Názory k článku Směrnice NIS2 přinese změny IT procesů, přijde přibližně za rok

Ano, chápu, že tohle se týká firem.
Ale nehrozí, že někomu rupne v bedně a přijde mi dát desetimilionovou pokutu, když jsem se nesamoidentifi­koval jako dotčený subjekt, protože občas někomu poskládám počítač (výroba počítačů) a to někdy v podstatě ze základních součástek (Respbery & spol.), a navrch provozuji pro děti herní server a ještě navrch zkouším s přáteli mastodon (poskytovatelé digi služeb - platforem služeb sociálních sítí)?

Že bych musel platit procenta z obratu mne až tak netrápí, ale co když mne sesadí z pozice hlavy rodiny?

1. 6. 2023, 09:10 editováno autorem komentáře

pokuta musí být přiměřená a adekvátní. Už teď je možné dávat exsesivní pokuty v astronomické výši neděje se to.

Zijes na Marsu?

Samozrejme ze se to deje a to zcela bezne. Pokuta za auto s den propadlou technickou (dotycny na to proste zapomel) ... 50 000Kc. Automaticky bez moznosti ji snizit. Nasledne auto samozrejme vpohode proslo.

Pokuta za dovolenou ucetni = nesplneni 5ti denni lhuty u kontrolniho hlaseni, opet automaticky 50 000Kc (ucetni odpovedela po 7 dnech). Bez ohledu na velikost a prijmy.

To co pro korporaci je castka naprosto k smichu muze byt pro ledackoho castka zcela likvidacni.

Prozmenu pokuty za treba mysi na prodejnach marketu ... kolik 10k? To kdyz hodne ze? To je zisk za tak 100ms.

Slyšel jsem o plno lidech, co jim propadla technická a chytila je policie. Někteří prošli jen s doporučením, aby na ni co nejrychleji zajeli, pár dostalo patnáct stovek pokuty. A minimálně jedno z těch vozidel bylo psané na firmu.

O jakých padesáti tisících to mluvíte?

Anekdoticky potvrzuju: STK propadlá půl roku, zastavila mě hlídka, dvě stovky na místě a dejte to brzo do kupy.

STK propadlá 1/2 roku ... 500 pokuta a dejte si to rychle do pořádku... žádné drama.

Nehrozí.

Kde se vezme tolik bezpecaku pro interni bezpecnostni oddeleni?

Ja treba nevim, jak to bude u nas. Firma s par desitkami zamestnancu (mala? stredni?], verejne dns pro nase domeny, pro zakazniky hlavni produkt CRM, obcas eshop. Budeme do toho rozsahu spis padat ci ne? Kategoriemi se to prolina v "Digitalni infrastruktura", "Poskytovatele rizenych ICT sluzeb", mozna i ""Poskytovatele digi sluzeb"?

Začněte na MPO (odkaz v článku). Tam vidíte, jak velká firma jste (mikropodnik <10 zaměstnanců, malý <50 zaměstnanců, střední <250 zaměstnanců, velký >250 a k tomu zároveň i obrat tj. mikro <2 mil EUR, malý <10 mil EUR, střední <50 mil EUR, velký nad 50 mil EUR). Z toho víte, jaký podnik jste. Pak se podívejte do vyhlášky a tam se píše :
- Digitání infrastruktura : pro vyšší režim jste velký nebo střední podnik nebo poskytujete více než 350 000 SIM, pro nižší režim všichni ostatní (malý i mikropodnik). Důležitá je tak klasifikace dle Zákona o elektronických komunikacích, kde je vyjmenováno, co musíte dělat, abyste byli firma poskytující digitální infratsrukturu. Typicky sem padají Mobilní operátoři, virtuálové, poskytovatelé internetového připojení apod.
- Řízené ICT služby, digi služby : podívejte se do vyhlášky, konkrétně do kapitoly 16 a podívejte se, jestli se tam v oboru poskytovaných služeb "najdete". Pokud ano, je uvedeno do jakého režimu spadáte a za jakých podmínek.

Obecně ale platí, že je dobré najmout si poradce, který vám s tím pomůže tj. s klasifikací.

O co, že to drtivá většina firem pod padesát zaměstnanců bude řešit pouze pokud je s tím někdo bude obtěžovat... A jinak jen tak dál. Alespoň bude tlak na to, aby firmy měly kontraktory a zaměstnanců co nejméně. Jen tak dál.

Pro velikost firmy není rozhodující JEN počet zaměstnanců, je tam i obrat, takže je to těžší se z toho vyvléknout. Navíc, pokud budete poskytovat služby někomu většímu, stanete se součástí jeho dodavatelského řetězce a pokud se tam dostanete, on vás bude muset nahlásit a už to bude - budete součástí prostředí. Chci tím říct, že nebude úplně jednoduché se v systému schovat. A neříkám tím, že nemožné.

V první fázi asi největší tlak bude na "samoidentifikaci", pokud pod regulace budete spadat ale do registru se nepřihlásíte, přijde trest...

Na druhou stranu ta opatření nejsou "tupá", mají dobrý základ a troufám si tvrdit, že každá "zdravá" firma ty postupy už dávno používá.

Nebudou to resit zadne firmy, ani ty nad 200, 500 zamestnancu. Maximalne se vycaluje par desitek/stovek tisic Kc nejake ten "konzultantske" firme, vznikne z toho blabol ktery se vlozi do sanonu, a tim se bude vec povazovat za vyresenou.

Presne stejne jako GDPR. Nedodrzuje to vubec nikdo. Ani iinfo/root.

Jinak pro vás bych to viděl v kategorii 16.13 tj. Poskytování služby
on-line tržiště. Pokud jste velký nebo střední podník, spadáte do režimu nižších povinností. Pokud má vaše firma více než 50 zaměstnanců a obrat do 10 mil EUR, kriterium asi plníte...

Cituji z webu MPO : "Základním kritériem pro stanovení velikosti podniku je počet zaměstnanců posuzovaného podniku a finanční
hodnoty podniku, kterými jsou roční obrat nebo bilanční suma roční rozvahy (tj. výše aktiv).
Pokud dojde k překročení stanovené hranice pro počet zaměstnanců, mění se automaticky velikost podniku bez
ohledu na splnění finančních hodnot (aktiva/obrat). Pokud však dojde k překročení pouze jedné z finančních hodnot
(aktiv nebo obratu) a počty zaměstnanců překročeny nejsou, status podniku zůstává zachován. V případě, je-li
zachován počet zaměstnanců, ale jsou překročeny hodnoty pro obrat i aktiva, je opět nutné přehodnotit velikost
podniku."

Jen pro vyjasnění termínů ze Směrnice Evropského parlamentu a Rady 2005/29/ES:

„online tržištěm“ služba využívající software, včetně internetových stránek, části internetových stránek nebo aplikace, který je provozován obchodníkem nebo jeho jménem, a umožňující spotřebitelům uzavírat na dálku smlouvy s jinými obchodníky nebo spotřebiteli.

případně 634/1992 Sb.

on-line tržištěm služba umožňující spotřebiteli uzavírat distančním způsobem smlouvu s prodávajícím nebo jinou osobou za využití softwaru zahrnujícího internetovou stránku, část internetové stránky nebo aplikaci, provozovaného jiným podnikatelem, než je prodávající, nebo jeho jménem

Jestli do toho tazatel spadá si musí určit podle toho co a jak dělá, já to u minulého ZoKB chápal že se to týká takového toho zástupného prodeje ala Mall nebo Amazon, ale IANAL.

1. 6. 2023, 10:39 editováno autorem komentáře

Kaše se nejí tak horká, jak se vaří...Nový zákon o kybernetické bezpečnosti bude mít dopad hlavně na subjekty, které jsou součástí kritické infrastruktury nebo subjekty dodávající služby elektronických komunikací do kritické infrastruktury. Jedná se o zhruba 150 firem.

Primo v clanku je uvedeno, ze NIS se tykal cca 400 firem. O co mate opreno tech Vasich 150? Navic NIS2 je uveden odhad 15x vice firem oproti NIS.

Treba takova Alza, pokud nespadala do NIS, tak do NIS2 spadat 100% bude.

1. 6. 2023, 10:06 editováno autorem komentáře

Jedna věc je NIS2 a druhá je její transpozice do nového ZoKB... Alza zřejmě spadá do NIS2 jako důležitý subjekt, podle přílohy 2, položky 6. Ale není to subjekt kritické infrastruktury.

Kritická infrastruktura už se v novém ZoKB vůbec nebere v potaz. Nově tam je jen "regulovaná služba"

Mícháte hrušky s jabkama...

Velká mýlka, NÚKIB sám tvrdí, že to bude 6000 firem, analytici říkají, že až 10 000... Rozhodně to nejsou stovky, ale tisíce. Jen těch z kritické infrastruktury už je dnes 400 (v rámci stávajícího zákona o kybernetické bezpečnosti), nový zákon to fakt hodně rozšiřuje.

Subjekty kritické infrastruktury stanovuje Nařízení vlády o kritériích pro určení prvku kritické infrastruktury č. 432/2010 Sb. Nový ZoKB v druhém plánu bude řešit bezpečnost dodavatelských řetězců a soustředí se hlavně na "strategicky" důležité prvky kritické infrastruktury. Těch určitě nebudou desetitisíce, ale nižších pár stovek...

Cituji z https://www.nukib.cz/cs/infoservis/aktuality/1874-nukib-predstavuje-evropskou-smernici-nis2/

"Do roku 2024 by měla mít Česká republika ve svém právním řádu implementovány požadavky nové směrnice Evropského parlamentu a Rady Evropské unie o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, tzv. směrnice NIS2. Ta přináší mnoho změn v oblasti zajišťování kybernetické bezpečnosti a týká se nejen organizací, které jsou již dnes ze zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, ale i velkého množství organizací, které budou do regulace spadat nově a do dnešního dne žádné povinnosti plnit nemusely. Nově tak bude požadavkům a změnám specifikovaným ve směrnici NIS2 podléhat více než 6000 subjektů v ČR namísto nynějších přibližně čtyř set."

Vlastně jde o to, že pojem "Kritická infrastruktura" se už nebude používat, místo toho je zde nově pojem "regulovaná služba". Ta čísla uvádí samotný NÚKIB. Proto to není jen rozšíření kolem "Kritické infrastruktury" + jejich dodavatelé, je to kompletně nově předefinováno. Proto ta změna čísel (a podstatná). Svým způsobem můžeme říci, že je tam spousta subjektů poskytujících regulovanou službu v režimu vyšších povinností, což lze asi říci, že je to bývalá kritická infrastruktura, ale nově je tam skupina subjektů poskytujících službu v nižším režimu a těch jsou ty tisíce. Ty mají nově také spoustu povinností...

Možná je to prostě jen upozornění na možnou bagatelizaci - "ono se to týká jen několika málo firem", což jak se ukazuje napříč všemožnými diskuzemi a výklady jako nepravda.

Pár firem se to týkalo v případě NIS (stále platné), NIS2 to zásadně mění, respektive implementace NIS2 do české legislativy v podobě nového zákona o kybernetické bezpečnosti.

To je ta informace, kterou má článek předat a nastínit, co dělat a co zkontrolovat.

Zaklad je na to kaslat, nebo svejkovat a tvarit se ;-) - kazda slusna firma uz bezpecnost ma - treba ja prisel do firmy a prvni mesic jsem jen vysvetloval konexe na divne porty, divne programy - pak meli seznam co je storage, co je moje privatni VLAN a co je novy monitring server - hezky si to zmapovali a tam vedeli, ze divne konexe delam ja, jeste se obcas ptali z moji VLANy - ale z Monitoring serveru uz ne - imho jsem musel predtim otevirat FW - nebot bez FW u nas nic nefunguje - kdo nechce FW, musi mit privatni VLAN (klasicky NFS servery a ruzne clustery) - i tak mame FW i na serverech - iptables

Nektere ent. storage uzivaji specialni CLI klienty a obcas divne porty, moderni uz https a rest api, u NetAppu jsme dost pouzival SSH a vystup z prikazu, ale ma i rest api ale vsemozne HPE a EMC maji svoje programy a pro security podezrele porty.

Takze spolecnosti, co to mysli vazne security maji a EU je jen bude otravovat s nejaymi nesmysly, pritom to casto maji prisnejsi a male firmy budou dale svejkovat a realne zadna nova bezpecnost nebude, jen sef IT ted bude mit novou funkci nahlasenou nekde na urade - krom dle EU nutneho pozarniho bezpecakaka, pozarni hlidky, clena zdravotni pomoci, kordinatora GDPR - a kupa veci o kterych uz ani nevi, ze je jako ze vykonava ;-)) ... jen by me zajimalo, kdy budou povinne 1. Maje nebo jine vesjene prostutuovani se na vyjadreni podpory EU ... s EU na vecne casy a niky jinak ;-)))

To jsou zase nesmysly co všechno jen prodraží a nadělá se spousta trafik v oblastech kde stále ještě nejsou.

Presne tak. V soucasne dobe firmy ktere jsou soucasti kriticke infrastruktury nesplnuji existujici pozadavky ale budeme to rozsirovat na dalsi firmy a dalsi povinnosti. Co tak nejprve dusledne vymahat splneni pozadavku kladenych na firmy ted misto uvadeni dalsich a dalsich pozadavku?

Co tak spíš negenerovat další lejstra a firmy nechat žít? U korporátu se takový požadavek zrealizuje snadno, zato pro menší firmy to je jen další nálož už tak přebujelé byrokracie a požadavků, nařízení a zákazů.

A lejstra uplne k hounu. Vem si kolik lejster mela Benesovska nemocnice a jaky bordel tam byl a mozna jeste je. Takovych je, az se chce cloveku brecet kdyz ty certifikovany mamlasy posloucha jak to maji zmakly a bezpecny, protoze vcera implementovaly smernici XY, ale ze ma nekdo rozjety hotspot ve firemni siti, to je nes.re.

Je mi líto. Může to být další výroba "dušiček", co "to hodí" o volbách nějaké proczexitové straně.

Beru to z pohledu IT ve firmě. My sami chceme mít rychlost, stabilitu a bezpečnost na co nejvyšší úrovni. Asi každý začíná u Firewallu, následně řeší dostatečnou propustnost a segmentaci sítě. A jistě každý sleduje různé bezpečnostní reporty a hlášení a reaguje třeba i na zprávu, že staré Cisco switche, které už jsou "End of life / Out of support", mají bezpečnostní díry a radši je preventivně vymění za novější kousky už jen kvůli tomu, že má klidnější spaní a ony jsou už stejně tak staré, že si výměnu zaslouží. Výměnou zastaralých VPN na Microsoftím protokolu za něco novějšího to pokračuje. Je toho hodně, co se dá změnit k lepšímu, akorát to vždy narazí na nutnost investic. Rozumný majitel firmy to chápe a investuje do rozvoje IT, nicméně pouze za předpokladu, že se firmě daří a má z čeho brát... Jsem velmi zvědav na situace, kdy některé podniky spadnou do uváděných kategorií a chtěl bych například vidět, jak kupují 100 a více Yubico klíčenek na 2F autentifikaci jen proto, že to nová směrnice požaduje. Kdo to firmám zaplatí? Jistě, penetrační testy si můžu do určité míry udělat i sám, ale nepochybně bude požadován výstupní protokol, který někdo podepíše a dá na něj náležité náležité razítko. Super... Bude zajímavé sledovat, jek se celá situace vyvine.

Tak třeba s tou autentizací je to tam škálovatelné - 2FA, a když ne, tak certifikáty. A když ne, tak heslo, ale musí mít délku 17 a musí po 180 dnech expirovat apod. Takže nikdo firmu nenutí kupovat drahý autentizační HW, ale kecá mu do hesla (např.)

Tahle logika je tam na více místech a pozor jinak se zákon vypořádává s malou firmou a jinak s velkou. Prostě ten zákon není špatný a pojďme se bavit o jednotlivostech....

Omlouvám se, ale zrovna co se týká hesel je to opravdu složitější. Jakmile máte počítačů hodně, jsou různě na pobočkách v celé zemi nebo u sousedů v SK, je jinak marginální problém se změnou hesla noční můrou pro všechny. Certifikát? Skvělé, má také omezenou platnost. A kde jej bude mít uživatel uložen? Přímo v počítači to asi nebude... Délka hesla? Berte řadového zaměstnance, který si má zapamatovat každých 180 dní nové heslo o délce 15 či více znaků. To nemluvím o pravidlech, která někteří regulátoři vymysleli ohledně hesel. Zapamatujte si heslo AFx154+HAAcb@QT... pak se všude povalují papírky s hesly a IT aby pomalu chodili kanálama, lidé je nenávidí. Proto mluvím o hardwarové 2F autentifikaci, třeba přes Yubico. Počítače by měly lidem sloužit, za rozumných bezpečnostních podmínek, o tom žádná. Ale nemáme být otroky nesmyslné bezpečnostní politiky (logikou, nebo finančně).

2. 6. 2023, 08:56 editováno autorem komentáře

Nemluvě o tom, že dneska už úplně všichni říkají, že expirace hesel bezpečnost nezlepšuje a nastavovat se nemá... a my si to dáme do zákona. Bravo :-)

On snad existuje zakon, ktery by nebyl plny podobnych pitomosti?

Pro predstavu, otevrel sem si keepass a vylosoval jednoho zakaznika. Cca 300 hesel. Cast z toho jsou hesla ke vsemoznym externim systemum, kde jaksi nijak neovlivnim, jak funguji. Dale hromada hesel od vsemoznych kusu HW a SW, kde opet nijak neovlivnim, jak funguji - prevazne to hesla umoznuje jen maximalne kratka, velice casto maximalne alfanumericke znaky. Zadny jiny zpusob autentizace to neumi.

Vytahnu jeden takovy krasny priklad, sklad, kde skladnici pouzivaji skladove terminaly. Uz vidim navrhovatele jak do takoveho terminalu patla kazdych par minut (protoze to usne a odpoji se to) 20ti znakove heslo.

Kdyz to zhodnotim, tak lepsi prihlasovani nez kratkym heslem ve skutecnosti muze (teoreticky) pouzivat tak 10% uctu, a i to s velkym ALE.

Edit: K popukani v tomto smeru je to, ze nasle slavne DS v tom jednorazovem prihlasovacim hesle v obalce se zlutym pruhem obsahovaly znaky, ktere ale do hesla prihlasovaciho nastavit nelze - osobne jsem to overoval.

5. 6. 2023, 12:52 editováno autorem komentáře

Můžou už jít všichni tihle zapráskaní paranoidní pseudosekuriťáci se svými tupohmotnými nápady do brusele? Z těch jejich zákonů na kyberšikanu IT pracovníků by člověku prask ve švu… dneska je nejslabším bezpečnostním článkem typicky uživatel, který chce mít klid … a s těmito zhůvěřilostmi bude takových slabých článků jen přibývat. Rozhodně ne ubývat, jen se z toho všichni oakupunkturujeme.
Bezpečák do domu … hůl do ruky (nejlíp hromovou).