Názor k článku Regulace podle NIS2: Poslanecké výbory volají po dohodě s vládou a NÚKIBem od Jakub - Dám ti příklad: nějaká aplikace v organizaci, která...

Dám ti příklad: nějaká aplikace v organizaci, která se musí řídit zákonem o kybernetické bezpečnosti ukládá hesla bez soli v použitím MD5 v jedné iteraci. Je to špatně a má za to organizace dostat pokutu? Selským rozumem ano, ale třeba je to systém, který z objektivních důvodů nelze nahradit a byly přijaty opatření, které zneužití této zranitelnosti zabrání.

A právě k tomu slouží bezpečnostní dokumentace, kde si sama organizace definuje co je pro ni přijatelné a co už ne a případně za jakých podmínek.

Takže první musíš mít dokumentaci, pak řešit jestli dokumentace dává smysl a až nakonec řešit, zda dokumentace odpovídá i technické realitě.

Jasně, regulace se může ubírat směrem závazných norem, kde se automaticky zakáže používat určité algoritmy a zavede se systém povinných certifikací. Ale předpokládám, že by firmy křičely o to víc. Nastavení vlastních pravidel (byrokracie) je určitá daň za volnost, kterou regulace firmám dává.