Autor: Sekretär.ee • 19. veebruar 2021

2016. aastal võeti vastu esimene üleliiduline võrgu- ja infosüsteemide turvalisust puudutanud õigusakt (NIS direktiiv) ning see pidi tagama turvalisuse ühtlaselt kõrge taseme kogu Euroopa Liidus.

„Kuigi kübervõimekus on üle EL ühtlustunud, on alates sellest küberohud mitmekesistunud ja riikide sõltuvus digitaalsetest lahendustest märgatavalt suurenenud. Muutuvate küberriskidega sammu pidamiseks ja uute väljakutsete lahendamiseks peame lisaks siseriiklikule korraldusele vaatama üle ka tänase EL seadusandluse kitsaskohad ja seda ajakohastama,” ütles ettevõtlus- ja infotehnoloogiaminister Andres Sutt.

Rohkem sektoreid ja üksusi

Uue direktiivi (NIS2) ettepanek katab kehtivaga võrreldes rohkem sektoreid ja üksusi, ühtlustatakse nõuete kohaldumine suurtele ja keskmise suurusega ettevõtjatele, tugevdatakse turvanõudeid, lisatakse olulistest küberohtudest teavitamise kohustus, täpsustatakse intsidendist teavitamise korda ning käsitletakse ka tarneahelate turvalisust.

Riigi küberturvalisuse poliitika juhi Raul Rikki sõnul toetab Eesti uue ettepaneku eesmärki.

Ta nendib, et Euroopa Liidu ülese küberturvalisuse miinimumlävendi tõstmine on kindlasti vajalik. Kuigi täna on see tase Euroopa Liidus ühtlasem, siis on ikkagi märgata killustatust eri liikmesriikide ja sektorite võrgu- ja infosüsteemide turbe kontekstis. Mõnes riigis on osad kriitilised sektorid ja ettevõtjad direktiivi alt sootuks välja jäänud ning samuti varieeruvad turvanõuded ja intsidentidest teavitamise kohustuse korrad.

Eesti toetab paindlikku lähenemist, mis võimaldab liikmesriikidel põhjendatud juhtudel määrata direktiivi kohaldamisalasse ka mikro- ja väikeettevõtjaid.

Põhjendatud juhtude alla kuuluvad näiteks piirkondlik olulisus ja ristsõltuvused. Lisaks toetame küberintsidendist teavitamise nõuete täpsustamist, vältides seejuures dubleerivaid kohustusi ning liikmesriikide pädevate asutuste vahelise koostöö ja teabevahetuse hoogustamist.

Rikki hinnangul saab olulisemate muudatustena tuua välja direktiivi kohaldamisala laiendamise ning teavitamisnõuded. Tema sõnul on täna Eestis reguleerimata mitmete lisanduvate valdkondade küberturvalisus. Elutähtsate teenuste osas on reguleerimata näiteks sideteenused, kosmose ja farmaatsiatoodete, sh vaktsiinide tootmine ning kemikaali- ja toiduainetetööstus. Samuti nendib ta, et edaspidi tuleks teavitada ka nendest küberohtudest, mis oleksid võinud viia olulise intsidendini.

Hea te

Hea teada!

- 2020. aasta juulis algatas Euroopa Komisjon avaliku konsultatsiooni võrgu- ja infosüsteemide turvalisuse (NIS) direktiivi ülevaatuseks.

- Uue direktiivi (NIS2) ettepanek avaldati detsembris ühe osana suuremast küberpaketist, mis sisaldab lisaks uut Euroopa Liidu küberturvalisuse strateegiat ning elutähtsate üksuste vastupanuvõime direktiivi ettepanekut.

- NIS direktiiv on Eesti õigusesse üle võetud küberturvalisuse seadusega.