Czy NIS-2 to koniec małych firm hostingowych?

[itomek]

Część zainteresowanych pewnie zna temat, ale z rozmów które ostatnio prowadziłem widzę, że nie każdy zdaje sobie w pełni sprawę z konsekwencji. NIS-2 zmienia zasady rynku hostingowego.

 

Temat poruszamy na naszym blogu https://www.nazwa.pl/blog/250-tys-zl-za-wdrozenie-nis-2-male-firmy-hostingowe-pod-presja, ale myślę, że forum hostingowe jest najlepszym miejscem, aby o tym porozmawiać. 

 

Dajcie znać, co sądzicie o nowych zasadach  

[Espen]

Wyjdę na ignoranta ale po przeczytaniu wątku obok nadal nie wiem o co chodzi z tym NIS-2. Mogę prosić o jak najprostsze wytłumaczenie o co jest ta cała afera? 

Proszę się w tym poście nie doszukiwać złośliwości, sarkazmu i innych podobnych - serio nie ogarniam tematu. Dużo krzyku, jakieś wielkie pieniądze ale o co się rozchodzi właściwie?

[itomek]

NIS-2 to nowe wymagania dotyczące cyberbezpieczeństwa, które obejmą także firmy hostingowe świadczące usługi takie, jak m.in. poczta elektroniczna, DNS, rejestracja domen, hosting czy chmura. Oznacza to konieczność wdrożenia procedur, dokumentacji, zarządzania ryzykiem, obsługi incydentów, szkoleń i stałego wykazywania zgodności z przepisami. W praktyce NIS-2 wymaga nie tylko infrastruktury, lecz także kosztownych kompetencji organizacyjnych i prawnych.

[kafi]

W skrócie (wybaczcie takie mega duże uproszczenie i spłycenie) weszły sobie takie przepisy odnośnie cyberbezpieczeństwa.

 

Same w sobie są dość dobre, bo w końcu sankcjonują odpowiedzialność za obszar cyber i nie będzie,

że ja biedny nie wiedziałem że mam dziurawy serwer, bo postawiłem go 10 lat temu i od tego czasu nie tykałem. 

 

W dużej większości obowiązki oczywiście zależą od wielkości podmiotu - ten większy ma ich więcej, mniejszy ma je trochę zluzowane.

Problem tylko taki, że wymienione zostały dwa obszary, w którym nawet mikroskopijny podmiot obsługujący jednego klienta staje się równy takiemu wielkiemu konglomeratowi (tzw. podmiot kluczowy).

A są to - rejestracja domen (także jakiekolwiek pośrednictwo w niej) oraz utrzymywanie publicznych autorytatywnych serwerów dns (tak, vps z DirectAdmin mający uruchomionego publicznie dostępnego binda/PowerDNS też powoduje z automatu pod to podleganie).

 

A wymagania co do tego podmiotu kluczowego, cóż, kosmiczne są.

 

Pytanie, na ile to rzeczywiście od takich płotek będzie egzekwowane, a na ile to będzie po prostu straszak na tych, co ewidentnie przeginają, kozaczą i rżną głupa.

[itomek]

Ciężko wyrokować. Ale z pewnością, gdyby nawet egzekwowanie wobec najmniejszych było wybiórcze, to wystarczy najmniejszy incydent, skarga klienta albo przypadkowa kontrola. Z pewnością nie wystarczy wtedy powiedzieć "jestem mały" lub "nie wiedziałem". Trzeba będzie pokazać procedury, dokumentację, analizę ryzyka, szkolenia, obsługę incydentów i nadzór. 

[Espen]

Wdrożenie NIS-2 będzie miało przełożenie na ceny dla klienta?

[st220]

Odpisze jak podobne regulacje działają w innych branżach. Część wymagań dla branży hostingowej jest absurdalnie głupia, ale większość powinna zlikwidować patologie która w tej branży jest. Przede wszystkim nie wiem co się zadziało w ostatnich latach, że niektórzy mają ból tylnej części ciała o konieczność zmian.

Utrzymanie ciągłości dostępności serwerów dns jeszcze 20 lat temu było standardem. Trzymanie były u różnych operatorów sieci, teraz nagle firmy hostingowe się budzą, że trzeba mieć jakieś zabezpieczenie pod tym kątem.

Kolejne to dostępność kopii zapasowych i ich odtwarzanie. Chodzi o bezpieczną kopie w innej fizycznej lokalizacji, a nie w szafie obok lub na tym samym serwerze. To ostatnie było dobitnie pokazane jak wiele firm i osób na to wywalone jak ovh postanowiło zmigrować serwerownie do chmury.

Kolejnym punktem jest pilnowanie i usuwanie podatności w oprogramowaniu. Utrzymywanie aktualizacji softu a nie wersje sprzed roku czy nawet więcej, Tutaj od razu pstryczek w nos dla nazwy - was to też dotyczy, na waszym publicznie dostępnym phpinfo widzę, że macie podatne wersje php na kilka cve, system operacyjny na którym to działa nie ma od roku podstawowego wsparcia, możliwe że używacie rozszerzone. Chociaż w to wątpię. Chodzi o system w kontenerze lxc a nie systemie hosta.

Testowanie przerw w działaniu, czyli robimy chaosmonkey wyłączając wszystko do 0 i czy się podniesie? Tutaj jestem absolutnie pewna, że wiele firm tego może nie przeżyć.

Czy będzie przerzucone kosztów na klientów? Owszem. Przecież podstawy utrzymania środowisk produkcyjnych w tej branży nie istnieją. Teraz trzeba to zrobić na szybko a koszta przerzucić na klientów.

[kafi]

47 minut temu, st220 napisał(a):

Utrzymanie ciągłości dostępności serwerów dns jeszcze 20 lat temu było standardem. Trzymanie były u różnych operatorów sieci, teraz nagle firmy hostingowe się budzą, że trzeba mieć jakieś zabezpieczenie pod tym kątem.

 

Ale NIS2 paradoksalnie nie wymaga utrzymania ciągłości dostępności serwerów dns.

 

53 minuty temu, st220 napisał(a):

Przede wszystkim nie wiem co się zadziało w ostatnich latach, że niektórzy mają ból tylnej części ciała o konieczność zmian.

 

NIS2 powoduje, że nawet będąc małą firemką i utrzymując autorytatywne dns u siebie dla jednej domeny (bo wyłączenie "na własne potrzeby" zniknęło) wchodzi się w bardzo dużo obowiązków audytowo-sprawozdawczych dotyczących całej praktycznie działalności, a nie tylko tych przysłowiowych dnsów.  I ludzie nie mają żadnych bólów o konieczność zmian, ale o to, że dla niektórych skala tych zmian będzie niewspółmierna do skali i profilu ich działalności, przez co - albo będą w szarej strefie do pierwszego wypadku, albo znikną przed nawiązując współpracę / oddając biznes graczom stricte profesjonalnym.

[Tom X]

@itomek Reprezentujesz podmiot żywotnie zainteresowany zaoraniem małych i niewielkich firm hostingowych, niewielkich agencji czy mikrowebdeveloperów obsługujących klientów końcowych. Wydaje mi się, że mamy tutaj pewną sprzeczność interesów.

[frn]

Godzinę temu, Tom X napisał(a):

@itomek Reprezentujesz podmiot żywotnie zainteresowany zaoraniem małych i niewielkich firm hostingowych, niewielkich agencji czy mikrowebdeveloperów obsługujących klientów końcowych. Wydaje mi się, że mamy tutaj pewną sprzeczność interesów.

Tu zdecydowanie się zgodzę. Od siebie dodam: Kto mieczem wojuje, ten od miecza ginie...

[itomek]

Możemy oczywiście rozmawiać o mnie, bo zadałem pytanie, zamiast o tym, co wynika z przepisów 

Ale nie zmienia to istoty sprawy. To, że reprezentuje dostawcę nie powoduje, że przepisy NIS-2 nagle przestają obowiązywać. Albo, że znika problem kosztów, procedur, dokumentacji i odpowiedzialności. Można oczywiście dyskutować o mojej perspektywie, aby uciec od najważniejszego pytania - co realnie ma zrobić firma, która oferuje domeny, DNS albo pocztę i wpada w obowiązki, których ciężar jest kompletnie nieproporcjonalny do jej skali? Osobiście nie uważam, że małe firmy znikną. Widzę jednak, że otoczenie prawne może spowodować, że część z nich sama przestanie być w stanie udźwignąć koszt działania w dotychczasowym modelu. I moim zdaniem to jest temat do rozmowy, niezależnie od tego, kto go podnosi.

[kankan]

tekst już w nagłówku delikatnie mówiąc nagina rzeczywistość, bo hostowanie poczty elektronicznej czy stron nie sprawia, że jest się objętym NIS2

wystarczy, że za DNSy będzie robiło cloudflare (oni oczywiście wszystkie wymagania spełnią od A do Z do momentu aż znowu im się jakiś commit omsknie, kek).

no ale czego wymagać....

a o NIS2 są już tematy na forum, nie ma moim zdaniem potrzeby kolejnego, autopromocyjnego.

Edytowane 22 godziny temu przez kankan

[kafi]

32 minuty temu, kankan napisał(a):

bo hostowanie poczty elektronicznej czy stron nie sprawia, że jest się objętym NIS2

wystarczy, że za DNSy będzie robiło cloudflare

 

No tak też nie. To, że podmiot nie ma obowiązków podmiotu kluczowego, to niekoniecznie oznacza, że nie ma jakichkolwiek obowiązków w myśl NIS.

 

Inna sprawa, że firma hostingowa każąca klientowi zakładać konto na cloudflare i tam konfigurować sobie domeny, a także nie oferująca rejestracji domen internetowych i odsyłająca klientów do konkurencji  słabo będzie wyglądać w oczach potencjalnych klientów.

[kankan]

nie ma żadnych obowiązków które generowałby potrzeby jakichś rejestracji, audytów itd.

jeśli chodzi o cloduflare klient nic nie musi zakładać, cpanel czy directadmin łatwo integrują się z nimi. 

co do sprzedaży domen to co najmniej jedna firma z top20 rootnode nie oferuje ich rejestracji, a patrząc na setkę to w ogóle będzie tego całkiem sporo.

 

PS. A no i odnośnie tych dnsów to jeszcze coś się może pozmieniać:

https://www.gov.pl/attachment/2da2ab2a-d83c-4ccd-a16f-f770933f474f

 

Cytat

 

Inne ukierunkowane zmiany w dyrektywie NIS 2 obejmują:

[...]

• wyłączenie mikro- i małych dostawców usług DNS z zakresu stosowania;

 

 

Aktualnie zmiany są na poziomie pierwszego czytania w Radzie.

 

Edytowane 21 godzin temu przez kankan

[kafi]

Przez dostarczanie poczty może być podmiot zaklasyfikowany

jako przedsiębiorca komunikacji elektronicznej,

a on jest podmiotem minimum ważnym niezależnie od tego, czy jest mikroprzedsiębiorcą.

A klasyfikacja jako podmiot ważny też ma swoje obowiązki,

nie aż takie jak kluczowy, ale też ma.

 

 

30 minut temu, kankan napisał(a):

jeśli chodzi o cloduflare klient nic nie musi zakładać, cpanel czy directadmin łatwo integrują się z nimi. 

 

Tylko to powoduje szereg niedogodności dla takiego klienta.

Ot chociażby to, że jedno konto hostingowe = jedna domena (i to koniecznie główna), 

bez jakiejkolwiek możliwości rozpraszania tego po różnych kontach.

Do tej pory dało się to pod-delegować odpowiednimi rekordami NS, w przypadku CF to nie przejdzie.

Edytowane 21 godzin temu przez kafi

[Tom X]

2 godziny temu, itomek napisał(a):

Widzę jednak, że otoczenie prawne może spowodować, że część z nich sama przestanie być w stanie udźwignąć koszt działania w dotychczasowym modelu. I moim zdaniem to jest temat do rozmowy, niezależnie od tego, kto go podnosi.

Kontekst rozmowy zależy od tego, kto ją podnosi i w jaki sposób. Nie wprost proponujesz alternatywny model, który w istocie jest biletem do Krakowa w jedną stronę bez możliwości powrotu (do tej pory żaden z pasażerów nie wrócił). Dzięki

[smarthost]

Niestety NIS2 wpisuje się w ogólny trend tego co dzieje się w Unii Europejskiej. Trend jest taki, że małe firmy nie mają prawa istnieć - oczywiście nie wprost. Chodzi o integrację w duże firmy, a likwidację małych. Przyczyny to już sprawa polityczna, ale zasada zostaje. Dotyczy to bardzo wielu branż: np. jak wywozicie stary komputer na elektrozłom, to macie mieć numer BDO oraz "zgłosić" transport, mieć dokumenty na to i potem protokół zniszczenia (nie można tak po prostu wziąć do samochodu i zawieźć), podobnie jest z tym, że trzeba robić zestawienia roczne użycia paliwa w samochodach do Ministerstwa Środowiska, trzeba liczyć, czy przypadkiem ilość gazu w waszej klimatyzacji nie przekracza takiej ilości, która powoduje jakieś kolejne obowiązki (jak macie mało, to tylko zgłaszacie - oczywiście gaz podajecie w kilogramach). Teraz na topie jest SENT, gdzie przewiezienie 11 par majtek do sklepu nie może być po prostu tak sobie przewiezione w samochodzie, ale muszą być zgłoszenia itd. 

 

Dokładnie tak jak wyżej (zakładam, ze o tym wiecie i to robicie, bo przecież większość ma samochód i klimatyzację) jest z NIS2. 

 

Sieć, czy hosting do tej pory działały - u jednych lepiej, u innych gorzej. Wybierali klienci - chcieli tanio i dziadowo, to tak wybierali, chcieli drogo i lepiej (zwykle tak te pary idą, ale oczywiście są wyjątki), to tak wybierali. Obecnie mamy zasadę, że jak ktoś ma swoje DNS, to staje się podmiotem kluczowym z całym arsenałem ogromnej machiny formalnościowej. Podobnie jak sprzedaje domeny, jest ich resellerem itd. Musi się rejestrować, prowadzić oceny ryzyka, wprowadzać formalne procedury mitygacji i przechodzić audyt. Ale przede wszystkim wpada w struktury rządowe (ma portal, gdzie ma czas reakcji na zgłoszenia itd). To kompletna przesada, ale taka sama jak w rzeczach o których napisałem powyżej z innych branż. 

 

NIS2 to w 95%  implementacja ISO 27001 - niektórzy to przewidzieli i mają wdrożone (jest kilka firm, które mają certyfikację ISO, w tym my). Oczywiście NIS2 to więcej obowiązków - w tym coroczne szkolenie zarządu z "cyberbezpieczeństwa" czy obecność w rejestrach, rejestracja w portalach itd. To są też koszty - wdrożenie zarówno ISO jak i NIS2 to koszty między 200 a 300 tysięcy. Pewnie można taniej i można drożej. Ale to się dzieje.  Wiele firm o tym nie wie - kwestia jak będą egzekwowane kary - pewnie tak jak zawsze, czyli bez zbytniej przesady, chyba, ze komuś będzie akurat zależało na pognębieniu konkretnej firmy, to akurat będzie miał fajny kij. 

 

Czy to spowoduje wzrost cen ? nie sądzę

Czy to spowoduje masowe zamykanie się firm? nie sądzę (tak jak teraz firmy nie zamykają się masowo bo np. nie zdrożyły RODO, czy nie wpisały się do rejestru BDO

Czy firmy będą miały kłopoty? tak, ale nie masowo, tylko pojedynczo, po cichu (pewnie będzie się to wiązało z dramatem osobistym wielu właścicieli małych firm w momencie kontroli, czy kar)

 

:wq

 

[kafi]

7 godzin temu, smarthost napisał(a):

Sieć, czy hosting do tej pory działały - u jednych lepiej, u innych gorzej. Wybierali klienci - chcieli tanio i dziadowo, to tak wybierali, chcieli drogo i lepiej (zwykle tak te pary idą, ale oczywiście są wyjątki), to tak wybierali.

 

Tylko widzisz, z drugiej strony - póki coś jest wewnętrzną sprawą usługodawcy i co najwyżej klient może narzekać na jakość świadczonych usług (bo wolno, bo niestabilnie, bo niezadowalające głaskanie supportu) to w porządku; ale ten sektor, nie oszukujmy się, jest taki, że zaniedbania rzadko szkodzą tylko klientom danego usługodawcy, a raczej - całemu łańcuchowi innych podmiotów. Dotychczas nie było na takich żadnego bata, teraz jest drut kolczasty pod napięciem 4kV.

 

I dla mnie ogólnie sam zamysł jest dobry, skończy się rżnięcie głupa, że ja się na tym nie znam, bo ktoś mi kiedyś zainstalował jednorazowo (bo za tyle mu zapłaciłem, to skandal że on chce coś jeszcze za miesięczne utrzymanie, a przecież to samo działa).  Ot po prostu - albo będziesz zajmował się tym na poważnie, albo zapłacisz tym, którzy będą się tym na poważnie zajmować.  Pytanie, jak wyjdzie realnie z wykonaniem tego i wdrażaniem, czy nie powstaną tacy, którzy będą udawać i zewnętrznie komunikować, że spełniają normy i się audytują, podczas gdy nie będą tego realnie robić i tym samym nieuczciwie zaburzać cały układ.

[kankan]

17 godzin temu, Tom X napisał(a):

Kontekst rozmowy zależy od tego, kto ją podnosi i w jaki sposób. Nie wprost proponujesz alternatywny model, który w istocie jest biletem do Krakowa w jedną stronę bez możliwości powrotu (do tej pory żaden z pasażerów nie wrócił). Dzięki

 

co ciekawe, po zakupie biletu część pociągów ma nawet kilka dni z rzędu planowany postój przez 4-5h dziennie.

dla jednej z przejętych marek rss z whmcsa wygląda tak:

 

 

 

 

[Tom X]

Przepisy działają wtedy, kiedy są względnie zrozumiałe i względnie łatwe we wdrożeniu. W implementacji NIS2 potraktowano całą branżę grubym batem. Niewykluczone, że wdrażanie w życie tej dyrektywy na rynku UE idzie na tyle opornie, że próbuje się odkręcać przesadnie mocno dokręcone śruby. Jakby nie można było zaproponować NIS2 Light, patrzeć jak to się wdraża i przede wszystkim - jak realnie działa, z czasem uszczelniać luki tam, gdzie to konieczne i efektywne.

[Espen]

12 minut temu, kafi napisał(a):

I dla mnie ogólnie sam zamysł jest dobry, skończy się rżnięcie głupa, że ja się na tym nie znam, bo ktoś mi kiedyś zainstalował jednorazowo (bo za tyle mu zapłaciłem, to skandal że on chce coś jeszcze za miesięczne utrzymanie, a przecież to samo działa).

Znam takich przypadków sporo, głównie dotyczyły sklepów, cms-ów, zdecydowanie rzadziej serwerów jako tako. Raz postawiony sklep działał przez kilka lat, bez aktualizacji bo trzeba by było za nie zapłacić aż w końcu szlag całość trafił permanentnie i nagle wielkie zdziwienie dlaczego nie działa skoro działało. Teraz mam temat dwóch stron które stoją na wymarłym dawno PHP-Fusion na starej wersji PHP. Póki co działają, póki co jest wsparcie. Pomimo kilku apeli że to w końcu szlag trafi i przestanie działać odpowiedź na zasadzie "póki działa to działa więc po co się tym przejmować?". Jak przestanie - a przestanie - to z mojej strony nie będzie przejmowania się. 
Dostrzegam tutaj plus na korzyść zmiany mentalu, skoro po dobroci się nie da to trzeba siłą.