Pikalt on räägitud uuest eurodirektiivist NIS2, aga selgust selle rakendumisega pole olnud. Nüüd andis MKM selle üle võtmise ajakava ja selgitusi.
NIS2 direktiivi eesmärk on saavutada küberturvalisuse ühtlaselt kõrge tase kogu euroliidus, et parandada siseturu toimimist. Selle eesmärgi saavutamiseks sätestatakse direktiivis:
- liikmesriikide kohustus võtta vastu riiklikud küberturvalisuse strateegiad ning määrata või asutada pädevad asutused, küberkriisi juhtimise asutused, küberturbe ühtsed kontaktpunktid ja küberturbe intsidentide lahendamise üksused („CSIRTid“);
- I või II lisas osutatud üksuste ning direktiivi (EL) 2022/2557 kohaselt elutähtsana käsitatavate üksuste küberturvalisuse riskijuhtimismeetmed ja teatamiskohustus;
- küberturvalisuse alase teabevahetusega seotud reeglid ja kohustused;
- järelevalve ja täitmise tagamisega seotud kohustused liikmesriikidele.
NIS2 direktiivi üle võtmise ajakavast
Majandus- ja Kommunikatsiooniministeerium valmistab hetkel ette eelnõu ja seletuskirja teksti, millega võetakse üle NIS2 direktiiv. Eelnõu koostamise praegune ajakava 2024. aasta kohta on järgmine:
- mais ja juuni alguses toimub eelnõu kirjutamine;
- juunis (eelduslikult enne jaanipäeva) esitatakse eelnõu eelnõude infosüsteemi kaudu avalikuks konsulteerimiseks;
- juulis ja augustis toimuvad tagasisidestamine ning vajaduse korral ka kärajad;
- augusti lõpus ja septembri alguses toimub saadud tagasiside lõplik läbivaatus ja vajadusel eelnõu täiendamine;
- september edastatakse eelnõu Vabariigi Valitsusse, mille järel liigub see Riigikokku.
NIS2 direktiivi üle võtmise tähtaeg on 18. oktoober 2024.
Mida see tähendab Eestis?
Eestis laiendab NIS2 ettevõtete ringi, kellel on kohustus vastata küberturvalisuse seadusele, mille tagavad vastavus E-ITS’le või ISO27001.
Elutähtsate või oluliste teenuste osutajate listi leiab Majandus- ja Kommunikatsiooniministeeriumi artiklist, alajaotusest: “NIS2 direktiivi subjektid, sh nende sisu Eestis”
Mõned soovitused edaspidiseks
Esmalt tee selgeks, kas oled juba praegu küberturvalisuse seaduse subjekt või laienevad sulle selle seaduse kohustused tulevikus NIS2 direktiivi üle võtmise järel. Isegi, kui Sinu organisatsioon ei satu küberturvalisuse seaduse nõuete alla, siis on sellest hoolimata kasulik järgida ka selle seaduse nõudeid, sh ka järgmisi soovitusi:
- Mõelge koos organisatsiooni juhiga läbi asutuse infoturbe eesmärgid — milleks infoturve teie jaoks oluline on?
- Vaadake läbi oma organisatsiooni äriprotsessid, määrake protsesside eest vastutajad, tuvastage äriprotsessidega seotud varad, leidke asjakohased turvameetmed (näiteks Eesti infoturbestandardist) ja rakendage need igasse protsessi.
- Rakendage organisatsioonis riskihaldust.
- Seirake ning parendage regulaarselt asutuse infoturbehalduse süsteemi toimimist.
- Plaanige organisatsiooni ressursse võimalike kahjude kontekstis tagajärgede likvideerimiseks või siis kahjude ärahoidmiseks.
- Informeerige ning koolitage oma organisatsiooni juhte ja töötajaid regulaarselt.
- Uuendage infoturbe haldust organisatsioonis toimuvate muutuste ja suuremate intsidentide korral!
Kui oled Eesti väikese- ja keskmise suurusega ettevõtja, siis tutvu EAS/Kredexi võrgulehel oleva küberturvalisuse taseme kaardistamise ja arendamise toetuse tingimustega.
