Kui keegi ütleb “ISO 27001 sertifikaat”, siis enamasti tekib kaks reaktsiooni: 1. “See on vist midagi väga kallist ja keerulist”. 2. “Kas ma üldse pean seda tegema?”

Hea uudis: see ei ole must kast. Veel parem uudis: kui sa loed selle postituse lõpuni, saad sa päriselt aru, kuidas sertifikaadi tegemine käib.

Kui sõna riskihindamine paneb su meeskonna vaikima ja juhatuse pastakat lauale koputama, siis pole probleem riskides. Probleem on selles, kuidas riskihindamist ette kujutatakse.

Vaatame nüüd rahulikult läbi kogu selle tüütu riskihindamise protsessi.

Küberturvalisus on aastaid olnud see teema, mis elab kuskil IT ja riskihalduse vahel. Juhatus kuuleb, noogutab ja liigub järgmise päevakorrapunkti juurde. KüTS teeb sellele viisakale distantsile lõpu ja ütleb üsna selgelt: küberturvalisus ei ole enam ainult tehniline küsimus, vaid juhtimisvastutus.

Vaatame rahulikult, mida see tähendab.

Miks peab keegi üldse kontrollima, kas meil on küberasjad korras? Eriti siis, kui “midagi pole ju juhtunud” ja ikkagi küsitakse riskihinnanguid ning intsidendiprotsesse?

Vaatame rahulikult, mida KüTS tegelikult lubab järelevalvel teha ja millal need õigused päriselt mängu tulevad. 

Küberturbe regulatsioonid ei ole enam IT-osakonna siseasi. Need on juhtimisküsimus. Ja kui keegi juhatuse koosolekul sulle täna otsa vaatab ning küsib "kas NIS2 meile kohaldub?", peaks vastus tulema kiiremini kui su IT-inimene liftist välja jõuab.

Alustame algusest. Kõigepealt Euroopa loogika, siis Eesti õigus.

Kas see on jälle mingi uus IT-inimeste väljamõeldis, mis tähendab ainult rohkem pabereid ja vähem päris tööd? Ja miks see üldse mind või minu ettevõtet puudutama peaks?

NIS2 ja KüTS on küberturvalisuse regulatsioonid, mis mõjutavad otseselt ettevõtete juhtimist ja vastutust – räägime need kaks lühendit lahti.