NIS2 – reguleerimine turvalisema tuleviku nimel
NIS2 on nn kogu ELi hõlmav küberturvalisuse direktiiv, mis jõustus 2024. aasta oktoobris. Võrreldes NIS1-ga toob NIS2 sisse olulised muudatused, mis panevad ka rangemad küberturvalisuse kohustused rohkematele organisatsioonidele. Liikmesriigid peavad vastu võtma uued sätted, mis sisaldavad neid rangemaid kontrolli- ja jõustamismeetmeid, et tagada direktiivi järgimine. NIS2 asendab NIS1 direktiivi, mille tulemuseks on mitmed olulised erinevused võrreldes NIS1-ga: NIS2 laiendab reguleerimisala suurematele üksustele, näiteks kemikaalide ja meditsiiniseadmete tootjatele, toiduainete tootjatele ja sotsiaalvõrgustike pakkujatele, mida NIS1 varem ei hõlmanud. NIS2 asendab “olulise teenuse osutaja” ja “digitaalteenuse osutaja” eristamise “oluliste üksuste” ja “kriitiliste üksuste” eristamisega, mis põhineb muu hulgas suurusel ja sektoril. Kuigi mõlemal on sarnased kohustused, kohaldatakse oluliste üksuste suhtes rangemaid jõustamis- ja kontrollimeetmeid. Kontrollimeetmete eest peab vastutama sektori järelevalvaja.
NIS2 kehtestab “olulistele” ja “elutähtsatele” üksustele uued küberturvalisuse kohustused, sealhulgas riskide ja tarneahela juhtimine, küberintsidentidest teatamine ja teabe jagamine. Nende nõuete täitmine nõuab, et need, kelle suhtes need nõuded kehtivad, töötaksid välja ja rakendaksid uusi põhimõtteid ja menetlusi. NIS2 nõuab, et ELi liikmesriigid parandaksid oma riiklikke küberturvalisuse strateegiaid ja reageeriksid digitaalsetele ohtudele, millega nad silmitsi seisavad. Organisatsioonide jaoks on oluline olla kursis liikmesriikide tulevaste algatustega selles valdkonnas.
Täiustatud turvanõuded
NIS2 parandab ettevõtete turvanõudeid, kehtestades riskijuhtimise metoodika ja minimaalse loetelu põhilistest turvaelementidest. Direktiiv sisaldab ka palju üksikasjalikumaid sätteid intsidentidest teatamise kohta, sealhulgas näiteks aruannete sisu ja ajastuse kohta. Direktiivi kohaselt tuleb teatada 24 tunni jooksul pärast vahejuhtumi toimumist ja see peab sisaldama üksikasjalikumat aruandlusprotsessi. NIS2 nõuab ka tarneahela turvalisuse käsitlemist. See hõlmab ka riskid, mida kujutavad endast kaassuhted. NIS2 rõhutab ka juhtkonna vastutust organisatsiooni küberturvalisuse eest ning paneb küberturvalisuse nõuete tõhusa rakendamise tagamiseks individuaalse vastutuse juhtorganitele, näiteks ettevõtte juhatusele ja juhtkonnale. Organisatsioonide suhtes võidakse kohaldada mitmesuguseid täitekorraldusi ja nende täitmata jätmise korral võidakse määrata märkimisväärseid trahve.
