Teksti suurus

Reavahe

Kontrastsus
Seaded

 

Küberturvalisuse seaduse eelnõust

1. märtsil 2018 saatis Riigi Infosüsteemi Ameti peadirektori asetäitja küberturvalisuse alal elutähtsa teenuse osutajatele kirja, milles tõi välja küberturvalisuse seaduse eelnõu kõige olulisemad punktid:

Austatud koostööpartner!

Vabariigi Valitsus kiitis 1. märtsi istungil heaks küberturvalisuse seaduse eelnõu ning esitas selle Riigikogu menetlusse. Tegemist on õigusaktiga, mis seab selged raamid võrgu- ja infoturbe korraldusele Eestis, seda nii avalikus kui erasektoris. Küberturvalisuse seadusega võetakse Eesti õigusesse üle ka Euroopa Parlamendi ja nõukogu 6. juuli 2016 direktiiv (EL) 2016/1148 võrgu- ja infoturbe nõuete kohta, mille rakendustähtaeg on 10. mai 2018. 

Eesti on olnud aastate jooksul küberturvalisuse pioneer ja etalon muule maailmale. Meie saavutatut hinnatakse ning meie pealt õpitakse. Eesti inimesed ja ettevõtjad kasutavad e-riigi ning internetipõhiseid teenuseid igapäevaselt. Samuti on kõikide elutähtsate teenuste osutamine kriitiliselt sõltuv internetist. Inimeste andmete, vara ning lähedaste kaitsmine eeldab võrgu- ja infoturbe nõuete määratlemist ning järgimist. Ühtlasi riigipoolset võimekust teha järelevalvet, pakkuda tuge ning sekkuda kriitilistel juhtudel. Vastasel juhul riskime kodanike elu, tervise ning heaoluga.  

Eesti ei alusta tühjalt kohalt ning küberturvalisuse seaduse eelnõu peegeldab väga suures osas tänast praktikat võrgu- ja infoturbe korraldamisel. Suurem osa seaduses kirjeldatud kohustustest ning pädevustest kehtivad juba täna, seda kas hädaolukorra seaduse või elektroonilise side seaduse alusel. Küberturvalisuse seaduse eelnõu koondab kehtivad pädevused, põhimõtted ning kohustused ühte õigusakti. Eelnõu on kantud arusaamast, et võrgu- ning infoturbe tagamisel tuleb põhitähelepanu pöörata ennetusele ning riskide juhtimisele. 

Advokaadibüroode LEXTAL ja SORAINEN koostatud õigusanalüüsid (Lextal 2016, Sorainen 2017, Sorainen 2013) viitasid üheselt, et kehtiv õiguslik raamistik vajab uuendamist ning selgemat lahti kirjutamist. Sisustamata on kübervaldkonna põhimõisted, lünklikult määratletud riiklik vastutus ja pädevus. Mitmed Riigi Infosüsteemi Ameti (edaspidi RIA) kohustused on reguleeritud madalama taseme õigusaktidega ning ennetustegevusteks puudub selge õiguslik raamistik. Sellest tulenevalt on küberturvalisuse seaduse eelnõu eesmärk võtta üle Euroopa Liidu nõuded, korrastada valdkonna juhtimist ning luua ühtne õiguslik alus võrgu- ja infoturbe korralduseks Eestis. Alljärgnevalt toome välja eelnõu olulisemad punktid.

1. Küberturvalisuse tagamise põhimõtted

Eelnõuga sätestatud põhimõtted lähtuvad parimast rahvusvahelisest tavast, ELi võrgu- ning infoturbe ehk NIS direktiivist ning Majanduskoostöö ja Arengu Organisatsiooni (OECD) soovitustest („Digital Security Risk Management for Economic and Social Prosperity“). Põhimõtete eesmärk on edendada ennetavat ning riskide juhtimisele suunatud turvet, mis aitab hoida kokku kulusid ning tagab turvalisema ökosüsteemi. Küberturvalisuse tagamise põhimõtted on alljärgnevad:

  • Isiklikkuse põhimõte näeb ette, et esmane vastutus oma võrgu- ja infosüsteemi turvalisuse tagamisel lasub teenuse osutajal. See lähtub eeldusest, et infoühiskonnas vastutab iga osaline tema valduses oleva võrguühendusega tehnilise seadme või süsteemi turvalisuse eest.
  • Tervikliku kaitse põhimõte kätkeb hoolsuskohustust: võrgu- ja infosüsteemi ohustavad riskid tuleb kindlaks teha ning süsteemide kaitseks rakendada asjakohaseid korralduslikke ja tehnilisi abinõusid, et tagada turvalisus aktsepteeritaval tasemel.
  • Kahjuliku mõju vähendamise põhimõte kätkeb suunist võtta küberintsidendi korral kasutusele abinõud, piiramaks intsidendi negatiivset mõju nii teistele süsteemidele kui ka teiste isikute õigushüvedele.

Nende põhimõtete rakendamine saab toimuda üksnes avaliku ning erasektori tihedas koostöös. Võtmetähtsusega on siinkohal usaldusliku koostöökultuuri säilitamine ja edendamine Riigi Infosüsteemi Ameti ning seaduse kohaldamisalasse jäävate teenuseosutajate vahel.

2. Küberturvalisuse riiklik korraldus

Seni mitme seaduse ning nende rakendusaktidega reguleeritud riiklikud kohustused küberturvalisuse korraldamisel kirjeldatakse eelnõus ühtse ning arusaadava tervikuna. Küberturvalisuse korraldamise keskne roll sätestatakse selgelt RIA-le, kelle pädevus ning ülesanded on määratletud eelnõus järgnevalt:

  • koordineerida küberintsidendi ennetamist ja lahendamist seadusega antud piirides;
  • võtta ennetavaid meetmeid ning tuvastada ohuhinnangute põhjal turvanõrkustega seadmeid ja teenuseid;
  • edastada küberintsidentide ennetamiseks ja lahendamiseks ohuteateid, mis võimaldavad rakendada küberintsidendi mõju vältivaid või vähendavaid abinõusid.

Eelnõu kohaselt määratakse RIA täitma ka NIS direktiivis sätestatud küberintsidentide lahendamise üksuse ülesandeid, sealhulgas:

  • tagama intsidentide seire Eestis;
  • tagama riskide ja intsidentide kohta varajaste hoiatuste andmise ning teabe jagamise partneritega;
  • tagama intsidentidele reageerimise ning süsteemse riskide ja intsidentide analüüsi;
  • täitma rahvusvahelise kontaktpunti rolli, kes on vastutav piiriülese koostöö, infovahetuse ning ELi tasandil võetavate meetmete koordinatsiooni eest.

RIA-le pandud kohustuste täitmine eeldab koostööd partneritega era- ning avalikust sektorist, toimivat infovahetust ning selleks eraldi õigusliku aluse sätestamist. Sellest tulenevalt täpsustab eelnõu intsidentide lahendamise ja seire volitused ning sätestab järelevalvemeetmed avaliku korra kaitse tagamiseks1, sh õiguse tõrjuda küberintsidendist tingitud vahetut kõrgendatud ohtu või kõrvaldada korrarikkumine.

Avalikku korda rikkuvate küberintsidentide tõhusamaks lahendamiseks näeb eelnõu RIA-le ette ka õiguse küsida sideettevõtjatelt isikustamata andmeid võrguvoo kohta, mis aitaks tuvastada pahavara jagava seadme ja teha kindlaks ka ründeobjektid. Siinkohal on oluline rõhutada, et tegemist ei ole isikuandmete, vaid süsteeme puudutavate metaandmetega, mis on vajalikud küberintsidendi lahendamiseks.

3. Oluliste teenuste osutajate kohustused võrgu- ja infosüsteemide turvalisuse tagamisel

Eelnõu loetleb ühiskondlikult olulised teenused, mida osutavatele juriidilistele isikutele kohalduvad teenuse osutamiseks kasutatavate võrgu- ja infosüsteemide turvalisuse tagamise nõuded. Siinkohal on oluline mainida, et eelnõuga sätestatud võrgu- ja infoturbe kohustuslaste ring jääb senisega samaks2. NIS direktiivist tulenevalt lisandub üksnes Eesti Interneti SA. Ka kohustuste sisu osas ei tingi eelnõu märkimisväärseid muudatusi ning viidatud kohustuste täitmine järgib parimat võrgu- ja infoturbe tava. Ühiskondlikult oluliste teenuste osutajate kohustused on üldistatult järgnevad:

  • teostada võrgu- ja infosüsteemide riskianalüüs, et välja selgitada, millised on teenuse osutamiseks kasutatavate võrgu- ja infosüsteemide turvalisust ja teenuse toimepidevust mõjutavad ning küberintsidendi tekkimist põhjustavad riskid ning milline on riskide realiseerimisel tekkiva küberintsidendi tagajärgede mõju organisatsioonile ning teenuse kasutajatele;
  • kontrollida süsteemselt turvameetmete rakendamise piisavust ja vastavust;
  • teostada süsteemselt võrgu seiret ning logimist, et tuvastada ja jäädvustada võrgu- ja infosüsteemide tööd ohustavaid turvanõrkusi, manipuleerimiskatseid ja ebakorrapärasusi;
  • rakendada küberintsidendi korral selle mõju ja levikut piiravaid abinõusid.

Kuna iga juriidiline isik tunneb oma teenuseid ning võrgulahendusi ise kõige paremini, jätab eelnõu riskianalüüside koostamiseks ning meetmete rakendamiseks piisava paindlikkuse. Eelnõu rakendusaktidega sätestatakse riskianalüüside üksikasjalikumad nõuded ning üldised põhimõtted võrgu- ja infoturbemeetmete valikule (ISKE standard, ISO standard, valdkondlik praktika).

4. Olulistest küberintsidentidest ja -ohtudest teavitamise kord

Lähtuvalt NIS direktiivist sätestab eelnõu teavituskohustuse ühiskondlikult olulist teenust osutavatele juriidilistele isikutele. RIAt tuleb teavitada küberintsidentidest, millel on pakutavate teenuste järjepidevusele oluline negatiivne mõju. Teavitustöö on vajalik, et RIA saaks võtta vajalikke meetmeid küberintsidentide mõju piiramiseks, pakkuda vajadusel partneritele tuge, teavitada avalikkust ning rahvusvahelisi partnereid. 

Oluline on rõhutada, et eelnõu ei loo uusi teavitamiskohustusi, sest juba täna kehtiva õiguse kohaselt tuleb RIAt olulistest küberintsidentidest teavitada3. Küberturvalisuse seaduse eelnõuga sätestatakse teavituskohustuse täitmise täpsem regulatsioon ning kirjeldatakse üldised lähtekohad olulise mõjuga küberintsidendi määratlemiseks.

Eelnõu ei piira teenuse osutajat teavitamast ka küberintsidentidest, millel pole võrgu- ja infosüsteemi turvalisusele või teenuse osutamisele märkimisväärset ebasoodsat mõju. Vastupidi, kõik teavitused on igati oodatud, sest tervikpildi omamine võimaldab RIA-l paremini täita oma kohustusi küberturvalisuse tagamisel ning abi osutamisel.

5. Riigi ja kohaliku omavalitsuse üksuse süsteemi turvameetmed

Eelnõuga sätestatud võrgu- ja infosüsteemide turvalisuse tagamise ning olulise mõjuga küberintsidentidest teavitamise kohustused laienevad ka riigi ja kohaliku omavalitsuse üksusele. Olemuslikult pole nõuded avaliku sektori asutustele uued, sest need sisalduvad avaliku sektori asutustele kohalduva infosüsteemide kolmeastmelise etalonturbe süsteemi (ISKE) meetmetes. Riigiasutuste ja kohaliku omavalitsuse üksuste infosüsteemide ebapiisav turvalisuse tase ei tähenda üksnes andmelekke ohtu, vaid infosüsteemide töökindluse ja usaldusväärsuse tagamine on kogu riigi toimimise vaatest hädavajalik.

Küberturvalisust saab tagada üksnes riigi ja erasektori vahetus koostöös ning vastastikuses usalduses. RIA on valmis seaduse rakendamisel pakkuma tuge ning korraldab selleks 2018. a jooksul ka teabepäevad, samuti loome küberintsidendist raporteerimise ja riskianalüüsi koostamise selgitavad ja abistavad juhendid. Ühtlasi jätkame turvatestide, koolituste ning CERT 24/7 tugiteenuste osutamisega. Täname teid meeldiva koostöö eest ning oleme valmis vastama eelnõud puudutavatele küsimustele.

Lugupidamisega

Uku Särekanno, RIA peadirektori asetäitja küberturvalisuse alal

 

Küberturvalisuse seaduse eelnõu leiab eelnõude infosüsteemist.

Täpsustused:

1. Riigi Infosüsteemi Amet täidab erikorrakaitseorgani ülesannet juba praegu ning asutusele laienevad korrakaitseorgani volitused vastavalt korrakaitseseaduses ja eriseadustes sätestatule.

2. Eelnõu sätestab küberturvalisuse tagamise suunised hädaolukorra seaduse (HOS) §-s 38 sätestatud elutähtsa teenuse osutajatele ning teistele üldist majandushuvi pakkuvate ja ühiskondlikult oluliste teenuste osutajatele, kellele HOS 01.07.2017 jõustunud redaktsiooni järel tulenevad elektroonilise turvalisuse tagamise nõuded eriseadustest.

3.  Võrreldes nt Vabariigi Valitsuse määruses „Elutähtsa teenuse infosüsteemide ning nendega seotud infovarade turvameetmed” sätestatuga, mis kohaldub HOS-iga reguleeritud elutähtsate teenuste osutajatele ja valdkondlikes seadustes määratud üldhuviteenuse osutajatele, on KüTS eelnõus sätestatud regulatsioon täpsem ning loetleb mh tunnused, millist küberintsidenti loetakse olulise mõjuga küberintsidendiks. 


Kas said vastuse oma küsimusele?

Lisatud 02.03.2018
Uuendatud 02.03.2018

Tagasi lehele "Küberturvalisus"