{"id":20350,"date":"2025-03-20T14:23:14","date_gmt":"2025-03-20T14:23:14","guid":{"rendered":"https:\/\/hedman.legal\/?post_type=articles_posttype&#038;p=20350"},"modified":"2025-03-20T14:24:26","modified_gmt":"2025-03-20T14:24:26","slug":"kuberturvalisuse-nouded-pilveteenuse-pakkujatele","status":"publish","type":"articles_posttype","link":"https:\/\/hedman.legal\/et\/artiklid\/kuberturvalisuse-nouded-pilveteenuse-pakkujatele\/","title":{"rendered":"K\u00fcberturvalisuse n\u00f5uded pilveteenuse pakkujatele"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sisukord<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/hedman.legal\/et\/artiklid\/kuberturvalisuse-nouded-pilveteenuse-pakkujatele\/#Kuidas_reguleeritakse_pilvandmetootlusteenuseid_KuTSi_alusel\" >Kuidas reguleeritakse pilvandmet\u00f6\u00f6tlusteenuseid K\u00fcTSi alusel?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/hedman.legal\/et\/artiklid\/kuberturvalisuse-nouded-pilveteenuse-pakkujatele\/#Kuidas_tegutseda_kui_olete_pilveteenuse_pakkuja\" >Kuidas tegutseda, kui olete pilveteenuse pakkuja?<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>NIS 2 direktiivi eesm\u00e4rk on suurendada k\u00fcberturvalisust kogu Euroopa Liidus, kehtestades v\u00f5rgu- ja infos\u00fcsteemide turvalisuse k\u00f5rge \u00fchise taseme. NIS 2 seab konkreetsed meetmed k\u00fcberturvalisuse k\u00f5rge taseme tagamiseks, mida kohustatud isikud peavad j\u00e4rgima. Eestis rakendatakse NIS 2 direktiivi k\u00fcberturvalisuse seadusega (K\u00fcTS). Kui varem oli K\u00fcTS kohaldamisala ebaselge, siis 2022. aastal muudeti seadust ja t\u00e4psustati kohaldamisala.&nbsp;<\/p>\n\n\n\n<p>K\u00fcTSis on n\u00fc\u00fcd ammendav loetelu teenuse osutajatest (\u00a7 3 lg 1). Teenuse osutajad on mh elut\u00e4htsate teenuste osutajad nagu meditsiini-, telekommunikatsiooni-, pangandus- ja transporditeenuste pakkujad, samuti h\u00f5lmab teenuse osutaja m\u00f5iste avalikku sektorit. Teenuse osutajad on K\u00fcTSi m\u00f5ttes kohustatud isikud &#8211; nende \u00fclesanne on rakendada turvameetmeid ja t\u00e4ita muid kohustusi, mis on seotud k\u00fcberintsidentide ennetamise ja lahendamisega.&nbsp;<\/p>\n\n\n\n<p>Oluline on ka see, et pilvandmet\u00f6\u00f6tlusteenuse pakkujad on samuti teenuse osutajad ehk kohustatud isikud, kui neil on \u00fcle 50 t\u00f6\u00f6taja v\u00f5i kui nende aastane tulu \u00fcletab 10 miljonit eurot. Kuid ka need pilvandmet\u00f6\u00f6tlusteenuse pakkujad, kes ei \u00fcleta neid k\u00fcnniseid, on teatud tingimustel kohustatud j\u00e4rgima K\u00fcTSi n\u00f5udeid.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" style=\"font-size:25px\"><span class=\"ez-toc-section\" id=\"Kuidas_reguleeritakse_pilvandmetootlusteenuseid_KuTSi_alusel\"><\/span><strong>Kuidas reguleeritakse pilvandmet\u00f6\u00f6tlusteenuseid K\u00fcTSi alusel?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Kuigi K\u00fcTSi kohaldamisala on selge &#8211; teenuse osutajad peavad organisatsiooni siseselt rakendama turvameetmeid &#8211; v\u00f5ivad nad ka eelistada kulude kokkuhoiu ja\/v\u00f5i protsesside \u00fchtlustamise eesm\u00e4rgil m\u00f5nda teenust sisse osta. N\u00e4iteks kasutab riigiasutus praktilistel p\u00f5hjustel avalike andmete s\u00e4ilitamiseks v\u00e4liseid pilveteenuseid. Selles osas ei j\u00e4ta K\u00fcTS ka sisseostetud pilveteenuseid puutumata.&nbsp;<\/p>\n\n\n\n<p>Alates 1. juulist 2024 kohaldatava ja K\u00fcTSi rakendava m\u00e4\u00e4ruse kohaselt peab vastutav isik viima l\u00e4bi riskihindamise, kui ta kasutab mis tahes avaliku teabe s\u00e4ilitamiseks v\u00e4list pilveteenust. M\u00e4\u00e4rus on laiaulatuslik ja ei tee erandeid. N\u00e4iteks tuleb hinnata Google&#8217;i usaldusv\u00e4\u00e4rsust, kui kohalik omavalitsus kasutab Google&#8217;i pilveteenust elanike andmete s\u00e4ilitamiseks.&nbsp;<\/p>\n\n\n\n<p>Riskihindamisel tuleb arvesse v\u00f5tta k\u00fcberturvalisuse meetmeid, t\u00f6\u00f6deldavate andmete laadi, usaldusv\u00e4\u00e4rsust ja s\u00fcsteemide tehnilist vastupidavust. See \u00fcsna ulatuslik kohustus v\u00f5ib tekitada kohustatud isikutele lisanduvaid keerukusi, mis t\u00e4hendab, et nad peavad enne uute pilveteenuste kasutuselev\u00f5tmist hindama teenusepakkujaid.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" style=\"font-size:25px\"><span class=\"ez-toc-section\" id=\"Kuidas_tegutseda_kui_olete_pilveteenuse_pakkuja\"><\/span><strong>Kuidas tegutseda, kui olete pilveteenuse pakkuja?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>M\u00e4\u00e4rus kohustab kohustatud isikut konkreetselt l\u00e4bi viima riskihinnangu, mille ulatus v\u00f5ib aga olla raskesti m\u00f5istetav ning protsess v\u00f5ib erinevatel p\u00f5hjustel v\u00f5tta aega ja ressursse. N\u00e4iteks puudub kohustatud isiku personalil vajalik p\u00e4devus. Lisaks v\u00f5ib ka infovahetus riskihinnangu koostamisel kulutada v\u00e4\u00e4rtuslikku aega. Seega soovitame, et pilveteenuse pakkuja, kes tunneb toote \u00fcksikasju, t\u00e4idaks enesehinnangu eelnevalt ja jagaks seda kohustatud isikuga.&nbsp;<\/p>\n\n\n\n<p>Kui pilveteenuse pakkuja t\u00e4idab enesehinnangu ise, saab ta seda kasutada l\u00e4bir\u00e4\u00e4kimiste k\u00e4igus, mis lihtsustab l\u00e4bir\u00e4\u00e4kimisprotsessi ja v\u00f5imaldab teenuse sujuvalt kasutusele v\u00f5tta. T\u00e4idetud enesehinnangu v\u00f5ib m\u00fc\u00fcgiargumendina tuua esile, et n\u00e4idata vastavust K\u00fcTSile, mis v\u00f5ib suurendada kohustatud isiku silmis usaldust pilvteenuse pakkuja vastu.&nbsp;<\/p>\n\n\n\n<p>Mahukas osa hindamise juures on riskide anal\u00fc\u00fcs vastavalt Eesti E-ITS infoturbe standardile. Selle aegan\u00f5udva sammu v\u00f5ib aga vahele j\u00e4tta, kui olete ISO n\u00f5uetele vastav ja olete RIA-le ISO sertifikaadi olemasolust teatanud. Soovitame k\u00f5igil ISO sertifikaadi omanikel teavitada RIA-t, millega saab E-ITS hindamist v\u00e4ltida ja tagada, et ainult ISO standard on kohaldatav.<\/p>\n\n\n\n<p>Kui teie klientideks on elut\u00e4htsate teenuste osutajad v\u00f5i avalik sektor, saame teid aidata enesehinnangu l\u00e4bi viimisel. Oleme koostanud m\u00e4\u00e4ruse alusel esialgse k\u00fcsimustiku vormi ja saame teid aidata \u00f5iguslikele k\u00fcsimustele vastamisel. Eelneva kogemuse pinnalt oleme saanud teada, et enesehinnang v\u00f5ib osutuda kasulikuks l\u00e4bir\u00e4\u00e4kimistel avaliku sektori ja elut\u00e4htsate teenuste osutajatega.<\/p>\n","protected":false},"featured_media":20298,"template":"","article_categories":[132],"class_list":["post-20350","articles_posttype","type-articles_posttype","status-publish","has-post-thumbnail","hentry","article_categories-infotehnoloogia"],"acf":[],"_links":{"self":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/articles_posttype\/20350","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/articles_posttype"}],"about":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/types\/articles_posttype"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/media\/20298"}],"wp:attachment":[{"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/media?parent=20350"}],"wp:term":[{"taxonomy":"article_categories","embeddable":true,"href":"https:\/\/hedman.legal\/et\/wp-json\/wp\/v2\/article_categories?post=20350"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}