kafi

Tylko widzisz, z drugiej strony - póki coś jest wewnętrzną sprawą usługodawcy i co najwyżej klient może narzekać na jakość świadczonych usług (bo wolno, bo niestabilnie, bo niezadowalające głaskanie supportu) to w porządku; ale ten sektor, nie oszukujmy się, jest taki, że zaniedbania rzadko szkodzą tylko klientom danego usługodawcy, a raczej - całemu łańcuchowi innych podmiotów. Dotychczas nie było na takich żadnego bata, teraz jest drut kolczasty pod napięciem 4kV. I dla mnie ogólnie sam zamysł jest dobry, skończy się rżnięcie głupa, że ja się na tym nie znam, bo ktoś mi kiedyś zainstalował jednorazowo (bo za tyle mu zapłaciłem, to skandal że on chce coś jeszcze za miesięczne utrzymanie, a przecież to samo działa). Ot po prostu - albo będziesz zajmował się tym na poważnie, albo zapłacisz tym, którzy będą się tym na poważnie zajmować. Pytanie, jak wyjdzie realnie z wykonaniem tego i wdrażaniem, czy nie powstaną tacy, którzy będą udawać i zewnętrznie komunikować, że spełniają normy i się audytują, podczas gdy nie będą tego realnie robić i tym samym nieuczciwie zaburzać cały układ.

Przez dostarczanie poczty może być podmiot zaklasyfikowany jako przedsiębiorca komunikacji elektronicznej, a on jest podmiotem minimum ważnym niezależnie od tego, czy jest mikroprzedsiębiorcą. A klasyfikacja jako podmiot ważny też ma swoje obowiązki, nie aż takie jak kluczowy, ale też ma. Tylko to powoduje szereg niedogodności dla takiego klienta. Ot chociażby to, że jedno konto hostingowe = jedna domena (i to koniecznie główna), bez jakiejkolwiek możliwości rozpraszania tego po różnych kontach. Do tej pory dało się to pod-delegować odpowiednimi rekordami NS, w przypadku CF to nie przejdzie.

No tak też nie. To, że podmiot nie ma obowiązków podmiotu kluczowego, to niekoniecznie oznacza, że nie ma jakichkolwiek obowiązków w myśl NIS. Inna sprawa, że firma hostingowa każąca klientowi zakładać konto na cloudflare i tam konfigurować sobie domeny, a także nie oferująca rejestracji domen internetowych i odsyłająca klientów do konkurencji słabo będzie wyglądać w oczach potencjalnych klientów.

Ale NIS2 paradoksalnie nie wymaga utrzymania ciągłości dostępności serwerów dns. NIS2 powoduje, że nawet będąc małą firemką i utrzymując autorytatywne dns u siebie dla jednej domeny (bo wyłączenie "na własne potrzeby" zniknęło) wchodzi się w bardzo dużo obowiązków audytowo-sprawozdawczych dotyczących całej praktycznie działalności, a nie tylko tych przysłowiowych dnsów. I ludzie nie mają żadnych bólów o konieczność zmian, ale o to, że dla niektórych skala tych zmian będzie niewspółmierna do skali i profilu ich działalności, przez co - albo będą w szarej strefie do pierwszego wypadku, albo znikną przed nawiązując współpracę / oddając biznes graczom stricte profesjonalnym.

W skrócie (wybaczcie takie mega duże uproszczenie i spłycenie) weszły sobie takie przepisy odnośnie cyberbezpieczeństwa. Same w sobie są dość dobre, bo w końcu sankcjonują odpowiedzialność za obszar cyber i nie będzie, że ja biedny nie wiedziałem że mam dziurawy serwer, bo postawiłem go 10 lat temu i od tego czasu nie tykałem. W dużej większości obowiązki oczywiście zależą od wielkości podmiotu - ten większy ma ich więcej, mniejszy ma je trochę zluzowane. Problem tylko taki, że wymienione zostały dwa obszary, w którym nawet mikroskopijny podmiot obsługujący jednego klienta staje się równy takiemu wielkiemu konglomeratowi (tzw. podmiot kluczowy). A są to - rejestracja domen (także jakiekolwiek pośrednictwo w niej) oraz utrzymywanie publicznych autorytatywnych serwerów dns (tak, vps z DirectAdmin mający uruchomionego publicznie dostępnego binda/PowerDNS też powoduje z automatu pod to podleganie). A wymagania co do tego podmiotu kluczowego, cóż, kosmiczne są. Pytanie, na ile to rzeczywiście od takich płotek będzie egzekwowane, a na ile to będzie po prostu straszak na tych, co ewidentnie przeginają, kozaczą i rżną głupa.

Konsultacje publiczne mają to do siebie, że są publiczne i każdy podmiot z sektora (a często nawet i nie tylko) może w nich wziąć udział. Tylko nijak bym tego nie określił, że te podmioty swoimi stanowiskami w konsultacjach mają cokolwiek do powiedzenia

Obawiam się, że nawet podanie kodu rabatowego czy linku afiliacyjnego który linkuje zamówienie z jakimś podmiotem (bo jak inaczej później rozliczać prowizje za odnowienie?) może mieścić się albo w pośrednictwie albo agencyjności... Dowcip tylko taki, samo NIS2 to dyrektywa i ona sama w sobie nie jest źródłem prawa, a zaleceniem implementacji w krajowym prawodawstwie celów przyświecających tej dyrektywie. U nas to robi "ustawa o krajowym systemie cyberbezpieczeństwa", która tu była czasami cytowana. A jak by to ująć... ustawy uchwalają politycy, a nie eksperci branżowi i bym rzekł, że branża może mówić jedno, a polityczność robić i tak po swojemu Nic dodać, nic ująć. Ano, niezbyt ma... ale może właśnie o to chodzi, żeby ta trójstronna umowa Abonent-Partner-Rejestr była rzeczywiście trójstronna, a nie miała jeszcze dodatkowych, problematycznych ogniw... (?) To trochę tak, jak byś Orlen definiował jako referencyjne źródło prawodawstwa o paliwach czy energetyce

Tylko czy wtedy nie staną się "agentem działającym w imieniu rejestratora"?

Myślę, że do ustalenia kluczowości wystarczy, że będziesz płatnikiem dla rejestracji domeny, której abonentem jest ktoś inny, niż ty sam - bo cóż to jest innego, jak właśnie pośrednictwo? Przy okazji: Formalnie - NASK jest podmiotem będącym w tym przypadku operatorem Krajowego Rejestru Domen .pl Rejestratorem w przypadku .pl jest Partner NASK jako uczestnik takiego dziwnego trójstronnego czegoś (Abonent zawiera umowę o rejestrację z NASK poprzez Partnera).

Myślę, że kary finansowe (jak najbardziej przewidziane ustawą) będą bardziej dotkliwe niż wycinanie za samą z siebie "niepokorność"

Ustawa to też określa. W wersji tl;dr że dotyczy tylko tych działających w Polsce (bardziej szczegółowo, jeśli kierownik odpowiadający za SZBI stacjonuje w Polsce). Pierwotna wersja ustawy mówiła o tym, że nie dotyczyła tych utrzymujących serwery dns na własne potrzeby. W nowelce nieco zmieniono to, no i ISP utrzymujący resolvery tylko dla swoich klientów jest ok, ale skutkiem ubocznym jest kluczowość autorytatywnych serwerów dns bez limitu. No... nie. Potrzeba jest jeszcze odpowiednia "wielkość" firmy (ogólnie min. duże przedsiębiorstwo - art 5, ust. 1; szczególnie - średnie lub duże dla komunikacji elektronicznej - art 5, ust.2 ; małe, średnie lub duże dla ICT Cyber - art 5, ust.3). Rzeczy związane z domenami są zdefiniowane w ust. 4 jako kluczowe z dopiskiem niezależnie od wielkości. I paradoksalnie, ma to jak najbardziej sens, jak się pojawi jakiś cudaczny phishing czy c&c, to łatwo będzie go selektywnie zablokować na poziomie dns niekoniecznie wylewając dziecko z kąpielą i blokując całą domenę na poziomie rejestru domen.

Też. Cytując ustawę: Inna sprawa, że w przypadku hostingu kluczowość podmiotu ustawia także bycie "dostawca usług DNS" czyli Co literalnie oznacza, że nawet jeśli utrzymujesz własne DNSy tylko na swoje potrzeby, to też mieścisz się w tym punkcie...

Wszedłeś w taki tryb agresji, jak byś to właśnie ty był tym opisywanym pracownikiem I tak, opisywane zachowanie serio jest dziwne. Nie to, że nielegalne, niedopuszczalne, czy naganne, ale z pewnością... dziwne.

eee... i co w tej "przedsądówce" zawrzesz? Tupanie nóżkami w stylu "rzondam!!! oddawać!!!"? Cóż, znasz wersję tylko jednej strony; a patrząc po żółtych lampkach w stylu "nie można znaleźć faktury" albo "wygasa za miesiąc" choć to pół roku jeszcze, to chyba owa klientka nie mówi ci całej prawdy A niewygodna część prawdy (aka zimny kubeł) jest taka, że zarówno dla NASK jak i registrara obsługującego domenę i ty i twoja klienta jesteście stroną trzecią i raczej nikt nie powinien z wami jakkolwiek dyskutować (grzecznościowe podanie choćby częściowych danych abonenta który jest w rejestrze ukryty - choć w dobrej intencji, to może być uznane za naruszenie ochrony danych osobowych*). Sam abonent ani ustosunkowywać się do maili od przypadkowych osób ani wydawać authinfo nikomu nie musi, bo niby na jakiej podstawie? Jeśli od początku domena była zarejestrowana na niego, to ciężko tu też używać argumentu jakiegokolwiek przywłaszczenia czy kradzieży. Na moje oko sytuacja wygląda znajomo; ot - klient zleca agencji zrobienie strony, płaci za to - i obie strony inaczej to rozumieją - agencja jako umowę stałego utrzymania strony za cykliczną opłatą; klient - jako jednorazową opłatę niczym za burgera z frytkami. No i przychodzi moment focha "więcej ci już nie będę płacić, bo za drogo" vs "to sobie postaw od nowa sama gdzieś indziej".

Cóż, billing usług firmy z domkiem w nazwie bywa dość mocno zaskakujący. Mi np. pewnego dnia utrzymywane tam Google Workspace uraczyło komunikatem "account is suspended". Okazało się, że minął rok i trzeba było jawnie w panelu przedłużyć wolę odnowienia. Wszystko teoretycznie by było wyjaśnialne, ale mailowe przypomnienie o tym wyglądało o tak jak na obrazku poniżej, co było dość mylące, bo płatność cykliczna była tam uruchomiona, karta podpięta, a żadnej nieopłaconej faktury nie było :).