Küberturvalisus on aastaid olnud see teema, mis elab kuskil IT ja riskihalduse vahel. Juhatus kuuleb, noogutab ja liigub järgmise päevakorrapunkti juurde. KüTS teeb sellele viisakale distantsile lõpu ja ütleb üsna selgelt: küberturvalisus ei ole enam ainult tehniline küsimus, vaid juhtimisvastutus.
Vaatame rahulikult, mida see tähendab.
1. Üks juhatuse liige peab olema „see inimene“
KüTS § 61 lõige 1 ütleb, et teenuseosutaja peab määrama vähemalt ühe juhatuse liikme, kes:
- kiidab heaks turvameetmed,
- jälgib nende rakendamist,
- ja vastutab selle eest, et need ei jääks paberile.
See ei ole sümboolne roll. See on konkreetne vastutuskoht. Jah, Riigi Infosüsteemi Amet (RIA) võib küsida, kes see juhatuse liige on ja kuidas temaga ühendust saab.
Kui ettevõttel on ainult üks juhatuse liige, siis ei ole vaja kedagi eraldi „määrata“. Vastutus on niigi selge.
Miks see oluline on:
Seadus tahab näha, et küberturvalisusel oleks juhatuses nimi ja nägu. Mitte komitee, mitte „IT teab“, vaid konkreetne vastutaja.
2. Vastutus ei tähenda, et juhatuse liige peab oskama tulemüüri seadistada
KüTS § 61 lõige 2 toob sisse järgmise olulise nüansi: vastutav juhatuse liige peab läbima korrapäraselt koolitusi, et:
- mõista küberturberiske,
- hinnata nende mõju teenustele,
- ja aru saada, kuidas riske juhitakse.
See ei tähenda tehniliseks spetsialistiks hakkamist. See tähendab teadlikku juhtimist.
Miks see oluline on:
Juhatus ei saa vastutada millegi eest, millest ta aru ei saa. Seadus eeldab nüüd, et juhatuse liige oskab küsida õigeid küsimusi ja teha otsuseid teadlikult, mitte pimesi usaldades.
3. Kui kedagi ei määrata, vastutavad kõik
Kui teenuseosutaja ei määra vastutavat juhatuse liiget, laienevad kohustused kõikidele juhatuse liikmetele.
Miks see oluline on: see eemaldab mugava halli ala. Kui keegi ei taha vastutust võtta, siis ei kao see kuhugi. See jaguneb.
Praktikas tähendab see, et vastutuse hajutamine ei vähenda riski. Pigem vastupidi.
Küberturvalisus ei ole enam asi, mida juhatus „teab, et keegi tegeleb“. See on asi, mille eest keegi juhatuses vastutab.
4. Defending Data juhend ja vorm vastutava juhatuse liikme määramiseks
Soeta juhend, kui tahad:
- määrata vastutava juhatuse liikme nii, et see vastab KüTS § 61 nõuetele,
- vormistada selge juhatuse otsuse või protokolli,
- saada kvartaliaruande näidise, mis aitab vastutust päriselt jälgida,
- olla valmis olukorraks, kus RIA küsib: „Kes vastutab ja kuidas see on juhitud?“
See ei ole teoreetiline juhend.
See on praktiline tööriist juhatusele, et vastutus oleks selge, jälgitav ja kaitstav.
Kliki siia ja soeta Defending Data juhend ja vormid vastutava juhatuse liikme määramiseks.
Vastutava juhatuse liikme määramise dokumendid - 59 EUR
5. KKK - korduma kippuvad küsimused - juhatuse vastutus
Kas KüTS teeb juhatuse liikme isiklikult vastutavaks küberturvalisuse eest?
KüTS ei tee juhatuse liikmest tehnilist spetsialisti, kuid paneb talle selge juhtimisvastutuse. Juhatuse liige peab turvameetmed heaks kiitma, nende rakendamist jälgima ja tagama, et küberturvalisust juhitakse teadlikult.
Kas juhatuse liige peab hakkama küberturvalisust tehniliselt juhtima?
Ei. Seadus eeldab, et juhatuse liige mõistab riske, nende mõju teenustele ja riskide juhtimise põhimõtteid. See saavutatakse koolituste kaudu, mitte tehniliste seadistuste tegemisega.
Mis juhtub, kui vastutavat juhatuse liiget ei määrata?
Sellisel juhul laienevad KüTS § 61 kohased kohustused kõikidele juhatuse liikmetele. Vastutus ei kao, vaid jaguneb kogu juhatuse vahel.
See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.
Kommentaarid