Národný bezpečnostný úrad, ako ústredný organ štátnej správy pre kybernetickú bezpečnosť, pripravil na základe schváleného programového vyhlásenia vlády Slovenskej republiky na roky 2016-2020 návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona“), ktorým do národného právneho poriadku transponuje smernicu Európskeho parlamentu a rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (ďalej len „smernica NIS“).
Smernica NIS predstavuje prvú celoeurópsku legislatívnu úpravu v oblasti kybernetickej bezpečnosti, ktorá sa zameriava na posilnenie právomocí príslušných vnútroštátnych orgánov, zvyšuje ich vzájomnú koordináciu a predstavuje bezpečnostné podmienky pre kľúčové sektory.
Smernica NIS najmä:
- zavádza bezpečnostné požiadavky a požiadavky na hlásenie kybernetických bezpečnostných incidentov pre prevádzkovateľa základných služieb (ďalej len „PZS“) a pre poskytovateľa digitálnych služieb (ďalej len „PDS“),
- ukladá členským státom povinnosť určiť vnútroštátne príslušné orgány, jednotné kontaktné miesta a bezpečnostné tímy jednotiek pre riešenie kybernetických bezpečnostných incidentov (ďalej len „jednotka CSIRT“),
- ukladá členským štátom povinnosť prijať národnú stratégiu kybernetickej bezpečnosti,
- ustanovuje skupinu pre spoluprácu, za účelom podpory strategickej spolupráce a výmeny informácii medzi členskými štátmi a budovania vzájomnej dôvery,
- stavuje sieť jednotiek CSIRT, ktorej účelom je prispievať k budovaniu dôvery medzi členskými štátmi a podporovať účinnú spoluprácu.
- Hlavným legislatívnym východiskom návrhu zákona je Stratégia pre informačnú bezpečnosť v Slovenskej republike (Uznesenie vlády SR č. 270/2008), Legislatívny zámer zákona o informačnej bezpečnosti (Uznesenie vlády SR č. 136/2010) a Uznesenie vlády SR č. 328/2015 ku Koncepcii kybernetickej bezpečnosti.
V nadväznosti na Legislatívny zámer návrhu zákona o informačnej bezpečnosti, v ktorom boli stanovené okrem vyššie uvedených čiastkových cieľov dva základné okruhy problémov, a to zaistenie ochrany pre informačné systémy verejnej správy a vytvorenie všeobecného právneho rámca pre ochranu celého digitálneho priestoru Slovenskej republiky, je aj v súlade s naplnenými cieľmi smernice NIS možné konštatovať, že návrh zákona o kybernetickej bezpečnosti v predloženej podobe komplexne a vyčerpávajúcim spôsobom rieši všetky relevantné otázky.
Národný bezpečnostný úrad v rámci príprav organizoval workshopy na tému transpozície smernice NIS do národného právneho poriadku. Návrh zákona bol vypracovaný aj na základe podnetov a po konzultáciách s orgánmi verejnej moci, ktoré sa k navrhovaným zmenám a oblastiam úprav vyjadrili, ako aj na základe podnetov a diskusií so zástupcami odbornej verejnosti.
Cieľom návrhu zákona je teda vytvoriť funkčný legislatívny rámec nutný pre efektívnu realizáciu kľúčových opatrení pre bezpečnosť národného kybernetického priestoru, ktorý transponuje priority a požiadavky, ktoré boli vytvorené na európskej úrovni a prijaté všeobecným konsenzom prostredníctvom smernice NIS.
Medzi hlavné oblasti úpravy návrhu zákona v nadväznosti na smernicu NIS patrí oblasť
- organizácie a pôsobnosti orgánov verejnej moci v oblasti kybernetickej bezpečnosti,
- národnej stratégie kybernetickej bezpečnosti,
- jednotného informačného systému kybernetickej bezpečnosti,
- postavenia a povinnosti PZS a PDS,
- organizáciu a pôsobnosť jednotiek CSIRT a ich akreditáciu,
- systému zabezpečenia kybernetickej bezpečnosti a minimálnych požiadaviek na zabezpečenie kybernetickej bezpečnosti,
- kontroly a auditu.
Okrem uvedených okruhov návrh zákona rieši aj niektoré ďalšie požiadavky smernice NIS, ako je napríklad vymedzenie medzinárodnej spolupráce v oblasti kybernetickej bezpečnosti, plnenie notifikačných povinností, nahlasovanie kybernetických bezpečnostných incidentov ako aj dobrovoľné nahlasovanie kybernetických bezpečnostných incidentov, definuje niektoré zásady správania sa v kybernetickom priestore a svojimi ustanoveniami podporuje výskum a vzdelávanie ako aj zvyšovanie bezpečnostného povedomia v oblasti kybernetickej bezpečnosti.
Vzhľadom na predpokladanú dĺžku legislatívneho procesu a berúc do úvahy potrebnú legisvakanciu sa navrhuje, aby zákon nadobudol účinnosť 1. januára 2018. Ustanovenia, ktoré zakladajú povinnosti, vyžadujúce si prípravu a implementáciu sa navrhujú ustanoviť s odloženou účinnosťou.
