Vlákno názorů k článku Regulace podle NIS2: Co musí splnit podniky v mírnějším režimu od Danny - NIS2 v clanku 21 rika, ze do 17....
-
NIS2 v clanku 21 rika, ze do 17. rijna 2024 komise teprve prijme opatreni stanovujici technicke a metodicke pozadavky, pokud jde o provozovatele DNS. Clanek 21 rovnez rika, ze opatreni maji byt vhodna a primerena, ma se zohlednovat mira rizika, spolecensky a ekonomicky dopad pripadneho incidentu. Tuhle pasaz NUKIB proste a jednoduse preskocil.
Ten odstavec samozrejme plati i pro zakladni sluzby. NUKIB si to, co urcuje clanek 21 NIS2 zjednodusil do jednoho cisla, ktere si proste vycucal z prstu - systemem "chceme to mit na urade jednoduchy". Ale ono nejde takhle jednoduse rict, ze do 10 tisic domen se nic nedeje a nad 10000 je to uz problem. Muzete mit DNS server, kde bude tech domen stezi 20 a ten incident tam bude v intencich clanku 21 podstatne vetsi prusvih, nez server s 15000 domenami.
Ostatne uz dnes je to tak, ze NUKIB si nedokaze poradne uhlidat DNS ve verejnem sektoru a ty se potykaji s vcelku trapnymi vypadky :-) A pak tu mame kauzicku jmenem DNSSEC a to, jak to byva udelane, kde jsem osobne NUKIB uz v prosinci 2020 upozornil, ze spousta tech instituci nema vhodne nastaveni a to, jak to provozuje rizika naopak zvysuje. Dodnes na mnohych mistech nezmenili nic. A komercni provozovatele autoritativnich DNS maji sve servery v lepsim stavu, nez maji statni instituce uz dnes NUKIBem dozorovane... ne, ti lidi tam problematice vubec nerozumi.
-
Predevsim by se to spatne dokazovalo a tudiz pokutovalo, protoze na to aby nekdo nekomu dokazal, ze prislusny system je nejakym zpusobem kriticky, a ze jeho zabezpeceni tomu neodpovida, potrebujete te veci opravdu dobre rozumet, coz se od NUKIBu cekat opravdu neda. Staci se podivat na par poslenich vyplodu toho ustavu.
BTW: 10k domen umim na jeden ze svych DNS bezici na modemu vygenerovat za asi tak 10 minut. Ze budou treba i tydny nedostupne, nebo ze mi to nejaky ten haxor crackne a precte si ten textovy soubor, je ciste moje vec, a kazdemu je do toho leda prd.
-
Myslite, ze jsem nikdy zpusoby vyporadani v EKLEPu nestudoval? :-) Jasne, projde to pripominkovym rizenim, tam si urad napise, ze XYZ je neakceptovano a jde se dal. Urednici zpravidla na pravnich oddeleni vykazou cinnost....
Zrovna ty hesla a vynucovani jejich zmen se kolem tech vyhlasek resily uz v roce 2014, a uz tehdy mel urad svoji jedinou spravnou pravdu :-) Dnes jsme trosku dal, ze menit hesla periodicky je blbost rika fakt kdekdo - vcetne NIST, NCSC, SANS... a hromada dalsich, jen na NUKIBu se zaryte drzi archaickych postupu (protoze "blablablabla" stylem, kdy resi statisticky vzato mensi riziko zpusobem, kdy se naopak vytvari vetsi bezpecnostni problem), a prokazalo to uz verejne (neformalni) pripominkove rizeni. Proc by mel clovek verit tomu, ze to "formalni" rizeni dopadne magicky jinak? Ourada napise, ze neakceptovano, k tomu vypoti nejaky blabol a nezmeni se nic. eKLEP je takovych odmitnuti plny.
A jinak ano, dokazujet ze to bude predevsim papirova bitva s uradem. Krome te vasi vyjimky je tu dalsi povinnost vyplyvajici z navrhoveho § 20, odstavce 4, kdy tam je explicitni pozadavek na vedeni evidence. A textace odstavce 6 moc prostoru pro oduvodnenou vyjimku rovnez neposkytuje. Vase citace z § 9 rozhodne nedava prostor pro to, aby si povinny subjekt o sve vuli rozhodl, ze vynucovat zmenu hesla dle § 20, odst. 6, pripadne implementovat opatreni ve smyslu § 20 odst. 1 je u konkretniho systemu nesmysl. Kdybyste mel pravdu, tak by ve finale stacilo sepsat elaborat na tema "proc na vasi vyhlasku nesmyslnou kasleme" (a u toho se odkazat treba na smernici NIST) a nedelat nic, coz jak jiste uznate je ponekud blbost ;-)
A to same plati treba u toho hausnumera o tom, ze vyznamny DNS server (spadajici do rezimu vyssich povinnosti) je ten, na kterym je 10 tisic domen - bez ohledu na to, co za domeny tam je. Ne, ono to nejde brat jen podle poctu, autori NIS2 to resi, NUKIB se na tohle vykaslal - ono nechat prostor pro to, aby subjekty samy zhodnotili skutecna (realna) rizika se urednikum proste nechce, ze? ;-) Protoze to by znamenalo vetsi namahu i na jejich strane (hur by se jim to kontrolovalo), kdezto vycucat si z prstu nejake cislo a na tom pak bazirovat je samozrejme jednodussi...
-
Jde vidět, že nerozumíte legislativnímu procesu ani vyhlášce o kybernetické bezpečnosti.
Vyhlášky nevznikají tak, že si je napíše úřad sám a úřad si je sám i vydá.
A technická opatření z vyhlášky o kybernetické bezpečnosti taky není třeba aplikovat vždy, ale dle výsledků bezpečnostních potřeba a hodnocení rizik.
zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled bezpečnostních opatření požadovaných touto vyhláškou, která - nebyla aplikována, včetně odůvodnění, - byla aplikována, včetně způsobu plnění.
-
No jestli ty upravy budou stejne jako verejne pripominkove rizeni, tak tam ty pseudobezpecnostni paskvily z NUKIBu zustanou... oni si to uz nejak "zduvodni" :-) A zatimco zakon muzou pozmenit poslanci (byt to nepredpokladam, v nem nic az tak kontroverzniho neni), tak vyhlasky vydava primo urad... a nikdo s tim nepohne, kdyz si urad postavi hlavu.
-
> Výslovně však zdůrazňuje, že prodloužení lhůty se týká návrhů zákonů (o kybernetické bezpečnosti a změnového zákona), nikoliv vyhlášek, kde platí zřejmě původní termín 19. července. Přitom právě prováděcí vyhlášky mohou být oním příslovečným detailem nabízejícím ďáblu úkryt.
Prováděcí vyhlášky k zákonu totiž vůbec nejsou v oficiálním mezirezortním připomínkovém řízení! Ty budou mít samostatné MPŘ, kde bude určitě docházet ještě k úpravám všech vyhlášek na základě připomínek.
