Jurist selgitab: küberturvalisuse seadus-kellele ja milleks
Oktoober on küberturvalisuse kuu, mille eesmärgiks on tõsta teadlikkust küberohtudest ja sellest, kuidas vähendada võimalike intsidentide sagedust ja mõju. Euroopa Liidu tasandil on võetud eesmärgiks tagada ühtlaselt kõrge süsteemide turvalisus ja liikmesriikide ning erinevate sektorite koostöö küberturvalisuse tõstmiseks. Selleks võeti 2016.
aastal vastu võrgu- ja infoturbe direktiiv. Eestis võeti direktiiv üle mais jõustunud küberturvalisuse seadusega. Kuna mais jõustus ka isikuandmete kaitse üldmäärus, pole küberturvalisuse seaduse nõuded seni suuremat avalikkuse tähelepanu saanud. Selle vea nüüd parandame!
Keda kohustab küberturvalisuse seadus?
Küberturvalisuse seaduse kohustatud isikud saab jaotada kahte suurde kategooriasse – teenuse osutajad ja digitaalse teenuse osutajad:
Teenuse osutajad
Teenuse osutajateks küberturvalisuse seaduse mõttes on elutähtsa teenus osutaja ja olulise teenus osutajad.
Elutähtsateks teenusteks on nt elektri, maagaasi ja vedelkütusega varustamine, riigitee sõidetavuse tagamine, telefoni-, mobiiltelefoni- ja andmesideteenus, elektrooniline isikutuvastamine, digitaalne allkirjastamine, vältimatu abi toimepidevus, makseteenus, sularaharinglus, kaugküttega varustamine ning veega varustamine ja kanalisatsoon (s.o elutähtsa teenuse osutajad hädaolukorra seaduse mõttes).
Teenuse osutajateks on ka olulise teenuse osutajad ehk teenuse osutajad, kelle puhul on sõltuvus võrgu- ja infosüsteemidest suur ning kes on ühiskonna toimimise seisukohast samuti olulised, kuid keda pole hädaolukorra seaduses nimetatud. Näiteks:
- raudtee-ettevõtja, kes majandab avalikku raudteeinfrastruktuuri või kelle kaubaveo või reisijateveo turuosa on vähemalt 20 protsenti;
- lennuvälja käitaja, kelle käitatav lennuväli on avatud rahvusvaheliseks regulaarseks lennuliikluseks;
- sadamateenuse osutaja, kellele kuulub sadam, mis teenindab rahvusvahelises meresõidus sõitvaid reisilaevu või 500-se ja enama kogumahutavusega laevu, ning sadam, mis teenindab meresõiduohutuse seaduse kohaselt määratletud kohalikus rannasõidus sõitvaid I kategooria laevu või A-klassi reisilaevu sadama toimimise teenuse osutamisel;
- sideettevõtja, kes osutab kaabelleviteenust, mida tarbib vähemalt 10 000 lõppkasutajat, ja ringhäälinguvõrgu teenuse osutaja kaabelleviteenuse või ringhäälinguvõrgu teenuse osutamisel;
- haiglavõrku kuuluvate piirkondliku haigla ja keskhaigla pidaja statsionaarse eriarstiabi osutamisel ja kiirabibrigaadi pidaja kiirabi osutamisel ning perearst üldarstiabi osutamisel, perearstikeskused; perearste puudutavad sätted jõustuvad 2022. aasta 1. jaanuaril;
- Eesti maatunnusega seotud tipptaseme domeeninimede registri haldaja registri pidamiseks kasutatava süsteemi ja tipptaseme nimeserveri teenuse osutamisel.
Digitaalse teenuse osutajad
Seaduse mõttes on digitaalse teenuse osutajad sellised vähemalt 50 töötaja ja 10 miljoni euro suuruse bilansimahu või aastakäibega infoühiskonna teenuse seaduses sätestatud infoühiskonna teenuse osutaja, kes:
1) pakub internetipõhist kauplemiskohta;
2) pakub internetipõhist otsimootorit või
3) osutab pilvandmetöötlusteenust.
Küberturvalisuse seaduse seletuskirjas on toodud selgituseks järgmised näited: “Internetipõhised kauplemiskohad on näiteks www.on24.ee, www.osta.ee või www.iizi.ee keskkonnad (ei ole näiteks www.hinnavaatlus.ee keskkond), internetipõhised otsimootorid on näiteks www.neti.ee ja www.google.ee ning pilvandmetöötlusteenused on näiteks Dropbox või Microsoft Azure.“
Milleks kohustab küberturvalisuse seadus?
Teenuse osutaja ja digitaalse teenuse osutaja kohustused ei ole täpselt samad, kuid saab välja tuua 3 suuremat üldist kohustust tagamaks võrgu- ja infosüsteemi turvalisus:
1. riskianalüüsi läbiviimine ja riskide juhtimiseks vajalike asja- ja ajakohaste korralduslike ning tehniliste meetmete rakendamine. Teenuse osutajad peavad selleks jälgima ettevõtlus- ja infotehnoloogiaministri võrgu- ja infosüsteemide riskianalüüsi nõudeid ning turvameetmeid kirjeldavas määruses toodud nõudeid riskianalüüsile ning määruse nõuetele vastava riskianalüüsi koostamise tähtaeg on 31.oktoober 2018. Digitaalse teenuse osutaja peab juhinduma küberturvalisuse direktiivi rakendusmääruses toodud juhistest. Vastav riskianalüüs peab katma vähemalt järgmised elemendid:
- süsteemide ja rajatiste turvalisus,
- intsidentide käsitlemine,
- talitluspidevuse haldamine,
- seire, auditeerimine ja testimine,
- vastavus rahvusvahelistele standarditele;
2. küberintsidendi mõju minimeerimine läbi kehtestatud protsesside ja põhimõtete, st tuleb luua organisatsioonisisesed küberturvalisust tagavad protsessid ja juhendid;
3. toimunud olulise mõjuga intsidendist viivitamatult RIA teavitamine.
- Teenuse osutajate puhul peab teavitamine toimuma 24 tunni jooksul intsidendist teadasaamisest ja digitaalse teenuse osutaja peab teavitama intsidendist viivitamatult.
- Oluline mõju tuleb igakordselt hinnata, arvestades intsidendist mõjutatud kasutajate arvu; intsidendi kestust; mõjutatud geograafilise ala ulatust; teenuse toimimise katkemise ulatust; majandus- ja ühiskondlikule tegevusele avalduva mõju ulatust ning see teadmus tuleb dokumenteerida.
Küberturvalisuse tõstmine ühiskonnas, mis sõltub suuresti tehnoloogilistest lahendustest, on määrava tähtsusega tehingute igapäevaseks toimimiseks ja konkurentsivõimelise majanduse tagamiseks. Ka Eesti ei ole jäänud puutumata küberrünnakutest ja seda nii avalikus kui erasektoris. Näiteks on lunavara ohvriks langenud perearstikeskuseid. Uus seadus proovib selliste juhtumite tihedust ja mõju vähendada, luues sellega meile kõigile turvalisema elukeskkonna, kuid lisaks sätestab eelnimetatud kohustuste mittejärgimiseks ka sunnimeetmed (haldusmenetlus, trahvid).
Kust saab abi?
Selleks, et tagada ohutum keskkond küberruumis, on oluline tõsta teadlikkust ja panna paika intsidentidele reageerimise plaanid ja ettevõtte sisused reeglid. Rõhutada tuleb, et suur osa küberturvalisuse seaduses nõutust on seotud tehniliste lahendustega, kuid sama oluline on teadlikkuse ja sisemiste protsesside loomine ja juurutamine.
Triniti aitab luua turvalisemat organisatsioonilist keskkonda. Selleks panustame enda kliendite abistamisel:
- tegevuskava ehk check-list'i koostamisse;
- protsessikirjelduste, asutusesisese intsidentide käsitlemiseks;
- protsesside ja poliitikate template loomega küberintsidendi mõju minimeerimiseks;
- intsidentide dokumenteerimise registeri template koostamisega;
- ohuhinnangu template koostamisega.