Küberturvalisus ei ole enam tehniline IT-küsimus, vaid strateegiline ärisk ja juriidiline kohustus, mille eest vastutab ettevõtte juhatus oma isikliku varaga.
Euroopa Liidu uus küberturvalisuse direktiiv NIS2 (Network and Information Security Directive) on toonud kaasa fundamentaalse nihke Eesti õigusruumis. Kui varem võis juhtkond delegeerida kogu vastutuse IT-osakonnale või välisele partnerile, siis nüüd on küberturbe juhtimine ja järelevalve otseselt ettevõtte tippjuhtkonna kohustus.
Miks see muudatus toimus?
Digitaalsed rünnakud ei sihi enam ainult servereid, vaid ettevõtte äriprotsesse. Tarneahelate ründamine on muutunud küberkurjategijate peamiseks meetodiks – rünnates ühte haavatavat lüli (nt väikeettevõttest tarnijat), saadakse ligipääs suurtele strateegilistele võrkudele. NIS2 eesmärk on tõsta kogu majandusruumi vastupidavust, muutes turvalisuse juhtimise standardiks.
Juhatuse hoolsuskohustus ja isiklik vastutus
Uue seaduse valguses peab juhatuse liige olema suuteline tõendama, et ta on rakendanud “asjakohaseid ja proportsionaalseid” meetmeid riskide maandamiseks. See tähendab:
- Aktiivne järelevalve: Juhtkond peab heaks kiitma küberturbe meetmed ja jälgima nende täitmist.
- Koolituskohustus: Juhatuse liikmed peavad läbima küberhügieeni ja riskijuhtimise koolitused, et mõista ohte, millele nad alla kirjutavad.
- Finantsiline ja mainerisk: Direktiiv näeb ette kopsakad trahvid (kuni 10 miljonit eurot või 2% aastasest käibest) ja teatud juhtudel ka juhtimiskeelu, kui turvanõudeid on rängalt eiratud.
Kuidas juht peaks käituma?
Juht ei pea olema IT-spetsialist, kuid ta peab esitama õigeid küsimusi. Kas meil on ülevaade oma digitaalsetest varadest? Millal viimati testiti meie varukoopiate taastamist? Kuidas on kaitstud meie tarneahel?Esimene samm on status quo kaardistamine. Sõltumatu küberturvalisuse audit on juhtkonna jaoks parim tööriist hoolsuskohustuse täitmiseks. See annab objektiivse raporti, mis on aluseks investeeringute planeerimisel ja seadusest tulenevate nõuete täitmisel.