Zákon o ITVS

itvs
zákony

#1

Zákon o informačných technológiách verejnej správy, ktorý má nahradiť doterajší zákon o ISVS (275/2006) existuje ako draft. Zámer ÚPVII je čo najskôr tento zákon finalizovať, a bude teda aj prístupný verejne, tak začínam tento topic.

Draft zákona mám, zatiaľ ho môžem poskytnúť iba internej skupine S.D pre túto tému. Kto teda máte záujem, dajte vedieť.

Na pripomenutie, tu sme diskutovali o legislatívnom zámere.


Legislatívny zámer zákona o výkone správy v oblasti IT verejnej správy (MPK)
Public Money? Public Code! — otvorený list FSFE
Zákon o výkone správy v oblasti informačných technológií verejnej správy
#2

posli teda…


#3

Som zvedavy v akom tvare bude schvaleny… dufam ze v MPK si prlpomienkujuci uvedomia, ze pokroku by sa nemali branit a z prvopociatocneho soku z jeho znenia sa spamataju…


#4

Zakon v MPK:
https://www.slov-lex.sk/legislativne-procesy/SK/LP/2017/734.


#5

MPK končí dnes. Za mňa toto sú pripomienky, ktoré som dával ešte v PS Kybernetická bezpečnosť:

  • zákon ako celok je nadštandardne detailný, zavádza množstvo nových povinností - v tom vidím riziko, že správcovia IS / orgány riadenia ich nebudú vedieť vykonávať, najmä malé organizácie

  • §10.5, §17.1: zmysluplnosť a efektívnosť naviazania na klasifikáciu podľa zákona o KyB sa bude dať reálne posúdiť až ak bude známy aspoň draft ako táto klasifikácia má vyzerať (ja ho nepoznám)

  • §11.1.a: toto je správne priradenie zodpovednosti, kladiem si otázku, či na úrovni zákona nestačí takáto základná deklarácia a detaily rozpracovať vo vykonávacích predpisoch

  • §15.4: kontinuita prevádzky musí byť centrálne riadená a nestačí že na každý systém budú samostatne stanovené požiadavky, práve treba zaistiť určitú úroveň prevádzky v prostredí vzájomne závislých IS; v tomto zákone by mal byť stanovený aj paušálny režim pre BCM, ktorý bude uplatnený pokiaľ osobitný zákon neustanovuje inak, napr. plynutie lehôt a plnenie povinností pre subjekty v prípade nedostupnosti, náhradný výkon za iba elektronické služby, informovanie o výpadkoch atď.

  • §18-22: z veľkej časti ide o ďalšie kopenie požiadaviek na konkrétne opatrenia; požiadavky sú nedostatočne škálované podľa závažnosti spracovania informácií / veľkosti organizácie; som presvedčený, že maximum z týchto vecí treba presunúť do vyhlášok; čo najviac treba konrkrétne administratívne, organizačné aj technické opatrenia zjednotiť pre OOÚ, KyB a eGov

  • §18: “systém riadenia bezpečnosti”, keď už sa detailne popisuje, treba podstatne previazať s orgánom vedenia s správe ITVS

  • viaceré požiadavky mi pripadajú ako evidentne nad rámec zákonnej nevyhnutnosti, napr. §19.2.c - požiadavka na plošnú mlčanlivosť, zo zákona, na vždy, a to pri povinne otvorenom zdrojovom kóde je skrátka mimo reality

  • §28: pokuty nestačia, nebudú ukladané (poznáme z minulosti) a minú sa účinkom; mechanizmus sankcií, resp. presnejšie nápravných opatrení musí byť podstatne viac zameraný na dosiahnutie výsledku

  • v zákone na viacerých miestach sú umožnené výnimky, alebo alternatívne postupy (napr. §20.2.c), čo samo o sebe je rizikové, ťažko kontrolovateľné a je to znakom že požiadavky nie sú správne nastavené

  • celkovo by sa podľa mňa sa mal podstatne opustiť systém taxatívneho určenia požiadaviek na opatrenia, keďže tieto nebudú dobré vlastne pre nikoho, pre jedného správcu budú zbytočne vysoké, pre iného nedostatočné; skôr treba ísť smerom k jednoznačnému prideleniu zodpovednosti, určenie centrálneho riadenia, kontroly a nápravných opatrení


#6

Včera začalo opakované MPK pre tento zákon: https://www.slov-lex.sk/legislativne-procesy/SK/LP/2018/473
MPK trvá do 11.7.

Pripomeniem, že v medzičase s nami ÚPVII odmietlo o tomto zákone detailnejšie komunikovať, naše pripomienky sa vybavili tak, že “nie sú zásadné, lebo sme nedali hromadnú pripomienku” a dovidenia. Bola prisľúbená diskusia o zákone v niekoľkých PS, ale zatiaľ sa neuskutočnila. Rovnako sa sťažuje na nekomunikáciu aj ITAS. Na viacerých úradoch som počul, že ak by teraz tento zákon bol schválený, nedokážu nové úlohy plniť. Nie je mi jasné, čo týmto prístupom ÚPVII sleduje…


#7

Moje pripomienky k zákonu som sformuloval sem. Môj všeobecný pocit je taký, že zákon veľmi “lieta” v úrovni detailu a miestami má až charakter vykonávacieho predpisu. V každom prípade som doplnil pripomienky pre:

  • obstarávanie (umožnenie vyššej konkurencie malých podnikov a zohľadňovanie trhu)
  • prípravu projektov (zavedenie Proof of Concept pre veľké projekty)
  • obchodné podmienky (opatrenia na prechádzanie lock-in)
  • budovanie interných kapacít na OVM
  • zavedenie možnosti zdieľaných služieb (t.j. napr. aby povinnosti z tohto zákona mohlo OVM vykonávať formou využitia kapacít iného OVM alebo zdieľanej kapacity)
  • doložka vplyvov - zákon zavádza rozsiahle zmeny, ktoré budú mať dopad na OVM (nové role a povinnosti) - doložka vplyvov je však podľa mňa nedostatočná a mala by byť prepracovaná

PS: §17-22 som nepripomienkoval, to je skôr doména pre @Lubor

Komentáre k pripomienkam sa dajú robiť priamo do dokumentu. Za spätnú väzbu budem vďačný.


#8

Blockquote K časti: par. 14 ods. 2
Pripomienka: navrhujeme doplniť nový bod “pre veľké projekty preukázať životaschopnosť projektu a jeho kľúčových predpokladov formou overenia riešenia v malom rozsahu (proof of concept) ešte pred jeho obstaraním a závery tohto overenia zohľadniť v ďalšom postupe projektu”
Odôvodnenie: ustanovenie vychádza zo zámerov NKIVS

Ako si predstavujes vykonatelnost v praxi? Myslim najma toto spojenie “pred jeho obstaranim”. Kto to zaplati? Pri vacsich projektoch sa naklady na PoC mozu pohybovat v statisicoch EUR.
Stat predpokladam nemoze urobit akykolvek nakup bez obstarania a ak by bola myslienka ze sa “vyberie” nejaky dodavatel, ktory to sam zaplati, ako ho vyberies? Preco prave tento dodavatel ma robit PoC a nie iny. Nebude mat potom vyhodu pri VO?
Dalsia otazka, ak urobis PoC s nejakym dodavatelom a potom pojdes sutazit a vyhra to niekto iny tak cele PoC mozes zahodit lebo ti to moze urobit inak.
Skor by ste mali obstaravat s opciou, to znamena ak dodavatel pri PoC nepreukaze vhodnost riesenia dalej sa nepokracuje.


#9

a ono je to este inak, jedno z velkych nedorozumeni je v tom ze pod projektom sa chape to co chapu IT firmy a konzultacky. teda dodavku riesenia, ktore konci akceptaciou u zakakznika. Ale z pohladu verejnej spravy je to len jedna cast projektu.
ten zacina viziou u politika a konci vela rokov po dodani v case ked sa uz davno zabudlo ze sa nejaky projekt robil. A na tu cast po dodavke riesenia sa zabuda.
Taketo naivne pripomienky potom vzbudzuju ocakavanie ze ak projekt nie je uspesny okamzite tak ide o zlyhanie. Ale aj pre trivialne riesenia je priebeh iny, po nasadeni projektu prichadza pokles spokojnosti a trva nejaky cas kym sa nove postupy uchytia a dojde k zlepseniu. Manazment zmien sa tomu nadava, a bohuzial cim je zmena vacsia a zasahuje viac ludi tym to je bolestivejsie.
Tieto problemy sa daju cakat a ziadne PoC ich neodstrani, Ak PoC overuje technologiu, tak ok. Moze sa ukazat ze technologia je problem. Ale klucove predpoklady su ze to uzivatelia prijmu a budu pouzivat, toto sa da maximalne riadit ale nie testovat. Nabehove krivky su roky, nie tyzdne.


#10

s.d chalani mozno by ste mohli aj nieco pozitivne k teme, vobec neberiete do uvahy ze to je fajn ze sa crta moderny zakon vychadzajuci z medzinarodne akceptovanych metodik (ISO, COBIT), ze to bude prilezitost pre podstatny posun v riadeni statnych IT atd. Fakt tam vidite len negativa ? Bude to velmi dolezita pravna norma, podla vas to je zle postaveny zakon ? Myslite ze pre dobru prax to nic neprinesie ?


#11

Ja chvalim ten opensource tam, to ked daju sklonim klobuk (ako som uz viac krat pisal aj verejne).


#12

no jo, opensource…myslel som v globale, ze zakon moze zaviest novu modernu paradigmu riadenia it v statnej sprave. Furt volate po vzoroch z uk a rozvinutych krajin atd. A ked sa tu crta konecne crta cosi moderne, co by stalo za nezavisle zhodnotenie nielen slabych, ale aj silnych miest a prilezitosti, tak ste nejako ticho. Max date pripomienky. Preto som sa pytal na vrcholovy nazor s.d na zakon .

je jedine co som nasiel. Fakt ma zaujima nazor s.d.


#13

Aha, tak to sme sa nepochopili. MPK je vzdy o negativach kedze pripomienky riesia sporne vyjadrenia. Ja na zakon ako celok nazor dat neviem, kedze legislativa bola vzdy mimo mojej expertizy. Vyberam si luxus nevyjadrovat sa k veciam ktorym nerozumiem.


#14

moj osobny nazor je taky, ze tento zakon velmi treba. Su v nom aj dobre veci, ktore urcite pomozu upratat vztahy medzi OVM (snazil som sa ich v pozitivnej pripomienke aj pochvalit). Ale miestami naozaj vidim, ze uroven detailu velmi kolise. Je velkou skodou, ze ten zakon sa tvoril za zatvorenymi dverami az doteraz, aj ked existuje pracovna skupina Governance & Delivery, kam prave tato problematika spada a zakon sa tam mal podla mna priebezne diskutovat. Takto nam neostava nic ine, ako pripomienkovat hotove znenie.


#15

Ďakujem za reakciu . Ale nesúhlasím s tým že vám neostáva nič iné len pripomienkovať. Vy ako s.d môžete vyjadriť odborný názor na princípy a obsah zákona. Určite by to časť komunity (štátna správa a itpvs) ocenila.


#17

Do dokumentu čo tu zavesil Jano som pridal aj pripomienky z minulého MPK, podľa možností som sa zamyslel nad chabou reakciou na ne od predkladateľa a upravil ich.
Takto som to za S.D aj podal.