3 asja, mida teada küberturvalisust reguleerivast juriidikast

1.        Regulatsioonid:

 Eestis reguleerib küberturvalisusega seotud nõudeid küberturvalisuse seadus ning lisaks toimub 2023.aastal üleminek Eesti infoturbestandardile (E-ITS). E-ITS standardiga kaitstakse äriprotsesse ning juurutatakse põhimõtteid riskihalduseks ja infoturbehalduseks.  

2.        Kes peaksid end kurssi viima?

 Seadusandlus on kohustuslik avalikele asutustele ( nii riigi kui kohaliku omavalitsuse asutustele), ning organisatsioonidele, mille küberturvalisuse tase mõjutab otseselt riigi küberturvalisuse olukorda ( loetelu leiab seadusest). Lisaks tuleb nõudeid järgida ka ettevõtetel, kes pakuvad digitaalseid teenuseid (ettevõte pakub internetis kauplemiskohta, pilveteenust, otsingumootorit), välja arvatud kui tegemist on väike- või mikroettevõttega, kellel on alla 50 töötaja ning mille käive on alla 10 miljoni aastas.

 Seoses E-ITS kasutusele võtuga muudetakse ka küberturvalisuse seadust. Täpsustatakse isikuid, kes peavad seadust järgima ning antakse valdkonna ministrile õigus välja anda määrus, millega täpsustakase turvanõudeid.

3.        Millised kohustused tulevad seadusest?

 Seadusest tulevaks peamiseks kohustuseks on turvalisuse tagamine. Teenuse pakkuja peab kindlaks tegema ohud ja võtma kasutusele tehnilised ja korralduslikud abinõud.

 Selleks koostab teenuse pakkuja dokumenteeritud riski analüüsi, tagab süsteemi seire, võtab kasutusele turvameetmed ning teostab nende osas pidevat kontrolli. Kui toimub küberintsident siis teenuse osutaja lahendab selle ja teavitab sellest järelvalve asutust.

Seaduse muutmise eelnõu seletuskirja järgi tuleb tulevikus küberinsidendist teatada ka siis kui süsteemi haldamine/majutamine on volitatud kolmandale isikule ja seda 24 h jooksul. Samuti muutuvad seaduse rikkumise eest ette nähtud trahvid