Názory k článku Regulace podle NIS2: Subdodavatele velkých podniků mohou nová pravidla vyřadit ze hry

Ano, je videt ze jste moc pozorne necetl clanek 21, odstavec 5...

Do 17. října 2024 přijme Komise prováděcí akty, kterými stanoví technické a metodické požadavky opatření uvedených v odstavci 2, pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a poskytovatele služeb vytvářejících důvěru.

A porad u toho kutilstvi NUKIBu navic nejak nezapada ono stanoveni hranice 10000 domen, ktere si nekdo vycetl z kavove sedliny, protoze v celem NIS2 zadna takova hranice proste a jednoduse urcena neni. Pokud by se meli prijmout Vase teze e extenzivni vyklad, tak by povinnou osobou musel byt uplne kazdy i kdyz ma DNS i jen s jednou jedinou domenou... tedy treba i spolecnost provozujici tento web (ano, takovy vyklad by v kontextu clanku 3, odstavce 1, pismene b) mohl pripadat v uvahu) a defacto kazdy privatni web, co si spolu s DNS zprovoznite na VPS za par EUR by automaticky musel pri tomto vykladu byt zakladni sluzbou (ale predpokladam, ze toto vyjasni az dnes neexistujici akty EK ad vyse). Proste a jednoduse soucasne zneni s urcujicim kriteriem zrovna 10000 domen je proste paskvil, co nikde v nadrazenych dokumentech oporu proste a jednoduse nema.

Respektive si to pani urednici na urade proste jen (jak maji ve zvyku) zjednodusili - protoze on mira rizik ve smyslu toho clanku 21 se neda merit jen poctem domen na danem nameserveru. Muzete mit nameserver, kde tech domen bude pouze 200 a rizikovost (ekonomicke a spolecenske dopady) bude vetsi, nez treba u 20000 blogisku o kockach, psech s minimem navstevh... coz prave ten clanek 21 zohlednuje a v NUKIBu se na to v ramci zjednoduseni sve prace jaksi vykaslali, ze?

A ze to muze byt v technicke rovine jeste slozitejsi - jakoze treba na tom jednom nameserveru se vam mozna tech 10000 domen potka, ale v realu jde jen o nejaky sekundar, co ma primar uplne jinde se neresi projistotu vubec (sluzeb, co vam zadarmo nebo fakt velmi drobny peniz tohle poskytnou take par najdete). Realne riziko tam asi nebude moc velke, ze?

A ze NUKIB je papeztejsi nez papez ostatne ukazalo uz to, jak si vytreli zadek s NIST SP 800-63B, kdy nam ve vyhlaskach chteji narizovat veci, ktere by se podle teto normy delat vubec nemely. Protoze si v NUKIBu mysli, ze jsou chytrejsi nez v NIST (a dalsich podobnych organizacich na zapad od nas,napr NCSC) - cimz defacto sami porusuji i clanek 25 NIS2, kdyz uz tu teda nekoho chcete obvinovat z z toho, ze ty smernice necte ;-)

Urcujici kriterium zrovna u toho DNS vymyslel viditelne urednik od stolu systemem "jeee, 10 tisic je domen druheho radu uz asi hodne, to bude urcite potreba regulovat". Aneb vubec se neresi obsah a realna dulezitost tech domen/obsahu a zcela se ignoruje fakt ze domenu druheho radu se dnes registruji doslova na kazde uprdnuti a ze ten obsah v realu je bezvyznamny se uz samozrejme nijak neresi. No jisteze, to by zase bylo pro urad prilis mnoho prace, vymyslet nejaka sofistikovanejsi pravidla... sup s tim do rezimu vyssich povinnosti.

A v pripade, ze se rozhodnete provozovat verejny rekurzivni DNS server, tak tam automaticky spadnete i v situaci, kdy tam realne nikdo nepoleze :-)

A samozrejme, u toho DNS se vubec neresi, jestli jste mikropodnikem nebo velkym podnikem. Do rezimu vyssich povinnosti spadnete za vsech okolnosti. Krasna past, zvlaste na male webhostery, jiste budou mit radost... ;-)

Coz samozrejme opet nevyresi v popisovanem problemu vubec nic, protoze nic nikomu nebrani ten DNS server provozovat treba z Nemecka, kam NUKIB se svymi narizenimi nedosahne.

Potencialni utocnik se opravdu nebude zabyvat nejakou smernici ani kdyby to provozoval na uzemi CR (a zname ty vtipy s fake-ucty, anonymnimi emaily a falesnymi kreditkami na VPS za par centu).

Muzeme se klidne vsadit o to, ze podobne utoky nezmizi a dokonce ani nepoklesne jejich pocet. Ono i jen v pripade, ze to bude pod .cz domenou mate dost registratoru, kteri nesidli v CR (tudiz se ani nemusi trapit tim, co nas NUKIB kde vymyslel), ale domenu pod .cz vam zaregistruji.

Ale vase ochota obhajovat to, ze si z poskytovani sluzeb na uzemi CR pro nase podnikatele delame vetsi pakarnu, nez nam ukladaji evropska narizeni a smernice je dojemna, to se musi nechat... :-)

Jenze tem zaklad v NIS2 zminujici vsechny DNS se tyka vsech DNS bez ohledu na velikost, ale nas rezim "vyssich povinnosti" pri provozu vice jak 10 tisic domen je uz prilepek od NUKIBu, ktery nema v NIS2 explicitni podporu. Primo ve smernici 2022/2555 EU zadne takove kriterium neexistuje, dokonce zde i predbihame EK, protoze ta ma lhutu az do 17. rijna 2024 - dokdy nejaka kriteria urceni vyznamnosti k DNS maji urcit.

To si jen tradicne delame v Cesku vetsi prisnost, ze? A pak se bude nadavat na tu zlou EU, ale vubec nechceme videt to, ze tu (vetsi) pakarnu nam s z toho delaji nase vlastni urady ;-)

Základni problém je, že EU Parlament + EU Komise očividně nabyli pocitu a božského prozření, že musí páchat dobro skrze své "dobře myšlené nápady (aka příkazy, regulace, zákazy, omezování atd.) .. " i když se je o to k-- va nikdo nežádá!

- zářný příklad z českého prostředí.. Piráti a jejich "nutné zavedení jednoznačného identifikátoru místo RČ" - nikdo se o to neprosil, nikdo o to nestál, nikdo to NECHTEL.. ale oni mermomocí museli NECO vymyslet, aby měli svůj "pomníček slávy v historii"

TOTO je naprosto to samé.. to už nemůže dllouho trvat, až hodně lidem dojde s těmi knížecími radami a nesmyslnými příkazy cca 1500 "vyvolených", co žijí v nějaké abstraktní bublině mimo běžnou realitu, trpělivost.. nejpozději v okamžiku, kdy by snad 1500 jedinců rozhodlo o zákazu spalovacích motorů v populaci 500 milionů..

U regulace DNS nejde vůbec o obsah, ale o rizika spojená se slabými autentizačními systémy a stanovení identity v kontextu registrace domény. Služby DNS jsou součásti vektorů kybernetických útoků, jako například DNS spoofing.

Regulace DNS vychází přímo z evropské směrnice, takže pokud ho bude provozovat z Německa, bude ho řešit tamní BSI.

Pak jste NIS2 asi nedočetl. V Příloze 1, v sekci 8 Digitální infrastruktura jsou vyjmenované služby "Essential", které jsou u nás ty regulované služby "vyšších povinností". A mezi nimi jsou služby DNS...

Datum o 17. rijna 2024 je termín, do kdy má být NIS2 transponována do národních legislativ členských států EU, kde ty kritéria jsou jasně daná.

"a v NUKIBu se na to v ramci zjednoduseni sve prace jaksi vykaslali"

... nemuzete se vykaslat na neco, cemu vubec nerozumite. Je to jen pokracovani jejich setrvale naprosto nemohoucne cinnosti, viz ostatne o kousek vedle "zakaz" tiktoku.

Je to stejne, jako kdyz mate ve firme manazera. Nevi co jeho lidi delaji, nevi proc to delaji a tak jedine co zvlada, je kontrola pichacek. Schopnosti nukibu jsou exaktne stejne.

Text NIS2, tak jak ho vyprodukovala EU je ale v pohode, tam se ocekava zhodnoceni ekonomickych, spolecenskych dopadu a zavaznosti a resi se primerenost prijatych opatreni - problem nastava az u narodni transpozice, co produkuji nase urady - v tomto pripade NUKIB - kdy to tam pojali tak, ze prisnost musi byt a to, co chce nase narodni transpozice jde daleko za pozadavky NIS2 stylem, aby se u toho na uradu moc nenadreli. Ostatne to casty jev, kdyz se transponuje neco z EU do naseho pravniho radu.

Vsak na to take uplne vsichni aplikuji presne tomu odpovidajici pristup ala Svejk. Ja bych trebas zablokoval pristup k DNS ze vsech IP vsech uradu, at si to oni delaji jak chteji.

No ale oni se tvari, ze tomu rozumi... :-) A i z komentaru k pripominkam je patrno, ze pocit ze tomu rozumi maji - a pripominky jednoduse odmitaji.

Proste na urade hledaji cesty, jak to mit pro sebe jednoduchy, tedy co nejjednodussi urcujici kriteria - kdy se ale ignoruje zneni clanku 21 NIS2. Je to explicitne videt treba z upravy kolem DNS, kdy proste vycucali z prstu cislo 10 tisic domen pro urceni subjektu do rezimu vyssich povinnosti - ale zadne hodnoceni spolecenskych, ekonomickych dopadu tam nenajdete... ty dopady se rozhodli urcit jen podle nejakeho cisla.

Byly tam i pripominky, at se to aspon zvedne - ale i to odmitli. Aneb podle NUKIBu je vyznamny spolecensky a ekonomicky dopad uz jen to, ze se nedobouchate na 0,6% .CZ domen (zjednodusuji; protoze samozrejme typicky mate registrace i pod jinymi TLD), ale nikdo neresi jejich obsah... takze zasadni problem spolecensky a ekonomicky podle NUKIBu je i to, ze se nedostanete na 10 tisic blogu... :D