NIS2 direktiiv (Küberturvalisuse 2. direktiiv)

Keda see mõjutab?Mida teada?Kuidas valmistuda?

NIS 2 direktiiv on Euroopa Liidu (EL) uus regulatsioon, mis kehtestab uued rangemad nõuded elutähtsaid ja olulisi teenuseid pakkuvate ettevõtete küberturvalisusele.

NIS2 direktiiv (Küberturvalisuse 2. direktiiv)

Keda see mõjutab?Mida teada?Kuidas valmistuda?

NIS 2 direktiiv on Euroopa Liidu (EL) uus regulatsioon, mis kehtestab uued rangemad nõuded elutähtsaid ja olulisi teenuseid pakkuvate ettevõtete küberturvalisusele.

Keda NIS2 mõjutab?

Direktiiv mõjutab Euroopa Liidu (EL) ettevõtteid, kes pakuvad elutähtsaid (essential) või olulisi (important) teenuseid.

Elutähtsad ettevõtted (Essential Entities)

Kriteeriumid: sõltuvalt sektorist, kuid üldiselt alates 250 töötajat, aastakäive alates 50 miljonit või bilanss alates 43 miljonit

  • Energiaettevõtted

  • Transpordiettevõtted

  • Finantsasutused

  • Avalik haldus

  • Tervishoid
  • Kosmoseasutused
  • Veetagavara (joogivesi, reovesi)

  • Digitaristu (nt. pilveteenusepakkuja, IT-haldusettevõtted)

Olulised ettevõtted (Important Entities)

Kriteeriumid: sõltuvalt sektorist, kuid üldiselt alates 50 töötajat, aastakäive või bilanss alates 10 miljonit

  • Postiteenused

  • Jäätmehaldus

  • Kemikaalid

  • Teaduse- ja arenguasutused

  • Toiduainete ettevõtted

  • Tootmisettevõtted (nt. meditsiiniseadmed)

  • Digiteenuste pakkujad (nt. sotsiaalvõrgustikud, otsingumootorid)

Mida tuleb NIS2 kohta teada?

Direktiiv kehtestab uued organisatoorsed nõuded küberturvalisuse vallas.

Riskide haldamine

Direktiiviga vastavuses püsimiseks peavad ettevõtted, kellele seadus kohaldub, rakendama meetmeid küberriskide maandamiseks. Meetmete hulka kuuluvad muuhulgas ka intsidendihaldus, tarneahela turvalisus, tugevtatud võrguturvalisus, ligipääsukontrollide detailsem haldamine ja krüpteerimine.

Juhtkonna vastutus

Direktiiv näeb ette, et asutuse juhtkond on kohustatud järelvalvama ning heaks kiitma asutusega seotud küberturvalisuse meetmeid, sealhulgas olles ise teadlik ja koolitatud küberriskidest. Edukate küberrünnakute tagajärjena võivad kaasneda trahvid ebapädeva vastutuse eest, sealhulgas ka ajutised keelud juhtimisrollides osalemise eest.

Teavituskohustused

Elutähtsad ja olulised ettevõtted peavad sätestama teavitusprotseduurid küberintsidentidest teavitamiseks, ennekõike intsidentide puhul, mis võivad mõjutada teenuse pakkumist. Samuti on sätestatud kindlad reeglid teavitusaegade nõuete osas, sealhulgas 24-tunnine “varajane teavitus”.

Toimepidevus

Asutustel peab olema plaan toimepidevuse säilitamiseks suuremõjuliste küberintsidentide puhul. Toimepidevusplaan peaks sisaldama kaalutlusi süsteemitaaste, hädaolukorraprotseduuride ja kriisikomitee kokkukutsumise osas.

NIS2 miinimumnõuded

Lisaks peamisele neljale fookuskategooriale, sätestab direktiiv elutähtsatele ja olulistele asutustele ka 10-miinimumnõuet küberturvalisuse tagamiseks.

  • Riskide hindamine ja turvapoliitikate sätestamine infosüsteemidele.

  • Poliitikate ja protseduuride sätestamine krüptograafia kasutamiseks, sealhulgas krüpteerimiseks, kus rakendatav.

  • Infosüsteemide hankimise, arendamise ja haldamise turvalisus, sealhulgas turvanõrkuste haldamise ja nendest teavitamise korrad.

  • Eriligipääsudega töötajatega (nt. sensitiivsetele või olulistele andmetele) seotud turvaprotseduurid. Samuti peab nii elutähtsatel kui olulistel asutustel olema ülevaade kõikidest kriitilistest infovaradest, muuhulgas selgus nende korrektse haldamise osas.

  • Mitmefaktorilise autentimise (MFA) kasutamine, pidevautentimise, hääl-, video- ja tekstsõnumite krüpteerimine ning krüpteeritud hädaolukorra sisekommunikatsioonikanalite sätestamine.

  • Turvameetmete efektiivsuse kontrollimise poliitikate ja protseduuride sätestamine.

  • Turvaintsidentide plaani sätestamine.

  • Küberturvalisuse ja küberhügieeni koolituste regulaarne läbiviimine.

  • Toimepidevusplaani sätestamine, tagamaks äritegevuse suuremõjulise küberintsidendi korral. Kohustus hoida tagavarakoopiad ajakohasena. Ligipääsu tagamine infosüsteemidesse ka küberintsidendi korral.

  • Tarneahela turvalisus ja suhetehaldus ettevõtte ning tarnija vahel. Sobilike turvameetmete ja turvakohustuste rakendamine tarnijapõhiselt ning üldise tarnijate turvataseme haldamine.

NIS2 KKK

Saa teada lisainfot direktiivi kohta

NIS2 direktiiv annab Euroopa Liidu (EL) liikmesriikidele ette minimaalse järelvalveraamistiku, mis sisaldab regulaarseid ja sihitud auditeid, füüsilisi ja virtuaalseid kontrolle, infopäringuid, ligipääse dokumentidele või tõendmaterjalile.

NIS2 eristab elutähtsaid ja olulisi asutusi.

Elutähtsate asutuste puhul võib trahvimäär ulatuda kuni 10 000 000 euroni või kuni 2%-ni kogu ülemaailmsest aastakäibest finantsaasta jooksul, mistahes väärtus suurem on.

Oluliste asutuste puhul võib trahvimäär ulatuda kuni 7 000 000 euroni või kuni 1.4%-ni kogu ülemaailmsest aastakäibest finantsaasta jooksul, mistahes väärtus suurem on.

iNIS2 direktiivi eesmärk on adresseerida eelnevaid puuduseid.

NIS2 direktiiv laiendab küberjulgeoleku eeskirju uutele digitaliseeritud ja omavahel ühendatud sektoritele

Direktiivi eesmärk on kaotada eristamine oluliste teenuste operaatorite ja digiteenuste pakkujate vahel.

NIS2 ühtlustab turva- ja raporteerimisnõudeid riskihalduse lähenemise kaudu.

Direktiiv adresseerib küberturvalisuse riske tarneahelates üle Euroopa.

NIS2 edendab järelvalvemeetmeid ja koostööd liikmesriikide vahel, sealhulgas sanktsioonide ühtlustamist ja esmase kooridneeritud nõrkuste avalikustamise raamistiku loomist.

Direktiiv loob EU-nõrkuste andmebaasi, mida hakkab haldama ENISA.

NIS2 direktiiv jõustus 17. oktoobril 2024