See leht pole teie valitud keeles saadaval. Näete selle ingliskeelset versiooni.
Küberturvalisuse kui infoturbe ühe vormi valdkonnas on viimastel aastatel lisandunud EL tasandil palju uusi õigusakte, mis muudavad küberturvalisuse valdkonda oluliselt, haarates senisest enam sektoreid ja ettevõtjaid ning kehtestades hulgaliselt uusi nõudeid.
TRINITI aitab ettevõtetel täita küberturvalisuse regulatsioonide nõudeid.
Küberturvalisuse regulatsioonide nõuete täitmine hõlmab muu hulgas analüüsi õigusakti kohaldamise kohta, kohustuslike juhendite ja kordade koostamist, vajadust reguleerida lepingulisi suhteid oma tarneahelas, auditite läbiviimist, intsidentide raporteerimist ning juhatuse liikme vastutuse küsimusi.
Küberturvalisuse regulatsioonide nõuete täitmisel on alati vajalik tihe koostöö kliendi majasisese IT-osakonna ja juhatusega. Tihti on vajalik kaasata ka infoturbe nõustajast väline IT-partner, kelle abil protsessid läbi mõelda ja sisulisi meetmeid soovitada ja rakendada.
Meie eksperdid toetavad teid, kui vajate abi küberturvalisuse valdkonna nõuete täitmisel:
Põhiteenused:
NIS2 direktiiv ja küberturvalisuse seadus – elutähtsate ja oluliste üksuste ühtlaselt kõrge küberturvalisuse tase
NIS2 on EL-i küberturvalisuse direktiiv, mis laiendab varasemaid nõudeid ja kehtestab rangemad reeglid oluliste ja elutähtsate teenusepakkujate jaoks. Direktiiv on võetud Eestis üle küberturvalisuse seadusse. Küberturvalisuse seadus nõuab riskijuhtimist, seda reguleeriva dokumentatsiooni olemasolu, intsidentide kiiret teavitamist ning tugevat tarneahela turvalisust. Lisaks nähakse ette ka juhatuse liikme vastutus ettevõtte küberturvalisuse tagamisel. Eesmärk on tõsta kogu Euroopa Liidu küberturvalisuse taset ja vähendada kriitiliste ja oluliste teenuste haavatavust.
DORA määrus (Digital Operational Resilience Act) – finantssektori digitaalne tegevuskerksus
DORA on EL otsekohalduv määrus, mis keskendub finantssektori digitaalse tegevuskerksuse ja küberriskidele vastupidavuse tagamisele. See nõuab, et pangad, kindlustusandjad ja muud finantsasutused suudaksid taluda ja taastuda küberintsidentidest. Määrus reguleerib ka teenuste IKT-teenuse sisseostmist. See tähendab, et kuigi määrus ei kohusta otseselt IKT-teenusepakkujaid, on IKT-teenusepakkujad siiski määrusest otseselt mõjutatud, sest peavad tagama kõrgel tasemel turvalisuse. Suhetes finantssektori ettevõtjatega peavad IKT-teenusepakkujad täitma lepingulisi kohustusi, mille sisu annab suuresti ette DORA määrus. Määrus hõlmab IT-riskide juhtimist, testimist, kolmandate osapoolte teenuste kontrolli ning kohustuslikku intsidentide raporteerimist.
Küberkerksuse direktiiv (Cyber Resilience Act) – digitaalse elemendiga tooted
Küberkerksuse direktiiv seab küberturvalisuse miinimumnõuded kõikidele digitaalse elemendiga toodetele (riist- ja tarkvara), mis on ühendatud internetiga. Kohustused hõlmavad turvalist disaini, haavatavuste haldust, turvauuenduste pakkumist, intsidentide teavitamist ja vastavushindamist, samuti CE-märgise nõudeid. Eesmärk on tagada, et EL-i turul olevad tooted oleksid turvalised kogu elutsükli vältel.
Andmemäärus (Data Act) – andmete jagamise ja kasutamise reeglid
Andmemäärus reguleerib andmete juurdepääsu ja jagamist EL-is, edendades õiglast ja läbipaistvat andmemajandust. See annab kasutajatele õiguse pääseda ligi internetiga ühendatud toodete ja teenuste andmetele ning jagada neid kolmandate osapooltega, kehtestab nõuded õiglastele lepingutingimustele ning lihtsustab pilveteenuste vahetamist. Samuti sätestab meetmed ärisaladuste kaitseks ja avaliku sektori juurdepääsuks erandolukordades.
Miks on küberturvalisus oluline?
Küberrünnakute arv ja keerukus kasvavad iga aastaga. Statistika näitab, et rünnakud ei sihi enam ainult suurkorporatsioone ja ohustatud on ka väikese ja keskmise suurusega ettevõtted, avalik sektor ja kriitilise infrastruktuuri teenusepakkujad. Eriti väiksemad ettevõtted on pahatihti küberrünnakute vastu kaitsetud, mistõttu on oluline juba ettevõtluse võimalikult varajases faasis mõelda küberturvalisusele, et tagada tegevuse jätkusuutlikkus ka pärast võimalikku küberrünnakut.
RIA ja Euroopa Liidu raportites hoiatatakse, et NIS2 ja DORA nõuete eiramine võib tuua kaasa mitte ainult rahalisi trahve, vaid ka tõsiseid tagajärgi nii mainekahju kui ka edasise toimimise takistuste näol.
Küberriske saab vähendada, kui ettevõtte või asutuse sisemised protsessid on nõuetega kooskõlas, neid järgitakse pidevalt ja arendatakse käsikäes tehnoloogia arenguga edasi.
Küberturvalisus ei ole täna enam pelgalt küsimus, mida lahendab IT-osakond. See peab olema strateegiline prioriteet ettevõtte juhtkonna tasandil, millest on teadlik ja protsessidesse kaasatud kogu ettevõte.
