Ďakujem za slovo, pán podpredseda. Vážené panie poslankyne, páni poslanci, máme síce štyri minúty do obednej prestávky, ja to skúsim zhrnúť čo najrýchlejšie vzhľadom na to, že aj pán podpredseda potrebuje potom odísť. Keby som potreboval trošku dlhšie hovoriť, tak by som vás poprosil, že by ste mi dovolili aj pár minút po prestávke, aby sme tu zbytočne nenaťahovali, aby sme mohli pokračovať každý vo svojom programe.
Na úvod k tomuto...
Ďakujem za slovo, pán podpredseda. Vážené panie poslankyne, páni poslanci, máme síce štyri minúty do obednej prestávky, ja to skúsim zhrnúť čo najrýchlejšie vzhľadom na to, že aj pán podpredseda potrebuje potom odísť. Keby som potreboval trošku dlhšie hovoriť, tak by som vás poprosil, že by ste mi dovolili aj pár minút po prestávke, aby sme tu zbytočne nenaťahovali, aby sme mohli pokračovať každý vo svojom programe.
Na úvod k tomuto návrhu zákona chcem povedať to, čo som aj povedal vo faktickej poznámke. Bol som trošku znepokojený, keď sme minulú schôdzu odložili návrh tohto zákona o jeden mesiac ďalej, pretože som presvedčený o tom, že sme kľudne mohli prerokovať tento návrh zákona v prvom čítaní (reakcie z pléna, ruch v sále.), nestratili by sme zbytočne jeden mesiac. (Zaznievanie gongu.) Pričom by sme kľudne mali dostatočnú časovú rezervu na prípadné rokovania o vylepšovaní tohto návrhu zákona, ale to len k formálnym procesom schvaľovania tohto zákona. (Prerušenie vystúpenia predsedajúcim.)
Grendel Gábor, podpredseda NR SR
Kolegovia, poprosím vás, aby ste nevyrušovali pána poslanca Beluského. Ďakujem.
Beluský, Martin, poslanec NR SR
Všetci páni poslanci aj panie poslankyne ešte minulú schôdzu dostali do mailovej schránky list od organizácie Slovensko.digital a Zastavme korupciu, v ktorom nás žiadajú, aby sme tento návrh zákona stiahli z rokovania, pretože tam vidia zásadné nevyriešené riziká.
Oni vlastne napádajú tri navrhované mechanizmy. Jeden sa týka toho, že NBÚ môže z vlastného podnetu alebo na návrh kohokoľvek zvonku uložiť povinnosť blokovať určitý softvér alebo komunikáciu. Druhá vec sa týka automatizovaného poskytovania informácií a tretie sa týka toho, že NBÚ môže z vlastného podnetu zakázať používať určitý hardvérový alebo softvérový produkt, proces alebo službu.
Po tom, čo som si prečítal podrobne tento list, aj som si tam vypočul niektoré pripomienky niektorých konkrétnych koaličných poslancov, tak mal som skôr pocit, že sa rozprávajú, aj tento list pripomienkuje návrh zákona, ktorý bol ešte vo verzii, ktorá bola predložená do pripomienkového, medzirezortného pripomienkového konania, pretože tá verzia toho zákona, ktorá vyšla von z neho, mala už všetky tieto nezrovnalosti vyriešené. A ja som takisto mal viacero závažných pripomienok. Rokovali sme aj o tomto návrhu zákona aj na našom výbore na kontrolu činnosti NBÚ a som presvedčený o tom, že výsledok toho zákona, ako je predložený teraz v prvom čítaní, ako ho predkladá pán podpredseda vlády, je v stave, aby sme ho mohli bez problémov prerokovať aj v druhom čítaní.
Ako som hovoril, prešiel tento zákon riadnym pripomienkovým konaním, bez prieťahov boli pri ňom vedené rozporové konania a všetkým zainteresovaným subjektom boli zaslané vyhodnotenia ich pripomienok spolu s vysvetleniami aktuálnymi, pracovnými verziami návrhu zákona. Bolo tam 381 pripomienok, z toho zásadné pripomienky od povinne pripomienkujúcich subjektov bolo 122. NBÚ akceptoval približne polovicu z nich, čiastočne akceptoval 15 a rozpor odstránil obe strany v 19 prípadoch a predkladateľ nevyhovoval 31 pripomienkam, pričom takmer polovica z nich bola od jediného subjektu. Keď sa novela zákona dostala na vládu, riešil sa už len jeden jediný rozpor a ten bol nakoniec tiež vyriešený. Všetky relevantné aj povinné subjekty mali svoju možnosť pripomienkovať návrhy novely a NBÚ sa venovala každej jednej výhrade, nápadu alebo úprave.
Dovoľte mi, aby som sa teraz trošku podrobnejšie vyjadril k pripomienkam, ktoré teda boli vznesené. Prvá pripomienka sa týka zavedenie inštitútu tzv. blokovania, ktorá v pôvodnom návrhu zákona nemala alebo teda chýbalo tam to, že by boli konkrétnym spôsobom zadefinované hlavne, čo je to škodlivý obsah a čo je to škodlivá aktivita, aby naozaj NBÚ nemohol svojvoľne nejakým spôsobom rozhodovať o tom, že sa zablokujú určité webstránky, domény alebo aplikácie. V súčasnom návrhu zákona máme už jasne zadefinované, že na účely blokovania sa škodlivým obsahom rozumie programový prostriedok alebo údaj, ktorý zapríčiňuje alebo môže zapríčiniť kybernetický bezpečnostný incident, a škodlivou aktivitou sa rozumie akákoľvek činnosť, ktorá zapríčiňuje alebo môže zapríčiniť kybernetický bezpečnostný incident, ako podvodná činnosť, odcudzenie osobných údajov alebo citlivých údajov.
K tomuto návrhu zákona je predložená aj vyhláška Národného bezpečnostného úradu, v ktorej sa ustanovujú pravidlá blokovania. Doporučujem si ju podrobne prečítať, pretože je tam veľmi podrobným spôsobom vysvetlené, čo sa môže blokovať. V krátkosti uvediem, sú to napríklad adresy sieťového protokolu, ktorý sa nachádza napríklad phishingova stránka alebo server, škodlivý kód alebo škodlivá aktivita, riadiaci server pre riadenie bodnetovej siete, útok typu distributed denial of servis tzv. DDoS útok, skenovanie, brute-force útoky alebo pokusy, pokusy o prieniky. Čo je dôležité povedať, že každému blokovaniu predchádza informovanie Národnej jednotky CSIRT teda Computer Security Incident Response Team, ktorý o zistení škodlivého obsahu na dotknutej doméne najprv bude vlastne informovať a umožní držiteľovi alebo prevádzkovateľovi domény odstránenie škodlivého obsahu z dotknutej domény v určenej lehote. Táto vyhláška konkrétnym spôsobom upravuje všetky tieto definície a keď si ju každý z vás prečíta, stratí akýkoľvek dojem alebo akékoľvek dojem z toho, že by tam mohol byť tento, toto blokovanie nejakým spôsobom zneužívané.
Druhá pripomienka sa týkala tzv. automatizovaného poskytovania informácií. V pôvodnom návrhu, ktorý bol ešte pred pripomienkovým konaním, bolo zadefinované, že na hlásenie kybernetických bezpečnostných incidentov alebo na zaistenie kybernetickej bezpečnosti je prevádzkovateľ základnej služby určený rozhodnutím úradu povinný zasielať automatizovaným spôsobom a v rozsahu ustanovenom v štandarde úradu určenej systémovej informácie zo sietí a informačných systémov.
To boli vznesené určité pripomienky, ktoré hlavne napádali to, že NBÚ môže získavať nejaké osobné údaje, utajované informácie a podobne. Dnešná novela zákona má veľmi dobre zadefinované toto automatizované poskytovanie informácií. V prvom rade NBÚ uloží prevádzkovateľovi, aby si sám vyhodnocoval výskyt komunikácie voči technickým identifikátorom a úrad bude len automatizovaným spôsobom o takomto výskyte oboznamovať. Pokiaľ to tento poskytovateľ základnej služby neurobí, tak potom mu môže úrad v primeranej lehote uložiť rozhodnutím, automatickým spôsobom zasielať informácie prevádzkovateľovi základnej služby.
Povinnosť podľa týchto odsekov 1 a 2 nie je možné uložiť, ak ide o siete a informačné systémy, ktoré sa týkajú zabezpečenia obrany alebo bezpečnosti Slovenskej republiky, to je veľmi dôležité a obsah komunikácie prepravovaných správ a tajom... a tajomstvá plnení povinností podľa odseku 1 a 2 nie je dotknuté. To znamená, že Národný bezpečnostný úrad vo svojich úlohách o oprávneniach o používaní informačno-technických prostriedkov nemôže byť spravodajskou činnosťou, nemôže spravodajskou činnosťou získavať informácie ako napríklad Slovenská informačná služba, nemôže v tomto kontexte zbierať žiadne osobné ani citlivé údaje a už vonkoncom nemôže niekoho odpočúvať. Explicitne to uvádza ten paragraf, ktorý som prečítal. NBÚ nemôže priamo zasahovať do žiadneho softvéru ani do komunikácie v sieti a budú môcť pracovať iba na úrovni technických identifikátorov a oprávnenia na zber obsahu komunikácie. Preto nevidím žiadny dôvod, aby sme nejakým spôsobom takto upravené novelizované, novelizovaný obsah nejakým spôsobom menili.
A posledná tretia pripomienka sa týkala možnosti obmedzenia používania produktu alebo služby. V pôvodnom znení návrhu zákona pred konaním bolo napísané iba, že rozhodnutím môže úrad zakázať alebo obmedziť prevádzkovateľovi základnej služby používať konkrétny produkt, proces alebo službu. Ak je to potrebné na zaistenie kybernetickej bezpečnosti alebo z dôvodov bezpečnostného záujmu Slovenskej republiky. S takto navrhnutým znením sme mali aj my problém, avšak novela zákona, ktorú teraz prerokúvame, má jasne zadefinované, že úradu neumožňuje alebo zásadným spôsobom, že takéto používanie, úrad môže rozhodnutím zakázať alebo obmedziť používanie konkrétneho produktu. Keď sa zistí, že takéto používanie neumožňuje alebo zásadným spôsobom sťažuje udržanie kybernetickej bezpečnosti, ohrozuje bezpečnostné záujmy Slovenskej republiky, ale hlavne úrad na konanie, vykoná vo vzťahu k produktu, procesu alebo služby analýzu rizika a požiada o vyjadrenie Bezpečnostnú radu Slovenskej republiky, to je veľmi dôležité, pričom môže predkladať Bezpečnostnej rade Slovenskej republiky odôvodnené návrhy. Od vyjadrenia bezpečnostnej rady sa úrad môže odchýliť len v prípadoch osobitného zreteľa a ďalej rozhodnutie úradu sa vyhlási zverejnením v Zbierke zákonov Slovenskej republiky, to znamená, je preskúmateľné a napadnuteľné súdom.
V druhom čítaní, mám teda informáciu, že budú aj tak predložené nejaké pozmeňujúce návrhy, že teda niektoré z týchto vecí, ktoré som tu vysvetľoval, aj tak odstránia. Napríklad to blokovanie, považujem za úplne zbytočné to odtiaľ vyhadzovať. Verím, že sa ešte za ten mesiac spraví nejaká odborná diskusia, aby sme naozaj tieto veci tak veľmi potrebné v tomto zákone nechali. Naozaj nevidím žiadny dôvod na to, aby sme tento návrh zákona nepresunuli do druhého čítania, a teda ako opozičný poslanec vás žiadam, aby ste tento vládny návrh zákona podporili.
Ďakujem pekne.
Skryt prepis