Názory k článku Regulace podle NIS2: Co dva roky čeká velké podniky audit kybernetické bezpečnosti

Tedy, chápu, že do přísnějšího režimu spadnou spíše velké korporace, ale při úředníky oblíbeném extenzivním výkladu to klidně dopadne i na menší firmu o pár zaměstnancích, spravující kousek Internetu - a pak ty povinnosti budou neúměrně drahé a povinný audit může takovou firmu klidně úplně porazit (což bude zaručeně ku prospěchu a zvýší se tím bezpečnost jejich infrastruktury: co je vypnuté, to je v naprostém bezpečí).

Vsak on ten "audit" bude vypadat presne stejne jako vse ostatni i v tech velkych firmach. Jednoduse proto, ze chci videt jak nekdo s nadsenim vynaklada miliony (coz je spis cena pri zemi).

Takze to bude vypadat tak, ze se sepise stoh papiru, cim masivnejsi tim lepe, on stejne nikdo nikdy nebude schopen overit, jestli to co je tam napsano odpovida realite.

Kdokoliv dneska už má ISO 27 001, ISO 20 000 (a vzdáleně i ISO 9001 kvůli procesu identifikace a auditu), tak pro něj NIS2 není tak velký zásah (orientačně) a jde jen o úpravy procesů, které ale již v nějaké podobě existují. Tak i příprava vypadá u mých klientů.

Komplikace to bude ale pro společnosti, které to zatím dělaly na koleni či vůbec. Za mě je velice kritické to, že do "přísnějšího režimu" se asi dostaneš i jako dodavatel někoho kritického, což je právě věc, která je velký problém pro mě a moji firmu. Ty investice odhadujeme na asi 3 mio a roční náklady kolem 1 mio. To se bavíme o firmě s zaměstnanci a několika externisty na projektech.

Nešikovné, že o spádovosti rozhoduje stejný úřad, který to také řeší.

Ja bych pri tomhle mozna i pockal s tim hodnocenim, na koho vsechno to dopadne. Ted primarne uvidime, jak se na NUKIBu poperou s pripominkami - ostatne vcera publikovany sumar od APMS dava tusit, ze to s obhajobou jednoduche mit rozhodne nebudou :-)

Dnešní výpadek bank (stále trvající) jen ukazuje, že bláboly jako NIS2 nic neřeší - oni mají ISO, GDPR, krizová plány....

Vím o firmě, která tam coby dodavatel nejspíš spadne také: jeden šéf, jedna účetní, dva externisti, obrat (ne zisk!) v nižších miliónech ročně. Zvýšení nákladů o mega je spolehlivě pošle do bankrotu.

Ano, je to dobrovolne, vsak nikde nepisu, ze to je povinne. A zrovna tuhle cast NUKIB taky v transpozici dosti odflaknul :-) ...aneb kdy to mu venoval pouze jednu nenapadnou veticku v § 41, odstavci 4, pismeno m). V porovnani s tim, co je ve clancich 29, 30 NIS2...

Jenze jako "dodavatel" do toho spadnou uplne vsichni. Protoze ten dodavatel ma dalsi (sub)dodavatele a ti maji dalsi a dalsi. Pricemz ti na koncich ani nemusi tusit, pro koho vlastne delaji to co delaji.

Nemate uplne pravdu - clanek 29 NIS2 se venuje i sdileni informaci, ktere je pri mitigaci podobnych veci klicova vec. Problem muze byt zase jen to, jak se to pretavi do nasi narodni legislativy :-) Dnes je to tak, ze vam z NUKIBu nic moc nereknou... v tom smyslu, ze by dopredu vydali nejake upozorneni a doporuceni, na zaklade kterych si muzete prijmout ochranna opatreni na sve strane. Pritom ten konkretni utocnik, co se dnes oprel do tech bank se do ruznych cilu nejen v CR opira uz nekolik mesicu.

Článek 29 se věnuje dobrovolnému sdílení informací mezi regulovanými subjekty navzájem.