Artikkel ilmus Ärigeeniuses 03.08.2022
Keset suviselt sooja juulikuud võttis Riigikogu vastu seadusemuudatuse, millega kohendatakse esimest korda 2018. aastal jõustunud küberturvalisuse seadust (KüTS). Heidame pilgu viiele olulisele muudatusele, mis peatselt jõustuvad.
1. Laieneb kohustatud isikute ring
Esimese ja ehk kõige olulisemana tuleb välja tuua, et laieneb isikute ring, kel KüTS-st tulenevad kohustused lasuvad. Kui seni oli fookus seatud “ühiskonna toimimise seisukohast olulistele teenustele” (peamiselt elutähtsatele ning tervishoiu-, side- ja olulistele taristuteenustele) ning riigi ja KOV võrgu- ja infosüsteemidele, siis muudatusega laiendatakse just avalikku sektorisse kuuluvate kohustatud isikute ringi oluliselt.
Lisaks juba tuttavatele riigi- ja KOV asutustele peavad KüTS-st tulenevaid nõudeid edaspidi täitma ka näiteks kõik avalik-õiguslikud juriidilised isikud (sh mitmed ülikoolid, Kultuurkapital, Haigekassa ja Eesti Advokatuur), kuid ka põhiseaduslikud institutsioonid, nagu Eesti Pank, Riigikogu ja Õiguskantsler.
2. Fookuses on kõik IT-süsteemid, mitte ainult andmekogud
Kui varasemalt oli avaliku sektori süsteemide küberturvalisuse tagamise puhul kesksel kohal ISKE-nimeline, andmekogude turvalisuse tagamisele suunatud etalonturbesüsteem, siis nüüd see muutub. Seaduseelnõu seletuskirjast on selgelt näha, et senine andmekogudepõhine lähenemine on põhjustanud probleeme või isegi võimaldanud nõuetest teatud määral kõrvale hiilida, kui asutus suudab oma infosüsteemi defineerida millegi muu, kui andmekoguna. Erinevalt andmekogudele suunatud ISKEst räägib KüTS aga väga laias tähenduses “süsteemide” kaitsmisest. Süsteemide all peetakse seejuures silmas mitte kitsalt andmekogusid, vaid praktiliselt mistahes digitaalseid andmeid või neid töötlevaid süsteeme. Seadusemuudatuse kohaselt astub 2023. aasta jaanuaril senise ISKE asemele uus infoturberaamistik E-ITS (Eesti infoturbestandard), mille dokumentatsioon on ISKEst oluliselt saledam ja mis läheneb organisatsioonidele (äri)protsesside põhiselt ja käsitleb riskihaldust tervikuna.
3. Kohustuslike turvameetmete uuenduskuur
Kui riiklike ja KOV süsteemide haldajad peavad seaduseelnõuga koos esitatud määruse kavandi kohaselt hakkama täiemahuliselt uut infoturbestandardit järgima (mille andmekogusid puudutav osa näib siiski olevat tugevalt ISKEst inspireeritud), siis muude kohustatud isikute jaoks on kohustused mõnevõrra leebemad. Nimelt peavad muud KüTSi kohuslased rakendama turvameetmeid, millega nähakse ette vähemalt juurdepääsuõiguste haldamine, kasutajate identifitseerimine ja autoriseerimine, varukoopiate tegemine ja protseduurid andmete varukoopiatest taastamiseks, tarkvara ajakohasus, logimislahendused, lahendused turvalisust ohustava tegevuse ja tarkvara tuvastamiseks ning tõrjumiseks ja protseduurid süsteemide turvalisuse või teenuse toimepidevuse taastamiseks. Lisaks tuleb vastavust infoturbestandardile iga 3 aasta järel erapooletu audiitori abil auditeerida ning auditi tulemused Riigi Infosüsteemi Ametile edastada.
Varasemast juba tuttavad kohustused, nagu riskianalüüsi koostamine ja regulaarne uuendamine, küberturvalisuse alase dokumentatsiooni säilitamine ning küberintsidendist teavitamise nõuded küll säilivad, kuid on samuti saanud mõningase lihvi — edaspidi tuleb senise, kitsalt süsteemi toimepidevusel põhinenud lähenemise asemel dokumenteerida kõik asjassepuutuvad teenused, ressursid, protsessid, vastutajad ning muu alusteave.
4. Andmesaatkonna toimimine muutub läbipaistvamaks
Neljandaks loob muudatus mõningat selgust nn. andmesaatkonna toimimisega seonduva andmetöötluse vaates. Nimelt varundab riik juba 2019. aastast alates kümnekonna olulise andmekogu (nt rahvastikuregister, äriregister, kinnistusraamat ja SKAIS) andmete varukoopiaid Luksemburgis asuvasse turvalisse andmekeskusesse, mille eesmärk on tagada riigi toimimine ja oluliste ühiskondlike suhete järjepidevus ka olukorras, kus Eesti territooriumil asuvad andmekeskused mistahes põhjusel — olgu selleks looduskatastroof või pahatahtlik tegevus, rivist väljas on. Aina rangemaks muutuvate isikuandmete töötlemisega seonduvate nõuete kontekstis on andmesaatkonda abil toimuv andmete varundamine varasemalt tekitanud teatavaid küsimusi piiriülese varundamise õiguslikust alusest ja läbipaistvusest ning selle IT-taristut majandavate osapoolte rollide selgusest ja tegutsemise piiridest (Registrite- ja Infosüsteemide Keskus ning edaspidi riigi uusim IT-maja ehk Riigi Info- ja Kommunikatsioonitehnoloogia Keskus). Seaduseelnõuga kaasas olnud määruse kavandi kohaselt saab sellisel kujul andmete varundamine edaspidi mõnevõrra selgema, kuid (tõenäoliselt ka julgeolekukaalutlustel) siiski mitte ülemäärase detailsusega kõigile nähtavalt must-valgele kirja pandud.
5. Küberturvalisuse sertifitseerimise korraldus
Viiendaks korrastatakse seadusemuudatusega küberturvalisuse alaste toodete ja teenuste sertifitseerimisega seonduvat. Euroopa Liit võttis 2019. aastal vastu määruse, millega loodi ettevõtjatele raamistik küberturvalisuse alaste toodete ja teenuste sertifitseerimiseks, eesmärgiga edendada ekspordivõimalusi ja digitaalse siseturu toimimist. Kuigi Euroopa Liidu määrus on otsekohalduv, jättis see liikmesriikidele (sh Eestile) õiguse määrata ise asutused, kes sertifitseerimise ja selle järelevalvega riigisiseselt tegelevad. Nii näeb eelnõu ette, et riiklikuks küberturvalisuse sertifitseerimise asutuseks (sertifitseerimise üle järelevalve teostajaks) saab Tarbijakaitse ja Tehnilise Järelevalve Amet ning sertifikaate väljastavaks asutuseks eelduslikult (juhul, kui õnnestub määrusekohane akrediteerimine) Riigi Infosüsteemi Amet. Seletuskirjas hoiatakse meid samas liigse optimismi eest rõhutades, et Riigi Infosüsteemi Ameti akrediteerimisega seonduv on veel lahtine ja võib-olla sünnivad siin lahendused hoopis piiriüleses koostöös. Üleüldiselt saab aga välja tuua, et sertifitseerimise korraldamisega seonduv raamistik on tervikuna keeruline ja ka EL-i tasemel veel kõike muud kui “valmistoode”. Loodetavasti saame asutustelt selle mehhanismi toimimise kohta, mille vastu tõenäoliselt on huvi ka mitmetel Eesti ettevõtjatel, lähitulevikus juba detailsemat infot ja juhiseid.
2018. aastast, mil küberturvalisuse seadus jõustus, on maailma, sh küberkeskkonna julgeolekuolukord kahtlemata pingestunud ning kõigilt, iseäranis oma kodanike andmetega ümber käivatelt riigiasutustelt eeldatav küberhügieeni standard tõusnud. Seekordse muudatuse ja uue infoturbestandardi rakendamist saab olema huvitav jälgida ning selle vahetulemusi saame kuulda kui mitte varem, siis loodetavasti paari aasta jooksul, kui jõustub ja tuleb üle võtta Euroopa Liidu uus küberturvalisuse direktiiv NIS 2.