NIS2 ja KüTS: mida need ettevõttelt nõuavad Eestis?

Kätri Sarapuu

Kas see on jälle mingi uus IT-inimeste väljamõeldis, mis tähendab ainult rohkem pabereid ja vähem päris tööd? Ja miks see üldse mind või minu ettevõtet puudutama peaks?

NIS2 ja KüTS on küberturvalisuse regulatsioonid, mis mõjutavad otseselt ettevõtete juhtimist ja vastutust – räägime need kaks lühendit lahti.

1. Mis asi on NIS2?

NIS2 on Euroopa Liidu direktiiv. Lihtsalt öeldes: reeglid, kuidas organisatsioonid peavad oma IT-d ja infot paremini kaitsma. Euroopa Liit ei kirjuta NIS2-ga lihtsalt uut küberreeglit. Ta ütleb üsna otse: küberturvalisus ei ole enam IT-probleem, vaid juhtimisprobleem.

NIS2 seab kohustusliku miinimumtaseme küberturvalisusele organisatsioonides, mis on ühiskonna ja majanduse toimimiseks olulised, ning paneb vastutuse selgelt juhtkonnale.

Miks seda vaja oli?

  • Küberrünnakuid on rohkem kui kunagi varem
  • Rünnatakse mitte ainult suuri riike, vaid ka väikseid ettevõtteid ja omavalitsusi
  • Vana NIS-direktiiv jäi lihtsalt ajale jalgu

2. Mis asi on siis KüTS?

KüTS on Eesti küberturvalisuse seadus, millega NIS2 Eestis päriselt ellu viiakse. Küberturvalisuse seadus seab ootused, kuidas teenusepakkujad peavad juhtima riske, kaitsma infosüsteeme, käsitlema intsidente ja tegema koostööd riigiga.

Ehk:

  • NIS2 = Euroopa Liidu tasemel nõuded
  • KüTS = Eesti seadus, mis ütleb, kuidas ja kellele need nõuded kehtivad

Kui NIS2 ütleb mida peab tegema, siis KüTS ütleb:

  • kes peab tegema
  • millal peab tegema
  • kes kontrollib ja mis juhtub, kui ei tee

3. Keda see üldse puudutab? Kas mind ka?

Hea küsimus.

NIS2 puudutab organisatsioone, kes pakuvad:

  • elutähtsaid teenuseid
  • olulisi teenuseid

KüTS täpsustab Eestis, et see puudutab organisatsioone, kes pakuvad:

  • üliolulisi teenuseid
  • olulisi teenuseid

Loe siit täpsemalt, kes nende teenuste alla kuuluvad.

4. Aga mis siis juhtub, kui ma midagi ei tee?

NIS2 ja KüTS ei ole soovituslikud.

Kui nõudeid ei täida:

  • võib tulla ettekirjutus
  • võib tulla rahaline trahv
  • võib tulla mainekahju
  • ja kõige hullem – teenuse katkemine küberintsidendi tõttu

Ja ausalt, küberrünnak ei küsi, kas sul on ISO sertifikaat, poliitika või jurist.
Ta lihtsalt juhtub.

Loe selle kohta, mis juhtub, kui sa midagi ei tee, kuid NIS2 ja KüTS on sinu ettevõttele kohustuslikud, lähemalt siit.

5. Mida NIS2 ja KüTS tegelikult nõuavad?

Ei, see ei tähenda, et kõik peavad kohe superkalli turvatiimi palkama.

See tähendab, et organisatsioonil peab olema:

  • arusaam oma riskidest
  • elementaarsed turvameetmed
  • selge vastutus

Näiteks:

  • kes vastutab infoturbe eest
  • kuidas paroole ja ligipääse hallatakse
  • kuidas tehakse varukoopiaid
  • mida tehakse siis, kui juhtub intsident
  • kuidas töötajaid teavitatakse ja koolitatakse

6. Kas see on ainult IT-osakonna teema?

Ei ole.

NIS2 ütleb väga selgelt: juhtkond vastutab - loe selle kohta lähemalt siit.

See tähendab, et:

  • juhid peavad teadma, mis seis organisatsioonis on
  • infoturvet ei saa enam “lükata IT kaela”
  • otsused (ja ka vastutus) on juhtkonna tasandil

7. Kas see tähendab hunnikut dokumente ja paberit?

Natuke dokumente tuleb, jah.
Aga mõte ei ole paberites.

Mõte on selles, et:

  • asjad oleksid läbi mõeldud
  • teaksid, mida teha
  • kriisiolukorras ei tekiks paanikat

Hea infoturve ei ole: “meil on fail kuskil kaustas”

Hea infoturve on: “me teame, mis meil on, mis võib katki minna ja mida me siis teeme”

8. Miks see tegelikult hea on?

Kuigi alguses tundub tüütu, siis tegelikult:

  • vähem riske
  • vähem kaost kriisiolukorras
  • rohkem usaldust klientide ja partnerite silmis
  • selgem vastutus ja tööjaotus

Ja mis peamine: odavam on ennetada kui pärast taastada.

9. Kuidas ma seda kõike siis päriselt täidan?

Siiani kõlab kõik loogiliselt, aga nüüd tuleb see kõige olulisem küsimus:

“Olgu, saan aru, et NIS2 ja KüTS on tähtsad…
aga kuidas ma seda päriselt täidan?
Kas ma pean ise hakkama turvaraamatuid kirjutama või on kuskil mingi valmis lahendus?”

Õnneks on.

Mida nõuavad nii NIS2 kui ka KüTS, et sa tegema peaksid?

Nüüd võib tekkida see küsimus, et mis asjad need organisatsioonilised ja tehnoloogilised turbemeetmed on, kuidas ma neid rakendan, kas ma saan juba võtta midagi olemasolevat, et ei peaks hakkama leiutama ise midagi?

Selleks on olemas erinevad standardid (KüTS nõuab, et ettevõte rakendaks E-ITS-i või siis esitaks RIA-le ISO 27001 sertifikaadi), mille järgi neid meetmeid koostada ja rakendada. Defending Data on loonud samuti kõik vajalikud näidisdokumendid, mida saaksid kasutada enda ettevõttes. Defending Data on dokumendid loonud, võttes eeskujuks ISO 27001, kuid igale poole on sisse toonud ka märkused, kuidas dokumente muuta, kui rakendad enda ettevõttes E-ITS-i.

Vaata Defending Data näidisdokumente siit.

Defending Data e-pood


10. Aga räägime siis natuke standarditest, mida võiks eeskujuks võtta?

Variant 1: ISO/IEC 27001 – rahvusvaheline standard

ISO 27001 on rahvusvaheline infoturbe juhtimissüsteemi standard.

Lihtsalt öeldes: see on raamistik, mis ütleb, kuidas infoturvet süsteemselt juhtida.

ISO 27001 aitab sul:

  • kaardistada riskid
  • panna paika reeglid ja vastutused
  • rakendada turvameetmeid
  • hoida infoturve pidevas kontrollis

Plussid:

  • rahvusvaheliselt tuntud ja usaldusväärne
  • sobib hästi erasektorile
  • hea signaal klientidele ja partneritele

Miinused:

  • sertifitseerimine võtab aega ja raha
  • võib väiksemale organisatsioonile tunduda “liiga suur amps”

Variant 2: E-ITS – Eesti riigi infoturbestandard

E-ITS (Eesti Infoturbestandard) on:

  • Eesti riigi poolt loodud
  • põhineb rahvusvahelisel standardil (ISO 27001)
  • kohandatud Eesti asutustele ja ettevõtetele

Lihtsamalt: E-ITS on praktilisem ja “maakeelsem” versioon ISO-st.

E-ITS:

  • annab konkreetsemad juhised
  • sobib eriti hästi avalikule sektorile
  • on tasuta ja avalikult kättesaadav

Plussid:

  • selged kontrollküsimused ja meetmed
  • vähem “standardikeelt”
  • hea alguspunkt ka väiksemale organisatsioonile

Miinused:

  • ei ole rahvusvaheline sertifikaat
  • erasektoris ei pruugi klientidele sama tuttav olla kui ISO

11. KKK - korduma kippuvad küsimused - NIS2 ja KüTS lihtsalt selgelt

Mis on NIS2?
NIS2 on Euroopa Liidu direktiiv, mis seab miinimumnõuded küberturvalisusele ja paneb vastutuse selgelt organisatsiooni juhtkonnale.

Mis on KüTS?
KüTS ehk küberturvalisuse seadus on Eesti seadus, millega NIS2 nõuded Eestis kehtima pannakse.

Kas NIS2 ja KüTS puudutavad ainult IT-ettevõtteid?
Ei. Need puudutavad kõiki organisatsioone, kes osutavad olulisi või üliolulisi teenuseid ja kelle tegevus mõjutab laiemalt ühiskonda või kliente.

Kas NIS2 ja KüTS on ainult IT-osakonna teema?
Ei. NIS2 käsitleb küberturvalisust juhtimis- ja vastutusteemana, mitte ainult tehnilise IT-küsimusena.

Mis juhtub, kui nõudeid ei täideta?
Tagajärjeks võivad olla ettekirjutused, rahalised trahvid, mainekahju või teenuse katkemine küberintsidendi tõttu.


Loe ka järgmist artiklit selle kohta, kellele täpselt NIS2 / KüTS tegelikult kohalduvad.

See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.

Kommentaarid

Email again:

Jätka lugemist

Kätri Sarapuu
Kuidas alustada infoturbega? Teekond siin!
Kätri Sarapuu
ISO 27001 sertifikaat: aus juhend algusest lõpuni
Kätri Sarapuu
Defending Data ISMS alusdokumentide juhend

Eelmine

NIS2, KüTS, GDPR, IKS: mis need on ja mida nõuavad?

Järgmine

NIS2 vs KüTS: kellele need tegelikult kohalduvad?

Jaga seda artiklit