| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 1.1-21/25181 |
| Registreeritud | 27.01.2025 |
| Sünkroonitud | 28.01.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.1 Asutuse tegevuse korraldamine |
| Sari | 1.1-21 Õigusalane kirjavahetus ja muu dokumentatsioon |
| Toimik | 1.1-21/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | BlueIT |
| Saabumis/saatmisviis | BlueIT |
| Vastutaja | Sander Pelisaar (RIA, PDA Oigus) |
| Originaal | Ava uues aknas |
Tere
Selline mure on ,et töötan läbi NIS2 direktiivi ja olen märganud sellist erisust, et see palju teenuse pakkujad kes lubavad NIS2 juurutamisel toeks olla, viitavad oma teenuste õigustamiseks NIS2 artilitele 21, 22, 4 jne.
Need artiklid aga ei sea konkreetseid kohutusi ettevõtjale.
Toon esile mõned lõigud (punases) ja tekkinud küsimused ja jään ootama teie poolseid kommetnaare või veel toredam oleks kellagagi ajada 15 minutit juttu, et natuke selgemalt aru saada, millised RIA ootused rakendamise osas on.
Kui vaatan nt Artikkel 21 sõnastust:
Võttes arvesse kaasaegseid ning, kui see on kohaldatav, asjakohaseid Euroopa ja rahvusvahelisi standardeid ja rakendamiskulusid tagatakse esimeses lõigus osutatud meetmetega ähvardavale ohule vastav võrgu- ja infosüsteemide turvalisuse tase.
Olen veebist leidnud sellised:
Ära hoia kõiki teenuseid interneti teel kättesaadavana | RIA
Soovitused organisatsioonile küberintsidendi käsitlemisel | RIA
Soovitused elutähtsa/olulise teenuse osutajale | RIA
Küberintsidendist teavitamine | RIA
Nende meetmete proportsionaalsuse hindamisel võetakse igakülgselt arvesse üksuse riskidele avatuse määra, üksuse suurust ning intsidentide esinemise tõenäosust ja nende tõsidust, sealhulgas nende ühiskondlikku ja majanduslikku mõju.
|
riskianalüüsi ja infosüsteemide turbe põhimõtteid; |
|
b) |
intsidentide käsitlemist; |
|
c) |
talitluspidevust, näiteks varundushaldus ja avariitaaste, ning kriisiohjet; |
|
d) |
tarneahela turvalisust, sealhulgas sellised turvalisusesse puutuvad aspektid, mis on seotud iga üksuse ja tema otseste tarnijate või teenuseosutajate vaheliste suhetega; |
|
e) |
võrgu- ja infosüsteemide hankimise, arendamise ja hooldamise turvalisust, sealhulgas nõrkuste käsitlemine ja avalikustamine; |
|
f) |
tööpõhimõtteid ja menetluskorda küberturvalisuse riskijuhtimismeetmete tõhususe hindamiseks; |
|
g) |
küberhügieeni põhitavasid ja küberturvalisuse koolitust; |
|
h) |
krüptograafia ja, kui see on kohane, krüpteerimise kasutamise põhimõtteid ja menetlusi; |
|
i) |
personali turvalisust, juurdepääsukontrolli põhimõtteid ja varade haldust; |
|
j) |
kui see on kohane, mitmikautentimise või pidevautentimise lahenduste, turvalise hääl-, video- ja tekstiside ning turvaliste hädaolukorra sidesüsteemide kasutamist üksuses. |
Need suuresti väga üldised sõnastused ja ilma täpsemate suunisteta võib neid ka väga laialt tõlgendada.
Ühtepidi räägime lahendusest, kus sul lisaks L7 tulemüüridele, kaasaegsele antiiviirusele (edr toega) ja haldustööriistale (mida mis teeb seadmehaldus, varahaldust, monitooringut, helpdeski/piletisüsteemi jne) lisaks veel ka eraldi SIEM lahendust, mille ehitamise ja haldamise kulu kokku on märkimisväärsed. Eriti koos korraliste küberturbe seirete ja äritoimepidevuse/varunduse lahenduse/poliitiakte rakendamise testidega.
Teistpidi saad ehitada lahednuse, mis lihtsalt katab nõuded kuidagi ära. On mingi tulemüür, on mingi antivirus, mõlemast saab kuidagi logi kätte. Raporteerimine on ka olemas, sest kasutaja ütleb, kui midagi ei tööta ja protsessis on kirjas, et kasutaja ongi meie “monitooringu agent” ning muud riskid on aktsepteeritud jne.
Minu meelest on VÄGA ebamõistlik, et selle asemel, et oleks üks selge tõlgendamise ja rakendamise juhend, koos checklistiga kõigile kohuslastele peab käima mööda interneti avarusi tõlgendusi kokku otsimas ja ise direktiivi tõlgendamas, et aru saada, mida täpselt vaja on, kelle tõlgendus on kõige adekvaatsem jne. Ning siiski ei ole garantiid, et asjaks läheb, ei näita keegi näpuga ja ei ütle, et midagi on tegemata või tõlgendatud valesti.
Palun minu kirja mitte võtta ärritunud etteheitena (mida see ei ole), vaid pigem abi palvena nädalaid dokumentidesse uppunu poolt, kes lihtsalt soovib natuke lihtsust ja selgust ja on avatud sellele, et minu enda ignoratsuse taha on jäänud mingid asjad.
Heade soovidega | Kind regards,
Norman Ojasoo
Arendusjuht, BlueIT
+372 555 422 44