+420 703 404 004
petr@pribehrajske.cz

Vykašlete se na NIS2

IT pro ty, co umí hlavně jiné věci

Vykašlete se na NIS2

První reakci řady z vás si umím představit – asi se úplně zbláznil.  Věřím, že ne, a hned se to pokusím vysvětlit.

Regulace NIS2 a s ní související připravované legislativní změny, o kterých se teď poměrně hodně mluví a nepochybně ještě více mluvit bude, je v podstatě určitá forma implementace systému řízení bezpečnosti informací (SŘBI), po angielsku Information Security Management Systém (ISMS), která je postavena na normě ISO 27001.

Nicméně je zde podle mě jedna zcela zásadní odlišnost. Není to tak úplně o IT, ale o dostupnosti tzv. regulovaných služeb. Trochu jsme se tomu věnovali v článku Aby pekaři pekli… Co je to regulovaná služba a kdo je její poskytovatel teď není úplně důležité, to nám poví připravované vyhlášky.

Zaměřil bych se na slovíčko dostupnost. Laskavý čtenář našich stránek si jistě pamatuje, jaké jsou základní vlastnosti informačního systému. Psali jsme o tom někde tady a říkal, jsem vám, že znát to bude důležité. Pokud jste tak neudělali, tak teď vám to bude chybět.

Připravovaná legislativa, alespoň podle toho, co bylo dosud publikováno, se skutečně soustředí pouze na to, aby to fungovalo. Říká – pekaři peč, lékaři leč, úřade úřaduj. Trochu jsem vyměkl, ale chci, aby to bylo srozumitelné i pro komunální politiky, které prý termín obcování uráží.

Předkladateli je totiž úplně jedno, zda si někdo stáhne recepty na vaše jedinečné vanilkové rohlíčky, plány na výrobu vašeho nového supermoderního bitevníku a já nevím, co ještě. Důvěrnost ho v podstatě nějak moc nezajímá, je mu úplně jedno, zda vám někdo kuchá data z vašeho CRM, hlavně, že pečete, léčíte a … však víte. Samozřejmě pokud kompromitace důvěrnosti neohrožuje dostupnost regulované služby, ale to už je vám asi jasné.

A to je správně. Jsem přesvědčen, že stát by měl skutečně regulovat jen nezbytné věci a v tom ostatním nám nechat svobodu. Svoboda je nesmírně důležitá a je potřeba si ji chránit. Nebo se vám zdá představa, že vám někdo ukrade databázi odběratelů a recept na Becherovku a stát vám za to napaří pokutu málo morbidní?

Pozorný čtenář si jistě klade otázku, jak je to s tou integritou. Řekl bych tak padesát na padesát. Pokud porušení integrity má dopad na dostupnost regulované služby, tak je potřeba ji řešit, ale to už jste určitě pochopili sami.

Abych to nějak uzavřel. Podle mého názoru je NIS2 a co z něj vznikne jen část skutečného systémy řízení bezpečnosti informací. Tímto opatřením se stát snaží eliminovat dopady kybernetických útoků na pro něj významné oblasti. Určitě to však neřeší ochranu informací jako celek. Zájmy státu a vaše v této oblasti mohou být v řadě případů významně odlišné.

Správně by tedy nadpis měl znít – Vykašlete se na NIS2 a budujte systém řízení bezpečnosti informací, ale chtěl jsem vás donutit ať to dočtete až sem.