NIS2-direktiiv on ELi direktiiv, mis karmimate ees­kir­jade kaudu tugevdab Euroopa liik­mes­rii­kide ja et­te­võ­tete kü­ber­vas­tu­pi­da­vust. See hõlmab tur­va­meet­mete ra­ken­da­mist IT-kaitse pa­ran­da­miseks, samuti tur­va­kont­rolle ja kiireid tea­vi­ta­mis­ka­na­leid kü­ber­jul­ge­ole­kuint­si­den­tide puhul. Kuigi Ühend­ku­ning­riik ei rakenda seda di­rek­tiivi, kuna ELi õi­gusak­tid ei kehti enam selle riigi suhtes, on hea sellest teadlik olla, kui tegutsete ELi piires.

Mis on NIS2-direktiiv?

Euroopa Liidu NIS2-di­rek­tiivi eesmärk on parandada liik­mes­rii­kide elu­täht­sate ja oluliste inf­ra­struk­tuu­ride vas­tu­pa­nu­võimet kü­ber­jul­ge­ole­ku­oh­tu­dele. Lühend NIS2 tähistab „Network and In­for­ma­tion Security 2” (võrgu- ja infoturve 2). Direktiiv jõustus 16. jaanuaril 2023 ja asendas eelmise NIS1-di­rek­tiivi, mis oli juba varem kaasa toonud muutuse IT-turbe kä­sit­le­mises.

Et tagada ELi liik­mes­rii­kide era- ja avalikus sektoris mak­si­maalne kaitse, kehtestab uus NIS2-direktiiv ula­tus­li­ku­mad ja rangemad eeskirjad laiemale sihtrüh­male. Sel viisil on uute ees­kir­jade eesmärk tagada suurem kü­ber­vas­tu­pi­da­vus ning tõhusam te­gut­se­mine kü­ber­jul­ge­ole­ku­oh­tude ja tur­va­li­suse rik­ku­miste vastu. NIS2 eesmärk on ka tagada, et elu­täht­said kaupu või teenuseid ela­nik­kon­nale pakkuvad olulised asutused oleksid krii­si­olu­kor­ras kaitstud kat­kes­tuste ja häirete eest.

NIS2 peamine eesmärk on val­mis­tada et­te­võt­teid paremini ette kü­ber­rün­na­kute vastu ning rea­gee­rida IT-häiretele tõhusalt ja kiiresti. Ühtsem tur­vastra­tee­gia ELi liik­mes­rii­ki­des peaks seega tagama ELi piir­kon­nas nii riiklikul kui ka rah­vus­va­he­li­sel tasandil või­ma­li­kult kõrge kü­ber­tur­va­li­suse taseme. Kõik liik­mes­rii­gid peavad di­rek­tiivi üle võtma oma si­se­riik­likku õigusesse, mis puudutab nii suur­et­te­võt­teid kui ka uusi eeskirju hõlmavaid väikeseid ja keskmise suurusega et­te­võt­teid.

Mida muudab NIS2-direktiiv?

Kohustus rakendada NIS2 kü­ber­jul­ge­oleku tu­gev­da­mise di­rek­tiivi (NIS2UmsuCG) toob kaasa ula­tus­likke muudatusi 18 erinevas sektoris. Muu hulgas on olu­lis­teks sek­to­ri­teks klas­si­fit­see­ri­tud üle kahe korra rohkem valdkondi ning rik­ku­miste eest mää­ra­ta­vate trahvide loetelu on kar­mis­ta­tud. Lisaks võetakse vas­tu­tusele ka te­gev­ju­hid.

Näiteks Saksamaal, His­paa­nias, Itaalias ja Prant­sus­maal mõjutab NIS2-direktiiv tuhandeid et­te­võt­teid. Saksamaal peavad uue di­rek­tii­viga vas­ta­vusse viima kuni 40 000 ettevõtet ja Itaalias umbes 50 000 ettevõtet. His­paa­nias kehtib uus direktiiv ligikaudu 25 000 ettevõtte suhtes, samas kui Prant­sus­maal puudutab see üle 10 000 ettevõtte.

Siin on ülevaade kõigist NIS2 di­rek­tii­viga kaas­ne­va­test muu­da­tus­test:

  • Oluliste vald­kon­dade ringi laien­da­mine: NIS2 määratleb veelgi rohkem sektoreid olu­lis­teks.
  • Karmimad ka­ris­tused: di­rek­tii­viga suu­ren­da­takse oluliselt rik­ku­miste eest mää­ra­ta­vaid trahve
  • Juhtkonna vastutus: juht­kon­nal lasub nüüd otsene vastutus kü­ber­jul­ge­oleku nõuete täitmise eest.
  • Ko­hal­da­mis­ala laien­da­mine: NIS2 direktiiv kehtib et­te­võ­te­tele, kus on üle 50 töötaja või mille käive ületab 10 miljonit eurot, ning mõnedele et­te­võ­te­tele sõltumata nende suurusest.
  • Vajadus põhjalike ris­ki­ana­lüü­side järele: et­te­võ­te­tel on kohustus teostada põh­ja­likke ris­ki­ana­lüüse.
  • Nõutav riskide ja tur­va­li­suse juhtimine: riskide juh­ti­misele ja tur­va­meet­me­tele kehtivad ranged nõuded. Mit­me­su­gu­sed kait­se­meet­med, nagu sis­se­tun­gi­tes­tid, riist­va­ra­li­sed tu­le­müü­rid ja va­run­da­misst­ra­tee­giad, on ko­hus­tus­li­kud.
  • Ko­hus­tus­lik krii­si­juh­ti­mine: tur­va­li­sus­juh­tu­mite korral on nõutavad kiired ja tõhusad krii­si­juh­ti­misst­ra­tee­giad, suht­lus­ka­na­lid ja aru­and­lus­süs­tee­mid.
  • Ole­mas­ole­vate tur­va­pro­to­kol­lide ka­su­ta­mine: Et­te­võt­ted võivad kasutada viitena re­gu­lee­ri­tud töös­tus­ha­rude ole­mas­ole­vaid tur­va­stan­dardeid.

Keda puudutab NIS2-direktiiv?

NIS2 eristab et­te­võt­teid laien­da­tud oluliste et­te­võ­tete ka­te­goo­rias ja täiesti uues oluliste et­te­võ­tete ka­te­goo­rias. See puudutab otseselt et­te­võt­teid, kus on üle 50 töötaja või mille aas­ta­käive on 10 miljonit eurot või rohkem. Lisaks võivad et­te­võt­ted kuuluda NIS2 re­gu­lee­ri­mis­alasse ka suurusest sõltumata, kui nende tegevuse katkemine põhjustab süs­teem­seid riske. „Oluliste” ka­te­goo­ria hõlmab et­te­võt­teid ühe­teist­küm­nest sektorist, seal­hul­gas eelkõige krii­ti­lise inf­ra­struk­tuuri et­te­võt­teid, mis on valitsuse ja ühiskonna jaoks eluliselt tähtsad. „Tähtsate” ka­te­goo­ria hõlmab omakorda seitset süs­teem­selt olulist sektorit.

Olulised sektorid ja et­te­võt­ted

  • Energia
  • Vee­va­rus­tus
  • Transport
  • Pangandus
  • Fi­nants­turu inf­ra­struk­tuu­rid
  • Ter­vis­hoid
  • Kosmos
  • Reovee
  • Avalik haldus
  • Di­gi­taalne inf­ra­struk­tuur
  • IKT-teenuste haldus (B2B)

Olulised sektorid ja et­te­võt­ted

  • Pos­ti­teenu­sed ja kul­ler­tee­nu­sed
  • Jäätmed
  • Kee­mia­töös­tus
  • Toi­du­ai­nete tarnimine
  • Di­gi­taal­tee­nuste pakkujad
  • Tööstus (tööt­le­mine / tootmine)
  • Tea­dusuu­rin­gud (va­li­ku­line)

Millised ko­hus­tused kehtivad et­te­võ­tete suhtes?

NIS2 raames kehtivad et­te­võ­te­tele ranged ko­hus­tused ja olulised muu­da­tu­sed. Nende hulka kuuluvad:

Ko­hus­tused Meetmed
Ris­ki­juh­ti­mine ja äri­te­ge­vuse jär­je­pi­de­vuse juhtimine (§30, 31) Krüp­tee­ri­mine, mitme teguri au­ten­ti­mine, krüp­tograa­fia, kü­ber­hü­gieen, rollide määramine ja juur­de­pääsu kontroll, varunduse haldamine ja süsteemi taas­ta­mine, tar­neahela tur­va­li­sus ja ris­ki­ana­lüü­sid on ko­hus­tus­li­kud. Mii­ni­mum­nõu­ded va­riee­ru­vad ettevõtte suurusest sõltuvalt tänu „suu­rus­piirangu” reeglile.
Aruandlus- ja tea­vi­ta­mis­ko­hus­tused (§32, 35) Olu­lis­test tur­va­li­sus­juh­tu­mi­test tuleb ame­ti­asu­tus­tele teatada 24 tunni jooksul. Esialgsed hinnangud peavad olema kät­te­saa­da­vad 72 tunni jooksul. Ük­sik­as­ja­lik lõpp­aru­anne tuleb esitada ühe kuu jooksul.
Re­gist­ree­ri­mis­ko­hus­tused (§33, 34) Mõjutatud or­ga­ni­sat­sioo­nid ja do­mee­nini­mede re­gist­ri­tee­nuse osutajad peavad esitama teabe vas­tu­ta­va­tele asu­tus­tele hiljemalt kolm kuud pärast NIS2 jõus­tu­mist. Kui re­gist­ree­ri­mis­ko­hus­tust ei täideta, võib selle täita ka CSIRT (ar­vu­ti­tur­va­li­suse int­si­den­ti­dele rea­gee­ri­mise meeskond).
Juhatuse liikmete heaks­kiit­mis-, jä­re­le­valve- ja koo­li­tus­ko­hus­tused (§38) Juhtkonna poolt ohu­tus­meet­mete de­le­gee­ri­mine ei ole enam piisav. Juhtkond peab vajalikud meetmed ak­tiiv­selt heaks kiitma ja on osaliselt ko­hus­ta­tud kor­ral­dama koolitusi.
Jä­re­le­valve- ja täi­te­meet­med (§61, 62) Eel­da­takse, et üks CSIRT-idest tegutseb jä­re­le­val­ve­asu­tusena, kont­rol­li­des nõutavate meetmete täitmist. Varemalt kolm aastat pärast NIS2 jõus­tu­mist on jä­re­le­val­ve­asu­tusel õigus nõuda tõendeid ko­hus­tuste täitmise kohta. Otsese ohu korral võib määrata meetmeid.

Et täita oma kohustusi asjaomase et­te­võt­tena juba varases etapis, peaksite võtma järgmised meetmed:

  • TEGELIKU ja SOOVITAVA olukorra analüüs: Kont­rol­lige, kas NIS2-ko­hus­tused kehtivad teie suhtes, ning selgitage välja teie ettevõtte kü­ber­vas­tu­pi­da­vuse praegune tase ja või­ma­li­kud pa­ran­da­mist vajavad vald­kon­nad.
  • Ra­ken­da­mine: Kõigi in­fo­süs­teemide jaoks tuleb keh­tes­tada ris­ki­ana­lüüs ja tur­va­kont­sept­sioo­nid.
  • Hindamine: Teie ettevõtte ris­ki­juh­ti­mis­mee­to­dite tõhusust tuleks re­gu­laar­selt üle vaadata.
  • Loomine: Tur­va­li­sus­juh­tu­mite kä­sit­le­mise kont­sept­siooni väl­ja­töö­ta­mine on ko­hus­tus­lik.
  • Va­run­da­mine ja krii­si­juh­ti­mine: Tuleb rakendada meetmed andmete va­run­da­miseks ja krii­si­juh­ti­miseks.
  • Tea­vi­ta­mis­süs­teem: Tuleb luua tõhus tur­va­li­sus­juh­tu­mite tea­vi­ta­mis­süs­teem.
  • Koolitus: Töötajaid tuleb re­gu­laar­selt koolitada.
  • Tar­neahela tur­va­li­sus: Tar­neahela tur­va­li­sus tuleb tagada.

Mis juhtub, kui NIS2-di­rek­tiivi ei rakendata?

Et­te­võt­ted, kes ei rakenda et­te­näh­tud meetmeid, peavad arvestama mär­ki­mis­väär­sete trah­vi­dega (§ 65). Vastavalt NIS2-di­rek­tii­vile on jä­re­le­val­ve­asu­tus­tele antud laial­da­sed jä­re­le­valve-, kontrolli- ja ju­hen­da­mis­vo­li­tu­sed, seal­hul­gas täht­ae­gade täitmise tagamine. Lisaks kannavad te­gev­ju­hid oluliselt suuremat vastutust kaitse- ja tur­va­meet­mete eest ning neid võib rik­ku­miste või hooletuse korral pidada isik­li­kult vas­tu­ta­vaks (§ 38, § 61).

Millal jõustub NIS2-direktiiv?

14. det­semb­ril 2022 võtsid Euroopa Parlament ja nõukogu vastu di­rek­tiivi (EL) 2022/2555, mida tuntakse NIS2-di­rek­tii­vina. See toob kaasa ula­tus­li­kud muu­da­tu­sed eIDAS-määruses (EL) nr 910/2014 ja EECC-di­rek­tii­vis (EL) 2018/1972. See jõustus amet­li­kult 16. jaanuaril 2023, asendades NIS-di­rek­tiivi. Kõik ELi liik­mes­rii­gid peavad selle si­se­riik­likku õigusesse üle võtma 17. ok­toob­riks 2024.

Eri­ne­va­tes riikides vas­tu­ta­vad di­rek­tiivi ra­ken­da­mise eest erinevad asutused. Näiteks Prant­sus­maal juhib ra­ken­da­mist ANSSI (Riiklik In­fo­süs­teemide Tur­va­li­suse Amet), kes on isegi käi­vi­ta­nud di­gi­taal­tee­nuse „Mon Espace NIS 2“, mille eesmärk on toetada or­ga­ni­sat­sioone di­rek­tiivi ra­ken­da­misel. Saksamaal on vastutav asutus BSI (Fö­de­raalne In­fo­tur­be­amet) ning His­paa­nias jälgib kü­ber­jul­ge­oleku meetmeid ja tagab nõuete täitmise CCN-CERT (Riiklik Krüp­to­loo­gia Keskus).

Go to Main Menu