Võrgud

Kaasaegsed WiFi ja kaabelvõrgud sertifitseeritud spetsialistidelt.

Loe lähemalt
Antenni ikoon

WiFi üritustele

Kiire ja asjatundlik lahendus olgu tegemist suure konverentsi, spordiürituse või rabas toimuva seminariga.

Loe lähemalt

IT hooldus

Kiire ja asjatundlik hooldusteenus arvutitöökohtadele ja serveritele.

Loe lähemalt

Ruckuse eliitpartner

Töökindlad seadmed toimivate lahenduste loomiseks.

Loe lähemalt

Küberturvalisuse seadus: ulatus, kohaldamisala ja praktilised sammud vastavuseks

Küberturvalisuse seadus (KüTS) on Eesti ettevõtete ja organisatsioonide infoturbe tagamiseks loodud õiguslik raamistik, mis järjest enam mõjutab ka erasektori tegevust. Artikkel pakub ülevaate seaduse ulatusest, peamistest nõuetest ning praktilistest sammudest vastavuse saavutamiseks, arvestades eelolevaid muudatusi seoses NIS2 direktiivi ülevõtmisega.

Kohaldamisala ja sihtrühm

Küberturvalisuse seadus kohaldub järgmistele organisatsioonidele:

  • Organisatsioonid, kes täidavad avalikke ülesandeid
  • Elutähtsa teenuse osutajad (ETO-d)
  • Olulised ja väga olulised üksused (vastavalt NIS2 direktiivile)
  • Ettevõtted, kes vastavad numbrilistele künnistele: 50+ töötajat JA aastakäive või bilanss üle 10 miljoni euro

Seejuures on oluline märkida, et elutähtsa teenuse osutajatele ei kohaldu numbrilised künnised – nad peavad vastavust tagama olenemata ettevõtte suurusest.

Hõlmatud sektorid on laiad ning nende hulka kuuluvad NIS2 direktiivi ülevõtmise järgselt energia, jäätmekäitlus, kütused, transport, finants, tervishoid, IKT, teadus, kosmos ja toiduainete hulgimüük.

Peamised nõuded ja kohustused

Küberturvalisuse seadus seab organisatsioonidele mitmeid konkreetseid nõudeid:

1. Riskijuhtimismeetmed

Seaduse subjektid peavad rakendama riskijuhtimismeetmeid, mis vastavad kas:

E-ITS on kaasaegne infoturbejuhtimise raamistik, mis asendab varasema ISKE süsteemi ning põhineb Saksa etalonturbe süsteemil BSI IT-Grundschutz ja ISO/IEC 27001 standardil. E-ITS pakub struktureeritud lähenemist infoturbe juhtimisele, hõlmates riskianalüüsi ja -juhtimist, etalonturbe kataloogi ning turvameetmete rakendamise juhiseid.

2. Küberintsidentidest teavitamine

Subjektid peavad teavitama tõsistest küberintsidentidest asjakohaseid asutusi (eelkõige Riigi Infosüsteemi Ametit). Uuendatud seadus täpsustab küberintsidendist teavitamise korda ja teate sisu nõudeid.

3. Andmete esitamine

Organisatsioon peab esitama pädevale asutusele oma kontaktandmed, sh:

  • Nimi ja registrikood
  • Kontaktisiku andmed
  • Muud nõutud andmed

4. Vastavus võrgu- ja tarkvararakenduste turvanõuetele

Organisatsioonid peavad tagama oma infosüsteemide, võrkude ja tarkvararakenduste vastavuse turvanõuetele. See hõlmab:

  • Võrguturvalisuse tagamist (tulemüürid, VPN-id)
  • Juurdepääsuõiguste haldust
  • Andmete krüpteerimist
  • Regulaarseid tarkvara uuendusi
  • Varundussüsteeme
  • Turvaintsidentide haldust

Sanktsioonid rikkumiste eest

KüTS näeb ette ranged sanktsioonid nõuete rikkumise eest:

  • Oluliste üksuste jaoks võib rahatrahv ulatuda kuni 7 000 000 euroni VÕI kuni 1,4% ülemaailmsest aastasest kogukäibest (sõltuvalt kumb on suurem)
  • Väga oluliste üksuste jaoks on trahvid veelgi kõrgemad

Need sanktsioonid näitavad selgelt, et küberturvalisus on muutunud regulaatorite jaoks prioriteetseks valdkonnaks.

Seos NIS2 direktiiviga

Eesti Küberturvalisuse seaduse uus redaktsioon, mis jõustub 01.10.2025, võtab üle Euroopa Parlamendi ja nõukogu 14. detsembri 2022 direktiivi (NIS2). See laiendab oluliselt küberturvalisuse regulatsiooni kohaldamisala ning toob kaasa mitmeid muudatusi:

  • KüTSi subjektide nimekirja täiendamine vastavalt NIS2 direktiivile
  • Turvameetmete nõuete täpsustamine
  • Intsidentidest teavitamise korra ühtlustamine EL tasandil
  • Rangemate sanktsioonide kehtestamine

Praktilised sammud vastavuse saavutamiseks

Organisatsioonid peaksid järgima järgnevat sammhaaval lähenemist, et saavutada vastavus küberturvalisuse seadusega:

1. Hinda organisatsiooni valmisolekut

  • Tee kindlaks, kas organisatsioon kuulub KüTS subjektide hulka
  • Kaardista olemasolevad infoturbeprotsessid ja meetmed
  • Tee lünkade analüüs (gap-analysis) kehtivate ja nõutud protsesside vahel
  • Hinda organisatsiooni ressursse ja võimekust nõuete täitmiseks

2. Rakenda [infoturbe halduse süsteem](https://www.proit.ee/infoturbe-halduse-susteem/) (ISMS)

  • Määratle ISMS-i ulatus ja eesmärgid
  • Koosta infovarade register ja klassifitseeri need kriitilisuse alusel
  • Vii läbi riskianalüüs ja koosta riskihalduse plaan
  • Vali ja rakenda asjakohased turvameetmed (tehnilised ja organisatsioonilised)

3. Koosta ja dokumenteeri infoturbepoliitikad ja -protseduurid

  • Infoturbepoliitika ja alampoliitikad (nt paroolide, juurdepääsu halduse, andmekaitse poliitikad)
  • Intsidentide halduse protseduurid
  • Talitluspidevuse plaan
  • Varade halduse poliitikad

4. Juuruta turvameetmed

  • Rakenda tehnilised meetmed (tulemüürid, krüpteerimine, varundussüsteemid jne)
  • Juuruta organisatsioonilised meetmed (koolitused, teadlikkuse tõstmine)
  • Dokumenteeri meetmete rakendamine

5. Testi ja auditeeri

  • Vii läbi siseauditid
  • Korralda penetratsioonitestid ja haavatavuste analüüs
  • Kõrvalda tuvastatud puudused

6. Taga pidev parendamine

  • Jälgi ja mõõda turvameetmete tõhusust
  • Uuenda riskihinnangut regulaarselt
  • Kohandage meetmeid vastavalt muutuvatele ohtudele ja nõuetele

Kuidas Pro IT saab aidata?

Pro IT pakub terviklikke teenuseid, mis aitavad organisatsioonidel saavutada ja säilitada vastavust Küberturvalisuse seaduse nõuetega:

Professionaalne WiFi turvalisus

Kui teie ettevõte vajab turvalist võrkulahendust, siis Pro IT on Ruckus Eliitpartneri staatusega ettevõte, mis tagab:

  • Professionaalse WiFi võrgu ehitamine ja optimeerimine
  • Täiendatud turvameetmed võrguliikluse kaitseks
  • Võrgu segmentimine tundliku teabe kaitseks
  • 24/7 monitooring turvaintsidentide kiireks tuvastamiseks

IT süsteemide turvalisus

Pro IT pakub terviklikke lahendusi IT süsteemide turvalisuse tagamiseks:

Tugiteenused ja nõustamine

Pro IT pakub professionaalseid tugiteenuseid ja nõustamist:

  • E-ITS ja ISO 27001 juurutamise nõustamine
  • Riskianalüüside läbiviimine
  • Dokumentatsiooni koostamine ja auditeerimine
  • Töötajate koolitamine infoturbe valdkonnas
  • Intsidentidele reageerimine ja intsidentide halduse protsesside väljatöötamine

Kokkuvõte

Eesti Küberturvalisuse seadus esitab organisatsioonidele olulisi nõudeid infoturbe tagamiseks. Seoses NIS2 direktiivi ülevõtmisega 2025. aastaks laienevad nõuded veelgi, hõlmates suuremat hulka organisatsioone ning sätestades konkreetsemad nõuded turvameetmetele.

Vastavuse saavutamine nõuab süsteemset lähenemist, alates riskianalüüsist kuni tehniliste ja organisatsiooniliste meetmete juurutamiseni. Pro IT pakub terviklikke teenuseid, mis aitavad organisatsioonidel saavutada ja säilitada vastavust nii praeguste kui ka tulevaste nõuetega.

Investeering küberturvalisusse ei ole üksnes regulatiivne kohustus, vaid ka võimalus suurendada klientide ja partnerite usaldust ning kaitsta organisatsiooni väärtuslikke andmeid ja mainet.