VIDEO | Küberkohv ministri ja ekspertidega: NIS2 direktiiv ja uus küberturvalisuse seadus

12 decembris, 2025 jaunumos

Eesti on 2025. aastal üle võtnud Euroopa Liidu NIS2 direktiivi, mis seab ulatuslikud nõuded võrgu- ja infoturbe tagamiseks. See toob paljudele ettevõtetele ja asutustele kaasa uusi kohustusi – alates riskijuhtimisest ja aruandlusest kuni rikkumiste korral karmimate sanktsioonideni.

Teema on ettevõtetele ärikriitiline – alles septembris määrati Eestis 3 miljoni euro suurune trahv ebapiisavate turvameetmete eest.

3. detsembril ühendas WIDEN jõud NEVERHACK Estonia ja Eesti Vabariigi justiits- ja digiminister Liisa Pakostaga, et NIS2 direktiiv ja uus küberturvalisuse seadus huvilistele selgeks rääkida.

Seminar on täispikkuses järelvaadatav siit:

WIDENi ja NEVERHACK Estonia koostöös toimunud seminaril võtsid vandeadvokaadid Henri Ratnik ja Rauno Kinkar kokku, mida toob kaasa NIS2 direktiiv ning selle ülevõtmisel uuenev küberturvalisuse seadus (KüTS). Selge on see, et küberturve ei ole enam IT-projekt, vaid juhtkonna riskijuhtimise osa, mis mõjutab teenuste järjepidevust, mainet ja käivet.

Miks NIS2 ja KüTS üldse vajalikud on?

Praktikas näevad ettevõtted üha sagedamini lunarahanõudeid, andmeleket ja teenuste seisakuid. Trahvirisk on vaid üks osa – sageli on suurem kahju usalduse kadumine ja sellest tulenev äriline mõju. NIS2 eesmärk on ühtlustada Euroopa tasemel miinimumnõuded ning panna küberturve päriselt tööle ka nendes sektorites, kus varasem regulatsioon jäi liiga üldiseks või ebaühtlaseks.

Kas KüTS puudutab mind?

KüTSi subjektid jagunevad üliolulisteks ja olulisteks üksusteks (lisaks on erireegleid mõnele digiteenusele, sh domeeninimede teenuseosutajatele). Seminaril toodi välja, et Eestis võib KüTSi subjektide arv kasvada ligikaudu 6000-ni.

Näiteid valdkondadest, mis võivad KüTSi alla kuuluda: elutähtsad teenused (nt energia, teatud tervishoid ja finantstaristu), avalik sektor, kvalifitseeritud usaldusteenused, side- ja digitaristu (nt pilveteenused, andmekeskused, sisulevivõrgud), samuti teatud tegevusalad sõltuvalt ettevõtte suurusest (nt jäätmekäitlus, kemikaalid, toidu hulgimüük või tööstuslik töötlemine, e-kaubanduse platvormid, postiteenused, veebipõhised otsingumootorid ja sotsiaalmeedia). Lõplik kvalifitseerimine sõltub teenuse sisust ja seaduses toodud kriteeriumitest; kahtluse korral tasub teha kiire subjektsuse analüüs või küsida nõu.

Mis muutub NIS2 ja uue KüTSiga?

1) Turvameetmete loogika: fookus liigub teenuselt organisatsioonile.

Kui varem rakendati nõudeid eeskätt konkreetsele teenusele, siis uue lähenemise järgi käsitletakse küberturvet kogu organisatsiooni tasandil. See ei tähenda, et kõiki võetakse sama puuga, vaid riskipõhist ja proportsionaalset juhtimist, kus sõltumised (võrgud, ligipääsud, alltöövõtt, kõrvalteenused) kaardistatakse ja kaitse suunatakse sinna, kus mõju on suurim.

2) Küberintsidentidest teavitamine muutub selgemaks ja rangemaks.

Olulise mõjuga intsidendist tuleb teavitada RIA-t viivitamata ning hiljemalt 24 tunni jooksul pärast teada saamist (esmane teavitus), seejärel 72 tunni jooksul intsidendi teade ning üldjuhul ühe kuu jooksul lõpp-raport (vajadusel ka vahearuanne RIA nõudmisel). Selle eesmärk on kiire kahjude piiramine ja koordinatsioon ning vajadusel ka RIA toe kaasamine.

3) Juhtkonna roll muutub sisuliseks.

Organisatsioonid, kus on rohkem kui üks juhatuse liige, peavad määrama vastutava juhatuse liikme, kes kiidab heaks turvameetmed, jälgib rakendamist ja läbib regulaarselt koolitusi. Määramata jätmisel laieneb vastutus kõigile juhatuse liikmetele. See toob küberturbe otseselt juhatuse töölauda.

Milliseid turvastandardeid oodatakse?

Turvastandarditest oodatakse E-ITS (Eesti infoturbe standard) või alternatiivina ISO/IEC 27001 (teatud erisustega). E-ITS sisaldab ISMS-i nõudeid, turbekataloogi (üle 1800 meetme) ja auditeerimiseeskirja; rakendamist tõendab välisaudit (täisaudit kord 3 aasta jooksul, vahepeal 2 vaheauditit). Väiksematele teenuseosutajatele (alla 50 töötaja ja alla 10 miljoni euro käibe või bilansimahuga) on ette nähtud esmased turvameetmed ehk V-EITS (9 turbevaldkonda, 55 meedet).

Tähtajad, järelevalve ja trahvid

KüTS jõustumise järel tuleb subjektidel üldreeglina 3 kuu jooksul teavitada RIA-t oma andmetest ja subjektsuse alusest ning 3 aasta jooksul viia tegevus nõuetega kooskõlla (elutähtsa teenuse osutajatel võib tähtaeg tulla haldusorgani ajakavas).

Ülioluliste üksuste järelevalve võib toimuda ka ennetavalt. Ettekirjutuse täitmata jätmisel on sunniraha igakordne ülemmäär 70 000 eurot. Maksimaalsed rahatrahvid ulatuvad üliolulistel üksustel kuni 10 miljoni euroni või 2% ülemaailmsest käibest (olulistel kuni 7 miljonit või 1,4%). Sanktsioonidest kohati ehk isegi olulisem on aga vältida olukorda, kus intsident jõuab avalikkuse ette ja kahjustab usaldust.

Kust alustada?

Meie soovitus on alustada kaardistamisest: kas KüTS kohaldub, millised on kriitilised protsessid ja sõltumised ning milline standard on mõistlik valik. WIDEN ja NEVERHACK pakuvad selleks terviklikku teekonda: sissejuhatav kohtumine, vastavushindamine (punane/kollane/roheline ülevaade ja teekaart), implementatsioon ning järjepidev parendamine koos auditi- ja regulaatorisuhtluse toega.

Mida varem alustada, seda väiksem on risk, et nõuete täitmine muutub viimase minuti tulekustutamiseks.

WIDEN on olnud Eestis üks juhtivaid eksperte NIS2 teemal – meie tiim nõustas Eesti Vabariiki direktiivi ülevõtmisel, et tagada reeglite selgus ja vältida ülereguleerimist. Loe sellest pikemalt SIIT.