Mida arvad Euroopa Komisjoni küberturvalisuse paketi ettepanekust?

Mis on plaanitavate muudatuste eesmärk?
Plaanitavate muudatuste eesmärk on ajakohastada ja tugevdada ELi küberturvalisuse raamistikku, et see vastaks tehnoloogia arengule (sh tehisintellekt) ja keerulisele geopoliitilisele olukorrale.

Keda mõjutab?

• info- ja kommunikatsioonitehnoloogia (IKT) teenuse pakkujaid
• NIS2 direktiivi kohaldamisalasse kuuluvad elutähtsaid ja olulisi ettevõtteid, näiteks energiaettevõtteid, finantsasutusi, postiteenuseid, toiduainete ettevõtteid, digiteenuste pakkujaid).

Mis on olulisemad plaanitavad muudatused?

Direktiivi muudatused

• Komisjon plaanib NIS2 direktiivi muuta nii, et laiendatakse direktiivi kohaldamisala uutele üksustele, mis loetakse edaspidi olulisteks üksusteks sõltumata nende suurusest (artikkel 1 lg 1 p a):
  • Euroopa digiidentiteeditaskute pakkujad;
  • Euroopa äritaskute pakkujad.
• Ettevõtted saavad edaspidi kasutada Euroopa küberturvalisuse sertifitseerimisskeeme, et tõendada oma vastavust NIS 2 direktiivi riskijuhtimise nõuetele. Kui ettevõttel on vastav sertifikaat, ei tohi pädevad asutused kohaldada nende nõuete osas täiendavaid järelevalvemeetmeid (artikkel 1 lg 9).
• Muudatustega täpsustatakse tarneahela turvalisuse nõudeid. Komisjon töötab välja juhised, mis soovitavad tarnijatele esitatavate teabepäringute täpsusastet ja vormingut. Sellega soovitakse vältida põhjendamatut kohustuste edasisuunamist üksustele, kes ei kuulu NIS2 direktiivi kohaldamisalasse (artikkel 1 lg 7).

Uue määruse ettepanek

• Euroopa Komisjon on teinud ettepaneku luua uus määrus, mis käsitleb Euroopa Liidu Küberturvalisuse Ametit (ENISA), Euroopa küberturvalisuse sertifitseerimise raamistikku ja IKT tarneahela turvalisust. 
• Plaanitav määrus loob  ELi tasandil raamistiku IKT tarneahela turvalisusega seotud riskide tuvastamiseks ja maandamiseks elutähtsate ja oluliste teenuste sektorites. Muudatuste kohaselt tekib ühtne ELi mehhanism, mis võimaldab hinnata ja vähendada riske, mis tulenevad kõrge riskiga või ebausaldusväärsetest IKT tarnijatest (määruse ettepanek artikkel 98–111).
  • Muudatuste kohaselt viivad Euroopa Komisjon, liikmesriikide esindajatest koosnev NIS koostöörühm ja ENISA EL tasandil läbi koordineeritud turvariski hindamisi IKT tarneahelate suhtes, mille käigus nad hindavad tarnijate riskiprofiili, kriitilisi IKT varasid ning võimalikke ohte ja haavatavusi. Hindamisel võtavad nad  muuhulgas arvesse tarnija seotust kolmandate riikide valitsustega (määruse ettepanek artikkel 99–102). EL võib hinnata IKT tarneahela turvariske ja määrata, millised tehnoloogiad, tarnijad või süsteemid kujutavad endast küberturbe riski. Selle tulemusena võib Euroopa Komisjon  ettevõtjatele kehtestada täiendavaid riskide maandamise meetmeid või piiranguid teatud IKT toodete või tarnijate kasutamisel.
  • Komisjon saab ettepaneku kohaselt õiguse kehtestada riskide vähendamise meetmeid, sealhulgas piirata või keelata kõrge riskiga tarnijatelt pärit IKT komponentide kasutamine kriitilistes IKT varades (määruse ettepanek artikkel 103–104). 
  • Lisaks saab Euroopa Komisjon õiguse määrata kõrge riskiga tarnijate nimekirju ning kehtestada ettevõtjatele täiendavaid nõudeid, näiteks tarneahela läbipaistvus, andmeedastuse piirangud kolmandatesse riikidesse, tehnilised turvameetmed või tarnijate mitmekesistamine (määruse ettepanek artikkel 103–104).
  • Kolmandate riikidega seotud ettevõtetel on võimalik taotleda komisjonilt erandit kasutuskeeldudest või hankepiirangutest, kui nad suudavad tõendada, et küberturbe- ja sõltuvusriskid on piisavalt maandatud (määruse ettepanek artikkel 105).
• Plaanitavate muudatustega tugevdatakse Euroopa Liidu Küberturvalisuse Ameti mandaati, et paremini vastata uute tehnoloogiate ja geopoliitiliste riskidega seotud küberturbeväljakutsetele. Võrreldes kehtiva regulatsiooniga suureneb ENISA roll Euroopa küberturvalisuse sertifitseerimisskeemide väljatöötamisel ja haldamisel, sealhulgas:
  • ENISA valmistab ette Euroopa küberturvalisuse sertifitseerimisskeemide ettepanekud Euroopa Komisjonile (määruse ettepanek artikkel 73–74);
  • ENISA vastutab tehniliste spetsifikatsioonide väljatöötamise ja sertifitseerimisskeemide ajakohastamise eest (määruse ettepanek artikkel 75 ja 77);
  • ENISA osaleb IKT tarneahela küberturberiskide hindamise toetamisel EL tasandil (määruse ettepanek artikkel 99 jj);
  • ENISA roll liikmesriikide toetamisel ja sertifitseerimisskeemide rakendamise koordineerimisel tugevneb (määruse ettepanek artikkel 72, 75 ja 79).
• Plaanitavate muudatustega ajakohastatakse ja laiendatakse Euroopa küberturvalisuse sertifitseerimisraamistikku, mille eesmärk on suurendada küberturvalisuse taset ning toetada digitaalse ühtse turu toimimist (määruse ettepanek artikkel 71 jj).
  • Plaanitav määrus loob mehhanismi Euroopa küberturvalisuse sertifitseerimisskeemide loomiseks, mille abilsaab hinnata , kas IKT tooted, teenused ja protsessid vastavad kindlaksmääratud küberturvalisuse nõuetele (määruse ettepanek artikkel 71). Lisaks laiendatakse sertifitseerimise ulatust ka hallatavatele turvateenustele (managed security services) ning ettevõtete küberturbe tasemele (cyber posture of entities).
  • Euroopa küberturvalisuse sertifikaate tunnustatakse automaatselt kõigis liikmesriikides, mis aitab lihtsustada toodete ja teenuste turulepääsu EL siseturul ning vähendada ettevõtjate kulusid (määruse ettepanek artikkel 71). Sertifitseerimine jääb üldjuhul vabatahtlikuks, kuid seda võib muuta kohustuslikuks EL või riiklik õigus.

Millal jõustuvad muudatused?

• Plaanitavate muudatuste kohaselt direktiiv jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas. Hetkel ei ole teada, millal muudatused jõustuvad. Liikmesriigid peavad võtma vajalikud seadusemuudatused vastu, need avaldama ja neid hakkama kohaldama hiljemalt 12 kuu jooksul pärast direktiivi jõustumist.
• Määrus jõustub 20. päeval pärast selle avaldamist Euroopa Liidu Teatajas. Hetkel ei ole täpselt teada, millal muudatused jõustuvad. 

Anna teada, kas toetad plaanitavaid muudatusi. Tagasisidet ootan hiljemalt 26. märtsiks e-posti aadressile ireen@koda.ee. Ettevõtete vastuste põhjal koostan koja seisukoha, mille saadan justiits- ja digiministeeriumile.