Pán predsedajúci, pán minister, dámy a páni, ďakujem za slovo, idem vystúpiť už druhýkrát k tomuto návrhu zákona. Včera v rozprave v prvom čítaní sme rozprávali vôbec o kontexte, zmysle, dôsledkoch želaných alebo neželaných, o tom, že tento zákon prehlbuje dvojkoľajnosť medzi bezpečnosťou informačných technológií v gescii ministra MIRRI a potom zákonom o kybernetickej bezpečnosti z dielne Národného bezpečnostného úradu. Dnes chcem viac...
Pán predsedajúci, pán minister, dámy a páni, ďakujem za slovo, idem vystúpiť už druhýkrát k tomuto návrhu zákona. Včera v rozprave v prvom čítaní sme rozprávali vôbec o kontexte, zmysle, dôsledkoch želaných alebo neželaných, o tom, že tento zákon prehlbuje dvojkoľajnosť medzi bezpečnosťou informačných technológií v gescii ministra MIRRI a potom zákonom o kybernetickej bezpečnosti z dielne Národného bezpečnostného úradu. Dnes chcem viac hovoriť o tom, čo je teda predmetom tohto zákona, ako riešiť túto dvojkoľajnosť, aj preto na konci prednesiem pozmeňujúci návrh a chápte teda toto vystúpenie zároveň aj ako konkrétne zdôvodnenie tohto pozmeňujúceho návrhu. Rozprávame teda o vládnom návrhu zákona, ktorým sa mení a dopĺňa zákon č. 95/2019 o informačných technológiách vo verejnej správe.
Podľa dôvodovej správy je cieľom návrhu zákona zabezpečiť úpravy a doplnenia, ktoré reflektujú na aplikačné problémy v praxi súvisiace s výkladom niektorých ustanovení zákona, napríklad pri určovaní správcu informačnej technológie verejnej správy alebo pri predkladaní projektových výstupov. Zároveň sa návrhom zákona reflektuje na zmeny v pojmovom nastavení, ktoré priniesol zákon č. 366/2024, ktorým sa mení a dopĺňa zákon č. 69/2018 práve o kybernetickej bezpečnosti z dielne Národného bezpečnostného úradu. Napríklad sa vypúšťa definícia pojmu základná služba a zadefinováva sa pojem poskytovateľ základnej služby. Teda potom sa tieto zákony budú týkať aj, a týkajú sa už, aj poskytovateľov služieb, čiže môžu to byť aj eseróčky, malé podniky, ktoré dodávajú nejakú službu v oblasti IT. Navrhuje sa aj sprísnenie sankcií za tieto delikty.
Prečo hovorím a citujem z tejto dôvodovej správy? Nuž, preto, lebo v rozprave sme sa aj včera venovali plánu obnovy a odolnosti, míľniku, aj pán minister dnes v úvodnom slove hovoril o životných situáciách, o jednej z nich, o vytvorení platformy. Hovorili sme o tom, že sú štyri mesiace do ukončenia aktivít POO a že na tento účel sa teraz otvára kasa na... (Prerušenie vystúpenia predsedajúcim.)
Danko, Andrej, podpredseda NR SR
Prosím, kľud, páni poslanci.
Horecký, Ján, poslanec NR SR
...minutie 100 miliónov eur. Vzhľadom na to, že informačné technológie z objektívneho dôvodu – nechcem tu vnášať žiadne konšpiračné podozrenia – ale sú objektívne hádam najväčším traťovodom peňazí a tie objektívne dôvody sú takéto: naozaj treba inovovať a technológie idú dopredu, takže je tu tlak na to, aby sa stále obstarávalo niečo ďalšie. Zároveň málokto naozaj rozumie analyticky tomu, čo sa zadáva, čo sa obstaráva a vie komunikovať na takej úrovni, že nekúpime zo štátnych alebo verejných prostriedkov, alebo európskych peňazí niečo, čo nepotrebujeme, a nebudeme mať niečo, čo potrebujeme. Toto je bežná prax ľudí, ktorí užívajú vo verejnej a štátnej správe takto obstarané systémy. Zažívame to aj v takých bežných, každodenných oblastiach života, ako je školstvo. Včera som o tom tiež hovoril, o paralele s e-prihláškami, ktorá vybudovala zatiaľ za 10 miliónov eur niečo, čo nám život komplikuje, čo sme nepotrebovali, oproti tomu, čo máme plne funkčné a excelentné a rozšírené v 200 krajinách sveta.
Takže upozorňovali sme včera aj na toto riziko a dnes, keď som citoval z dôvodovej správy, tak ste znovu počuli, že sa v dôvodovej správe nehovorí o pláne obnovy a odolnosti, o míľnikoch, nehovorí sa tu o 100-miliónovej alokácii na tento účel, ani o zostávajúcom čase, ani o tom, čo sa dá v takom krátkom čase vybudovať, obstarať, čo sa dá – tak to poviem – minúť, veľa peňazí neúčelne, skratkovite pod časovým tlakom a to nie je dobrý nápad a už vôbec nie nejaké očakávané kroky od štátu, ktorého vládna koalícia deklaruje konsolidáciu už tretieho balíčka.
Návrh zákona však skutočne niekoľkými legislatívno-technickými úpravami reaguje na zmeny v zákone 69 o kybernetickej bezpečnosti a precizuje, ako bolo povedané v úvodnom slove, kompetencie napríklad vládnej jednotky CSIRT, celkovo však prehlbuje dvojkoľajnosť, ktorá veľmi draho dopadá na celú verejnú správu. Lebo naozaj po jednej koľaji ide Národný bezpečnostný úrad a po druhej MIRRI. Poviem vám to na jednom konkrétnom príklade. Návrh vyhlášky MIRRI ku tejto novele, o ktorej dnes rokujeme, obsahuje 183 bezpečnostných opatrení pre organizácie a riadenie kybernetickej bezpečnosti a informačnej bezpečnosti. Vyhláška NBÚ, ktorá bola prijatá – vyhláška o kybernetickom audite, teda o audite kybernetickej bezpečnosti, ktorá bola prijatá v septembri 2025, je účinná teda pol roka – obsahuje 151 bezpečnostných opatrení pre oblasť kybernetickej bezpečnosti podľa zákona z NBÚ. MIRRI teraz za peniaze z PO školí manažérov kybernetickej bezpečnosti, avšak celá verejná správa musí mať podľa zákona o NBÚ manažéra informačnej bezpečnosti a kybernetickej bezpečnosti. V praxi to vyzerá tak, že keď musíte mať manažéra bezpečnosti informačných technológií a musíte si objednávať audit, idete podľa zákona, teda nie, pardon, teraz som zmiešal dve veci, opravím sa. Keď musíte v praxi podľa zákona o kybernetickej bezpečnosti vykonávať raz za dva roky audit a mať manažéra kybernetickej bezpečnosti, tak idete podľa zákona NBÚ, ktorý vám ukladá trojciferný počet opatrení, krokov, procesov, štrukturálnych povinností, ktoré musí každá organizácia verejnej správy splniť. Ak idete podľa zákona o informačných technológiách, o ktorom dnes rokujeme, musíte mať manažéra bezpečnosti informačných technológií a iný súbor 183 opatrení, ktoré nie sú zladené. Mali by ste mať teda manažéra informačnej bezpečnosti a manažéra kybernetickej bezpečnosti. Takáto pozícia neexistuje, žiaden zákon, ktorý by harmonizoval alebo vykonávacia vyhláška tieto dva zákony a predpisy, nie je. Preto v každej organizácii verejnej správy a štátnej správy ľudia pociťujú túto dvojkoľajnosť, znamená to nároky zvýšené na zamestnávanie ľudí, na procesy a pritom riešime tú istú vec, takmer tú istú vec. Vie tu v tejto sále niekto zodpovedať otázku, aký je rozdiel medzi bezpečnosťou kybernetickou alebo kybernetickou bezpečnosťou a bezpečnosťou informačných technológií? Vie to niekto presne rozlíšiť, že to je niečo úplne radikálne iné, čo vyžaduje dve odlišné zákonné úpravy a sadu vyhlášok? Takže navyše každému je snáď jasné, že neexistuje kybernetické či bezpečnostné ohrozenie inde než v priestore informačných technológií a opačne. Že informačné technológie, ktoré nám majú pomáhať, sú samozrejme aj zraniteľné, ako sme to videli pri katastri, alebo potenciálne zneužiteľné, a preto sa tu vyžadujú určité regulácie a opatrenia. Ale, ako som už povedal na začiatku, a tým, nech sa ten obraz trošku spája, je to príležitosť na nesprávne, a nebudem podsúvať zlé úmysly nikomu, na nesprávne užitie, neefektívne užitie peňazí, ktoré nieže ako keď sa naleje niekde betón z projektu, ktorý nikto nepotrebuje, môže len zavadzať, ale tu môže aj škodiť. Škodiť tým, že zväzuje ruky úradom, úradníkom, zamestnáva ich vecami, ktoré sú duplicitné, triplicitné a ktoré nie sú tým pádom efektívne urobené. Podľa
=====
-----------------------------------------
Ale tu môže aj škodiť. Škodiť tým, že zväzuje ruky úradom, úradníkom, zamestnáva ich vecami, ktoré sú duplicitné, triplicitné a ktoré nie sú tým pádom efektívne urobené.
Podľa návrhu tejto novely zákona bude MIRRI vykonávať kontrolnú činnosť v rámci informačných technológií verejnej správy na úseku kybernetickej bezpečnosti vo väčšom rozsahu. Štátna a verejná správa je však povinná platiť si pravidelné audity kybernetickej bezpečnosti podľa iného zákona, rádovo 7- až 10-tisíc eur každé dva roky a predkladať ich NBÚ a podrobovať sa kontrole NBÚ podľa všeobecne záväzných a vykonávacích predpisov NBÚ. MIRRI ako ústredný orgán štátnej správy však chce vykonávať štátnu správu vrátane kontrolnej činnosti v podsektoroch vo svojej pôsobnosti, najmä vo vzťahu k opatreniam na zabezpečenie úrovní kybernetickej bezpečnosti a za účelom zabezpečenia agendy a rozšírenia tejto agendy o kontrolnú činnosť podľa plánovanej novely zákona č. 69/2018 o kybernetickej bezpečnosti. Prečo potom teda nepočkáme na tú novelu zákona o kybernetickej bezpečnosti? A prečo sa nepokúsime urobiť jeden vykonávací predpis, vyhlášku, ktorá harmonizuje obidva zákony a ktorá dá jeden návod pre orgány verejnej a štátnej správy, ako správne postupovať a zabezpečiť kybernetickú a informačnú bezpečnosť? Prečo to riešime duplicitne a riešime to skôr a neharmonizovane, než tu prídu obidva tieto legislatívne návrhy do Národnej rady?
Nuž, ako opozičný politik, ktorý chce robiť konštruktívne užitočnú prácu, je toto presne moje odporúčanie a odporúčanie Kresťanskodemokratického hnutia. Nerobte tak, že ľavá ruka nevie, čo robí pravá. Teraz minieme 100 miliónov eur na niečo, na čo sa budú musieť všetky orgány verejnej moci, verejná správa, štátna správa adaptovať, zapracovať to do svojich poriadkov, zapracovať to do svojich procesov, teda pridáme tým úradníkom prácu, tým úradníkom, ktorých počet chcete regulovať. A potom príde zákon 69 o kybernetickej bezpečnosti a bude znovu ukladať ďalšiu vrstvu zložitosti na tieto procesy. To je múdre a efektívne spravovanie štátu. Pritom samotné MIRRI predpokladá zabezpečenie tejto agendy dvomi ďalšími odborníkmi na svojom ministerstve a zabezpečenie príslušného technického vybavenia, pričom rozpočtovo je uvedené, kryté v kapitole MIRRI. Nuž, ale podľa stanoviska komisie pre posudzovanie vybraných vplyvov v rámci predbežného pripomienkového konania táto komisia nesúhlasí so zvýšením limitu počtu zamestnancov kapitoly MIRRI o dvoch interných zamestnancov oddelenia kontroly a správneho konania kybernetickej bezpečnosti a s tým spojeným zvýšením osobných výdavkov v sume 70 217 eur v roku 2025 a v sume 105 326 eur od roku 2026. Možno si poviete, prečo tu hovorím o rádovo 100-tisícoch eurách nárastu ročne, keď to je naozaj pakatel z pohľadu štátneho rozpočtu. Ale pozor, MIRRI má veľa kompetentných zamestnancov, ktorí riešia práve tieto záležitosti. A orgány verejnej moci, verejná správa, štátna správa nemá také personálne vybavenie, ako má MIRRI, preto sa dá správne predpokladať, a to je aj rozpor, ktorý je v tejto dôvodovej správe a jej prílohách, že bude aj verejná správa musieť angažovať ďalších ľudí, ďalšie úväzky, a teda sa bude multiplikovať ten náklad, ktorý len na MIRRI robí tých 100-tisíc ročne.
KDH teda upozorňuje na to, že ak MIRRI pre túto agendu vyžaduje navýšenie počtu zamestnancov na ministerstve, tak štát naozaj musí počítať s tým, že sa počet zamestnancov potrebných pre rozšírenie tejto agendy v štáte zmnohonásobí. Preto v analýze vplyvov na rozpočet verejnej správy, na zamestnanosť vo verejnej správe a financovanie návrhu sa nesprávne uvádza, že vplyv na počet zamestnancov obcí a ostatných subjektov verejnej správy je nulový. Nie je. Niekto bude musieť tú prácu urobiť. A opakovane znovu a znovu v meniacich sa podmienkach. Preto je aj v záujme konsolidácie je rozumné s týmto návrhom novely zákona počkať na konečné znenie plánovanej novely zákona 69/2018 o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v neskorších predpisoch.
Takže na záver odporúčam konštruktívne zladiť, pracovať na zladení dvoch noriem a odstránení dvojkoľajnosti až triplicity, ktorú generuje nezávislý postup Národného bezpečnostného úradu, zákona o kybernetickej bezpečnosti a zákona o informačných technológiách verejnej správy, o ktorom dnes rokujeme, pretože obidva tie zákony prinášajú vyhlášky so stovkami inak štruktúrovaných a iných procesných povinností a opatrení pre orgány verejnej moci, verejnú správu. Táto dvojkoľajnosť je drahá, nemôžeme si ju dovoliť, zvyšuje umelo zamestnanosť, náklady štátu a verejnej správy a nakoniec aj komplikuje efektívne riadenie kybernetickej a informačnej bezpečnosti. Preto teraz prečítam pozmeňujúci návrh.
Pozmeňujúci návrh poslanca Národnej rady Slovenskej republiky Jána Horeckého k vládnemu návrhu zákona, ktorým sa mení a dopĺňa zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony, tlač 1080.
Znenie čl. IV sa mení a znie: „Tento zákon nadobúda účinnosť 1. januára 2027.“
Ďakujem, pán predsedajúci, skončil som.
Skryt prepis
