1. Kust tulevad NIS2 ja KüTS turvameetmed?

NIS2 – Euroopa küberturvalisuse miinimumtase

NIS2 direktiiv ütleb lihtsas keeles: kui sinu organisatsioon on ühiskonna või majanduse toimimiseks oluline, siis küberturvalisus ei ole vabatahtlik. See on miinimumnõue.

Artikkel 21 kohustab olulisi ja üliolulisi üksusi rakendama:

• asjakohaseid
  
• proportsionaalseid
  
• tehnilisi, korralduslikke ja tegevuslikke meetmeid
  

riskide juhtimiseks ja intsidentide mõju vähendamiseks.

Keegi ei eelda, et ehitad kuldse kindluse.
Aga eeldatakse, et tead, mida kaitsed, miks ja millise riskitaseme vastu.

KüTS – Eesti versioon “teeme päriselt ära”

Küberturvalisuse seadus on NIS2 Eesti rakendus. Kui NIS2 ütleb “mis tasemele pürgida”, siis KüTS ütleb “mida Eesti järelevalve ootab”.

KüTS § 7 kohustab teenuseosutajat rakendama alaliselt asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ning korralduslikke turvameetmeid, sh:

• koostama riskianalüüsi
  
• juhtima süsteemide turvariske
  
• ennetama ja lahendama intsidente
  
• minimeerima mõju teenuse saajatele
  

Oluline sõna: alaliselt.

See ei ole projekt.
See on juhtimisprotsess.

2. Mida tähendab “asjakohased ja proportsionaalsed turvameetmed”?

See on koht, kus juhatus sageli küsib:
“Kas nüüd tuleb 48 dokumenti?”

Ei tule romaani. Tuleb süsteem.

NIS2 artikkel 21 loetleb vähemalt järgmised valdkonnad:

• riskianalüüs
  
• intsidentide käsitlemine
  
• talitluspidevus (varundus, avariitaaste, kriisiohje)
  
• tarneahela turvalisus
  
• süsteemide turvaline arendamine ja hooldus
  
• meetmete tõhususe hindamine
  
• küberhügieen ja koolitused
  
• krüptograafia
  
• juurdepääsukontroll ja varade haldus
  
• vajadusel mitmikautentimine
  

See ei ole IT-checklist.
See on juhtimisotsuste nimekiri.

Kõike seda tuleb teha, võttes arvesse proportsionaalsust ehk:

• organisatsiooni suurust
  
• teenuse kriitilisust
  
• riskide tõenäosust ja mõju
  
• kulude mõistlikkust
  

Väike omavalitsuse asutus ei pea ehitama panga tasemel turbekeskust.
Aga ta peab teadma, millised riskid teda päriselt ohustavad.

3. Nii, aga kuidas ma neid turvameetmeid kohaldan?

Põhimõtteliselt on sul kaks varianti: allolevad standardid kehtestavadki turvameetmed, mida siis peaksid hakkama kohaldama.

Kui oled KüTS mõttes oluline või ülioluline üksus, siis vaikimisi kohaldub:

• E-ITS ja selles sätestatud turvameetmed
  

See on baastee.

Millal E-ITS ei kohaldu?

E-ITS ei kohaldu ainult siis, kui:

• ettevõte vastab ISO/IEC 27001 nõuetele või Eesti standardile EVS-EN ISO/IEC 27001
  
• tal on kehtiv sertifikaat
  
• sertifikaat on esitatud RIA-le
  

Ehk siis: kohalda E-ITS-i turvameetmeid või siis tee ISO 27001 sertifikaat ja esita see RIA-le ning rakenda standardis kehtestatud turvameetmeid.

4. Aga mis asjad on esmased turvameetmed?

Esmased turvameetmed tulenevad Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ lisast. 

Esmased turvameetmed on miinimum, millest allapoole ei saa. Need on baastase.

Need ei ole valikulised, need tuleb täita ka siis, kui kohaldad E-ITS-i või ISO 27001.
Need on vundament, mille peale ülejäänud süsteem (E-ITS või ISO 27001) ehitatakse.

5. Audit – kas sellest pääseb?

Kui rakendad E-ITS-i:

• audit vähemalt iga kolme aasta järel
  
• auditi otsus tuleb esitada RIA-le 30 päeva jooksul
  

Kui oled ISO sertifitseeritud:

• iga-aastane järelaudit
  
• 3-aastane resertifitseerimine
  

Auditist ei pääse kummalgi juhul.
Erinev on raamistik.

6. Dokumentatsioon – kas tuleb “KüTS-kaust”?

Seadus ei nõua dokumendi nime.
Seadus nõuab sisulist süsteemi.

Sul peavad olema:

• kaardistatud süsteemid ja teenused
  
• riskianalüüs
  
• turvameetmete kirjeldus
  
• intsidentide käsitlemise kord
  
• talitluspidevuse plaan
  
• tõendid meetmete toimimisest
  

Hea uudis:
see võib olla osa sinu olemasolevast juhtimissüsteemist.

Oluline ei ole vorm.
Oluline on, et see töötab.

7. Ehk siis… mida juhatus tegelikult tegema peab?

Juhatus peab:

• mõistma, millise staatuse all organisatsioon on
  
• otsustama ISO sertifitseerimise või E-ITS rakendamise vahel
  
• tagama riskipõhise lähenemise
  
• rakendama vastava standardi turvameetmed ja nõudma regulaarset ülevaadet turvameetmete toimimisest
  

Küberturvalisus ei ole IT-meeskonna närviline hobi.
See on juhtimisvõimekuse indikaator.

8. Defending Data vormid turvameetmete jaoks

Kui oled valinud enda raamistiku - E-ITS või ISO 27001 ning teinud ära ka riskihindamise, siis saame edasi minna turvameetmete juurde. 

Defending Data on loonud turvameetmete rakendamise juhendi ja vormid.

Turvameetmete dokumendid - 119 EUR

9. KKK – korduma kippuvad küsimused - NIS2 ja KüTS turvameetmed

Milliseid turvameetmeid nõuavad NIS2 ja KüTS?

NIS2 ja KüTS nõuavad asjakohaseid ja proportsionaalseid tehnilisi, korralduslikke ja tegevuslikke meetmeid. See hõlmab riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvalisust, koolitusi, juurdepääsukontrolli ja vajadusel krüptograafiat. Eesmärk ei ole paber, vaid toimiv ja juhitav süsteem.

Kas riskianalüüs on kohustuslik?

Jah. Riskianalüüs on kohustuslik ning seda tuleb ajakohastada pärast olulisi intsidente, süsteemimuudatusi või vähemalt iga kolme aasta järel. Siiski rõhutame, et riskipõhine juhtimine võib eeldada sagedamat ülevaatust.

Kas ISO sertifikaat tähendab, et auditit enam ei tule?

Ei. ISO sertifitseerimine tähendab iga-aastast järelauditit ja kolme aasta järel resertifitseerimist. Audit on vältimatu, küsimus on raamistikus.