Zákon o štátnej službe príslušníkov Policajného zboru, Slovenskej informačnej služby, Zboru väzenskej a justičnej stráže Slovenskej republiky a Železničnej polície 73/1998 účinný od 01.04.2018 do 31.12.2018

Platnosť od: 21.03.1998
Účinnosť od: 01.04.2018
Účinnosť do: 31.12.2018
Autor: Národná rada Slovenskej republiky
Oblasť: Informácie a informačný systém, Polícia, Zväz väzenskej a justičnej stráže, Trestné právo hmotné

Informácie ku všetkým historickým zneniam predpisu
HIST53JUD33292DS38EUPP10ČL15

Zákon o štátnej službe príslušníkov Policajného zboru, Slovenskej informačnej služby, Zboru väzenskej a justičnej stráže Slovenskej republiky a Železničnej polície 73/1998 účinný od 01.04.2018 do 31.12.2018
Prejsť na §    
Informácie ku konkrétnemu zneniu predpisu
Zákon 73/1998 s účinnosťou od 01.04.2018 na základe 69/2018

Vládny návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

K predpisu 69/2018, dátum vydania: 09.03.2018

Dôvodová správa

 

A.      Všeobecná časť

Národný bezpečnostný úrad, ako ústredný organ štátnej správy pre kybernetickú bezpečnosť, pripravil na základe schváleného programového vyhlásenia vlády Slovenskej republiky na roky 2016-2020 a v súlade so schválenou Koncepciou kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020 a Akčným plánom realizácie Koncepcie kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020 návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona“), ktorým do národného právneho poriadku transponuje smernicu Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (ďalej len „smernica NIS“).

Siete a informačné systémy hrajú zásadnú úlohu pri slobodnom pohybe a často sú prepojované a spájané internetom, ako globálnym nástrojom. Narušenie siete a informačných systémov v jednom členskom štáte sa preto dotýka ďalších členských štátov a celej Európskej únie. Odolnosť sietí a stabilita informačného systému je preto základným predpokladom hladkého a nerušeného fungovania vnútorného trhu Európskej únie a predpokladom dôveryhodnej medzinárodnej spolupráce.

Smernica NIS predstavuje prvú celoeurópsku legislatívnu úpravu v oblasti kybernetickej bezpečnosti, ktorá sa zameriava na posilnenie právomocí príslušných vnútroštátnych orgánov, zvyšuje ich vzájomnú koordináciu a predstavuje bezpečnostné podmienky pre kľúčové sektory.

Cieľom smernice NIS je zaručiť spoločnú bezpečnosť sietí a informačných systém v rámci Európskej únie, prostredníctvom zvýšenia bezpečnosti internetu a súkromných sietí a informačných systémov, na ktorých je do značnej miery postavené fungovanie hospodárskych a spoločenských záujmov.

Významným subjektom na poli kybernetickej bezpečnosti v Európskej únii je Európska agentúra pre bezpečnosť sietí a informácií (ENISA), ktorá prispieva k zabezpečovaniu vysokého stupňa bezpečnosti a v spolupráci s európskymi krajinami vytvára spoločnú kultúru bezpečností sietí a informačných systémov v Európskej únii.

Povinnosti členských štátov vyplývajúce zo smernice NIS sú nastavené na najnižšej prijateľnej úrovni nevyhnutnej k dosiahnutiu požadovanej pripravenosti a k zabezpečeniu medzištátnej spolupráce založenej na dôvere. Členské štáty môžu v rámci prijatých opatrení zohľadňovať svoje vnútroštátne špecifiká a každý členský štát v tomto smere transponuje smernicu NIS s ohľadom na reálne, skutočné riziká vyskytujúce sa v spoločnosti.

Smernica NIS najmä:

  • zavádza bezpečnostné požiadavky a požiadavky na hlásenie kybernetických bezpečnostných incidentov pre prevádzkovateľa základných služieb (ďalej len „PZS“) a pre poskytovateľa digitálnych služieb (ďalej len „PDS“),
  • ukladá členským státom povinnosť určiť vnútroštátne príslušné orgány, jednotné kontaktné miesta a bezpečnostné tímy jednotiek pre riešenie kybernetických bezpečnostných incidentov (ďalej len „jednotka CSIRT“),
  • ukladá členským štátom povinnosť prijať národnú stratégiu kybernetickej bezpečnosti,
  • ustanovuje skupinu pre spoluprácu, s cieľom podporovať strategickú spoluprácu a výmenu informácii medzi členskými štátmi a budovať vzájomnú dôveru,
  • stanovuje sieť jednotiek CSIRT, ktorej účelom je prispievať k budovaniu dôvery medzi členskými štátmi a podporovať účinnú spoluprácu.

Nasledovná tabuľka uvádza konkrétne hlavné úlohy vyplývajúce zo smernice NIS a ich transponovanie do návrhu zákona:

Úloha vyplývajúca zo smernice NIS

Transponovaná

Kde v návrhu zákona

Vypracovať národnú stratégiu v oblasti bezpečnosti sietí a informačných systémov (čl. 7)

áno

§ 7

Definovať aspoň jeden zodpovedný orgán (čl. 8 ods. 1)

áno

§ 5 ods. 1 písm. a)

Definovať kontaktné miesto (čl. 8 ods. 3)

áno

§ 5 ods. 1 písm. e)

Vytvoriť aspoň jednu jednotku CSIRT (čl. 9 ods. 1)

áno

§ 6, 11 a 13

Identifikovať PZS (čl. 5)

áno

§ 17

Nahlasovať kybernetické bezpečnostné incidenty (čl. 14)

áno

§ 24, 25 a 26

Zabezpečiť členstvo v skupine pre spoluprácu a v skupine jednotiek CSIRT (čl. 11, čl. 12)

áno

§ 5 písm. g)

Hlavným legislatívnym východiskom návrhu zákona je Stratégia pre informačnú bezpečnosť v Slovenskej republike (Uznesenie vlády SR č. 270/2008), Legislatívny zámer zákona o informačnej bezpečnosti (Uznesenie vlády SR č. 136/2010) a Uznesenie vlády SR č. 328/2015 ku Koncepcii kybernetickej bezpečnosti.

V nadväznosti na Legislatívny zámer návrhu zákona o informačnej bezpečnosti, v ktorom boli stanovené okrem čiastkových cieľov dva základné okruhy problémov, a to zaistenie ochrany pre informačné systémy verejnej správy a vytvorenie všeobecného právneho rámca pre ochranu celého digitálneho priestoru Slovenskej republiky, je aj v súlade s naplnenými cieľmi smernice NIS možné konštatovať, že návrh zákona o kybernetickej bezpečnosti komplexne a vyčerpávajúcim spôsobom rieši všetky relevantné otázky.

Príprave návrhu zákona predchádzala široká odborná diskusia. Národný bezpečnostný úrad v rámci príprav organizoval workshopy na tému transpozície smernice NIS do národného právneho poriadku, prebiehali konzultácie s akademickou obcou aj odbornou verejnosťou, boli zriadené príslušné pracovné skupiny. Zákon bol teda vypracovaný aj na základe podnetov a po konzultáciách s orgánmi verejnej moci, ktoré sa k navrhovaným zmenám a oblastiam úprav vyjadrili, ako aj na základe podnetov a diskusií so zástupcami odbornej verejnosti.

Cieľom návrhu zákona je vytvoriť funkčný legislatívny rámec nevyhnutný pre efektívnu realizáciu kľúčových opatrení pre bezpečnosť národného kybernetického priestoru, ktorý transponuje priority a požiadavky, ktoré boli vytvorené na európskej úrovni a prijaté všeobecným konsenzom prostredníctvom smernice NIS.

Medzi hlavné oblasti úpravy návrhu zákona v nadväznosti na smernicu NIS patrí oblasť

·         organizácie a pôsobnosti orgánov verejnej moci v oblasti kybernetickej bezpečnosti,

·         národnej stratégie kybernetickej bezpečnosti,

·         jednotného informačného systému kybernetickej bezpečnosti,

·         postavenia a povinnosti PZS a PDS,

·         organizáciu a pôsobnosť jednotiek CSIRT a ich akreditáciu,

·         systému zabezpečenia kybernetickej bezpečnosti a minimálnych požiadaviek na zabezpečenie kybernetickej bezpečnosti,

·         kontroly a auditu.

Okrem uvedených okruhov návrh zákona rieši aj niektoré ďalšie požiadavky smernice NIS, ako je napríklad vymedzenie medzinárodnej spolupráce v oblasti kybernetickej bezpečnosti, plnenie notifikačných povinností, nahlasovanie kybernetických bezpečnostných incidentov ako aj dobrovoľné nahlasovanie kybernetických bezpečnostných incidentov, podporuje výskum a vzdelávanie ako aj zvyšovanie bezpečnostného povedomia v oblasti kybernetickej bezpečnosti.

Návrh zákona v jednotlivých článkoch novelizuje právne predpisy, ktorých zmena je z dôvodu dostatočnej transpozície nevyhnutná. Ide najmä o zákon č. 198/1994 Z. z. o Vojenskom spravodajstve v znení neskorších predpisov, zákon č. 319/2002  Z. z. o obrane Slovenskej republiky v znení neskorších predpisov, zákon č. 45/2011  Z. z. o kritickej infraštruktúre, zákon č. 351/2011  Z. z. o elektronických komunikáciách v znení neskorších predpisov a zákon č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov. Návrh zákona ďalej komplexným spôsobom rieši odmeňovanie zamestnancov na strane štátu tak, aby bol štát schopný zamestnať odborníkov v oblasti kybernetickej bezpečnosti a tým konkurovať súkromným zamestnávateľom. V súvislosti so zavedením nového správneho poplatku rovnako dochádza k doplneniu zákona č. 145/1995  Z. z. o správnych poplatkoch v znení neskorších predpisov.

Vzhľadom na predpokladanú dĺžku legislatívneho procesu a berúc do úvahy potrebnú legisvakanciu sa navrhuje, aby zákon nadobudol účinnosť 1. marca 2018. Ustanovenia, ktoré zakladajú povinnosti, vyžadujúce si prípravu a implementáciu sa navrhujú ustanoviť s odloženou účinnosťou.

Návrh zákona je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, nálezmi Ústavného súdu Slovenskej republiky, so zákonmi, ako aj s medzinárodnými zmluvami, ktorými je Slovenská republika viazaná a s predpismi Európskej únie.

Prijatie navrhovaného zákona nemá sociálne vplyvy, ani vplyvy na životné prostredie ani na služby verejnej správy pre občana, bude mať pozitívne vplyvy na informatizáciu spoločnosti, avšak bude mať negatívne vplyvy na podnikateľské prostredie a na rozpočet verejnej správy.   

 

 

Doložka zlučiteľnosti

právneho predpisu s právom Európskej únie 

 

 

1.   Predkladateľ právneho predpisu: Národný bezpečnostný úrad

 

2.   Názov návrhu právneho predpisu: Návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

 

3.   Problematika návrhu právneho predpisu:

 

a)   je upravená v práve Európskej únie

 

-  primárnom


            Čl. 114 Zmluvy o fungovaní Európskej únie,

Čl. 127 Zmluvy o fungovaní Európskej únie,

Čl. 219 Zmluvy o fungovaní Európskej únie. 

 

-    sekundárnom (prijatom po nadobudnutí platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskom spoločenstve a Zmluva o Európskej únii – po 30. novembri 2009)

 

o   legislatívne akty

 

-    smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečností sietí a informačných systémov v Únii,

-    nariadenie Európskeho parlamentu a Rady (EÚ) č. 648/2012 zo 4. júla 2012 omimoburzových derivátoch, centrálnych protistranách a archívoch obchodných údajov (Ú. v. EÚ L 201, 27.7.2012) v platnom znení,

-    delegované nariadenie Komisie (EÚ) 2017/584 zo 14. júla 2016, ktorým sa dopĺňa smernica Európskeho parlamentu a Rady 2014/65/EÚ, pokiaľ ide o regulačné technické predpisy bližšie určujúce organizačné požiadavky na obchodné miesta (Ú. v. EÚ L 87, 31.3.2017),

-    nariadenie Európskej centrálnej banky (EÚ) č. 795/2014 z 3. júla 2014 o požiadavkách v oblasti dohľadu nad systémovo dôležitými platobnými systémami (ECB/2014/28) (Ú. v. EÚ L 217, 23.7.2014),

-    nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L257, 28. 8. 2014),

-    nariadenie Európskej centrálnej banky (EÚ) č. 468/2014 (ECB/2014/17) zo 16. apríla 2014 o rámci pre spoluprácu v rámci jednotného mechanizmu dohľadu medzi Európskou centrálnou bankou, príslušnými vnútroštátnymi orgánmi a určenými vnútroštátnymi orgánmi (nariadenie o rámci JMD) (Ú. v. EÚ L 141, 14.5.2014),

-    nariadenie Európskeho parlamentu a Rady (EÚ) č. 1092/2010 z 24. novembra 2010 o makroprudenciálnom dohľade Európskej únie nad finančným systémom a o zriadení Európskeho výboru pre systémové riziká (Ú. v. EÚ L 331, 15.12.2010.

 

b)   je obsiahnutá v judikatúre Súdneho dvora Európskej únie.

-


4.   Záväzky Slovenskej republiky vo vzťahu k Európskej únii:

 

a)   lehota na prebratie smernice alebo lehota na implementáciu nariadenia alebo rozhodnutia

 

lehota na prebratie smernice: 9. mája 2018

b)   lehota určená na predloženie návrhu právneho predpisu na rokovanie vlády podľa určenia gestorských ústredných orgánov štátnej správy zodpovedných za transpozíciu smerníc a vypracovanie tabuliek zhody k návrhom všeobecne záväzných právnych predpisov

 

      15. decembra 2017

 

c)   informácia o právnych predpisoch, v ktorých sú preberané smernice už prebraté spolu s uvedením rozsahu tohto prebratia

 

-

5.   Stupeň zlučiteľnosti návrhu právneho predpisu s právom Európskej únie:

 

Stupeň zlučiteľnosti - úplný

 

6.   Gestor a spolupracujúce rezorty: 

 

       NBÚ

 

 

 

 

Doložka vybraných vplyvov

1.      Základné údaje

Názov materiálu

Návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

 

Predkladateľ (a spolupredkladateľ)

Ing. Jozef Magala – riaditeľ Národného bezpečnostného úradu

 

Charakter predkladaného materiálu

Materiál nelegislatívnej povahy

X

Materiál legislatívnej povahy

X

Transpozícia práva EÚ

V prípade transpozície uveďte zoznam transponovaných predpisov:

 

Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6.  júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii.

 

Termín začiatku a ukončenia PPK

12.5.2017 – 19.5.2017

Predpokladaný termín predloženia na MPK*

26.5.2017 – 15.6.2017

Predpokladaný termín predloženia na Rokovanie vlády SR*

01.11.2017

 

2.      Definícia problému

Uveďte základné problémy, na ktoré navrhovaná regulácia reaguje.

     Národný bezpečnostný úrad, ako ústredný organ štátnej správy pre kybernetickú bezpečnosť, pripravil na základe schváleného programového vyhlásenia vlády Slovenskej republiky na roky 2016-2020 a v súlade so schválenou Koncepciou kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020 a Akčným plánom realizácie Koncepcie kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020 návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona“), ktorým do národného právneho poriadku transponuje smernicu Európskeho parlamentu a rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (ďalej len „smernica NIS“). Smernica NIS predstavuje prvú celoeurópsku legislatívnu úpravu v oblasti kybernetickej bezpečnosti, ktorá sa  zameriava  na  posilnenie  právomocí  príslušných  vnútroštátnych  orgánov,  zvyšuje  ich  vzájomnú koordináciu a predstavuje bezpečnostné podmienky pre kľúčové sektory. Cieľom smernice NIS je zaručiť spoločnú bezpečnosť sietí a informačných systém v rámci Európskej únie, čo znamená zvýšenie bezpečnosti internetu a súkromných sietí a informačných systémov, na ktorých je do značnej miery postavené fungovanie hospodárskych a spoločenských záujmov.

     Priorita kybernetickej bezpečnosti je zdôraznená aj vo viacerých koncepčných a strategických dokumentoch EÚ a NATO, ako aj v dokumentoch ďalších významných organizácií po celom svete, kde sa narušenie kybernetického priestoru chápe ako jedna z kľúčových hrozieb súčasnosti. Z tohto dôvodu pokrokové vlády štátov pristupujú k zavedeniu účinných opatrení zameraných  na budovanie a posilňovanie kybernetických spôsobilostí s cieľom predchádzať, zaznamenávať, brániť sa a zotavovať sa z prípadných kybernetických útokov.

 

     Predkladaný návrh zákona vychádza zo súčasného stavu v Slovenskej republike, kde sa kybernetická bezpečnosť riadi viacerými právnymi predpismi. Vzhľadom na ich vzájomnú nesúladnosť je úroveň ochrany rôznorodá a nekompatibilná, v dôsledku čoho nedosahuje požadovanú úroveň vyspelých členských štátov EÚ. Výsledkom je nezabezpečenie primeranej úrovne kybernetickej bezpečnosti pred existujúcimi hrozbami, čo má za následok nenahraditeľné straty a narušenie dôveryhodnosti organizácií a štátu. Cieľom kybernetickej bezpečnosti je preto minimalizovať možnosti uplatnenia takýchto hrozieb a v prípade vzniknutých následkov minimalizovať ich vplyv, čo je nevyhnutnou podmienkou tak pre verejnú správu a súkromnú sféru.

 

 

3.      Ciele a výsledný stav

Uveďte hlavné ciele navrhovaného predpisu (aký výsledný stav chcete reguláciou dosiahnuť).

 

     Cieľom návrhu je vytvoriť jednotné legislatívne podmienky na zabezpečenie primeranej ochrany kybernetického priestoru štátu pred potenciálnymi hrozbami, ktorých existenciou by mohli vzniknúť Slovenskej republike nenahraditeľné škody a tak by mohla byť narušená dôveryhodnosť štátu či organizácie.

Návrh zákona vymedzuje základnú terminológiu kybernetickej bezpečnosti a upravuje:

Ø  organizáciu, pôsobnosť a povinnosti orgánov verejnej moci v oblasti kybernetickej bezpečnosti,

Ø  národnú stratégiu kybernetickej bezpečnosti,

Ø  jednotný informačný systém kybernetickej bezpečnosti,

Ø  organizáciu a pôsobnosť jednotiek pre riešenie kybernetických bezpečnostných incidentov (ďalej len „jednotka CSIRT“) a ich akreditáciu,

Ø  postavenie a povinnosti prevádzkovateľa základnej služby a poskytovateľa digitálnej služby,

Ø  bezpečnostné opatrenia,

Ø  systém zabezpečenia kybernetickej bezpečnosti,

Ø  kontrolu nad dodržiavaním tohto zákona a audit.

 

     Okrem uvedených okruhov návrh zákona rieši aj niektoré ďalšie požiadavky smernice NIS, ako je napríklad vymedzenie medzinárodnej spolupráce v oblasti kybernetickej bezpečnosti, plnenie notifikačných povinností, nahlasovanie kybernetických bezpečnostných incidentov ako aj dobrovoľné nahlasovanie kybernetických bezpečnostných incidentov, definuje niektoré zásady správania sa v kybernetickom priestore a svojimi ustanoveniami podporuje výskum a vzdelávanie ako aj zvyšovanie bezpečnostného povedomia v oblasti kybernetickej bezpečnosti.

 

     Návrh zákona v jednotlivých článkoch novelizuje právne predpisy, ktorých zmena je z dôvodu dostatočnej transpozície nevyhnutná. Ide najmä o zákon č. 45/2011 Z. z. o kritickej infraštruktúre, zákon č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov a zákon č. 319/2002 Z. z. o obrane Slovenskej republiky v znení neskorších predpisov a zákon č. 321/2002 Z. z. o ozbrojených silách. Návrh zákona komplexným spôsobom rieši odmeňovanie zamestnancov na strane štátu tak, aby bol štát schopný zamestnať odborníkov v oblasti kybernetickej bezpečnosti a tým konkurovať súkromným zamestnávateľom. V súvislosti so zavedením nového správneho poplatku rovnako dochádza k doplneniu zákona č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov.

    

     Od zavedenia opatrení ustanovených v návrhu zákona sa očakáva, že budú vytvorené predpoklady pre ucelený, koordinovaný a efektívny systém ochrany kybernetického priestoru Slovenskej republiky.

 

4.      Dotknuté subjekty

Uveďte subjekty, ktorých sa zmeny návrhu dotknú priamo aj nepriamo:

   

     Zavedenie opatrení sa bude dotýkať orgánov verejnej moci, ústredných orgánov štátnej správy, vrátane rozpočtových a príspevkových organizácií zriadených v ich pôsobnosti a právnických osôb a fyzických osôb prevádzkujúcich základné a digitálne služby podľa v návrhu zákona.

 

     V pozitívnom kontexte sa opatrenia dotknú aj malých a stredných podnikov, vrátane občanov, a to zvýšením bezpečnosti v kybernetickom priestore.

 

5.      Alternatívne riešenia

Aké alternatívne riešenia boli posudzované?

Uveďte, aké alternatívne spôsoby na odstránenie definovaného problému boli identifikované a posudzované.

 

Neboli identifikované žiadne alternatívne riešenia.

 

6.      Vykonávacie predpisy

Predpokladá sa prijatie/zmena  vykonávacích predpisov?

X  Áno

  Nie

Ak áno, uveďte ktoré oblasti budú nimi upravené, resp. ktorých vykonávacích predpisov sa zmena dotkne:

 

Vykonávacími všeobecne záväznými právnymi predpismi budú upravené najmä:

a)             podrobnosti o technickom, technologickom a personálnom vybavení jednotky CSIRT,

b)             identifikačné kritériá základnej služby podľa,

c)             obsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej dokumentácie, rozsah všeobecných bezpečnostných opatrení,

d)            bezpečnostné štandardy a znalostné štandardy v oblasti kybernetickej bezpečnosti,

e)             kategórie a identifikačné kritériá kybernetických bezpečnostných incidentov hlásených prevádzkovateľom základnej služby a podrobnosti o hláseniach,

f)              pravidlá a rozsah auditu kybernetickej bezpečnosti, podrobnosti o akreditácii orgánov posudzovania zhody podľa tohto zákona a o obsahu záverečnej správy o výsledkoch auditu kybernetickej bezpečnosti.

 

7.      Transpozícia práva EÚ

Uveďte, v ktorých ustanoveniach ide národná právna úprava nad rámec minimálnych požiadaviek EÚ spolu s odôvodnením.

 

     Návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov do národného právneho poriadku v plnej miere transponuje smernicu Európskeho parlamentu a rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii.

 

8.      Preskúmanie účelnosti**

Uveďte termín, kedy by malo dôjsť k preskúmaniu účinnosti a účelnosti navrhovaného predpisu.

Uveďte kritériá, na základe ktorých bude preskúmanie vykonané.

---

 

* vyplniť iba v prípade, ak materiál nie je zahrnutý do Plánu práce vlády Slovenskej republiky alebo Plánu legislatívnych úloh vlády Slovenskej republiky.

** nepovinné

 

9.      Vplyvy navrhovaného materiálu

Vplyvy na rozpočet verejnej správy

X

Pozitívne

Žiadne

X

Negatívne

z toho rozpočtovo zabezpečené vplyvy

Áno

Nie

X

Čiastočne

Vplyvy na podnikateľské prostredie

X

Pozitívne

Žiadne

X

Negatívne

z toho vplyvy na MSP

Pozitívne

Žiadne

Negatívne

Sociálne vplyvy

Pozitívne

X

Žiadne

Negatívne

Vplyvy na životné prostredie

Pozitívne

X

Žiadne

Negatívne

Vplyvy na informatizáciu

X

Pozitívne

Žiadne

Negatívne

Vplyv na služby verejnej správy a občana

Pozitívne

X

Žiadne

Negatívne

                     

 

10.  Poznámky

V prípade potreby uveďte doplňujúce informácie k návrhu.

-

11.  Kontakt na spracovateľa

Uveďte údaje na kontaktnú osobu, ktorú je možné kontaktovať v súvislosti s posúdením vybraných vplyvov

mjr. JUDr. Ing. Alexandra Dianišková, riaditeľka odboru legislatívy a práva kancelárie úradu, NBÚ

e-mail: alexandra.dianiskova@nbu.gov.sk

tel. +421 (0)2 6869 2444

 

12.  Zdroje

Uveďte zdroje (štatistiky, prieskumy, spoluprácu s odborníkmi a iné), z ktorých ste pri vypracovávaní doložky, príp. analýz vplyvov vychádzali.

      Štátny rozpočet

-          Rozpočtové prostriedky jednotlivých kapitol,

-          Medzirezortný program na ochranu kritickej infraštruktúry - OAS02.

Prostriedky EÚ

-          Operačný program Integrovaná infraštruktúra (OPII) 2014-2020,

-          Operačný program Ľudské zdroje na roky 2014 – 2020,

-          Operačný program Výskum a inovácie – RIS3 SK na 2014 – 2020.

13.  Stanovisko Komisie pre posudzovanie vybraných vplyvov z PPK

 

Stanovisko č. 120/2017 z 19.05.2017

 

Komisia uplatňuje k materiálu nasledovné pripomienky a odporúčania:

 

I. Úvod: Národný bezpečnostný úrad dňa 12.mája 2017 predložilo Stálej pracovnej komisii na posudzovanie vybraných vplyvov (ďalej len „Komisia“) na predbežné pripomienkové konanie materiál „Návrh zákona o kybernetickej bezpečnosti“ spolu so žiadosťou o skrátenie lehoty PPK. Komisia tejto žiadosti vyhovela. Materiál predpokladá negatívne vplyvy na rozpočet verejnej správy, ktoré sú čiastočne rozpočtovo zabezpečené, negatívne vplyvy na podnikateľské prostredie a pozitívne vplyvy na informatizáciu.

 

II. Pripomienky a návrhy zmien: Komisia uplatňuje k materiálu nasledovné pripomienky a odporúčania:

K doložke vybraných vplyvov

Komisia odporúča predkladateľovi v doložke vybraných vplyvov v časti „1. Základné údaje“ uviesť termín začiatku a ukončenia PPK a aktualizovať predpokladané termíny predloženia materiálu na MPK, prípadne na rokovanie vlády SR.

 

doložke vybraných vplyvov predkladateľ uvádza, že predkladaný materiál sa prijíma aj v dôsledku transpozície práva EÚ. V rámci sprievodných dokumentov k vlastnému materiálu však absentuje Tabuľka zhody (tzv. transpozičná tabuľka), podľa ktorej môžu – či už členovia Stálej pracovnej komisie alebo verejnosť v rámci možností ponúkaných portálom Slov-lex – hodnotiť prítomnosť efektu gold-platingu. V rámci zásad a odporúčaní v časti III. Jednotnej metodiky na posudzovanie vybraných vplyvov sa odporúča, v súlade s postupmi tzv. „lepšej regulácie“, vyhnúť sa efektu gold-platingu (t. j. transpozície nad rámec minimálnych požiadaviek právnych aktov EÚ), nakoľko môže viesť k zníženiu konkurencieschopnosti domácich firiem v porovnaní s krajinami, kde právne predpisy nie sú natoľko prísne. Komisia žiada o priloženie tohto sprievodného dokumentu, bez ktorého nie je možné z hľadiska vplyvov na podnikateľské prostredie uskutočniť komplexné hodnotenie.

 

NBÚ: Požadovaný sprievodný dokument je súčasťou predkladaného materiálu.

 

Predkladateľ v doložke vybraných vplyvov zaznačil negatívny vplyv predmetného materiálu na podnikateľské prostredie, pričom vplyv na MSP vyznačený nebol. Komisia je toho názoru, že najmä medzi tzv. poskytovateľmi digitálnych služieb (t. j. poskytovatelia online trhovísk, internetových vyhľadávačov a cloudových služieb) sa môžu vyskytovať aj malé a stredné podniky. Komisia preto odporúča predkladateľovi aby zvážil, či návrh zákona o kybernetickej bezpečnosti skutočne neovplyvní malých a stredných podnikateľov.

 

NBÚ: Predkladateľ zvážil dopad zákona na malé a stredné podniky a trvá na pôvodnom stanovisku.

 

K analýze vplyvov na rozpočet verejnej správy

Z doložky vybraných vplyvov vyplýva, že materiál bude mať negatívny vplyv na rozpočet verejnej správy, ktorý bude rozpočtovo čiastočne zabezpečený. Súčasne je v časti 2. 1. 1. Financovanie návrhu uvedené, že finančné prostriedky vyplývajúce z návrhu zákona budú zabezpečené v rámci schválených limitov rozpočtu v jednotlivých rokoch bez dodatočných požiadaviek na rozpočet. Uvedené protichodné ustanovenia Komisia žiada zosúladiť. Vzhľadom na to, že v zmysle § 32 návrhu zákona sa budú udeľovať sankcie za porušenie zákona, je potrebné v doložke vybraných vplyvov uviesť aj pozitívny vplyv. Komisia berie na vedomie konštatovanie v časti 2. 1. 1., že pozitívny vplyv nie je možné v súčasnosti kvantifikovať.

 

NBÚ: Ustanovenia v doložke boli upravené v súlade s pripomienkami.

 

V tabuľke č. 1 analýzy vplyvov na rozpočet verejnej správy sú uvedené celkové výdavky na roky 2018 až 2021 v objeme od 54 mil. eur do 60 mil. eur s tým, že nie je možné v súčasnosti kvantifikovať výdavky osobitne za každý subjekt verejnej správy. Komisia však upozorňuje, že celkové výdavky z tabuľky č. 1 nekorešpondujú s výdavkami uvedenými v tabuľke č. 4 a č. 4a, čo Komisia žiada zosúladiť. Z týchto tabuliek, ako aj z tabuliek č. 5 a 5a nie je zrejmé o aké subjekty verejnej správy ide. Z dôvodu jednoznačnosti je potrebné tieto údaje doplniť a výdavky špecifikovať aj podľa jednotlivých zúčastnených rezortov.

 

NBÚ: Ustanovenia v doložke boli upravené v súlade s pripomienkami a boli prehodnotené dopady na zamestnanosť a výdavky verejnej správy.

K medzirezortnému podprogramu 0AS02, ktorého účastníkom je MF SR Komisia uvádza, že podľa návrhu rozpočtu verejnej správy na roky 2017 až 2019 sú na tento podprogram rozpočtované na všetky roky finančné prostriedky vo výške 406 279 eur, čo nie je v súlade s čiastkou z doložky vybraných vplyvov, kde sa uvádza  objem 3 mil. eur. Uvedené Komisia žiada zosúladiť.

 

NBÚ: Ustanovenia v doložke boli upravené v súlade s pripomienkami.

 

V tabuľke č. 1 analýzy vplyvov Komisia žiada k výdavkom na operačné programy (OP Integrovaná infraštruktúra, OP Výskum a vývoj, OP Ľudské zdroje) doplniť názvy kapitol, v ktorých sú prostriedky rozpočtované. Komisia upozorňuje, že v súčasnosti sa pripravuje návrh rozpočtu verejnej správy na roky 2018 – 2020 a pri kvantifikácii príjmov a výdavkov za zdroje EÚ a spolufinancovanie zo štátneho rozpočtu je potrebné uvádzať aktualizované sumy na roky 2018 až 2020. V súvislosti s OP Informatizácia spoločnosti Komisia upozorňuje, že obdobie oprávnenosti pre tento program bolo ukončené k 31.12. 2015 a preto nie je možné na realizáciu návrhu zákona použiť prostriedky z tohto operačného programu.

 

NBÚ: Ustanovenia v doložke boli upravené v súlade s pripomienkami a kapitoly doplnené.

 

V zmysle jednotnej metodiky na posudzovanie vybraných vplyvov je potrebné v doložke vybraných vplyvov doplniť všetky predpokladané výdavky, spojené s realizáciou návrhu zákona, a to vrátane nového medzirezortného programu na ochranu kybernetického priestoru. Výdavky je potrebné kvantifikovať podľa zdrojového krytia, programovej klasifikácie a jednotlivých subjektov verejnej správy. S predloženým materiálom bude možné súhlasiť len za podmienky, že všetky výdavky budú rozpočtovo zabezpečené v rámci schválených limitov počtu zamestnancov a limitov výdavkov dotknutých kapitol štátneho rozpočtu, bez dodatočných požiadaviek na zvýšenie limitu počtu zamestnancov a štátny rozpočet. V súlade so stanoveným formátom pre vypracovanie doložky vybraných vplyvov Komisia žiada uviesť kvantifikáciu výdavkov na roky 2017 až 2020 (uvedené sú roky 2018 až 2021). Súčasne Komisia žiada v tabuľkách č. 5 a 5a uviesť správny údaj za „priemerný mzdový výdavok“.

 

NBÚ: Ustanovenia v doložke boli upravené v súlade s pripomienkami a boli prehodnotené dopady na zamestnanosť a výdavky verejnej správy.

 

III. Záver: Stála pracovná komisia na posudzovanie vybraných vplyvov vyjadruje nesúhlasné stanovisko s materiálom predloženým na predbežné pripomienkové konanie s odporúčaním na jeho dopracovanie podľa pripomienok v bode II.

 

IV. Poznámka: Predkladateľ zapracuje pripomienky a odporúčania na úpravu uvedené v bode II a uvedie stanovisko Komisie do Doložky vybraných vplyvov spolu s vyhodnotením pripomienok. Nesúhlasné stanovisko Komisie neznamená zastavenie ďalšieho schvaľovacieho procesu. Stanovisko Komisie slúži ako podklad pre informované rozhodovanie vlády Slovenskej republiky a ďalších subjektov v rámci schvaľovacieho procesu. Predkladateľ má možnosť dopracovať materiál podľa pripomienok a zaslať ho na opätovné schválenie Komisie, ktorá môže následne zmeniť svoje stanovisko.

 

 

 

Analýza vplyvov na rozpočet verejnej správy,

na zamestnanosť vo verejnej správe a financovanie návrhu

 

 

2.1 Zhrnutie vplyvov na rozpočet verejnej správy v návrhu

 

Tabuľka č. 1

Vplyvy na rozpočet verejnej správy

Vplyv na rozpočet verejnej správy (v tis. eurách)

2017

2018

2019

2020

Príjmy verejnej správy celkom

0

0

0

0

v tom: za každý subjekt verejnej správy zvlášť

0

0

0

0

z toho: 

 

 

 

 

- vplyv na ŠR

0

0

0

0

Rozpočtové prostriedky

0

0

0

0

EÚ zdroje

0

0

0

0

- vplyv na obce

0

0

0

0

- vplyv na vyššie územné celky

0

0

0

0

- vplyv na ostatné subjekty verejnej správy

0

0

0

0

Výdavky verejnej správy celkom

0

0

0

0

Operačný program - OPII (2014-2020)

0

0

0

0

v tom:

 

 

 

 

- vplyv na ŠR

0

0

0

0

Rozpočtové prostriedky

0

0

0

0

    EÚ zdroje

0

0

0

0

Spolufinancovanie (15%)

0

0

0

0

Rozpočtové prostriedky

0

0

0

0

Rozpočtové prostriedky NBÚ

 

 

 

 

Rozpočtové prostriedky**

 

 

 

 

- vplyv na obce

0

0

0

0

- vplyv na vyššie územné celky

0

0

0

0

- vplyv na ostatné subjekty verejnej správy

0

0

0

0

Vplyv na počet zamestnancov

0

0

0

0

- vplyv na ŠR

0

0

0

0

- vplyv na obce

0

0

0

0

- vplyv na vyššie územné celky

0

0

0

0

- vplyv na ostatné subjekty verejnej správy

0

0

0

0

Vplyv na mzdové výdavky

0

0

0

0

- vplyv na ŠR

0

0

0

0

- vplyv na obce

0

0

0

0

- vplyv na vyššie územné celky

0

0

0

0

- vplyv na ostatné subjekty verejnej správy

0

0

0

0

Financovanie zabezpečené v rozpočte

0

0

0

0

v tom: za každý subjekt verejnej správy / program zvlášť

0

0

0

0

Iné ako rozpočtové zdroje

0

0

0

0

Rozpočtovo nekrytý vplyv / úspora

0

0

0

0

* Uvažované finančné prostriedky z Operačného programu Ľudské zdroje neboli zatiaľ určené

** Prostriedky štátneho rozpočtu určené na spolufinancovanie štrukturálnych fondov sú zahrnuté v programoch príslušných kapitol

*** Medzirezortný/nadrezortný  program na ochranu kybernetického priestoru SR je uvažovaný zdroj až po jeho schválení  (príprava a jeho predloženie plánované v druhom polroku 2017).

 

2.1.1. Financovanie návrhu - Návrh na riešenie úbytku príjmov alebo zvýšených výdavkov podľa § 33 ods. 1 zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy:

 

   

     Prijatie navrhovaného zákona o kybernetickej bezpečnosti zakladá

 

- pozitívny vplyv aj

- negatívny vplyv na rozpočet verejnej správy.

 

     Pozitívny vplyv na príjmovú časť verejných financií bude mať výber pokút podľa sadzieb stanovených zákonom. Prípadný pozitívny vplyv na príjmovú časť verejných financií bude mať tiež výber správnych poplatkov za konanie o akreditácii jednotky CSIRT (navrhovaný správny poplatok 1 500 eur).

Keďže ide o inštitúty v zmysle novo navrhovanej právnej úpravy nie je v súčasnosti možné konkrétne vyčísliť výšku  predpokladaného pozitívneho vplyvu na príjmovú časť verejných financií. 

 

     Negatívne vplyvy návrhu zákona a zvýšené nároky sú na rozpočet Národného bezpečnostného úradu a orgánov verejnej moci, ktoré budú podľa návrhu zákona ústredným orgán v oblasti kybernetickej bezpečnosti a budú plniť nové úlohy, na ktoré nemajú zabezpečené personálne kapacity ani finančné prostriedky na bežné a aj mzdové výdavky.

 

Národný bezpečnostný úrad a ústredné orgány, ktoré si uplatnili nekryté nároky na rozpočet verejnej správy, ak to bude vzhľadom na nové úlohy v oblasti kybernetickej bezpečnosti potrebné, si budú tieto nároky uplatňovať v rámci európskych zdrojov, konkrétne z Operačného programu ľudské zdroje na roky 2014 – 2020 a zvyšnú nepokrytú časť si budú dotknuté subjekty uplatňovať v rámci prípravy návrhu štátneho rozpočtu na jednotlivé rozpočtové roky v rámci svojich rozpočtových kapitol.

 

Financovanie kapitálových výdavkov vyplývajúcich s návrhu zákona (ako napríklad sieť jednotiek CSIRT, jednotný informačný systém kybernetickej bezpečnosti,  zosúladenie existujúcich sietí a informačných systémov orgánov verejnej moci a subjektov kritickej infraštruktúry s požiadavkami podľa tohto zákona a prijatie požadovaných bezpečnostných opatrení, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov) bude zabezpečené zo zdrojov európskych štrukturálnych a investičných fondov v programovom období 2014 – 2020, a to z Operačného programu Integrovaná infraštruktúra v rámci prioritnej osi č. 7 „Informačná spoločnosť“ špecifický cieľ 7.9 Zabezpečenie komplexnej kybernetickej bezpečnosti v spoločnosti, v predpokladanej výške 10% z celkových výdavkov programu (t. j. zo sumy 947 666 768 mil. eur., vrátane spolufinancovania 142 150 016 eur.) rozpočítaných na jednotlivé roky.

 

 

 

2.2. Popis a charakteristika návrhu

 

2.2.1. Popis návrhu:

     Cieľom návrhu zákona o kybernetickej bezpečnosti je vytvoriť funkčný legislatívny rámec nutný pre efektívnu realizáciu kľúčových opatrení pre bezpečnosť národného kybernetického priestoru, ktorý transponuje priority a požiadavky, ktoré boli vytvorené na európskej úrovni a prijaté všeobecným konsenzom prostredníctvom smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6.  júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii.

     Predkladaný návrh plne reflektuje na požiadavky prijatej smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6.  júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii.

2.2.2. Charakteristika návrhu:

 

       zmena sadzby

       zmena v nároku

       nová služba alebo nariadenie (alebo ich zrušenie)

 x    kombinovaný návrh

       iné

 

2.2.3. Predpoklady vývoja objemu aktivít:

Tabuľka č. 2

Objem aktivít

Odhadované objemy

2018

2019

2020

2021

Indikátor ABC

 

 

 

 

Indikátor KLM

 

 

 

 

Indikátor XYZ

 

 

 

 

 

2.2.4. Výpočty vplyvov na verejné financie

 

     Predkladaný návrh zákona o kybernetickej bezpečnosti úzko súvisí s realizáciou projektov v oblasti informatizácie spoločnosti, so vzdelávaním, zvyšovaním povedomia a budovaním odborných spôsobilostí v oblasti informačnej a kybernetickej bezpečnosti. Jeho obsahová časť je prioritne zameraná na vytváranie podmienok pre ochranu dôležitých aktív štátu proti narušeniu a zneužitiu, a to povinnosťou zabezpečiť v priestore pôsobnosti povinných osôb nástroje na rozpoznanie, neustálym monitorovaním a riadením kybernetických bezpečnostných incidentov, implementáciou bezpečnostných opatrení a európskej stratégie pre kybernetickú bezpečnosť. Na základe toho bude mať prijatie návrhu zákona finančný dosah na verejné financie formou vstupných nárokov na výdavky rozpočtu verejnej správy. Rovnako bude mať vplyv aj formou udržiavacích nákladov na bezpečnú prevádzku jednotlivých elektronických služieb verejnej správy.

     

          Pozitívny vplyv na príjmovú časť verejných financií bude mať výber pokút podľa sadzieb stanovených zákonom. Prípadný pozitívny vplyv na príjmovú časť verejných financií bude mať tiež výber správnych poplatkov za konanie o akreditácii jednotky CSIRT (navrhovaný správny poplatok 1 500 eur).

Keďže ide o inštitúty v zmysle novo navrhovanej právnej úpravy nie je v súčasnosti možné konkrétne vyčísliť výšku  predpokladaného pozitívneho vplyvu na príjmovú časť verejných financií. 

 

     Negatívne vplyvy návrhu zákona a zvýšené nároky sú na rozpočet Národného bezpečnostného úradu a orgánov verejnej moci, ktoré budú podľa návrhu zákona ústredným orgán v oblasti kybernetickej bezpečnosti a budú plniť nové úlohy, na ktoré nemajú zabezpečené personálne kapacity ani finančné prostriedky na bežné a aj mzdové výdavky.

 

Národný bezpečnostný úrad a ústredné orgány, ktoré si uplatnili nekryté nároky na rozpočet verejnej správy, ak to bude vzhľadom na nové úlohy v oblasti kybernetickej bezpečnosti potrebné, si budú tieto nároky uplatňovať v rámci európskych zdrojov, konkrétne z Operačného programu ľudské zdroje na roky 2014 – 2020 a zvyšnú nepokrytú časť si budú dotknuté subjekty uplatňovať v rámci prípravy návrhu štátneho rozpočtu na jednotlivé rozpočtové roky v rámci svojich rozpočtových kapitol.

 

Financovanie kapitálových výdavkov vyplývajúcich s návrhu zákona (ako napríklad sieť jednotiek CSIRT, jednotný informačný systém kybernetickej bezpečnosti,  zosúladenie existujúcich sietí a informačných systémov orgánov verejnej moci a subjektov kritickej infraštruktúry s požiadavkami podľa tohto zákona a prijatie požadovaných bezpečnostných opatrení, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov) bude zabezpečené zo zdrojov európskych štrukturálnych a investičných fondov v programovom období 2014 – 2020, a to z Operačného programu Integrovaná infraštruktúra v rámci prioritnej osi č. 7 „Informačná spoločnosť“ špecifický cieľ 7.9 Zabezpečenie komplexnej kybernetickej bezpečnosti v spoločnosti, v predpokladanej výške 10% z celkových výdavkov programu (t. j. zo sumy 947 666 768 mil. eur., vrátane spolufinancovania 142 150 016 eur.) rozpočítaných na jednotlivé roky.

 


Tabuľka č. 3

                                                                                                                                                                                                                   Tabuľka č. 4

Príjmy (v eurách)

Vplyv na rozpočet verejnej správy

poznámka

2018

2019

2020

2021

Daňové príjmy (100)1

0

0

0

0

 

Nedaňové príjmy (200)1

0

0

0

0

 

Granty a transfery (300)1

0

0

0

0

 

Príjmy z transakcií s finančnými aktívami a finančnými pasívami (400)

0

0

0

 

 

Prijaté úvery, pôžičky a návratné finančné výpomoci (500)

 

0

 

 

Dopad na príjmy verejnej správy celkom

0

0

0

0

 

Výdavky (v eurách)

Vplyv na rozpočet verejnej správy

poznámka

2018

2019

2020

2021

Bežné výdavky (600)

0

0

0

0

 

  Mzdy, platy, služobné príjmy a ostatné osobné vyrovnania (610)

0

0

0

0

 

  Poistné a príspevok do poisťovní (620)

0

0

0

0

 

  Tovary a služby (630)2

0

0

0

0

 

  Bežné transfery (640)2

0

0

0

0

 

  Splácanie úrokov a ostatné platby súvisiace s úverom, pôžičkou, návratnou finančnou výpomocou a finančným prenájmom (650)2

0

0

0

0

 

Kapitálové výdavky (700)

0

0

0

0

 

  Obstarávanie kapitálových aktív (710)2

0

0

0

0

 

  Kapitálové transfery (720)2

0

0

0

0

 

Výdavky z transakcií s finančnými aktívami a finančnými pasívami (800)

0

0

0

0

 

Dopad na výdavky verejnej správy celkom

0

0

0

0

 

2 –  výdavky rozpísať až do položiek platnej ekonomickej klasifikácie

Tabuľka č. 5

Zamestnanosť

Vplyv na rozpočet verejnej správy

poznámka

 

2018

2019

2020

2021

 

Počet zamestnancov celkom

0

0

0

0

 

 

   z toho vplyv na ŠR

0

0

0

0

 

 

Priemerný mzdový výdavok (v eurách)

0

0

0

0

 

 

   z toho vplyv na ŠR

0

0

0

0

 

 

Osobné výdavky celkom (v eurách)

 

 

 

 

 

 

Mzdy, platy, služobné príjmy a ostatné osobné vyrovnania (610)

0

0

0

0

 

 

   z toho vplyv na ŠR

0

0

0

0

 

 

Poistné a príspevok do poisťovní (620)

0

0

0

0

 

 

   z toho vplyv na ŠR

0

0

0

0

 

 

 

 

 

 

 

 

 

 

                   


 

Analýza vplyvov na informatizáciu spoločnosti

Budovanie základných pilierov informatizácie

Obsah

A – nová služba

B – zmena služby

 

Kód služby

 

Názov služby

Úroveň elektronizácie služby

(0 až 5)

6.1. Predpokladá predložený návrh zmenu existujúcich elektronických služieb verejnej správy alebo vytvorenie nových služieb?

 

 

 

 

 

 

(Ak áno, uveďte zmenu služby alebo vytvorenie novej služby, ďalej  jej kód, názov a úroveň elektronizácie podľa katalógu eGovernment služieb, ktorý je vedený v centrálnom metainformačnom systéme verejnej správy.)

A

 

 

 

 

 

 

A

 

 

 

A

ks_333308

 

 

 

 

 

 

ks_333307

 

 

 

ks_333306

 

Komunikačný systém pre hlásenie a riešenie KB incidentov,

 

 

 

Centrálny systém včasného varovania,

 

Zoznamy, registre, metodiky, usmernenia, štandardy a oznamy

4

 

 

 

 

 

 

4

 

 

 

4

 

Infraštruktúra

A – nový systém

B – zmena systému

Kód systému

Názov systému

6.2. Predpokladá predložený návrh zmenu existujúceho alebo vytvorenie nového informačného systému verejnej správy?

 

 

(Ak áno, uveďte zmenu systému alebo vytvorenie nového systému, ďalej jeho kód a názov z centrálneho metainformačného systému verejnej správy.)

A

isvs_8139

Jednotný informačný systém kybernetickej bezpečnosti

Financovanie procesu informatizácie

Rezortná úroveň

Nadrezortná úroveň

 

A - z prostriedkov EÚ   B - z ďalších zdrojov financovania

6.3. Vyžaduje si proces informatizácie  finančné investície?

 

(Uveďte príslušnú úroveň financovania a kvantifikáciu finančných výdavkov uveďte  v analýze vplyvov na rozpočet verejnej správy.)

 

X

A

B

           

 

Poznámka:

Služby podľa odseku 6.1 sú čiastkové služby Jednotného informačného systému kybernetickej bezpečnosti.

Analýza vplyvov na podnikateľské prostredie

(vrátane testu MSP)

Materiál bude mať vplyv s ohľadom na veľkostnú kategóriu podnikov:

iba na MSP (0 - 249 zamestnancov)

iba na veľké podniky (250 a viac zamestnancov)

na všetky kategórie podnikov

 

3.1 Dotknuté podnikateľské subjekty

 - z toho MSP

Uveďte, aké podnikateľské subjekty budú predkladaným návrhom ovplyvnené.

Aký je ich počet?

 

Regulácia sa vzťahuje na všetky podnikateľské subjekty, ktoré budú mať podľa navrhovanej úpravy postavenie a prevádzkovateľa základných služieb (ďalej len „PZS“) a poskytovateľa digitálnych služieb (ďalej len „PDS“)  a ktorí poskytujú svoje služby v určených regulovaných odvetviach hospodárstva. V záujme zaistenia konzistentného prístupu v celej Európskej únii vychádza vymedzenie PZS a PDS z kritérií určených smernicou Európskeho parlamentu a rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (ďalej len „smernica NIS“).

 

Regulácia návrhom zákona určuje zabezpečovanie atribútov kybernetickej bezpečnosti u dotknutých subjektov vysokého významu a týka cca 124 subjektov (PZS), z toho veľké podniky v oblasti:

 

Bankovníctvo                                               27

Dodávka a distribúcia pitnej vody            16

Doprava                                                       21

Digitálna infraštruktúra                               3

Energetika                                                    12

Chemicky priemysel                                    10

Finančný sektor/financie                               3

Telekomunikačný sektor                             12

Zdravotníctvo                                               20

 

a cca 10 subjektov ako PDS.

 

V pozitívnom kontexte návrh zákona ovplyvní aj malé a stredné podniky, vrátane občanov a to celkovým zvýšením bezpečnosti v kybernetickom priestore, čím sa zlepší podnikateľské prostredie a stane sa viac pútavým pre zákazníkov, bezpečnosť ponúkaných služieb a dôvera občanov voči podnikom.

 

3.2 Vyhodnotenie konzultácií

       - z toho MSP

Uveďte, akou formou (verejné alebo cielené konzultácie a prečo) a s kým bol návrh konzultovaný.

Ako dlho trvali konzultácie?

Uveďte hlavné body konzultácií a výsledky konzultácií.

 

Nadväzne na Jednotnú metodiku na posudzovanie vplyvov,  Národný bezpečnostný úrad realizoval konzultácie k pripravovanému zákonu o kybernetickej bezpečnosti s podnikateľmi a odbornou verejnosťou.

Podnikateľom a odbornej verejnosti bolo umožnené zapojiť sa do procesu  prípravy návrhu zákona formou účasti v pracovných skupinách zriadených Komisiou pre kybernetickú bezpečnosť, seminárov organizovaných úradom a záujmovými združeniami pôsobiacimi v tejto oblasti alebo zasielaním podnetov či návrhov vecného zamerania na adresu:

 

Národný bezpečnostný úrad, Budatínska 30, 850 07 Bratislava, email: podatelna@nbusr.sk

 

 

 

 

 

V rámci Komisie pre kybernetickú bezpečnosť sa na konzultáciách zákona zúčastnili:

 

  • Slovenská asociácia pre informačnú bezpečnosť
  • Slovenská informatická spoločnosť
  • IT Asociácia Slovenska
  • ISACA Slovensko

 

Podnikatelia boli o príprave návrhu zákona o kybernetickej bezpečnosti informovaní prostredníctvom webového sídla Národného bezpečnostného úradu a predbežnej informácie k predmetnému návrhu zákona zverejnenej v informačnom systéme verejnej správy Slov-Lex (PI/2016/58).

 

https://www.slov-lex.sk/legislativne-procesy/SK/PI/2016/58

 

Na tento oznam nereagoval žiadny podnikateľský subjekt.

Národný bezpečnostný úrad zároveň v rámci príprav návrhu zákona zorganizoval dva celonárodné workshopy na tému transpozície smernice NIS do národného právneho poriadku, na ktorých sa zúčastnili zástupcovia relevantných podnikateľských subjektov ako aj odborná verejnosť.

 

http://www.nbu.gov.sk/2017/02/16/urad-organizoval-workshop-priprava-zakona-o-kybernetickej-bezpecnosti/index.html

Seminára sa zúčastnilo 27 podnikateľských subjektov a asociácií.

 

Návrh zákona bol teda vypracovaný aj na základe podnetov a po konzultáciách s podnikateľským prostredím, ktoré sa k navrhovaným zmenám a oblastiam úprav vyjadrilo, ako aj na základe podnetov a diskusií so zástupcami podnikateľov a odbornej verejnosti formou pripomienok, ktoré boli do textu návrhu zákona zapracované. Návrh zákona bol tak predmetom dvoch neformálnych pripomienkových kôl, v ktorých bolo vznesených spolu viac než 300 pripomienok, ktoré boli transformované do dnešnej podoby návrhu zákona.

 

Spolupráca s podnikateľmi významnou mierou prispela ku kvalite spracovania návrhu zákona.

                              

3.3 Náklady regulácie

      - z toho MSP

3.3.1 Priame finančné náklady

Dochádza k zvýšeniu/zníženiu priamych finančných nákladov (poplatky, odvody, dane clá...)? Ak áno, popíšte a vyčíslite ich. Uveďte tiež spôsob ich výpočtu.

 

Uvedeným návrhom nedochádza k zvýšeniu/zníženiu priamych finančných nákladov.

 

Návrh zákona zavádza nový správny poplatku za akreditáciu jednotky CSIRT v sume 1 500 eur. Ide o právny poplatok, ktorý úrad vyberá na základe žiadosti osoby, ktorá nie je vecne príslušnou autoritou. Náklady na uvedený poplatok nie je možné vyčísliť vzhľadom na to, že nie známy počet subjektov, ktorí majú záujem o akreditáciu jednotky CSIRT (nie je zo zákona povinná).

 

3.3.2 Nepriame finančné náklady

Vyžaduje si predkladaný návrh dodatočné náklady na nákup tovarov alebo služieb? Zvyšuje predkladaný návrh náklady súvisiace so zamestnávaním? Ak áno, popíšte a vyčíslite ich. Uveďte tiež spôsob ich výpočtu.

 

PZS a PDS sú povinný prijať a dodržiavať bezpečnostné opatrenia najmenej v rozsahu určených zákonom.

 

Bezpečnostné opatrenia sa prijímajú pre oblasť

a)              organizácie informačnej bezpečnosti

b)              riadenia aktív, hrozieb a rizík,

c)              personálnej bezpečnosti,

d)              riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov,

e)              technických zraniteľností systémov a zariadení,

f)               riadenia bezpečnosti siete, informačných a komunikačných systémov,

g)              riadenia prevádzky,

h)              riadenia prístupov,

i)               kryptografických opatrení,

j)               riešenia kybernetických bezpečnostných incidentov,

k)              monitorovania, testovania bezpečnosti a bezpečnostných auditov,

l)               fyzickej bezpečnosti a bezpečnosti prostredia,

m)            riadenia kontinuity procesov.

 

Reguláciou navrhované bezpečnostné opatrenia predstavujú zvýšené náklady pre PZS a PDS.                             V súčasnosti však nie je možné kvantifikovať vplyvy na konkrétnych PZS a PDS, ktorých sa regulácia týka. Tieto bude možné podrobnejšie špecifikovať až v rámci procesu realizácie jednotlivých opatrení návrhu zákona.

 

Podľa odhadov sú investície do bezpečnostných opatrení kybernetickej bezpečnosti v rozsahu 0,1 až 1% obratu a to vzhľadom na odhad rizík podľa analýz. 

 

Pozitívne vplyvy na PZS a PDS tiež nie je možné v súčasnosti kvantifikovať, aj keď v budúcnosti by mohli nastať za predpokladu, že nedôjde k narušeniu kybernetickej bezpečnosti.

 

Predkladaný návrh nezvyšuje náklady súvisiace so zamestnávaním.

 

3.3.3 Administratívne náklady

Dochádza k zavedeniu nových informačných povinností alebo odstráneniu, príp. úprave existujúcich informačných povinností? (napr. zmena požadovaných dát, zmena frekvencie reportovania, zmena formy predkladania a pod.) Ak áno, popíšte a vyčíslite administratívne náklady. Uveďte tiež spôsob ich výpočtu.

 

Predložený návrh zákona má vplyv na zvýšenie administratívnej záťaže.

Ide o:

  • Oznámenie o splnení kritérií pre PZS a PDS ustanovených zákonom.
  • Hlásenie kybernetického bezpečnostného incidentu v rozsahu určenom zákonom.

·         Hlásenie zmeny v údajoch PZS a PDS.

·         PZS je povinný dňom zaradenia do registra informovať podnik na poskytovanie elektronických komunikačných služieb alebo sietí podľa osobitného predpisu, ku ktorému je sieť alebo informačný systém základnej služby pripojená.

·         Vypracovanie bezpečnostnej dokumentácie a jej aktualizovanie.

·         Preverenie účinnosti prijatých bezpečnostných opatrení.

  • Povinnosť podrobiť sa auditu kybernetickej bezpečnosti.

V návrhu možno vyzdvihnúť propodnikateľské opatrenia, a to:

Na základe vymedzenej spolupráce medzi kompetentnými orgánmi sa oznamovanie incidentov na úseku kybernetickej bezpečnosti, ochrany osobných údajov a úseku elektronických komunikácii navrhuje realizovať prostredníctvom Jednotného informačného systému kybernetickej bezpečnosti. Uvedenou úpravou sa zaistí systematický zber a následné vyhodnocovanie incidentov, ktoré majú vplyv na kybernetickú bezpečnosť a teda na podnikateľské prostredie ako také.

 

Reguláciou navrhované administratívne opatrenia predstavujú zvýšené náklady pre PZS a PDS  na základe prepočtov cez kalkulačku nákladov:

 

http://www.economy.gov.sk/ext_dok-kalkulacka-nakladov-regulacie_final_uzamknuta/147367c

 

vo výške cca 3566,300 eur na jedného podnikateľa a 563475,400 eur na cele podnikateľské prostredie.

 

3.3.4 Súhrnná tabuľka nákladov regulácie

 

 

Náklady na 1 podnikateľa

Náklady na celé podnikateľské prostredie

Priame finančné náklady

0

0

Nepriame finančné náklady

0

0

Administratívne náklady

3566,300

563475,400

Celkové náklady regulácie

0

0

 

3.4 Konkurencieschopnosť a správanie sa podnikov na trhu

       - z toho MSP

Dochádza k vytvoreniu bariér pre vstup na trh pre nových dodávateľov alebo poskytovateľov služieb? Bude mať navrhovaná zmena za následok prísnejšiu reguláciu správania sa niektorých podnikov? Bude sa s niektorými podnikmi alebo produktmi zaobchádzať v porovnateľnej situácii rôzne (špeciálne režimy pre mikro, malé a stredné podniky tzv. MSP)? Ak áno, popíšte.

Aký vplyv bude mať navrhovaná zmena na obchodné bariéry? Bude mať vplyv na vyvolanie cezhraničných investícií (príliv /odliv zahraničných investícií resp. uplatnenie slovenských podnikov na zahraničných trhoch)? Ak áno, popíšte.

Ako ovplyvní cenu alebo dostupnosť základných zdrojov (suroviny, mechanizmy, pracovná sila, energie atď.)?

Ovplyvňuje prístup k financiám? Ak áno, ako?

 

V záujme zaistenia konzistentného prístupu sa vymedzenie pojmu PZS a PDS jednotne uplatňuje vo všetkých členských štátoch a teda definícia PZS a PDS uvedená v návrhu zákona vychádza zo smernice NIS, podľa ktorej sú členské štáty zodpovedné za určenie subjektov. Následne sa definujú základné povinnosti PZS a PDS na zaistenie kybernetickej bezpečnosti. Návrh zákona bude mať preto rovnaký vplyv na všetky dotknuté subjekty, t. j. na všetky subjekty sa budú ustanovené povinnosti vzťahovať bezrozdielne.

 

3.5 Inovácie

      - z toho MSP

Uveďte, ako podporuje navrhovaná zmena inovácie.

Zjednodušuje uvedenie alebo rozšírenie nových výrobných metód, technológií a výrobkov na trh?

Uveďte, ako vplýva navrhovaná zmena na jednotlivé práva duševného vlastníctva (napr. patenty, ochranné známky, autorské práva, vlastníctvo know-how).

Podporuje vyššiu efektivitu výroby/využívania zdrojov? Ak áno, ako?

Vytvorí zmena nové pracovné miesta pre zamestnancov výskumu a vývoja v SR?

 

Návrh nemá vplyv na inovácie.

Metodický postup pre analýzu vplyvov na rozpočet verejnej správy, na zamestnanosť vo verejnej správe a financovanie návrhu

 

 

2.1. Zhrnutie vplyvov na rozpočet verejnej správy v návrhu

 

Predkladateľ: Vypĺňa informácie v tabuľkách č. 1 a č. 2 na základe detailných informácií o príjmoch, výdavkoch a financovaní, uvedených v tabuľkách č. 4 až č. 6. Súhrn by mal byť vypracovaný, až keď sú vyplnené všetky ostatné časti prílohy č. 13.a. V prípade potreby je možné vložiť ďalšie riadky do tabuľky č. 1, aby boli zaradené všetky subjekty verejnej správy, na ktoré má návrh vplyv.

 

2.2. Financovanie návrhu

 

Posledným krokom v procese posudzovania vplyvov na rozpočet verejnej správy je uviesť, aká časť tohto vplyvu si vyžiada zmeny rozpočtu verejnej správy. V niektorých prípadoch by bolo možné náklady návrhu zvažovať v priebehu rozpočtového procesu a zahrnúť potrebné výdavky (aspoň čiastočne) do rozpočtu alebo strednodobého rozpočtového rámca. Rovnako sa môžu na financovanie politík použiť iné ako rozpočtové zdroje, napr. granty alebo osobitné schémy financovania. V takýchto prípadoch nebude mať realizácia daného návrhu žiadne vplyvy na schválené rozpočtové limity. Časť vplyvu bude môcť dotknutý subjekt vykryť aj racionalizačnými opatreniami vedúcimi k úspore v iných výdavkoch.

 

MF SR: Preskúma všetky uvedené návrhy financovania z hľadiska ich primeranosti vrátane posúdenia návrhu na vplyv na rozpočet verejnej správy. Potvrdí, že sa uvádzajú všetky možné zdroje financovania návrhu. V prípade akýchkoľvek rozporov požiada predkladateľa, aby daný návrh upravil.

 

Vyplnenie časti 2.3. Popis a charakteristika  návrhu

 

2.3.1. Popis návrhu

 

              Pre úplnosť sa táto časť zakomponováva aj do prílohy č. 13.a, aj keď proces pripomienkového konania si môže vyžadovať takýto popis uvádzať samostatne v niektorej z iných častí predkladaného návrhu.

 

Predkladateľ: V príslušnej časti (podľa potreby je možné rozšíriť) popíše predkladateľ svoj návrh. Popis by mal umožniť dotknutým subjektom identifikáciu svojich konkrétnych aktivít a ich vplyvov na vlastný rozpočet. Popis by mal obsahovať:

 

        Akú problematiku návrhu rieši? Jasne definovať problematiku a vysvetliť, ako ju návrh rieši. Uviesť aj iné alternatívy, o ktorých sa uvažovalo a prečo boli vylúčené.

        Kto (aká organizácia) bude implementovať návrh? Popíšte jednotlivé úlohy rôznych organizácií.

-        Kde sa budú poskytovať výkony verejnej správy? Budú sa poskytovať celonárodne alebo regionálne? Koľko subjektov môže poskytnúť daný tovar / službu?

 

 

 

 

2.3.2. Charakteristika návrhu

 

Predkladateľ: Charakterizuje návrh na základe uvedených kategórií. Táto charakteristika by mala napomôcť ostatným dotknutým subjektom pochopiť podstatu návrhu a uľahčiť tým pripomienkovanie doložky.  Jednotlivé druhy návrhov sú detailne popísané nižšie:

 

        zmena sadzby – návrh mení sadzbu dane alebo poplatkov alebo upravuje nominálnu (peňažnú) výšku dávky, napr. dávok štátnej sociálnej podpory. Určiť vplyv na rozpočet verejnej správy takéhoto návrhu je dosť jednoduché, keďže ide o priamy výpočet novej sadzby pre nezmenený objem aktivít (napr. počet osôb alebo transakcií), ktorých sa týka. Pravdepodobne nebudú potrebné žiadne ďalšie úpravy rozpočtu, napr. zníženie alebo zvýšenie počtu pracovníkov alebo vybavenia.                                                  

Pri výpočte vplyvov zmeny sadzby treba brať do úvahy aj tzv. “elasticitu dopytu”, keď napr. nárast daňovej sadzby napríklad na pohonné hmoty nespôsobí lineárne zvýšenie celkových príjmov z tejto dane.

        zmena v nároku – návrh upravuje definíciu okruhu osôb, ktoré majú nárok na dávku alebo ktorých sa dotýka určité ustanovenia zákona, t. j. znižuje alebo zvyšuje počet osôb, ktoré si môžu uplatniť nárok. Vypočítať vplyv na rozpočet verejnej správy pri tomto druhu návrhu je trochu komplikovanejšie, keďže implementujúca organizácia musí vziať do úvahy niekoľko faktorov. Organizácia musí odhadnúť zmeny, ktoré vyplývajú z návrhu na svoj rozpočet. Predpokladá sa, že nižší objem aktivít povedie k úsporám. Ak nie, je potrebné jednoznačne vysvetliť dôvody. K dispozícii by mali byť aj informácie o nákladoch v minulosti, na ktorých základe sa môže urobiť odhad.

        nová služba alebo nariadenie (alebo ich zrušenie) – návrh zavádza novú službu alebo nariadenie v oblasti, v ktorej tieto doposiaľ neexistovali, alebo sa navrhuje zníženie rozsahu alebo úplné zrušenie existujúcej služby či nariadenia.                                                                      

Tento návrh predstavuje veľkú výzvu pri odhadovaní nákladov, keďže pre takéto činnosti nemusí byť k dispozícii dostatok údajov. V takom prípade bude dôležité podrobne vysvetliť predpoklady.

        kombinovaný návrh – tento druh návrhu môže kombinovať prvky vyššie uvedených druhov, čím sa zvyšuje komplexnosť prípravy návrhu doložky.

        iné – používa sa na popis ostatných typov, ktoré nie sú pokryté v 4 druhoch uvedených vyššie.

 

2.3.3. Predpoklady zmien v objeme aktivít

 

Predkladateľ: Od predkladateľa sa požaduje, aby určil zvýšenie alebo zníženie objemu aktivít, ktoré môže návrh vyvolať. Napríklad ak návrh požaduje každoročne preverovať kriminálne záznamy všetkých príslušníkov súkromných bezpečnostných služieb, je potrebné uviesť počet osôb (príslušníkov bezpečnostných služieb), ktorí by mali byť skontrolovaní. Ďalšími príkladmi objemu aktivít môže byť počet prihlášok, inšpekcií, prijímateľov dávok, alebo zatknutí. Pretože sa vyžadujú odhady na  bežný rok a 3 nasledujúce roky, je potrebné odhadnúť objem aktivít počas tohto 4-ročného obdobia. Príloha č. 13.a preto obsahuje aj tabuľku č. 3 na ročné odhady objemu aktivít.

 

Môže sa navrhovať aj zníženie objemu aktivít. Napríklad návrh zvýšiť limit pre verejné obstarávanie, kedy sa písomná ponuka bude požadovať iba pri obstarávacej cene dvojnásobne vyššej oproti súčasnému platnému právnemu stavu.

V tomto prípade by mal byť uvedený aj odhad počtu takýchto nákupov ročne. Takáto úprava by obmedzila administratívnu záťaž subjektov verejnej správy a generovala by úspory v ich prevádzkových nákladoch.

 

MF SR: Počas konzultačnej fázy môže zhodnotiť MF SR predpoklady uvedené predkladateľom, t. j. ich vhodnosť a konzistentnosť. Počas pripomienkového konania MF SR opäť skontroluje vhodnosť a konzistentnosť odhadov objemu aktivít, ktoré vypracoval predkladateľ v nadväznosti na pripomienky zaslané pripomienkujúcimi stranami.

 

2.3.4. Výpočty vplyvov na rozpočet verejnej správy

 

V časti 2.3.4. prílohy č. 13.a sa uvádzajú výpočty vplyvov na príjmy a výdavky, ktoré sa použijú v tabuľkách č. 4 až č. 6 prílohy č. 13.a. Výpočty a predpoklady ohľadom objemu aktivít pomôžu ostatným stranám (pripomienkujúcim subjektom, resp. MF SR) zhodnotiť, či boli vplyvy na príjmy a výdavky počítané správne. Rozsah tejto časti nie je obmedzený a je možné uviesť všetko, čo je potrebné na vysvetlenie výpočtu vplyvov návrhu, alebo je možné uviesť odkazy na tabuľky samostatne priložené k doložke.

 

Výpočet vplyvu na príjmy

 

Predkladateľ: Uvedie výpočty vplyvov na príjmy na základe predpokladaných objemov aktivít uvedených v časti 2.3.3. prílohy č. 13.a.

 

MF SR: Skontroluje logiku týchto výpočtov a v prípade potreby požiada o ich vysvetlenie alebo úpravu.

Výpočty príjmov sú spravidla kombináciou “základu” a “sadzby”.

 

Výpočet nákladov

 

Predkladateľ: Uvedie požadované vstupy a výpočty požadovaných výdavkov na základe odhadovaného objemu aktivít v časti 2.3.3. prílohy č. 13.a.

 

MF SR: Skontroluje logiku týchto výpočtov a v prípade potreby požiada o ich vysvetlenie alebo úpravu.

 

Logický reťazec stanovovania nákladov:

                          

NÁVRH   →   ZMENA OBJEMU AKTIVÍT   →   POŽADOVANÉ VSTUPY   →   NÁKLADY

 

V tejto fáze je nevyhnutné najprv stanoviť vstupy, ktoré si vyžiadajú zmeny v objeme aktivít, ako je to uvedené v časti 2.3.3. prílohy č. 13.a a následne vypočítať náklady na tieto vstupy.

 

Stanovenie požadovaných vstupov –  bežné druhy vstupov sú:

 

        zamestnanci – práca s klientmi, uplatňovanie nariadení a riadenie činností programu.  Počet (a typ) zamestnancov neurčuje iba objemy miezd (610) a poistného (620), ale má vplyv aj na objem tovarov a služieb (630), keďže tieto často súvisia s počtom zamestnancov.

        vybavenie – pracovné stoly, počítače a pod. pre zamestnancov. Zariadenia nevyhnutné na poskytovanie služieb (napr. lavice v školách alebo laboratórne vybavenie). Niektoré návrhy nemusia požadovať nových zamestnancov, ale napríklad si budú vyžadovať nákup nového vybavenia.         

        iné prevádzkové náklady – vrátane nákladov na elektrickú energiu, vykurovanie, telekomunikácie, prenájom priestorov, pohonných hmôt, tlačenia materiálov a pod.

        dopravné náklady – vozidlá pre zamestnancov, výdavky na služobné cesty, autobusy pre klientov, domáca a medzinárodná preprava.

        kapitálové investície – nové budovy, dátové alebo komunikačné systémy a pod.

 

2.4. Vyplnenie tabuliek č. 4 až 6 prílohy č. 13.a

 

              Neoddeliteľnou súčasťou prílohy č. 13.a sú tabuľky č. 4 až č. 6 pre výpočet vplyvu na príjmy, výdavky a zamestnanosť.

 

        pre návrhy bez vplyvov na rozpočet verejnej správy sa tabuľky č. 4 až č. 6 nemusia osobitne vypĺňať, v prílohe č. 13 v časti A.2 stačí uviesť, že návrh nemá vplyv na rozpočet verejnej správy;

        v prípade návrhov s vplyvom na rozpočet verejnej správy na príjmy a výdavky spolu do 300 000 Eur vrátane v každom z rokov za celé sledované obdobie, vypĺňajú sa iba súčtové riadky (t. j. riadky „celkom“) bez podrobnejšej klasifikácie;

        v prípade návrhov s vplyvom na rozpočet verejnej správy na príjmy a výdavky spolu nad 300 000 Eur aspoň v jednom z rokov za celé sledované obdobie, vypĺňajú sa tabuľky č. 4 až 6 za každý dotknutý subjekt verejnej správy.

 

Ak sa vplyv týka viacerých subjektov verejnej správy, vypĺňa sa samostatná tabuľka za každý subjekt.  Zhrnutie v prílohe č. 13.a 5 časti 2.1. sa vypĺňa podľa jednotlivých subjektov verejnej správy. Ak sa vplyv týka viacerých programov programovej štruktúry (ďalej len programov), vyplnia sa tabuľky č. 4 až č. 6 za každý program; predkladateľ uvedie rozčlenenie podľa programov taktiež v zhrnutí 2.1. Tento postup sa uplatní aj v prípade, ak sa návrh týka viacerých programov u viacerých subjektov verejnej správy.

 

2.4.1. Tabuľka č. 4: tabuľka vplyvov na príjmy

 

Predkladateľ: Výška odhadovaného vplyvu na príjmy za jednotlivé subjekty verejnej správy, na ktoré má návrh vplyv, sa uvedie do súhrnnej tabuľky v časti 2.1 prílohy č. 13.a.

 

Tabuľka príjmov by mala vyjadrovať celkový vplyv na príjmy podľa podrobnej klasifikácie príjmov na základe vstupov od pripomienkujúcich strán. Celkový vplyv návrhu na príjmy rozpočtu verejnej správy v členení podľa jednotlivých subjektov verejnej správy, je potrebné uviesť do súhrnnej tabuľky č. 1 v časti 2.1. prílohy č. 13.a.

 

MF SR: Vyhodnotí primeranosť projekcií a výpočtov. Potvrdí, že údaje v tabuľke sú náležite roztriedené a dávajú jasný obraz o vplyve návrhu na príjmy rozpočtu verejnej správy. Ak sa vyskytnú problémy, požiada predkladateľa, aby upravil príslušné číselné hodnoty.

 

2.4.2. Tabuľka č. 5: tabuľka vplyvov na výdavky

 

Predkladateľ :Výška odhadovaného vplyvu na výdavky za jednotlivé subjekty verejnej správy / programy, na ktoré má návrh vplyv, sa uvedie do súhrnnej tabuľky v časti 2.1 prílohy č. 13.a na základe podrobnejších údajov z tabuliek č. 4 až č. 6. Na základe podkladov a konzultácií spracuje predkladateľ súhrnnú tabuľku za celý návrh. Tabuľka výdavkov by mala vyjadrovať celkový vplyv na výdavky podľa podrobnej klasifikácie výdavkov na základe vstupov od  dotknutých strán.

 

MF SR: Vyhodnotí primeranosť projekcií a výpočtov. Potvrdí, že údaje v tabuľke sú náležite roztriedené a dávajú jasný obraz o vplyve návrhu na výdavky rozpočtu verejnej správy. Ak sa vyskytnú problémy, požiada predkladateľa, aby upravil príslušné číselné hodnoty.

 

2.4.3. Tabuľka č. 6: tabuľka vplyvov na zamestnanosť

 

Predkladateľ: Ak daný návrh nemá žiadny vplyv na zamestnanosť, tabuľka č. 6 sa nemusí vypĺňať. V prípade, že vplyvom návrhu dochádza k nárastu alebo úbytku pracovných miest vo verejnej správe, je potrebné túto skutočnosť uviesť v tabuľke. Predkladateľ vyplní predpokladané počty zamestnancov so znamienkom plus alebo mínus do príslušného riadku podľa vykonávanej činnosti.  V nasledujúcich rokoch je potrebné uvádzať celkové počty zamestnancov, nielen medziročný nárast ich počtu. Podľa predpokladaného platového zaradenia predkladateľ vyplní aj priemerné mzdové výdavky pripadajúce na jedného zamestnanca v danej kategórii, t. j. vrátane všetkých tarifných i nadtarifných zložiek platu. V ďalších rokoch by mal predkladateľ uvažovať so všeobecnou valorizáciou priemerných mzdových výdavkov na príslušný rok. Celkové mzdové náklady na týchto pracovníkov so stanovenými priemernými mzdovými výdavkami budú v spodnej časti tabuľky prepočítané automaticky. Tabuľka zamestnanosti by mala ukazovať celkový vplyv návrhu na zamestnanosť vo verejnej správe určený na základe vstupov od dotknutých subjektov. Celkový vplyv návrhu na zamestnanosť podľa jednotlivých subjektov verejnej správy / programov je potrebné zahrnúť do súhrnnej tabuľky č. 1 v časti 2.1. prílohy č. 13.a.

 

MF SR: Vyhodnotí primeranosť projekcií a výpočtov. Potvrdí, že údaje v tabuľke sú náležite roztriedené a dávajú jasný obraz o vplyve návrhu na zamestnanosť vo verejnej správe. Ak sa vyskytnú problémy, požiada predkladateľa, aby upravil príslušné číselné hodnoty.


 

B.       Osobitná časť

 

K čl. I

 

K § 1

V nadväznosti na smernicu NIS sa upravuje predmet zákona, ktorý zodpovedá požiadavkám transpozície a predstavuje nevyhnutý súbor nástrojov zabezpečenia kybernetickej bezpečnosti. Zákon upravuje práva a povinnosti osôb ako aj právomoc a pôsobnosť orgánov verejnej moci.

 

K § 2

Ustanovenie upravuje pôsobnosť zákona vo vzťahu k smernici NIS a národnej úprave zabezpečenia sietí a informačných systémov.

 

V odseku 1 sa vymedzuje cieľ zákona, ktorým je najmä stanoviť minimálne požiadavky na štandardné zabezpečenie významných informačných systémov v Slovenskej republike. V členských štátoch je totiž rôzna úroveň pripravenosti na zabezpečenie kybernetickej bezpečnosti, čo vedie k fragmentácii prístupov v Európskej únii. To má za  následok  rozdielnu  úroveň  ochrany  spotrebiteľov  a  podnikov  a  narúša  celkovú  úroveň  bezpečnosti  sietí a informačných systémov v rámci Únie. Neexistencia spoločných požiadaviek na prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb zase znemožňuje, aby sa na úrovni Únie vytvoril globálny a účinný mechanizmus spolupráce. Minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti v tomto zákone nebránia prevádzkovateľom základných služieb a poskytovateľom digitálnych služieb uplatňovať prísnejšie bezpečnostné opatrenia.

 

V odseku 2 sa vymedzuje negatívnym spôsobom vecná pôsobnosť. Špecifické obmedzenia pôsobnosti sa vzťahujú na siete a informačné systémy, ktoré spracúvajú utajované skutočnosti. Dôvodom je, že tieto systémy sú regulované osobitným predpisom, ktorým je zákon č. 215/2004  Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Negatívne vymedzenie ďalej definuje, že ak osobitný právny predpis obsahuje ustanovenia na zabezpečenie sietí a informačných systémov, ktoré vychádzajú z rovnakých základov ako požiadavky na zabezpečenie kybernetickej bezpečnosti upravené v tomto zákone, použijú sa na zabezpečenie kybernetickej bezpečnosti osobitné predpisy. Ide napríklad o príslušné ustanovenia zákona č. 492/2009  Z. z. o platobných službách, zákon č. 541/2004  Z. z. o mierovom využívaní jadrovej energie, zákon č. 275/2006  Z. z. o informačných systémoch verejnej správy. Zákon o kybernetickej bezpečnosti sa ďalej nevzťahuje na zákon č. 351/2011  Z. z. o elektronických komunikáciách v znení neskorších predpisov, nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L257, 28. 8. 2014), zákon Národnej rady Slovenskej republiky č. 46/1993  Z. z. o Slovenskej informačnej službe v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 198/1994  Z. z. o Vojenskom spravodajstve v znení neskorších predpisov.

 

Ustanovenia tohto zákona sa z povahy jeho predmetu úpravy nevzťahujú na činnosti Slovenskej informačnej služby a Ministerstva obrany Slovenskej republiky pri aktivitách a ohrozeniach v kybernetickom priestore, ak ohrozujú bezpečnosť štátu (kybernetická obrana).

 

Smernicou NIS nie sú dotknuté opatrenia prijímané členskými štátmi na zabezpečenie ich základných štátnych funkcií, najmä na zabezpečenie národnej bezpečnosti vrátane opatrení na ochranu informácií, ktorých sprístupnenie členské štáty považujú za odporujúce základným záujmom ich bezpečnosti, a na udržanie verejného poriadku, najmä na účely umožnenia vyšetrovania, odhaľovania a stíhania trestných činov.

 

K § 3

 

Definujú sa pojmy používané v tomto zákone.

 

Slovenská republika ešte nemá formálne ustálenú terminológiu v oblasti kybernetickej bezpečnosti a preto návrh na účely zákona tieto pojmy zavádza. Pojem „kybernetický“ sa nevyskytuje v žiadnom všeobecne záväznom právnom predpise a preto úrad pristúpil k  výkladu základných pojmov v súlade so smernicou NIS.

 

Pod pojmom kybernetická bezpečnosť môžeme rozumieť súhrn prostriedkov, ktorých cieľom je zaistenie ochrany kybernetického priestoru. Tieto prostriedky môžu byť prirodzene rôzneho charakteru, avšak na účely zákona o kybernetickej bezpečnosti je potrebné pojem „kybernetická bezpečnosť“ chápať ako súbor  právnych nástrojov zabezpečujúcich ochranu kybernetického priestoru. Hlavným cieľom zákona je teda ochrana a funkčnosť kybernetického priestoru.

 

Kybernetický priestor je ohraničený používaním elektronických zariadení a elektronického spektra na vytvorenie, uloženie, modifikovanie, výmenu a využívanie dát prostredníctvom vzájomne závislých a prepojených sietí.  Kybernetická bezpečnosť tak predstavuje systém, ktorého úlohou je poskytnúť prostrediu spoločensko-ekonomickej štruktúry štátu bezpečný, chránený a v primeranom rozsahu otvorený kybernetický priestor, teda garanciu bezpečnosti v tomto priestore sa nachádzajúcich elektronických, informačných, komunikačných a riadiacich systémov, v týchto systémoch uchovávaných, spracovávaných a prenášaných dát, ako aj týmito systémami poskytovaných služieb.

 

Regulácia sa vzťahuje na PZS a PDS, ktorí poskytujú svoje služby v určených regulovaných odvetviach hospodárstva, ktoré sú v zákone špecifikované a v záujme zaistenia konzistentného prístupu v celej Európskej únii vychádza vymedzenie PZS a PDS z kritérií určených NIS.

 

Úrad pri definovaní pojmov používaných na účely tohto zákona primerane vychádzal z pojmológie smernice NIS, podľa ktorej:

 

·      „sieť a informačný systém“ je:

-       elektronická komunikačná sieť v zmysle článku 2 písm. a) smernice 2002/21/ES;

-       každé zariadenie alebo skupina vzájomne prepojených alebo súvisiacich zariadení, z ktorých jedno alebo viaceré vykonávajú na základe programu automatické spracúvanie digitálnych údajov, alebo

-       digitálne údaje, ktoré sa ukladajú, spracúvajú, získavajú alebo prenášajú prostredníctvom prvkov uvedených v písmenách a) a b) na účely ich prevádzkovania, používania, ochrany a udržiavania;

·         „bezpečnosť sietí a informačných systémov“ je schopnosť sietí a informačných systémov odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov;

·         „národná stratégia v oblasti bezpečnosti sietí a informačných systémov“ je rámec, v ktorom sa stanovujú strategické ciele a priority v oblasti bezpečnosti sietí a informačných systémov na vnútroštátnej úrovni;

·         „prevádzkovateľ základných služieb“ je verejný alebo súkromný subjekt, ktorého typ sa uvádza v prílohe II, spĺňajúci kritériá stanovené v článku 5 ods. 2;

·         „digitálna služba“ je služba v zmysle článku 1 ods. 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (1), ktorej druh sa uvádza v prílohe III;

·         „poskytovateľ digitálnych služieb“ je každá právnická osoba, ktorá poskytuje digitálnu službu;

·         „incident“ je každá udalosť, ktorá má skutočne nepriaznivý vplyv na bezpečnosť sietí a informačných systémov;

·         „riešenie  incidentov“ sú  všetky  postupy na podporu  odhaľovania,  analýzy  a obmedzenia  následkov  incidentu a reakcie naň;

·         „riziko“  je  každá  primerane  rozpoznateľná  okolnosť  alebo  udalosť,  ktorá  môže  mať  nepriaznivý  vplyv  na bezpečnosť sietí a informačných systémov.

 

Zákon o kybernetickej bezpečnosti je založený na plnení bezpečnostných požiadaviek a na oznamovaní bezpečnostných incidentov.

Keďže plnenie týchto povinností je vylúčené priamo v smernici NIS pre podniky, ktoré sú kategorizované ako malé a mikro, ani zákon o kybernetickej bezpečnosti tieto podniky nezahŕňa do regulácie, čo je deklarované definíciou jedného z povinných subjektov - poskytovateľa digitálnej služby, ktorým je v súlade s vyššie uvedeným právnická osoba alebo fyzická osoba - podnikateľ, ktorá poskytuje digitálnu službu a zároveň zamestnáva 50 a viac zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 000 000 eur.

 

K § 4

Ustanovenie vymedzuje osoby a orgány, ktorým je zákonom o kybernetickej bezpečnosti ukladaná povinnosť. Identifikujú sa orgány verejnej moci, v pôsobnosti ktorých je oblasť zabezpečenia kybernetickej bezpečnosti. Okrem úradu, ako ústredného orgánu štátnej správy pre oblasť kybernetickej bezpečnosti, sú to ústredné orgány explicitne vymenované v zákone (ďalej len „ÚO“) a iné orgány štátnej správy (ďalej len „IO“).

 

Ustanovenie transponuje v tomto smere smernicu NIS, podľa ktorej každý členský štát určí jeden alebo viaceré vnútroštátne príslušné orgány pre bezpečnosť sietí a informačných systémov (podľa zákona ÚO), ktoré sa zaoberajú prinajmenšom odvetviami uvedenými v prílohe II a službami uvedenými v prílohe III. Členské štáty môžu touto úlohou poveriť existujúci orgán alebo orgány.

 

ÚO je prirodzený regulátor v oblasti svojej  pôsobnosti (napríklad pre sektor „Doprava“ Ministerstvo dopravy a výstavby SR, pre sektor „bankovníctvo“ Ministerstvo financií SR, atď.), ďalej je to aj subjekt, ktorého úlohy v oblasti kybernetickej bezpečnosti vyplývajú priamo z právnych predpisov upravujúcich jeho pôsobnosť napríklad Slovenská informačná služba, Vojenské spravodajstvo. Na druhej strane existujú aj ďalšie subjekty (ako napr. Ministerstvo zahraničných vecí a európskych záležitostí SR) s osobitným postavením na úseku kybernetickej bezpečnosti, ktoré majú povinnosť aplikovať primerané bezpečnostné opatrenia na zabezpečenie sietí a informačných systémov podľa tohto zákona. IO však na rozdiel od ÚO nemajú povinnosť zabezpečiť plnenie jednotky CSIRT vo svojej pôsobnosti.

 

 

 

K § 5

V súlade so smernicou NIS každý členský štát určí národné jednotné kontaktné miesto pre bezpečnosť sietí a informačných systémov. Jednotné kontaktné miesto vykonáva styčnú úlohu, aby zabezpečilo cezhraničnú spoluprácu príslušných orgánov v iných členských štátoch so skupinou pre spoluprácu a sieťou jednotiek CSIRT.

 

Úrad je v zmysle smernice NIS príslušným orgánom pre kybernetickú bezpečnosť a národné jednotné kontaktné miesto, ktoré zabezpečuje cezhraničnú spoluprácu. Úrad ako ústredný orgán štátnej správy v oblasti kybernetickej bezpečnosti riadi a koordinuje výkon štátnej správy.

 

Odsek 1 teda v nadväznosti na uvedené definuje jednotlivé úlohy úradu aj v spolupráci s Ministerstvom zahraničných vecí a európskych záležitostí Slovenskej republiky pri rozvíjaní medzinárodnej spolupráce alebo Ministerstvo školstva, vedy, výskumu a športu Slovenskej republiky pri zabezpečovaní budovania bezpečnostného povedomia.

 

Odsek 2 následne na vymedzené úlohy umožňuje úradu uzavrieť dohodu o spolupráci s fyzickou osobou na výkon činnosti podľa tohto zákona v záujme zabezpečenia kybernetickej bezpečnosti. Ide o možnosť uzatvoriť dohody o spolupráci pri riešení úloh so všeobecne uznávanými odborníkmi v oblasti bezpečnosti sietí a informačných systémov, ktorých štát z dôvodu limitovaných miezd nedokáže zamestnať, a to napríklad v prípade vzniku významných situácií alebo v rámci predchádzania ich vzniku. Ide o taký druh dohody týkajúci sa práv a povinností z pracovnoprávnych alebo iných pracovných vzťahov, pri ktorých výkone práce je zmluvný pracovník povinný dodržiavať príkazy a plniť úlohy úradu.

 

K § 6

V zmysle smernice NIS si každý členský štát určí jednu alebo viac jednotiek CSIRT, ktoré spĺňajú požiadavky stanovené v bode 1 prílohy I, pokrývajú aspoň odvetvia uvedené v prílohe II a služby uvedené v prílohe III a ktoré zodpovedajú za riešenie rizík a incidentov podľa presne stanoveného postupu. Jednotku CSIRT možno zriadiť v rámci príslušného orgánu.

 

Podľa odseku 1 v zmysle ustanovenia smernice NIS má úrad na úseku kybernetickej bezpečnosti pôsobnosť ako ústredný orgán štátnej správy, ako ÚO pre oblasť podľa prílohy č. 1 a zabezpečuje úlohy ako národná jednotka CSIRT pre sektory, v ktorých nie je určený žiadny ÚO. Rovnako národná jednotka CSIRT plní úlohy pre digitálne služby podľa prílohy č. 2. Národná jednotka CSIRT musí spĺňať všetky podmienky a úlohy v zmysle smernice NIS, ktoré boli transponované do zákona o kybernetickej bezpečnosti v § 13 až 15.

 

V zmysle smernice NIS jednotky CSIRT zabezpečujú vysokú úroveň dostupnosti svojich komunikačných služieb, a to tak, že predchádzajú tomu, že zlyhajú ako celok, ak zlyhá ich ľubovoľný jediný bod, a majú k dispozícii niekoľko spôsobov, ktorými ich možno kontaktovať a ktorými môžu oni kedykoľvek kontaktovať iných. Okrem toho sú komunikačné kanály jasne vymedzené a zainteresované strany a spolupracujúci partneri sú o nich dobre informovaní. Pracoviská jednotiek CSIRT a podporné informačné systémy sú umiestnené na zabezpečených miestach. Ďalej jednotky CSIRT majú zavedený vhodný systém riadenia a zasielania žiadostí v záujme ich jednoduchšieho odovzdávania, sú primerane personálne vybavené, aby sa zabezpečila stála dostupnosť ich služieb. Jednotky CSIRT využívajú infraštruktúru, ktorej kontinuita je zabezpečená. Na tento účel sú k dispozícii záložné systémy a záložný pracovný priestor.

 

Podľa odseku 2 národná jednotka CSIRT zabezpečuje úlohy jednotky CSIRT v pôsobnosti ÚO v prípade, ak ÚO túto úlohu nedokáže zabezpečiť spôsobom podľa tohto zákona, a to teda priamo vo svojej pôsobnosti alebo prostredníctvom inej jednotky CSIRT v pôsobnosti iného ÚO.

 

Podľa odseku 3 sa na plnení úloh národnej jednotky CSIRT  môžu podieľať vyslaní zástupcovia orgánov verejnej moci. Ide najmä o vzájomnú kooperáciu pri riešení kybernetických bezpečnostných incidentov, ale aj výmenu praktických poznatkov.

 

Odsek 4 uvádza, že ÚO ani PZS sa nemôže zbaviť svojej povinnosti zabezpečiť bezpečnosť sietí a informačných systémov vo svojej pôsobnosti podľa tohto zákona alebo osobitných predpisov v prípade, ak úlohy jednotky CSIRT plní úrad.

 

K § 7

V zmysle smernice NIS každý členský štát prijme národnú stratégiu v oblasti bezpečnosti sietí a informačných systémov, v ktorej sa vymedzia strategické ciele a vhodné politické a regulačné opatrenia na dosiahnutie a udržanie vysokej úrovne bezpečnosti sietí a informačných systémov a ktorá sa vzťahuje aspoň na odvetvia uvedené v prílohe II a služby uvedené v prílohe III. Národná stratégia v oblasti bezpečnosti sietí a informačných systémov sa venuje najmä týmto otázkam:

·         ciele a priority národnej stratégie v oblasti bezpečnosti sietí a informačných systémov;

·         rámec riadenia na dosiahnutie cieľov a priorít národnej stratégie v oblasti bezpečnosti sietí a informačných systémov vrátane úloh a zodpovedností vládnych orgánov a ďalších relevantných aktérov;

·         identifikácia opatrení týkajúcich sa pripravenosti, reakcie a obnovy vrátane spolupráce medzi verejným a súkromným sektorom;

·         určenie  vzdelávacích  programov,  programov  na  zvyšovanie  informovanosti  a  programov  odbornej  prípravy súvisiacich s národnou stratégiou v oblasti bezpečnosti sietí a informačných systémov;

·         určenie plánov výskumu a vývoja súvisiacich s národnou stratégiou v oblasti bezpečnosti sietí a informačných systémov;

·         plán posudzovania rizika na účely identifikácie rizík;

·         zoznam rôznych aktérov zapojených do vykonávania národnej stratégie v oblasti bezpečnosti sietí a informačných systémov.

 

Členské štáty môžu pri vypracúvaní národných stratégií v oblasti bezpečnosti sietí a informačných systémov požiadať o pomoc agentúru ENISA.

 

Podľa odseku 1 má úrad povinnosť prijať národnú stratégiu v oblasti kybernetickej bezpečnosti, v ktorej sa vymedzia strategické ciele a vhodné politické a regulačné opatrenia na dosiahnutie a udržanie vysokej úrovne kybernetickej bezpečnosti. Súčasťou národnej stratégie kybernetickej bezpečnosti je akčný plán.

 

Obsah národnej stratégie kybernetickej bezpečnosti je vymedzený v odseku 2 tak, aby korešpondoval s obsahovým vymedzením v smernici NIS.

 

Podľa odseku 3 národnú stratégiu kybernetickej bezpečnosti vypracováva úrad v spolupráci s ÚO a IO. Tieto subjekty majú povinnosť poskytovať úradu informácie potrebné na vypracovanie národnej stratégie kybernetickej bezpečnosti.

 

Podľa odseku 4 národnú stratégiu schvaľuje vláda Slovenskej republiky.

 

K § 8

V záujme účinnej podpory výmeny informácií a najlepších postupov má zásadný význam vytvorenie primeraného a bezpečného informačného systému, ktorý je založený na dôvere zúčastnených strán.

 

Podľa odseku 1 úrad vytvára a spravuje jednotný informačný systém kybernetickej bezpečnosti (ďalej len „JISKB“), ktorý bude dostupný nepretržitým a automatizovaným spôsobom prostredníctvom vlastného webového sídla aj prostredníctvom portálu slovensko.sk a bude slúžiť na efektívne riadenie, koordináciu, evidenciu a kontrolu výkonu štátnej správy v oblasti kybernetickej bezpečnosti a jednotiek CSIRT a na zbieranie, spracovanie a vyhodnocovanie informácií. JISKB má okrem toho poskytovať dôveryhodné informácie  nie len v čase mieru  v rámci krízového plánovania, ale aj v krízových situáciách.

 

JISKB poskytuje prioritne tri základné okruhy služieb:

·        komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov,

·        centrálny systém včasného varovania,

·        verejné oznámenia o incidentoch, registre, zoznamy a metodiky.

 

Na účely identifikácie prevádzkovateľov by členské štáty mali vytvoriť zoznam služieb, ktoré sa považujú za základné. Vedenie zoznamov je v súlade so znením smernice NIS základným predpokladom identifikácie povinných subjektov, pretože pri posudzovaní toho, či subjekt poskytuje služby, ktoré pre zachovanie rozhodujúcich spoločenských alebo hospodárskych činností zásadné, stačí preskúmať, či uvedený subjekt poskytuje službu, ktorá je zahrnutá do zoznamu základných služieb. Na základe uvedeného je potom potrebné vytvoriť aj zoznam identifikovaných prevádzkovateľov základných služieb. Podľa smernice NIS potom členské štáty pravidelne a aspoň každé dva roky od 9. mája 2018 preskúmavajú a v prípade potreby aktualizujú zoznam identifikovaných prevádzkovateľov základných služieb. Vedenie týchto zoznamov má konštitutívne účinky vzhľadom na identifikovanie subjektov, ktorým vyplývajú povinnosti z tohto zákona.

 

Komunikácia s verejnosťou v čase akútneho ohrozenia kybernetickej bezpečnosti je kľúčovou pre zvládnutie situácie a môže predchádzať vzniku nezvratných škodlivých účinkov kybernetického bezpečnostného incidentu.

 

Rovnako tak smernica NIS uvádza, že informácie o incidentoch majú pre širokú verejnosť a podniky, najmä malé a stredné podniky, čoraz väčšiu hodnotu. V niektorých prípadoch sa tieto informácie už poskytujú prostredníctvom webových sídiel na vnútroštátnej úrovni, v jazyku danej krajiny a so zameraním najmä na incidenty a udalosti, ktoré majú vnútroštátny rozmer. Vzhľadom na to, že podniky čoraz väčšmi vykonávajú cezhraničnú činnosť a občania využívajú online služby, informácie o incidentoch by sa mali poskytovať v súhrnnej podobe aj na úrovni Únie. Jednotky CSIRT, ktoré sú súčasťou siete jednotiek CSIRT, sa nabádajú, aby dobrovoľne poskytovali informácie, ktoré by sa na webovom sídle mali uverejňovať, pričom by to nemalo zahŕňať dôverné ani citlivé informácie.

 

Úrad teda prostredníctvom JISKB poskytuje verejnosti nevyhnutné informácie vo vzťahu k stavu kybernetickej bezpečnosti, informuje o možných hrozbách a aktivitách národnej jednotky CSIRT, buduje bezpečnostné povedomie, zverejňuje oznamy, metodiky a poskytuje služby informačnej podpory.

 

Podľa odseku 3 je komunikačný systém pre hlásenie a riešenie kybernetických bezpečnostných incidentov komunikačný systém, ktorý zaisťuje systematický zber kybernetických bezpečnostných incidentov a ich analýzu. Do komunikačného systému je napojená každá jednotka CSIRT a PZS a prostredníctvom komunikačného systému sa oznamujú v štruktúrovanej podobe kybernetické bezpečnostné incidenty. Rovnakým spôsobom sa oznamujú dobrovoľné hlásenia kybernetických bezpečnostných incidentov. Tento systém napomôže efektívnej komunikácii medzi relevantnými aktérmi pre koordinované riešenie vzniknutého kybernetického bezpečnostného incidentu a to v reálnom čase trvania incidentu.

 

Podľa odseku 4 centrálny systém včasného varovania zaisťuje včasnú výmenu informácií o kybernetických bezpečnostných incidentoch a rizikách s nimi spojených medzi úradom a vymedzenými subjektmi, ktoré majú prístup k neverejnej časti JISKB.

 

V zmysle odseku 5 JISKB predstavuje online dostupné miesto, kde sa nachádzajú všetky informácie týkajúce sa kybernetickej bezpečnosti a miesto vzájomnej výmeny informácií medzi úradom a subjektami určenými zákonom. Z tohto dôvodu JISKB pozostáva z verejnej zóny a neverejnej zóny, ktorá bude prioritne slúžiť na zdieľanie citlivých informácií medzi určenými subjektami. Subjekty vymenované v zákone sú z dôvodu svojho osobitného postavenia vo vzťahu k zabezpečovaniu kybernetickej bezpečnosti vymenované v zákone, pričom zákon umožňuje do budúcnosti bez potreby legislatívnej zmeny zaradiť medzi takéto subjekty aj iné orgány verejnej moci na základe odôvodnenej potreby schválenej úradom. Tieto subjekty majú priamy bezplatný a automatizovaný prístup k JISKB v rozsahu určenom úradom, resp. v rozsahu, v akom je prístup k informáciám nevyhnutný na základe legálnej požiadavky konkrétneho právneho predpisu upravujúceho pôsobnosť subjektu vymenovaného v zákone. Osobitné predpisy sú príkladom uvedené v poznámke pod čiarou. Neverejná časť JISKB bude obsahovať napríklad auditné správy, súhrnné informácie a analýzy.

 

V odseku 6 je vyjadrená všeobecná povinnosť poskytovať úradu informácie v zmysle tohto zákona a to bezodplatne po tom, ako sa o nich povinný subjekt dozvedel.

 

K § 9

Podľa odseku 1 ÚO zodpovedá vo svojej pôsobnosti za vykonávanie a zabezpečovanie úloh súvisiace s kybernetickou bezpečnosťou a to prostredníctvom svojej zriadenej akreditovanej jednotky CSIRT. ÚO vyplývajú okrem tejto úlohy aj ďalšie povinnosti, a to najmä notifikačné a kooperatívne činnosti s úradom a inými ÚO ako aj zahraničnými partnermi.

 

Podľa odseku 2 zabezpečenie úloh na úseku kybernetickej bezpečnosti prostredníctvom jednotky CSIRT ÚO sa vykonáva jedným z týchto spôsobov:

·        zriadením a prevádzkovaním vlastnej jednotky CSIRT, ktorá musí byť akreditovaná v zmysle tohto zákona, vo svojej vlastnej pôsobnosti,

·        využitím akreditovanej jednotky CSIRT, ktorú zriaďuje a prevádzkuje iný ÚO, a to na základe zmluvy, okrem vládnej jednotky CSIRT,

·        prostredníctvom národnej jednotky CSIRT, ak postup podľa bodu 1 a 2 nie je možný.

 

 

 

K § 10

Podľa smernice NIS by sa nemalo členským štátom brániť v tom, aby ukladali bezpečnostné a oznamovacie požiadavky subjektom, ktoré nie sú poskytovateľmi digitálnych služieb patriacimi do rozsahu pôsobnosti tejto smernice, bez toho, aby boli dotknuté povinnosti členských štátov podľa práva Únie.

 

Ustanovenie upravuje povinnosti vo vzťahu k sieťam a informačným systémom, ktoré nie sú kategorizované ako základná služba. Na tieto siete a informačné systémy je z dôvodu potreby komplexnej úpravy celého systému kybernetickej bezpečnosti aplikovať primerané bezpečnostné opatrenia definované v tomto zákone. Ustanovením sa teda apeluje na dodržiavanie spoločných bezpečnostných požiadaviek na zabezpečenie sietí a informačných systémov. Vytvorenie spoločnej platformy, bezpečnostnej základne, naprieč celým spektrom sietí a informačných systémov umožňuje, aby sa na úrovni nielen Slovenskej republiky ale aj celej Európskej únie vytvoril účinný mechanizmus spolupráce a reakcie na incidenty. Ide teda o prijímanie bezpečnostných opatrení, ktoré ÚO a IO považujú za vhodné na riadenie rizík v oblasti bezpečnosti ich sietí a informačných systémov.

Okrem uvedeného IO vykonávajú úkony súvisiace s informačnými a notifikačnými činnosťami na úseku kybernetickej bezpečnosti, spolupracujú s úradom a budujú bezpečnostné povedomie.

 

K § 11

Z dôvodu zabezpečenia právnej istoty a budovania vzájomnej dôvery sa týmto zákonom zriaďuje vládna jednotka CSIRT. Táto jednotka je určená výlučne pre podsektor informačné systémy verejnej správy a je zriadená v pôsobnosti Úradu vlády Slovenskej republiky, keďže strategickou činnosťou vlády je v plnom rozsahu vybudovať e-government, čo predstavuje komplexnú a efektívnu digitalizáciu administratívnych, správnych, rozhodovacích a riadiacich procesov, ako aj normotvorby v rámci všetkých odvetví a foriem správy. Úrad vlády Slovenskej republiky za účelom plnenia odborných úloh v oblasti informatizácie spoločnosti vyplývajúcich zo zákona č. 275/2006  Z. z. o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, správy a prevádzkovania elektronických komunikačných sietí a služieb, a aj pre ostatné orgány štátnej správy, právnické osoby a fyzické osoby, ktoré požadujú informácie, údaje z informačných systémov, databáz a registrov verejnej správy zriadil príspevkovú organizáciu Národná agentúra pre sieťové a elektronické služby, ktorá  má vzhľadom na svoje zameranie najvhodnejšie spôsobilosti vykonávať úlohy jednotky CSIRT pre uvedený podsektor.

Vládna jednotka CSIRT z dôvodu značného rozsahu poľa pôsobnosti, ako aj v rámci rešpektovania citlivých a dôverných informácií nachádzajúcich sa v týchto informačných systémov nevykonáva úlohy jednotky CSIRT pre iné podsektory.

 

K § 12

Smernica NIS sa nedotýka možnosti každého členského štátu prijať potrebné opatrenia na zaručenie ochrany základných záujmov vlastnej bezpečnosti, chrániť verejný poriadok a verejnú bezpečnosť a umožniť vyšetrovanie a odhaľovanie trestných činov, ako aj stíhanie ich páchateľov. V súlade s článkom 346 Zmluvy o fungovaní Európskej únie nie je žiadny členský štát povinný poskytovať informácie, ktorých sprístupnenie podľa neho odporuje základným záujmom jeho bezpečnosti.

Pri uverejňovaní incidentov oznámených príslušným orgánom by sa mala náležitým spôsobom udržiavať rovnováha medzi záujmom verejnosti disponovať informáciami o hrozbách a možným poškodením dobrej povesti a obchodných záujmov PZS a PDS, ktorí incidenty oznámia.

 

V odseku 1 sa upravuje individuálna povinnosť mlčanlivosti pre každého, kto vykonáva úlohy podľa tohto zákona v rámci rôznych druhov pracovnoprávnych vzťahov a zmlúv. Ide najmä o osoby tvoriace personálne vybavenie jednotiek CSIRT, vyčlenených zamestnancov PZS a PDS na úseku zabezpečenia činnosti súvisiacich s plnením povinností podľa tohto zákona a pod. Tak, ako je tvorená konštrukcia povinnosti zachovávať mlčanlivosť v iných právnych predpisoch, aj návrh zákona predpokladá zachovávanie tejto mlčanlivosti aj po skončení pracovnoprávneho alebo obdobného pracovného vzťahu vrátane služobného pomeru. Ochrana tajomstva alebo povinnosti zachovávať mlčanlivosť podľa iných predpisov zostáva zachovaná.

 

V odseku 2 sa  upravuje možnosť a spôsob zbavenia povinnosti zachovávať mlčanlivosť podľa tohto zákona a v odseku 3 sa ustanovuje konkrétna výnimka z povinnosti mlčanlivosti na účely konania pred orgánom verejnej moci, oznamovania trestného činu alebo inej protispoločenskej činnosti pre zamestnancov PZS a PDS. Tieto subjekty sa ako prvé, pri riešení kybernetického bezpečnostného incidentu, dostanú k informácii, ktorej obsah môže nasvedčovať, že ide o protiprávne konanie. Z tohto dôvodu zákon o kybernetickej bezpečnosti netvorí prekážku pri oznamovaní kriminálnej činnosti alebo pri spolupráci napríklad s orgánom činným v trestnom konaní. Aj smernica NIS uvádza, že incidenty môžu byť výsledkom trestnej činnosti, ktorej prevenciu, vyšetrovanie a stíhanie podporuje koordinácia a spolupráca medzi PZS, PDS, príslušnými orgánmi a orgánmi presadzovania práva. Ak existuje podozrenie, že incident súvisí so závažnou trestnou činnosťou podľa práva Únie alebo vnútroštátneho práva, členské štáty by mali nabádať PZS a PDS, aby príslušným orgánom presadzovania práva oznamovali podozrenie o ich súvise incidentu so závažnou trestnou činnosťou.

 

Odsek 4 tvorí ďalšiu výnimku z povinnosti zachovávať mlčanlivosť a tajomstvo konštruovanú nie v závislosti od plnenia úloh podľa osobitných predpisov, ale pri úloh na úseku kybernetickej bezpečnosti. Ide najmä o oznamovanie kybernetických bezpečnostných incidentov a o úkony súvisiace so zabezpečovaním kybernetickej bezpečnosti v rozsahu a spôsobom podľa tohto zákona. Oznámenie kybernetického bezpečnostného incidentu a zabezpečovanie kybernetickej bezpečnosti spôsobom podľa tohto zákona teda nemôže byť nikomu na ujmu.

 

Odsek 5 upravuje zodpovednosť štátu za škodu, ktorá vznikla pri oznamovaní kybernetického bezpečnostného incidentu v súvislosti s plnením si oznamovacej povinnosti PZS a PDS alebo oprávnenia. PZS alebo PDS (resp. ich zamestnanci), ktorí hlásia bezpečnostné incidenty podľa tohto zákona a spôsobom, ktorý tento zákon vo svojich ustanoveniach upravuje, nezodpovedajú za škodu, ktorá plnením povinnosti hlásenia kybernetického bezpečnostného incidentu nastala. Rovnako štát zodpovedá za škodu, ktorá nastala osobe, ktorá dobrovoľne hlásila kybernetický bezpečnostný incident spôsobom podľa tohto zákona.

 

Podľa smernice NIS zdieľanie  informácií  o  rizikách  a  incidentoch  v  rámci  skupiny  pre  spoluprácu  a  siete  jednotiek  CSIRT a dodržiavanie požiadaviek oznamovať incidenty vnútroštátnym príslušným orgánom alebo jednotkám CSIRT, by si mohlo vyžadovať spracúvanie osobných údajov. V dôsledku incidentov je v mnohých prípadoch porušená ochrana osobných údajov. V tejto súvislosti by príslušné orgány a orgány na ochranu údajov mali navzájom spolupracovať a vymieňať si informácie o všetkých súvisiacich otázkach s cieľom riešiť akékoľvek prípady porušenia ochrany osobných údajov v dôsledku incidentov.

 

Odsek 6 a 7 upravuje ochranu osobných údajov v zmysle smernice NIS a nariadenia Európskeho parlamentu a Rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)  (ďalej len „GDPR“). V zmysle GDPR každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé. Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho. Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú. Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní. Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov. Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami. S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie. Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov. Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.

 

Právom Únie alebo právom členského štátu sa môžu uložiť obmedzenia týkajúce sa osobitných zásad a práv na informovanie, prístup a opravu alebo vymazanie osobných údajov, práva na prenosnosť údajov, práva namietať, rozhodnutí založených na profilovaní, ako aj informovania dotknutej osoby o porušení ochrany osobných údajov a o určitých súvisiacich povinnostiach prevádzkovateľov, pokiaľ je to v demokratickej spoločnosti potrebné a primerané na zaistenie verejnej bezpečnosti vrátane ochrany ľudského života, najmä v reakcii na prírodné katastrofy alebo katastrofy spôsobené ľudskou činnosťou, predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu, alebo vyšetrovania porušovaniu etiky v regulovaných profesiách, ich vyšetrovania a stíhania, alebo iných dôležitých cieľov všeobecného verejného záujmu Únie alebo členského štátu, najmä ak ide o dôležitý hospodársky alebo finančný záujem Únie alebo členského štátu, vedenia verejných registrov vedených vo všeobecnom verejnom záujme, ďalšieho spracúvania archivovaných osobných údajov na účely poskytnutia konkrétnych informácií o politickom správaní počas bývalého totalitného štátneho režimu, alebo ochrany dotknutej osoby alebo práv a slobôd iných vrátane sociálnej ochrany, verejného zdravia a humanitárnych účelov. Uvedené obmedzenia by mali byť v súlade s požiadavkami stanovenými v Charte a v Európskom dohovore o ochrane ľudských práv a základných slobôd.

 

Podľa čl. 23 nariadenia GDPR v práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť národnú bezpečnosť, obranu, verejnú bezpečnosť a ďalšie.

 

Ochrana osobných údajov je v teda v zákone zabezpečená jednak špeciálnou úpravou, a to najmä s prihliadnutím na špecifickú oblasť bezpečnosti, kedy úrad spracováva osobné údaje v JISKB a zabezpečí ich ochranu pred akýmkoľvek zneužitím a vyzradením a zároveň je ochrana osobných údajov zabezpečená v zmysle čl. 2 smernice NIS, podľa ktorej spracúvanie osobných údajov podľa tejto smernice sa vykonáva v súlade so smernicou 95/46/ES a v nadväznosti na to sa práva a povinnosti PZS a PDS súvisiace s ochranou osobných údajov, ktoré nie sú upravené v tomto zákone, spravujú ustanoveniami všeobecného predpisu o ochrane osobných údajov.

 

Podľa odseku 8 sa limituje zaobchádzanie s osobnými údajmi a informáciami získanými v súvislosti s plnením činností na zabezpečenie kybernetickej bezpečnosti len na plnenie úloh podľa tohto zákona.

 

K § 13

Podľa smernice NIS každý členský štát určí jednu alebo viac jednotiek CSIRT, ktoré spĺňajú požiadavky stanovené v bode 1 prílohy I, pokrývajú aspoň odvetvia uvedené v prílohe II a služby uvedené v prílohe III a ktoré zodpovedajú za riešenie rizík a incidentov podľa presne stanoveného postupu. Jednotku CSIRT možno zriadiť v rámci príslušného orgánu.

 

Na účely zabezpečenia kybernetickej bezpečnosti a účinného reagovania na kybernetické bezpečnostné incidenty je nevyhnutné zabezpečiť, aby v štáte existovali dobre fungujúce jednotky CSIRT, ktoré budú dodržiavať základné požiadavky s cieľom zaručiť účinné a zlučiteľné spôsobilosti na riešenie incidentov a rizík a zabezpečiť účinnú spoluprácu na úrovni Európskej únie.

 

Predkladaný návrh zákona teda prichádza s legálnou definíciou jednotky CSIRT a to hlavne vymedzením požiadaviek, ktoré sú na ňu kladené. Nie je podstatné, či funguje ako samostatný útvar alebo ako organizačná zložka jej prevádzkovateľa, dôležité je, že spĺňa kritériá nevyhnutné pre plnenie jej funkcie. Overovateľom splnenia týchto požiadaviek bude úrad, ktorý splnenie požiadaviek preverí v rámci akreditácie. Po splnení požiadaviek úrad jednotku CSIRT zaradí na zoznam jednotiek CSIRT, čím jej status legálne deklaruje. Vďaka tomuto statusu získa jednotka CSIRT prístup k informáciám z JISKB a môže zdieľať informácie so všetkými zainteresovanými subjektami na úseku kybernetickej bezpečnosti. Okrem toho týmto statusom získa možnosť zúčastňovať sa stretnutí európskej siete jednotiek CSIRT.

 

Uvedeným postupom sa zabezpečí plnenie úloh podľa tohto zákona pre všetky kľúčové sektory a služby jednotkami CSIRT, ktoré sú schopné tieto úlohy plniť na požadovanej kvalitatívnej úrovni.

 

V súčasnosti v Slovenskej republike pôsobí viacero jednotiek CSIRT, ktoré majú potenciál splniť požiadavky zákona kladené na jednotku CSIRT. Vzhľadom na neexistenciu ich zákonného statusu však nie je možné ich fungovanie akokoľvek regulovať, koordinovať, či vyžadovať ich spoluprácu v záujmu dosiahnutia spoločného cieľa – kybernetickej bezpečnosti Slovenskej republiky.  Predkladaným návrhom zákona sa toto právne vákuum odstraňuje.

 

Odsek 1 až 3 upravuje podanie žiadosti osoby, ktorá má plniť úlohy jednotky CSIRT a lehotu na začatie a ukončenie konania.

 

Podľa odseku 4 úrad vydá rozhodnutie s platnosťou najviac päť rokov, avšak podľa odseku 5, ak sú splnené podmienky akreditácie jednotky CSIRT, môže úrad toto rozhodnutie predĺžiť opäť na dobu maximálne 5 rokov.

 

Odsek 6 upravuje inštitút uznania akreditácie jednotky CSIRT, ktorá získala medzinárodnú akreditáciu. V tejto súvislosti nie je prirodzene možné, aby táto jednotka CSIRT mohla príslušnou dokumentáciu preukázať splnenie tých podmienok, ktoré  sú určené všeobecne záväzným právnym predpisom, ktorý vydá úrad a konkretizuje technické, technologické a personálne vybavenie jednotky CSIRT. Tieto podmienky jednotka CSIRT akreditovaná v zmysle medzinárodnej organizácie spĺňa podľa odlišnej technickej normy kybernetickej bezpečnosti.

 

Podľa odseku 7 akreditovanú jednotku CSIRT úrad zaradí do zoznamu jednotiek CSIRT. Do zoznamu akreditovaných jednotiek CSIRT sa automaticky zapisuje národná jednotka CSIRT a vládna jednotka CSIRT, ktoré sú akreditované zo zákona. Navrhovaná úprava tak počíta so vzájomnou spoluprácou vládnej jednotky CSIRT, národnej jednotky CSIRT a ostatných akreditovaných jednotiek CSIRT prostredníctvom JISKB a to najmä formou výmeny informácií o riešených kybernetických bezpečnostných incidentoch.

 

K § 14

Ustanovenie upravuje podmienky akreditácie jednotky CSIRT.

Základné požiadavky na jednotky CSIRT v zmysle smernice NIS:

·         Jednotky CSIRT zabezpečujú vysokú úroveň dostupnosti svojich komunikačných služieb, a to tak, že predchádzajú tomu, že zlyhajú ako celok, ak zlyhá ich ľubovoľný jediný bod, a majú k dispozícii niekoľko spôsobov, ktorými ich možno kontaktovať a ktorými môžu oni kedykoľvek kontaktovať iných. Okrem toho sú komunikačné kanály jasne vymedzené a zainteresované strany a spolupracujúci partneri sú o nich dobre informovaní.

·         Pracoviská jednotiek CSIRT a podporné informačné systémy sú umiestnené na zabezpečených miestach.

·         Jednotky CSIRT majú zavedený vhodný systém riadenia a zasielania žiadostí v záujme jednoduchšieho odovzdávania.

·         Jednotky CSIRT sú primerane personálne vybavené, aby sa zabezpečila stála dostupnosť ich služieb.

·         Jednotky CSIRT využívajú infraštruktúru, ktorej kontinuita je zabezpečená. Na tento účel sú k dispozícii záložné systémy a záložný pracovný priestor.

·         Jednotky CSIRT musia mať možnosť zapojiť sa do sietí medzinárodnej spolupráce, pokiaľ majú v úmysle byť ich súčasťou.

 

V ustanovení sa teda konkrétne uvádzajú podmienky akreditácie jednotky CSIRT, čím dochádza k vytvoreniu hodnoverných rovnakých podmienok pre všetky jednotky CSIRT, čo je kľúčové pre účinné fungovanie jednotiek CSIRT.

 

Úrad vydá všeobecne záväzný právny predpis, ktorým určí konkrétne požiadavky na technické, technologické a personálne vybavenie jednotky CSIRT.

 

Zabezpečenie dostupnosti, dôvernosti, autenticity a integrity informácií a údajov je možné dosiahnuť napríklad splnení požiadaviek stanovených v § 2 vyhlášky Národného bezpečnostného úradu č. 339/2004  Z. z. o bezpečnosti technických prostriedkov alebo v  STN ISO/IEC 27002.

Zabezpečenie priestoru v zmysle požiadaviek kladených na jednotku CSIRT je zasa možné dosiahnuť napríklad spôsobom uvedeným v § 5 vyhlášky Národného bezpečnostného úradu č. 336/2004  Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení vyhlášky č. 315/2006  Z. z. alebo v  ISO/IEC 27002.

 

K § 15

Podľa smernice NIS členské štáty by mali mať primerané vybavenie, pokiaľ ide o technické a organizačné spôsobilosti, aby mohli predchádzať incidentom a rizikám v oblasti sietí a informačných systémov, odhaľovať ich, reagovať na ne a zmierňovať ich. Členské štáty by preto mali zabezpečiť, aby mali dobre fungujúce jednotky CSIRT, ktoré budú dodržiavať základné požiadavky s cieľom zaručiť účinné a zlučiteľné spôsobilosti na riešenie incidentov a rizík a zabezpečiť účinnú spoluprácu na úrovni Únie. Aby mohli mať z takýchto spôsobilostí a spolupráce úžitok všetky typy prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb, členské štáty by mali zabezpečiť, aby určená jednotka CSIRT pokrývala všetky tieto typy.

 

Podľa smernice NIS úlohy jednotiek CSIRT zahŕňajú prinajmenšom:

·         monitorovanie incidentov na vnútroštátnej úrovni;

·         vydávanie  včasného  varovania,  upozornení,  oznamovanie  a  šírenie  informácií  o rizikách  a  incidentoch príslušným zainteresovaným stranám;

·         reagovanie na incidenty;

·         zabezpečovanie dynamickej analýzy rizík a incidentov a získavanie informácií o situácii;

·         účasť na činnosti siete jednotiek CSIRT.

 

Pod pojmom CSIRT rozumieme tím expertov, ktorý odhaľuje bezpečnostné incidenty, koordinuje a kooperuje pri ich riešení, a pôsobí preventívne proti vzniku ďalších hrozieb. CSIRT je expertný orgán, ktorý poskytuje svoje služby určitej zložke alebo skupine zložiek, na ktorých ochranu je zameraný. Pod zložkou sa v tomto prípade rozumie klient, resp. skupina klientov, pre ktorého je určená služba, ktorú poskytuje CSIRT a ktorý vytvára svoje služby na základe požiadaviek jednotlivých zložiek. Zložka je bazálnou časťou kybernetického prostredia, v ktorom CSIRT pôsobí a na základe vytvorených vzťahov medzi zložkami sa určuje úloha CSIRT v tomto systéme. Vo všeobecnosti platí, že CSIRT pre zložky plní úlohu monitorovacieho orgánu a pri vzniku incidentu koordinuje činnosť jednotlivých zložiek a navrhuje riešenia pre elimináciu kybernetických incidentov, pričom však samotné kroky na odstránenie rizika (samotné riešenie kybernetického incidentu) vykonáva sám klient, teda zložka kybernetického prostredia, v ktorom CSIRT pôsobí. Následne môže CSIRT vydať záväzné či odporúčacie stanovisko pre zabránenie opakovaného vzniku kybernetického incidentu, resp. pôsobiť preventívne. Nemožno však generalizovať činnosť CSIRT ako výsostne monitorovaciu či sledovaciu, keďže v korelácii s veľkosťou a zložitosťou prostredia, v ktorom pôsobí, môže vykonávať aj úlohy, súvisiace s priamym riešením kybernetických incidentov, s forenznou analýzou, výskumom a vývojom bezpečnostných technológií a pod.

 

Odsek 1 až 3 teda definuje služby, ktoré jednotka CSIRT plní. Uvedené úlohy-služby sú v rámci zákona kategorizované do dvoch hlavných okruhov služieb, a to preventívne služby a reaktívne služby. Preventívne služby poskytované jednotnou CSIRT sa zameriavajú na prevenciu, predchádzanie vzniku kybernetickým bezpečnostným incidentom. Reaktívne služby priamo reagujú na vzniknutú alebo na hroziacu bezpečnostnú situáciu.

 

Odsek 4 uvádza, že reaktívne služby sú vykonávane v kooperácii s PZS alebo PDS.

 

K § 16

Ustanovenie odseku 1 upravuje povinnosti toho, kto prevádzkuje jednotku CSIRT. Tento musí zabezpečiť, aby jeho akreditovaná jednotka CSIRT spĺňala podmienky akreditácie podľa tohto zákona nepretržite počas celej doby svojej prevádzky a plnila úlohy, ktoré sú v zákone vymedzené.  V opačnom prípade úrad jednotku CSIRT vyradí zo zoznamu akreditovaných jednotiek CSIRT, a to buď na základe oznamovacej povinnosti toho, kto jednotku CSIRT prevádzkuje, alebo v zmysle odseku 3 aj na základe vlastného zistenia, keď nedôjde k náprave nedostatkov v lehote určenej úradom.

 

Podľa odseku 4 sa na vyradenie zo zoznamu akreditovaných jednotiek CSIRT nevzťahuje všeobecný predpis o správnom konaní s cieľom predísť prieťahom a akýmkoľvek nepokrytým priepastiam v nastavenom bezpečnostnom systéme.

 

K § 17

V zmysle smernice NIS by členské štáty mali byť zodpovedné za určenie subjektov, ktoré spĺňajú kritériá vymedzenia pojmu „prevádzkovateľ základných služieb“. V záujme zaistenia konzistentného prístupu by sa vymedzenie pojmu „prevádzkovateľ základných služieb“ malo jednotne uplatňovať vo všetkých členských štátoch. Na tento účel sa v smernici stanovuje posúdenie subjektov pôsobiacich v konkrétnych odvetviach a pododvetviach, vytvorenie zoznamu základných služieb, zohľadnenie spoločného zoznamu medziodvetvových faktorov na určenie toho, či by potenciálny incident mal závažný rušivý vplyv, konzultačný proces medzi príslušnými členskými štátmi v prípade subjektov poskytujúcich služby vo viac ako jednom členskom štáte a podporu skupiny pre spoluprácu  pri procese identifikácie. S cieľom zabezpečiť, aby boli prípadné zmeny na trhu presne zaznamenané, by členské štáty mali pravidelne kontrolovať a v prípade potreby aktualizovať zoznam identifikovaných prevádzkovateľov. Napokon by členské štáty mali Komisii predložiť informácie potrebné na posúdenie miery, do akej táto spoločná metodika umožnila konzistentné uplatňovanie vymedzenia pojmu zo strany členských štátov.

 

V rámci procesu identifikácie prevádzkovateľov základných služieb by členské štáty mali posudzovať, aspoň pre každé pododvetvie uvedené v tejto smernici, ktoré služby sa musia považovať za základné pre zachovanie rozhodujúcich spoločenských a hospodárskych činností a či subjekty, ktoré sú uvedené v odvetviach a pododvetviach uvedených v tejto smernici a ktoré poskytujú tieto služby, spĺňajú kritériá na identifikáciu prevádzkovateľov. Pri posudzovaní toho, či subjekt poskytuje služby, ktoré sú pre zachovanie rozhodujúcich spoločenských alebo hospodárskych činností zásadné, stačí preskúmať, či uvedený subjekt poskytuje službu, ktorá je zahrnutá do zoznamu základných služieb. Okrem toho by sa malo preukázať, že poskytovanie základnej služby závisí od sietí a informačných systémov. Napokon by členské štáty pri posudzovaní toho, či by incident mal závažný rušivý vplyv na poskytovanie služby, mali zohľadniť viacero medziodvetvových faktorov a podľa potreby aj faktory špecifické pre určité odvetvie.

 

Je pravdepodobné, že subjekty pôsobiace v odvetviach a pododvetviach uvedených v tejto smernici poskytujú základné aj druhotné služby. Napríklad v odvetví leteckej dopravy letiská poskytujú služby, ktoré by členské štáty mohli považovať za základné, ako napríklad riadenie vzletových a pristávacích dráh, ale aj viaceré služby, ktoré by bolo možné považovať za druhotné, ako napríklad poskytovanie nákupných zón. Prevádzkovatelia základných služieb by mali podliehať osobitným bezpečnostným požiadavkám iba vo vzťahu k tým službám, ktoré sa považujú za základné. Na účely identifikácie prevádzkovateľov by preto členské štáty mali vytvoriť zoznam služieb, ktoré sa považujú za základné.

 

Zoznam služieb by mal obsahovať všetky služby poskytované na území daného členského štátu, ktoré spĺňajú požiadavky tejto smernice. Členské štáty by mali mať možnosť doplniť existujúci zoznam zahrnutím nových služieb. Zoznam služieb by mal pre členské štáty slúžiť ako referenčný bod umožňujúci identifikáciu prevádzkovateľov základných služieb. Jeho účelom  je určiť typy  základných služieb  v ktoromkoľvek danom  odvetví uvedenom v tejto smernici, čím sa odlíšia od druhotných činnosti, za ktoré by subjekt pôsobiaci v ktoromkoľvek z daných odvetví mohol byť zodpovedný. Zoznam služieb, ktorý zavedie každý členský štát, by slúžil ako ďalší vstup pri posudzovaní regulačnej praxe každého členského štátu s cieľom zabezpečiť celkovú jednotnosť procesu identifikácie medzi členskými štátmi.

 

Ustanovenie na základe aj vyššie uvedeného určuje spôsob definície základnej služby a PZS.

 

Odsek 1 až 4 definuje, aká služba je v zmysle zákona o kybernetickej bezpečnosti základnou službou a ako úrad zaradí túto službu do záväzného zoznamu základných služieb.

 

Zákon identifikuje tri druhy základnej služby:

 

1.      Základná služba v zmysle transpozície smernice NIS - služba, ktorá je uvedená v prílohe č. 1 zákona a ktorá spĺňa identifikačné kritériá podľa tohto zákona.

2.      Základná služba ako informačný systém verejnej správy – identifikuje sa na základe dohody s ÚO, do pôsobnosti ktorého sektor informačných systémov verejnej správy spadá (Úrad podpredsedu vlády SR pre investície a informatizáciu).

3.      Základná služba ako prvok kritickej infraštruktúry.

 

Úrad zaradí službu do zoznamu základných služieb a jej prevádzkovateľa do zoznamu PZS.

 

Odsek 5 upravuje obsahové náležitosti oznámenia prevádzkovateľa služby, ktorá má byť zaradená do zoznamu základných služieb.

 

Podľa odseku 6 úrad oznámi PZS, že jeho služba bola zaradená do zoznamu základných služieb prostredníctvom JISKB. Uvedené v praxi znamená, že PZS a základná služba budú uvedení v príslušnom zozname a oznámenie o tom bude zaslané aj v zmysle zákona o eGovernmente (elektronicky, dátovou schránkou). Zaradenie do zoznamu/registra má pre PZS konštitutívne účinky, keďže okrem iného do šiestich mesiacov od doručenia tohto oznámenia musí PZS prijať a plniť bezpečnostné opatrenia na úseku kybernetickej bezpečnosti. Uvedený postup je aplikovaný aj pre PDS.

 

K § 18

V nadväznosti na predchádzajúce ustanovenie uvedené bližšie špecifikuje identifikačné kritériá poskytovanej služby.

Podľa odseku 2 a 3 sa tieto kritériá členia na dopadové a špecifické sektorové. Ich určenie bude upravené vo všeobecne záväznom predpise, ktorý vydá úrad.

 

Podľa odseku 4 má prevádzkovateľ služby povinnosť oznámiť úradu prekročenie špecifických kritérií, ktoré sú príznačné a svojské pre jednotlivé odvetvia aj v prípade, ak neprekročil určené dopadové kritériá. Prevádzkovateľ služby má teda povinnosť vždy skúmať všetky kritériá svojej poskytovanej služby.

 

K § 19

Podľa odseku 1 je PZS povinný do šiestich mesiacov od oznámenia o zaradení do zoznamu PZS prijať a dodržiavať bezpečnostné opatrenia v spravovaných a prevádzkovaných sieťach a informačných systémoch a viesť o tom príslušnú dokumentáciu. Účelom zavedenia bezpečnostných opatrení je zaistenie určitej miery úrovne bezpečnosti sietí a informačných systémov. Ide o zavedenie štandardov, ktoré majú najmä preventívny význam, keďže sieť a informačný systém, v ktorom majú byť tieto bezpečnostné opatrenia aplikované, by mali vykazovať určitú mieru odolnosti systému voči kybernetickým bezpečnostným incidentom a súčasne by mal byť systém schopný efektívne riešiť kybernetický bezpečnostný incident.

 

Odsek 2 až 4 upravuje povinnosť pre PZS od dodávateľa služieb požadovať dodatočné bezpečnostné opatrenia v súlade s požiadavkami tohto zákona. Mali by mať možnosť urobiť tak prostredníctvom zmluvných záväzkov, dohôd o zabezpečení plnenia povinností podľa tohto zákona. Ustanovujú sa náležitosti takejto dohody aj pre podniky na poskytovanie elektronických komunikačných služieb alebo sietí pre PZS. PZS, ak tomu nebránia dôvody zmarenia riešenia kybernetického bezpečnostného incidentu, informuje dodávateľa o hlásenom kybernetickom bezpečnostnom incidente. Informovanie sa realizuje takým spôsobom, aby nedošlo k porušeniu povinnosti mlčanlivosti alebo k vyzradeniu tajomstva.

 

Podľa odseku 5 sa určuje postup pri medzištátnom presahu základnej služby.

 

Odsek 6 následne definuje ďalšie povinnosti PZS na zaistenie kybernetickej bezpečnosti, ktorými je najmä hlásenie a riešenie kybernetického bezpečnostného incidentu.

 

Odsek 7 ukladá PZS povinnosť informovať úrad o zmenách v identifikačných údajoch a o základnej službe a odsek 9 formuluje zodpovednosť štátu za škodu, ktorá vznikne kybernetickým bezpečnostným incidentom obmedzením základnej služby pri plnení povinností PZS podľa § 27 zákona.

 

K § 20

V zmysle smernice NIS zodpovednosť za zaistenie bezpečnosti sietí a informačných systémov nesú vo veľkej miere PZS. Kultúra riadenia rizika vrátane hodnotenia rizika a vykonávania bezpečnostných opatrení, ktoré sú primerané existujúcim rizikám, by sa mala podporovať a rozvíjať prostredníctvom vhodných regulačných požiadaviek a dobrovoľných postupov v danom odvetví.

 

Je teda nutné zabezpečiť, aby PZS prijali technické a organizačné opatrenia na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov, ktoré využívajú vo svojej prevádzke. S ohľadom na najnovší technický vývoj tieto opatrenia zabezpečujú takú úroveň kybernetickej bezpečnosti, ktorá zodpovedá miere daného rizika. PZS musia prijať opatrenia na zabránenie a minimalizovanie vplyvu incidentov, ktoré ovplyvňujú bezpečnosť sietí a informačných systémov používaných na poskytovanie týchto základných služieb, s cieľom zabezpečiť ich kontinuitu.

 

Podľa smernice NIS existujúce spôsobilosti nie sú na zaručenie vysokej úrovne bezpečnosti sietí a informačných systémov v Únii postačujúce. V členských štátoch je rôzna úroveň pripravenosti, čo vedie k fragmentácii prístupov v Únii. To má za  následok  rozdielnu  úroveň  ochrany  spotrebiteľov  a podnikov, ktorá  narúša  celkovú  úroveň  bezpečnosti  sietí a informačných systémov v rámci Únie. Neexistencia spoločných požiadaviek na prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb zase znemožňuje, aby sa na úrovni Únie vytvoril globálny a účinný mechanizmus spolupráce. Účinné reagovanie na výzvy, pokiaľ ide o bezpečnosť sietí a informačných systémov, si preto vyžaduje komplexný prístup  na  úrovni  Únie,  ktorý  by  sa  vzťahoval  na  spoločné  minimálne  požiadavky  na  budovanie  kapacít a plánovanie, výmenu informácií, spoluprácu a spoločné bezpečnostné požiadavky pre prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb.

 

Ustanovenie o bezpečnostných opatreniach tak reaguje na požiadavku smernice NIS a zavádza minimálne bezpečnostné „štandardy“ vo vzťahu k zabezpečeniu sietí a informačných systémov. Pri tejto konštrukcii úrad vychádza zo všeobecne uznávaných a dostupných bezpečnostných štandardov na úseku kybernetickej bezpečnosti.

 

PZS a PDS sa však nebráni uplatňovať prísnejšie bezpečnostné opatrenia, než sú opatrenia stanovené v tomto zákone.

 

Ustanovenie odseku 1 definuje bezpečnostné opatrenia nevyhnutné na zabezpečenie kybernetickej bezpečnosti prostredníctvom PZS a definuje ich ako úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti.

 

Bezpečnostné opatrenia sa podľa odseku 2 realizujú v závislosti od kategorizácie sietí a informačných systémov v pôsobnosti PZS.

 

Odsek 3 a 4 upravuje oblasti, pre ktoré sa bezpečnostné opatrenia prijímajú. Bezpečnostné opatrenia sú vymedzené všeobecne a ich splnenie je možné dosiahnuť rôznymi technologickými prostriedkami. Subjekty, ktoré majú povinnosť aplikovať tieto bezpečnostné opatrenia si môžu zvoliť vlastný konkrétny spôsob realizácie týchto bezpečnostných opatrení. Táto premisa zodpovedá princípu technickej neutrality zákona o kybernetickej bezpečnosti.

 

Podľa odseku 5 sa bezpečnostné opatrenia prijímajú v dokumente -  bezpečnostnej dokumentácii, ktorá musí byť aktuálna a vypracovaná v súlade s reálnym stavom.

 

K § 21

V zmysle smernice NIS a vzhľadom na fundamentálne rozdiely medzi PZS, najmä na ich priame prepojenie s fyzickou infraštruktúrou, a PDS, najmä na ich cezhraničný charakter, sa zaujal diferencovaný prístup, pokiaľ ide o úroveň harmonizácie vo vzťahu k týmto dvom skupinám subjektov.

 

Ustanovenie odseku 1 určuje PDS s cieľom vytvoriť a zabezpečiť efektívny a účinný systém zabezpečenia kybernetickej bezpečnosti.

 

Podľa odseku 2 až 4 úrad zaradí digitálnu službu a PDS do príslušného zoznamu. Zaradenie do zoznamu úrad notifikuje príslušnému PDS.

 

V zmysle odseku 5 PDS vyplýva notifikačná povinnosť voči úradu.

 

K § 22

Aj v zmysle smernice NIS je potrebné zabezpečiť, aby PDS identifikovali riziká súvisiace s bezpečnosťou sietí a informačných systémov, ktoré používajú v kontexte poskytovania digitálnych  služieb a aby prijali vhodné a primerané technické a organizačné opatrenia na riadenie týchto rizík. S ohľadom na najnovší technický vývoj musia tieto opatrenia zabezpečiť takú úroveň bezpečnosti sietí a informačných systémov, ktorá zodpovedá miere daného rizika, a zohľadniť tieto prvky:

·         bezpečnosť systémov a zariadení;

·         riešenie incidentov;

·         riadenie kontinuity činnosti;

·         monitorovanie, audit a skúšanie;

·         súlad s medzinárodnými normami.

 

Ďalej je potrebné zabezpečiť, aby PDS prijali opatrenia na zabránenie a minimalizovanie vplyvu incidentov ovplyvňujúcich bezpečnosť ich sietí a informačných systémov na digitálne služby, ktoré sa poskytujú.

 

Ustanovenie odseku 1 teda určuje bezpečnostné povinnosti PDS s cieľom vytvoriť a zabezpečiť efektívny a účinný systém zabezpečenia kybernetickej bezpečnosti. Bezpečnostné opatrenia, ktoré na účely zabezpečenia kybernetickej bezpečnosti vo svojich podmienkach musí PDS prijať, vychádzajú z bezpečnostných opatrení uvedených vo všeobecne záväznom predpise EÚ a PDS ich implementuje vhodným a primeraným spôsobom tak, aby opatrenia smerovali k zabezpečeniu stavu kybernetickej bezpečnosti a zodpovedali existujúcemu riziku. Na tieto účely je povinný prijať zodpovedajúce technické a organizačné opatrenia.

 

Ustanovenie odseku 3 predstavuje najmä  transpozíciu čl. 16 ods. 3 a 4 smernice NIS, podľa ktorého PDS bezodkladne oznamujú príslušnému orgánu alebo jednotke CSIRT každý incident, ktorý má závažný vplyv na poskytovanie služby, ak má k dispozícii informácie, ktoré sú potrebné na posúdenie, že kybernetický bezpečnostný incident má podstatný dopad v zmysle všeobecne záväzného právneho predpisu EÚ.

 

Odsek 4 a 5 upravuje nevyhnutné povinnosti PDS vo vzťahu k tretím stranám.

 

K § 23

Podľa ustanovenia odseku 1 a 2 PDS, ktorý poskytuje služby na území Slovenskej republiky je povinný ustanoviť si svojho zástupcu v Slovenskej republike  a to aj v prípade, ak nemá sídlo v Európskej únii.

 

Odsek 3 upravuje výkon štátnej správy u PDS v prípade, ak sa siete a informačné systémy nachádzajú v inom členskom štáte európskej únie.

 

Zákonná úprava vychádza priamo z požiadaviek smernice NIS a nepredstavuje tak zvýšenú reguláciu na PDS ako upravuje samotná smernica NIS.

           

K § 24

Ustanovenie odseku 1 upravuje povinnosť hlásenia kybernetických bezpečnostných incidentov PZS a ustanovenie odseku 2 kategorizuje kybernetické bezpečnostné incidenty na základe presiahnutia prahových hodnôt uvedených vo vykonávacom predpise vydanom úradom. Rozlišuje sa kybernetický bezpečnostný incident prvého, druhého a tretieho stupňa.

 

Pri určovaní kategórií kybernetického bezpečnostného incidentu sa vychádza z čl. 6 smernice NIS. Pri určovaní závažnosti sa zohľadňujú aspoň tieto medziodvetvové faktory:

·         počet používateľov využívajúcich službu, ktorú poskytuje daný subjekt,

·         závislosť ostatných odvetví od služby, ktorú poskytuje daný subjekt,

·         vplyv, ktorý by mohli mať incidenty z hľadiska rozsahu a trvania na hospodárske a spoločenské činnosti alebo verejnú bezpečnosť,

·         trhový podiel daného subjektu,

·         geografické rozšírenie z hľadiska oblasti, ktorú by incident mohol postihnúť,

·         význam subjektu z hľadiska zachovania dostatočnej úrovne služby, berúc do úvahy dostupnosť alternatívnych spôsobov poskytovania danej služby.

 

V zmysle odseku 3 ak PZS využíva tretiu stranu, ktorou je PDS, na poskytovanie služby, ktorá je základná, uvedený PZS oznamuje každý závažný kybernetický incident, ktorý postihol PDS. Ide napríklad o prípady využívania napríklad PDS. PZS s PDS uzatvára dohodu podľa § 19 ods. 2 o zabezpečení plnení bezpečnostných a notifikačných povinností, ktoré vyplývajú PZS z tohto zákona.

 

Odsek 4 až 6 upravuje spôsob hlásenia kybernetického bezpečnostného incidentu. Hlásenie sa vykonáva v JISKB.  Oznámenia, ktoré sú formulované na základe funkcionality JISKB obsahujú informácie umožňujúce ÚO alebo jednotke CSIRT určiť prípadný cezhraničný vplyv incidentu. Oznámenie nemá pre oznamujúcu stranu za následok vyššiu zodpovednosť.

 

Povinné osoby majú teda povinnosť detegovať kybernetické bezpečnostné incidenty a hlásiť ich. Úrad, ako správca JISKB, zaznamená všetky hlásené incidenty do registra kybernetických bezpečnostných incidentov. Tieto informácie sprístupní oprávneným subjektom. Takto nastavený mechanizmus je potrebný pre plnenie úlohy úradu prostredníctvom Národnej jednotky CSIRT, a to koordinovať riešenie incidentov. Zavedením JISKB sa zriadi zabezpečený kanál na prenos všetkých relevantných informácií, nevyhnutných pre rýchle, efektívne a hlavne koordinované riešenie zistených kybernetických bezpečnostných incidentov.

 

K § 25

Ustanovenie upravuje hlásenie kybernetických bezpečnostných incidentov PDS. Povinnosť oznámiť incident sa uplatňuje len v prípade, ak má PDS prístup k informáciám, ktoré sú potrebné na posúdenie dosahu spôsobeného kybernetického bezpečnostného incidentu. Hlásenie sa vykonáva prostredníctvom JISKB.

 

K § 26

Ustanovenie umožňuje hlásiť kybernetický bezpečnostný incident fyzickými a právnickými osobami prostredníctvom JISKB. Vo vzťahu k dobrovoľnému hláseniu kybernetických bezpečnostných incidentov je irelevantné, či kybernetický bezpečnostný incident presahuje prahové kritériá určené na jednotlivé kategórie kybernetických bezpečnostných incidentov.

 

V zmysle smernice NIS subjekty, ktoré nepatria do rozsahu jej pôsobnosti, môžu byť vystavené incidentom, ktoré majú významný vplyv na služby, ktoré poskytujú. Ak sa tieto subjekty domnievajú, že je vo verejnom záujme oznámiť, že k takýmto incidentom došlo, mali by mať možnosť dobrovoľne ich oznamovať. Takéto oznámenia by mal príslušný orgán alebo jednotka CSIRT spracovať, ak to nepredstavuje neprimerané ani nenáležité zaťaženie dotknutých členských štátov.

 

K § 27

Ustanovenie upravuje riešenie kybernetických bezpečnostných incidentov úradom, ak reakcia na hroziaci alebo prebiehajúci závažný kybernetický bezpečnostný incident nie je dostatočná alebo nie je realizovaná vôbec.

 

Riešenie kybernetických bezpečnostných incidentov predstavuje všetky postupy na podporu odhaľovania, analýzy a obmedzenia následkov kybernetického bezpečnostného incidentu a reakcie naň.

 

Podľa odseku 1 riešením kybernetických bezpečnostných incidentov podľa uvedeného ustanovenia predstavujú postupy spočívajúce:

 

·         vo vyhlasovaní výstrahy a varovania, ktoré sa vyhlasujú v JISKB alebo masovokomunikačnými prostriedkami, ak je to v naliehavom záujme spoločnosti a štátu. Ide o opatrenie pred vznikom kybernetického bezpečnostného incidentu za účelom zabránenia jeho vzniku alebo v čase incidentu na účely jeho riešenia a zamedzenia alebo zníženia škodlivých následkov,

·         v ukladaní povinnosti riešiť kybernetický bezpečnostný incident. Povinnosť riešiť kybernetický bezpečnostný incident sa ukladá rozhodnutím úradu tomu, kto prevádzkuje jednotku CSIRT, PDS a PZS,

·         v povinnosti vykonať reaktívne opatrenie, ako konkrétna cielená reakcia na kybernetický bezpečnostný incident. Povinnosť vykonať reaktívne opatrenie ukladá úrad rozhodnutím PDS v čase krízovej situácie a PZS,

·         v povinnosti navrhnúť a vykonať ochranné opatrenie. Ochranné opatrenie má povinnosť navrhnúť  a vykonať PZS.

 

Odsek 2 upravuje vyhlásenie výstrahy a varovania ako oficiálne publikovanie informácie o bezpečnostnej hrozbe. Ide teda o preventívne informovanie osôb a štátu.

 

Odsekom 3 sa ukladá rozhodnutím úradu povinnosť riešiť kybernetický bezpečnostný incident.

 

Podľa odseku 4 až 6 sa reaktívne opatrenie vykonáva jedným spôsobom určeným ako reaktívna služba jednotky CSIRT. PDS a PZS, ktorému bola povinnosť vykonať toto opatrenie je povinný dokázateľným spôsobom vykonané reaktívne opatrenie preukázať ako potreba spätnej väzby pre úrad pre vyhodnotenie efektívnosti opatrenia. Účelom reaktívneho opatrenia je okamžitá reakcia na výskyt kybernetického bezpečnostného incidentu. Charakter kybernetických bezpečnostných incidentov vyžaduje k úspešnosti reaktívneho opatrenia reakciu čo v najkratšom čase.

 

Odsek 7 a 8 upravuje bližšie ochranné opatrenie. Úrad vyzve PZS, aby vzhľadom na analýzu kybernetických bezpečnostných incidentov, ktoré postihli jeho siete a informačné systémy navrhol ochranné opatrenie, ktorého cieľom je zaistenie bezpečnosti jeho sietí a informačných systémov pred ďalšími možnými incidentmi. Ide teda o nutnosť bezprostredne reagovať na vyriešený kybernetický bezpečnostný incident a na základe získaných skúseností PZS všeobecne zvýšiť kvalitu ochrany jeho sietí a informačných systémov. Okruh adresátov môže byť konkrétny aj všeobecný v závislosti od toho, aký rozsah sietí a informačných systémov je potrebné ochranných opatrením zaistiť. Ochranné opatrenie je realizované bezprostredne po riešení incidentu, kedy z dôvodu časovej nedostatočnosti nie je možné legislatívne a technicky  realizovať všeobecné požiadavky na zvýšenie štandardu bezpečnostných opatrení.

 

Odsek 9 a 10 upravuje úkony úradu smerujúce k informovaniu vlády SR a Vojenského spravodajstva v osobitných prípadoch.

 

Podľa odseku 11 sa na rozhodnutia úradu vykonať opatrenia nevzťahuje všeobecný predpis o správnom konaní. Rozhodnutie úradu je teda prvým úkonom v riešení incidentu a akýkoľvek ďalší časový priestor určený napríklad na odvolanie alebo rozklad by už v niekoľkých hodinách mohol znamenať exponenciálny rozvoj kybernetického bezpečnostného incidentu.

 

 

K § 28

Upravuje sa spôsob vykonávania kontroly. Pri vykonávaní kontroly úrad postupuje podľa základných pravidiel kontrolnej činnosti podľa všeobecného predpisu o kontrole v štátnej správe. V súlade so smernicou NIS úrad vykoná kontrolu u PDS len v odôvodnených prípadoch ex post.

 

K § 29

Ustanovenie upravuje požiadavky podrobiť sa auditu pre PZS a predložiť úradu auditnú správu.  Povinnosť auditu sa nevťahuje na PDS, keďže v súlade so smernicou NIS nie je možné PDS ukladať povinnosti nad rámec tejto smernice.

 

Odsek 1 a 2 uvádza povinnosť PZS preveriť prijaté bezpečnostné opatrenia do 24 mesiacov odo dňa zápisu do registra PZS a ďalej po každej zmene, ktorá má zásadný vplyv na prijaté bezpečnostné opatrenia a v časovom intervale, ktorý vo všeobecnom vykonávacom predpise určí úrad v závislosti od kategorizácie sietí a informačných systémov a informácií v nich.

 

Podľa odseku 3 audit môže vykonať len akreditovaný orgán.

 

Podľa odseku 5 úrad môže vykonať u PZS audit, resp. nariadiť jeho vykonanie určeným akreditovaným audítorom. Náklady na tento audit znáša úrad.

 

K § 30 a 31

Ustanovenie identifikuje konania, ktoré predstavujú porušenie tohto zákona a pri jednotlivých skutkoch sa uvádza najvyššia sadzba pokuty.

 

Sadzba je určená buď ako rozpätie sumy alebo ako výpočet sumy prostredníctvom percentuálneho podielu na celkovom obrate za predchádzajúci kalendárny rok, v závislosti od konkrétnej skutkovej podstaty.

 

Ustanovenie upravuje spôsob výpočtu sankcie, jej splatnosť a náležitosti konania. Priestupky a správne delikty prejednáva úrad a príjmy z nich sú príjmom štátneho rozpočtu.

 

K § 32

Splnomocňovacie ustanovenie podľa odseku 1 splnomocňuje úrad na vydanie vykonávacieho predpisu v určených oblastiach.

 

Splnomocňovacie ustanovenie podľa odseku 2 splnomocňuje ÚO, aby v spolupráci s úradom vydal všeobecne záväzný právny predpis, ktorým v závislosti od špecifických požiadaviek konkrétneho sektoru určí špecifické sektorové bezpečnostné opatrenia na účely zabezpečenia bezpečnosti sietí a informačných systémov v sektore jeho pôsobnosti.

 

K § 33

Upravujú sa spoločné ustanovenia.

 

K § 34

Prechodné a záverečné ustanovenia definujú lehoty určené pre úrad, PZS, PDS a ÚO na splnenie povinností podľa tohto zákona.

 

K § 35

Ustanovením sa preberajú právne záväzné akty Európskej únie.

 

K č. II

Novelizuje sa zákon o Vojenskom spravodajstve.

 

K bodu 1

Legislatívno-technická úprava v súvislosti s precizovaním pojmológie.

 

K bodu 2

V súvislosti so zákonom o kybernetickej bezpečnosti sa legislatívne upravuje pôsobnosť Vojenského spravodajstva v súvislosti so zabezpečením obrany v kybernetickom priestore.

 

K bodu 3

Upravuje a precizuje sa výkon štátnej správy na úseku zabezpečenia kybernetickej obrany, zriaďuje sa Centrum pre kybernetickú obranu Slovenskej republiky a vymedzujú sa jeho úlohy a postavenie.

 

K čl. III

Novelizuje sa zákon o správnych poplatkoch v znení neskorších predpisov a dopĺňa sa nová položka „Akreditácia jednotky CSIRT“.

 

K čl. IV

Z dôvodu zabezpečenia mzdovej motivácie vo verejnom sektore a personálnych kapacít na výkon špecializovaných činností v oblasti kybernetickej bezpečnosti sa novelizuje zákon o štátnej službe príslušníkov Policajného zboru, Slovenskej informačnej služby, Zboru väzenskej a justičnej stráže Slovenskej republiky a Železničnej polície a zavádza sa nový príplatok za výkon činnosti v oblasti kybernetickej bezpečnosti.

 

K čl. V

Novelizuje sa zákon o bankách, v ktorom sa precizuje, že nejde o porušenie bankového tajomstva ak ide o plnenie povinnosti v oblasti kybernetickej bezpečnosti.

 

K čl. VI

Novelizuje sa zákon o obrane.

 

K bodu 1

V súvislosti so zákonom o kybernetickej bezpečnosti sa legislatívne upravuje pojmológia obrany štátu v súvislosti so zabezpečením obrany v kybernetickom priestore.

 

K bodu 2 a 3

Legislatívno-technická úprava v nadväznosti na novelu zákona o Vojenskom spravodajstve a pôsobnosti Centra pre kybernetickú obranu Slovenskej republiky.

 

K čl. VII

Novelizuje sa zákon o ochrane utajovaných skutočností.

 

K bodu 1

Precizuje sa ustanovenie o zastavení vykonávania bezpečnostnej previerky osoby na základe potrieb vyplývajúcich z aplikačnej praxe.

 

K bodu 2

V súvislosti s potrebou zabezpečiť úlohy Národného bezpečnostného úradu v zákone o kybernetickej bezpečnosti sa upravuje § 35 ods. 2 zákona č. 215/2004  Z. z. o ochrane utajovaných skutočností.

 

K bodu 3

Na základe požiadavky Ministerstva obrany Slovenskej republiky sa dopĺňa úprava medzinárodnej bilaterálnej výmeny medzi ozbrojenými silami SR a iného štátu.

 

K bodu 4 a 5

Legislatívno-technická úprava leteckého snímkovania, vypúšťajú sa odseky, ktorých predmet je obsahom osobitnej právnej úpravy, z dôvodu ktorej dochádzalo k aplikačným a výkladovým problémom.

 

K bodu 6 až 10

Dochádza k systémovej legislatívnej úprave postavenia riaditeľa Národného bezpečnostného úradu vo veciach služobného pomeru.

 

K čl. VIII

V nadväznosti na úpravu kybernetickej bezpečnosti v návrhu zákona sa novelizuje zákon č. 45/2011  Z. z. o kritickej infraštruktúre.

 

K bodu 1

Legislatívno-technická úprava.

 

K bodu 2

V zmysle zabezpečenia riadnej aplikácie zákona v súvislosti s novým prvkom kritickej infraštruktúry je potrebné doplniť ustanovenie, ktorým sa definuje prevádzkovateľ na účely zákona o kritickej infraštruktúre.

 

K bodu 3

V zmysle nových kompetenčných pôsobností dochádza k úprave kompetencií ústredných orgánov.

 

K bodu 4

Legislatívno-technická úprava vyplývajúca z aplikačnej praxe.

 

K bodu 5

V § 10 sa v rámci bezpečnostných opatrení dopĺňajú opatrenia na zaistenie kybernetickej bezpečnosti s odkazom na príslušné ustanovenie zákona o kybernetickej bezpečnosti.

 

K bodu 6

V zmysle kompetenčného zákona a návrhu zákona o kybernetickej bezpečnosti je potrebné formálne upraviť existujúcu prílohu č. 3.

 

K čl. IX

Na zaistenie účelnej úpravy kybernetickej bezpečnosti v navrhovanom zákone je nevyhnutné upraviť zákon č. 351/2011  Z. z. o elektronických komunikáciách v znení neskorších predpisov.

 

K bodu 1

Dopĺňa sa ustanovenie o vzájomnej spolupráci a výmene informácií potrebných na zabezpečenie kybernetickej bezpečnosti.

 

K bodu 2

Uvedenou úpravou, ktorá umožní sprístupniť Národnému bezpečnostnému úradu telekomunikačné tajomstvo, sa zaistí systematický zber a následné vyhodnocovanie incidentov, ktoré majú vplyv na kybernetickú bezpečnosť.

 

K čl. X

Novelizuje sa zákon o štátnej službe. V súlade s navrhovanou úpravou v rámci právnej úpravy odmeňovania, kedy je zamestnávateľom štát, sa ustanovením umožňuje priznať príplatok za vykonávanie špecializovaných činností na úseku kybernetickej bezpečnosti zamestnancovi až do výšky 90 % platovej tarify, čím zamestnávateľ, ktorým je štát, dostáva možnosť zamestnať špecializovaných odborníkov a konkurovať tak súkromným zamestnávateľom.

 

K č. XI

Navrhuje sa účinnosť zákona.

 

V Bratislave 8. novembra 2017

 

 

 

Robert Fico

predseda vlády Slovenskej republiky

 

 

 

Jozef Magala

riaditeľ Národného bezpečnostného úradu

zobraziť dôvodovú správu
Načítavam znenie...
MENU
Hore