NIS 2 direktiiv: kõik oluline, mida pead teadma

NIS 2 direktiiv on Euroopa Liidu (EL) uus regulatsioon, mis kehtestab uued rangemad nõuded olulist teenust pakkuvate ettevõtete küberturvalisusele. See jõustus küll juba 2023. aasta jaanuaris, kuid kõigil Euroopa Liidu liikmesriikidel on veel aega. Kokku anti 21 kuud see oma seadusandlusesse üle võtta ning ettevõtetes rakendada.

NIS2 on EU direktiiv. Eestis laiendab see ettevõtete ringi, kellel on kohustus vastata küberturvalisuse seadusele, mille tagavad vastavus E-ITS’le või ISO27001.

Andres Vallistu

Küberturbe ärisuuna juht

Seega ongi juba kätte jõudmas viimane aeg hakata tegutsema, et tagada ka oma ettevõtte vastavus nendele uutele nõuetele.

Mida see sinu äri jaoks tähendab?

NIS2 direktiivi kohaldatakse ettevõtetele, kes osutavad teenuseid või tegutsevad EL-is, on vähemalt keskmise suurusega ehk miinimum 50 töötajat ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot.

NIS 2 direktiiv kehtib kõikidele ettevõtetele, kes pakuvad olulisi teenuseid, nagu näiteks:

  • Elekter
  • Kaugküte ja –jahutus
  • Nafta
  • Gaas
  • Vesinik
  • Lennundustransport
  • Raudteetransport
  • Veetransport
  • Maanteetransport
  • Pangandus
  • Finantsturutaristud
  • Tervishoid
  • Joogivesi
  • Reovesi
  • Digitaristu (nt pilveandmetöötlusteenuse osutajad, andmekeskusteenuse osutajad saldusteenuse osutajad jne)
  • IKT-teenuste haldamine (ettevõtetevaheline)
  • Avaliku halduse üksused
  • Kosmos
  • Posti- ja kullerteenused
  • Jäätmekäitlus
  • Kemikaalide valmistamine, tootmine ja levitamine
  • Toiduainete tootmine, töötlemine ja turustamine
  • Töötlev tööstus (nt arvutite, elektroonika- ja optikaseadmete tootmine)
  • Digiteenuste osutajad
  • Teadusasutused

Kui sinu firma kuulub ühte neist sektoritest, peabki tegutsema ja end uue direktiiviga kurssi viima. Muidugi saab selle kohta abi küsida ka oma küberturvalisuse partnerilt.

NIS 2 direktiiviga vastavuse saavutamiseks peavad firmad rakendama nii tehnilisi ja organisatsioonilisi lahendusi oma küberturvalisuse taseme tõstmiseks. Need on mõeldud selleks, et kaitsta ühiskonna jaoks kõige olulisemaid teenuseid küberintsidentide eest ning tagada nende pidev kättesaadavus.

Mida tuleb oluliste teenustega teha?

Mõned näited nendest tehnilistest ja organisatsioonilistest meetmetest, millega oluliste teenustega ettevõtted peaksid tegelema hakkama, on siin. See pole küll täielik nimekiri, kuid annab aimu, mis suunas tuleks tegutseda. Pealegi pole veel päris kõik nõuded detailselt paika pandudki.

Riskide hindamine ja juhtimine: firma peaks regulaarselt hindama oma küberturvalisuse riske ja rakendama kaitset nende leevendamiseks. See sisaldab varade hindamist, ohtude ja nõrkuste analüüsimist ning haavatavuste hindamist.

Turvaintsidentide tuvastamine ja neile reageerimine: väga oluline on luua oma süsteem turvaintsidentide tuvastamiseks ja neile kiireks reageerimiseks. Kui midagi juhtub, peavad töötajad olema valmis tegutsema ja selleks peab olema neid treenitud.

Krüptograafia kasutamine andmete kaitsmiseks: Firma peab kasutama krüptograafiat tundlike andmete kaitsmiseks nii salvestamisel ja hoidmisel kui ka edastamisel.

Juurdepääsu kontrollimine ja autentimine: firma peab kehtestama juurdepääsukontrolli reeglid, et andmetele pääseksid ligi ainult volitatud isikud. See tähendab ka tugevate paroolide ja mitmeastmelise autentimise kasutamist, kus vaja.

Personali ja C-level’i juhtide koolitus: töötajaid ja ettevõtte juhte peab regulaarselt koolitama küberturvalisuse teemadel, et nad oleksid teadlikud küberturvaohudest ja oskaksid neid vältida.

Tõsistest küberturvaintsidentidest peab teatama: regulatsiooni järgivates riikides peavad olemas olema pädevad ametiasutused (nt CERT-EE), kellele ettevõtted peavad teatama tõsistest küberrünnakutest ja ohtudest. See aitab kaasa, et reageeritakse kiiresti ja tõhusalt ning kasutatakse riigi parimaid teadmisi ning oskusi ohtudest jagu saamiseks.

See kõik on mõistagi miinimum. Kui Eestis Küberturvalisuse seadusesse (KüTS) NIS2 direktiivi sätted sisse viiakse, siis laiendatakse sellest tulenevalt KüTS subjektide ringkonda ja nendele ettevõtetele kaasneb kohustus joonduda, kas Eesti infoturbestandardiga (E-ITS) või ISO 27001 standardiga.

Alusta kasvõi täna!

Alustada võib ja saabki juba täna, selleks ei pea ootama 21-kuuse tähtaja täitumist.

80/20 printsiip valmisoleku tagamiseks on järgmine:

  • Tunne oma varasid ja riske!
  • Käivita ettevõttes infoturbe juhtimissüsteem (ISMS), mis vastab E-ITS või ISO 27001 standardile.
  • Loo vajalik infoturbe dokumentatsioon ja protsessid (lähtuvalt E-ITS või ISO 27001 standardist).
  • Kanna hoolt, et varundusplaan ja taasteplaan oleks loodud.
  • Taga ettevõttes logimise ja küberintsidentidele reageerimise võimekus.
  • Loo protsess turvaintsidentidele reageerimiseks ja mängi protsess läbi.
  • Kanna hoolt töötajate küberhügieeni eest.
  • Rakenda regulaarne protsess tarkvarauuenduste ja turvapaikade paigalduseks.
  • Planeeri optimaalne küberturbearhitektuur, mis hoiaks küberintsidendid ettevõttest eemal.

Miinimum on järgmine:

  • Mitmefaktoriline autentimine (MFA).
  • Lõppseadmete kaitse (viirusetõrje).
  • Turvanõrkuste tuvastamise ja haldamise lahendus.
  • Tänapäevane tulemüür ja täiendavad võrguturbe lahendused.
  • Juurdepääsu kontrolli lahendused (ZTNA, NAC).
  • Andmete krüpteerimise ja andmelekke vältimise lahendused.
  • Logide talletamise, analüüsi ja turvaintsidentide ning sündmuste haldamise (SIEM) platvorm.

Samuti saab juba pihta hakata küberturvaintsidentide simulatsioonide läbiviimisega, mis aitab testida ettevõtte võimet ohtudele reageerida ning näitab ära praegu eksisteerivad puudused, mida on veel aega parandama hakata.

Foto: Tima Miroshnichenko, Pexels
Tiitelfoto: Pixabay

Sobiv aeg on ka väline partner kaasata: ta võib pakkuda oma väärtuslikku kogemust ja teadmisi, kuidas saavutada ettevõttes vajalik küberturvalisuse tase.

Kas oled juba valmis?

Mida saaks kohe teha, et teada, kui palju peab vaeva nägema oma küberturvalisuse taseme tõstmiseks?

Esimene oluline tegevus on oma praeguse küberturvalisuse olukorra hindamine: kas firma on ISO 27001 või E-ITS nõuetele vastav? Hea viis olukorra hindamiseks on tellida partnerilt küberturbeaudit!

ISO 27001 on rahvusvaheliselt tunnustatud infoturbe juhtimissüsteemi standard, mis on välja töötatud Rahvusvahelise Standardiorganisatsiooni (ISO) ja Rahvusvahelise Elektrotehnikakomisjoni (IEC) poolt.

E-ITS ehk Eesti infoturbestandard on ISO 27001 standardiga tihedalt seotud ning Eesti õigusruumile kohandatud. E-ITSi aluseks on Saksa päritolu BSI IT-Grundschutz etalonturbe meetod. E-ITSi koostamisel on arvestatud vajadusega saavutada vastavus standardi EVS-EN ISO/IEC 27001 nõuetega.

NIS 2 direktiiviga vastavuse saavutamisega ei pea enam ootama, alusta kohe. See on ka ettevõtte küberturvalisuse tagamiseks hädavajalik. ISO 27001 ja NIS 2 direktiivist saab lähemalt lugeda siit ning muidugi tasub nõu küsida ka OIXIO küberturvaekspertidelt.

Andres Vallistu

Linkedin

Küberturbe ärisuuna juht

Kuidas saame Sulle abiks olla? (OIXIO Cyber)

Võta ühendust, kui soovid suhelda eksperdiga.

* tähistatud väljad on kohustuslikud

Nimi*
Kirjutage meile, kui teil on küsimus või soovite suhelda eksperdiga.
This field is for validation purposes and should be left unchanged.