Alates 1. jaanuarist 2026. kehtib Eestis uus küberturvalisuse seadus (KüTS), millega võeti üle Euroopa Liidu NIS2 direktiiv. See tähendab, et paljudel ettevõtetel ja organisatsioonidel tuleb oma küberturvalisuse korraldus üle vaadata ning viia see vastavusse uute nõuetega.

Lisaks on juba muudetud Hädaolukorra seadust (HOS), millega võeti üle CER ehk elutähtsa teenuse osutajate toimepidevuse suurendamise direktiivi nõuded.

Kui NIS2 ja KüTS keskenduvad eelkõige info- ja küberturbele, siis HOS/CER raamistik suunab elutähtsa teenuse osutajaid tagama laiemat toimepidevust – sh füüsilist turvalisust, tarneahelaid, personali kättesaadavust, kriisijuhtimist ning regulaarseid harjutusi.

KüTSi kohaldamisalasse kuuluvad teenuseosutajad peavad viima oma tegevuse ja kohustused seadusega kooskõlla kolme kuu jooksul vastavate sätete jõustumisest. Hea uudis on see, et seadus annab kuni kolmeaastase üleminekuperioodi – Sul on aega, aga mitte lõputult.

HOS/CER nõuete praktikas täitmine eeldab aga, et NIS2-ga tehtavad muudatused planeeritakse kohe koos toimepidevuse ja kriisijuhtimise lahendustega, mitte eraldiseisva küberprojektina.

------------------------------------------------------------------------------------------------------------------------------------------------------------------

Mis on uue küberturvalisuse seadusega muutunud? 

Kohaldamisala on oluliselt laienenud – küberturvalisuse seaduse muudatus puudutab RIA andmetel Eestis nüüd ligi 6500 ettevõtet. Lisaks kriitilisele taristule hõlmab seadus ka mitmeid ettevõtteid, keda varem ei peetud küberturvalisuse kõrgendatud tähelepanu all olevaks.

Kui nad vastavad kindlatele suuruskriteeriumidele, siis on nende seas näiteks:
▸ lennu- ja raudteesektor
▸ elektri- ja kaugkütteettevõtted
▸ sadamad
▸ krediidiasutused ja pilveteenuse pakkujad
▸ haiglad
▸ postiteenuse osutajad
▸ toidukäitlemisettevõtted 

HOSi ja CER-direktiivi vaates on fookuses eeskätt elutähtsa teenuse osutajad – näiteks energia-, vee- ja transpordiettevõtted, side- ja tervishoiuasutused, suuremad omavalitsused ning muud teenuseosutajad, kelle katkestus mõjutab otseselt ühiskonna toimimist.

------------------------------------------------------------------------------------------------------------------------------------------------------------------

Kas sinu organisatsioon on üks neist?

See ongi suur küsimus. Paljud organisatsioonid pole veel kindlad, kas NIS2 neile rakendub ning see on arusaadav – regulatsioon on uus ja oluliselt laiema ulatusega.

Seminar on mõeldud ettevõtete ja organisatsioonide juhtidele, juristidele, vastavusvaldkonna spetsialistidele, riskijuhtidele ning küberturvalisuse eest vastutajatele. Seminaril osalemine on tasuta, kuid kohtade arv on piiratud.

Kohtumiseni seminaril!

Ivar Anton, IT auditi valdkonna juht, KPMG Baltics OÜ

Virgo Riispapp, digi valdkonna juht, KPMG Baltics OÜ