Zákon o kybernetickej bezpečnosti

NBÚ pripravuje zákon o kybernetickej bezpečnosti. Sám som zvedavý nakoľko zasiahne do fungovania úradov a asi aj niektorých firiem.
Majú už draft verziu napísanú, jej prezentácia bude na workshope “Príprava zákona o kybernetickej bezpečnosti”, ktorý NBÚ organizuje 16.2. na Bôriku.
Pozvanka (1).pdf (367.4 KB)

Ja tam pôjdem, kto máte záujem dajte vedieť, za organizáciu môžu ísť 2 zástupcovia, prihlášku treba dať do 8.2. Alebo sa s nimi dohodnite priamo cez office@nbu.gov.sk.

Mám draft zákona. Ak niekto chcete byť súčasťou “interného tímu” za S.D, ktorému ho môžem poskytnúť, dajte vedieť.

Draft som videl.

Vsimol si niekto, ze v aktualnom drafte navrhu zakona o kybernetickej bezpečnosti nie je ani zmienka o tom, kto bude opravneny vykonavat audit, ani o tom, aku zodpovednost na seba prevezme (ak vobec nejaku)?

Nehovoriac o neskutocne vagnom definovani napr:

Priloha 2:
Poskytovateľ služieb DNS - subjekt, ktorý poskytuje na internete služby DNS. (defakto kazdy kto ma router s otvorenym DNS portom je podla tohoto poskytovatel sluzieb DNS)

Mna by ten draft celkom zaujimal. (Len precitat si to.) Je nejaky dovod, preco sa s tym robia tajnosti? Je to draft zakona, raz to bude verejne tak ci tak. Aky je problem to zverejnit, ked sa tam jasne napise, ze to je draft?

Mne to strasne pripomina princip “zdravotnej sluzby”.

§ 15
Podmienky na identifikáciu prevádzkovateľa základnej služby

(1) Prevádzkovateľ základnej služby poskytuje službu, ktorá závisí od sietí a informačných systémov a kybernetický bezpečnostný incident by mal závažný rušivý vplyv na kontinuitu poskytovania takejto služby.

Podla toho ako to ja chapem, je prevadzkovatelom zakladnej sluzby, kazdy kto poskytuje akukolvek sluzbu, ktora zavisi od sieti a IS. Takze ak si doktor na dedine, a poskytujes sluzbu, a jej poskytovanie zavysi od IS a kyb. berzpecnostny incident by mal zavazny rusivy vpliv… (to by teda mal), tak spadas pod tento zakon.

A teda, 1 za 2 roky povinny bezpecnostny audit (ktory bude robit kto, a kolko bude uctovat) atp…

§ 17
Bezpečnostné opatrenia

(1) Bezpečnostné opatrenia predstavujú súhrn úloh, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti, dostupnosti a spoľahlivosti základných služieb v kybernetickom priestore.

(2) Bezpečnostné opatrenia sú
a) organizačné opatrenia a
b) technické opatrenia.

(3) Organizačnými opatreniami sú
a) systém riadenia bezpečnosti informácií,
b) bezpečnostná politika,
c) bezpečnosť organizácie,
d) stanovenie bezpečnostných požiadaviek pre dodávateľa,
e) riadenie služieb,
f) bezpečnosť ľudských zdrojov,
g) riadenie prevádzky siete a informačného systému,
h) riadenie prístupu osôb k sieti a informačnému systému,
i) akvizícia, vývoj a údržba sietí a informačných systémov,
j) riešenie kybernetických bezpečnostných incidentov,
k) riadenie kontinuity činností a
l) audit.
(4) Technickými opatreniami sú
a) fyzická bezpečnosť,
b) nástroj na ochranu integrity sietí a informačných systémov,
c) nástroj na overovanie identity užívateľov,
d) nástroj na riadenie prístupových oprávnení,
e) nástroj na ochranu pred škodlivým kódom,
f) nástroj na zaznamenávanie činnosti sietí a informačných systémov, ich užívateľov a administrátorov,
g) nástroj na detekciu kybernetických bezpečnostných rizík,
h) nástroj na zber a vyhodnotenie kybernetických bezpečnostných rizík,
i) aplikačná bezpečnosť,
j) kryptografické prostriedky,
k) nástroj na zabezpečenie úrovne dostupnosti informácií a
l) bezpečnosť priemyselných a riadiacich systémov.

Zaujimavejsia cast:

§ 25
Audit

(1) Prevádzkovateľ základných služieb je povinný opakovane sa podrobovať auditu kybernetickej bezpečnosti tak, že audit sa ukončí najneskôr do 24 mesiacov odo dňa zápisu prevádzkovateľa základných služieb do zoznamu prevádzkovateľov základných služieb alebo odo dňa ukončenia predchádzajúceho auditu.

(2) Prevádzkovateľ základných služieb je povinný predložiť záverečnú správu o výsledkoch auditu úradu spolu s prípadnými opatreniami na nápravu a s lehotami, v ktorých sa zistené nedostatky odstránia. Záverečnú správu o výsledkoch auditu je prevádzkovateľ základných služieb povinný úradu predložiť do 30 dní od ukončenia auditu.

(3) Ak úrad zo záverečnej správy o výsledkoch auditu zistí, že prevádzkovateľ základných služieb porušil povinnosti ustanovené v tomto zákone, uloží mu opatrenia na nápravu a lehotu, v ktorej je povinný nedostatky odstrániť.

Priestupky a iné správne delikty
§ 26

(1) Priestupku sa dopustí fyzická osoba, ktorá poruší povinnosť uvedenú v § 14.

(2) Za priestupok možno uložiť pokutu do 2 000 eur.

(3) Na priestupky a ich prejednávanie sa vzťahuje všeobecný predpis o priestupkoch. )

(4) Priestupky prejednáva úrad.

§ 27

(1) Úrad uloží pokutu do 16 500 eur prevádzkovateľovi základnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť podľa § 14, 16, 20 ods. 1 a 3, 21 ods. 1 a 3, 22 ods. 5.

(2) Úrad uloží pokutu do 33 000 eur poskytovateľovi digitálnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť podľa § 14, 18, 19 ods. 2, 20ods. 2 a 3, 21 ods. 2 a 3, 22 ods. 5.

(3) Pri ukladaní pokuty za správny delikt úrad prihliadne najmä na závažnosť, spôsob, trvanie a dôsledky porušenia povinnosti.

(4) Ak do jedného roka odo dňa nadobudnutia právoplatnosti rozhodnutia o uložení pokuty dôjde k opätovnému porušeniu povinností, za ktoré bola pokuta uložená podľa odsekov 1 a 2, úrad uloží pokutu až do dvojnásobku výšky súm uvedených v odsekoch 1 a 2.

(5) Pokutu za správny delikt možno uložiť do dvoch rokov odo dňa zistenia porušenia povinnosti, najneskôr však do štyroch rokov odo dňa keď k porušeniu povinnosti došlo.

(6) Pokuta za správny delikt je splatná do 30 dní odo dňa nadobudnutia právoplatnosti rozhodnutia o jej uložení.

(7) Pokuty za správny delikt sú príjmom štátneho rozpočtu.

Ale odomna to nemate

Chvalabohu, nebudes ale ten, kto bude urcovat ako zakon vykladat v praxi. Teda, dufam.

V kazdom pripade je ale zaujimave, ze ja tu vidim nieco ine. Konkretne

§ 15
Základná služba a prevádzkovateľ základnej služby

(1) Prevádzkovateľ základnej služby identifikuje základnú službu na základe prekročenia prahových hodnôt kritérií podľa osobitného predpisu a oznamuje ju úradu. )

(2) Na základe oznámenia podľa odseku 1 úrad zaradí základnú službu do zoznamu základných služieb a jej prevádzkovateľa do zoznamu prevádzkovateľov základných služieb.

cize nie “akukolvek sluzbu, ktora zavisi od sieti a IS”

a takisto dalej

§ 29
Splnomocňovacie ustanovenie

Úrad sa splnomocňuje na vydanie všeobecne záväzného právneho predpisu, ktorým upraví
a) obsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej dokumentácie, rozsah bezpečnostných opatrení,
b) podrobnosti o požiadavkách na audit a rozsahu auditu,
c) prahové hodnoty pre identifikáciu základnej služby,
d) podmienky akreditácie jednotky CSIRT,
e) bezpečnostné štandardy a znalostné štandardy v oblasti kybernetickej bezpečnosti,
f) klasifikáciu informácií a kategorizáciu sietí a informačných systémov
g) podrobnosti o vymieňaní informácií a osobných údajov s orgánmi členských štátov Európskej únie.
h) kategórie a prahové hodnoty kybernetických bezpečnostných incidentov hlásených prevádzkovateľom základnej služby a poskytovateľom digitálnej služby.

Takze ked o tyzden uvidim dav dezorientovanych lekarov s transparentmi “nechceme zakon kybernetickej bezpecnosti!” budem vediet odkial vietor fuka.
No a zaroven uz chapem odkial sa beru rozne hoaxy a urbanne legendy.

Tipujem že aj preto, že ešte sa v tom robia výrazné zmeny, tak načo zbytočne robiť rozruch nad draftom. Viď aj tu iná verzia čo pozerá @santa77 oproti @IvanK .

Nie, toto ani nikdy nebolo zámerom. Aktuálna verzia je tá s prahovými hodnotami, ako píše Ivan, pričom “kritériá podľa osobitného predpisu” má byť vyhláška NBÚ.

Z rozpísaných opatrení priamo v zákone mám dosť rozpačitý pocit. Čo ja viem, nespomína sa tam napr. riešenie ochrany záznamových médií - nie je to treba robiť, alebo áno, čo tým autor chcel povedať?
Oveľa väčší problém je, že táto časť je postavená akoby hlavným cieľom bolo udržanie prevádzky IS. Opatrenia súvisiace s ochranou ropovodu Družba -hoci aj v súvislosti s IT podporou prevádzky- asi budú úplne iné.

Odkiaľ?

IvanK: vypada to tak, ze mame k dispozicii ine verzie draftu. Prave preto by bolo mozno vhodne zverenit vzdy aktualnu verziu draftu. Nemyslim ze utajovanim do nejakej finalnej verzie sa predojde nedorozumeniam, len sirsej diskusii.

A neverim ze sirsia diskusia povedie k davu dezorientovanych lekarov

Dufam ze okrem invektiv sa tu dockam aj rozumneho vysvetlenia (v drafte ktory mas ty je to mozno uz vysvetlene), kto bude mat opravnenia robit audit a co na seba tym prebera. Uctovny audit je jasne definovany, nie len tym kto ho musi mat a ako casto, ale aj kto moze robit uctovny audit a ze podpisanim auditu prebera na seba zodpovednost.

Neviem, ale mne tato otazka pripada rozumna a k veci.

Podrobnosti majú byť uvedené vo vyhláške.
Čo myslíš “čo na seba tým preberá”?

Lubor:
vyhlaska je zatial v nedohladne (pre mna) a ak to spravne chapem, je to vykonavaci predpis, ktory uz neschvaluje parlament ako samotny zakon, ale kedykolvek si ho vydavatel, teda v tomto pripade NBU upravi podla potreby.

Co sa tyka preberania, ak ti niekto robi uctovny audit, prebera na seba zodpovednost za to, ze tvoje uctovnictvo je vporiadku a podla zakona. Bude niekto, kto bude davat “stempel”, ze si presiel auditom podla zakona o kybernetickej bezpecnosti, a vyhlasok ktore nasledne budu k danemu datumu platit, ze je vsetko ok?

Mozno sa vyjadrujem dost “ludovo” (nemam pravne vzdelanie) ale rad by som vedel, co v praxi bude znamenat ze si auditom presiel.

Áno, vyhláška nemá ani draft, ale nič viac teraz nevieme povedať.

Pochybujem že audítor preberá zodpovednosť za správne vedenie účtovníctva. Tá je samozrejme na osobe, ktorá to účtovníctvo má viesť. Audítor iba overuje súlad, aj to iba v rozsahu určitého štandardizovaného postupu (skrátka byť audítorom je ozaj pohodlný život). Pri KyB to bude rovnako.

Lubor: nemyslis tym nahodou dalsi zakonom garantovany kseft bez akej kolvek zodpovednosti za to ze “orazis” nejaky papier, ze nie ? len sa pytam…

BTW: “Audítor overuje správnosť účtovníctva”, tj ze boli spravne zauctovane jednotlive uctovne operacie, nie ze overuje spravnost danoveho priznania… takze bude tento “auditor” overovat spravnost implementacie povinnosti, a nie …

Z aktualizovaneho draftu, ktory mam teraz k dispozicii stale nechapem, (mozno moja chyba) co znamena ten audit, a co audit garantuje alebo nie…

BTW2: velky rozdiel je medzi prvym draftom co som dostal, a tymto, ktory je mozne povazovat z mojho pohladu za aktualny…

veru hej,vypada.

no, este lepsie by bolo, keby ta zverejnena verzia bola ako-tak stabilizovana. Nie som pravnik a neviem aka je legislativna prax. Je standardom ze pri tvorbe zakonov sa priebezne zverejnuju aktualne verzie rozrobenych draftov ?

myslim ze sirsej diskusii o teme nic nebrani.Sirsia diskusia k aktualnemu zneniu zakona by si vyzadovala stabilizovany draft ktory by bol vhodny na pripomienky sirsej odbornej verejnosti. Dufam, ze ak takyto draft vznikne, bude oficialne spristupneny.

Ale no, hadam to nebolo az tak zle . Pozri, zverejnis tu kus nejakeho neaktualneho draftu a na jeho zaklade robis predcasne nekorektne zavery. Co si cakal ? Verejnu pochvalu ?19 lajkov ? :)[quote=“santa77, post:8, topic:3201”]
kto bude mat opravnenia robit audit a co na seba tym prebera…Neviem, ale mne tato otazka pripada rozumna a k veci.
[/quote]to urcite ano. Lubor ti uz napisal k tejto teme. V tejto chvili sa ale naozaj len mozeme domnievat ako to bude. Predpokladam, ze nebudeme vymyslat nic “vlastne” ale prevezmeme nieco co uz funguje vo svete, a bude fungovat aj v inych krajinach EU

[quote=“santa77, post:12, topic:3201”]
co znamena ten audit, a co audit garantuje alebo nie
[/quote]ako Lubor pisal, audit overuje sulad niecoho s niecim. Pozri si napr. www.isaca.org / sk. Je to celosvetova asociacia ktora sa o.i. zaobera aj auditom (bezpecnosti) IS, publikuje standardy, frameworky a guidy pre tuto oblast, udrziava certifikacnu schemu pre auditorov atd. Podla mna je mozne, ze nieco z toho sa prevezme. Certifikat auditora CISA napr. dlhodobo akceptuju nase banky pri zakonom stanovenej povinnosti overovania spolahlivosti IS, ktorym sa spracuvaju bankove udaje.

pise tam aj “Rastislav Janota z NBÚ predstavuje zákon o kybernetickej bezpečnosti, ktorý sa medzičasom objavil v medzirezortnom pripomienkovom konaní.” ja to neviem najst nemate niekto link?
neviete tiez co za system to ma byt? nejaka studia?

Návrh zákona o KyB v MPK:
https://www.slov-lex.sk/legislativne-procesy/SK/LP/2017/407

MPK končí 15.6.2017

V rámci PS2/štd ISVS sa dohodlo, že k zákonu o KyB zorganizuje ÚPPVII diskusiu s NBÚ, ešte pred koncom MPK.

V PS2 k tomu nakoniec nič nebolo, za S.D som poslal aspoň tieto pripomienky:

Pripomienka k §6 ods.1 písm.m):

Žiadame vypustiť toto písmeno.

Odôvodnenie:
Nie je jasné, prečo má NBÚ vykonávať výskum a vývoj. Na tieto úlohy existujú iné príslušné inštitúcie - napr. akademické pracoviská na výskum. Duplicitné vykonávanie činností bude vysoko neoptimálne z hľadiska potrebných zdrojov. Znenie tejto kompetencie je nejasné a neobvykle široké.

Pripomienka k §10:

Zmeniť konštrukciu §10 tak, aby bolo jednoznačné, aké evidencie/zoznamy/registre bude NBÚ viesť, aký bude ich obsah a ich prístupnosť.

Odôvodnenie:

Nie je jasné, čo všetko má byť obsahom neverejnej časti JISCD. Takto hrozí, že verejný záujem (na sprístupnení určitých informácií), rovnako ako aj zabezpečenie práva na informácie, nebude možné v čase schvaľovania dostatočne posúdiť.
Máme za to, že zriadiť 4 nové registre nie je možné ich jednoduchým “spomenutím” ako súčasť určitého IS.

Pripomienka k §12 ods.1:
Zúžiť povinnosť mlčanlivosti iba na tie oblasti, kde je to nevyhnutné.

Odôvodnenie:
Povinnosť mlčanlivosti je neobvykle a neúčelne široko stanovená. Zahŕňa napr. aj požiadavku mlčanlivosti o údajoch, ktoré sú podľa §10 zverejňované. Vzhľadom na rozsah témy nie je možné v tejto pripomienke presne vymenovať potrebný rozsah mlčanlivosti, sme pripravení túto tému riešiť v rámci vysporiadania pripomienok.

Pripomienka k §12 ods.7:
Žiadame vypustiť tento bod

Odôvodnenie:
V §10 už je rozsah sprístupňovania údajov z JISCD dostatočne riešené. Nie je žiadny dôvod na výnimku z ochrany osobných údajov v zmysle príslušnej legislatívy, ktorá poskytuje dostatočné mechanizmy na umožnenie spracúvania OÚ pre JISCD potrebného.

Pripomienka k §19:
V zmysle deklarovaných ambícií zákona mal zákon o kybernetickej bezpečnosti zjednotiť, resp. zastrešiť všetky povinnosti vytvárania bezpečnostnej dokumentácie a bezpečnostných opatrení, najmä podľa zákona o informačných systémoch verejnej správy, zákona o ochrane osobných údajov, zákona o kritickej infraštruktúre. Namiesto toho sa predpisujú opäť nové opatrenia, čo zásadným spôsobom zvýši administratívne zaťaženie. Žiadame tento legislatívny zámer aj v zákone realizovať.

§29 ods.6:
Žiadame vypustiť tento odsek. Možnosť vstupovať do IS na úrovni správcu a meniť ich konfiguráciu zásadne prevyšuje možnosti potrebné na výkon kontroly a súčasne vytvára vysoké riziko narušenia činnosti a bezpečnosti týchto IS.

K pripomienkam S.D bolo s nami 22.9. vedené rozporové konanie.
Tu je z neho zápis: Slovensko.digital.pdf (253.0 KB)
Viaceré veci boli akceptované. Koncepčná pripomienka, k zjednoteniu povinností vytvárať bezpečnostnú dokumentáciu / opatrenia (pri ktorej sa ani nedalo čakať že by sa vyriešila v rozporovom konaní) mi bola zo strany NBÚ vysvetlená tak, že aj ich cieľom je ísť týmto smerom, rokovali o tom s ostatnými rezortmi kde sa IT bezpečnosť rieši. Nateraz je plán taký, že v zákone o kritickej infraštruktúre sa zruší sektor pre IKT, keďže všetko špecificky potrebné by malo byť v tomto zákone.

Zákon o KyB bol 8.11. schválený vládou: Domov | Portal OV

ja len ze

69
ZÁKON
z 30. januára 2018
o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

a mame aj https://www.sk-cert.sk/sk/uvod/