Mida arvad plaanitavast uuest Eesti infoturbestandardist?

Mis on plaanitavate muudatuste eesmärk?
Eelnõu eesmärk on vähendada standardi rakendamisega kaasnevat halduskoormust ja bürokraatiat, loobudes detailsest meetmete ette kirjutamisest. See annab organisatsioonidele õiguse ja kohustuse lähtuda turvameetmete valikul oma tegelikest äriprotsessidest ja riskidest.

Keda mõjutab?

• teenuseosutajaid ja ettevõtteid, kellel on küberturvalisuse seadusest ja muudest õigusaktidest tulenev kohustus rakendada E-ITSi (nt haiglad, energiaettevõtjad, veeettevõtjad, transpordikorraldajad, finantsteenuste osutajad, avaliku sektori asutused ja muud küberturvalisuse seaduse §-des 3–4 loetletud olulised ja üliolulised üksused); 
• infosüsteemide audiitoreid ja auditeerimisteenuse pakkujaid.

Mis on olulisemad plaanitavad muudatused?

• Eelnõu kohaselt käsitleb E-ITS võrgu- ja infosüsteemi infoturbe haldust ja infoturbe halduse meetmete auditeerimist (eelnõu § 1). Võrreldes kehtiva määrusega nr 101 „Eesti infoturbestandard“ E-ITSi käsitlusala ei muutu.
• Kehtiva Vabariigi Valitsus määrusega nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ on ette näinud erandid E-ITSi rakendamisel. Eelnõu kohaselt ei pea E-ITSi meetmeid rakendama (eelnõu § 2): 
  • teenuseosutaja, kelle rakendatud turvameetmed vastavad rahvusvahelise standardiga ISO/IEC 27001 või Eesti standardiga EVS-EN ISO/IEC 27001 kehtestatud nõuetele ning seda kinnitav vastavussertifikaat on kehtiv ja esitatud Riigi Infosüsteemi Ametile. Sertifikaadiga hõlmamata jäänu suhtes peab teenuseosutaja rakendama siiski E-ITSi; 
  • teenuseosutaja, kellel on majandusaasta jooksul keskmiselt alla 50 töötaja ja kelle aastane bilansimaht või aastakäive ei ületa 10 miljonit eurot, arvestades väikeettevõtjate määratlusi Euroopa Komisjoni soovituses 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratluse kohta; 
  • teenuseosutaja, kes on valla või linna ametiasutuse hallatav asutus ja osavalla või linnaosa ametiasutuse hallatav asutus, välja arvatud üldhariduskool, ja kellel on kalendriaasta jooksul keskmiselt alla 50 töötaja; 
  • riigimuuseumist teenuseosutaja, kellel on kalendriaasta jooksul keskmiselt alla 50 töötaja; 
  • kohaliku omavalitsuse üksuste liidust teenuseosutaja, kellel on kalendriaasta jooksul keskmiselt alla 50 töötaja. 

Muudatus võrreldes kehtivaga määrusega seisneb selles, et kehtivas määruses ei ole erandeid otse sätestatud, vaid need tulenesid ainult määrusest nr 121. Erandite sisu ise ei muutu.

• Plaanitava uue määrusega selgitatakse infoturbe halduse süsteemi olemust. Võrreldes kehtiva määrusega on välja jäetud infoturbe halduse süsteemi toimimist kirjeldav osa (määruse nr 101 lisa 1) ning haldussüsteemile olemuslikud olulisemad üksikasjad sätestatakse määruses (eelnõu § 3 lg 1).
  • Eelnõus kirjeldatakse asjaolusid, mida organisatsioon peab infoturbe halduse süsteemi puhul arvesse võtma. Toimiva infoturbe halduse süsteemi ülesanne on tagada organisatsiooni jätkusuutlikkus ja kvaliteetne teenuste osutamine. Nendeks on ettevõtte:
    • tegevusvaldkond, eesmärgid, protsessid (sh äriprotsessid), protseduurid ja tavad;
    • õigusaktidest ning lepingutest tulenevaid õigused ja kohustused;
    • keskkond, kus tegutsetakse, ressursid (sh personal) ja vara.

Võrreldes E-ITSi kehtiva versiooniga on loobutud erinevatest skaaladest (nt kõrge, keskmine, madal), sest normiga ei ole võimalik piiritleda kõikvõimalikke olukordi ja lahendusi, mis võivad organisatsioonides esineda. Seega jäetakse edaspidi organisatsiooni enda otsustada, kuidas riske hinnata ja millist skaalat kasutada.

• Eelnõus nimetatakse rollid, mis on vajalikud infohalduse süsteemi toimimiseks. Roll ei tähenda, et seda peab täitma sama ametinimetusega töötaja, vaid tegemist on tegevustega, millega organisatsioon peab arvestama. Nendeks rollideks on (eelnõu § 3 lg 2): 
  • äriüksuse juht – korraldab varade arvestuse, kaitsetarbe määramise ja kaitsetarbe saavutamiseks vajalike meetmete rakendamise regulaarse seire; 
  • infoturbejuht – koordineerib ja nõustab turvameetmete rakendamist, sealhulgas koolituste formaadi valimist; 
  • hankejuht – jälgib, et vara ja teenuste turvameetmed on kogu nende elutsükli ulatuses plaanitud uue vara ja teenuste hankimise etappi juba selle kavandamise käigus; 
  • kasutaja – järgib tema kasutusse antud vara kasutamise korda, läbib regulaarselt infoturbekoolitusi, reageerib intsidentidele kokkulepete kohaselt, sealhulgas korraldab küberintsidentidest teavitamist. 

Võrreldes kehtiva määrusega sätestatakse rollid otse määruses, mitte määruse lisas. Samuti ei ole kehtivas määruses rolle selliselt määratletud.

• Kehtiva määrusega „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ kohaselt peab organisatsioon kaardistama võrgu- ja infosüsteemid ning nendega seotud teenused või protsessid ja dokumenteerima süsteemidele rakendatavad turvameetmed ja riskianalüüsi. Sellest tulenevalt nähakse eelnõuga ette infoturbe halduse süsteemiga seotud teave, mis tuleb säilitada. Selleks on infoturbe halduse süsteemi alusdokumendid ja otsuste kulg, infoturvasündmused ja organisatsiooni reaktsioon neile ja infoturvameetmete rakendamise plaan ja selles sisalduvad riski käsitlemise viisid (eelnõu § 3 lg 3). Andmed tuleb säilitad vähemalt 7 aastat. Kehtiv määrus ei näe säilitamist selgelt ette ja see tuleneb määrusest nr 121. Eelnõu koondab selle nõude otse määrusesse ning täpsustab, millised dokumendid tuleb säilitada.
• Eelnõu kohaselt korraldab infoturbehalduse süsteemitoimimist ettevõttes juhatus. Infoturbe halduse süsteemi rakendamise korraldamisel on juhatusel ka õigus jaotada ära rollid ning vastutusalad konkreetsemalt (edasivolitamine, ülesannete kehtestamine jne). Selleks, et juhatus saaks täita talle antud ülesannet infoturbe halduse süsteemi korraldamisel, peab juhatusele olema tagatud regulaarne ja vajadusel operatiivne juurdepääs järgmisele teabele (eelnõu § 4):
  • riskid ning nende võimalik mõju ja kulu; 
  • toimunud küberintsidentide mõju äriprotsessidele; 
  • õigusaktidest ja lepingutest tulenevad nõuded ja nende muudatused; 
  • infoturbe hetkeseis ja infoturvameetmete rakendamise plaani täitmine. 

Võrreldes kehtiva määrusega sätestatakse eelnõus juhatuse roll ja vastutus infoturbe halduse süsteemi korraldamisel esmakordselt otse määruses. Kehtivas määruses on juhatuse roll kirjeldatud lisas 1, mitte põhimääruses.

• Eelnõuga nähakse ette infoturbepoliitika nõue. Infoturvapoliitika koosneb organisatsiooni väärtuste ja varade kaitse juhtpõhimõtetest. See sisaldab infoturbe põhimõtteid ja kohustumust: miks ja millistel põhimõtetel kaitstakse organisatsiooni varasid, sh andmeid ning võrgu- ja infosüsteeme küberohtude eest. Infoturvapoliitika määrab kindlaks infoturbe lähtealused, infoturbe üldised eesmärgid, sellega seotud rollid ja vastutusalad, turbe rakendamise korralduslikud alused, intsidentide käsitlemise ning turbeprotsessi hindamise ja täiustamise põhimõtted ning uuendamise regulaarsuse. Eelnõu kohaselt ei pea ettevõtte selleteemaline tekst kohustuslikus korras kandma pealkirja „infoturvapoliitika“, vaid seda võib nimetada ka muud moodi või see võib ka olla muu dokumendi osa.Infoturvapoliitika tuleb üle vaadata ja vajaduse korral muudetakse vähemalt kord kalendriaastas (eelnõu § 5). Kehtivas määruses on infoturvapoliitika sisu ja nõuded kirjas määruse lisades ning palju detailsemalt lahti kirjutatud. Eelnõus sätestatakse vaid minimaalne kohustuslik sisu, jättes organisatsioonile suurema vabaduse poliitika kujundamisel.
• Küberturvalisuse seaduse kohaselt peab ettevõttes olema toimiv riskihaldus. Eelnõuga sätestatakse, et enne riskihaldusmetoodika koostamist tuleks organisatsioonis võtta arvele varad (sh IT-vara) ja määrata kindlaks nende kaitseala. Kaitseala tuleb kindlaks määrata ning vajaduse korral ajakohastada ka jooksvalt soetatava vara puhul. Riskihaldusmetoodika peab sisaldama vähemalt järgmist (eelnõu § 6):
  • äriprotsessidele mõju avaldavate ohtude tuvastamine, arvestades teabe konfidentsiaalsust, autentsust, terviklust, käideldavust; 
  • vara ja protsessi vastendamine infoturbekataloogi moodulitega; 
  • infoturvameetmete rakendamise plaani täitmise otsused, sealhulgas riskide hindamine. 

Kehtiv määrus kasutab kindlat riskiskaalat (kaitsetarbe tasemed kuni 3 taset), mida eelnõus enam ei kasutata.  

• Eelnõu käsitleb infoturvameetmete rakendamise plaani. Infoturvameetmete rakendamise plaan (IMR) on ühest või mitmest dokumendist koosnev juhend, kus kirjeldatakse, kuidas organisatsioonis teavet ja vara kaitsta ning võimalikke riske ennetada. IMRis esitatakse kokkulepitud turvameetmed ja rollid ning käitumisjuhised erinevateks olukordadeks (eelnõu § 8) Erinevalt E-ITSi kehtivast versioonist töötab organisatsioon välja oma meetmed ja hindab nende rakendamist ning mõju ise ilma määrusepoolse ettekirjutuseta. See võimaldab organisatsioonil välja töötada sobivaima meetmete komplekti, mis vastab organisatsiooni kaitsevajadustele.
• Eelnõu näeb ette organisatsioonisisese hindamise. Organisatsioonisisene hindamine on organisatsiooni pidev kontroll, mille käigus hinnatakse, kas näiteks organisatsioonis on kindlaks määratud äriprotsessid,  kaardistatud äriprotsessidega seotud varad, määratud kaitsetarve ja kehtestatud riskihaldusmetoodika (eelnõu § 10). Organisatsioonisisest hindamist võib teha organisatsiooniga töö- või teenistussuhtes olev isik või organisatsiooniväline isik. Võrreldes E-ITSi kehtiva versiooniga ei ole enam auditi osana sätestatud eelauditit, vaheauditit ja järelauditit ning see on asendatud organisatioonisisese hindamisega.
• Eelnõu näeb ette, et Eesti infoturbestandardi rakendamise toetamiseks ja ühtlustamiseks loob Riigi Infosüsteemi Amet asjaomase veebilehe või rakenduse ning seal antakse Eesti infoturbestandardi rakendamist toetavaid soovituslikke juhiseid ning muud rakendamist toetavat ajakohast teavet (eelnõu § 12).

Millal jõustuvad muudatused?
Eelnõu kohaselt jõustub määrus 1. augustil 2026.

Anna teada, mida arvad plaanitavatest muudatustest. Tagasisidet ootan hiljemalt 19. juuniks e-posti aadressile ireen@koda.ee. Ettevõtete vastuste põhjal koostan koja seisukoha, mille edastan justiits- ja digiministeeriumile.