Küberturvalisus ja infoturve

Meie eksperdid toetavad teid, kui vajate abi küberturvalisuse valdkonna nõuete täitmisel:

• olete NIS2 direktiivi ja küberturvalisuse seaduse kohase elutähtsa või olulise teenuse osutaja;
• olete finantssektori ettevõtja või IKT-teenusepakkuja – meie pikaajaline kogemus finantssektori nõustamisel aitab meil mõista finantssektori ettevõtjate vajadusi ja murekohti DORA määruse rakendamisel;
• viite ellu innovatiivseid lahendusi nagu digielementidega tooted ja puutute seega kokku küberkerksuse direktiivi nõuetega;
• tegelete internetiga ühendatud toodetega või sellega seotud teenuse pakkumisega ning vajate abi andmemääruse nõuete täitmisel.

Põhiteenused:

NIS2 direktiiv ja küberturvalisuse seadus – elutähtsate ja oluliste üksuste ühtlaselt kõrge küberturvalisuse tase

NIS2 on EL-i küberturvalisuse direktiiv, mis laiendab varasemaid nõudeid ja kehtestab rangemad reeglid oluliste ja elutähtsate teenusepakkujate jaoks. Direktiiv on võetud Eestis üle küberturvalisuse seadusse. Küberturvalisuse seadus nõuab riskijuhtimist, seda reguleeriva dokumentatsiooni olemasolu, intsidentide kiiret teavitamist ning tugevat tarneahela turvalisust. Lisaks nähakse ette ka juhatuse liikme vastutus ettevõtte küberturvalisuse tagamisel. Eesmärk on tõsta kogu Euroopa Liidu küberturvalisuse taset ja vähendada kriitiliste ja oluliste teenuste haavatavust.

DORA määrus (Digital Operational Resilience Act) – finantssektori digitaalne tegevuskerksus

DORA on EL otsekohalduv määrus, mis keskendub finantssektori digitaalse tegevuskerksuse ja küberriskidele vastupidavuse tagamisele. See nõuab, et pangad, kindlustusandjad ja muud finantsasutused suudaksid taluda ja taastuda küberintsidentidest. Määrus reguleerib ka teenuste IKT-teenuse sisseostmist. See tähendab, et kuigi määrus ei kohusta otseselt IKT-teenusepakkujaid, on IKT-teenusepakkujad siiski määrusest otseselt mõjutatud, sest peavad tagama kõrgel tasemel turvalisuse. Suhetes finantssektori ettevõtjatega peavad IKT-teenusepakkujad täitma lepingulisi kohustusi, mille sisu annab suuresti ette DORA määrus. Määrus hõlmab IT-riskide juhtimist, testimist, kolmandate osapoolte teenuste kontrolli ning kohustuslikku intsidentide raporteerimist.

Küberkerksuse direktiiv (Cyber Resilience Act) – digitaalse elemendiga tooted

Küberkerksuse direktiiv seab küberturvalisuse miinimumnõuded kõikidele digitaalse elemendiga toodetele (riist- ja tarkvara), mis on ühendatud internetiga. Kohustused hõlmavad turvalist disaini, haavatavuste haldust, turvauuenduste pakkumist, intsidentide teavitamist ja vastavushindamist, samuti CE-märgise nõudeid. Eesmärk on tagada, et EL-i turul olevad tooted oleksid turvalised kogu elutsükli vältel.

Andmemäärus (Data Act) – andmete jagamise ja kasutamise reeglid

Andmemäärus reguleerib andmete juurdepääsu ja jagamist EL-is, edendades õiglast ja läbipaistvat andmemajandust. See annab kasutajatele õiguse pääseda ligi internetiga ühendatud toodete ja teenuste andmetele ning jagada neid kolmandate osapooltega, kehtestab nõuded õiglastele lepingutingimustele ning lihtsustab pilveteenuste vahetamist. Samuti sätestab meetmed ärisaladuste kaitseks ja avaliku sektori juurdepääsuks erandolukordades.

Miks on küberturvalisus oluline?

Küberrünnakute arv ja keerukus kasvavad iga aastaga. Statistika näitab, et rünnakud ei sihi enam ainult suurkorporatsioone ja ohustatud on ka väikese ja keskmise suurusega ettevõtted, avalik sektor ja kriitilise infrastruktuuri teenusepakkujad. Eriti väiksemad ettevõtted on pahatihti küberrünnakute vastu kaitsetud, mistõttu on oluline juba ettevõtluse võimalikult varajases faasis mõelda küberturvalisusele, et tagada tegevuse jätkusuutlikkus ka pärast võimalikku küberrünnakut.

RIA ja Euroopa Liidu raportites hoiatatakse, et NIS2 ja DORA nõuete eiramine võib tuua kaasa mitte ainult rahalisi trahve, vaid ka tõsiseid tagajärgi nii mainekahju kui ka edasise toimimise takistuste näol.

Küberriske saab vähendada, kui ettevõtte või asutuse sisemised protsessid on nõuetega kooskõlas, neid järgitakse pidevalt ja arendatakse käsikäes tehnoloogia arenguga edasi.

Küberturvalisus ei ole täna enam pelgalt küsimus, mida lahendab IT-osakond. See peab olema strateegiline prioriteet ettevõtte juhtkonna tasandil, millest on teadlik ja protsessidesse kaasatud kogu ettevõte.