Vlákno názorů k článku Regulace podle NIS2: Co dva roky čeká velké podniky audit kybernetické bezpečnosti od RRŠ - Tedy, chápu, že do přísnějšího režimu spadnou spíše...
-
Tedy, chápu, že do přísnějšího režimu spadnou spíše velké korporace, ale při úředníky oblíbeném extenzivním výkladu to klidně dopadne i na menší firmu o pár zaměstnancích, spravující kousek Internetu - a pak ty povinnosti budou neúměrně drahé a povinný audit může takovou firmu klidně úplně porazit (což bude zaručeně ku prospěchu a zvýší se tím bezpečnost jejich infrastruktury:
co je vypnuté, to je v naprostém bezpečí
). -
Kdokoliv dneska už má ISO 27 001, ISO 20 000 (a vzdáleně i ISO 9001 kvůli procesu identifikace a auditu), tak pro něj NIS2 není tak velký zásah (orientačně) a jde jen o úpravy procesů, které ale již v nějaké podobě existují. Tak i příprava vypadá u mých klientů.
Komplikace to bude ale pro společnosti, které to zatím dělaly na koleni či vůbec. Za mě je velice kritické to, že do "přísnějšího režimu" se asi dostaneš i jako dodavatel někoho kritického, což je právě věc, která je velký problém pro mě a moji firmu. Ty investice odhadujeme na asi 3 mio a roční náklady kolem 1 mio. To se bavíme o firmě s zaměstnanci a několika externisty na projektech.
Nešikovné, že o spádovosti rozhoduje stejný úřad, který to také řeší.
-
Ja bych pri tomhle mozna i pockal s tim hodnocenim, na koho vsechno to dopadne. Ted primarne uvidime, jak se na NUKIBu poperou s pripominkami - ostatne vcera publikovany sumar od APMS dava tusit, ze to s obhajobou jednoduche mit rozhodne nebudou :-)
-
Vsak on ten "audit" bude vypadat presne stejne jako vse ostatni i v tech velkych firmach. Jednoduse proto, ze chci videt jak nekdo s nadsenim vynaklada miliony (coz je spis cena pri zemi).
Takze to bude vypadat tak, ze se sepise stoh papiru, cim masivnejsi tim lepe, on stejne nikdo nikdy nebude schopen overit, jestli to co je tam napsano odpovida realite.