Kui küberintsident juhtub, on kaks tüüpi reaktsioone: “Keegi tehku midagi!” või “Kas meil on mingi vorm…?”

Hea uudis: jah, on vorm. Ja seadus ütleb üsna konkreetselt, millal ja mis ajaks on see vorm vaja esitada.

Küberturvalisus on aastaid olnud see teema, mis elab kuskil IT ja riskihalduse vahel. Juhatus kuuleb, noogutab ja liigub järgmise päevakorrapunkti juurde. KüTS teeb sellele viisakale distantsile lõpu ja ütleb üsna selgelt: küberturvalisus ei ole enam ainult tehniline küsimus, vaid juhtimisvastutus.

Vaatame rahulikult, mida see tähendab.

Miks peab keegi üldse kontrollima, kas meil on küberasjad korras? Eriti siis, kui “midagi pole ju juhtunud” ja ikkagi küsitakse riskihinnanguid ning intsidendiprotsesse?

Vaatame rahulikult, mida KüTS tegelikult lubab järelevalvel teha ja millal need õigused päriselt mängu tulevad. 

KüTS ei eelda, et riik loeks su mõtteid. Seepärast ongi olemas registreerimiskohustus - kui sa oled seaduse mõttes ülioluline või oluline teenuseosutaja, siis anna endast märku.

Mitte kriisi ajal. Mitte siis, kui keegi küsib. Vaid enne.