Tegelikult pole need nii uued midagi. Kes vähegi peavad küberturvalisusega oma ettevõttes arvestama, on ehk juba kuulnud kõlava nimega termineid NIS 2, DORA, E-ITS või kas või ISO 27001.
Kui see tundub teie ettevõtet mitte puudutavat, siis kindlasti on teil kas kliente või partnereid, keda see mõjutab või puudutab. Tasub ennast igal juhul kursis hoida, nii reatöötaja kui ka ettevõtte juhina.
Infoturbe regulatsioonidest ja standarditest rääkisid Äripäeva raadio saates “Kasvukursil” Telia riskijuht Andreas Meister, Grant Thornton Balticu IT-juht Artti Aston ja infoturbeettevõtte FocusIT tegevjuht ja SALVe infoturbejuht Doris Matteus.
Mis on NIS 2?
NIS 2 direktiiv on Euroopa Liidu uus regulatsioon, mis kehtestab uued rangemad nõuded olulist teenust pakkuvate ettevõtete küberturvalisusele. See jõustus küll juba 2023. aasta jaanuaris, kuid Eestis hakkab see kehtima käesoleva aasta oktoobris.
NIS2 direktiivi kohaldatakse ettevõtetele, kes osutavad teenuseid või tegutsevad ELis, on vähemalt keskmise suurusega ehk 50 töötajaga ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot, selgitas Artti Aston.
NIS 2 direktiiv kehtib teie ettevõttele, kui te tegutsete järgnevates valdkondades:
- elekter, kaugküte ja -jahutus
- nafta, gaas, vesinik
- lennundustransport, raudteetransport, veetransport, maanteetransport
- pangandus, finantsturutaristud
- tervishoid, teadusasutused
- joogivesi, reovesi, jäätmekäitlus
- digitaristu, IKT-teenuste haldamine (ettevõtetevaheline), digiteenuste osutajad
- avaliku halduse üksused, posti- ja kullerteenused
- kemikaalide valmistamine, tootmine ja levitamine, toiduainete tootmine, töötlemine ja turustamine, töötlev tööstus (nt arvutite, elektroonika- ja optikaseadmete tootmine)
Allikas: saade “Kasvukursil”, Euroopa Parlamendi koduleht
Kui sinu firma kuulub ühte neist sektoritest, peabki tegutsema ja end uue direktiiviga kurssi viima. Muidugi saab selle kohta abi küsida oma küberturvalisuse partnerilt.
“Eesti kontekstis on NIS 2 muudatuste juures oluline, et see eeldab ka seaduste muudatust. Sellega on praegu kuidagi toppama jäädud, sest NIS 2 direktiivi muudatuste eelnõu puhul ootame me jätkuvalt, et see oleks kõigile kättesaadav ja loetav. Ma arvan, et Eesti ettevõtjatel oleks oluline sellest juba praegu lugema hakata,” oli Meister kriitiline.
Meister selgitas, et peamine, mida NIS 2 puhul tegema peab hakkama, on Eesti ettevõtetel niikuinii juba tegemisel. “Kõik algab ettevõtte riskijuhtimisest. Eeldus on, et ettevõtted pööravad tähelepanu küberriskidele, infoturbepoliitikatele. Et ettevõtetel oleks läbi viidud riskianalüüsid ja väga oluline, et olemas oleks ka intsidentide teavitamise protsessid,” rõhutas Meister. Alati tuleb näiteks riigi infosüsteemide ametit, andmekaitse inspektsiooni või ka oma partnereid teavitada, kui mõni küberrünnaku intsident toimub.
Kuigi uued regulatsioonid tunduvad segased, siis tõenäoliselt lähme neile üle sujuvalt. Matteus meenutas näiteks GDPRiga seonduvaid muresid. “Ma tõmbaksin paralleeli tõesti GDPRiga: kui osaleda konverentsidel ja seminaridel, siis on see sarnane õhkkond, nagu oli 2018. aastal, enne kui GDPR kehtima hakkas. Keegi ei teadnud, mis juhtuma hakkab,” ütles Matteus ja lisas, et üks usaldusväärne ettevõte viib ennast nagunii asjadega kurssi.
Samas, kas iga ettevõte saab omade jõududega kurssi viimise ja nõuetele vastavusse viimisega hakkama? Ei ja ei peagi saama. Andreas Meister tõi näitena perearstikeskused. “Ma ei kujuta praktikas ette, et perearstikeskus hakkaks kõiki neist asju ise tegema oma igapäevatöö kõrvalt. Kui mina oleks perearstikeskuse IT-inimene, siis ma telliksin vajalikud teenused vastavalt standardile sisse,” selgitas Meister.
Euroopas hakkab finantssektori ettevõtetele kohalduma eraldi määrus nimega DORA (digioperational resilience acttal – digitaalse tegevuse säilenõtkuse määrus). Selle määruse juures tuleb saatekülaliste sõnul küberriskid veel laiemalt läbi mõelda. DORA jõustub 17. jaanuaril 2025.
Mis on DORA määrus?
DORA käsitleb kitsamalt finantssektori digitaalset tegevuskerksust ning kehtestab reeglid info- ja kommunikatsioonitehnoloogia (IKT) riskijuhtimisele, intsidentidest teatamisele, digitaalse tegevuskerksuse testimisele ja IKT kolmanda osapoole riskijälgimise kohta. Seni ei olnud Euroopa Liit finantssektori IKT riskide juhtimist reguleerinud määruse tasemel, vaid pigem üldisemate juhenditega ja erinevates liikmesriikides on IKT riske reguleeritud erinevalt. DORA kehtestab täpsemalt ja laiemalt nõuded finantsettevõtjatele ning sellised nõuded on määrusest otsekohaldatavad. Lisaks kehtestatakse täiendavad tehnilised standardid, mida finantsettevõtjad määruse kohaldamisel peavad rakendama.
Allikas: saade “Kasvukursil” ja www.digital-operational-resilience-act.com
Juhul kui teie ettevõttele kehtiksid nii NIS 2 kui ka DORA, siis finantssektori ettevõtete puhul on olulisem ja jääb peale DORA, ütles Matteus. Artti Aston lisas, et DORA alla lähevad täna ka erinevad e-raha asutused, investeerimisühingu krüptovara teenused. “Seal on mõningad erisused. Nemad peavad täiendavalt veel vastama. DORA puhul on tähtis, et ka IT-teenused, kes osutavad finantskrediidiasutustele teenuseid – ka nemad on osaliselt antud määruse järelevalve all,” ütles Aston.
Alati peab olema teadlik, et sinu partner on ka infoturbe juhtimisel oskuslik ning vastab nendele nõuetele, millele sina pead vastama. DORA kohta saab lugeda juurde siit.
Nõuetele vastamiseks on vaja teada mitut standardit. Näiteks ISO 27001. “See standard võimaldab üsna lihtsasti enda kliendile tõendada, et meil on olemas teatav infoturbetase, teatud protsessid on paigas, nad eelduslikult töötavad, kuna neid on sõltumatu audiitor auditeerinud,” ütles Matteus kokkuvõtvalt.
Mis on ISO 27001?
ISO 27001 on rahvusvaheline standard infoturbe juhtimiseks. Standard määratleb süsteemse lähenemise, kuidas luua, rakendada, säilitada ja pidevalt parandada infoturbe juhtimist organisatsioonis. Organisatsioonid saavad ISO 27001-le sertifitseerida, mis näitab klientidele ja teistele osapooltele, et nad võtavad informatsiooniturvet tõsiselt ja on rakendanud sobivaid kontrolle teabe kaitsmiseks.
ISO 27001 sertifitseerimine on kasulik organisatsioonidele, kellel on vaja hallata ja kaitsta erinevat tüüpi teavet ning kelle tegevus on seotud teabeturbega, nt finantssektor, tervishoid, IT jm. Lisaks on see vajalik organisatsioonidele, kelle koostöö riigi, era- või kolmanda sektori organisatsioonidega sõltub teabeturbe standartide efektiivsest järgimisest.
Allikas: saade “Kasvukursil” ja itgovernance.eu
Tegelikult on ka Eestil endal oma infoturbestandard E-ITS. “Tegemist ei ole reeglistikuga, mida peab täitma. Tegemist on standardiga, millega tagatakse, et ma olen endale seatud eesmärgid või nõuded täitnud. Siin ongi valikus erinevad standardid, nagu ISO 27001. See on lihtsalt tõendamiseviis,” selgitas Aston.
Saatekülalised rõhutasid, et küberintsidentide arv kasvab Eestis pidevalt. Meister rõhutas, et IT-teenuseid testitakse pidevalt. “Keegi alati proovib, koputab, kas on mingi turvaauk. Koputamine käib pidevalt ustele. Kui turvanõrkus on tuvastatud ja kui see tundub isegi süütu, siis on küberkurjategijad juba sisse roninud ja neid võimalusi ei jäeta kasutamata.
Foto: Gregor Alaküla.
Kui Teil on sarnased väljakutsed ja Teil tekkis küsimusi, võtke palun ühendust meie spetsialistidega.
