Artikkel ilmus Ärigeeniuses 09.12.2022
Euroopa Parlament ja nõukogu võtsid möödunud nädalail vastu uue küberturvalisuse direktiivi (nn NIS 2 direktiivi), mille lõppdokument saab peatselt alla viimasedki pidulikud pitserid ja allkirjad, kirjutab arvamusloos advokaadibüroo NOVE advokaat Sten Tikerpe.
Uue direktiiviga asendatakse senine, 2016. aastal jõustunud võrgu- ja infosüsteemide turvalisuse direktiiv (NIS direktiiv), mis on Eesti õigusesse üle võetud küberturvalisuse seadusega.
Uue direktiivi tuleku eel tasub heita pilk peale küsimustele sellest, miks vana õigusakt üldse asendamist vajas ning mis on olulisemad muudatused, mida uus direktiiv kaasa toob.
Miks eelmine direktiiv asendamist vajas?
Erinevalt määrustest (nagu näiteks kurikuulus isikuandmete kaitse üldmäärus – GDPR) on EL-i direktiivid sellised õigusaktid, mis ei kohaldu otse „nii-nagu-on“ põhimõttel, vaid mille kõik liikmesriigid peavad iseseisvalt oma riigisisesesse õigusesse üle võtma.
Nagu suurtes organisatsioonides ikka, on ka EL-i lõikes eri osapooltel ehk erinevate liikmesriikide seadusandjatel sageli väga erinev arusaam sellest, kuidas direktiivides sätestatut tõlgendada tuleks. Nii läks ka senise NIS-direktiiviga – Euroopa Komisjon leidis selle rakendamise praktikat analüüsides, et liikmesriikides kehtestatud nõuded erinevad nii oma sisus kui ka kvaliteedis EL-i lõikes piltlikult väljendudes seinast-seina.
Teine ja samuti möödapääsmatu põhjus direktiivi ülevaatamiseks tulenes tõsiasjast, et Euroopa (küber)julgeoleku keskkond ja akuutsed ohud on viimase kuue aastaga oluliselt muutunud ja intensiivistunud. Viimastel aastatel kogetud järjestikuste ja omavahel põimunud kriiside käigus on kerkinud esile mitmete ühiskonna harjumuspäraseks toimimiseks möödapääsmatult vajalike sektorite ja nendes tegutsevate ettevõtjate tarneahelate süsteemsed nõrkused. Seeläbi saigi selgeks vajadus direktiivi ulatust ja sisu laiendada.
Rohkem sektoreid ja kohustatud isikuid
Kuigi uus direktiiv ei ole veel ametlikult avaldatud, sai selle lõplik sisu EL-i nõukogu heakskiiduga paika. Sellest selgub, et uus direktiiv jaotab kohustatud isikud kahte kategooriasse: elutähtsad üksused ja olulised üksused.
Mõlemale tulenevad direktiivist kohustused, kuid “elutähtsate üksuste” vaates on järelevalvemeetmed ja sanktsioonid mõnevõrra intensiivsemad.
Lisaks varasemalt hõlmatud sektoritele on uue direktiivi kohaselt hõlmatud ka näiteks:
- mitmesugused digitaristu teenused (sh pilveteenuste osutajad, andmekeskuste pidajad ja usaldusteenuste osutajad);
- ravimi-, meditsiiniseadmete- ja kemikaalitööstus;
- toiduainetööstus (toiduainete tööstuslik tootmine, töötlemine ja hulgimüük);
- posti- ja postikulleriteenused;
- jäätmekäitlus.
Kohustatud isikuteks on kõik direktiivi lisades loetletud sektorites tegutsevad, vähemalt keskmise suurusega ettevõtted (vähemalt 50 töötajaga ja enama kui 10 miljoni euro suuruse aastakäibega ettevõtted). Teatud valdkondades tegutsevad ettevõtted, näiteks elektroonilise side teenuse osutajad, kuuluvad aga kohustatud isikute hulka olenemata suurusest.
Täpsemad nõuded riskihaldusele ja intsidenditeavitusele
Kui 2016. aasta direktiiv jättis liikmesriikidele kohustuste sisu kujundamisel küllaltki vabad käed, siis uus direktiiv näeb ette hulga konkreetseid riskihaldusmeetmeid meedet, mida kõik kohustatud isikud peavad vastavalt oma riskihinnangutele rakendama. Sisuliselt tähendab see, et kohustatud ettevõtted peavad hakkama riske analüüsima neid arvestades rakendama meetmeid intsidentide tuvastamiseks, haldamiseks ja lahendamiseks, talitluspidevuse, tarneahelate turvalisuse, küberhügieeni, juurdepääsukontrolli, krüptograafia ja turvalise autentimise tagamiseks.
Ühtlasi nõuab uus direktiiv, et ettevõte esitaks 24 tunni jooksul pärast intsidendist teadasaamist pädevale asutusele „varajase hoiatuse“, 72 tunni jooksul täiemahulise intsidenditeate ning hiljemalt ühe kuu möödumisel intsidenditeatest ka lõpparuande, mis sisaldab intsidendi põhjalikumat kirjeldust.
Küberturvalisuse tagamisega seotud riskide analüüsimine ja riskihaldusmeetmete rakendamine, sealhulgas tarneahelate ja teenuse osutamiseks vajalike ressursside vaates, ei ole iseenesest Eestis kehtivate küberturvalisuse nõuete vaates midagi uudset. Ka 24 tunni jooksul esialgse intsidenditeavituse esitamise nõue on meil jõus juba 2018. aastast. Seega on uuest direktiivist tulenevad riskihaldust ja intsidenditeavitust puudutavad muudatused vähemalt Eesti ettevõtetele, kellele küberturvalisuse seadus juba varem kohaldus, pigem väheintensiivsed.
Juhtkonna kaasatus ja vastutus
Uue direktiiviga soovitakse küberturvalisuse tagamisega seotud strateegilised otsused ja informeeritus selgelt ainult IT-osakondadest välja tuua ja ettevõtetes kõrgemale juhtimistasandile viia. Selleks nähakse ette, et küberturvalisuse alased riskijuhtimise meetmed tuleb heaks kiita juhtkonna tasandil. Samuti nõuab direktiiv, et juhtorganite liikmed läbiksid regulaarselt küberturvalisuse alaseid koolitusi ning innustaksid ka ettevõtte töötajaskonda laiemalt vastavaid koolitusi läbima.
Uute ja eriti intensiivsete järelevalvemeetmena peavad valdkondlikud järelevalveasutused rikkumiste korral äärmuslikes olukordades saama õiguse taotleda nii elutähtsa üksuse tegevusloa ajutist peatamist kui ka ettevõtte vastava tegevjuhi või juhatuse liikme juhtimisülesannete täitmise ajutist keelamist. Viimane saab aga ilmselt kõne alla tulla üksnes eriti raskete, tõenäoliselt pahatahtlike ja kestvate rikkumiste korral.
Hiigeltrahvid kohustuste rikkumiste eest
Senine direktiiv jättis liikmesriikidele trahvide määramisel vabad käed – Eesti näitel saab küberturvalisuse seaduse alusel ettevõttele määrata maksimaalselt 20 000 euro suuruse trahvi. Uus direktiiv toob aga küberturvalisuse valdkonda võimaluse GDPR-i stiilis hiigeltrahve määrata ja näeb ette, et teatud rikkumiste puhul hakkame nägema koguni 10 miljoni euro suuruseid või kuni kaks protsenti ettevõtja aastakäibest moodustavaid trahvimäärasid.
Koljatlike trahvimäärade juures väärib siiski meenutamist, et teatavasti ei ole Eestis „GDPR-i stiilis“ trahvisüsteem tänaseni ettenähtud kujul tööle hakanud, sest meie riigisiseses õiguses ei ole niinimetatud haldustrahvi instrumenti ette nähtud ja ka meie tänane väärteomenetlus ei võimalda miljonitrahvide määramist. Seetõttu eeldab ka uue küberturvalisuse direktiivi kohase range trahvirežiimi tegelik jõustamine seda, et suudame esmalt oma õigussüsteemis selleks vajalikud eeldused luua.
Millal direktiiv jõustub?
Uus küberturvalisuse direktiiv jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu teatajas, mida on oodata juba lähinädalatel. Seejärel on kõigil liikmesriikidel 21 kuud aega, et uued nõuded riigisisesesse õigusesse üle võtta.
Kuna direktiiv kirjutab liikmesriikidele ette küberturvalisuse miinimumstandardi, tasub ettevõtjatel lisaks direktiivi tekstile hoolsalt jälgida sedagi, kas ja milliseid täiendavaid muudatusi võib Eesti seadusandja omal initsiatiivil planeerida.