Názory k článku Regulace podle NIS2: Portál NÚKIBu napoví rozsah nových povinností

NÚKIB rovnou považuje takové podání za neúčinné a k opravě nevyzývá. To znamená, že třeba bezpečnostní incident bude považovaný za nenahlášený, a za tento přestupek hrozí pokuta až 100 milionů korun

Inu klasika - dej blbovi funkci, vymysli lejstro. Nebo aspon formular. Pripadne dokazovani, ze v dobe podani, resp. v ramci stanovene lhuty portal zrovinka nahodou nefungoval bude jiste zabavna disciplina.

A dalsi ze skvelych ukazek, jak si ceske urady do narodnich transpozic implementuji nesmysly, ktere evropske smernice po nikom vubec nepozaduji. A racionalni zaklad nema ani samotna vyse pokuty - obvykle je mit podobne veci odstupnovane dle zavaznosti daneho precinu, ale to se panove a damy z Mucednicke take neobtezovali. Holt to je na ne taky uz asi moc prace. A nebo jim jde fakt jen o to trestat a buzerovat... a nikoliv skutecne resit bezpecnost.... protoze posledni, co v bezpecnosti hraje nejakou roli je zpusob, jakym se informace preda.

Těžko mohou pokutovat, pokud nebudou schopni prokázat pochybení. A pokud správně vnímám tu větu, tak pokud mi to nejde, tak to použít nemusím. Nevím jak mi jsou schopni prokázat, že to v konkrétní čas z konkrétní IP adresy bylo dostupné, pokud budu tvrdit že to nešlo. Routing je dynamický a nikdy nevím jakou cestou to jde, že je ta cesta funkční a že to někdo po cestě nezařízl.

nemluvě o tom, že chyba může být i na cestě nebo to může být důsledek právě hlášeného incidentu, v takovém případě dokazování je dost obtížné a úřad má plnou moc. Skvělé.

Opravte si odstavec o "aktuální" podoby vyhlášky

Tento rozřazovač zatím ale má své mouchy. Tak třeba telekomunikační operátory a internetové providery rozděluje podle počtu aktivních SIM karet, resp. aktivních pevných internetových přípojek dle kritérií, které z aktuální podoby připravované vyhlášky zmizely, lépe řečeno byly nahrazeny poznámkou „bude doplněno“. Pro základní přehled očekávatelného dopadu regulace je však tato pomůcka určitě přínosná.

Ve verzi co šla do Vlády a jde do PSP ČR jsou hodnoty zpátky konkrétní, tedy 350tis. SIM a 100tis. přípojek pevného internetu.

Ve verzi, která šla z NÚKIBu do vlády (https://odok.cz/portal/services/download/attachment/KORNCZQBPJJT/), údaj chybí. Ve verzi, která šla z vlády do PSP (https://odok.cz/portal/services/download/attachment/ALBSD7F7MSH7/), už tyto údaje jsou opět zpátky.

Takže celý odstavec nedává smysl, protože nemá mouchy, když odpovídá aktuální verzi s počty přípojek.

ježiši.. a my se tady (v EU) budeme tak neskutečně, masochisticky střílet do nohy, mlátit důtkami do zad.. - nesnídat slaninu s toasty (to je proti klima), do práce jedině na kole (ačkoliv prší a po práci bych měl vyzvednout dítě ze školky), až po TOTALNE ICHTYLNI.. ano.. ICHYTLNI!! ustanovení tohoto typu aka "kybernetická bezpečnost"

do pr.. d.. le!! KOMU!! ?? něco takového v EU Pomůže?? copak hackují běžně systémy zaměstnanci či občane "velkololepé Říše Osvícení (čti. současná EU)" .. ??

no asi ne, že jo?? takže nějakej maník ze Severní Koreii hackne v CR počítačový sysétm firmy, která se v úrovní svých možností / schopností snaží ho mít co nejléep zabezpečený, no jo.. ale co se dá dělat.. nevydělává zrovna jako Apple, takže nemá volné desítky mil kč někde volně ležící na účtě.. nemá tedy na team "best of the best" network bezpečnostních expertů (to ostatně neměla ani Nemocnice Benešov - a tu stát měl v rámci exeplárního potrestání nejlépě ZRUSIT, aby vyslal "jasný" signál... )

- a ta chudák firma, která má pár desítek zaměstnanců a snaží se svědomitě jim přidávat tu a tam každý rok k platu pár procent, jak jí to situace umožní.. najednou bude muset plnit takovou neskutečnou kravi--- .. si doplňte.. a jakmile neohlásí ztrátu mobilu IT technika (co kdyby v něm měl něco neskutečně tajného, co ohrožuje bezpečnost REPUBLIKY).. tak dostane smahem pokutu milion korun.. - proč ne.. exemplární příklad..

MY JSME NUKIB.. my jsme STAT.. s námí se nediskutuje..

Krásné povídání, ale nevíte o čem ten zákon je.

bezpečnost IT systémů ale zpravidla není o velkých penězích (a určitě ne o desítkách milionů), ale dodržování vnitřních zásad. Ztráta telefonu nebo chyba zaměstnance nemusí být bezpečnostní incident, to záleží právě na vnitřních předpisech.

Firma, která dnes to dělá svědomitě, nebude mít vysoké náklady; firma, která to nedělá vůbec (což bohužel jsou takové i velké, které mají pořád všechna hesla ve sdílených excelech a přístupné vše všem), bude mí trochu bolení hlavy.

Co se hesel tyce, nejvetsi bolehlav budou hesla technickych uctu a NUKIBem vynucovane jejich zmeny. To nejde rict jinak, nez ze tohle mohl vymyslet mongol, co nikdy zadnou komplexnejsi aplikaci neprovozoval a od stolu vymyslel, ze bude cool i tohle jednou za 18 mesicu zmenit. Pomineme-li tedy uz to, ze vubec samotny pozadavek na zmenu hesel je archaismus, co tlaci kyberdiletanti z NUKIBu, zatimco jinde ve svete v cele s NISTem tuhle ptakovinu naopak vsem rozmlouvaji.

Co se tech technickych aktiv tyce, mam skvelou cerstvou zkusenost se software jedne firmy vyrabejici nikoliv levna sitova uloziste. Take tam je par technickych uctu. Jedno se da zmenit behem instalace, zbytek si to nejak vygenerovalo samo. To prvni jsem pri prvni instalaci menil. No a prisel upgrade toho cirkusu v Jave... kde mj. zmenili zpusob ukladani tech hesel... a cele to proste a jednoduse vybouchlo, a to zpusobem ze ani podpora vyrobce to nebyla schopna dat dohromady. Zmenit v tomhle hesla technickych aktiv bude jiste sranda....

jo jo, hesla k technickým účtům je s NÚKIBEM dobrý bizár. Změna je jedna věc, ale třeba my musíme i počítat počet pokusů a dělat mezi nimi nějaké časové pauzy. To jsou věci, které jdou dobře řešit u webových formulářů, ale jak tohle mám udělat u čipové karty nebo nějakého offline řadiče, to opravdu netuším. Nemluvě o tom, že tu změnu hesla vyžaduje (zatím pouze ústně) i u HW zařízení (čipové karty, HSM tokeny), které změnu hesla neumožňují, protože vlastně z definice rozdíl mezi heslem a privátním klíčem je nicotný z pohledu legislativy.

Podobnou příhodou teď řešíme s nástrojem Informatica, aktualizace, změna uložení hesel (používají vlastní formát v primární databázi) a najednou nelze jakékoliv heslo změnit nebo obnovit zálohy, oficiální podpora si s tím už dva měsíce neví rady, nemluvě o tom, že to nemají nikde pořád zdokumentované a rozhodně ne ve stavu, který vyžaduje nový připravovaný zákon.

"heslem a privátním klíčem je nicotný z pohledu legislativy"

Pokud jsem dobře koukal, tak rodíl tam je docela velký. Protože hesla řídí §20 (6) vyhlášky pro vyšší povinnosti, zatímco krytpografické klíče §20 (5). Momo jiné to znamená že kryptografické klíče není potřebné každých 18 měsíců měnit.

V nižších povinnostech je to obdobné jen je to § 9 a odstavce (3) a (4).