Názory k článku Regulace podle NIS2: Kyberzákon nabírá zpoždění, prověřování dodavatelů v něm zůstane
-
NIS2 je jako lejno, které rodinka našla ráno uprostřed obýváku. Má pouze 2 typy interaktivních hráčů. Batolata, která se v něm budou zvědavě a radostně hrabat a mazat to všude kolem a seniory, kteří už špatně vidí a po cestě k lednici o něj zakopnou. Ostatní by to nejraději vzali na lopatu a bezpečně uklidili pod koberec. Žijeme v divné době..
NIS2 je zbytečný a nebezpečný předpis. -
Zpozdeni ma NUKIB jeste vetsi. I ten listopad byl az druhy termin, puvodni vize byla, ze na vladu ta jejich transpozice NIS2 pujde uz v zari. Ono uz i puvodni termin pro podani pripominek se o 20 dni natahnul.
Pripravny proces se natahuje a pak se spechat se schvalenim ve Snemovne s argumentem, ze uz neni cas a hrozi sankce z EU. Mozna i to je soucast taktiky uradu... stejne jako vyuzili "prilezitost" tam propasovat onu regulaci, ktera z NIS2 vubec nevyplyva.
-
Ve vzduchu je jen otázka, jestli to odloží nebo osekají o ty třecí plochy.
Nelze předpokládat, že to stihnou, když ty největší problémy, které zaberou k řešení nejvíce času ještě tahají před sebou a už s těmi menšími udělali pěkné zpoždění.
Nemyslím si, že NÚKIB takhle taktizuje s časem, prostě zatím to řeší jen podle svého nejlepšího svědomí a vědomí (ať je jakékoliv) a a zapomínají na nutnou politickou shodu napříč všemi zúčastněnými.
Z pohledu dodavatele hodnotím současný veřejný návrh transpozice NIS2 jako nerealizovatelný, z pohledu rozpočtu, času a současných procesů. Primárně jde o hlášení všeho přes email, dopad na všechny ISP/samosprávy, dopad na celý dodavatelský řetězech bez vertikálního a horizontálního řezu.
Oni i potřebné náklady ministerstev, které teď nejsou v rozpočtu budou obrovský problém, protože je NÚKIB dopředu nevyčíslis, neudělal analýzu dopadů a trhu (ten obecný žvást není analýza), nemohlo to jít teď do rozpočtu.
-
§ 17, odstavec 4 navrhu noveho zakona email jako moznost explicitne zminuje. Pod nelze-li vyuzit portal se technicky vzato schova hromada vselimoznych duvodu a je naivni tam dovozovat jen duvody na strane uradu, nejaky duvod muze byt i na strane povinne osoby. Navic pokud ten portal bude fungovat stejne uzasne jako jine portaly statni spravy (oblibene nekolikadenni odstavky), tak se u toho emailu se skonci tak jako tak...
-
Naopak, jejich predstava ze chteji vse je naprosto genialni, budete emaily odesilat maximalni rychlosti kterou vam server a konektivita dovoli, coz par milionu kusu denne hodi i na HW z popelnice a lince pres mobil.
Jen ja sam sem schopen za sekundu zaznamenat i nejakou tu tisicovku ruznych pokusu, ktere lze naprosto s klidem vyhodnotit jako utok. Specielne dle predstav nukibu.
-
Bozp budiz zarnym prikladem toho, jak to bude fungovat.
Tedy s tim rozdilem, ze u toho bozp pokud mate zajem, tak si muzete precist jak hypoteticky spravne postupovat. Ale jak vsichni vedi, realita je ta, ze se da 1x rocne zamestnancum podepsat, ze byli proskoleni, a vygeneruje se na to tema stoh papiru, ktery se uskladni.
Takovy krasny priklad, ktery si muzete jit prohlednou kdekoli ve svem okoli, jsou stavby a noseni prileb. Pokud tam neni kontrola/kamera ... nikdo je nema.
-
Ve skutecnosti je ta definice dosti gumova - a to i v tom zakone. A skvele nam tu predvadite, jak i na urade si tu gumu priohnete, jak se vam to zrovna ucelove bude hodit :-) Jen nevim co vas vede k presvedceni, ze na strane druhe se nebude dit to same. Pak treba prijde pravnik, co vam v ramci predbezne opatrnosti doporuci reportovat radsi vic veci a to i z kategorie co vy za incident treba uz nepovazujete. V duchu hesla better safe than sorry - v tomto pripade muze byt tou motivaci minimalizovat riziko eventuelni pokuty... jak znamo, prijmy z udelenych sankci jsou rozpoctovym prijmem, ze...? :-)
-
No.. jako IT mám na krku přes 100 lidí + PC, komplet servery, routery, infrastrukturu a můžu s čistým svědomím říct, že si můžou ten zákon dát tam, kde slunce nesvítí. Lidi a peníze mi na to nikdo nedá. Takže všechno bude jen na papíře s tím, že to někdy do budoucna plánujeme.. až budou peníze a začnou ryby létat.
-
Ano. Ten portál ještě nikdo neviděl, ostatní webové výtvory NÚKIBu dávají tušit, že nic extra nelze čekat.
Firmy a implementátoři půjdou cestou nejmenšího odporu. Email lze automatizovat, lze logovat a evidovat, že k poslání došlo (jak budu vést evidenci poslaných hlášení přes portál je ve hvězdách), lze to poměrně snadno napojit na existující infrastrukturu, lze to dobře škálovat pro velké množství hlášení (představa NÚKIB, že chtějí vše je zcestná) atd.
-
Tak pokud vaše vedení nebude chtít uvolnit prostředky a vystaví firmu případným pokutám, rozhodně máte argument v podobě § 61 :-)
Pozastavení výkonu řídicí funkce
(1) Soud může na návrh Úřadu rozhodnout, že člen statutárního orgánu právnické osoby, vedoucí odštěpného závodu, prokurista nebo podnikající fyzická osoba, která v přímé souvislosti s plněním rozhodnutí Úřadu, kterým byla poskytovateli regulované služby v režimu vyšších povinností uložena povinnost odstranit nedostatky zjištěné při kontrole, opakovaně nebo závažně porušila své povinnosti při výkonu své řídicí funkce, v důsledku čehož bylo zmařeno řádné splnění rozhodnutí Úřadu, nesmí až do doby odstranění nedostatků zjištěných při kontrole, nejméně však po dobu 6 měsíců vykonávat tuto řídicí funkci.
(2) Návrh lze podat pouze vůči osobě vykonávající řídicí funkci u poskytovatele regulované služby v režimu vyšších povinností a pouze ve vztahu k řídicí funkci, která není veřejnou funkcí vymezenou funkčním nebo časovým obdobím a obsazovanou na základě přímé nebo nepřímé volby nebo jmenováním podle zvláštních právních předpisů.
(3) Ustanovení zákona o obchodních korporacích ) upravující vyloučení člena statutárního orgánu z výkonu funkce se v částech právních účinků pravomocného rozhodnutí o vyloučení člena statutárního orgánu, informování rejstříkového soudu a odpovědnosti za porušení dočasného zákazu výkonu funkce použijí obdobně.
-
Tak se prosím podívejte na definici kybernetického bezpečnostního incidentu.
A mimochodem, u každého incidentu existuje povinnost nejen vést jejich evidenci, ale taktéž instituce „prošetří a určí příčiny kybernetického bezpečnostního incidentu” a „vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná bezpečnostní opatření, popřípadě aktualizuje stávající bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu.”
Kybernetický bezpečnostní incident je výjimečná událost, které se i ve velkých organizacích objeví v jednotkách ročně.
-
"Tak se prosím podívejte na definici kybernetického bezpečnostního incidentu."
Piosete hezky, ale nepravdive. Prectete si laskave ty navrhy legislativy, pripadne asi tak 30 clanku zde na to tema.
Neopravneny pokus o prihlaseni, je zcela zjevne bezpecnostni incident. Takovych umim i doma zaznamenat nekolik za sekundu. Nejaky, byt neuspesny, pokus o (d)dos je take bezpecnostni incident. Opet na dennim poradku. Atd atd.
-
Neoprávněný pokus o přihlášení téměř nikdy nebude kybernetický bezpečnostní incident (KBI), tak jak jej popisuje zákon. Dokonce ani neoprávněné přihlášení ještě stále nemusí být KBI, pokud neoprávněný přístup nevede k narušení důvěrnosti, integrity nebo dostupnosti primárního aktiva.
Chápu, že v IT prostřední se slovo incident běžně používá mnohem volněji, než jej definuje zákon, ale pro tyto účely je opravdu potřeba vycházet ze zákonné definice.
-
"nebude kybernetický bezpečnostní incident (KBI), tak jak jej popisuje zákon"
Takze neumite cist.
"Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací1) v důsledku kybernetické bezpečnostní události."
(d)DOS je zcela zjevne narusenim bezpecnostu sluzby. Pokusy o prihlaseni jsou zcela zjevne narusenim bezpecnosti informaci. Pokusy o shozeni https do http jakbysmet atd atd. Dokonce i scan portu je zcela zjevne bezpecnostnim incidentem, protoze zaroven ohrozuje sluzby a narusuje bezpecnost informaci, protoze utocnik na jejich zaklade napriklad zjisti, co za systemy to je, a pripadne jake diry obsahuji ze?
Jinak toto :
"Kybernetickou bezpečnostní událostí je událost, ..."
=== nekde(to plati 24/7) probiha nejaka akce, a mozna se to muze tykat i me infrastruktury, ale treba taky ne. Coz ostane presne vystihuje prave veta "v důsledku kybernetické bezpečnostní události".
Takze hlasit se nemusi to, co se subjektu nedotkne, ale to co zaznamena hlasit musi.
-
Edit: (protoze se editovat neda...)
Ad incident, vite co je to letecky incident? To je situace, kdy dojde k libovolnemu naruseni predpisu, provozu, zakopnuti, zkratka cemukoli, ale nic se pri tom nestane (zadna skoda na majetku ani zdravi). Normalne se to eviduje, ale narozdil od nehod se o tom netoci dalsi dily serie leteckych katastrof.
A presne stejny vyznam na to slovo odjakziva nejen v IT. Bezpecnostni incident na pracovisti je treba situace, kdy delnik dorazi bez prilby. A v souladu s legislativou mu tedy nesmi byt umozneno pracovat, ze?
-
A právě v tom se plete. To slovo *narušení* je podstatné a znamená, že aby se jednalo o kybernetický bezpečnostní incident (KBI), musí to mít nějaké důsledky na primární aktivum, typicky poskytovanou službu.
Např. v případě DDoS na systém, který ho ale v pohodě zvládne a služba byla dále poskytována bez omezení => nejedná se o KBI a není třeba jej hlásit.
Pokud o přihlášení opět není KBI. Ani scan portů a to ani pokud útočník zjistí potenciální slabiny. Porušení předpisů v oblasti kybernetické bezpečnosti taky není KBI, pokud nemá důsledky.
V IT se pojem „incident” používá různě. Pro tuto diskusi je ale důležitá zákonná definice a proto se v zákoně používá pojem kybernetický bezpečnostní incident, aby bylo jasné, že se nejedná o jakýkoliv incident, tak jak se třeba v odborné rovině vnímá.
ČLÁNKY DO MAILU