Vlákno názorů k článku Regulace podle NIS2: Přísnější režim zvýší personální nároky, nebude stačit jeden pracovník vyčleněný na celou kyberbezpečnost od A. S. Pergill - U těch bank to bude mít nejspíš vliv...

U těch bank to bude mít nejspíš vliv přesně opačný. Každá má vybudovaný nějaký +- svůj systém, a když se to začne nějak ISO unifikovat, tak hrozí, že finta úspěšná u jedné banky bude použitelná ještě na několik dalších.

Ale to jsme opet u toho, ze je treba hodnotit i to, jake domeny tam doopravdy jsou (coz rika i NIS2) a nestaci resit nejake hausnumero dle poctu domen. A i to vyse pisu. Aneb nektera ministerstva maji sva DNS buhvikde, ale ti poskytovatele do vyssiho rezimu dle te vyhlasky od chytraku z NUKIBu nespadnou, protoze metrikou cisla tech domen provozuji malo. Ale resit se budou treba provozovatele blogu, protoze mit domenu druhe urovne na kazde uprdnuti je takovy fetis... urad si to zjednodusil do cisla 10000, pac jim to prislo jako asi pro ne uz velky cislo - pritom .cz domen mame dnes vic jak 1,4 milionu a samozrejme mate X dalsich pod ostatnimi TLD (a ty se pocitaj taky).

tak ono nejde o výpadek, ale kompromitaci, že? Kompromitovat sekundární NS a přetížit primární není scifi.

Je-li ta doména důležitá, tak tam pravděpodobně spadne její vlastník/provo­zovatel a s ním tam spadne i dodavatel, který mu jí mezi 9 dalšími provozuje, ne?

Jenze ono ten rezim vyssich povinnosti spadne i na subjekty nove, co do toho rezimu vyssich povinnosti dnes nespadaji a objektivne pro to neni duvod. Verze z NUKIBu je podana tak, ze mate-li jakykoliv DNS server s 10 tisici domenama a vic rovna se automaticky rezim vyssich povinnosti a vubec se u toho neresi to, co samo NIS2 v clanku 21 rika, tedy se kasle na nejake zhodnoceni realnych dopadu - jakoze treba muzu provozovat sekundar pro desitky tisic domen, co maji primar nekde jinde... a i kdyz takovy sekundar sam o sobe vypadne, dopadu si navenek ani nevsimnete. Nebo muzu mit DNS, kde mam leda tak desitky tisic blogu s minimalni navstevnosti. Ale vedle toho mate DNS, kde tech domen je naopak treba jen deset, ale jejich vypadek bude dost velky prusvih.

Urad si to tady zjednodusil, protoze tam zjevne sedi individua, co temto low-level vecem ani moc nerozumi. Protoze kdyby ano, uz davno by tepali treba MSp za to, ze jejich DNS cela ignoruje RFC 2182... a to po celou dobu, co NUKIB existuje. A ackoliv uz cele roky prokazatelne vedi i o zmatlane implementaci DNSSEC, nezvladli s tim take udelat nic - a to presto, ze ZoKB tu uz nejaky patek plati. Aneb urad, co cele roky nezvlada kyberbezpecnost u statnich instituci chce rozsirovat okruh tech, kterym by rad velel a urcoval, jak maji bezpecnost delat... kdyz nezvladl ani to malo, co mohl resit doted.

A dabel se neskryva v zakone - ale ve vyhlaskach, co NUKIB plodi. To, co s ISO 2700x problem byt nemusi z pohledu jejich vyhlasek najednou problem bude. Bezpecnost fakt neni o tom, ze si stanovite nejaka snadno kontrolovatelna kriteria typu ten pocet domen ci periodicky vynucovane zmeny hesel jen tak z pleziru. Takova kriteria vymysli diletant, co si na bezpecaka jen hraje. Ty skutecne prusvihy (treba zmatlany DNSSEC) NUKIB neresi, protoze tomu uz holt asi nerozumi...

jde-li o banky, nevěřím, že NIS 2 bude mít jakýkoliv dopad na reálný stav (ať už ho hodnotíme jakkoliv).

Ale jinak ano, sjednocení formálních postupů, kategorizací a procesů je hlavní přínos NIS 2. Nově ale do toho spadnou i společnosti, které zatím měli IT na háku, i pro ně to může být přínos, budou mít vylajnovanou cestu jak postupovat, jaké dodavatele využít a co požadovat.

NIS 2 pro povinné subjekty s vyššími povinnostmi nepřináší z pohledu personálního obsazení nic nového. Role manažer bezpečnosti, architekt, garant aktiv a auditor přikazuje povinným subjektům již vyhláška č. 82/2018 Sb. § 6 odst. 3 viz. https://www.zakonyprolidi.cz/cs/2018-82. A to včetně vyjmenování jejich povinností a kvalifikace, které jsou v té samé vyhlášce uvedené a povinné subjekty je již po mnoho let mají. A jsou v souladu s NIS 2. V případě bank dokonce několik desetiletí a to v mnohem větším rozsahu, než ZoKB určuje.
Kromě toho NIS 2 jen kodifikuje to, co drtivá většina firem z kategorie vyšších povinností tvrdí, že má a to jsou auditované certifikace dle standardu rodiny ISO 2700x. Takže NIS 2 jen umožní to, aby často pouhá papírová shoda nebo audit pochybné kvality měl oporu v zákoně a tyto povinnosti nebyly definovány vágně a nedocházelo tím k svévolného výkladu u povinných subjektů. Což je často běžná praxe s cílem zjednodušit si život a na bezpečnost nevydávát tolik peněz a splnit povinnosti jen papírově obvykle kvůli chlubení se nějakým auditem, který ale neodpovídá reálnému stavu a není zákonem vynutitelný. Typicky se to týká vulnerability managementu, supply chain managementu, risk managementu atd., kdy mnohdy je ten reálný stav katastrofický. Takže NIS 2 snad pomůže tohle narovnat a papírovou shodu přenést do reálného života.