2023 aasta jaanuaris jõustunud NIS 2 direktiiv on Euroopa Liidu (EL) uus regulatsioon, mis kehtestab uued rangemad nõuded olulist teenust pakkuvate ettevõtete küberturvalisusele. NIS2 direktiivi eesmärk on saavutada küberturvalisuse ühtlaselt kõrge tase kõigis EL-i liikmesriikides ning kõigis nendega ärisuhteid omavates üksustes. NIS2 direktiivi kohaldatakse ettevõtetele, kes osutavad teenuseid või tegutsevad EL-is, on vähemalt keskmise suurusega ehk miinimum 50 töötajat ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot.
NIS2 eelkäijaks on võrgu- ja infoturbe direktiiv aastast 2016. NIS2 laiendab esialgse võrgu- ja infoturbe direktiivi reguleerimisala, laiendades selle jurisdiktsiooni alla kuuluvate sektorite ja üksuste hulka, sealhulgas nende hulka, mida peetakse ELi siseturul „elutähtsateks” ja „olulisteks”. Eestis puhul tähendab see elkõige seda, et laieneb nende ettevõtete hulk, kellel on kohustus vastata küberturvalisuse seadusele, mille tagavad vastavus Eesti infoturbestandardile E-ITS või rahvusvahelisele infoturbestandardile ISO27001.
NIS2 kehtestab ettevõtetele rohkem kohustusi, näiteks on muutunud kõikvõimalikest intsidentidest teavitamise kord, nõuded ettevõtetele usaldusväärsete riskijuhtimistavade osas, nõuded ettevõtte poolt rakendatavate infoturvameetmete ja nõuded talitluspidevusplaanide ja strateegiate osas. Oluline on ka see, et NIS2 direktiivi nõuete mittetäitmine võib kaasa tuua märkimisväärsed trahvid.
NIS2 direktiivi nõuded peavad olema täidetud hiljemalt 17. oktoober 2024. a.
Kust alustada? Esmalt uuri välja, kas Sinu ettevõte on NIS2 direktiivi täitmise kohuslane? Elutähtsate või oluliste teenuste osutajate listi leiad Majandus- ja Kommunikatsiooniministeeriumi Digiriigi blogi artiklist "NIS2 direktiivist ja selle üle võtmisest".
Isegi kui selgub, et Sinu ettevõttele kohustus NIS2nõudeid täita ei laiene, on tänapäeva küberohte täis maailmas neid nõudeid ikkagi kasulik järgida, sh andmekaitsereeglid, tööprotseduuride kaardistamine, äriprotsesside eest vastutajad, ülevaade infovaradest, riskihaldus, intsidendihaldus ja kõige tähtsam- töötajate pidev koolitamine.
Loe lisa:
- Kuidas tagada IT- infrastruktuuri turvalisus?
- IT infrastruktuuri monitoorimine, haldus ja pidev uuendamine
Lisainfo: Datel AS, IT-toodete juht Ramon Lott,