1. Milleks see dokumentide komplekt on?

Kui küberintsident juhtub, hakkab kell tiksuma. Küberturvalisuse seadus (KüTS) näeb ette selged tähtajad, rollid ja teavitamissisu ning eeldab, et organisatsioon tegutseb struktureeritult. 

Loe ka blogiostitust - küberintsident: kuidas KüTS järgi RIA-le teatada?

See komplekt aitab sul teavitada küberintsidendist RIA-t kui ka isikuandmetega seotud intsidendist AKI-t:

• otsustada kiiresti, kas ja millal teavitada RIA-t või Andmekaitse Inspektsiooni (AKI),
  
• esitada teavitused korrektses järjekorras (24 h, 72 h, vahearuanded, lõpparuanne),
  
• koguda ja edastada vajalik info ilma liigse improviseerimiseta,
• hoida juhtimine, juriidika ja tehniline pool ühel lehel.
  

Fookus ei ole vormidel endil, vaid õigel otsusel õigel ajal.

2. Kellele sobib?

• teenuseosutajatele, kellele kohaldub KüTS ja/või NIS2,
  
• ettevõtetele, kes töötlevad isikuandmeid ja peavad täitma GDPR teavitamiskohustusi,
  
• ettevõtetele, kellel on IT-teenused, pilvepartnerid või kriitilised sõltuvused,
  
• juhatusele ja vastutavatele isikutele, kes peavad teavitamise eest vastutama,
  
• CISO-dele, IT- ja riskijuhtidele, kes juhivad intsidenti praktilisel tasandil,
  
• ettevõtetele, kes soovivad, et teavitamine oleks tõendatav ja kaitstav ka hiljem.
  

3. Mida saad?

3.1 Küberintsidentidest teavitamise juhend 

• kiire otsustusloogika: millal teavitada RIA-t ja millal AKI-t — ja millal mitte,
  
• selged tähtajad ja sisunõuded (RIA: 24 h / 72 h / vahe / lõpp; AKI: 72 h),
  
• rollide ja vastutuse jaotus,
  
• juhised partnerite ja outsourcing'u juhtimiseks,
  
• vabatahtliku teavitamise (KüTS § 8¹) praktiline kasutus,
  
• selge eristus: millal teavitad ainult RIA-t, millal ainult AKI-t, millal mõlemat.
  

3.2 Küberintsidentidest teavitamise vormid 1–5

RIA teavitamine (KüTS ja NIS2):

• esmane teade (24 h),
  
• intsidentiteade – täpsustus (72 h),
  
• vahearuanne (RIA taotlusel),
  
• lõppraport (1 kuu).
  

AKI teavitamine (IKS ja GDPR):

• AKI teavitusvorm isikuandmete rikkumise korral (72 h) — sisaldab ka andmesubjektide teavitamise hindamise kontrollkohti.
  

Vormid on üles ehitatud nii, et need sobivad raport.cert.ee keskkonda ning AKI veebikeskkonda ja aitavad hoida info ühtses ja arusaadavas struktuuris.

4. KKK

Kas pean teavitama RIA-t ja AKI-t alati mõlemat? Ei — juhend selgitab täpselt, millal teavitad ainult RIA-t, millal ainult AKI-t ja millal mõlemat. See sõltub intsidendi iseloomust.

Kas vormid sobivad raport.cert.ee keskkonda? Jah — vormid on üles ehitatud nii, et info on struktureeritud vastavalt RIA ja AKI nõuetele.

Kas see sobib ka siis, kui meil ei ole veel küberintsidenti juhtunud? Eriti siis. Parim aeg teavitamisprotsess paika panna on enne intsidenti, mitte selle ajal.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.