Täielik NIS2 vastavusjuhend EL-i tehnoloogiaettevõtetele (2026)
NIS2 kehtib 160 000+ EL-i organisatsioonile ja trahvid ulatuvad 10 miljoni euroni või 2%-ni ülemaailmsest käibest. See juhend käsitleb kõike, mida EL-i tehnoloogiaettevõtted peavad teadma: ulatuse hindamine, 21 nõutavat turvameedet, 72-tunnine intsidentide teavitamine, DORA kattuvus ja praktiline kontrollnimekiri.
NIS2 direktiiv (EL 2022/2555) on EL-i küberturvalisuse õiguse kõige olulisem laiendamine alates 2016. aasta algse NIS direktiivi vastuvõtmisest. Liikmesriigid pidid selle riiklikku õigusesse üle võtma 17. oktoobriks 2024 — ja täitmistähtajad lähenevad kiiresti.
EL-i tehnoloogiaettevõtete jaoks ei ole see vaid formaalne vastavuskontroll. NIS2 muudab fundamentaalselt seda, mida 'piisav küberturvalisus' seaduses tähendab, tõstab latvi intsidentidest teavitamiseks, laiendab vastutust kõrgemale juhtkonnale ja on otseselt seotud DORA-ga (Digitaalse tegevuskerksuse seadus) finantssektoris tegutsevate organisatsioonide jaoks.
Kas NIS2 kehtib teie organisatsiooni suhtes?
NIS2 rakendub organisatsioonidele, mis tegutsevad ühes 18 kriitilisest sektorist JA vastavad suuruslävedele.
18 NIS2 sektorit
Väga kriitilised (I lisa): Energia, transport, pangandus, finantsturu infrastruktuurid, tervishoid, joogivesi, reovesi, digitaalne taristu (DNS, TLD registrid, pilv, andmekeskused, CDN, side), IKT teenusehaldus (B2B haldusteenused), avalik haldus, kosmos.
Muud kriitilised (II lisa): Posti- ja kulleriteenused, jäätmekäitlus, kemikaalide tootmine, toidutootmine, tootmine (meditsiiniseadmed, arvutid, elektroonika, masinad, sõidukid), digitaalteenuse pakkujad (veebikauplused, otsingumootorid, sotsiaalvõrgustikud), teadusorganisatsioonid.
Suurusläved
- Esmatähtsad üksused: 250+ töötajat VÕI 50M€+ käive JA 43M€+ bilansimaht, I lisa sektorites
- Olulised üksused: 50–249 töötajat VÕI 10M€–50M€ käive, I või II lisa sektorites
21 turvanõuet, mida NIS2 nõuab
Artikkel 21 kohustab vastavaid organisatsioone rakendama riskiproportsionaalseid tehnilisi ja korralduslikke meetmeid. Direktiiv määratleb 10 miinimumkategooriat; ENISA rakendamisjuhised ja Komisjoni Rakendusmäärus (EL) 2024/2690 laiendavad need üksikasjalikeks tehnilisteks nõueteks. Allpool on meie praktiline jaotus peamiste kontrollivaldkondade kohta, mis on organiseeritud artikli 21 kümne kategooria alla:
Riskijuhtimise poliitikad (1–3): Küberturvalisuse riskihinnang, infoturbepoliitika, varade inventuur.
Intsidentide lahendamine (4–6): Intsidentide lahendamise plaan, intsidentide klassifitseerimise kriteeriumid, äri järjepidevuse plaan.
Tarneahela turvalisus (7–9): Tarnija turvahindamised, lepingulised turvanõuded, tarkvara tarneahela turvalisus.
Juurdepääsukontroll ja autentimine (10–12): Privilegeeritud juurdepääsu haldamine (PAM), mitmefaktoriline autentimine (MFA), null-usaldusvõrgu poliitikad.
Krüptograafia ja andmekaitse (13–14): Krüpteerimine puhkeolekus ja edastuse ajal, võtmehalduse protseduurid.
Füüsiline turvalisus (15–16): Füüsilise juurdepääsu kontrollid, keskkonnajärelvalve.
Personali turvalisus (17–18): Turvateadlikkuse koolitus, taustakontrollid.
Haavatavuste haldamine (19–20): Haavatavuste haldamise programm, paigahaldus.
Turvamonitorings (21): Tsentraliseeritud logide kogumine, säilitamine (vähemalt 18 kuud) ja anomaaliate tuvastamine.
Intsidentide teavitamine: 72-tunnine tähtaeg
Tund 0–24: Varajane hoiatus — teavitage oma riiklikku NIS2 asutust, et oluline intsident on toimunud. Vajalik on minimaalne info — märkige, kas intsidenti kahtlustatakse pahatahtliku tegevusena ja kas sellel võib olla piiriülene mõju.
Tund 24–72: Ametlik teavitamine — esitage esialgne intsidendi raskusastme hinnang, kahtlustatav põhjus, mõjutatud süsteemid ja geograafiline ulatus.
Kuu 1: Lõpparuanne (kui intsident on lahendatud) või eduaruanne (kui jätkub) — ülevaade piiramise, mõju hindamise ja parandusmeetmete kohta.
Kuu 1 pärast lahendamist: Lõpparuanne (intsidentide puhul, mis olid ühe kuu möödudes veel käimas) — täielik tagantjärele analüüs, sealhulgas põhjus, ajakava, mõju hindamine ja ennetusmeetmed.
Eestis teavitage Riigi Infosüsteemi Ametit (RIA).
NIS2 ja DORA: Kattuvus
Finantssektori organisatsioonide jaoks (pangad, kindlustusseltsid, makseasutused) kehtib DORA (jõustus 17. jaanuaril 2025) koos NIS2-ga. DORA läheb kaugemale: nõuab ohupõhiseid läbistusteste (TLPT), üksikasjalikke lepingulisi sätteid IKT kolmandate osapooltega ja IKT lepingute registrit.
Kui pakute tehnoloogiateenuseid EL-i finantsasutustele, nõuavad teie kliendid teilt juba DORA-kohaseid lepingutingimusi. Ettevalmistamine on konkurentsieelis.
Trahvid
| Üksuse tüüp | Maksimaalne haldustrahv |
|---|---|
| Esmatähtsad üksused | 10 000 000 eurot või 2% ülemaailmsest aastakäibest (kumb on suurem) |
| Olulised üksused | 7 000 000 eurot või 1,4% ülemaailmsest aastakäibest |
Praktiline soovitus
Enamik tehnoloogiaettevõtteid on tehnilistele kontrollide osas nõuetele lähemal, kui nad arvavad. Puudulik on tavaliselt halduspool: juhatuse kinnitatud poliitika, dokumenteeritud riskihinnangud, formaalsed intsidentide lahendamise protseduurid testitud teavitamise tähtaegadega ja tarnija turvalepingud.
Alustage 2-päevase lõhede analüüsi töötupaga, et tuvastada teie praegune olukord artikkel 21 nõuete suhtes. Seejärel prioriseerige: kõigepealt intsidentide lahendamise võimekus, siis halduse dokumentatsioon, siis tarneahel.
Kui olete ebakindel NIS2 kohaldatavuse osas või ei tea, kust alustada, pakume tasuta esialgset skoopimiskonsultatsiooni.
NIS2 vastavus lühidalt
* Andmed EL Komisjoni NIS2 mõjuhinnangust ja ENISA 2025. aasta ohumaastiku aruandest.