KPMG: küberjamadega pannakse nüüd ettevõtte juhatuse pea pakule

Kui organisatsiooni tabab küberintsident, siis see on olnud tehnilise tiimi rida, kes tegeleb tõrke lokaliseerimise ja normaalse olukorra taastamisega. Nüüd on küberturvalisuse seaduse (KüTS) muudatustega antud konkreetsed juhised, mis puudutab juhtimistasandi teavitusi, otsuseid, vastutust ja järelevalvet.

Küberturvalisuse 2. direktiivi (NIS2) ülevõtmisega kaasnevate muudatustega liigub küberturvalisus selgelt juhtimistasandile. Seadus täpsustab, kellele kohustused laienevad, millised on miinimumootused võrgu- ja infosüsteemide turvameetmetele, millised on intsidentidest teavitamise nõuded ja tähtajad ning kuidas riik järelevalvet teeb. Seda kõike mitte abstraktselt, vaid konkreetsete rollide, tähtaegade ja protsessidena.

Ettevõtted peavad nüüd täpselt teadma, kas nad kuuluvad “üliolulise” või “olulise” üksuse kategooriasse. KüTS-i kohaselt toimub jaotus nii tegevusalade kui ka ettevõtte tegevusnäitajate põhjal, kus vaadatakse nt töötajate arvu, käivet või bilansimahtu. Lisaks on selgelt esile toodud ka mitmed digitaalse teenuse osutajad ning domeeninimede registreerimise teenuse osutajad.

„Kui te tegutsete valdkonnas, kus teenuse katkestus või andmekadu mõjutab laiemalt ühiskonda, partnereid või tarbijaid, tasub eeldada, et teie regulatiivne nähtavus ja tähelepanu on kasvanud,“ märgib Kukk.

Teine samm on nähtavuse formaliseerimine. Teenuseosutajad ning domeeninimede registreerimise teenuse osutajad peavad esitama Riigi Infosüsteemi Ametile (RIA) info, mille alusel koostatakse iga kahe aasta järel vastav teenuseosutajate nimekiri, mis edastatakse Euroopa Komisjonile ning vastavale koostöörühmale.

Muuhulgas hõlmab see identifitseerimis- ja kontaktandmeid ning vajadusel sektori ja allsektori märget. Oluline detail juhtkonnale – muudatustest tuleb RIA-t teavitada viivitamata, kuid hiljemalt kahe nädala jooksul. See tähendab, et “meie kontaktid ja rollid on kuskil dokumendis olemas” ei ole enam piisav – need peavad olema igapäevaselt hallatud.

Kuke sõnul on kolmas ja kõige suurem muudatus juhatuse liikme kohustuse lisamine. Teenuseosutaja peab määrama vähemalt ühe juhatuse liikme, kes kiidab heaks turvameetmed, jälgib nende rakendamist ja vastutab selle eest. Seda nõuet ei kohaldata teenuseosutajale, kus on üks juhatuse liige. Praktikas tähendab see, et küberriskid peavad jõudma regulaarselt juhatuse aruteludesse samasuguse selgusega nagu finants- või õigusriski teemad.

Neljandaks muutub ootus turvameetmetele konkreetsemaks riskipõhisuse mõttes. Teenuseosutaja peab rakendama alaliselt asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ja korralduslikke turvameetmeid ning sealhulgas koostama riskianalüüsi. See ei tähenda automaatselt suuremaid investeeringuid, vaid paremini põhjendatud kontrollikeskkonda: mida me kaitseme, miks just nii, ja kuidas me mõõdame, et see päriselt töötab.

Viiendaks muutub intsidentidest teavitamine ajas selgemaks ja lühemaks. Teenuseosutaja peab esitama RIA-le esmase teate viivitamata, kuid hiljemalt 24 tunni jooksul pärast intsidendist teada saamist ning edastades sellele järgneva täpsustatud intsidenditeate hiljemalt 72 tunni jooksul. Seejuures usaldusteenuse osutajad peavad vastava info edastama 24 tunni jooksul.

Lisaks peab teenuseosutajal teavitama mõistliku aja jooksul ka neid, keda intsident või oluline küberoht võib mõjutada. Teatud juhtudel võib RIA avalikkust teavitada või nõuda seda teenuseosutajalt. Juhtkonna vaates tähendab see, et kriisijuhtimine peab olema eelnevalt läbi mängitud ning paika pandud. Et kes otsustab, kes räägib, mis on faktipõhine sõnum ja kuidas hoitakse teenuse taastamine ning usaldus samaaegselt kontrolli all.

Kuues oluline muudatus on järelevalve loogika. RIA võib järelevalves prioriseerida riskipõhist lähenemist; ülioluliste asutuste puhul tehakse järelevalvet laiemalt. Oluliste üksuste puhul rõhutatakse järelkontrolli, kui on alus arvata, et nõudeid ei täideta. Seadus kirjeldab ka järelevalvemeetmete kaalumisel arvesse minevaid tegureid ning toob näiteid rasketest rikkumistest, sh teavituskohustuse täitmata jätmine või olulise mõjuga intsidendi korral vajalike turvameetmete kasutamata jätmine.

Lisaks on ette nähtud ettekirjutuste meetmed, sh nõue rakendada turvaauditi soovitusi või isegi määrata üliolulisele üksusele ajutine vastavushaldur. See kõik on signaal, et infoturbe küpsus peab olema tõendatav, mitte ainult deklaratiivne.

Lõpuks tasub tähele panna rakendumise ajastust. Mitmed teavituskohustused (nt nimekirja koostamiseks vajalike andmete esitamine) tuleb täita kolme kuu jooksul alates hetkest, mil üksus hakkab tingimustele vastama, ning üldine nõuetele vastavusse viimise tähtaeg ulatub kuni kolme aastani. See on piisav aeg teha asjad õigesti, kuid liiga lühike aeg, et jääda lootma “küll kuidagi jõuab”.