Otazkou je, nakolik je ex-ante model regulace v takovem prostredi funkcni. Popsat vsechny moznosti a varianty reseni je z pozice regulatora prakticky nemozne - a soucasne pri snaze dopredu vymyslet pravida se logicky narazi na to, ze vysledna regulace je v nejakych bodech skorem az nesmyslna. A samozrejme se "resi" jen blbosti ala provadeci vyhlasky a tupe vynucovany zmeny hesel... protoze to je jednouchy... ale bezpecnost to nikterak nezvysi a ve svete okolo se to davno vi.
Jen v Cesku holt jedeme system ctrl-c - ctrl-v, aneb nac sledovat skutecne trendy v bezpecnosti, kdyz muzeme vykopirovat deset i vic let stare vyhlasky. A evropska smernice se jako bonus vyuzije pro prilepkovani veci, ktere nikdo z EU ani nepozaduje - kdy ale vysledkem je kockopes, kdy v kazde zemi v ramci "jednotne" Evropy to ma kazdej jinak.
Samotna NIS2 je v tomhle smeru napsana rozumne - problem vznika az s tou narodni transpozici. NIS2 jen rika, ceho chceme dosahnout... zatimco NUKIB se snazi aktivne kecat i do toho, jak se toho ma dosahnout, jakoby oni jedini meli patent na spravna reseni. Akorat ze nemaji, zas tak velka zkusenost a odbornost tam neni.
jak se tady píše, konkretizovat to asi moc nejde, protože nemáme žádné standardní SW vybavení, ale každý má jiný, problém je to občas konkretizovat i v rámci jedné firmy a jejich policy, natož pro celý stát.
Ty zákony jsou jasné, ale jejich naplnějí je volné, tj. máš systém udržet bezpečný, kontrolovat, že to interně dodržuješ a pravidelně reportovat a vyhodnocovat.
Podobně volně je třeba řešena i fyzická bezpečnost objektů, trezorů a chráněných míst u firem. Je to na firmě, jak si to navrhne, aby dodržela požadavky a až v případě problémů se prokazuje, jestli se něco udělalo špatně nebo podcenilo.