TV ja meelelahutus
3 min lugemine
18. oktoobrist peaksid Euroopa Liidu kõik liikmesriigid lähtuma küberturvalisuses uuest direktiivist NIS2, mis paneb küberturvalisuse kohustuse senisest märkimisväärselt suuremale hulgale ettevõtetele. Kas NIS2 pärast üldse peab nii palju muretsema, nagu kõik räägivad?
Kristjan Aljas, Telia küberturbe lahenduste arhitekt
Euroopa järjekordne küberturbedirektiiv NIS2 tugineb selle eelkäijale NIS1 ning laiendab selle kohalduvusala elutähtsa ja olulise teenuse osutajatele eri sektorites. Näiteks tuleb NIS2 kasutusele võtta energia-, transpordi-, tervishoiu-, vee-, digitaalteenuse-, postiveo- jt sektorites. See tähendab, et Eestis suureneb märgatavalt just keskmise suurusega ettevõtete arv, kes peavad hakkama tegelema küberturvalisusega ja kellel varasemalt polnud kohustust rakendada ka Eesti oma infoturbestandardit (E-ITS).
Tulles esmalt nende ettevõtete juurde, kes juba on pidanud tegelema GDPR, ISO või E-ITS teemadega, siis tasub arvestada, et NIS2 vaatleb küberturbeprobleemi lihtsalt natuke teise nurga alt ning vajadust küberturbega täiesti nullist alustada tegelikult ei ole. Näiteks kui vaadata NIS2 nõuete loetelu, siis võib öelda, et need mõnevõrra täiendavad E-ITS-i, mis tähendab, et kui firmal juba on E-ITS kasutusel, siis täiesti algusest pole vaja alustada, vaid tuleb lihtsalt olemasolevat veidi lihvida. Niisamuti, kui ettevõttel on hoopis kasutusel ISO, siis ei ole E-ITSi vaja rakendada, sest esimene katab teise.
Alustama peaks teekaardist, mitte toodete kokkuostust
Kuna NIS2 millalgi kindlasti tuleb ning suure tõenäosusega ei jää see EL-i viimaseks küberturbedirektiiviks, tuleks neil ettevõtetel, kes praegu pole võtnud kasutusele veel ühtegi meedet küberturvalisuse tagamiseks, alustada baastaseme loomisest, kuhu saab hiljem liita NIS2-ga kaasnevad nõuded. Ettevõtte jaoks on kõige mõistlikum alustada tööplaani loomisest, mis kaardistab küberturbe hetkeseisu ja näitab, kuhu soovitakse jõuda ning võimaldab tehtud tööd hiljem ka kontrollida. Kuna tegevusalad on erinevad, on seda ka nõuded, mida tuleb täita. Just seetõttu ei tasu usaldada reklaame, mis lubavad ühe või teise toote ostuga lahendada kõik küberturbeprobleemid. Küll aga võimaldab teekaart etapiviisilist lähenemist nõuete täitmisele ning uue direktiivi lisandumisel ei pea hakkama mõtlema, kuidas küberturvet üles ehitada kõigest poole aastaga. Selline eesmärgipärane tegutsemine annab ülevaate valitud metoodika ülesehitamiseks kuluvast rahast ja ressursist ning võimaldab ettevõtte juhil eelarvet planeerida.
Võimalik on ka see, kui plaani valmimise järel otsustatakse, et riskide maandamise huvi ei ole. Küll aga annab see võimaluse eelnevalt läbi mõelda, et kui küberintsident peaks juhtuma, siis kuidas või kellega seda lahendama hakatakse. Ka see on oluliselt parem kui olukord, et lahenduse peale hakatakse mõtlema alles pärast intsidendi juhtumist.
Küberturvalisuse tagamine ning selle eri metoodikad, raamistikud ja direktiivid võivad tunduda keerulisena ja valdkonna võhiku jaoks see tõenäoliselt nii ongi. Küll aga peaks meeles pidama, et iga järgmine direktiiv ei erine kuigi palju eelmisest ning seepärast oleks tark lihtsalt otsast pihta hakata ning vajadusel spetsialist appi võtta. Praegu tegutsema hakates on ka ettevõtte rahakulu väiksem, sest kui nõudlus hakkab kasvama, on küberturvaspetsialiste Eestis ikka piiratud arvul ning see tõotab teenuse hinda tõsta kordades.
Soovitan mitte hakata iga direktiivi eraldi eesmärgina täitma vaid vaadata küberturvalisust tervikuna ja võtta appi teekaart, mis annab nõuete ja vajaduste rägastikus selguse.
