NIS2 ne traži heroje, već stručnu ekipu i sustav

Ima netko na forumu koji radi na NIS2 i kakva su iskustva u RH?

Do kud su dogurale firme i postoji opce svijest o tome kaj sve treba i fali da firma bude NIS2 conform?

Ja sam prije dvije godine presao u Security s naglaskom na OT i tu kod nas u Austriji se jako puno radi na tome, naravno oni koji imaju novaca. 

Po meni bez SIEM, SOAR, SOC i CDC si izgubljen u danasnje vrijeme. Mozes si pomoci i napraviti skoro siguran sustav ali nista nije 100% sigurno. Naravno govorim o velikim firmama jer si male firme tako nesto ne mogu priustit.

Iskreno receno vecina firmi ne zna kaj je security, nemaju dovoljno ljudi, nemaju CISO, nemaju osnovne sitnice tipa segmentacija mreza i MFA.

IT/OT network and endpoint visibility, threat detection, za to nije culo 99% ljudi. PAM solutions ista prica, a svi ti alati su super skupi i trebas ekstra ljude koji to hendlaju.

Claroty, Nozomi, Cyolo, CyberArk, Senhasegura, Corelight, Splunk, Crowdstrike... 99.99% ljudi u IT nikad nije culo za ove firme/proizvode. Ok za Crowdstrike su svi culi nakon drame koju su napravili prije dvije godine, ali sve ostalo je mogu se kladiti vecini ljudi nepoznanica.

 -ne. :) ali me to ne spriječava komentirati, tj više o 'iskustvu' u rh.. koje bi opisao, kao da alcapone ili escobar zadužimo za catering-smještaj gostiju bilo kojeg eventa a pogotovo do karikiranog levela nešto o sigurnosti .. (npr hohnjec), odnosno kao što završavaš nabrajanje s crowdstrikeom :) .. osobe koje direktno povezuje kriminal-privođenja, nakon desetljeća vidimo kao hostese sigurnosnih evenata.. kul.

-njene kvalifikacije? primarno partijanje u mlađim danima, zatim brakovi, droga, ništa što bi imalo veze s ITjem.. npr da usporedimo s kradašijankama znali bi zašto su na nekom eventu ili odgovor po kojem kriteriju kvalifikacije dobiju posao.. :)

-naravno, kao outsider koji više peca nisam u tome, pa moguće griješim, zadrt-dogma-mizgon :) .. moguće da je evoluirala u gurua i kompajlira, kao što je moguće da samo nudi kavu s ostalim aditivima usluge.. no pitam se koliko 'za istač' sigurnosne službe, koje nisu za tumpleke, za popunjavanje studijskih CVa i brošura, kao nato, vlast-vojska.. ima stroge kriterije npr davanja propusnice ili klasične sigurnosne procjene kad bilo koja osoba dolazi u blizinu neke štićene osobe ili strateškog interesa.. ono, kao da je ovo event za 'djecu i eskobar kulinarske degustacije'.. npr može li se osoba nekog takvog dosieja, zaposliti u državnim institucijama odgovornim za sigurnost? kriterij je duga kosa i noge? Koliko tad svi ostali sudionici i teme imaju težinu-ozbiljnost? .. ili se nakon incidenta kao spomenutog crowdrsrikea čudimo..? -neozbiljno do smiješno :) ..

 Poznato je u firmama koje sjede na milijunima i milijardama te firmama/institucijama koje spadaju u kriticnu infrastrukturu ali kad izades iz tih okvira i odes u "normalnu" firmu vidis da ekipa ne zna ko im glavu nosi.

Sve firme koje rade vise od 10 milijuna prometa spadaju u NIS2 i nije isto kao banka koja sjedi na milijardama ili drzavna institucija koja jednostavno "ima" novaca :)

Radil sam kao admin u jednoj firmi prije petnaest godina i bio sam one man band. Oni su onda radili vise od 10 milijuna a imali su manje od 100 radnika te da sam dan danas u toj firmi bilo bi mi tesko bilo sto solo odradit. Takvih firmi i admina ima na tisuce u EU.

Tu gdi sad radim imamo musterije koje nam nose tisucu eura i koje nose milijune. Jedan od projekata je sa jednom firmom koja se bavi energetikom a ugovor je 50 milijuna na pet godina. Lako je biti NIS2 conform kad imas vise novaca za projekt nego netko ima godisnji promet.

EDIT:

Drago mi je za vidjeti da se doma dobro dela i da ima sposobnih ljudi.