Mida tähendab uus EL-i direktiiv NIS2 sinu ettevõtte jaoks?

Dr. Folkert Wierda

Vanem digitaliseerimise konsultant

Euroopa Liit on üha enam keskendunud küberjulgeolekule, tunnistades oma digitaalse infrastruktuuri kaitse otsustavat tähtsust küberohtude eest. NIS2 direktiiv, ametlikult tuntud kui direktiiv (EL) 2022/2555, on oluline samm liikmesriikide küberkindluse parandamise suunas. See direktiiv tugineb oma eelkäijale, NIS-direktiivile (võrgu- ja infosüsteemide julgeolek), ning selle eesmärk on tulla toime areneva ohumaastikuga.

NIS2 direktiiv kehtestab kõrgemad standardid kriitilistele asutustele ja olulistele teenustele, et parandada EL-i küberjulgeoleku olukorda. See soodustab liikmesriikide ning avaliku ja erasektori vahelist koostööd ja teabevahetust. Lisaks on selle eesmärk tõsta EL-i digitaalse infrastruktuuri vastupidavust küberrünnakute vastu.

Üks olulistest muudatustest, mida NIS2 kehtestab, on direktiivi kohaldamisala laienemine. Kui algne NIS-direktiiv keskendus elutähtsate teenuste osutajatele (ETO) ja digiteenuste pakkujatele, laiendab NIS2 seda laiemale asutuste ringile. NIS2 kehtestab kaks uut asutuste kategooriat: olulised asutused ja elutähtsad asutused. Need kategooriad hõlmavad erinevaid sektoreid ja teenuseid, mis on otsustava tähtsusega ühiskonna ja majanduse toimimiseks, sealhulgas:

  • Energia: elektri-, nafta- ja gaasitarnijad ning operaatorid.
  • Transport: lennuettevõtjad, raudteed, laevandusettevõtted ja ühistranspordi pakkujad.
  • Pangandus ja finantsturu infrastruktuurid: pangad, börsid ja makseteenuste pakkujad.
  • Tervishoid: haiglad, kliinikud ja muud tervishoiuteenuste osutajad.
  • Veevarustus ja -jaotamine: veepuhastusjaamad ja joogivee tarnijad.
  • Digitaalne infrastruktuur: interneti sõlmpunktid, domeeninimede süsteemid ja pilvandmetöötlusteenused.

NIS2 kehtestab mitu olulist sätet ja nõuet, et tagada võrgu- ja infosüsteemide turvalisus ja vastupidavus. Need hõlmavad järgmist:

1.

Olulised ja elutähtsad asutused on kohustatud rakendama riskijuhtimismeetmeid, et vältida ja minimeerida küberjuhtumite mõju. Need meetmed peavad katma nii võrgu- ja infosüsteemide turvalisust kui ka füüsilist keskkonda ja personaliressursse. Asutused on kohustatud teavitama pädevaid riiklikke asutusi juhtumitest, millel on märkimisväärne mõju nende teenustele.

NIS2 nõuab, et asutused rakendaksid mitmeid turvameetmeid, sealhulgas:

  • Juurdepääsu kontroll ja identiteedihaldus.
  • Oskused juhtumite tuvastamiseks ja neile reageerimiseks.
  • Äri jätkusuutlikkuse ja -taastamise planeerimine.
  • Regulaarne turvalisuse hindamine ja auditid.

2.

Asutused peavad looma ka sobivad juhtimisstruktuurid, et jälgida nende meetmete rakendamist ja tagada direktiivi nõuete täitmine.
Koostöö ja koordineerimise edendamiseks näeb NIS2 ette mitmeid mehhanisme ja organeid, sealhulgas:

  • CSIRT (Computer Security Incident Response Team) võrgustik: riiklike arvutikaitse intsidentide käsitlemise üksuste võrgustik, et hõlbustada teabevahetust ja koordineeritud reageerimist juhtumitele.
  • Koostöögrupp: rühm, kuhu kuuluvad liikmesriikide, Euroopa Komisjoni ja ENISA (Euroopa Liidu Küberjulgeoleku Agentuur) esindajad, et toetada strateegilist koostööd ja teabevahetust.
  • ENISA (European Union Agency for Cybersecurity): Euroopa Liidu Küberjulgeoleku Agentuur, millel on otsustav roll NIS2 rakendamise toetamisel ning juhiste ja ekspertteadmiste pakkumisel liikmesriikidele.

3.

NIS2 rakendamise tagamiseks sisaldab direktiiv sätteid karistuste ja jõustamise kohta. Liikmesriigid on kohustatud kehtestama tõhusad, proportsionaalsed ja hoiatavad karistused direktiivi nõuete täitmata jätmise eest. Need karistused võivad hõlmata rahatrahve, sanktsioone ja muid haldusmeetmeid. Lisaks on riiklikel asutustel volitused teostada auditeid ja inspektsioone, et kontrollida nõuete täitmist.

NIS2 kohustab liikmesriike rakendama direktiivi riiklikesse õigusaktidesse hiljemalt 18. oktoobriks 2024. See hõlmab olemasolevate seaduste ajakohastamist või uute seaduste kehtestamist, et viia need vastavusse direktiivi nõuetega. Liikmesriigid peavad määrama ka pädevad asutused ja looma intsidentide käsitlemise meeskonnad – CSIRT, et jälgida direktiivi rakendamist ja jõustamist.

Kuigi NIS2 on oluline samm EL-i küberjulgeoleku parandamiseks, on endiselt mõned väljakutsed. Nende hulka kuuluvad:

  • Ühtlustamine: tagada direktiivi ühtlane rakendamine ja jõustamine liikmesriikides, et vältida regulatiivset killustatust.
  • Ressursside jaotamine: tagada riiklikele asutustele ja CSIRT-idele piisavad ressursid, et nad saaksid oma ülesandeid tõhusalt täita.
  • Erasektori kaasamine: julgustada eraettevõtteid investeerima küberjulgeolekusse ja seada see prioriteediks.

Tulevikus on oodata, et NIS2 toob kaasa olulisi parandusi EL-i digitaalse infrastruktuuri turvalisuses ja vastupidavuses. Direktiiv seab kõrgemad standardid ning edendab paremat koostööd ja teabevahetust, et luua turvalisem ja kaitstum digitaalne keskkond kõigile EL-i kodanikele ja ettevõtetele.

Kokkuvõttes on NIS2 direktiiv otsustava tähtsusega õigusraamistik, mis reageerib muutuvatele ohtudele ja tugevdab EL-i küberjulgeolekut. Selle ulatuslikud sätted ja nõuded mängivad olulist rolli liidu digitaalse infrastruktuuri kaitsmisel ja liikmesriikide oluliste teenuste katkematu toimimise tagamisel.

Mida see tähendab teie ettevõttele?

Kui teie ettevõte klassifitseeritakse elutähtsa asutusena või olulise teenuse pakkujana, peate arvestama karmimate küberjulgeoleku nõuetega. See võib tähendada, et peate oma olemasolevad turvameetmed üle vaatama ja neid võib-olla täiustama, et vastata uutele standarditele. Samuti võib osutuda vajalikuks süvendada koostööd teiste ettevõtete ja ametiasutustega, et tagada tõhus teabevahetus ja koordineeritud reageerimine küberohtudele.

Erialane tugi

Küberjulgeolek on valdkond, mis nõuab kõrget pädevust nii standardite kui ka tehniliste teadmiste osas. Seetõttu on ülioluline teha koostööd spetsialistidega, et hinnata oma organisatsiooni praegust turvalisuse taset ja määrata kindlaks vajalikud sammud. Nende ekspertide abiga saab tuvastada nõrkusi ja rakendada tõhusaid meetmeid, et suurendada teie ettevõtte digitaalset vastupidavust ja tõhusalt vastata küberruumis kasvavatele ohtudele.

Peamine: ärge oodake, alustage kohe oma küberturbetaseme hindamist ja kavandage vajalikud meetmed selle tugevdamiseks, et kaitsta oma ettevõtet ja täita NIS2 direktiivi uusi nõudeid.

Dr. Folkert Wierda
Vanem digitaliseerimise konsultant Saksamaal
folkert.wierda@oixio.eu
+358 40 1663110