BRATISLAVA - Právomoci Národného bezpečnostného úradu (NBÚ) v oblasti kybernetickej bezpečnosti by sa mali posilniť. Škodlivý obsah alebo škodlivú aktivitu v kyberpriestore by po novom mohol úrad zablokovať. Zaviesť sa má aj všeobecná povinnosť poskytovať úradu súčinnosť. Vyplýva to z návrhu novely zákona o kybernetickej bezpečnosti z dielne NBÚ. V stredu ho schválila vláda.
V návrhu sa tiež spresňujú niektoré definície. Upraviť by sa mal aj procesný postup pri certifikácii kybernetickej bezpečnosti, a to v súlade s nariadeniami orgánov Európskej únie. NBÚ by preto napríklad mala pribudnúť povinnosť zverejňovať zoznam audítorov kybernetickej bezpečnosti. Zaviesť sa má všeobecná povinnosť poskytovať úradu súčinnosť v rámci kybernetickej bezpečnosti. "Prax ukázala, že bez adekvátnych praktických vstupov nie je možné realizovať výstupné činnosti úradu s požadovanou kvalitou tak, aby odzrkadľovali reálny stav," vysvetľuje NBÚ v materiáli. Subjekty majú informácie poskytovať na základe odôvodnenej žiadosti.
Inštitút blokovania má umožniť NBÚ pri riešení kybernetických incidentov zablokovať škodlivý obsah alebo aktivitu. Účelom má byť zvýšenie obranyschopnosti SR voči kybernetickým útokom na významné informačné systémy z externého prostredia (internetu), najmä voči šíreniu škodlivého kódu zo sietí infikovaných počítačov a šíreniu škodlivej aktivity z IP adresného rozsahu SR. Rozhodnutiu úradu o blokovaní sa musí každý povinný subjekt podriadiť. Navrhuje sa tiež zavedenie automatizovaného zasielania systémových informácií zo sietí a informačných systémov. "Hlásenie sa realizuje na rozhraní siete internet a siete prevádzkovateľa základnej služby," vysvetľuje úrad. Nedotknuteľnosť tajomstva a osobných údajov má zostať zachovaná. Pre predchádzanie pochybnostiam by mal úrad každoročne vypracovávať správu o ochrane osobných údajov.
NBÚ by mohol po novom zakázať alebo obmedziť prevádzkovateľovi základnej služby využívať konkrétny produkt, proces alebo službu z dôvodu bezpečnostných záujmov štátu a z dôvodu závažných okolností predpokladaných zákonom. Ako pripomína materiál, ide o krajné riešenie. "Platí, že obmedzenie alebo zákaz možno realizovať len na základe podrobnej analýzy rizík a len na základe vyjadrenia Bezpečnostnej rady SR," zdôrazňujú predkladatelia. Zrušiť by sa mala povinnosť ústredných orgánov zriadiť a prevádzkovať vlastnú akreditovanú jednotku CSIRT. Využívať by mali Národnú jednotku CSIRT.
Lehota na prijatie a dodržiavanie bezpečnostných opatrení v spravovaných a prevádzkovaných sieťach a informačných systémoch a vedenie príslušnej dokumentácie o uvedenom sa pre prevádzkovateľov základnej služby sa má predĺžiť zo šiestich na 12 mesiacov. Účinnosť novely zákona sa navrhuje od 15. apríla. Prijatím návrhu sa zároveň novelizujú súvisiace zákony, napríklad zákon o správnych poplatkoch, elektronických komunikáciách a informačných technológiách vo verejnej správe.