Uudised

Ülevaade - mida teada Euroopa Liidu küberturvalisust suurendavast NIS2 direktiivist?

Euroopa küberturvalisuse tagamiseks võttis Euroopa Parlament 2016. aastal vastu võrgu- ja infosüsteemide direktiivi NIS. Direktiivi jõustumisel nähti, et selle rakendamine liikmesriikides tõi endaga kaasa kehtestatud nõuete sisu ja kvaliteedi kõikumise. Lisaks sai selgeks, et nõuete järgi on tekkinud täiendav vajadus ka teistes olulistes sektorites. Küberturvalisuse nõuete laiendamiseks, ühtlustamiseks ja tugevdamiseks on nüüdseks vastu võetud aga NIS2 direktiiv, mis on osa EU küberturvalisuse strateegiast. NIS1 direktiiv liigitas teenusepakkujad oluliste teenuste operaatoriteks ning digitaalsete teenuste osutajateks. Uus direktiiv muudab aga liigitust elutähtsateks ning olulisteks üksuseks.

NIS2 direktiiv tugevdab elutähtsaid teenuseid pakkuvate asutuste küberturvalisust. Tagatud peab olema teenuste toimepidevus, küberhügieen, juurdepääsukontroll, krüptograafia ja turvaline autentimine. Mõne ettevõtte puhul tähendab see ka täiendavat turvariskide haldamist oma tarneahelas. Direktiivi üks eesmärkidest on lisaks infovahetuse ja omavahelise koostöö tõhustamine, kuid teisalt näitab kogemus, et nõuete rakendamine võib olla riigiti keeruline ning süvendada fragmenteerumist. Olulise muutusena on direktiiv sisse toonud küberturvalisusega seotud teemade viimise IT osakondadest kaugemale. See tähendab, et küberturvalisusega seotud riskijuhtimise meetmed tuleb heaks kiita juhtkonna tasandil - seega nõutakse juhatuse liikmete osalemist valdkonnaga seotud koolitustel.

Kogenud digiriigina ei ole küberturvalisusega seotud riskide analüüsimine ja haldusmeetmete rakendamine Eestis kehtivate nõuete vaates aga midagi uudset. Seega ei muuda NIS2 direktiiv oluliselt nende ettevõtete toimimist, kellele on küberturvalisuse seadus juba varasemalt kohaldunud ning vastavad sammud on juba varasemast tehtud. See kehtib ka Eesti Interneti Sihtasutuse kohta - peamine EISi puudutav muutus seisneb registri liigitamist elutähtsa teenuse osutajaks ning peame olema valmis pakkuma teenust ka olukorras, kus interneti välisühendused on Eestis katkenud.

Domeeninimede registrite vaates on suurimaks muudatuseks täiendav nõue domeeninimede registreerija andmete korrektsuse ja täielikkuse suhtes. Domeeni registreerimisel on nõutav registreerija nimi, lisaks ka telefoninumber ja e-posti aadress, mis peavad olema kontrollitud ehk tagatud peab olema kontakti võtmise meetod. EIS on registreerijaid tuvastanud juba meie tegevuse algusaastatest ehk kõik registreerimisavaldused allkirjastatakse või tuvastatakse isik läbi panga. Andmete küsimise ja kontrollimisega oleme direktiiviks juba aegsasti valmis olnud ühena esimestest Euroopas.

Kokkuvõttes annab NIS2 direktiiv kätte olulise suuna küberturvalisuse ühtlaseks tagamiseks kogu Euroopas. See tagab süsteemide ja teenuste vastupidavuse ning suurendab julgeolekut, kuid teisalt loob riigiti ka uusi väljakutseid. Eesti on küberturvalisuse tagamisega tegelenud järjepidevalt, mistõttu ei too uus direktiiv paljude jaoks kaasa suuri muudatusi igapäevases töös.