Pane Tůma, proč jste vlastně těch deset základních opatření tady nevyjmenoval? Máte také rád diskusi o domněnkách raději než o faktech?

Uregulovat cokoliv k smrti, to je cíl EU. Všichni víme, jak to dopadlo s naprostým nesmyslem GDPR a jak neskutečně otravná je třeba ona cookies lišta na webech, která je doslova na dvě věci, tím spíše, pokud nejste úplný naiva a používáte automatický výmaz historie prohlížeče při jeho uzavření. SPAM v jakékoliv podobě to nevyřešilo, jen na nějakou dobu utišilo, takže stejně jako dříve jste nuceni používat blacklisty, aby jste od toho moru měli pokoj. Rádoby kyberbezpečnost u některých bank došla až do takových absurdit, kdy třeba u RB je pro aktivaci apky v mobilu nutno stáhnout ještě druhou apku a tady i když vlastníte několik let účet naskenovat znova občanku, jako při online zakládání účtu a pozor, tak dokonce foto obličeje toho, kdo si apku chce aktivovat. Neskutečná absurditaTohle je už prostě přes čáru a byla to poslední kapka, abych cokoliv od RB používal, účet zrušil a ponechal účty pouze u bank, které nejsou ještě padlé na hlavu.

co se týče bezpečnosti, tak co vím, tak se ve státních firmách nedělá ani revize zdrojových kódů sw dodaného na základě vyběrových řízení na zakázky, které stát poptává. spousta těch kódů je poskládaná z open source nebo v nich jsou i zkopírované kusy stažené ze stackoverflow, včetně původních komentářů.

A takovéto sestavování zdrojového kódu je podle vás špatně?

Článek nezmiňuje nic konkrétního, je to jen obecné povzdechnutí, že moc regulace škodí a že přehnaná byrokracie je špatná.

Jak si mám udělat obrázek, jestli je v tomto případě skutečně přehnaná? Pokud bych si před přečtením článku myslel, že je, budu uznale kývat. Pokud bych si myslel, že není, budu nesouhlasně mručet. Pokud nevím nic, tak ani po přečtení nevím nic.

Jakákoliv bezpečnostní politika je druh regulace, z jakéhokoliv seznamu regulací jde udělat checklist. Takže článek chtěl nejspíš provolat do světa, že vnitřní regulace firem je lepší než vnější regulace ze strany státu, ale z učebnicových příkladů v teorii her je zjevné, že tohle neplatí obecně automaticky pro všechno, takže by to chtělo zdůvodnit, proč si autor myslí, že to platí zrovna tady.

Komentar byvaleho reditele odboru nedava smysl. Smernice od NUKIBu pouze definuje ty nejzakladnejsi povinnosti v jednotlivych oblastech a to velmi obecne. Do zadneho detailu se tam nezachazi.

Pan Tuma by si misto breku nad "byrokracii" mel nastudovat americky NIST. Napr. kryptograficke algoritmy, kde NUKIB ramcove popsal pozadavky na pul strany A4 je v americkem NISTu standard na 80+ stran provazany s desitkami dalsich dokumentu.

Dalsim svym vyjadrenim ohledne hodnoceni bezpecnosti dodavatelskych retezcu se taky projevil dostatecne. Ono vyradit dodavatele z vyberoveho rizeni bez nejake opory, kterou navrhovany NIS 2 poskytne, nemusi byt vzdy uplne jednoduche. Ale to samozrejme firmy typu Huawei moc dobre vi a proto se taky to soucasne zneni nelibi.

Da se rict, ze jakakoliv firma, ktera alespon predstira, ze venuje kyberbezpecnosti minimalni usili pozadavky NIS 2 davno splnuje. A firmy, ktere kybernetickou bezpecnost neresi... no je rok 2023, zacit s tim meli uz davno.

Přečtěte si rozhodnutí NUKIB v oblasti smart meteringu aplikujte ho do IT a půjdete si koupit tabulku na psaní křídou, jak ve škole za první republiky.

Za mne říkám NE!

Blíží se doba, kdy jedinou starostí firem bude, jak se vypořádat s nekonečnými normami a regulacemi a ještě s dotovanou konkurencí. Kdepak nějaká starost o zákazníka.

A pak se diví, že zbytek světa začíná Evropu válcovat. Už i Čína má zřejmě svobodnější tržní prostředí.

že se tomu vůbec někdo diví