Euroopa Liit soovib uuendada küberturvalisuse direktiivi

Euroopa Liit soovib muuta kehtivat võrgu- ja infosüsteemide turvalisuse direktiivi, sest see ei vasta enam olemasolevatele küberturvalisuse vajadustele. Võrreldes kehtiva direktiiviga on eelnõu kohaldamisalas rohkem sektoreid, lisatud on uued trahvimäärad (kuni 10 miljonit eurot või 2% ülemaailmsest käibest) ja loodud on täiendav küberturvalisuse alane vastutus juhtorganite liikmetele. Koda tõi oma arvamuses mh esile, et eelnõus esitatud trahvimäärad on ebaproportsionaalselt suured, ettevõtete teavitamiskohustused peavad olema mõistlikud ning mitte liialt koormavad ja juhtorgani liikme taandamine direktiivi nõuetega mittevastavuses olemisel ei ole õigustatud.

Uuendatud direktiivi ettepanek muudab ka direktiivi subjektide jaotust, mille järgi oleks uuteks subjektideks elutähtsad ja olulised üksused (essential ning important entity). Samuti täpsustab komisjoni ettepanek intsidentidest ja küberohtudest teavitamise korda (teavitamiskohustus turbeintsidendi juhtumisest 24 tunni jooksul ja raportite esitamise nõuded).

Uuendatud direktiivi eelnõu adresseerib rangemaid turvanõudeid, näiteks peab elutähtsate ja oluliste üksuste ettevõtetel olemas olema riskijuhtimise kava. Ettepanek toob esile ka täiendava kohustuse ettevõtete juhtorganitele, kes peavad andma oma heakskiidu ettevõtte küberturvalisuse riskijuhtimise kavadele ja meetmetele ning osalema regulaarselt spetsiifilistel küberturvalisuse koolitustel. Järelevalveasutusel on õigus vastutav isik juhtorganist taandada, kui direktiivi nõudeid ei täideta isiku tegevuse/tegevusetuse tõttu. Eelnõu näeb ka ette karmimad karistusmeetmed nõuete rikkumise puhuks. Trahvimäärad võivad olla kuni 10 miljonit eurot või 2% ülemaailmsest aastakäibest (kohaldub see summa, milline on neist kahest suurem).

Juhtorgani liikme taandamine direktiivi nõuete mittetäitmise korral ei ole põhjendatud
Ettepanek näeb ette, et vastutusele võib võtta elutähtsa teenuseosutaja juhtivorgani liikme, kui teenuseosutaja pole täitnud temale direktiivist tulenevaid nõudeid ning juhtimisfunktsioone täitva isiku võib tagasi kutsuda, juhul kui selle isiku tegevuse või tegevusetuse tulemusena ei täida ettevõte temale kohalduvaid nõudeid. Kaubanduskoja arvates ei ole piisavalt põhjendatud ega õigustatud juhtorganite liikmete või juhtimisfunktsioone täitvate töötajate tagasi kutsumine ainuüksi direktiivile mittevastamise põhjusel ning selline nõue sekkub ebaproportsionaalselt suurel määral ettevõtete tegevusse.

Ettevõtete teavitamiskohustused peavad olema mõistlikud
Muudatused kehtivas regulatsioonis peavad olema põhjendatud ning arusaadavad. Ettevõtete jaoks on väga oluline, et teavitamiskohustused oleksid võimalikult selged ning kohustuste sisu ja ulatus peaksid olema täpselt määratletud. Samal ajal ei ole mõistlik nõuda liialt detailseid raporteid ning muud infot, millel ei pruugi olla erilist praktilist väärtust (näiteks vaheraporti esitamise nõue).

Trahvimäärad on ebaproportsionaalselt suured
Kaubanduskoda on seisukohal, et ettepanekus märgitud trahvimäärad on ebaproportsionaalselt suured (10 miljonit eurot või 2% aastasest ülemaailmsest käibest sõltuvalt sellest, milline neist on suurem). Trahvide puhul toome esile, et info nende määramise osas on esitatud liialt üldiselt ning neid ei ole piisavalt täpselt sisustatud. Samuti võivad ebaproportsionaalselt suured trahvid kaasa tuua väiksemate ettevõtete maksejõuetuse. Trahvimäärade suurus peaks olema seotud konkreetsete rikkumiste ning nende raskusastmetega, et ettevõtete jaoks oleks tagatud võimalikult suur õigusselguse määr.

Rohkem infot ettepaneku kohta on leitav SIIT.