Tarneahela turvalisus: mida see tähendab? Lühidalt: kui sa kasutad tarnijaid, siis ei kao vastutus ära.

Sa ei vastuta selle eest, kuidas tarnija oma süsteeme ehitab, vaid selle eest, et oled mõelnud, kellega oma teenuse “kokku seod”.

Küberturvalisus on aastaid olnud see teema, mis elab kuskil IT ja riskihalduse vahel. Juhatus kuuleb, noogutab ja liigub järgmise päevakorrapunkti juurde. KüTS teeb sellele viisakale distantsile lõpu ja ütleb üsna selgelt: küberturvalisus ei ole enam ainult tehniline küsimus, vaid juhtimisvastutus.

Vaatame rahulikult, mida see tähendab.

Küberturbe regulatsioonid ei ole enam IT-osakonna siseasi. Need on juhtimisküsimus. Ja kui keegi juhatuse koosolekul sulle täna otsa vaatab ning küsib "kas NIS2 meile kohaldub?", peaks vastus tulema kiiremini kui su IT-inimene liftist välja jõuab.

Alustame algusest. Kõigepealt Euroopa loogika, siis Eesti õigus.

Kas see on jälle mingi uus IT-inimeste väljamõeldis, mis tähendab ainult rohkem pabereid ja vähem päris tööd? Ja miks see üldse mind või minu ettevõtet puudutama peaks?

NIS2 ja KüTS on küberturvalisuse regulatsioonid, mis mõjutavad otseselt ettevõtete juhtimist ja vastutust – räägime need kaks lühendit lahti.

Kas oled märganud, et iga kord, kui IT turvateemadest juttu tuleb, ilmuvad välja mingid lühendid, mis kõlavad nagu uue superkangelase nimed? NIS2! ISO 27001! GDPR! KüTS! Ja nüüd ka AI Act!

Kõlab natuke nii, nagu keegi oleks tellinud spetsiaalse komplekti bürokraatiat, mis peab su ettevõtte elu keeruliseks tegema, eks?