NIS2, KüTS, GDPR, IKS: mis need on ja mida nõuavad?

Kätri Sarapuu

Kas oled märganud, et iga kord, kui IT turvateemadest juttu tuleb, ilmuvad välja mingid lühendid, mis kõlavad nagu uue superkangelase nimed? NIS2! ISO 27001! GDPR! KüTS! Ja nüüd ka AI Act!

Kõlab natuke nii, nagu keegi oleks tellinud spetsiaalse komplekti bürokraatiat, mis peab su ettevõtte elu keeruliseks tegema, eks?

“Kas me võiks lihtsalt tööd teha ja mitte tegeleda mingite lühenditega??”

Võiks… kui pahatahtlikud tegelased internetis puhkusele läheksid.

Aga nad ei lähe. Seega räägime lahti, mida need lühendid tähendavad, milles nad erinevad ja kuidas nad omavahel kokku puutuvad – NIS2, KüTS, GDPR, IKS ja AI Act.

Mitte seaduse keeles, vaid nii, et oleks arusaadav, mida üks “korralik firma” päriselt tegema peab.

Toome siis kõigepeal väikese joonise, mis näitab, kus miski regulatsioon asub, seejärel selgitame lihtsasti, mida iga regulatsioon endast kujutab.

Defending Data - NIS2, GDPR, AI Act

1. Mis on NIS2 ja mida see mu ettevõttelt nõuab?

NIS2 (küberturvalisuse 2. direktiiv) on Euroopa Liidu käsklus stiilis:
„Palun korraldage oma ettevõttes küberasjad ära — päriselt. Me ei taha, et teil elektrijaam seisma jääks, veevärk kokku kukuks või haigla süsteemid küberründega pihta saaksid.”

NIS2 nõuded kehtivad nii suurtele kui ka teatud juhtudel ka väiksematele ettevõtetele, sõltuvalt nende rollist teenuseahelas.

Kes peavad järgima?

Energia, transport, tervishoid, vee-ettevõtted, tootmine, IT-teenused, post/logistika… ja veel terve põld teisi.

Miks vaja?
Et ühiskond päriselt toimiks. Kui sinu ettevõte maha kukub, võib kukkuda maha ka mõni teine teenus, mis sõltub sinust.

Mida peab tegema?

  • juhtkonna vastutuse määramine
  • riskianalüüs
  • tehniliste ja organisatsiooniliste turvameetmete rakendamine
  • intsidentidest teavitamine (esialgne teavitus 24 h jooksul)
  • dokumentatsioon (jah, paberitöö on osa elust)

Mis juhtub kui ei tee?
Trahvid võivad ulatuda miljonitesse eurodesse või kuni 2% käibest, karm järelevalve, mainekahju. Ja rünnakud sõidavad sinust lihtsalt üle nagu soojast võist.

Loe lähemalt NIS2 rakendamise kohta siit.

2. Mis on KüTS ja kellele see kohaldub?

KüTS (küberturvalisuse seadus) ehk Eesti seadus, mis käsib üliolulistel ja olulistel teenustel olla turvalised. See on Eesti seadus, mis rakendab ja kohandab NIS2 nõudeid kohalikus kontekstis - sisuliselt Eestis kohaldatavad küberturbe kohustused, mis puudutavad eelkõige olulisi ja üliolulisi teenuseid.

Mida nõuab?

  • juhtkonna vastutuse määramist
  • riskianalüüsi
  • tehniliste ja organisatsiooniliste turvameetmete rakendamist
  • intsidentidest teavitamist (esialgne teavitus 24 h jooksul)
  • riigi järelevalvega arvestamist

Mis juhtub kui ei tee?
Ettekirjutused, trahvid ja halvimal juhul ei lubata teenust pakkuda.

Loe lähemalt KüTS kohta siit.

3. Mis on GDPR ja kuidas see seostub NIS2-ga?

GDPR ehk General Data Protection Regulation on see kuulus seadus, mis pani kõik ettevõtted järsku oma privaatsuspoliitikat uuendama ja klientidelt nõusolekuid küsima.

Mida GDPR tahab?
Et isikuandmed ei ringleks ettevõttes vabalt nagu lahtised paberid tuulises kontoris.

Mida tegema peab?

  • isikuandmete ja andmetöötlusprotsesside kaardistamine
  • õiguslik alus isikuandmete töötlemiseks
  • isikuandmete õiguspärane säilitamine
  • läbipaistvus andmete töötlemisel
  • turvameetmete kohaldamine
  • kokkulepped isikuandmete töötlejatega
  • andmesubjektide päringud
  • isikuandmetega seotud intsidentidest teavitamine

Mis juhtub kui ei tee?
Trahv kuni 20 miljonit eurot või kuni 4% käibest.
Ja piinlik artikkel meedias.

Seos NIS2 ja KüTS-iga:
Kuigi NIS2 ja KüTS ei ole andmekaitseseadused, puutuvad need GDPR-iga kokku siis, kui küberturbeintsident hõlmab isikuandmeid. Sellisel juhul tekivad ettevõttel paralleelsed kohustused: NIS2/KüTS järgi tuleb intsident kiiresti tuvastada ja raporteerida, GDPR järgi aga hinnata isikuandmete mõju ja vajadusel teavitada Andmekaitse Inspektsiooni ning puudutatud inimesi.


4. Mis on IKS ehk isikuandmete kaitse seadus?

IKS ehk isikuandmete kaitse seadus on GDPR-i täiendav Eesti seadus, mis täpsustab ja kohandab Euroopa Liidu andmekaitsenõudeid kohaliku õiguskeskkonna jaoks. Kui GDPR kehtestab üldised reeglid kogu Euroopa Liidus, siis IKS paneb paika detailid, näiteks järelevalvekorra, erisused ja riigisisesed täpsustused. 

Seos NIS2 ja KüTS-iga:
IKS ei tulene NIS2-st ega KüTS-ist, kuid need regulatsioonid puutuvad kokku olukordades, kus küberturbeintsident mõjutab isikuandmeid. Sellisel juhul peab ettevõte täitma korraga nii küberturbe nõudeid (NIS2, KüTS) kui ka andmekaitsenõudeid (GDPR ja IKS), mis tähendab mitut paralleelset kohustust ja tähtaega.

5. Mis on AI Act ja kas see puudutab ettevõtteid?

Kui kõik teised regulatsioonid tegelevad turvalisusega, siis AI Act tegeleb mõistlikkusega.

EL ütleb:
„Tehisaru on tore, aga mitte nii tore, kui see inimestele kahju teeb. Teeme reeglid.”

AI Act jagab kõik AI süsteemid nelja kategooriasse:

  • Keelatud AI (näiteks sotsiaalne hindamine — pole lubatud)
  • Kõrgriskiga AI (tuleb kohaldada reegleid nagu dokumentatsioon, läbipaistvus, ohutuskontroll)
  • Piiratud riskiga AI (tähtis on kasutajat teavitada, et tegemist on AI-ga)
  • Minimaalse riskiga AI (näiteks meemigeneraatorid või AI-muusika — üldjuhul ilma erikohustusteta)

Miks ettevõttele oluline?
Kui kasutad või arendad AI-d, pead teadma, mis kategoorias see on — muidu ei pruugita seda üldse lubada turule tuua.

Seos NIS2 ja KüTS-iga:
NIS2 ja KüTS ei reguleeri tehisintellekti eraldi, kuid AI-põhised süsteemid kuuluvad nende alla siis, kui need on osa võrgu- ja infosüsteemidest. See tähendab, et AI peab olema turvaline, juhitav ja intsidentideks valmis, samal ajal kui AI Act keskendub sellele, kas AI kasutamine on lubatav, läbipaistev ja riskide mõttes kontrolli all.
Defending Data - regulatsioonide ülevaatlik tabel

6. Mis juhtub, kui mulle mõni nendest küll kohaldub, kuid ma ei tee nende rakendamiseks mitte midagi?

  • Trahvid,
  • mainekahju,
  • lekked,
  • kliendikaotused,
  • tegevuse seiskumine,
  • pahatahtlikud saavad ligi andmetele, rahale või teenustele,
  • juhatuse isiklik vastutus (jah, eksisteerib).

Teisisõnu — see kõik on palju rohkemat, kui see tüütu salasõna uuendamise nõue.

Kui need regulatsioonid kokku võtta, siis tegelikult ei küsi nad midagi müstilist ega uut.

Nad küsivad ühte ja sama asja eri nurkade alt:

  • kas sa tead, millised riskid sinu ettevõtet mõjutavad,
  • kas sa oled nende peale mõelnud,
  • ja kas sa oled teinud teadlikke otsuseid nende maandamiseks.

NIS2 ja KüTS küsivad, kas su süsteemid peavad rünnakule vastu.
GDPR ja IKS küsivad, kas inimeste isikuandmed on kaitstud.
AI Act küsib, kas su tehisintellekt teeb seda, mida ta tohib teha.

Ja kui midagi sellest jääb ainult „teadlikkuse tasemele“, mitte tegutsemise tasemele, siis tasub meeles pidada: teadlikkus ilma tegutsemiseta on lihtsalt teater.


7. KKK - korduma kippuvad küsimused - NIS2, KüTS, GDPR ja IKS kohta

Kas NIS2 kehtib ka väikesele ettevõttele?

Sõltub ettevõtte tegevusvaldkonnast ja rollist teenuseahelas. Ka väiksemad ettevõtted võivad kuuluda NIS2 alla. 

Kas KüTS ja NIS2 on sama asi?

Ei. KüTS on Eesti seadus, mis rakendab ja täpsustab NIS2 nõudeid kohalikus kontekstis. 

Kas GDPR kaob, kui NIS2 tuleb?

Ei. GDPR ja NIS2 kehtivad paralleelselt ja täiendavad teineteist.

Kuna KüTS ja NIS2 on praegu väga kuumad teemad, siis loe ka järgmist artiklit, mis selgitab natuke lähemalt, mis on NIS2 ja KüTS.

See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.

Kommentaarid

Email again:

Jätka lugemist

Kätri Sarapuu
Kuidas alustada infoturbega? Teekond siin!
Kätri Sarapuu
ISO 27001 sertifikaat: aus juhend algusest lõpuni
Kätri Sarapuu
Defending Data ISMS alusdokumentide juhend

Eelmine

Järgmine

NIS2 ja KüTS: mida need ettevõttelt nõuavad Eestis?

Jaga seda artiklit