NIS2 vastu võetud - ootamatu nagu esimene lumi

Written By Roland Puiestik

Aastavahetus tõi meile välku, pauku ja mulli. Lisaks tõi ta ka NIS2 rakendumise Küberturvalisuse seaduse (lühendina KüTS) muudatuse näol. Erinevalt esimesest lumest oli NIS2 tulemine pikalt teada - vastu pidi ta olema võetud juba 17 oktoober 2024. Siiski nagu rehvivahetuse järjekord novembri lõpus on täna küsimusi NIS2 ümber palju. Järgnevas kirjatükis üritan peamised punktid lahti seletada inimkeeli.

Kui tahad aga kiiret automaathinnangut oma ettevõttele siis külasta www.siseinfo.ee kus saadki oma ettevõtte kaardil näha paremal üleval NIS2 kohustuse hinnangut ja põhjendust.

 
 

Kellele ja miks?

Alustagem algusest, miks siis NIS2 ikka loodud sai ja kellele teda vaja läheb? Eelkõige on NIS2 eesmärk lihtsustada ja ühtlustada. Varasemalt oli EL erinevad küberturbe nõuded laiali mitmes erinevas regulatsioonis ja direktiivis. Lisaks oli pea kõigil liikmesriikidel omad nõuded ja mitmetel neil isegi omad standardid. Kuigi NIS2 ei kaotanud EL-i rägastikku ära tõi ta siiski ühe suure ühtlustamise tagamaks, et valdavalt oleks üle liidu asjad ühtemoodi. Peamiselt aitab NIS2 tuua kõik olulised ja üliolulised asutused üle liidu ühele turvalisuse tasemele.

Selle paljulubava alguse valguses luban ka, et keerulisemaks me suurt ei lähegi. Oma olemuselt ei nõua NIS2 mida erilist ja uut. Küll aga nii mõnigi asutus kes ennem ei pidanud suurt kellelegi aru andma nüüd äkitselt peab olema võimeline tõestama, et võtab küberturvet tõsiselt.

Kes on NIS2 vastavuskohuslased seda defineerib Küberturvalisuse seadus §3. Sisu on selles muidugi piisavalt, et annaks suisa bakalaureuse töö sest kirjutada. Nimelt KüTS liigitab asutused kas olulised või üliolulised üksused:

  • Ülioluline üksus

    • Riigi ja omavalitsuse avaliku halduse üksused

    • Kesksed sideteenuse pakkujad (tippdomeeni registripidaja, kriitilise tähtsusega sidepakkujad, domeeninimede pakkujad jmt.)

    • Elutähtsa teenuse osutajad

    • Kvalifitseeritud usaldusteenuse osutajad

    • LISAKS 1: Juhul kui ettevõte on enam kui 50 töötajat või 10 miljonit käive/bilanss siis:

      • Üldkasutatava sideteenuse või -võrgu pakkujad

    • LISAKS 2: Juhul kui ettevõte on enam kui 250 töötajat või 50 miljonit käive (või 43milj. bilansimaht):

      • Erinevad taristuteenuse pakkujad (nagu gaasi teenused, elektriteenused, laadimisteenused, jaotusvõrgud jmt)

      • Erinevad IT teenuse pakkujad (andmekeskused, infoturbeteenuse pakkujad, sisuvõrguteenuse pakkujad

      • Transpordivaldkonna ettevõtted (raudtee infrastruktuuri pakkujad, lennundus teenuste pakkujad, sadamate haldajad jmt)

      • Krediidiasutused

      • Kosmoseettevõtted

      • jpm.

  • Oluline üksus

    • Avalik-õiguslikud juriidilised isikud

    • Perearstikeskused

    • Usaldusteenuse osutajad

    • Teadusasutused

    • Jäätmekäitlus asutused

    • Kõik kes olid välja toodud “Oluline üksus” all lisas 2 AGA on väiksemad kui 250 töötajad või alla 50milj. käibega.

    • Hulk spetsiifilisemaid ja erikujulisi ettevõtteid ja asutusi

Selleks, et saada täpsem selgus tuleb tutvuda seaduses kirjutatuga või võtta ühendust ja uurida juba konsultatsiooni raames välja täpsemad detailid.

 

Millest NIS2 koosneb?

Lihtsalt kokkuvõetuna on NIS2 hulk “parimaid praktikaid” mida tuleb järgida. Näiteks:

  • Juhtkonna vastutus - Infoturbe eest tuleb vastutama määrata juhtkonna liige või vastub kogu juhtkond tervikuna

  • Juhatuse koolitused - määratud juhtkonna liige või juhtkond tervikuna peab läbima korrapäraselt infoturbe koolitusi ning tundma infoturbe riskihalduse metoodikaid piisaval tasemel, et hallata riske

  • Riskihaldus - Infoturbe riskide kaardistamine, hindamine ja haldamine peab olema teostatud

  • Intsidendihaldus - Protsessid ja meetodid peavad paigas olema kuidas reageerida intsidentidele

  • Teavitamiskohustus - Kui intsident juhtub siis “vaiba-alla” pühkimine ei ole lubatud, tuleb teavitada RIA-t ja kliente

    • 24 tunni jooksul esmane teavitus

    • 72 tunni jooksul teavitus

    • 1 kuu jooksul intsidendi raport

  • Järelvalve - Kuigi NIS2 ei kohusta asutust läbima mõnda sertifitseerimist on siiski RIA-l järelvalveõigus ja õigus kehtestada turvaauditi nõuet.

Need on suurel määral samad nõuded mis on E-ITS raames ja ISO27001 raames täpselt samamoodi olemas. Küll aga NIS2 teeb aga need läbi Küberturvalisuse seaduse kohustuslikuks ja karistab karmilt kui on tuvastatud rikkumine.

Võimalikud sanktsioonid:

  • Üliolulised üksused - € 10 miljonitvõi 2% ülemaailmsest käibest

  • Olulised üksused - € 7 miljonit või 1,4% ülemaailmsest käibest

 

Olen kohuslane - mis nüüd?

Kõigepealt õnnitlen, kui oled NIS2 kohuslane siis on sinu ettevõte ilmselgelt edukas ja piisavalt oluline! Mis on aga need konkreetsed sammud mis peaksid ette võtma? Üldised sammud on järgmised:

  1. Määra juhtkonna liige vastutama infoturbe eest

  2. Taga vastutavale juhtkonna liikmele infoturbe riskihalduse koolitus

  3. Vii läbi varade kaardistus ja riskide kaardistus

  4. Loo riskihaldus metoodika ja riskide maandamise plaan

  5. Loo intsidendihaldus plaan ja kriisiplaan mis sisaldab endas töötamist kriisiolukordades ja neist taastumist

  6. Koolita oma töötajaid uutest kordadest ja plaanidest

Ja ära unusta - pead ka RIA-t teavitama 3 kuu jooksul alates hetkest kui kohuslaseks muutusid!

Umbes selline peaks kogu see protsess olema kõigi jaoks. Siiski on iga organisatsioon erinev ning igaüks erineval kaugusel ja omapäraste võimaluste ja vajadustega. Täpsema pildi ette saamiseks tasub meiega ühendust võtta ja aitame juba personaalse lähenemisega.

Roland Puiestik
Next

Küberturbe kokkuvõte 37. nädal 2025