1. Kes kontrollib ja millal?

KüTSi nõuete täitmise üle teeb järelevalvet Riigi Infosüsteemi Amet (RIA). Sertifitseerimisega seotud teemades on roll (piirdub peamiselt kvalifitseeritud usaldusteenuste järelevalvega) Tarbijakaitse ja Tehnilise Järelevalve Ametil (TTJA).
See tähendab, et järelevalve ei ole hajus ega juhuslik. On selge, kes küsib ja mille alusel.

RIA ei kontrolli kõiki ühtemoodi. Seadus lubab tal tegutseda riskipõhiselt:

KüTS lubab RIA-l kasutada korrakaitseseaduses sätestatud järelevalvemeetmeid. Praktikas tähendab see, et RIA võib:

• küsida dokumente ja selgitusi (riskihinnangud, turvameetmed, logid);
• kutsuda vastutavaid isikuid vestlusele;
• teha kohapealset kontrolli või kaugjärelevalvet;
• tellida sihipärase turvaauditi (mille kulu on üldjuhul teenuseosutajal);
• anda hoiatuse või teha ettekirjutuse;
• erandjuhul võtta asja hoiule, et säilitada tõendeid.

Need meetmed peavad alati olema vajalikud, proportsionaalsed, protokollitud ja adressaadile teatatud. Enamasti piirdub järelevalve dokumentide ja selgitustega.

3. Millal võib RIA sekkuda kohe?

Küberintsidendi korral võib RIA ajutiselt piirata süsteemi kasutamist või juurdepääsu, kuid ainult siis, kui:

• intsident ohustab teisi süsteeme,
• teenuseosutaja ei suuda olukorda ise õigel ajal lahendada,
• leebem meede ei toimi,
• kahju ei ole ebaproportsionaalne.

See on seaduses selgelt kirjeldatud viimase võimaluse meede, mitte igapäevane tööriist.

4. Millal asi eskaleerub?

See ei ole välk selgest taevast. Seadus näeb ette samm-sammult eskaleerumise.

5. Mis juhtub, kui nõudeid ei täideta?

Enne kui keegi miljonitele mõtlema hakkab — trahv ei ole esimene samm. RIA alustab hoiatusest ja ettekirjutusest. Kui ettekirjutust eiratakse, lisandub sunniraha kuni 70 000 eurot korraga. Alles siis, kui koostöö puudub ja rikkumine on tõsine, jõutakse rahatrahvini.

Ja siis võivad numbrid olla suured:

Sertifitseerimise rikkumiste eest on trahvid madalamad, kuid konkreetsed.

Lihtsustatult: mida varem sa probleemiga tegelema hakkad, seda odavam on see lugu lõpuks. RIA ei taha trahve koguda — ta tahab, et süsteemid toimiksid. Koostöövalmis ettevõte on alati paremas positsioonis kui see, kes loodab, et probleem kaob iseenesest.

6. Kokkuvõtteks

KüTS ei ole mõeldud selleks, et trahve koguda.
See on mõeldud selleks, et:

• turvameetmed oleksid päriselt rakendatud,
• intsidendid ei jääks varjatuks,
• ja ühiskonna jaoks olulised teenused püsiksid toimimas.

Lihtsustatult: mida läbipaistvam ja küpsem on sinu küberturvalisus, seda vähem peab riik sekkuma.

7. KKK - korduma kippuvad küsimused - KüTS järelevalve ja sanktsioonid

Kas KüTS tähendab, et RIA kontrollib kõiki ettevõtteid kogu aeg?

Ei. KüTS lubab järelevalvet teha riskipõhiselt. Üliolulisi üksusi kontrollitakse regulaarselt, olulisi üksusi peamiselt siis, kui on kahtlus nõuete rikkumisele või toimunud küberintsident.

Mida RIA võib KüTSi alusel järelevalves teha?

RIA võib küsida dokumente ja selgitusi, teha kohapealset või kaugjärelevalvet, tellida turvaauditeid ning anda hoiatusi ja ettekirjutusi. Raskemad meetmed on lubatud vaid erandjuhtudel ja peavad olema põhjendatud ning proportsionaalsed.

Millal võivad järgneda trahvid?

Trahvid ei ole esimene samm. Need võivad järgneda siis, kui turvameetmeid ei rakendata, intsidentidest ei teatata või järelevalve ettekirjutusi eiratakse. Üliolulise üksuse puhul võivad trahvid ulatuda kuni 10 miljoni euroni või 2% käibest.

Loe järgmisest postitusest ka sellest, miks küberturve ei ole enam ainult IT probleem, ehk siis kuidas ettevõtte juhatus vastutab.

See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.