Sisukord
NIS 2 direktiivi eesmärk on suurendada küberturvalisust kogu Euroopa Liidus, kehtestades võrgu- ja infosüsteemide turvalisuse kõrge ühise taseme. NIS 2 seab konkreetsed meetmed küberturvalisuse kõrge taseme tagamiseks, mida kohustatud isikud peavad järgima. Eestis rakendatakse NIS 2 direktiivi küberturvalisuse seadusega (KüTS). Kui varem oli KüTS kohaldamisala ebaselge, siis 2022. aastal muudeti seadust ja täpsustati kohaldamisala.
KüTSis on nüüd ammendav loetelu teenuse osutajatest (§ 3 lg 1). Teenuse osutajad on mh elutähtsate teenuste osutajad nagu meditsiini-, telekommunikatsiooni-, pangandus- ja transporditeenuste pakkujad, samuti hõlmab teenuse osutaja mõiste avalikku sektorit. Teenuse osutajad on KüTSi mõttes kohustatud isikud – nende ülesanne on rakendada turvameetmeid ja täita muid kohustusi, mis on seotud küberintsidentide ennetamise ja lahendamisega.
Oluline on ka see, et pilvandmetöötlusteenuse pakkujad on samuti teenuse osutajad ehk kohustatud isikud, kui neil on üle 50 töötaja või kui nende aastane tulu ületab 10 miljonit eurot. Kuid ka need pilvandmetöötlusteenuse pakkujad, kes ei ületa neid künniseid, on teatud tingimustel kohustatud järgima KüTSi nõudeid.
Kuidas reguleeritakse pilvandmetöötlusteenuseid KüTSi alusel?
Kuigi KüTSi kohaldamisala on selge – teenuse osutajad peavad organisatsiooni siseselt rakendama turvameetmeid – võivad nad ka eelistada kulude kokkuhoiu ja/või protsesside ühtlustamise eesmärgil mõnda teenust sisse osta. Näiteks kasutab riigiasutus praktilistel põhjustel avalike andmete säilitamiseks väliseid pilveteenuseid. Selles osas ei jäta KüTS ka sisseostetud pilveteenuseid puutumata.
Alates 1. juulist 2024 kohaldatava ja KüTSi rakendava määruse kohaselt peab vastutav isik viima läbi riskihindamise, kui ta kasutab mis tahes avaliku teabe säilitamiseks välist pilveteenust. Määrus on laiaulatuslik ja ei tee erandeid. Näiteks tuleb hinnata Google’i usaldusväärsust, kui kohalik omavalitsus kasutab Google’i pilveteenust elanike andmete säilitamiseks.
Riskihindamisel tuleb arvesse võtta küberturvalisuse meetmeid, töödeldavate andmete laadi, usaldusväärsust ja süsteemide tehnilist vastupidavust. See üsna ulatuslik kohustus võib tekitada kohustatud isikutele lisanduvaid keerukusi, mis tähendab, et nad peavad enne uute pilveteenuste kasutuselevõtmist hindama teenusepakkujaid.
Kuidas tegutseda, kui olete pilveteenuse pakkuja?
Määrus kohustab kohustatud isikut konkreetselt läbi viima riskihinnangu, mille ulatus võib aga olla raskesti mõistetav ning protsess võib erinevatel põhjustel võtta aega ja ressursse. Näiteks puudub kohustatud isiku personalil vajalik pädevus. Lisaks võib ka infovahetus riskihinnangu koostamisel kulutada väärtuslikku aega. Seega soovitame, et pilveteenuse pakkuja, kes tunneb toote üksikasju, täidaks enesehinnangu eelnevalt ja jagaks seda kohustatud isikuga.
Kui pilveteenuse pakkuja täidab enesehinnangu ise, saab ta seda kasutada läbirääkimiste käigus, mis lihtsustab läbirääkimisprotsessi ja võimaldab teenuse sujuvalt kasutusele võtta. Täidetud enesehinnangu võib müügiargumendina tuua esile, et näidata vastavust KüTSile, mis võib suurendada kohustatud isiku silmis usaldust pilvteenuse pakkuja vastu.
Mahukas osa hindamise juures on riskide analüüs vastavalt Eesti E-ITS infoturbe standardile. Selle aeganõudva sammu võib aga vahele jätta, kui olete ISO nõuetele vastav ja olete RIA-le ISO sertifikaadi olemasolust teatanud. Soovitame kõigil ISO sertifikaadi omanikel teavitada RIA-t, millega saab E-ITS hindamist vältida ja tagada, et ainult ISO standard on kohaldatav.
Kui teie klientideks on elutähtsate teenuste osutajad või avalik sektor, saame teid aidata enesehinnangu läbi viimisel. Oleme koostanud määruse alusel esialgse küsimustiku vormi ja saame teid aidata õiguslikele küsimustele vastamisel. Eelneva kogemuse pinnalt oleme saanud teada, et enesehinnang võib osutuda kasulikuks läbirääkimistel avaliku sektori ja elutähtsate teenuste osutajatega.
