TRK 1140x140 ee gif
24.05.2018 Neljapäev

Jõustus küberturvalisuse nõudeid karmistav seadus

23. mail jõustus küberturvalisuse seadus, mille eesmärk on tugevdada ühiskonna jaoks määrava tähtsusega teenuste osutamisel ning riigi ja kohaliku omavalitsuse üksuste võrgu- ja infosüsteemide kaitset; riigikogu võttis seaduse vastu 9. mail.

Eesti on üks esimestest Euroopa riikidest, mis lõi täiesti uue küberturvalisuse seaduse, märkis ettevõtlus- ja infotehnoloogiaminister Urve Palo pressiteate vahendusel.

"Euroopa küberturvalisuse suuniseid üle võttes oli meil valida, kas minna kergemat või nõudlikumat teed pidi, otsustasime viimase kasuks. Tänu uue seaduse loomisele oleme ühemõtteliselt sätestanud küberturvalisuse tagamiseks vajalikud nõuded, samuti nende täitmise kontrollmehhanismi ja millised on tagajärjed, kui ollakse kohustuste täitmisel hooletud," lisas Palo.

Kaks nädalat tagasi riigikogus heakskiidu saanud küberturvalisuse seadusega kehtestab riik tugevamad nõuded ettevõtjatele ja riigiasutustele nii küberohtudeks valmistumiseks, infosüsteemide ja andmebaaside haldamiseks kui ka küberintsidentidest teavitamiseks.

Küberturvalisuse nõuete täitmist jälgib Eestis riigi infosüsteemi amet (RIA), seega teine peamine seadusega kaasnev muudatus puudutab just neid. "Meil ei ole mõtet kehtestada uusi nõudmisi, kui ei ole riigi poolt konkreetset vastutajat, kes nõustaks ja abistaks kohustuste täitmisel. Selleks vastutajaks on määratud riigi infosüsteemi amet, mis saab varasemast rohkem ülesandeid alates ettevõtjate ja riigiasutuste küberturvalisuse alasest nõustamisest kuni piiriülese koostöö korraldamiseni," sõnas Palo.

"Küberturvalisuse seadus loob iga Eesti elaniku jaoks suurema turvatunde, et ettevõtted ja riigiasutused peavad inimese andmete kaitsmisel võtma kasutusele tugevdatud turvameetmeid," ütles minister. Kõige otsesemalt toob uus seadus muudatusi teenusepakkujatele, mis osutavad elutähtsaid teenuseid, nagu elektriga varustamine, arstiabi või ID-kaardi isikutuvastuse tagamine. Seadus toob uusi kohustusi ka infrastruktuuri haldajatele, kes tegutsevad näiteks raudteede, sadamate või lennuväljade opereerimisega.

Oma klientide andmete küberturvalisuse tagamist peavad pingsamalt hakkama järgima ka kõik digitaalse teenuse osutajad, olgu selleks siis e-poed või ka otsingumootorid, kes meie küberruumis tegutseda soovivad.

Küberturvalisuse seaduste ühtlustamine erinevates Euroopa Liidu liikmesriikides aitab ka paremini teha koostööd rahvusvaheliste küberintsidentide lahendamisel. "Igal liikmesriigil ei ole tarvis ise kõike leiutada ja läbi proovida, palju mõistlikum on jagada kogemusi ja teha koostööd. Ühtlustatud seadusandluse najal on seda tunduvalt lihtsam teha," ütles Palo.

Avalikus sektoris laieneb kohustus rakendada infoturbemeetmeid ka näiteks meiliserveritele, failiserveritele ja dokumendihaldussüsteemidele. Seni on kehtinud kohustus rakendada õigusaktist tulenevaid turvameetmeid üksnes infosüsteemidele, mis on andmekogud avaliku teabe seaduse tähenduses. Seadusega ei nähta avalikule sektorile ette märkimisväärseid uusi kohustusi. Infosüsteemide turvalisuse tagamine on juba pikka aega osa IT-süsteemide arendusest ja haldusest.

Küberturvalisuse seadusega tehakse tervishoiuteenuste korraldamise seadusesse muudatus, mille tulemusena ühtlustatakse 2022. aastal perearstide poolt kasutatavate infosüsteemide turvanõudeid vältimaks näiteks isikuandmete lekkeid või andmete krüpteerimist lunavara rünnakute käigus. Samuti tehakse seadusega Eesti Rahvusringhäälingu (ERR) seadusesse muudatus, mille tulemusena on aastast 2022 ERR kohustatud tagama süsteemide turvalisuse, millega edastatakse informatsiooni elanikkonda või riiklust ohustavatest olukordadest.

Riigikogu võttis küberturvalisuse seaduse vastu 9. mail 79 poolthäälega. Sellega võeti üle Euroopa võrgu ja infoturbe direktiiv.

Euroopa Liidu eesmärkides tervikuna on küberturvalisuse valdkond üks prioriteetidest. Eesti küberturvalisuse seadus põhineb 2016. aastal Euroopa Liidus vastu võetud võrgu- ja infoturbe (NIS) direktiivil, mis tuli kõigil liikmesriikidel oma seadustikku üle võtta selle aasta maikuuks. Direktiivi eesmärk on liikmesriikide seadustikku ühtlustada ja küberintsidentide lahendamisel koostööd parandada.

Liituge meiega sotsiaalvõrgustikes