Oled avastanud Defending Data ja otsustanud, et aeg on NIS2 ja KüTS rakendamisega tõsiselt pihta hakata. Tubli. Aga kust alustada?

Siin on täielik teekond — õiges järjekorras, koos kõigi vajalike blogiartiklite ja dokumentidega. Järgi seda nimekirja ja sa ei jää ühegi olulise sammuga hätta.

Kui keegi ütleb “ISO 27001 sertifikaat”, siis enamasti tekib kaks reaktsiooni: 1. “See on vist midagi väga kallist ja keerulist”. 2. “Kas ma üldse pean seda tegema?”

Hea uudis: see ei ole must kast. Veel parem uudis: kui sa loed selle postituse lõpuni, saad sa päriselt aru, kuidas sertifikaadi tegemine käib.

Kui keegi ütleb “ISMS dokumentatsioon”, siis paljud kujutavad ette: lõputut failimassi, dokumente, mida keegi ei loe ja auditit, mis tuleb nagu eksam, milleks keegi ei õppinud.

Reaalsus ei pea selline olema.

Tarneahela turvalisus: mida see tähendab? Lühidalt: kui sa kasutad tarnijaid, siis ei kao vastutus ära.

Sa ei vastuta selle eest, kuidas tarnija oma süsteeme ehitab, vaid selle eest, et oled mõelnud, kellega oma teenuse “kokku seod”.

Kui küberintsident juhtub, on kaks tüüpi reaktsioone: “Keegi tehku midagi!” või “Kas meil on mingi vorm…?”

Hea uudis: jah, on vorm. Ja seadus ütleb üsna konkreetselt, millal ja mis ajaks on see vorm vaja esitada.

Kui infoturbe nõuete maailm oleks garderoob, siis: NIS2: “riietu ilmastikukindlalt” (ütleb kuidas, mitte mis brändi jope). KüTS: sama jope Eesti lõikega: lisab järelevalve ja riigispetsiifika. Esmased turvameetmed: “pane vähemalt kingad jalga, palun” miinimumtase. E-ITS: Eesti “standardraam”. ISO 27001: rahvusvaheline lavapääse: kõige rangem “näita dokumenteeritud infot” tase.

Kui oled viimastel kuudel infoturbe teemadega kokku puutunud, siis on tunne ilmselt selline: kõik räägivad NIS2-st, KüTS-ist, ISO 27001-st, E-ITS-ist… ja kuskil taustal vilksatavad veel esmased turvameetmed.

Tekib täiesti õigustatud küsimus: mida mul üldse päriselt vaja on, milline standard aluseks võtta?

Ehk miks küberturvalisus ei ole enam IT-mehe närviline hobi, vaid juhtimise tööriist. Räägime inimkeeles. Ilma hirmutamiseta. Ilma 300-leheküljelise PDF-ta.

Mida NIS2 ja KüTS tegelikult nõuavad? Mida tähendab “asjakohased ja proportsionaalsed turvameetmed”? Kuidas teha seda nii, et tulemus oleks juhitav süsteem – mitte lihtsalt kaust nimega “vastavus”?

Kui sõna riskihindamine paneb su meeskonna vaikima ja juhatuse pastakat lauale koputama, siis pole probleem riskides. Probleem on selles, kuidas riskihindamist ette kujutatakse.

Vaatame nüüd rahulikult läbi kogu selle tüütu riskihindamise protsessi.

Küberturvalisus on aastaid olnud see teema, mis elab kuskil IT ja riskihalduse vahel. Juhatus kuuleb, noogutab ja liigub järgmise päevakorrapunkti juurde. KüTS teeb sellele viisakale distantsile lõpu ja ütleb üsna selgelt: küberturvalisus ei ole enam ainult tehniline küsimus, vaid juhtimisvastutus.

Vaatame rahulikult, mida see tähendab.

Miks peab keegi üldse kontrollima, kas meil on küberasjad korras? Eriti siis, kui “midagi pole ju juhtunud” ja ikkagi küsitakse riskihinnanguid ning intsidendiprotsesse?

Vaatame rahulikult, mida KüTS tegelikult lubab järelevalvel teha ja millal need õigused päriselt mängu tulevad. 

KüTS ei eelda, et riik loeks su mõtteid. Seepärast ongi olemas registreerimiskohustus - kui sa oled seaduse mõttes ülioluline või oluline teenuseosutaja, siis anna endast märku.

Mitte kriisi ajal. Mitte siis, kui keegi küsib. Vaid enne.

Küberturbe regulatsioonid ei ole enam IT-osakonna siseasi. Need on juhtimisküsimus. Ja kui keegi juhatuse koosolekul sulle täna otsa vaatab ning küsib "kas NIS2 meile kohaldub?", peaks vastus tulema kiiremini kui su IT-inimene liftist välja jõuab.

Alustame algusest. Kõigepealt Euroopa loogika, siis Eesti õigus.

Kas see on jälle mingi uus IT-inimeste väljamõeldis, mis tähendab ainult rohkem pabereid ja vähem päris tööd? Ja miks see üldse mind või minu ettevõtet puudutama peaks?

NIS2 ja KüTS on küberturvalisuse regulatsioonid, mis mõjutavad otseselt ettevõtete juhtimist ja vastutust – räägime need kaks lühendit lahti.

Kas oled märganud, et iga kord, kui IT turvateemadest juttu tuleb, ilmuvad välja mingid lühendid, mis kõlavad nagu uue superkangelase nimed? NIS2! ISO 27001! GDPR! KüTS! Ja nüüd ka AI Act!

Kõlab natuke nii, nagu keegi oleks tellinud spetsiaalse komplekti bürokraatiat, mis peab su ettevõtte elu keeruliseks tegema, eks?