LP/2017/407 Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

Pridať
ZÁKON
o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:


Existujúce pripomienky


Pripomienkujúci subjekt Pripomienka k Text pripomienky Typ Stav Dátum vytvorenia Detail
Slovensko.Digital (Slovensko.Digital) §29 ods.6 Žiadame vypustiť tento odsek. Možnosť vstupovať do IS na úrovni správcu a meniť ich konfiguráciu zásadne prevyšuje možnosti potrebné na výkon kontroly a súčasne vytvára vysoké riziko narušenia činnosti a bezpečnosti týchto IS. Zásadná pripomienka Odoslaná 16.6.2017 Detail
Slovensko.Digital (Slovensko.Digital) §29 ods.6 Žiadame vypustiť tento odsek. Možnosť vstupovať do IS na úrovni správcu a meniť ich konfiguráciu zásadne prevyšuje možnosti potrebné na výkon kontroly. Zásadná pripomienka Odoslaná 16.6.2017 Detail
NBS (Národná banka Slovenska) k čl. I vseobecná pripomeinka 2. Navrhujeme prehodnotiť navrhovaný distribuovaný model zodpovedností za kybernetickú bezpečnosť vo forme mnohých vecne príslušných autorít (VPA) a jednotiek CSIRT a zvážiť zriadenie jednej autority pre kybernetickú bezpečnosť pre celú Slovenskú republiku, ktorá by sústreďovala tím odborníkov schopných pokryť všetky sektory a podsektory. Zásady kybernetickej bezpečnosti sú viac-menej rovnaké bez ohľadu na sektor. Je efektívnejšie, a zároveň aj reálnejšie vybudovať jeden odborne zdatný tím, ktorý bude túto oblasť koordinovať, ako očakávať, že množstvo VPA a jednotiek CSIRT bude schopné zabezpečiť výkon činností na očakávanej odbornej úrovni v každom sektore kvôli možnému deficitu vysokokvalifikovanej pracovnej sily v tejto oblasti. Taktiež očakávaný počet pracovníkov, ako aj celkové finančné náklady budú pri navrhovanom modeli viacerých autorít vyššie. IT riziká sú porovnateľné prierezovo pre všetky sektory a podsektory. 3. Zo znenia predloženého návrhu zákona nie je zrejmé, jednoznačné právne postavenie jednotky CSIRT (má to byť útvar v rámci VPA, nová inštitúcia) a kto vlastne bude prevádzkovateľom jednotky CSIRT (má to byť útvar VPA, iná inštitúcia). 4. V predloženom návrhu zákona navrhujeme, tam kde je to možné, cudzie slová nahradiť vhodnými slovenskými výrazmi (napríklad v § 3 písm. b) cudzie slová „interakcie”, “entita”, v § 8 cudzie slovo „kooperácia“, v § 10 ods. 6 cudzie slovo „funkcionalita“). 5. Návrh zákona je potrebné upraviť tak, aby všetky jeho ustanovenia mali normatívny charakter a tiež je potrebné upraviť ho gramaticky. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 3 4. V § 3 písm. d) navrhujeme upraviť znenie definície „kybernetická bezpečnosť“ a z hľadiska systematiky navrhujeme písmeno d) uviesť ako písmeno a). Odôvodnenie: Definícia kybernetickej bezpečnosti je sémanticky nesprávna. Výraz „odolávať incidentom“ je nepresný, pretože incident je už len následok „neodolania“, čiže nedostatočných bezpečnostných opatrení. Má ísť o snahu zabrániť incidentu, nie odolávať mu, je potrebné sa vyhnúť udalostiam, ktoré vedú k bezpečnostným incidentom. Okrem toho, stav kybernetickej bezpečnosti môže byť nedostatočný aj bez (indikovaných či viditeľných) incidentov. Podľa US CERT definícia znie takto: „Kybernetická bezpečnosť je stav, v ktorom sú informačné a komunikačné systémy a informácie v nich spracúvané chránené pred poškodením, neoprávneným použitím, neoprávnenou zmenou alebo zneužitím.“. 5. V § 3 písm. f) prvom bode navrhujeme slová „prelomenie integrity“ nahradiť slovami „narušenie integrity“. 6. V § 3 písm. g) navrhujeme spresniť vymedzenie pojmu „základná služba“. Z definície nie je zrejmé, čo sa myslí slovným spojením „služba, ktorá závisí od sietí a je činnosťou aspoň v jednom sektore...“ (napríklad, čo sa na účely tejto definície myslí činnosťou bánk). 7. V § 3 písm. h) navrhujeme za slovom „služby“ vypustiť slovo „sú“. 8. V § 3 písm. i) navrhujeme za slovom „službou“ vypustiť slovo „je“. 9. V poznámke pod čiarou k odkazu 8 navrhujeme na konci doplniť slová „v platnom znení“. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 6 14. V § 6 navrhujeme znenie písmena h) upraviť takto: „h) vedie register prevádzkovateľov základných služieb a register poskytovateľov digitálnych služieb a zoznam základných služieb, zoznam digitálnych služieb a zoznam akreditačných jednotiek CSIRT,“. Primerane je potrebné spresniť aj registre a zoznamy upravené v ďalších ustanoveniach zákona. Zároveň odporúčame zvážiť, či do tohto ustanovenia nie je potrebné doplniť aj register vecne príslušných autorít a register kybernetických bezpečnostných incidentov, respektíve do návrhu zákona doplniť, kto bude viesť tieto dva registre. 15. V § 6 ods. 1 písm. p) navrhujeme slovo „vedie“ nahradiť slovom „prevádzkuje“. 16. V § 6 ods. 1 písm. o) a tiež v ďalších ustanoveniach návrhu zákona je použitý pojem „Národná jednotka CSIRT“, ktorý nie je v návrhu zákona dostatočne zadefinovaný, ani nie je preň zavedená legislatívna skratka obdobne ako pre jednotky CSIRT. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 4 10. V § 4 odporúčame znenie odsekov 1 až 5 buď preformulovať tak, aby mali normatívny charakter, alebo ich vypustiť. V prípade vypustenia odsekov 1 až 6 je potrebné znenie odseku 6 začleniť do iného paragrafu zákona. 11. V § 4 ods. 1 navrhujeme slová „verejného a súkromného sektora“ nahradiť slovami „verejného sektora a súkromného sektora“ a rovnako navrhujeme upraviť celý návrh zákona. 12. V § 4 ods. 6 navrhujeme doplniť komu majú subjekty oznamovať kybernetické bezpečnostné incidenty (spôsob ich oznamovania). Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 2 1. V § 2 ods. 1 znenie druhej vety odporúčame zvážiť vzhľadom k pojmu „môže“, pretože vzťah zákona o kybernetickej bezpečnosti a osobitných predpisov by mal byť vymedzený jednoznačne a nie ponechaný na voľbu príslušného subjektu. Zároveň odporúčame zvážiť, či táto druhá veta je vyjadrením pôsobnosti zákona. 2. V § 2 ods. 2 písm. a) navrhujeme na konci textu písmena doplniť slovo „skutočností“. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 5 13. V § 5 navrhujeme zvážiť, či je potrebné v nadväznosti na znenie písmena b), Národný bezpečnostný úrad začleniť aj medzi vecne príslušné autority vymenované v písmene c). Navrhnutým členením vznikajú nejasnosti, to znamená úrad má povinnosti a úlohy ako úrad a zároveň si má sebe plniť úlohy ako vecne príslušná autorita (napríklad § 7 ods. 3, § 9 ods. 3, § 10 ods. 5, § 27 ods. 6, § 28 ods. 5). Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 7 17. V § 7 navrhujeme znenie odseku 1 spresniť v nadväznosti na našu pripomienku k § 6 ods. 1 písm. o). Zároveň odporúčame z dôvodu jednoznačnosti v tomto odseku spresniť, kto sa myslí vecne príslušnou autoritou podľa § 11 ods. 2. 18. V § 7 ods. 3 navrhujeme v nadväznosti na znenie § 3 písm. a) slová „k informačným systémom a sieťam“ nahradiť slovami „k sieťam a informačným systémom“. Primeraná pripomienka platí k celému návrhu zákona. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 13 27. V § 13 je potrebné spresniť nejasné znenie odseku 1. 28. V § 13 ods. 2 navrhujeme za slovo „žiadosť“ doplniť slová „o akreditáciu“ a primerane spresniť aj nasledujúce ustanovenia návrhu zákona. Na konci odseku 2 doplniť slová „(ďalej len „žiadateľ“). 29. V § 13 ods. 3 navrhujeme slová „podľa § 15“ nahradiť slovami „podľa § 14“. 30. V § 13 ods. 4 navrhujeme spresniť o aké konanie ide, pretože v odseku 1, na ktorý sa v odseku 4 odkazuje konanie nie je upravené, (napríklad za slovo „konanie“ odporúčame doplniť slová „o zhode“); slovo „stanovenej“ odporúčame nahradiť slovom „určenej“. Zároveň odporúčame na konci druhej vety odseku 4 doplniť slová „od doručenia výzvy“. 31. V § 13 ods. 5 navrhujeme slová „ak posúdi zhodu jednotky CSIRT“ nahradiť slovami „ak posúdi, že jednotka CSIRT je v zhode s podmienkami akreditácie podľa § 14 a ?, vydá rozhodnutie“. Zároveň odporúčame zvážiť pojem „spravidla na päť rokov“ pre jeho právnu neistotu. 32. V § 13 ods. 6 odporúčame spresniť, koľkokrát „opakovane“ môže byť rozhodnutie o akreditácii predĺžené. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 11 25. V § 11 ods. 1 písm. g) odporúčame formou odkazu a poznámky pod čiarou aspoň príkladom uviesť, o aký osobitný predpis ide. Primeraná pripomienka platí aj k § 19 ods. 1. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 9 19. V § 9 ods. 2 je potrebné na konci úvodnej vety vypustiť dvojbodku. V odseku 2 písm. a) navrhujeme spresniť, čo sa myslí slovami „ďalších relevantných aktérov“ a primerane upraviť aj písmeno i). V odseku 2 písm. b) odporúčame spresniť, čoho sa má pripravenosť, reakcia a obnova týkať. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 10 20. V § 10 ods. 2 druhej vete navrhujeme slová „verejnej a neverejnej časti“ nahradiť slovami „verejnej časti a neverejnej časti“ a rovnako navrhujeme upraviť celý návrh zákona. V odseku 2 písm. j) je potrebné slovo „odsek“ nahradiť slovo „ods.“. 21. V § 10 ods. 4 navrhujeme slová „podľa ods. 2 písmeno j)“ nahradiť slovami „podľa odseku 2 písm. j)“. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 12 V § 12 ods. 2 písm. b) je potrebné spresniť slová „ten kto ju vedie“. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 32,33,34 61. V § 32 ods. 1 navrhujeme citáciu na konci odseku upraviť takto: „podľa § 17 ods.1, § 18 ods. 2, 3, 5 a 6 a § 19 ods. 6.“. 62. V § 32 navrhujeme znenie odsekov 3 a 4 upraviť tak, aby nedošlo duplicitne k uloženiu pokuty za ten istý správny delikt, ako je to napríklad za porušenie povinnosti podľa § 21 ods. 1 a 3. 63. V § 32 ods. 8 navrhujeme na konci prvej vety buď spresniť, kým je finančná pomoc poskytnutá (jej poskytovateľa), alebo slová „finančná pomoc poskytnutá“ navrhujeme nahradiť slovami „poskytnutá finančná pomoc“, bez uvedenia jej poskytovateľa. 64. V § 32 ods. 9 navrhujeme spresniť význam slovného spojenia „Ak nie je predchádzajúce účtovné obdobie k dispozícii,“. 65. Znenie § 33 je potrebné zosúladiť s bodom 24.1. Prílohy č. 1 k Legislatívnym pravidlám vlády Slovenskej republiky. 66. V navrhnutom znení § 33 písm. b) navrhujeme za slovo „hodnoty“ doplniť slovo „kritérií“; ide o zosúladenie s § 17 ods. 1 a s § 35 ods. 2 a 3. V navrhnutom písmene h) navrhujeme na konci písmena slová „písm. d)“ nahradiť slovami „písm. e)“. 67. V § 34 ods. 2 odporúčame slová „Informácie a údaje“ nahradiť slovami „Informácie, údaje a hlásenia“. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) Pripomienky k ostatnej dokumentácii 1. Predkladaciu správu navrhujeme zosúladiť s čl. 18 a čl. 23 ods. 3 písm. a) Legislatívnych pravidiel vlády SR. 2. Do názvu doložky zlučiteľnosti navrhujeme doplniť slovo „návrhu“ pred spojenie „právneho predpisu“, v súlade s Legislatívnymi pravidlami vlády SR. 3. V časti 4. doložky zlučiteľnosti - Záväzky Slovenskej republiky vo vzťahu k Európskej únii chýba časť d), to znamená informácia o právnych predpisoch, v ktorých sú preberané smernice už prebraté spolu s uvedením rozsahu tohto prebratia. 4. Na strane 3 osobitnej časti dôvodovej správy pri § 7 nie je zrejmé, o aké centrum ide, zrejme sa jedná o Národnú jednotku CSIRT. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 29 60. V § 29 ods. 9 je potrebné spresniť, kto sa myslí pod pojmom "Príslušníci úradu“ a slovami „vedúci kontrolovaného subjektu“. Primeraná pripomienka platí aj k odseku 11. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 36 68. V § 36 navrhujeme slová „právne akty Európskej únie“ nahradiť slovami „akty Európskej únie“. Primerane je potrebné upraviť aj prílohu č. 3. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) k § 21, 22, 23, 24, 25, 26, 27, 28 49. V § 21 ods. 1 odporúčame začiatok prvej vety upraviť takto: „Poskytovateľ digitálnej služby je od okamihu zaradenia do registra poskytovateľov digitálnych služieb povinný ...“. Ide o primeranú úpravu ako v § 18 ods. 1. 50. V § 22 ods. 1 navrhujeme začiatok textu upraviť takto: „Zástupcom poskytovateľa digitálnej služby ja právnická osoba, ktorá má sídlo v Slovenskej republike alebo fyzická osoba - podnikateľ, ktorá má miesto podnikania v Slovenskej republike...“. 51. V § 22 ods. 2 navrhujeme pred slovo „službu“ vložiť slovo „digitálnu“ 52. V § 23 je potrebné slovo „určených“ nahradiť slovom „ustanovených“. 53. V § 24 ods. 1 odporúčame slovo „identifikuje“ nahradiť slovami „je povinný identifikovať, že ide o“. 54. V § 24 ods. 2 odporúčame za slovo „povinný“ doplniť slovo „bezodkladne“, respektíve inú vhodnú lehotu. 55. V § 24 ods. 3 sa odkazuje na hlásenie podľa odseku 1, pričom odsek 1 hlásenie neupravuje; z uvedených ustanovení tiež nie je zrejmé, komu a kedy sa má hlásenie podľa odseku 1 zasielať. 56. V § 24 ods. 4 odporúčame slovo „Pokiaľ“ nahradiť slovom „Ak“, za slovo „incidentu“ odporúčame doplniť slová „podľa odsekov 1 a 2 ?“ a slová „alebo c)“ navrhujeme nahradiť slovami „alebo písm. c)“. Primerane odporúčame spresniť aj § 25. 57. V § 27 ods. 5 odporúčame slovo „bez zbytočného odkladu“ nahradiť slovom „bezodkladne“. Ide o zosúladenie pojmu s predchádzajúcimi ustanoveniami návrhu zákona. 58. V § 28 ods. 4 odporúčame spresniť pojem „zverejnením“; ak ide o zverejnenie podľa § 10 (v Jednotnom informačnom systéme kybernetickej bezpečnosti), odporúčame v odseku 4 odkázať na § 10. Slovo „prehlásením“ je potrebné nahradiť slovom „vyhlásením“. Obyčajná pripomienka Odoslaná 15.6.2017 Detail
NBS (Národná banka Slovenska) 69. Označovanie jednotlivých príloh je potrebné upraviť v súlade s bodom 15 Prílohy č. 1 k Legislatívnym pravidlám vlády Slovenskej republiky. Obyčajná pripomienka Odoslaná 15.6.2017 Detail