Küberturbe regulatsioonid ei ole enam IT-osakonna siseasi. Need on juhtimisküsimus. Ja kui keegi juhatuse koosolekul sulle täna otsa vaatab ning küsib "kas NIS2 meile kohaldub?", peaks vastus tulema kiiremini kui su IT-inimene liftist välja jõuab.
Alustame algusest. Kõigepealt Euroopa loogika, siis Eesti õigus.
1. Kellele kohaldub NIS2?
NIS2 direktiiv on Euroopa Liidu küberturbe direktiiv. See ei kohaldu ettevõtetele otse nagu määrus. See kohaldub liikmesriikidele, kes peavad selle sisu oma seadustesse üle võtma. Eestis on selleks KüTS — aga selleni jõuame kohe.
NIS2 määrab:
- millised sektorid on küberturbe seisukohalt kriitilised
- millised üksused peavad riskijuhtimist ja intsidendihaldust rakendama
- milline on juhtkonna vastutus
Direktiiv jagab üksused kaheks:
- Elutähtsad üksused (essential entities): tegutsevad sektorites, mille häire mõjutaks riigi või EL toimimist. Räägime energia, transpordi, panganduse, tervishoiu, digitaristu ja avaliku halduse valdkondadest. Eesti näited: elektri põhivõrgu haldaja, suur pank, riiklik haigla, .ee registri pidaja. Nende üle tehakse ennetavat ja aktiivset järelevalvet — ehk RIA ei oota, kuni midagi juhtub.
- Olulised üksused (important entities): ei pruugi olla riigi selgroog, kuid nende häire mõjutab laia turgu või tarneahelaid. Siia kuuluvad post ja kuller, jäätmekäitlus, kemikaalid, toidutootmine, töötlev tööstus, digiteenused ja teadusasutused. Järelevalve on valdavalt reaktiivne — aga nõuded on siiski kohustuslikud.
- Suuruskriteerium NIS2 järgi: üldreegel on vähemalt 50 töötajat või vähemalt 10 miljonit eurot käivet või bilansimahtu. Aga — ja see on oluline "aga" — teatud sektorites, näiteks digitaristu või usaldusteenused, võib kohaldumine tulla sõltumata suurusest.
2. KüTS - see on see, mis päriselt loeb
Nüüd jõuame päris kohaldumiseni.
Küberturvalisuse seadus on Eesti seadus. See on see, mille alusel RIA teeb järelevalvet ja mille alusel kohustused päriselt kehtivad. Kohaldamisala täpsustavad ka Vabariigi Valitsuse määrus „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ ja selle lisa.
KüTS:
- määratleb üliolulised ja olulised üksused Eestis
- sätestab registreerimis- ja teatamiskohustused
- reguleerib järelevalve mehhanismi
- Üliolulised üksused KüTS järgi — kõige rangemad nõuded, ennetav järelevalve, juhtkonna isiklik vastutus:
- Domeeninimede süsteemi teenuse osutaja
- Elutähtsa teenuse osutaja hädaolukorra seaduse tähenduses
- Keskvalitsuse ja kohaliku omavalitsuse avaliku halduse üksused
- Kriitilise tähtsusega side-, mereraadioside- ja operatiivraadiosidevõrgu teenuse osutaja
- Kvalifitseeritud usaldusteenuse osutaja
- Tippdomeeninimede registri pidaja
- Üldkasutatava elektroonilise side võrgu või teenuse osutaja (vähemalt 50 töötajat + käive/bilanss üle 10 mln €)
Lisaks kuuluvad ülioluliste hulka suured üksused (250+ töötajat ja bilansimaht üle 43 mln € või käive üle 50 mln €) energeetika, transpordi, tervishoiu, digitaristu ja finantssektoris.
- Olulised üksused KüTS järgi — nõuded on proportsionaalsed, kuid kohustuslikud:
Oluliseks üksuseks loetakse ettevõte, kui ta tegutseb NIS2 sektoris ja vastab keskmise suurusega ettevõtte kriteeriumile (vähemalt 50 töötajat ja käive/bilanss üle 10 mln €). Siia võivad kuuluda tootmisettevõtted, toidu- ja keemiatööstus, jäätmekäitlus, posti- ja kullerteenused, teadusasutused ja mittekvalifitseeritud usaldusteenuse osutajad.
- Domeeninimede registreerimise teenus on KüTS-is eraldi välja toodud — ka see võib kuuluda kohaldamisalasse sõltumata klassikalisest "suure ettevõtte" loogikast.Täpsem nimekiri üksustest ja näidetest on esitatud postituse lõpus.
3. Tarneahela reaalsus - isegi kui sind otseselt ei ole nimetatud
Siin on koht, kus paljud eksivad.
Isegi kui sa ei ole otseselt KüTS kohaldamisalas — kui sinu kliendid on, ja kui sa osutad neile IT-, pilve-, tarkvara- või platvormiteenust, siis kanduvad küberturbenõuded sulle lepingute kaudu edasi.
Seadus võib sind mitte nimetada. Sinu klient nimetab. Ja tema leping ka.
4. Lõppjäreldus - kolm võimalikku olukorda
- Kui su organisatsioon on nimekirjas — kohaldumine on kohustuslik, pole vaidlust.
- Kui sa ei ole nimekirjas, aga teenindad neid, kes on — kohaldumine on praktiliselt vältimatu tarneahela surve kaudu.
- Kui sa ei kuulu kumbagi — mõistlik riskijuhtimine on siiski konkurentsieelis. Küberturvalisus ei ole ainult trahvide vältimise mäng.
5. Pole kindel, kas KüTS sind puudutab?
Hea uudis — sa ei pea seda üksi välja mõtlema.Defending Data aitab sul määratleda kohaldumisala Eesti õiguse järgi, kaardistada riskid nii, et juhatus saab neist aru, ja luua KüTS-iga kooskõlas oleva, auditeeritava küberturbe raamistiku — enne kui RIA seda ise teeb.
6. KKK – korduma kippuvad küsimused – kas KüTS kohaldub?
Kas NIS2 kohaldub minu ettevõttele Eestis?
NIS2 ei kohaldu Eestis ettevõtetele otse. Selle nõuded on üle võetud küberturvalisuse seadusesse. Eestis kohaldub ettevõtetele otseselt KüTS.
Kellele kohaldub küberturvalisuse seadus (KüTS)?
KüTS kohaldub üliolulistele ja olulistele üksustele, sealhulgas elutähtsa teenuse osutajatele, avaliku sektori asutustele, digitaristu teenuseosutajatele ning NIS2 sektorites tegutsevatele keskmise ja suure suurusega ettevõtetele.
Loe järgmist postitust registreerimise ja teavitamise kohta siit.
1. Üliolulised üksused KüTS järgi:
| Staatus | Teenuseosutaja liik | Sektor | Näide (illustratiivne) |
| ÜLIOLULINE | Domeeninimede süsteemi teenuse osutaja | Digitaristu | DNS infrastruktuuri teenus |
| ÜLIOLULINE | Elutähtsa teenuse osutaja | Energia / Vesi / Side / Transport | Elektri põhivõrk |
| ÜLIOLULINE | Keskvalitsuse avaliku halduse üksus | Avalik haldus | Ministeerium |
| ÜLIOLULINE | Kohaliku omavalitsuse avaliku halduse üksus | Avalik haldus | Linnavalitsus |
| ÜLIOLULINE | Kriitilise tähtsusega side-, mereraadioside- ja operatiivraadiosidevõrgu teenuse osutaja | Side | Operatiivraadioside võrk |
| ÜLIOLULINE | Kvalifitseeritud usaldusteenuse osutaja | Usaldus-teenused | Kvalifit-seeritud e-allkiri |
| ÜLIOLULINE | Tippdomeeninimede registri pidaja | Digitaristu | .ee registri pidaja |
| ÜLIOLULINE | Üldkasutatava elektroonilise side võrgu või teenuse osutaja (keskmise suurusega ettevõtja) | Side | Mobiili-operaator |
2. Üliolulised üksused (lisatingimusega)
Alljärgnevad üksused kuuluvad ülioluliste üksuste hulka juhul, kui nad vastavad seaduses sätestatud lisatingimustele:
- majandusaasta jooksul 250 või rohkem töötajat ja
- aastabilansimaht ületab 43 mln eurot või aastakäive ületab 50 mln eurot
| Staatus | Teenuseosutaja liik | Sektor | Näide (illustratiivne) |
| ÜLIOLULINE | Andmekeskusteenuse osutaja | Digitaristu | Hosting |
| ÜLIOLULINE | Elektriettevõtja (müük, sh edasimüük) | Energia | Elektrimüüja |
| ÜLIOLULINE | Elektriettevõtja (tootmine) | Energia | Elektrijaam |
| ÜLIOLULINE | Reovee kogumise, ärajuhtimise ja puhastamisega tegelev ettevõtja | Veevarustus | Reoveepuhasti |
| ÜLIOLULINE | Meretranspordi ettevõtja | Transport | Laevandus-ettevõtja |
| ÜLIOLULINE | Esmatähtsa meditsiiniseadme tootja | Tervishoid | Meditsiiniseadmete tootja |
| ÜLIOLULINE | Põhifarmaatsiatoote ja ravimpreparaadi tootja | Tervishoid | Ravimitootja |
| ÜLIOLULINE | Gaasiettevõtja | Energia | Gaasiettevõtja |
| ÜLIOLULINE | Haldusteenuse osutaja | IT-teenused | IT haldusteenus |
| ÜLIOLULINE | Hoidlatevõrgu haldur | Energia | Gaasihoidla haldur |
| ÜLIOLULINE | Infoturbeteenuse osutaja | Küberturve | SOC |
| ÜLIOLULINE | Interneti sõlmpunkti teenuse osutaja | Digitaristu | IXP |
| ÜLIOLULINE | Jaotusvõrguettevõtja | Energia | Elektri jaotusvõrk |
| ÜLIOLULINE | Kaugkütte- ja kaugjahutussüsteemi käitaja | Energia | Kaugkütteoperaator |
| ÜLIOLULINE | Kauplemiskoha korraldaja | Finantsturutaristu | Börs |
| ÜLIOLULINE | Keskne vastaspool | Finantsturutaristu | CCP |
| ÜLIOLULINE | Kosmoseteenuse maapealse taristu käitaja | Kosmos | Satelliit-maajaam |
| ÜLIOLULINE | Krediidiasutus | Pangandus | Pank |
| ÜLIOLULINE | Laadimispunkti käitaja | Energia | EV laadimisvõrk |
| ÜLIOLULINE | Lennuettevõtja | Transport | Lennufirma |
| ÜLIOLULINE | Lennujaama haldaja ja abirajatiste käitaja | Transport | Lennujaam |
| ÜLIOLULINE | Lennujuhtimise teenuse osutaja | Transport | Lennuliiklusteenus |
| ÜLIOLULINE | Intelligentse transpordisüsteemi käitaja | Transport | ITS süsteem |
| ÜLIOLULINE | Maagaasi rafineerimise ja töötlemise rajatise käitaja | Energia | Gaasitöötlemisjaam |
| ÜLIOLULINE | Gaasimüüja (sh LNG) | Energia | Gaasimüüja |
| ÜLIOLULINE | Määratud elektriturukorraldaja | Energia | Turukorraldaja |
| ÜLIOLULINE | Nafta tootmise, rafineerimise või hoiustamise rajatise käitaja | Energia | Naftaterminal |
| ÜLIOLULINE | Pilvandmetöötlusteenuse osutaja | Digitaristu | IaaS |
| ÜLIOLULINE | Põhivõrguettevõtja | Energia | Ülekandevõrk |
| ÜLIOLULINE | Raudteeinfrastruktuuriettevõtja või raudteeveoettevõtja | Transport | Raudtee-operaator |
| ÜLIOLULINE | Sadama pidaja või sadamarajatise valdaja | Transport | Sadama-operaator |
| ÜLIOLULINE | Sisulevivõrguteenuse osutaja | Digitaristu | CDN |
| ÜLIOLULINE | Elektrisalvestuse või agregeerimisteenuse osutaja | Energia | Agregeerija |
| ÜLIOLULINE | LNG terminali haldur | Energia | LNG terminal |
| ÜLIOLULINE | Veeliikluse juhtimise keskus | Transport | VTS |
| ÜLIOLULINE | Joogiveega varustaja | Veevarustus | Vee-ettevõte |
| ÜLIOLULINE | Vesiniku tootmise, hoiustamise või ülekandmisega tegelev ettevõtja | Energia | Vesiniku-terminal |
| ÜLIOLULINE | Ravimi uurimise ja arendamisega tegelev üksus | Tervishoid | Ravimi R&D |
| ÜLIOLULINE | Vedelkütusevaru moodustamise ja haldamisega tegelev üksus | Energia | Kütusevaru haldur |
| ÜLIOLULINE | Üksus, kes täidab maagaasi jaotamise ülesannet (jaotussüsteemi vastutus) | Energia | Gaasi jaotusvõrk |
| ÜLIOLULINE | Üksus, kes täidab maagaasi ülekandmise ülesannet (ülekandesüsteemi vastutus) | Energia | Gaasi ülekandevõrk |
3. Olulised üksused KüTS järgi
| Staatus | Teenuseosutaja liik | Sektor | Näide (illustratiivne) |
| OLULINE | Andmekogu vastutav töötleja ja volitatud töötleja (avaliku teabe seaduse tähenduses) | Avalik haldus / Andmehaldus | Riiklik register |
| OLULINE | Arenguseire Keskus | Avalik haldus | Arenguseire Keskus |
| OLULINE | Avalik-õiguslik juriidiline isik | Avalik haldus | Ülikool |
| OLULINE | Kohaliku omavalitsuse üksuste liit | Avalik haldus | Omavalit-suste liit |
| OLULINE | Perearstiabi osutaja (kes ei ole elutähtsa teenuse osutaja) | Tervishoid | Perearsti-keskus |
| OLULINE | Riigimetsa Majandamise Keskus | Metsandus / Avalik sektor | RMK |
| OLULINE | Usaldusteenuse osutaja (v.a kvalifitseeritud usaldusteenuse osutaja) | Usaldusteenused | Lihtallkirja teenus |
| OLULINE | Üksus, kes ei ole ülioluline üksus, kuid vastab ≥50 töötaja ja >10 mln € tingimusele ning kelle tegevusala on KüTS § 3 lg 3 loetelus (üliolulised üksused – punkt 1) | Mitmes sektoris (NIS2 I lisa) | Suur tootmis-ettevõte |
| OLULINE | Üldkasutatava elektroonilise side teenuse osutaja ja võrgu teenuse osutaja, kes ei vasta KüTS § 3 lg 2 p 8 tingimustele | Side | Väiksem side-operaator |
4. Olulised üksused (lisatingimusega)
Alljärgnevad üksused kuuluvad oluliste üksuste hulka juhul, kui nad vastavad seaduses sätestatud lisatingimustele:
- vähemalt 50 töötajat JA
- aastabilansimaht või aastakäive üle 10 miljoni euro.
| Staatus | Teenuseosutaja liik | Sektor | Näide (illustratiivne) |
| OLULINE | Ettevõtja, kelle põhitegevus on jäätmekäitlus jäätmeseaduse tähenduses (sh järelevalve ja järelhooldus) | Jäätmekäitlus | Jäätme-käitleja |
| OLULINE | Ettevõtja, kes toodab aineid REACH määruse (EÜ) nr 1907/2006 tähenduses ja turustab aineid või segusid ning toodab tooteid | Keemiatööstus | Kemikaali-tootja |
| OLULINE | Ettevõtja, kes tegeleb toidu hulgimüügi, tööstusliku tootmise või tööstusliku töötlemisega (v.a alkoholi) ning kelle ≥50% käibest tuleb sellest tegevusest | Toiduaine-tööstus | Suur toidutootja |
| OLULINE | Meditsiiniseadme tootja (EL 2017/745 art 2 p 1) ja in vitro diagnostikameditsiiniseadme tootja (EL 2017/746 art 2 p 2), v.a § 3 lg 3 p 6 tootja | Tervishoid | Meditsiini-seadmete tootja |
| OLULINE | Ettevõtja, kes tegutseb NACE Rev 2 C jao osades 26–30 | Tööstus | Elektroonika- või masina-tööstus |
| OLULINE | Internetipõhise kauplemiskoha pidaja | Digiplatvorm | Marketplace |
| OLULINE | Postiteenuse osutaja (postiseaduse tähenduses), sh kulleriteenus | Post / Logistika | Posti- või kullerfirma |
| OLULINE | Sotsiaalmeediaplatvormi pakkuja | Digiteenused | Sotsiaal-meedia-platvorm |
| OLULINE | Teadusasutus | Teadus | Teadusasutus |
| OLULINE | Veebipõhise otsingumootori pakkuja | Digiteenused | Otsingu-mootor |
See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.
Kommentaarid