Medzirezortné pripomienkové konanie k návrhu Zákona o kybernetickej bezpečnosti (ZKB) skončilo, Národný bezpečnostný úrad (NBÚ) ako predkladateľ v ňom dosiahol vskutku pôsobivé skóre – 706 pripomienok, z toho tretina (236) zásadných. Pri čítaní vznesených pripomienok som si uvedomil, že hoci štátnu správu, resp. jej jednotlivé inštitúcie, bežne kritizujeme, len málokedy ich chválime – a prinajmenšom v tomto prípade je to škoda. Na chválenie NBÚ pritom nie je ani najmenší dôvod.
Ak dáme bokom pripomienky ku gramatike či štylistike (veľká časť bežných pripomienok), dá sa v pripomienkovom konaní očakávať, že jednotlivé inštitúcie budú v zásadných pripomienkach reagovať predovšetkým na ustanovenia, ktoré zasahujú do ich kompetencii, či im ukladajú povinnosti, s ktorými sa nestotožňujú. V prípade ZKB ma preto príjemne prekvapilo, že viaceré z pripomienkujúcich inštitúcií reagovali zásadnými pripomienkami aj na tie ustanovenia, ktoré sa ich priamo nedotýkali, zato však vytvárali pre NBÚ priestor pre nekontrolované nakladanie s verejnými financiami, zastrašovanie kontrolovaných subjektov, či mu bezdôvodne udeľovali právomoci zasahovať do činnosti kontrolovaných subjektov bez akejkoľvek zodpovednosti za dôsledky takého zasahovania.
Konkrétne, návrh ZKB v § 6 ods.2 umožňoval NBÚ uzavierať s fyzickou alebo právnickou osobou dohody o spolupráci, pričom bez akéhokoľvek odôvodnenia mali byť vyňaté z okruhu povinne zverejňovaných zmlúv. Nad neskrývanou snahou obisť verejnú kontrolu nakladania so štátnymi peniazmi sa pozastavilo viacero pripomienkujúcich, osobne sa mi asi najviac páčila pripomienka Ministerstva spravodlivosti, ktoré o.i. jasne uviedlo, že „nevidí spoločensky legitímny dôvod (napr. opatrenia v demokratickej spoločnosti nevyhnutné na ochranu práv a slobôd iných, bezpečnosť štátu, verejného poriadku, ochranu verejného zdravia a mravnosti), aby verejnosť nemohla spoznať obsah zmluvy s fyzickou osobou alebo právnickou osobou, ktorá by sa uzatvorila na účely zabezpečenia plnenia úloh podľa zákona o kybernetickej bezpečnosti. Zabezpečenie sietí a informačných systémov kybernetickou bezpečnosťou si vyžaduje nemalé verejné prostriedky vynakladané verejným sektorom a preto máme za to, že by zmluvné plnenia ako aj ich cena mala byť prístupná verejnosti.“
Viaceré inštitúcie si tiež všimli, že niektoré ustanovenia § 29 ZKB (Kontrola), bez riadneho odôvodnenia udeľovali NBÚ v demokratickej spoločnosti nebývalé právomoci. Napríklad „vstupovať do komunikačných a informačných systémov do úrovne správcu systému, vrátane oprávnenia dočasne zmeniť hardvérovú alebo softvérovú konfiguráciu“ (§ 29 ods. 6) či udeľovať poriadkové pokuty zamestnancom kontrolovaného subjektu za vágne vymedzené „sťaženie výkonu kontroly alebo za marenia výkonu kontroly“. V prvom prípade (oprávnenie zasahovať do „živých“ systémov, ktoré NBÚ pochopiteľne nemôže dostatočne poznať) ide o tak zrejmé bezpečnostné riziko, že je snáď namieste pýtať sa, či subjekt, ktorý sa domáha takéhoto oprávnenia, je naozaj spôsobilý odborne zastrešiť kybernetickú bezpečnosť na Slovensku. A ako pre druhý prípad pekne poukázalo Ministerstvo financií, ustanovenia o udeľovaní poriadkových pokút „priznávajú úradu neprimerané kompetencie (napríklad zastrašovať kontrolované subjekty alebo pokutovať pracovníkov z objektívnych dôvodov neprítomných na pracovisku). Tieto, v demokracii neakceptovateľné, ustanovenia je možné využívať na vyvíjanie nátlaku voči zamestnancom a narušovať interné riadiace procesy v organizácii.“
Bude zaujímavé sledovať, ako bude vyzerať návrh ZKB po ukončení vyhodnotenia pripomienkového konania. A možno sa v budúcnosti nájde aj subjekt, ktorý by vhodným „pochvalným uznaním“ oceňoval štátne inštitúcie, ktoré sa v pripomienkovom konaní neobmedzia len na svoje vlastné záujmy.