Vlákno názorů k článku Regulace podle NIS2: Přepracovaný návrh kyberzákona vrací dříve vyloučené změkčující instituty od Uncaught ReferenceError: - by mě zajímalo, proč má NÚKIB předstsavu, že...
-
by mě zajímalo, proč má NÚKIB předstsavu, že IT bezpečnost musí vyřešit najednou a hned.
Spousta těch jeho vylepšení NIS2 je vesměs správných a logických, z technického pohledu, ale vůbec nedává smysl z implementačního a provozního.
Tím, že to zasahuje do každého aspektu samotné firmy, je potřeba to budovat postupně a obezřetně hlavně na samotné dopady, v tom duchu jde i NIS2.
Stejně tak je potřeba si vychovat generaci odborníků a ustálit některé zvyky a neformální normy, tak aby se zkušenosti daly sdílet napříč společnostmi. Současné doporučení NÚKIBu jsou vágní a nereflektují jak to funguje v praxi (nám do očí tvrdili, že máme čipové karty a HSM každý rok a půl zahodit a koupit nové, aby měli jiné heslo, to že jsou na to navázaná časová razítko a osobní certifikáty s delší platností neřešili nebo třeba je naprosto nedořešený problém s HW, který je sice v majetku firmy, ale nemá oprávnění do něj zasahovat).
-
Ego? Aby pak mohli po svete behat a prsit se, jak to (na papire) dokazali? Uz samotny proces transpozice NIS2 stylem "jsme mezi prvnimi". Klasicka prace kvapna... a vysledkem je toliko to, ze to drhne, zpozdeni narusta a vsichni se bouri. Co taky cekaji?
Kdyz se pred lety resila stara NIS, doslo se ke konsensu napric odbornou komunitou. Ted se jede prokazatelne uz jen na silu a straseni. Urad ma jedinou svou pravdu a vsichni okolo tomu nerozumi.
To s HSM je dobra perla ilustrujici diletantismus uradu. Jejich tlak na zbrkle vyreseni bezpecnosti bude mit presne opacny efekt - ve spechu vznika nejvic chyb. A tady se NUKIB nepoucil... ani z tech vlastnich.