Eestis on jõustunud või jõustuvad peagi uued õigusaktid, mis panevad erinevatele sektoritele hulga infoturbega seotud kohustusi. Ettevõtjad on hädas arusaamisega, millisest nurgast pihta hakata ja kuhu suunas joosta. Või kas üldse joosta.
Kehtima on hakanud DORA ehk digitaalse tegevuskerksuse määrus. NIS2 direktiiv, mis seab uued rangemad nõuded olulist teenust pakkuvate ettevõtete küberturvalisusele, ei ole Eestis veel ametlikult üle võetud ning seega võib tulevastest nõuetest ja kohustustest aimu saada vaid küberturvalisuse seaduse muutmise eelnõust.
Tegelikult ei ole asi nii keeruline ja on tegevusi, mida saab infoturbe heaks juba teha ja mis ei tule ühelegi tulevikku vaatavale ettevõttele kindlasti kahjuks.
Esiteks ei ole DORA ja NIS2 nõuded sugugi nii erinevad. Teiseks on nende õigusaktide peamiste nõuete järgimine tänapäeval mõistlik igale ettevõttele, kelle tegevus sõltub infotehnoloogiast ja IT-teenuste osutajatest (loe: kõigile ettevõtetele).
Võtame uued kohustused osadeks lahti.
- DORA (Digital Operational Resilience Act) eesmärk on muuta finantsteenused vastupidavamaks küberrünnakutele ja teenusekatkestustele.
- NIS2 eesmärk on üsna sama: tagada, et eluks vajalikud teenused oleksid kättesaadavad ka siis, kui toimub suurem küberrünnak, elektrikatkestus vms.
Tundub mõistlik ja üsna sarnane eesmärk. Aga ikkagi – kas ma pean midagi tegema? Õige vastus on: jah, võiks küll. Ning mitte vaid õigusaktide nõuete täitmiseks, vaid enda äri kaitseks.
Küsimus on vaid, kui suurelt tuleb asi ette võtta ja kui palju formaalselt dokumenteerida.
Riskihaldus ja infoturbemeetmete rakendamine
Kõik infoturvet puudutavad õigusaktid eeldavad, et ettevõte tegeleb riskide haldamisega: tunneb oma riske ja rakendab asjakohaseid riskide käsitlemise meetmeid. Kõlab mõistlikult ka ilma seadusandliku surveta, nii et riskihalduse ja sellest lähtuva turvameetmete rakendamisega võib julgelt algust teha.
Siinkohal on küll DORA ja NIS2 vahel oluline erinevus. Kui DORA ei anna selgeid suuniseid turbemeetmete rakendamiseks, siis NIS2 tähendab Eestis ühte kahest: juurutada tuleb kas Eesti infoturbestandard E-ITS või rahvusvaheline standard ISO 27001. Siiski – isegi kui tehtu tuleb ühel hetkel üle vaadata, ei lähe see raisku, kui lähtub konkreetsetest riskidest.
Teenusepakkujatega seotud riskide haldus
Kui veel mõnda aega tagasi kontrollisid ettevõtted ise ja ainult ise oma keskkonda ja tarkvara, siis nüüd kasutavad isegi konservatiivsed finantssektori ettevõtted väga palju teenusepakkujaid, sealhulgas kriitiliste teenuste puhul.
Võttes arvesse üha suurenevaid riske, kehtestavad nii DORA kui ka NIS2 täiendavaid reegleid teenusepakkujate kasutamiseks. Need reeglid sisaldavad muuhulgas nõuet teenusepakkujatega seotud riskide haldamiseks ja täiendavaid nõudeid lepingutele.
Intsidentidest teavitamine
Nii nagu teised standardid ja raamistikud, nõuavad ka DORA ja NIS2 suutlikkust intsidentidest teavitada. See ei tähenda vaid vastavate vormide täitmise oskust, vaid suutlikkust
- intsidente avastada,
- intsidente hallata,
- eelneva põhjal asjaomaseid isikuid intsidentidest üsna lühikese aja jooksul teavitada.
Toimepidevus ja tegevuskerksus
Julgen arvata, et enamik ettevõtteid soovib siiski tegutseda mitte vaid täna ja homme, vaid ka järgmisel aastal ja aastakümnelgi. Sellisel juhul ei jookse mööda külge maha ka kriisiplaanide tegemine ja testimine.
See ei pea tähendama kümneid lehekülgi ametlikke dokumente, vaid seda, et olete läbi mõelnud
- millised on need olukorrad, mis võivad teie tegevust ohustada, ja
- kuidas need olukorrad võimalikult kiirelt ja väikese kahjuga lahendada.
See võib tähendada näiteks lihtsalt (soovitatavalt kirja pandud) kokkulepet, mida keegi teeb, kui elektrit ei ole, mõni teenus ei tööta vms. Koos vajalike kontaktidega.
Ükski eelkirjeldatud meede ei ole kasutu ja peaks olema igas ettevõttes just talle sobival moel juba olemas: riskide maandamise meetmed, võimekus intsidendid avastada ja need kiirelt lahendada, samuti ülevaade oma teenusepakkujatest ja nendega seotud riskidest ning kriisiplaanid.
