Koda toetab väikeettevõtete halduskoormuse vähendamist küberturvalisuse nõuete täitmisel
Justiits- ja digiministeeriumis on valminud eelnõu, mille kohaselt kaob küberturvalisuse seaduse subjektidest mikro- ja väikeettevõtetel kohustus järgida võrgu- ja infosüsteemides Eesti infoturbestandardi või standardi ISO/IEC 270019 nõudeid. Koda toetab seda muudatust.
Väikeettevõte koormus väheneb
Eelnõu kohaselt ei pea Eesti infoturbestandardis või standardiga ISO/IEC 27001 sätestatud turvameetmeid vahetult kohaldama küberturvalisuse seaduse subjektidest mikro- ja väikeettevõtted, kellel on majandusaasta jooksul keskmiselt alla 50 töötaja ja kelle aastane bilansimaht või aastakäive ei ületa 10 miljonit eurot. Muudatus vähendab halduskoormust ca 200 ettevõttel, kes on teenuse osutajad küberturvalisuse seaduse tähenduses. Need on näiteks elutähtsa teenuse osutajad.
Lisaks vabastab eelnõu väikeettevõtted Eesti infoturbestandardi tingimuste täitmise auditi läbi viimise kohustusest.
Esmased turvameetmed tuleb üle vaadata
Eelnõu näeb ette, et kõik küberturvalisuse seaduse subjektid peavad edaspidi rakendama esmaseid turvameetmeid. Esmased turvameetmed on baastase, et võrgu- ja infosüsteemidele rakendatud meetmed saaks lugeda piisavaks, et olla kooskõlas küberturvalisuse seaduses sätestatud turvanõuetega.
Esmased turvameetmed puudutavad näiteks infoturbe korraldust, kasutajate teadlikkust ja koolitust, andmeturvet, küberintsidentide haldust, pilvteenuste kaitset ning sideühenduste ja võrgu kaitset.
Koja hinnangul on mõistlik, et esmaseid turvameetmeid peavad kohaldama need väikeettevõtted, kes vabastatakse eelnõuga Eesti infoturbestandardis või standardiga ISO/IEC 27001 sätestatud turvameetmete kohaldamisest. Samas jääb ebaselgeks, miks peavad esmaseid turvameetmeid järgima ka need ettevõtted, kes peavad kohaldama standardis sätestatud küberturvalisuse meetmeid.
Kui laiendada esmaste turvameetmete kohaldamist kõikidele ettevõtetele, siis sellega suureneb ebamõistlikult nende ettevõtete koormus ja kulud, kes on kohustatud kohaldama standardis sätestatud turvameetmeid. Esiteks peavad need ettevõtted analüüsima, kas nad täidavad esmaseid turvameetmeid. Kui selgub, et nad ei kohalda kõiki turvameetmeid, siis on neil kohustus teha oma meetmetes vastavaid muudatusi, et nõue oleks täidetud. Samas standardi rakendamisel on ettevõttel õigus loobuda mõne meetme kasutamisest, kui ta põhjendab, miks sellise meetme kasutamine ei ole selle ettevõtte vaates mõistlik.
Koda tegi ministeeriumile ettepaneku muuta eelnõud selliselt, et esmaste turvanõuete kohaldamine on kohustuslik üksnes nendele ettevõtetele, kes vabastatakse standardiga sätestatud turvameetmete kohaldamise kohustusest.
Lisaks palusime ministeeriumil täpsustada ja muuta eelnõus sisalduvaid esmaseid turvameetmeid, et need oleksid mõistlikud, selged ja arusaadavad ning nende kohaldamine oleks praktikas võimalik, ilma et sellega kaasneks väikeettevõtetele ebamõistlikult suur koormus või kulu.
Muudatused jõustuvad eelnõu kohaselt selle aasta 1. septembril. Plaanitavate muudatustega saad lähemalt tutvuda SIIN.