Vlákno názorů k článku Regulace podle NIS2: „Bezodkladně“ nově znamená „v řádu hodin“ od bez prezdivky ... - Jenze to dohledove centrum neco stoji, a tak...

Jenze to dohledove centrum neco stoji, a tak obec se 2M rozpoctu nema ani na to, aby si to zaplatila v pracovni dobu. Ve skutecnosti na to nemaji ani mnohem vetsi organizace.

Pritom tu jsou i dalsi aspekty. Takova obec ve skutecnosti nepotrebuje ITka, staci ji treba 2-3, 5 ... 10 hodin ... mesicne. Jenze pokud bude chtit 24/7 ... tak to znamena platit fulltime minimalne 5 lidi. A proc vlastne? Aby se generovala lejstra pro nesmyslny ourad.

ano, v NIS2 to je řešené rozumně, musím si to stanovit a pak podle toho provozovat. NÚKIB to naprosto šíleně přetožil a vyžaduje držet pohotovost i přes svátky i v případě, kdy vlastně žádné služby (např. obec) přes svátky neprovozuji.

Dopadovou studii NÚKIB neudělal vůbec, není jasné, co to znamená, lhůty a čísla jsou vycucaná z prstu (chybí jejich odůvodnění v důvodové zprávě a jejich validace v dopadovce).

Ta kategorie bezpečnostní incident je strašně široká, nacpe se do toho ledacos a ne každému se chce čekat, co NÚKIBu přelétne přes nos a co bude vše považovat za bezpečnostní incidenty (má poslední slovo v určení).

Zrovna určení těchto lhůt je poměrně zajímavý příklad, kde by měl NÚKIB připravit jasně hodnocení dopadů legislativy, protože pokud i v nižších povinnostech bude takové lhůty vyžadovat je to poměrně drahé, a to nikoliv jen v investicích, ale i v operačních nákladech.

Ale strašně důležité je to určení "závažného incidentu", kde se ta lhůta 24 nebo 72 hodin uplatní, tady NÚKIB narozdíl od NIS2 žádné členění neprovedl. Jakýkoliv kybernetický bezpečnostní incident se musí hlásit 24 po zjištění a až NÚKIB určí, zda je významný (prý do 24 h čímž si sám nastavuje "zbytečně"? potřebu vést služby i o víkendech a svátcích).

Pozor toto je masivní rozdíl, protože dle NIS2 si mohou jako subjekt určit, že žádný incident během svátků nemůže vést na "závažný incident" a tedy se jakémukoliv monitorování a řešení incidentů mimo pracovní dobu vyhnout (týkalo by se nejspíš obcí apod.). Nebo si vyčlenit jasný rozsah toho, co dává smysl monitorovat a k čemu držet pohotovost a k čemu už nikoliv!

tyhle lhůty trhem dost rezonují. NÚKIB i při ústních konzultacích o všech předpokládá, že to jsou velké banky s tisíci zaměstnanci a už fungující 24/7 podporou, nj. ale novelizace dopadne třeba i na obce, na společnosti, které mají jedno, dva zaměstnance na IT. Držet pro spoustu malých společností i 8/5 vč. svátků je strašně drahé a nereálné. Na outsourcing na specializované společnosti (stejně jako se třeba řeší bezpečnost fyzických objektů) tomu brání skoro nulová nabídka na trhu, ten trh ještě nevznikl, ale povinnost platí rovnou.

Ty postoje a pravidla NÚKIBu jsou až na nějaké nesmysly poměrně rozumná, pokud by člověk bral pouze v úvahu bezpečnost IT systémů a předpokládal vysokou erudovanost na straně NÚKIB, nj. ale jakmile se do vzorečku dá nákladová a provozní složka, vůbec nevychází a NÚKIB k tomu je jak slepý. Netuším, jak obec s rozpočtem 2M ročně je schopná tohle dodržet.

Jak vidím vývoj v zahraničí nebo i snahy našeho NÚKIB, nejspíš se bude spousta téhle agendy řešit externími společnostmi na úrovni dohledových center, který budou tu komunikační část zajišťovat. Dnes jsou bohužel nabídky na trhu cenově mimo.

No hlavne bych chtel videt tu aktivitu na samotnem NUKIBu behem vikendu. Aneb aby to nebylo tak, ze se s ohledem na lhuty incident nahlasi ve ctvrtek vecer... a do uterka na to nikdo na urade stejne nesahne, protoze budou zrovna velikonoce nebo vanoce...