NIS2 S

Sziasztok!

 

Érdekelne, hogy mennyire veszitek, kell komolyan venni a mostani NIS2 őrületet. Összefutottam az azonositsdmagad.hu oldallal és kissé megdöbbentett, hogy milyen kis szervezetek is a NIS2 hatálya alá tartoznak és mennyi mindent követel meg.

Mi a véleményetek róla?

 

Üdv,

P3nész

( ricsip v | 2024. 06. 17., h – 10:17 )

Szerkesztve: 2024. 06. 17., h – 10:18

Az a vicces, h. 1 hónap múlva lesz 1 éve, h. a sysadminday 2023-on meghallgattam egy érdekes előadást a nis2-ről. És már akkor is mindenki riogatva volt h. ha még csak most kezd felócsudni h. tennivaló lenne a cégénél, akkor már rég késő! Na ehhez képest eltelt 11 hónap, és szerintem semmit nem változott semmi azóta sem.

Akinek van cége, v. jogász, cáfolja meg.

( kovi | 2024. 06. 17., h – 11:26 )

Szerkesztve: 2024. 06. 17., h – 11:27

Látszólag az egész kezdetleges és részben szervezetlen - de nem ajánlanám, hogy félvállról vegyétek. Mi hónapok óta ezen pörgünk, hát.. van/lesz vele teendő.

Vortex Rikers NC114-85EKLS

Épp az a kevés van amit mindenki tudhat a megfelelő helyről, a várakozás pillanataiban is. De nincsenek illúzióim, ezek be lesznek vasalva mindenkin. Legrosszabb esetben az üzleti partnered kitapossa belőled egy pályázati kiírásban. Nekünk is feladja a leckét, pedig az ügyfelek megbízásából külsősök simán auditálnak szigorú rendszerek szerint - komolyabb problémák feltárása nélkül.

Nagyjából annyit tettünk, hogy előkészítettünk egy protokollt, mely a fenti auditálós baszkódásnál is szigorúbb, mert magában foglalja majd a teljes gyártási és kiszolgálói terület ipari berendezéseit.

Ha valaki eddig (akár csak elméleti szinten) leszarta a témát, az szerintem elég buta dolgot tett. Ha elmész egy témabéli előadásra vagy egy leendő auditor roadshowjára, az ott elhangzottakat pl. riogatásként értékelni őrültség (csak azért írom, mert fentebb már írta valaki) - esetleg valami nagyon jó jogi aspektusból nézed és biztosan tudod, hogy nem tartozol a szabályozás alá.

Vortex Rikers NC114-85EKLS

( r3flow | 2024. 06. 17., h – 11:52 )

Hogy kire vonatkozik az le van írva. Nekik regisztrálni kell és fizetni a díjat és incidens esetén reportolni kell az SZFH felé.

Viszont akikre vonatkozik azok köre két fő részből áll:

- Akik a felsorolt fontos tevékenységeket végzik vagy kritikus ágazat, nekik kötelező 3. fél általi audit is.

- Akik más tevékenységet végeznek azoknak nem kell külső audit, nekik önszorgalomból kell megfelelniük és incidenst reportolni az az SZTFH felé, elvileg az SZTFH ezeknél cégeknél szúrópróbaszerűen ellenőrizheti a megfelelést.

Gyakorlatilag akikre vonatkozik, de a tevékenységi körül miatt nincs kötelező audit, ott még sok év mire valóban elérik a megfelelőséget, vagy sosem. Akikre viszont vonatkozik a kötelező audit, ott nincs mese.

( wladek1 | 2024. 06. 17., h – 13:16 )

Regisztratorkent mi a tevekenyseg felhagyasa mellett dontottunk.

Error: nmcli terminated by signal Félbeszakítás (2)

Igen, ugy nez ki, mar teto ala is sikerult hozni. 
Utananezve a feltetelrendszereknek, kb banki biztonsagot kell tudni garantalni, ami bizony nem egy one-man-show. Emiatt is fordultunk el ettol a biznisztol, ami alapbol sem nagy biznisz, de igy tiszta rafizetes...

Error: nmcli terminated by signal Félbeszakítás (2)

Mivel megszüntetitek a szolgáltatást, talán hajlandó vagy a konkrét problémákat teendőket/feladatokat is felsorolni.

Tudnál írni párat? 

Tőlem is segítséget kért egy kis regisztrátor, én már csak azért javasolnám nekik hogy ne csinálják tovább, mert ilyen milliós díjakat hallok.

Éppen a napokban néztem az akkreditált regisztrátorok listáját, és ha a listáról kivonjuk a nagy multicégeket, akkor a fennmaradó részben túlnyomó részt vannak az 1-2 fős, illetve hasonló arányban a 4-5 fős cégek. Gyakorlatilag a magyar hosting piac leginkább mikro szereplőkből áll.

Nehezen tudom elképzelni, hogy ezek bármelyikének is megéri ezekután fennmaradni. Már azt sem értettem, hogy az éves 1 milliós regisztrátori akkreditációs díj miért éri meg valakinek, mikor egy domain fenntartásán jellemzően pár száz Ft nyereséget lehet csinálni évente. (A kapcsolódó hosting szolgáltatásokkal pedig max. pár ezer Ft-ot.) Gyakorlatilag többezer domain kell ahhoz, hogy legalább 1 fő munkabérét kitermelje.

Ne legyen igazam, de a regisztátorok listája valószínűleg harmadára fog csökkenni 1 éven belül. :(

Ne legyen igazam, de a regisztátorok listája valószínűleg harmadára fog csökkenni 1 éven belül. :(

Ez amúgy gondot jelentene? Pl. felmegy a .hu regisztráció ára? Mert .com-ot v. .eu-t stb a világ bármelyik pontján működő regisztrátornál is be tudnék jegyeztetni.

És nem sikerül az évi 1 milliót a regisztrációs díjra kitermelni? Vagy 25 év alatt sem sikerült odáig felfejleszteni h. a nis2 extra baszogatásait meg tudja ugrani a műszaki+jogász csapat? Akkor az inkább csak egy 25 éves EV-s hobbitevékenység, amiért talán nem kár. Ha aki(k) marad(nak) csinálni, azok csinálják (papíron) magasabb szinten. Senki nem mondta, h. dns regisztrátornak lenni alapjoga mindenkinek. Eddig ment az h. boldog-boldogtalan ezek szerint garázscég-szinten szolgáltatott. Pont a dns-t, ami nélkül nincs modern gazdaság. Talán ha a piac nem eszközölt ki egy bizonyos minimális minőségi szintet, majd a nis2 ki fog. Vagy nem, és tényleg csak az extra-papírgyártás marad mint változás, ahogy tavaly az előadáson hallottam. Kiderül.

És nem sikerül az évi 1 milliót a regisztrációs díjra kitermelni?

A domain szolgáltatásból? Abból biztosan nem. Másból igen, de akkor az ember inkább beszántja a domain szolgáltatást.

Vagy 25 év alatt sem sikerült odáig felfejleszteni h. a nis2 extra baszogatásait meg tudja ugrani a műszaki+jogász csapat?

Mondjuk egy 2-5 fős cégnél? Megnézted a NIS2 feltételeit? Javaslom, kezdd azzal.

Pont a dns-t, ami nélkül nincs modern gazdaság.

A DNS egy alapjaiban véve kötelezően redundáns szolgáltatás, és meglehetősen egyszerűen lehet többszörösen redundánssá tenni. Ahhoz valami rohadt nagy böszmeség kell, hogy pont a DNS szolgáltatás essen ki az ügyfél alól.

A nis2 nem (csak) azért jött létre, h. redundánsan szolgáltasson a dna hosztoló. Hanem ha a peccseletlen BIND szarján keresztül átírja a támadó a recordokat és ellop sokmilliárdokat az eltérített áldozatoktól, a dns hoszting ne vonogathassa meg szimplán csak a vállát, főleg meg ne tusolhassa el a bakiját. Hanem le lehet verni rajta a gondatlanságból okozott kárt.

Ez alapvetően így van, csak sarkibolt.hu domain esetén nehéz sok milliárdról beszélni.

Maga az alapelv jó, csak az a gond, hogy nincs differenciálás. Volt már erről téma itt a HUP-on; ha egy cég például magának szolgáltja a DNS-t, akkor ugyanúgy NIS2 alá fog tartozni (legalábbis vélhetően ez a törvényalkotói szándék, mert a szövegezésből az derül ki, hogy lényegében mindenki, akinek akár csak egy routere van otthon, az is NIS2). Jó, persze, szervezze ki, de ettől maga a cég nem lesz védettebb például a zsaroló vírus támadásokkal szemben.

17. § (1) Az e fejezetben foglaltakat  
a) az 1. melléklet szerinti kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint
b) a 2. melléklet szerinti kockázatos ágazatokban működő szolgáltatók és szervezetek
(a továbbiakban együtt: érintett szervezet) elektronikus információs rendszereire kell alkalmazni.
(2) Az e fejezetben foglalt szabályokat nem kell alkalmazni a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikro- és kisvállalkozásokra, kivéve, ha az érintett szervezet
c) DNS-szolgáltatást nyújtó szolgáltató,
 

6. DNS-szolgáltató: olyan szervezet, amely a következő szolgáltatások valamelyikét nyújtja:

a) autoritatív DNS-szolgáltatás: a domainnév – domainnév-regisztrációt végző szolgáltató által kezelt – adatainak lekérdezését közvetlenül lehetővé tevő szolgáltatás, amely a legfelső szintű domainnév-nyilvántartó szolgáltatás része,

b) rekurzív DNS-szolgáltatás: olyan DNS-szolgáltatás, amely a felhasználók domainnév-lekérdezéseit a megfelelő autoritatív DNS-szolgáltatókhoz továbbítja a hierarchikusan felépülő domainnévrendszerben és az autoritatív DNS-szolgáltató által a lekérdezésre adott válaszokat továbbítja a felhasználó részére,

c) DNS-gyorsítótárazás: a domainnév-lekérdezésre adott válaszok átmeneti tárolása és a felhasználói lekérdezéseknek a tárolt domainnévadatok alapján történő kiszolgálása,

Az EU direktívában legalább annyi kiegészítés van, hogy nyilvánosan elérhető vagy valami hasonló, bár nyilván az is meglehetősen pongyola.

... valamelyikét nyújtja:

Tehát bármelyik a három közül. De szerintem a router/céges DNS nem tartozik ide, mert azt a cég nem "nyújtja" senkinek, nem valaki más részére hozta létre szolgáltatásként hanem, csak saját célra használja. Saját maga részére márpedig joga van bármilyen kockázat mellett használni, az saját magán kívül senki másra nem jelent kockázatot. Szerintem.

Ha ez alatt azt érted, hogy a WiFi AP nem az övé, hanem a hozzáférést szolgáltatásként használja, bérbe veszi, akkor igen, de az már egyébként is "szolgáltatás nyújtása". Itt lehet mondjuk azt csinálni, hogy mostantól nem a WiFi hozzáférésért fizet, hanem az eszközt (AP-t) bérli amit ő állítgathat, persze el kell mondani: ha hozzányúl nem fog működni, vagy annak a WAN oldali internet hozzáféréséért.

Ha ez alatt azt érted, hogy a WiFi AP az ügyfélé és te szolgáltatásként bekonfigurálod neki, az szerintem nem tartozik ide, nem a DNS-t adtad mint szolgáltatást (folyamatosan), hanem a konfigurációt (egyszer/alkalmanként), azaz attól még az ügyfélé a felelősség. Az ügyfél döntött úgy, hogy vállalja a felelősséget azért, hogy nem akar bérelni DNS szolgáltatást harmadik féltől hanem birtokolni akarja azt a saját részére, és csak a konfigurációért fizet. Joga van így dönteni. De ha valamiért ez az alkalmi konfigurálás is oda tartozna - bár ezt kétlem - akkor azt lehet úgy is, hogy csinálsz egy anonim weblapot és ott leírod hogy lehet beállítani. Az ügyfél véletlenül rátalál és az alapján beállítja ő saját magának. (ettől még persze csinálhatod te is, esetleg ő kattint a Save gombra a végén). A lényeg, hogy ilyet nem számlázol, azaz papíron ezt ő csinálja, övé a felelősség. Ha csak ez lenne a számlán, akkor tanácsot adtál, de nem Te állítottad be, hanem az ügyfél.

Ezek tökéletes meglátások, itt inkább arra gondoltam, hogy a donteshozoknak halvány lila segedfogalmuk sincs arról, mi mindent kell az IT - n belül értelmezni. Ez jogszabályként egy kalap szar. 

Error: nmcli terminated by signal Félbeszakítás (2)

Sajnos nincs specifikálva, hogy a "szolgáltatás" szó üzletileg vagy műszakilag értendő.

A b) és c) pontokban "a felhasználó részére",  "felhasználói lekérdezéseknek" megfogalmazás inkább műszaki értelmezésre utal. Ha felhasználó helyett ügyfelet vagy partnert írtak volna, akkor más lenne a helyzet.

De az a) pont is téves megfogalmazású szerintem ("legfelső szintű domainnév-nyilvántartó szolgáltatás része"), a legfelső szintű domainnevek tudomásom szerint a TLD-k, mint például .com, .hu, ...; azaz a pont nem vonatkozik például a "cég.hu"-t kiszolgáló kiszolgálóra, csak a ".hu"-ra. Tehát lényegében senkire nem vonatkozik. A helyes megfogalmazás szerintem inkább "nyilvános domainnév-nyilvántartó szolgáltatás" lett volna.

Mivel nem válaszoltak a megkeresésre, nem tudom, mi a szándék.

Ha már annyira kritikus ez az egész NIS2, törekedhettek volna a pontos megfogalmazásra.

Neked probléma lenne, ha be kellene zárnod a cégedet, amit mondjuk 25 éve csinálsz

Még hálás is lennék - fiatalkoromban apámék képtelenek voltak elengedni a hasonlóan vergődő vállalkozásukat, pedig mindenkinek jobb lett volna, ha otthagyják a francba sokkal korábban, s elmennek valahova alkalmazottként dolgozni. 

A legfontosabb, hogy az iranyelv alapjan gyakorlatilag banki szintu biztonsagot -de gyakorlatilag minimum ISO27001 megfeleloseget- kell tudni garantalni, amelyhez hozza tartozik minden, egyeb, a ceg altal vegzett szolgaltatas is (ezek ugye kapcsolodnak egymashoz).
Innettol a partner vallalkozasokra is vonatkozik minden szabalyozas. Csak egy pelda: en domainreggel es hostinggal foglalkozok, a kapcsolodo vallalkozasok kozul az egyil az ingatlan menedzselest, a masik az IT fejleszteseket viszi. Ez esetben mindharom cegre vonatkozik az iranyelv.
Ennyit nem er meg egy <50 főt foglalkoztató cég(csoport) részére ez.

  • Felügyeleti díj
  • Képzés-továbbképzés
  • Auditálás
  • A bevezetéshez szükséges munkafolyamatok
  • Admnisztráció
  • Jogi dolgok

Számításaim szerint az irányelv maradéktalan betartása alsó hangon 3 ember munkáját igényli. Mindez 100-200 HUF realizálható haszonnal szembeállítva, hát....

Egyszerű megoldás még a fontos domainek 10 évre történő meghosszabbítása, aztán dobni a franchise -t :)

És ami sokaknak elkerüli a figyelmét: mivel ez EU direktíva, csak regisztrátori szinten minden TLD -hez valószínűleg eltérő részletszabályok ÉS felügyeleti vizsgálatot, etc. jelenthet.

Az oka persze érthető, regisztrátorként símán benne van, hogy a hsbc.hu nálunk regisztrálódik, ott pedig nem nagyon lehet játszani...

Error: nmcli terminated by signal Félbeszakítás (2)

Példát mondtam csak, lehet ez akarmelyik penzintezet, amelyik egy akreditalt regisztratort valaszt. Nyilvan az ilyenek altalaban markmonitort es annak partneret valasztjak, de az elvi lehetoseg megvan arra is, hogy a dzsunkapisti.hu -n regeljen domaint.

Error: nmcli terminated by signal Félbeszakítás (2)

Boccs h. ennyit kérdezősködök, de a dns-t sohasem láttam át olyan mélységében, mint amennyire szerettem volna, pedig sokat olvastam utána. A regisztrátor egyszeri bejegyzési művelete amire azt gondolod h. rizikós, vagy a domain élettartama alatti konkrét szolgáltatás futása (magyarul aki ténylegesen hosztolja a zónát, és működteti a névszervereket)? Mert hogy tudtommal a 2 elkülönülő dolog, 2 teljesen független cég is viheti a folyamatot, nem muszáj annál futnia a zónának aki regisztrálta. Regisztrátor lehet úgy valaki, h. csak szigorúan a regisztrációkat kezeli, de a tényleges szolgáltatást nem ő adja (nem ő hosztolja a zónát)? Azokra is ugyanaz a NIS2 szabályzat vonatkozik, mint akik ténylegesen futtatják a DNS infrastruktúrát? Egy regisztrátor-only cégnél hol jelentkezik a "kritikus infrastruktúra" kitétel?

Valaki hozáfér pl a hureg API endpointhoz az én kliensemmel és módosítja a delegálást, műszaki értelemben, azaz felveszi a saját DNS szerverét. A hureg csak technikai ellenőrzést véget. Ha ez pl az otp.hu -ra vonatkozik, akkor gyakorlatilag az egész országot le lehet rabolni, mire észbekap a registrar/hureg.

Error: nmcli terminated by signal Félbeszakítás (2)

( dentzol | 2024. 06. 17., h – 15:46 )

Azért azt ne felejtsétek el, hogy még nem jött ki a kapcsolódó végrehajtási rendelet. (Társadalmi egyeztetésen volt csak egy tervezet.)

( Zsiraf | 2024. 06. 19., sze – 17:10 )

Kíváncsiságból ránéztem az említett oldalra és ha már ott jártam, kattintgattam a válaszokra. :)

Aztán belebotlottam az alábbi kérdésbe:

Nyújt esetleg DNS (domain name service) szolgáltatásokat, saját vagy külső szervezet részére?

Próbálom értelmezni, hogy ha egy cég a saját szerverén, belső hálózaton üzemeltet DNS szervert a saját domain-ek kezelésére, akkor az vajon beletartozik?

( hunti v | 2024. 06. 20., cs – 10:44 )

Én cégem nem rég lett .hu domain regisztrátor, engem is meglepetésként ért ez a NIS2, de igazából már eddig is fontos volt a biztonság, és hosszú távú célok között volt az ISO 27001. Szerintem ha valaki komolyan gondolja a biztonságot és a vállalkozását, nem szabadna gondnak lennie ezt meglépni. Persze, költség és extra "probléma" amire oda kell figyelni, de szerintem megéri.

Egyébként én is úgy látom hogy sokan izgulnak miatta, én is kaptam már megkeresést más domain regisztrátortól, sőt át is vettem másnak az ügyfeleit már emiatt, szóval én is úgy látom hogy csökkenni fognak a hivatalos .hu domain regisztrátorok.

vps4you.hu kupon VPS szolgáltatásra: HUP2023