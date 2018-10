Teenuse osutajateks on ka olulise teenuse osutajad ehk teenuse osutajad, kelle puhul on sõltuvus võrgu- ja infosüsteemidest suur ning kes on ühiskonna toimimise seisukohast samuti olulised, kuid keda pole hädaolukorra seaduses nimetatud. Näiteks:

raudtee-ettevõtja, kes majandab avalikku raudteeinfrastruktuuri või kelle kaubaveo või reisijateveo turuosa on vähemalt 20 protsenti;

lennuvälja käitaja, kelle käitatav lennuväli on avatud rahvusvaheliseks regulaarseks lennuliikluseks;

sadamateenuse osutaja, kellele kuulub sadam, mis teenindab rahvusvahelises meresõidus sõitvaid reisilaevu või 500-se ja enama kogumahutavusega laevu, ning sadam, mis teenindab meresõiduohutuse seaduse kohaselt määratletud kohalikus rannasõidus sõitvaid I kategooria laevu või A-klassi reisilaevu sadama toimimise teenuse osutamisel;

sideettevõtja, kes osutab kaabelleviteenust, mida tarbib vähemalt 10 000 lõppkasutajat, ja ringhäälinguvõrgu teenuse osutaja kaabelleviteenuse või ringhäälinguvõrgu teenuse osutamisel;

haiglavõrku kuuluvate piirkondliku haigla ja keskhaigla pidaja statsionaarse eriarstiabi osutamisel ja kiirabibrigaadi pidaja kiirabi osutamisel ning perearst üldarstiabi osutamisel, perearstikeskused; perearste puudutavad sätted jõustuvad 2022. aasta 1. jaanuaril;

Eesti maatunnusega seotud tipptaseme domeeninimede registri haldaja registri pidamiseks kasutatava süsteemi ja tipptaseme nimeserveri teenuse osutamisel.

Digitaalse teenuse osutajad

Seaduse mõttes on digitaalse teenuse osutajad sellised vähemalt 50 töötaja ja 10 miljoni euro suuruse bilansimahu või aastakäibega infoühiskonna teenuse seaduses sätestatud infoühiskonna teenuse osutaja, kes:

1) pakub internetipõhist kauplemiskohta;

2) pakub internetipõhist otsimootorit või

3) osutab pilvandmetöötlusteenust.

Küberturvalisuse seaduse seletuskirjas on toodud selgituseks järgmised näited: “Internetipõhised kauplemiskohad on näiteks www.on24.ee, www.osta.ee või www.iizi.ee keskkonnad (ei ole näiteks www.hinnavaatlus.ee keskkond), internetipõhised otsimootorid on näiteks www.neti.ee ja www.google.ee ning pilvandmetöötlusteenused on näiteks Dropbox või Microsoft Azure.“

Milleks kohustab küberturvalisuse seadus?

Teenuse osutaja ja digitaalse teenuse osutaja kohustused ei ole täpselt samad, kuid saab välja tuua 3 suuremat üldist kohustust tagamaks võrgu- ja infosüsteemi turvalisus:

1. riskianalüüsi läbiviimine ja riskide juhtimiseks vajalike asja- ja ajakohaste korralduslike ning tehniliste meetmete rakendamine. Teenuse osutajad peavad selleks jälgima ettevõtlus- ja infotehnoloogiaministri võrgu- ja infosüsteemide riskianalüüsi nõudeid ning turvameetmeid kirjeldavas määruses toodud nõudeid riskianalüüsile ning määruse nõuetele vastava riskianalüüsi koostamise tähtaeg on 31.oktoober 2018. Digitaalse teenuse osutaja peab juhinduma küberturvalisuse direktiivi rakendusmääruses toodud juhistest. Vastav riskianalüüs peab katma vähemalt järgmised elemendid:

süsteemide ja rajatiste turvalisus,

intsidentide käsitlemine,

talitluspidevuse haldamine,

seire, auditeerimine ja testimine,

vastavus rahvusvahelistele standarditele;

2. küberintsidendi mõju minimeerimine läbi kehtestatud protsesside ja põhimõtete, st tuleb luua organisatsioonisisesed küberturvalisust tagavad protsessid ja juhendid;

3. toimunud olulise mõjuga intsidendist viivitamatult RIA teavitamine.

Teenuse osutajate puhul peab teavitamine toimuma 24 tunni jooksul intsidendist teadasaamisest ja digitaalse teenuse osutaja peab teavitama intsidendist viivitamatult.

Oluline mõju tuleb igakordselt hinnata, arvestades intsidendist mõjutatud kasutajate arvu; intsidendi kestust; mõjutatud geograafilise ala ulatust; teenuse toimimise katkemise ulatust; majandus- ja ühiskondlikule tegevusele avalduva mõju ulatust ning see teadmus tuleb dokumenteerida.

Küberturvalisuse tõstmine ühiskonnas, mis sõltub suuresti tehnoloogilistest lahendustest, on määrava tähtsusega tehingute igapäevaseks toimimiseks ja konkurentsivõimelise majanduse tagamiseks. Ka Eesti ei ole jäänud puutumata küberrünnakutest ja seda nii avalikus kui erasektoris. Näiteks on lunavara ohvriks langenud perearstikeskuseid. Uus seadus proovib selliste juhtumite tihedust ja mõju vähendada, luues sellega meile kõigile turvalisema elukeskkonna, kuid lisaks sätestab eelnimetatud kohustuste mittejärgimiseks ka sunnimeetmed (haldusmenetlus, trahvid).

Kust saab abi?

Selleks, et tagada ohutum keskkond küberruumis, on oluline tõsta teadlikkust ja panna paika intsidentidele reageerimise plaanid ja ettevõtte sisused reeglid. Rõhutada tuleb, et suur osa küberturvalisuse seaduses nõutust on seotud tehniliste lahendustega, kuid sama oluline on teadlikkuse ja sisemiste protsesside loomine ja juurutamine.