Názory k článku Regulace podle NIS2: Incidenty bez úmyslného zavinění nebude nutné hlásit

Poskytovatel regulovane sluzby je povinen (se) nahlasit (§ 8, odst. 1), ale postupy spravniho radu se nepouziji (§ 8, odst. 5) - skvely to prilepek. Takze urednicka klasika... hlavne s tim nemit moc prace - mysleno na urade - a ani se to nestydi v duvodove zprave priznat, ze by jim "nadbytecne" pro­cesni pozadavky zarazeni do regulace neumerne komplikovaly. Aneb chceme toho regulovat co mozna nejvic a nadrit se u toho co mozna nejmin :-)

Samozrejme, ze neprovedeni registrace je prestupkem ve smyslu § 60, odst. 1, pismeno a) - pojisteno drakonickymi sankcemi v pripade, ze povinnost se nesplni (ad odstavec 15). Skutecne vyvazena pravni norma - vyhodne pro urad, nevyhodne pro vsechny okolo.

Ale pak se budou vsichni divit, ze v Cesku zadna technologicka firma pusobit nechce.

jeden velký strašák v podobě, co vlastně hlásit zmizel a konečně tam je explicitně řečeno, že incidenty, kde lze čekat nějaký úmysl, skvělé, to výrazně zjednoduší nastavení vnitřních předpisů a hlavně usnadní evidenci v prvních vlně integrací.

celá moderní společnost je založena na příspěvkových organizacích, netuším, proč všichni tak skáčete na ty lži, kteří někteří politici šíří, aby vytvořili svého nepřítele proti kterému se mohou vyhradit.

Pokutu je možné vyměřit i absolutně a nikoliv podle obratu. Pokuta nesmí být likvidační.

Obrat (neboli jinak prijmy z pohledu ucetnictvi) maji neprekvapive i prispevkove organizace, potazmo treba i neziskovky. To jsou vsechny sectene penize, co do dane instituce pritecou. A vysoky obrat nutne nemusi znamenat vysoky zisk, ze? ;-)

To jiste, ted jeste jen zjistit, jaky je rozdil mezi umyslnym a neumyslnym incidentem

... To jako ze kdyz neumyslne nekoho hacknu, a ziskam pristup k datum i loginum, tak je to OK, a hlasat se to nemusi (namoudusi i psi usi to bylo neumyslne) chmm ...

Cas od casu delam takove veci jako treba scan site. Ucelem (tedy umyslem) neni tu sit hacknout. Ucelem je presny opak = overit, ze v siti nejsou zname diry. Presto se to pomerne pravidelne povede. A ano, nekdy na to staci otevrit spojeni na nejaky port a poslat na nej jediny paket.

tak pokud takový test děláš interně či pro smluvního partnera, tak to je v pořádku, takové případy mám třeba osobně ošetřené ve smlouvě. Když toho děláš třetí straně, s kterou nemáš vztah, tak se pořád jedná o bezpečnostní incident a on by ho musel hlásit nukibu, pokud by měl povinnost hlásit incidenty. Poté si koleduješ trestní čin a bohužel už jsem takové oplítačky s policií také měl.

Pokuta je max 2% z ročního obratu. Hmm a jaký obrat mají příspěvkové organizace? :-D Už se strachy klepou.

Myslím, že ještě nějaké změny určitě budou. Stará i se podívat na VKB vyšší povinnosti, kde v rámci řízení kontinuity jsou stanoveny cíle kontinuity časem a kvalitou regulované služby podle §34 zákona, který se však týká Výpovědi závazku ze smlouvy v důsledku omezení rizik spojených s dodavatelem.
A ve všech verzích je to stále stejné

jak se neúmyslně někdo hekne? To jako udělám překlep v adrese, na kteoru útočím?

To samozřejmě je občas také oříšek, ale už to dává vodítka jaká pravidla pro to stanovit a je to velice podobné jako současné pravidla v ZoKB.

Jen tyhle testy se dejou i automatizovane stylem "nekdo si dela vyzkum". A tem ze zahranici bude nejaka nase mistni legislativa... ehm... naprosto ukradena.

Ehm ... nikoli. Posilani nejakych paketu na nejake IP a porty rozhodne neni trestny cin. Trestne by mohlo byt zneuziti ziskaneho pristupu. To ze takovy paket pripadne sejme celou infrastrukturu by pak bylo trestnym cinem na strane spravce takove infrastruktury. Je to totiz exaktne stejne jako kdyby pouziti zvonku vyhodilo dum do vzduchu.

Cimz se dostavame k tomu, ze odlisit umyslny utok a neumyslny se nijak neda, a kazdy jeden pravnik rekne "hlaste vse".

a jak jinak probíhají útoky než "posíláním nějakých paketů na nějaké IP adresy"? Když budeš zvonit na všechny zvonky v ulici, tak už to může být přestupek, v IT s tím již můžeš mít také problémy.

Už jen pohnutka, že potřebuješ na nějaké porty posílat nějaká data je sama o sobě nestandardní použití systému.

To opravdu neni tak jednoznacne. §230 TZ je pomerne gumovy, hovori o jakemkoliv prekonani bezpecnostniho opatreni. Aneb kdyz ten paket projde nekam, kam nema treba i jen diky chybe v software onoho bezpecnostniho prvku, porad je to problem i pro toho, kdo ten paket posle. Proc myslite, ze je potreba pro jakoukoliv aktivitu tohoto typu mit souhlas cilove strany? Pokud takovy paket tu infrastrukturu sejme, problem mit rozhodne budete. Na toto tema existuje spousta textu, nastudujte si to.

no a to bezpečnostní opatření může být i jako text, nemusí se jedna hned o nějaký technický mechanimus.

Když je druhá strana **, tak pošle trestní oznámení na nahlášenou zranitelnost, což se reálně děje a bounty programy jsou v našem prostředí vyloženě na dobré slovo. Málokdy se daří najít zranitelnost pouze pasivně.