pelirob ano, se státní správou mám celkem dlouhodobý zkušensti (bohužel i zevnitř jako přímý aktér 🤮 ). A k zákonu bych měl hromadu připomínek, ostatně NUKIB jich dostal dost, bohužel je ignoroval.
Ale tady se bavíme o datech pro CERT, kde přece jen nesedí hloupí lidé, ba naopak a ti jsou schopni s těmi daty pracovat podle potřeby.
A ano, vámi uvedený příklad je reálný a třeba v případě informací o chystaném DDoS útoku má smysl poslat informace všem 3 subjektům, protože na na bude mít impact. V případě jiné bezpečností hrozby, například snahy ovládnou servery na daných IP je to primárně informace pro tu vodárenskou společnost, která je provozuje. Maximum co se stane, že možná někdo dostane varování navíc. Zrovna v tomhle případě je lepší zpracovávat planej poplach, než o něm vůbec nevědět.
Scénaře mohou být různé a svět je barevnější než jeden formulář. Nehledal bych v tom složitosti různých zákoutí a věřil tomu, že lidi z CERTu budou vědět, jak reagovat. Naopak bych se jim snažil pomoci.
P.S. O tom že ten koncový subjekt je regulovaný, nemusíte jako ISP vůbec vědět. V případě že není, můžete mu pomoci. Já bych to vnímal spíš jako businessovou příležitost.
