Kas Euroopa Liit peaks karmistama küberturvalisuse nõudeid?
Mis on muudatuste eesmärk?
Eesmärk on uuendada olemasolevat võrgu- ja infosüsteemide turvalisuse direktiivi ning luua selle asemele uus NIS 2.0 direktiiv. Hetkel kehtiv direktiiv jõustus 2016. aastal ning on Eestis üle võetud küberturvalisuse seadusega. Direktiivi uuendamine on seotud uue Euroopa Liidu küberturvalisuse strateegiaga, millega soovitakse tugevdada Euroopa Liidu liikmesriikide küberturvalisuse taset erinevate sektorite vaates. Euroopa Komisjon arvestas uue direktiivi koostamisel kehtiva direktiivi puudujääke ning kiiresti arenevat ja muutuvat küberruumi, mille ohte on eriti teravalt esile toonud COVID-19 kriis.
Keda mõjutab?
Mõjutab erinevaid ettevõtteid, kes tegutsevad järgmistes valdkondades:
- Elutähtsad üksused (täpsem kohaldamisala eelnõu lisas): energia (elekter, kaugküte ja -jahutus, nafta ja gaas); transport (õhu-, raudtee-, vee- ja maanteetransport); pangandus; finantsturgude infrastruktuurid; tervis; farmaatsiatooted (sealhulgas vaktsiinide tootmine ja kriitilised meditsiiiniseadmed); joogivesi; heitvesi; digitaalne infrastruktuur (interneti vahetuspunktid; domeeninimede süsteemi pakkujad; domeenimede registrid; pilvandmetöötluse teenuse pakkujad; andmekeskuse teenuse pakkujad; sisu edastusvõrgud; usaldusteenuse pakkujad; üldkasutatavad elektroonilised sidevõrgud ja elektroonilised sideteenused).
- Olulised üksused (täpsem kohaldamisala eelnõu lisas): posti- ja kulleriteenused; jäätmekäitlus; kemikaalidega seotud üksused; toidusektor; meditsiiniseadmete sektor; arvutite ja elektroonikaga seotud üksused; masinaseadmete ning mootorsõidukitega seotud üksused; digitaalsete pakkujate sektor (veebipõhised platvormid, veebipõhised otsingumootorid ja suhtlusvõrgustike teenuse platvormid).
- Eelnõu järgi kohalduksid direktiivi nõuded keskmise suurusega ja suurtele ettevõtetele (nö suuruse kriteerium). Ettevõtte määramisel võetakse arvesse komisjoni soovitust 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratlemise kohta. On ka erandeid, millal ettevõttele peaksid nõuded kohalduma olenemata tema suurusest, nt kui ta on ainus pakkuja. Liikmesriikidele jääb võimalus rakendada direktiivi nõudeid ka väiksematele ettevõtjatele, näiteks kui nad on oma teenuse tõttu regionaalsel või riiklikul tasandil olulise tähtsusega.
Mis on olulisemad muudatused?
- Võrreldes kehtiva direktiiviga on eelnõu kohaldamisalas rohkem sektoreid ning osade seniste sektorite alla on lisandunud uued allsektorid. Näiteks on eelnõusse lisatud postiteenused, farmaatsiatoodete tootmine, jäätmekäitlus jne.
- Eelnõu muudab ka direktiivi subjektide jaotust. Uue direktiivi eelnõu subjektide liigitus on elutähtsad ja olulised üksused (essential ning important entity). Oluline vahe elutähtsate ja oluliste ettevõtete puhul seisneb nende üle järelevalves: elutähtsatele üksuste puhul toimuks ex ante ehk ennetavat laadi järelevalve ning oluliste üksuste puhul ex post ehk järelevalve hakkab tegutsema, kui nendeni jõuavad tõendid või info selles osas, et ettevõte ei vasta nõuetele. Riiklikul järelevalveasutustel tekib õigus läbi viia auditeid, kohapealseid kontrolle ja saada vajadusel ligipääse dokumentidele ja süsteemidele.
- Komisjoni ettepanek täpsustab intsidentidest ja küberohtudest teavitamise korda. Näiteks peavad asjakohased ettevõtted esimesel võimalusel, kuid mitte hiljem kui 24 tunni pärast teada andma vastavale järelevalveasutusele turbeintsidendi juhtumisest. Samuti tekib kohustus teavitada ka teenusesaajaid intsidentidest, mis võivad teenuse osutamist ebasoodsalt mõjutada.
- Uuendatud direktiivi eelnõu adresseerib rangemaid turvanõudeid, näiteks peab elutähtsate ja oluliste üksuste ettevõtetel olemas olema riskijuhtimise kava ning eelnõu sätestab tingimused raportitele ja tähtaegadele. Samuti on direktiivi ettepanekusse lisatud tarneahela turvalisuse olulisus ning krüpteerimise ja krüptograafia tähtsus.
- Eelnõu toob esile ka täiendava kohustuse ettevõtete juhtorganitele, kes peavad andma oma heakskiidu ettevõtte küberturvalisuse riskijuhtimise kavadele ja meetmetele ning osalema regulaarselt spetsiifilistel küberturvalisuse koolitustel. Seega rõhutab eelnõu ettevõtete juhtorganite vastutust küberturvalisuse tagamise osas.
- Eelnõu näeb ette karmimad karistusmeetmed nõuete rikkumise puhuks. Trahvimäärad võivad olla kuni 10 miljonit eurot või 2% ülemaailmsest aastakäibest (kohaldub see summa, milline on neist kahest suurem).
Millal jõustuvad muudatused?
Eesti seisukohad direktiivi ettepaneku kohta on hetkel planeeritud 27. jaanuari 2021 Euroopa Liidu koordinatsioonikogu koosolekule. Direktiivi täpne jõustumise kuupäev ei ole veel teada.
Anna teada, mida võiks muuta Euroopa Komisjoni küberturvalisuse uuendatud direktiivi ettepanekus.
Eelkõige soovin vastuseid küsimustele:
1) Mida peaks Eesti toetama/mitte toetama ja miks?
2) Kas muudatused on mõistlikud?
Tagasisidet ootan hiljemalt 18. jaanuariks e-posti aadressile mari-lii[at]koda.ee. Ettevõtete tagasiside põhjal koostan kaubanduskoja seisukoha, mille saadan majandus- ja kommunikatsiooniministeeriumile, kes omakorda koostab Eesti seisukohad Euroopa Komisjonile.