Pred 15 mesiacmi, 1.januára 2016, dostalo Slovensko svoju prvú Národnú autoritu pre kybernetickú bezpečnosť (ďalej „Národná autorita“). Pre úplnosť pripomeňme, že Národná autorita nezačínala úplne od nuly, keďže 17. júna 2015 vláda schválila základný inštitucionálny rámec, t.j. Koncepciu kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020 (ďalej „Koncepcia“), niečo neskôr bol (novelou zákona o organizácii činnosti vlády a organizácii ústrednej štátnej správy) Národný bezpečnostný úrad (NBÚ) formálne ustanovený za Národnú autoritu a tiež formálne zriadený výbor pre kybernetickú bezpečnosť Bezpečnostnej rady Slovenskej republiky. Do konca roka 2015 bol tiež pripravený aj Štatút Komisie pre kybernetickú bezpečnosť či návrh Akčného plánu realizácie Koncepcie kybernetickej bezpečnosti (ďalej „Akčný plán“). Aj prvé tri mesiace existencie Národnej autority prispeli k posunu vnímania kybernetickej bezpečnosti na Slovensku, keď po voľbách v marci 2016 bola do Programového vyhlásenia vlády SR zaradená samostatná časť „Informačná a kybernetická bezpečnosť“. V ďalšom sa pozrieme (len na základe informácií z verejne dostupných zdrojov), ako počas ďalších 12 mesiacov Národná autorita nadviazala na takýto sľubný vývoj oblasti kybernetickej bezpečnosti na Slovensku.
Už spomenuté Programové vyhlásenie vlády stanovilo v oblasti kybernetickej bezpečnosti pre obdobie 2016 – 2020 tri kľúčové úlohy, medzi nimi „Vytvoriť národný legislatívny rámec, ktorý bude… zabezpečovať rozvoj a udržateľnosť znalostnej spoločnosti a hospodárstva z pohľadu kybernetickej bezpečnosti“, čo predovšetkým znamená prijatie tzv. Zákona o kybernetickej bezpečnosti (ďalej „ZKB“). Takáto úloha nemohla NBÚ prekvapiť – veď už v polovici r. 2015 (teda pred formálnym ustanovením Národnej autority) v prezentácii projektového zámeru pre národné projekty Operačného programu Výskum a inovácie NBÚ avizoval „do konca februára 2016 návrh Zákona o kybernetickej bezpečnosti“. Akčný plán toto upresnil, keď v úlohe č. 2.1 ukladá Národnej autorite „Pripraviť návrh zákona o kybernetickej bezpečnosti a predložiť ho do formálneho legislatívneho procesu“ s termínom 06/2016 a predložiť návrh ZKB na rokovanie vlády s termínom 09/2016. Aj Plán legislatívnych úloh vlády (PLÚ) na mesiace jún až december 2016 uvádza ZKB v termíne september 2016. Úloha pre Národnú autoritu i termíny boli teda včas známe, aká bola realita?
Zo záznamu 1. rokovania Komisie pre kybernetickú bezpečnosť (ďalej „Komisia“) z konca apríla 2016 vyplýva, že v tom čase mal NBÚ vypracovanú minimálne štruktúru ZKB a tiež „bola deklarovaná snaha o čo najintenzívnejšie zapojenie členov Komisie do prác na tvorbe ZKB“. V termíne, v ktorom mal byť podľa Akčného plánu návrh ZKB predložený do legislatívneho procesu, konkrétne začiatkom júna 2016, Národná autorita zverejnila len Predbežnú informáciu k návrhu zákona o kybernetickej bezpečnosti. Podľa nej by ZKB mal upraviť
V bližšie nezistenom čase (jar-leto 2016) došlo v NBÚ k personálnej zmene na pozícii šéfa sekcie zastrešujúcej kybernetickú bezpečnosť (zároveň predseda Komisie). Zo záznamu z 2. rokovania Komisie (už s novým predsedom, začiatkom septembra 2016) sa dá usúdiť, že predtým deklarovaná snaha o čo najintenzívnejšie zapojenie členov Komisie do prác na tvorbe ZKB sa zrejme nekonala. Čo je zaujímavé, nový predseda Komisie v tom čase (teda v čase, kedy podľa Akčného plánu i PLÚ mal byť ZKB predložený na rokovanie vlády) predpokladal predloženie návrhu ZKB na medzrirezortné pripomienkové konanie v novembri a predloženie na rokovanie vlády do konca decembra 2016. Nestalo sa.
V polovici februára 2017 usporiadal NBÚ workshop, na ktorom sa jeho účastníci dozvedeli, že na návrhu ZKB sa neustále pracuje, že verzia návrhu, ku ktorej sa prípadne dostali, medzitým bola, prípadne bude, s veľkou pravdepodobnosťou zmenená. Nedozvedeli sa termín, kedy bude návrh ZKB predložený na pripomienkové konanie. Zato sa dozvedeli, že ZKB sa obsahovo obmedzí len na transpozíciu tzv. NIS Direktívy EÚ 2016/1148. Ako dôvod sa uviedla snaha dodržať termín pre transpozíciu tejto Direktívy do slovenskej legislatívy (pre zaujímavosť – článok 25 Direktívy uvádza 9. máj 2018 ako termín, dokedy majú byť ustanovenia NIS Direktívy zapracované do národných legislatív členských štátov EÚ). Ďalšie informácie o stave prác na ZKB sa mi zatiaľ nepodarilo dohľadať, v čase písanie tohto textu sa na webe Slov-lex návrh ZKB nenachádzal.
Tak si to zhrňme:
Národná autorita je síce formálne ešte mladá, ale pracujú v nej aj ľudia, pre ktorých kybernetická/informačná bezpečnosť nie je žiadnou novinkou, majú skúsenosti i preukázateľné výsledky. Vyššie zhrnuté „výsledky“ pôsobenia Národnej autority preto podľa mňa indikujú vážne manažérske zlyhanie vedenia Národnej autority. Zásadná zmena filozofie pripravovaného ZKB tiež indikuje rezignáciu na vlastnú ucelenú víziu pre oblasť kybernetickej bezpečnosti, čím posúva Slovensko do nedôstojnej pozície bezradného, nesamostatného prívesku, ktorého Národná (vraj) autorita dokáže urobiť len to, čo „Brusel“ predpíše. Škoda. Pritom pred 15 mesiacmi to tak vôbec nevyzeralo …