Mis on NIS2?
NIS2 (Network and Information Security Directive 2) on Euroopa Liidu direktiiv, mis seab kõrge ühise küberjulgeoleku taseme EL’i liikmesriikidele ja neis tegutsevatele kriitilistele ning olulistele üksustele/ettevõtetele. Selle eesmärk on parandada liikmesriikide küberturvalisust, kehtestades ühtse miinimumstandardi infosüteemide ja võrkude turvalisusele.
NIS2 põhineb NIS1-l, kuid kehtib rohkematele sektoritele ja üksustele ning kehtestab uusi kohustusi nii ettevõtetele kui ka liikmesriikidele. NIS2 ühtlustab ettevõtete küberjulgeoleku meetmeid, keskendudes riskijuhtimisele ja tarneahela turvalisusele, ning määrab ühtlustatud trahvid rikkumiste eest.
Miks on NIS2 oluline?
NIS2 on vastus kasvavale arvule küberohtudele ja aitab kindlustada majanduse ja ühiskonna toimimise perspektiivist oluliste organisatsioonide kaitstuse. Paneb organisatsioonide tippjuhtkonnale isikliku vastutuse küberturbe eest, tagades sellega reaalsete tegudeni jõudmise küberturbe tagamisel.
Kellele rakendub NIS2?
Lühidalt – kaudselt kõigile EL’is tegutsevatele ettevõtetele.
Kuna NIS2 paneb vastutuse ettevõtetele, kellele direktiiv kohaldub, kindlustada oma tarneahela küberturvalisus, peavad oma küberturbega süsteemselt tegelema ka enamik neist ettevõtetest, kellele direktiiv otseselt ei kohaldu.
Otseselt kohaldub NIS2:
- Elutähtsa teenuse osutajad
Olulised üksused/ettevõtted, mis tegutsevad kõrge kriitilisusega sektorites: energia; transport; pangandus; finantsturu infrastruktuurid; tervishoid; joogivesi; reovesi; digitaalne infrastruktuur; IKT teenuse juhtimine (ärilt-ärile); avalik haldus; kosmos. - Oluliste teenuste osutajad
Olulised üksused, mis tegutsevad teistes kriitilistes sektorites: posti- ja kullerteenused; jäätmekäitlus; kemikaalide tootmine, valmistamine ja levitamine; toidu tootmine, töötlemine ja levitamine; tootmine; digiteenuste pakkumine; teadusuuringud. - Kõik ettevõtted,
kellel on rohkem kui 50 töötajat ja rohkem kui 10 MEUR aastakäivet või bilansimahtu
Millal direktiiv rakendub?
Oktoober 2024 ehk tegutse kohe!
Regulatsioon jõustus 2023. aasta jaanuaris ja tuleb riiklikesse seadustesse üle võtta hiljemalt 17. oktoobriks 2024.
Mis on sanktsioonid mittevastavuse korral?
- Ettevõttele
Kuni 10 MEUR või 2% ülemaailmsest aastakäibest (kõrgem kahest). - Tippjuhtidele
Märkimisväärsed trahvid eraisikutele. Raskemate juhtumite korral võimalik kriminaalvastutus.
Kuidas olla vastav NIS2 direktiivile?
- Teosta NIS2 vastavushinnang
- Teosta riskihinnang
- Teosta põhjalik küberturbe ja taristu audit
- Koosta plaan küberturbe raamistiku juurutamiseks (näiteks ISO27001)
- Lisa plaani NIS2 direktiivist tulenevad sammud, mida ISO 27001 ei kata
- Vii plaan samm-sammult ellu (tõenda edasiminekut)
- Vii sisse intsidentide tuvastuse ja teavituse protsess vastavalt NIS2-le
- Koolita regulaarselt töötajaid ja juhtkonda
- Hoolitse, et tarneahela partnerite küberturbe tase vastaks nõuetele – hinda, monitoori regulaarselt
- Teosta regulaarseid küberturbe auditeid ja läbistusteste
- Dokumenteeri kõik ja hoia dokumentatsioon ajakohane
Kui ettevõte omab ISO 27001 sertifikaati, kas ta vastab automaatselt NIS2-le?
Automaatselt mitte, aga suure tõenäosusega küll. NIS2 direktiiv seab ISO 27001-le lisaks täiendavad või rangemad nõuded:
- Täpsemad riskijuhtimise nõuded, eriti riskide juhtimine kogu tarneahela ulatuses.
- Teavitamiskohustused – ISO 27001 ei hõlma spetsiifilisi nõudeid intsidentidest teavitamisele, kuid NIS2 nõuab pädevate asutuste ja kohati avalikkuse teavitamist.
Kuidas OIXIO Cyber aitab?
- NIS2 vastavushinnangu teenus
- Küberturbe auditi teenus ja arenguplaani koostamine
- Küberriskide hindamine
- Küberturbe alane nõustamine ja CISOaaS
- Küberhügieeni koolitused
- Küberturbe keskus teenusena SOCaaS – intsidentide tuvastamine, reageerimine, lahendamine ja teavitus
- Küberturbe tehnoloogiate valik, arhitektuur, müük, juurutus ja haldus
OIXIO Cyber on küberturbe rakendaja #1
Tugev meeskond ja palju kogemusi; kõrgeim NPS Eestis; ISO 27001 sertifikaat; 24/7 SOC; küberturbelahenduste tootjate kõrgeima taseme partner.
Miks OIXIO küberturbe partnerina?
- Tugineme hinnangu andmisel lisaks NIS2 direktiivist tulenevatele nõutele ka CIS (Center for Internet Security), ISO27001 ja Australian ASD raamistikele ja standarditele.
- Tugev ja sertifitseeritud meeskond.
Meie audiitorid omavad kokku rohkem kui 70 tehnilist sertifikaati (nt CISSP, CEH, SC-200, CSA, CCNP, NSE8, MS-500, AZ-500 CHFI j.t sertifikaadid), mis tõestab, et tegemist on oma ala parimatega. - Arvukalt teostatud küberturbe auditeid, riski- ja vastavushinnanguid
- OIXIO on ISO 27001 sertifitseeritud
- 24×7 mehitatud küberturbe keskus SOC
- Maailma juhtivate küberturbe tehnoloogia tootjate pikaajaline kõrgeima taseme partner
- Teooria ja praktika käsikäes – meil on võimekus hinnata olukorda, töötada välja arenguplaan ning viia ka kõik arendustegevused reaalselt ellu.
