Doporučte školení na NIS2

[marx_sk]

Školení na NIS2 som našiel hromadu, ale máte s niekým dobrú skúsenosť?

Potrebujem "dozorovať" implementáciu NIS2 na akademický cloud, ktorý neplánovane spadol do najvyššej kategórie, pretože poskytuje služby aj nečlenom (čítaj študentom iných univerzít). Implementácia je outsourcovaná, ale rád by som rozumel či plnia všetko, čo majú.

[Reklama]

[Rovano _]

Nebude lepší si najmout nezávislý dozor?
Jen návrh. Možná je to blbost.

[mark42]

Ak sa jedna o univerzitu mozno skusit kontaktovat kolegov z pravnickej fakulty, alebo najat externeho pravnika z oblasti, s ktorym prejdete rozsah prace a namapujete ho na NIS2 a zistite, ci je to kompletne pokryte (toto ste mali teoreticky urobit uz na zaciatku, ale lepsie teraz ako vobec).
NIS2 nie je zdaleka len o implementacii nejakej technologi alebo opatreni, ale velka cast sa tyka procesov a fungovania organizacie, to externa firma moze ale nemusi podchytit.
Zakladny popis je trebars aj na youtube napr. https://www.youtube.com/watch?v=pxVjAMs_h3g

[honzako]

Já jsem hledal, ale zjistil že jsou to převážně reklamní obecný kecy.
Na žádném jsem nebyl! To si stejně dobře mohu přečíst PDF a nebo na YZ jakékoliv video.

Velmi stručně
Správce má proaktivně řešit bezpečnost, monitoring a dodržování principů, má sledovat a vyhodnocovat provoz a dění na LAN/VPN a má ev. vyhodnocovat případná rizika, vč. průniků do LAN a k nim dělat opatření. A v případě průniku má toto aktivně zjistit pomocí auditovaných a logovaných záznamům a zjistit jaká data, kdy a komu byla odcizena. Dále má zajistit školení a testování uživatelů. Přihlašování by mělo být ideálně pomocí MFA.

A nezávislý dozor v podstatě udělá jednou za čas (půl rok nebo rok) audit a hodí to na správce IT ať to vyřeší.
Ale správce se v tom stejně může "topit" dál, protože asi těžko přinutí výrobce nějakého lokálního docházkáče aby měl SSO nebo MFA, podle mých informací (ale zprostředkovanách) to neumí ani Gordic atd.

Ale je to podle všeho otázka velikosti subjektu. Velikost 2-5 tis. uživatelů má jiný rozpočet a jiné množství lidí v IT než síť s 30 počítači a 50 zaměstnanci.
Vše pak směřuje logicky k řešením založená na Offfice/MS 365 E3/E5 licencím a Intune/Entra ID

Nicméně jsem dospěl k tomu, že mimo jiné ideálně potřebuji:
Wazuh
MidPoint
GLPI
Moodle

Nicméně samozřejmě se jedná o prostředí kde to bude nasazeno.
V mém případě pro malé firmy a organizace do 200 zaměstnanců a cca. 50 počítačů by to mělo stačit.
Přičemž Wazuh a GLPI se mi jeví jako nutné.

[LolPhirae]

pretože poskytuje služby aj nečlenom (čítaj študentom iných univerzít)

To je jednoduché. Tak je neposkytujte a "nečleny" pošlete se stížnostmi do Brusele.

[Reklama]

[Paliq]

NIS2 sa neimplementuje, tá je záväzná iba pre členské štáty EÚ. Každý štát EÚ je povinný NIS2 transponovať do svojej legislatívy, na Slovensku je to Zákon o KB, ktorý je po tejto traspozícií a schválení platný od 1.1.2025. K nemu je momentálne v medzirezortnom pripomienkovacom konaní vykonávacia vyhláška NBÚ, ktorá bude definovať požiadavky na implementáciu tohto zákona pre organizácie, ktoré sú prevádzkovateľom základnej služby, resp. prevádzkovateľom kritickej základnej služby.

[marx_sk]

Ak sa jedna o univerzitu mozno skusit kontaktovat kolegov z pravnickej fakulty, alebo najat externeho pravnika z oblasti, s ktorym prejdete rozsah prace a namapujete ho na NIS2 a zistite, ci je to kompletne pokryte (toto ste mali teoreticky urobit uz na zaciatku, ale lepsie teraz ako vobec).
NIS2 nie je zdaleka len o implementacii nejakej technologi alebo opatreni, ale velka cast sa tyka procesov a fungovania organizacie, to externa firma moze ale nemusi podchytit.
Zakladny popis je trebars aj na youtube napr. https://www.youtube.com/watch?v=pxVjAMs_h3g

Tento postup je práve výsledkom komunikácie s Ústavom práva a technologií MUNI ( s ktorými dlhodobo spolupracujem ). O tom, že je to prevažne o papierovaní a procesoch - a preto chcem aspoň rámcovo rozumieť ako presne to implementovať, aby bol NÚKIB/... spokojný. Aktuálne sme ešte ani nerozhodli v ktorej krajine EU tým chceme prejsť.

Video pozriem vďaka

[marx_sk]

Já jsem hledal, ale zjistil že jsou to převážně reklamní obecný kecy.
Na žádném jsem nebyl! To si stejně dobře mohu přečíst PDF a nebo na YZ jakékoliv video.

Velmi stručně
Správce má proaktivně řešit bezpečnost, monitoring a dodržování principů, má sledovat a vyhodnocovat provoz a dění na LAN/VPN a má ev. vyhodnocovat případná rizika, vč. průniků do LAN a k nim dělat opatření. A v případě průniku má toto aktivně zjistit pomocí auditovaných a logovaných záznamům a zjistit jaká data, kdy a komu byla odcizena. Dále má zajistit školení a testování uživatelů. Přihlašování by mělo být ideálně pomocí MFA.

A nezávislý dozor v podstatě udělá jednou za čas (půl rok nebo rok) audit a hodí to na správce IT ať to vyřeší.
Ale správce se v tom stejně může "topit" dál, protože asi těžko přinutí výrobce nějakého lokálního docházkáče aby měl SSO nebo MFA, podle mých informací (ale zprostředkovanách) to neumí ani Gordic atd.

Ale je to podle všeho otázka velikosti subjektu. Velikost 2-5 tis. uživatelů má jiný rozpočet a jiné množství lidí v IT než síť s 30 počítači a 50 zaměstnanci.
Vše pak směřuje logicky k řešením založená na Offfice/MS 365 E3/E5 licencím a Intune/Entra ID

Nicméně jsem dospěl k tomu, že mimo jiné ideálně potřebuji:
Wazuh
MidPoint
GLPI
Moodle

Nicméně samozřejmě se jedná o prostředí kde to bude nasazeno.
V mém případě pro malé firmy a organizace do 200 zaměstnanců a cca. 50 počítačů by to mělo stačit.
Přičemž Wazuh a GLPI se mi jeví jako nutné.

Vďaka za takto praktické info. V mojom prípade sa to týka <10 zamestnancov a pár desiatok rackov s GPU. Preto procesy budú prevažne o dokumentácii. Wazuh pozriem viac.