Kui infoturbe nõuete maailm oleks garderoob, siis: NIS2: “riietu ilmastikukindlalt” (ütleb kuidas, mitte mis brändi jope). KüTS: sama jope Eesti lõikega: lisab järelevalve ja riigispetsiifika. Esmased turvameetmed: “pane vähemalt kingad jalga, palun” miinimumtase. E-ITS: Eesti “standardraam”. ISO 27001: rahvusvaheline lavapääse: kõige rangem “näita dokumenteeritud infot” tase.

Kui oled viimastel kuudel infoturbe teemadega kokku puutunud, siis on tunne ilmselt selline: kõik räägivad NIS2-st, KüTS-ist, ISO 27001-st, E-ITS-ist… ja kuskil taustal vilksatavad veel esmased turvameetmed.

Tekib täiesti õigustatud küsimus: mida mul üldse päriselt vaja on, milline standard aluseks võtta?

Kui sõna riskihindamine paneb su meeskonna vaikima ja juhatuse pastakat lauale koputama, siis pole probleem riskides. Probleem on selles, kuidas riskihindamist ette kujutatakse.

Vaatame nüüd rahulikult läbi kogu selle tüütu riskihindamise protsessi.

Kas see on jälle mingi uus IT-inimeste väljamõeldis, mis tähendab ainult rohkem pabereid ja vähem päris tööd? Ja miks see üldse mind või minu ettevõtet puudutama peaks?

NIS2 ja KüTS on küberturvalisuse regulatsioonid, mis mõjutavad otseselt ettevõtete juhtimist ja vastutust – räägime need kaks lühendit lahti.