zachraňovať legislatívu v parlamente je z odborného hľadiska zúfalstvo - transparentnosť? konflikt záujmov? možnosť zapojiť sa?.
Plus keby nie “hysterčenie”, tak sa tá novela schváli bezo zmeny a nikto si nič ani nevšimne, všakže.
Keďže predkladateľ nemá zábrany a veľká časť KyB profesionálov je apatická.

Toto je kritika do vašich radov Ivan, nabudúce nenechajte vládu schváliť zákon, pre ktorý vlastná koalícia v NRSR bude písať “vypúšťa sa ustanovenie … z dôvodu neprimeranosti výkonu kompetencií úradu”.

Narážam na to, ze sa považovalo za úspech, keď sa celá novela stiahla. To bolo Pyrhovo víťazstvo.

…a zatiaľ v Nemecku
https://zive-aktuality-sk.cdn.ampproject.org/c/s/zive.aktuality.sk/amp/clanok/c6zhxm6/vsetky-nemecke-tajne-sluzby-budu-moct-hackovat-ludi-bundestag-schvalil-kontroverznu-novelu/

Novela nikdy nebola “stiahnutá z NRSR”, iba jej prerokovanie v 1. čítaní bolo presunuté na schôdzu v máji. To, že sa neschválila koaličným valcom, ale poslanci si rozumne nechali viac času pozrieť sa o čo vlastne ide, považujem skutočne za úspech.

K situácii v Nemecku: ako vidíš, aj tam je kritika. A teda v tomto je podstatná miera dôvery verejnosti voči úradom. U nás ja dôveru voči NBÚ a všeobecne voči úradom kde podstatná časť činnosti je utajená nemám žiadnu - vzhľadom na dlhú históriu ich miery transparentnosti, komunikácie v rámci odbornej obce … a ešte aj miery podozrení v ich IT projektoch.

Ale to bola ambicia s.d, stiahnut ju, nie ? Ale to je jedno, je to teraz tak ako to je a myslim ze to dopadlo dobre.

Z tlačovej správy NBÚ 8.4.: „Vítame ochotu NBÚ prehodnotiť problematické ustanovenia novely zákona o kybernetickej bezpečnosti. Rozumieme, že táto novela obsahuje aj množstvo ďalších zmien, v prípade ak do jej prerokovania v parlamente nedôjde k odbornému konsenzu, za najlepšie riešenie považujeme neblokovať spornými témami jej ďalšie schvaľovanie, vypustiť ich a pripraviť nový návrh, ktorý ich upraví,“ vyhlásili predstavitelia nadácie a združenia po stretnutí.

Ved si preskroluj hore tuto temu, titulok z médií je " Stiahnutie novely zákona o kybernetickej bezpečnosti žiadajú Slovensko.Digital, Nadácia Zastavme korupciu aj ITAS" :slight_smile: Ale dopadlo to myslím dobre a s.d ma na tom svoj podiel.

Novela zákona dnes nakoniec bola schválená aj s pozmeňujúcimi návrhmi.

@IvanK super že to sleduješ. Daj sem prosím info aj keď bude návrh NBÚ k “politickým rizikám” podľa §20 ods.5 nový odstavec “za písmenami”.

myslis tento zaujimavy text, "Politické riziká schvaľuje vláda Slovenskej republiky na základe stanoviska úradu. Stanovisko úradu sa predkladá Bezpečnostnej rade Slovenskej republiky. Politické riziká úrad zverejňuje v jednotnom informačnom systéme kybernetickej bezpečnosti. Úrad v analýze politického rizika zohľadní vyjadrenie Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstva hospodárstva Slovenskej republiky, Ministerstva vnútra Slovenskej republiky, Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky z oblasti ich pôsobnosti. "

Cize tie rizika by mali byt po schvaleni vladou zverejnene. A predtym sa na nich musia zhodnut ministerstva a SIS. No to som zvedavy…

2 Likes

Áno, toto. Snáď by k tomu mohlo NBÚ umožniť diskusiu ešte v draftovej verzii. Viem, som neskonalý optimista.