Палата поддерживает снижение административной нагрузки малых предприятий при соблюдении требований кибербезопасности

Министерство юстиции и цифровых технологий разработало законопроект, согласно которому отменяются обязанность микро- и малых предприятий – субъектов Закона о кибербезопасности – соблюдать в своих сетевых и информационных системах требования эстонского стандарта информационной безопасности или ISO/IEC 27001. Палата поддерживает данное изменение.

Нагрузка на малые предприятия сокращается

Согласно законопроекту, микро- и малые предприятия из числа субъектов Закона о кибербезопасности, на которых в среднем за финансовый год работает менее 50 человек и чей годовой баланс или годовой оборот не превышает 10 миллионов евро, не обязаны напрямую применять меры безопасности, изложенные в эстонском стандарте информационной безопасности или ISO/IEC 27001. Поправка будет способствовать снижению административной нагрузки примерно 200 компаний, которые являются поставщиками услуг в значении Закона о кибербезопасности. К ним относятся, например, поставщики жизненно важных услуг.

Помимо этого, согласно проекту малые предприятия освобождаются от обязанности проводить аудит выполнения условий эстонского стандарта информационной безопасности.

Первоочередные меры безопасности необходимо пересмотреть

Проект предусматривает, что все субъекты Закона о кибербезопасности в дальнейшем будут обязаны внедрить первоочередные меры безопасности. Данные меры безопасности являются базовым уровнем, позволяющим считать, что меры, применяемые к сетевым и информационным системам, можно было считать достаточными для соответствия требованиям безопасности, установленным в Законе о кибербезопасности.

Первоочередные меры безопасности касаются, например, организации информационной безопасности, информирования и обучения пользователей, безопасности данных, управления киберинцидентами, защиты облачных сервисов, защиты связи и сети.

По оценке Палаты, вполне разумно решение, согласно которому первоочередные меры безопасности должны применять малые предприятия, которые в соответствии с проектом освобождаются от применения мер безопасности, изложенных в эстонском стандарте информационной безопасности или стандарте ISO/IEC 27001. Вместе с тем, остается неясным, почему первоочередные меры безопасности должны соблюдать также и те компании, которые обязаны применять меры кибербезопасности, изложенные в стандарте.

В случае распространения применения первоочередных мер безопасности на все предприятия неоправданно возрастет административная нагрузка и расходы тех предприятий, которые обязаны применять меры безопасности, предусмотренные стандартом. Во-первых, эти предприятия должны будут проанализировать, соблюдают ли они первоочередные меры безопасности. Если выяснится, что они применяют не все меры безопасности, то для выполнения требований они будут обязаны внести соответствующие изменения в свои меры. Вместе с тем, при внедрении стандарта предприятие вправе отказаться от применения той или иной меры, если оно обоснует, почему использование такой меры нецелесообразно с точки зрения предприятия.

Палата вышла в Министерство с предложением внести в проект изменения, согласно которым применение первоочередных требований безопасности было бы обязательным только для тех предприятий, которые освобождаются от обязанности применять меры безопасности, установленные стандартом.

Помимо этого, мы обратились в министерство с просьбой уточнить и изменить в проекте первичные меры безопасности таким образом, чтобы они были разумными, четкими и понятными, их применение было возможным на практике и не повлекло бы за собой необоснованного увеличения административной нагрузки или затрат для малых предприятий.

Согласно проекту изменения вступят в силу 1 сентября текущего года. С планируемыми изменениями более подробно можно ознакомиться ЗДЕСЬ.