NIS2 (Zákon o kybernetické bezpečnosti)

iTomB

https://www.novinky.cz/clanek/internet-a-pc-mobil-nejasna-pravidla-operatorum-kriticke-infrastruktury-vadi-kyberbezpecnostni-zakon-40422735

kamilj

iTomB

Někde to jde a někde to nepůjde protože NÚKIB.

10. 2024
V Německu jsme se s vládou na Huaweii dohodli, říká Joakim Reiter z Vodafonu

V Německu se operátoři s vládou dohodli na pravidlech využití zařízení čínských značek Huawei a ZTE v mobilních sítích. Jak však Joakim Reiter, ředitel skupiny Vodafone pro vnější vztahy, vysvětluje, s pravidly v rámci EU to je složitější. Problém je v tom, že členské státy mají společnou dohodu, ale dochází ke střetu právních předpisů.

Zdroj: https://www.idnes.cz/mobil/tech-trendy/joakim-reiter-vodafone-rozhovor-bezpecnost-siti-huawei.A240911_132930_mob_tech_jm

zdeneksvarc

To se nedivím, páč pak by v síti nemohlo být nic od soudruhů z poza louže, https://en.wikipedia.org/wiki/Vault_7 😄

zdeneksvarc

Když ty připomínky jeden pročítá, musí nabýt nutkavého dojmu, že ten paskvil se má shodit ze stolu a začít úplně znovu. Možná začít zrušením úřadu, který funguje víc jako dealer "jediné správné" výpočetní techniky a ministerstvo pravdy zároveň 🤡 Mimochodem RISC-V a LoongArch jsou nyní oficiálně podporované architektury v Debianu. Skanzen je dobrý, když chceme ukázat dětem, jak se žilo dříve. Ale mít za pár let skanzen z celé ČR zase tolik nepotřebujeme 😄

Seznam připomínek

https://odok.cz/portal/veklep/material/pripominky/ALBSCSSFKU7S/

Komentář připomínek na Lupě

Komentář APMS

https://apms.cz/zkb-pripominky-statu/

star_gate

Nás se tahle "radost" taky nějak týká? Četl jsem to jen tak letmo a nejsem z toho moc moudrej

majklik

zdeneksvarc Hele, ta geopolitická zakazovací hra s vlastní NIS2 až tak primárně nesouvisí a asi ani menší telko netrápí. Že je nějaký bordel v každé bedně, tak o tom jsem denodenní praxí přesvědčen. :-)
NIS2 pro malé ISP bude problém hlavně ten boj s vnitřním nepřítelem, který se požaduje také řešit. Zkrátka to oddělení rolí i v režimu mírnějších opatření tam je a one man sro/osvč bude muset nějak pořešit.

star_gate Jo, poskytoval veřejné telekomunikační sítě padá dle těch pravidel aktuálně pod regulaci automaticky, minimálně v tom mírnějším režimu. Do přísnějšího měl padat ten, kdo má víc než 100.000 přípojek v ČR (a nebo víc než 350.000 SIM), ale tahle podmínka tam na jaře odpadla, že bude znovu upřeněna později.

zsir Ne, máš jen 2 úrovně povinností (vynechme tu nejpříjemnší úroveň - že se mě ta regulace vůbec netýká). Jinak reportování všeho a NÚKIBu se týká toho, kdo je v té vyšší úrovni regulace. Kdo je v základní, tak reportuje jen významné události a reportuje je národnímu CSIRTu. Co je významná událost je v mé kompetenci, jak si to nastavím (jo, jsou věci, kde to mají předepsáno z jiné legislativy). Takže půjde hlavně o to, co si rozumně stanovit, takže hromada papírů a cca každé 2 roky je projít a akatualizovat. :-(

Ale dokud to nebude celé schválené a hlavně k tomu nebude ve Sbírce zákonů ty prováděcí vyhlášky, tak je to celé otazník...

kozlicek

me se "zdá" (ač se o tom nepise) ze ze tam jde u ispku( velke trojce) hlavne o huawei.ze kdyby rekli ze je to nepripustne tak by to museli v core siti vymenit... coz neni za "pakatel".

zsir

čím menší firma, tím méně povinnosti. Ale bez povinnosti to dle mýho nebude.

Nicméně měly by se implementovat utoky na sít a posílat na NUKIB, ale jelikož ddos běhají nonstop, tak těžko říct co by s tím úřad dělal v takovym množství. Ale na školení jsem byl před cca 3/4 rokem, takže všechno může byt jinak, tak třeba někdo řekne někdo s aktuálnějšíma informacema.

zdeneksvarc

Zákon o kybernetické bezpečnosti potřebujeme. To je bez diskuze. Minimálně pro lepší pocit a osvětu. Jenom nemůžeme jak oslové hýkat, že nebezpečí přichází pouze z východu, abysme ignorovali vlastní sviňárny. Každý státní a nadstátní aktér s geopolitickou ambicí musí mít hacking agendu na vysokém stupni priorit. Východní, západní, intergalaktický. To je realita.

České heslo na Wikipedii věnující se Vault 7 je hezky zpracováno, https://cs.wikipedia.org/wiki/Vault_7, ale anglické je o něco obsáhlejší, https://en.wikipedia.org/wiki/Vault_7. Těch nástrojů a prolamovacích způsobů bylo a bude mraky. Na veřejnost unikne jen zlomek. Na RouterOS byl zaměřený ChimayRed.

Je to podobné jako s GDPR. Myšlenka dobrá, provedení otřesné, ale největší dopad byl v osvětě. Za to patří GDPR velké díky. NIS dopadne podobně.

macek

Jsou tu nějaké změny nebo novinky?

helapc

Pokud jsi stihl registraci, tak zatím nic.

helapc

Mě už registrace dorazila potvrzená. Chtěl jsem tam nahlídnout a opravit ty veřejka, ale hlásí to že to je stále v procesu. Tak jsem napsal info o chybě.
Níže posílám vícuc co mi udělala AI ze zaslaného potvrzení:
✅ Co MUSÍTE aktivně udělat teď (nejbližší týdny)

Do 30 dnů od doručení rozhodnutí
Musíte NÚKIBu nahlásit údaje podle §11:

kontaktní osoby

technické kontakty

doplňující údaje k poskytované službě

informace o infrastruktuře

➡️ Dělá se přes:
👉 https://portal.nukib.gov.cz/
Pokud jste to celé nevyplnili už v ohlášení (většinou ne), tohle je první povinný krok.
Typicky:

bezpečnostní kontakt (Security Officer)

provozní kontakt (NOC)

management kontakt

dostupnost 24/7 pro incidenty

⏱️ Co MUSÍTE stihnout do 1 roku (tzn. cca do 5. 2. 2027)

Zavést bezpečnostní opatření (§13)
Tohle je ta velká část = musíte zavést řízení kybernetické bezpečnosti.
Prakticky to znamená zavést minimálně:

řízení přístupů

správu aktiv (evidence serverů, síťových prvků)

řízení zranitelností

logování

zálohování

řízení dodavatelů

řízení incidentů

kontinuitu provozu (BCP/DRP)

analýzu rizik

= interní bezpečnostní dokumentace + procesy
Jinými slovy:
📁 budete muset mít něco jako zjednodušené ISO 27001

Připravit se na hlášení incidentů (§15)
Do 1 roku musíte být schopni:

detekovat bezpečnostní incident

vyhodnotit ho

nahlásit NÚKIBu

Tzn.:

mít definováno co je incident

kdo ho řeší

jak se eskaluje

jak se reportuje na NÚKIB

📢 Průběžná povinnost odteď

Hlásit změny do 60 dnů
Jakmile se změní např.:

rozsah služby

infrastruktura

počet zákazníků (může změnit režim!)

vlastnictví sítě

outsourcing

➡️ musíte to nahlásit přes portál NÚKIB do 60 dnů

⚖️ Volitelně (ale běží lhůta!)

Odvolání do 15 dnů
Můžete podat rozklad proti rozhodnutí.
⚠️ Nemá odkladný účinek
= povinnosti běží i když se odvoláte

🔴 Co to znamená prakticky pro ISP jako jste vy
V horizontu 2026 budete muset mít:

analýzu rizik sítě

evidenci zařízení (routery, switche, servery)

řízené přístupy adminů

logování přístupů

zálohy konfigurací

plán řešení výpadku sítě

postup pro hack / DDoS / kompromitaci

A NÚKIB vás na to může přijít zkontrolovat.

Pokud chcete, můžu vám teď rozepsat:
👉 co přesně musí ISP vaší velikosti reálně zavést (minimální „NIS2-lite“ varianta, aby to prošlo kontrolou).

zero

Jen dodám, že tyhle kroky se liší podle toho, zda jste registrováni v nižších nebo vyšších povinnostech.

helapc

Souhlas. Jsem v nižší povinnosti.

stepan_benes

Ten výpis z AI opět dokazuje, že v současným stavu implementace je to naprosto skvělý sluha, ale skutečně zlý pán. V mnoho ohledech má recht, ale třeba naprosto kritickou věc totálně dezinterpretuje.