Infoturbe valdkond tundub viimasel ajal kui labürint täis lühendeid: NIS2, DORA, ISO 27001, E-ITS, SOC 2. Seega annan lühidalt nõu, kuidas infoturbe regulatsioonides, standardites, auditites ja sertifikaatides orienteeruda.
Ettevõtted küsivad õigustatult:
- Mida me tegelikult tegema peame?
- Mis on kohustuslik ja mis annab lihtsalt ärilist väärtust?
- Mis annab suuremat ärilist väärtust?
Allpool on lühiülevaade peamistest infoturbe nõuetest ja raamistikest, millest Eestis ja Euroopa Liidus praegu kõige rohkem räägitakse.
NIS2: Euroopa Liidu küberturbe direktiiv
Millega on tegu?
Euroopa Liidus kehtiv kohustuslik küberjulgeoleku direktiiv, mis seab nõuded kriitilise ja olulise teenuse pakkujatele. Vajab kehtima hakkamiseks ülevõtmist kohalikku seadusandlusse. Eesti ei ole NIS2 veel üle võtnud, küll aga on olemas küberturvalisuse seaduse (KÜTS) muutmise eelnõu, millega seda on plaanis teha.
Kellele kehtib?
Avalikule sektorile ja erasektori ettevõtetele, kes tegutsevad näiteks energeetikas, tervishoius, pilveteenustes, digitaalses infrastruktuuris jne. Täpne info selle kohta, kellele need nõuded hakkavad Eestis kehtima, selgub lõplikult pärast KÜTS-i muutmist.
Kas on kohustuslik?
Jah, Küberturvalisuse seaduses toodud asutustele ja ettevõtetele on nõuete täitmine kohustuslik, kuid oluline on meeles pidada, et Eesti ettevõtetele ei kehti NIS2 otse, vaid läbi KÜTS-i.
Kas on vaja auditit?
Enamasti on vastus jah. Lisaks teeb Riigi Infosüsteemi Amet (RIA) järelevalvet ehk võib ka omalt poolt auditeerida, inspekteerida ja küsida infot.
Miks on enamasti vastus jah? Sest see on liikmesriigi otsustada. Eestis on NIS2 nõuete täitmiseks kaks võimalust:
- Rakendada Eesti infoturbestandardit E-ITS ja see ka auditeerida. Auditeerimiskohustust ei ole vaid mikroettevõtetel.
- Rakendada infoturbe juhtimise standardit ISO/IEC 27001 ja esitada RIA-le sertifikaat. Sealjuures peab sertifikaadilt selguma, et ISO 27001 käsitlusala katab E-ITS-i kohaldamisala, st kõik äriprotsessid, mis on vajalikud NIS2/KÜTS-i mõistes elutähtsa/olulise teenuse osutamiseks.
Tulemus: nõuetele vastavus, mida peab suutma tõendada.
Juhul kui ei vasta nõuetele, võivad järgneda trahvid ja ettekirjutused.
DORA: digitaalne vastupidavus finantssektoris
Millega on tegu?
Euroopa Liidu määrus, mis reguleerib digitaalse vastupidavuse tagamist finantssektoris (loe lähemalt siit).
Kellele kehtib?
Pangad, kindlustusandjad, investeerimisühingud, makseteenuste pakkujad ja isegi osad finantssektorile IKT-teenuse pakkujad (nt pilveteenuse osutajad).
Kas on kohustuslik?
Jah.
Kas on vaja auditit?
DORA otsesõnu kohustuslaselt auditi tellimist ei nõua. Küll aga võib järelevalvet teha Finantsinspektsioon ja ka muud järelevalveasutused. Sõltuvalt ettevõtte rollist ja suurusest võib DORA nõuda kolmanda osapoole tehtavaid tehnilisi vastupidavusteste (nt threat-led penetration testing) ja dokumenteeritud hindamisi.
NB! Finantssektorile info-ja kommunikatsioonitehnoloogia teenuseid osutavatele ettevõtetele võib asjaolu, et nende klient peab täitma DORA nõudeid, tähendada vajadust oma nõuetele vastavust tõendada. Vastavuse tõendamisel aitavad sõltumatu osapoole tehtavad auditid ja testimised ning väljastatavad aruanded ja/või sertifikaadid (näiteks ISO 27001, SOC 2, läbistustestid vms).
Tulemus: nõuetele vastavus, mida peab suutma tõendada.
Juhul kui ei vasta nõuetele, võivad järgneda trahvid ja ettekirjutused.
E-ITS: Eesti infoturbestandard
Millega on tegu?
Eesti riiklik standard, mis sätestab nõuded infoturbele.
Kellele kehtib?
Peamiselt avalikule sektorile ja ühiskonna toimimise jaoks oluliste teenuste pakkujatele (arstiabi, side, ravimite ja kütusega varustamine jne).
Kas on kohustuslik?
Jah. E-ITS-i rakendamise kohustust asendab vaid ISO 27001 sertifikaadi esitamine (st standardi juurutamine ja auditeerimine). Sealjuures peab sertifikaadilt selguma, et ISO 27001 käsitlusala katab E-ITS-i kohaldamisala, st äriprotsesse, mis on vajalikud NIS2/KÜTS-i mõistes elutähtsa/olulise teenuse osutamiseks.
Kas on vaja auditit?
Üldiselt jah. Kehtiva KüTS-i alusel ei pea auditit tegema E-ITS-i kohustuslased, kellel on majandusaasta jooksul keskmiselt alla kümne töötaja ja kelle bilansimaht või aastakäive ei ületa 2 miljonit eurot (ehk mikroettevõtjad).
Tulemus: auditi järeldusotsus ja aruanne.
Sertifikaati kui sellist ei väljastata.
E-ITS on Eesti standard, seega ta ei ole väljaspool tuntud.
ISO/IEC 27001: rahvusvaheline infoturbe juhtimissüsteemi standard
Millega on tegu?
Rahvusvaheline standard, mis määrab kindlaks nõuded infoturbe juhtimissüsteemile (ISMS). ISO 27001 ei ole seadusest tulenev nõue, vaid vabatahtlik standard, mis aitab süsteemselt infoturvet juhtida. Boonusena on ISO 27001 sertifikaat rahvusvaheliselt tunnustatud.
Kellele kasulik?
Kõigile organisatsioonidele, kes soovivad tõendada klientidele või partneritele turvalisust – eriti B2B ja tugevalt reguleeritud sektoris (nt finants, tervishoid, IT-teenused).
Kas on vaja auditit?
Standardit võib hea tavana rakendada ka ilma auditita, kuid kui soovid sertifikaati, tuleb tellida audit akrediteeritud sertifitseerimisasutuselt. Audititsükli pikkus on kolm aastat ja see sisaldab algset sertifitseerimisauditit ning kaht vaheauditit.
Tulemus: rahvusvaheliselt tunnustatud sertifikaat, mis kehtib tavaliselt kolm aastat.
SOC 2: teenuseosutaja turvalisuse hinnang
Millega on tegu?
SOC 2 (System and Organization Controls 2) on turbe- ja vastavusraamistik, mille on välja töötanud Ameerika Sertifitseeritud Raamatupidajate Instituut (AICPA). See on loodud hindamaks, kui hästi organisatsioon kaitseb kliendiandmeid – eriti siis, kui andmeid hoitakse pilves või pakutakse teenusena (nt SaaS-lahendusena). SOC 2 audiitor hindab teenuseosutaja vastavust usalduspõhimõtetele (turvalisus, käideldavus, konfidentsiaalsus jms). SOC 2 peamine eesmärk on anda klientidele ja partneritele kindlus, et ettevõte haldab andmeid turvaliselt ja vastutustundlikult, on rakendanud kontrollimeetmeid, mis tagavad pideva privaatsuse, käideldavuse ja konfidentsiaalsuse, ning järgib sisemise juhtimise ja riskihalduse parimaid tavasid.
Kellele kasulik?
Levinud SaaS-lahendusi pakkuvate ettevõtete ja USA turul tegutsevate või globaalseid kliente teenindavate teenusepakkujate seas. SOC 2 aruanne sisaldab lisaks hinnangule küllalt detailset infot ettevõtte turvameetmete ja nende rakendatuse kohta ning paljud suurettevõtted nõuavad SOC 2 auditit oma partneritelt.
Kas on vaja auditit?
Jah. Audit võib olla kas Type 1 (hetkeseis) või Type 2 (kuue kuu kuni aasta jooksul).
Tulemus: SOC 2 aruanne (mitte sertifikaat) on konfidentsiaalne dokument, mis tõendab, et teenuseosutaja süsteemid vastavad valitud SOC auditi kriteeriumidele.
Kuidas valik teha?
Infoturbe maailm võib esmapilgul tunduda keeruline, täis erinevaid standardeid, regulatsioone, auditeid, aruandeid ja sertifikaate. Orienteerumine muutub lihtsamaks, kui mõista iga raamistikku oma eesmärgi, sihtrühma ja tulemuse kaudu. Mõned – nagu NIS2 (KÜTS) ja DORA – on juriidiliselt siduvad ja mõjutavad konkreetseid sektoreid. Teised, nagu ISO 27001, SOC 2 või NIST, pakuvad vabatahtlikku, kuid laialdaselt aktsepteeritud raamistikku küpsuse tõendamiseks ja turberiskide juhtimiseks.
Milline on kõige kasulikum, sõltub ärivaldkonnast, klientide iseloomust ja ootustest, ettevõtte eripäradest ja küpsusastmest. Kui vajad täpsemat nõu või abi otsustamisel, mis kohaldub või sobib just Teie ettevõttele, siis pöörduge Grant Thornton Balticu poole.
