Vlákno názorů k článku Regulace podle NIS2: Bez nových pravidel hrozí miliardové škody denně od MarekM - Cílem pojišťovny je plnit minimálně, tedy pojistí vás...

Cílem pojišťovny je plnit minimálně, tedy pojistí vás v případě, když uvidí, že jste udělal co jste podle smlouvy měl a na problém není výjimka nebo výjimka z výjimky. A zároveň vás nepojistí, když zjistí, že máte v IT chlív. Nebo pojistí a nebude plnit ;-)

Segmentujete síť? Máte management identit? Máte NGFW? Zálohujete? Aktualizujete? Máte procesy na disaster recovery? Vedete dokumentaci? Školíte management a zaměstnance? Pokud ano, máte velkou šanci na plnění pojistky.

Např. jedna pojišťovna má v podmínkách taková ustanovení:

Pojistník je povinen dodržovat technické a další normy včetně předpisů vztahujících se na provoz pojistníka nebo pojištěného, vést prokazatelnou dokumentaci, udržovat provoz v dobrém technickém stavu,

Pojistník je povinen zálohovat svoje data minimálně jednou za týden,

Pojistník je povinen nainstalovat, mít nepřetržitě aktivovaný a automaticky aktualizovat přiměřený profesionální software na ochranu proti malware na
svých počítačových systémech,

Pojistník je povinen chránit svoje počítačové systémy a počítačovou síť před kybernetickými incidenty, jako například aktualizací hesel, konfigurací
a firewall, v opačném případě není pojistitel povinný poskytnout pojistné plnění

atd.

Inu pisou to urednici coby sve teoreticke cviceni a praxi jsou vicemene nepolibeni. Realita bude jina... ti, co to resi dnes s tim neprestanou... a ti, co na to kaslou a hledaji skuliny si nejakou tu skulinu najdou. S ohledem na zpusob pojeti legislativy to bude presne v duchu, ze papir snese vsechno... a zkoumani faktickeho stavu nebude v silach kontrolniho organu ;-)

čtu RIA a nestačím se divit, celý text se točí kolem toho, že firmy svoje IT mohou zabezpečit pouze díky novému ZoKB a nikoliv bez něj. Stejně tak najednou se tady meziřádky mluví o tom, že ZoKB vyřeší bezpečnost, přitom NIS2 nic takového raději netvrdí, cíl je sjednotit postupy a nastavit jasná kritéria pro posouzení, na to třeba čekají zmíněné pojišťovny. Co v textu nevidím je právě důvod, proč pojistky proti selhání IT (chyby, incidenty atd.) nepojistitelné, nelze totiž snadno kvantifikovat stav zabezpečení. Prošel jsem si několika řízeními a jednáními s pojišťovnami, často to končí kroucením hlavy.