Täielik NIS2 vastavusjuhend EL-i tehnoloogiaettevõtetele (2026)

NIS2 direktiiv (EL 2022/2555) on EL-i küberturvalisuse õiguse kõige olulisem laiendamine alates 2016. aasta algse NIS direktiivi vastuvõtmisest. Liikmesriigid pidid selle riiklikku õigusesse üle võtma 17. oktoobriks 2024 — ja täitmistähtajad lähenevad kiiresti.

EL-i tehnoloogiaettevõtete jaoks ei ole see vaid formaalne vastavuskontroll. NIS2 muudab fundamentaalselt seda, mida 'piisav küberturvalisus' seaduses tähendab, tõstab latvi intsidentidest teavitamiseks, laiendab vastutust kõrgemale juhtkonnale ja on otseselt seotud DORA-ga (Digitaalse tegevuskerksuse seadus) finantssektoris tegutsevate organisatsioonide jaoks.

Kas NIS2 kehtib teie organisatsiooni suhtes?

NIS2 tutvustas laiemat ja täpsemat ulatuse mudelit kui selle eelkäija. Organisatsioonid on kaasatud, kui nad tegutsevad ühes 18 kriitilisest sektoritest JA vastavad suuruse piirmääradele.

18 NIS2 sektorit

Väga kriitilised (I lisa):

• Energia (elekter, nafta, gaas, vesinik)
• Transport (õhk, raudtee, vesi, maantee)
• Pangandus
• Finantsturu infrastruktuurid
• Tervishoid (haiglad, laborid, farmaatsia R&D)
• Joogivesi
• Reovesi
• Digitaalne taristu (DNS, TLD registrid, IXP-d, pilv, andmekeskused, CDN, elektrooniline side)
• IKT teenusehaldus (B2B hallatavad teenused, hallatavad turvateenused)
• Avalik haldus
• Kosmos

Muud kriitilised (II lisa):

• Posti- ja kulleriteenused
• Jäätmekäitlus
• Kemikaalide tootmine ja jaotamine
• Toidutootmine ja jaotamine
• Tootmine (meditsiiniseadmed, arvutid, elektroonika, masinad, mootorsõidukid)
• Digitaalteenuste pakkujad (veebiturud, otsingumootorid, sotsiaalvõrgustikud)
• Teadusorganisatsioonid

Suurusläved

Organisatsioonidel on NIS2 kohustused, kui nad on:

• Esmatähtsad üksused: 250+ töötajat VÕI 50M€+ käive JA 43M€+ bilansimaht, I lisa sektorites
• Olulised üksused: 50–249 töötajat VÕI 10M€–50M€ käive, I või II lisa sektorites

Erandid (kehtib olenemata suurusest):

• DNS-teenuse pakkujad
• TLD registrid
• Kvalifitseeritud usaldusteenuse osutajad
• Riiklikud CSIRT-määratud organisatsioonid
• Ettevõtted, mida liikmesriik on tuvastanud kriitilisena

Tehnoloogiaettevõtte test

Tehnoloogiaettevõtete jaoks on võtmeküsimuseks see, kas teie põhitegevus kuulub IKT teenuste haldamise (hallatavad teenused, hallatavad turvateenused) või digitaalse infrastruktuuri (pilv, andmekeskus, CDN-teenused) valdkonda. Kui pakute IT-väljastust, hallatavaid turvaoperatsioone või pilveteenuseid kriitiliste sektorite ettevõtetele – kuulute suure tõenäosusega seaduse reguleerimisalasse.

SaaS-ettevõtted, mis teenindavad selliseid sektoreid nagu pangandus, tervishoid või energeetika, võivad olla reguleeritud IKT-teenuse pakkujatena isegi siis, kui nad ei kuulu ise kriitilise sektori alla.

21 turvanõuet, mida NIS2 nõuab

Artikkel 21 kohustab vastavaid organisatsioone rakendama riskiproportsionaalseid tehnilisi ja korralduslikke meetmeid. Direktiiv määratleb 10 miinimumkategooriat; ENISA rakendamisjuhised ja Komisjoni Rakendusmäärus (EL) 2024/2690 laiendavad need üksikasjalikeks tehnilisteks nõueteks. Allpool on meie praktiline jaotus peamiste kontrollivaldkondade kohta, mis on organiseeritud artikli 21 kümne kategooria alla:

1. kategooria: Riskide juhtimise poliitika

1. Küberturbe riskide hindamine – Dokumenteeritud iga-aastane riskianalüüs, mis hõlmab varasid, ohte, haavatavusi ja leevendusi
2. Infoturbe poliitika – Juhatuse poolt heaks kiidetud poliitika, milles on määratletud rollid, kohustused ja läbivaatamise tsükkel
3. Varade inventuur – Täielik riistvara, tarkvara ja andmevarade register koos omanike ja kriitilisuse klassifikatsioonidega

2. kategooria: Intsidentide lahendamine

4. Intsidentidele reageerimise plaan – Dokumenteeritud menetlused avastamiseks, piiramiseks, likvideerimiseks, taastamiseks ja intsidentide järgseks ülevaatamiseks
5. Intsidentide klassifitseerimise kriteeriumid – Määratletud künnised 'oluliste intsidentide' jaoks, mis käivitavad NIS2 aruandekohustuse
6. Talitluspidevuse plaan – Testitud kord, mis tagab tegevuse jätkumise olulise intsidendi ajal

3. kategooria: Tarneahela turvalisus

7. Tarnijate turvalisuse hindamised – Teie süsteemidele juurdepääsu omavate tarnijate turvalisuse hindamise hoolsusprotsess
8. Lepingulised turvanõuded – Tarnijate ja kolmandate osapoolte lepingute turvaklauslid
9. Tarkvara tarneahela turvalisus – Tarkvaraarenduse ja uuendamismehhanismide turvalisust tagavad meetmed

4. kategooria: Juurdepääsu kontroll ja autentimine

10. Eriõigustega juurdepääsu haldus (PAM) – Kriitilistele süsteemidele laiendatud juurdepääsukontrollid
11. Mitmeteguriline autentimine (MFA) – MFA kasutamine on kohustuslik igasuguse administratiivse ja kaugligipääsu puhul
12. Null-usaldusväärse võrgu poliitika (Zero Trust) – Võrgusegmentatsioon takistab rünnakute laienemist kriitiliste süsteemide vahel

5. kategooria: Krüptograafia ja andmekaitse

13. Krüpteering kasutuses ja puhkeolekus – Tundlike andmete krüpteerimisstandardite rakendamine
14. Võtmete haldamise protseduurid – Krüptograafiliste võtmete loomise, salvestamise, roteerimise ja hävitamise protsessid

6. kategooria: Füüsiline ja keskkonna turvalisus

15. Füüsilise juurdepääsu kontrollid – Andmekeskuse ja serveriruumi juurdepääsu reeglid
16. Keskkonnaseire – Kontrollid keskkonnaohtude (infrastruktuuri purustamine, temperatuur, üleujutus) vastu

7. kategooria: Personaliturvalisus

17. Turvateadlikkuse koolitus – Iga-aastane turvakoolitus kõigile töötajatele; spetsiifiline koolitus IT- ja turvapersonalile
18. Taustakontroll – Taustakontroll töötajatele, kellel on juurdepääs kriitilistele süsteemidele (eeldab eelnevat kooskõlastust HR osakonnaga)

8. kategooria: Haavatavuste haldamine

19. Haavatavuste haldamise programm – Haavatavuste tuvastamise, prioriseerimise ja likvideerimise protsessid
20. Paikade haldamine – Turvapaikade rakendamise täpsed tähtajad (kriitiline: 72 tundi; oluline: 14 päeva; keskmine: 30 päeva)

9. kategooria: Turvaseire

21. Turvaseire ja logimine – Keskhallatav logide kogumine, säilitamine (vähemalt 18 kuud) ja kõrvalekallete tuvastamine

Intsidentide teavitamine: 72-tunnine tähtaeg

NIS2 tutvustab rangeid, mitmeetapilisi intsidendi aruandekohustusi oluliste intsidentide korral (st intsidentide kohta, mis mõjutavad oluliselt teenuse osutamist).

Mis loetakse 'oluliseks intsidendiks'?

Intsidenti peetakse oluliseks, kui see:

• Põhjustab teenuste tõsiseid tõrgeid ja katkestusi
• Toodab ettevõttele märkimisväärset majanduslikku kahju
• On mõjutanud või võib mõjutada teisi isikuid (kliente, tarnijaid)
• Toob kaasa volitamata juurdepääsu võrgu- ja infosüsteemidele

Tund 0–24: Varajane hoiatus — teavitage oma riiklikku NIS2 asutust, et oluline intsident on toimunud. Vajalik on minimaalne info — märkige, kas intsidenti kahtlustatakse pahatahtliku tegevusena ja kas sellel võib olla piiriülene mõju.

Tund 24–72: Ametlik teavitamine — esitage esialgne intsidendi raskusastme hinnang, kahtlustatav põhjus, mõjutatud süsteemid ja geograafiline ulatus ning ülevaade intsidendi piiriülesest mõjust.

Kuu 1: Lõpparuanne (kui intsident on lahendatud) või eduaruanne (kui jätkub) — ülevaade piiramise, mõju hindamise ja parandusmeetmete kohta.

Kuu 1 pärast lahendamist: Lõpparuanne (intsidentide puhul, mis olid ühe kuu möödudes veel käimas) — täielik tagantjärele analüüs, sealhulgas põhjus, ajakava, mõju hindamine, teostatud parandusmeetmed ja lisaprobleemide vältimiseks võetud sammud.

Kellele aru anda

Teatage oma siseriiklikule NIS2 asutusele. Eestis teavitage Riigi Infosüsteemi Ametit (RIA). Organisatsioonide puhul, kes tegutsevad mitmes ELi liikmesriigis, teatage organisatsiooni asutamiskoha asutusele ja vajaduse korral ka mõjutatud liikmesriikide asutustele.

NIS2 ja DORA: Kattuvus

Finantssektori organisatsioonide jaoks (pangad, kindlustusseltsid, makseasutused, krüptovara teenusepakkujad, investeerimisfondid) kehtib DORA (Digitaalse tegevuskerksuse seadus – jõustus 17. jaanuaril 2025) koos NIS2-ga.

Kus nad ühtivad

Mõlemad raamistikud nõuavad:

• IKT riskijuhtimise eeskirjade ja protseduuride juurutamist
• Äri jätkusuutlikkuse ja katastroofitaaste testimist
• Intsidentide klassifitseerimist ja aruandlust
• Kolmandate isikute IKT riskihaldust

DORA lisab veelgi enam

DORA kehtestab finantsasutustele ka täpselt määratletud ja detailsemad kohustused:

• Ohtudepõhine sissetungitestimine (TLPT) — Suuremad finantsettevõtted peavad kord kolme aasta jooksul korraldama TLPT-d, mis vastavad TIBER-EU spetsifikatsioonidele.
• Lepingulised nõuded IKT kolmandatele isikutele — Täpsed ja ranged turvaklauslid, mis käsitlevad näiteks väljumisstrateegiaid, auditi õigusi, lepingupoole ja allhankijate vastutust jm.
• IKT kolmandate osapoolte ja nendega sõlmitud lepingute register — Täpse registri loomine ja säilitamine kohustuslike partnerilepingute osas.
• Digitaalse tegevuskerksuse testimine — IKT-süsteemide igapäevane ja iga-aastane testimine; süsteemide olulisel muutmisel põhjalik ülevaatus.

Praktiline mõju

Kui pakute tehnoloogia- või tugiteenuseid Euroopa Liidu finantsasutustele, peate olema teadlikud, et teie kliendid võivad nõuda seoses varalise huviga teie DORA-kõlbeliste nõuete täitmist. Seetõttu tuleb valmis olla nii turvaaruanneteks, spetsiifilisteks küsimustike ringideks, sissetungitestimiseks ja rangeks andmeturbepoliitikate ülevaatuseks.

Juhtkonna vastutus NIS2 raamistikus

Siinkohal erineb NIS2 märkimisväärselt varasematest küberturbe määrustest: juhtorgani liikmete isiklik vastutus.

Artikkel 20 nõuab, et tegevusse kuuluvate organisatsioonide juhtorganid (juhatused, täitevmeeskonnad):

• Kiidavad heaks organisatsiooni küberturvalisuse riskijuhtimismeetmed
• Osalevad regulaarselt küberturvalisuse koolitustel
• Jälgivad aktiivselt artikli 21 meetmete rakendamist

Artikkel 32 võimaldab riiklikel asutustel võtta juhtorgani üksikliikmeid isiklikult vastutusele rikkumiste eest, sealhulgas:

• Juhtimisfunktsioonide täitmise ajutised keelud
• Avalikud avaldused, milles tuvastatakse vastutavad isikud ja rikkumise olemus

Kõlbulikes organisatsioonides töötavate CISO-de ja CTO-de jaoks tähendab see, et vastutus ei tule pelgalt organisatsioonilises, vaid otseselt ka isiklikus vormis.

Trahvid

Üksuse tüüp	Maksimaalne haldustrahv
Esmatähtsad üksused	10 000 000 eurot või 2% ülemaailmsest aastakäibest (kumb on suurem)
Olulised üksused	7 000 000 eurot või 1,4% ülemaailmsest aastakäibest (kumb on suurem)

Riiklikel asutustel on seadusjärgselt lubatud kohaldada muu hulgas:

• Kohapealseid kontrolle ja väliseid auditeid
• Skaneerimiste ja sissetungitestimise tellimusi
• Nõudeid tõendada nõuetele vastavust ettevõttesiseste andmetega
• Kohustuslikke nõudeid puuduste kõrvaldamiseks kindlaks tähtajaks

Sinu NIS2 valmisoleku kontrollnimekiri

Kasutage järgnevat kontrollnimekirja, et hinnata oma ettevõtte valmisolekut.

Reguleerimisala ja juhtimine

• Kinnitatud, kas teie organisatsioon on kaasatud (sektori + suuruse ja ärianalüüsi põhjal)
• Määratletud siseriiklik asutus ja vajadusel registreeritud
• Juhatust on teavitatud NIS2 nõuetest ja isiklikust vastutusest
• Turvapoliitikad on juhatuse kinnitatud, asjakohaselt ajastatud
• CISO või võrreldav kompetentne roll on integreeritud vahetu aruandlusega juhatusele

Tehniline turvalisus

• Varade aruandlus on täielik (riistvara, tarkvara ja andmevarade põhine)
• Dokumenteeritud riskihinnang asjakohase tähtajaga
• Keelustatud reeglite kontroll ja teabe autentimine, sh multifaktoriline (MFA) valideerimine
• Võrgusegmentatsiooni turvameetmed prioriteetsete protsesside osas kaitstuna
• Andmete kaitse nii süsteemide sisemisel säilitamisel kui transpordil
• Haavatavuste operatiivne ja efektiivne hindamise programm rakendatud
• Konfigureeritud üleilmne tsentraliseeritud logisüsteem asjakohaste andmetalletusaegadega (18+ kuud)
• Turvapaikade paigaldamise operatiivne plaan rakendatud

Intsidentidele reageerimine

• Intsidentide plaanid koostatud, auditeeritud ja tegevuses rakendatavuse tõendamisega (Tabletop exercise)
• Intsidentide ulatus klassifitseeritud ja künniste määratlemised vastavalt 'olulisele' intsidendile varustatud
• 24- ja 72-tunniste algoritmiliste häiresüsteemide olemasolu turvahoiatuste koheseks deklareerimiseks
• Aruandluse edastamise suunised RIA asjakohasele ja õiguslikult kompetentsele süsteemiosale sisendatud
• Äritegevuse järjekindluse protsess defineeritud

Tarneahel ja ohutuse hindamine

• Lepingupoolte turva-auditeerimise teostatud poliitika olemasolu
• Välisel partneril põhinevad riskikontrollid dokumenteeritud partnerluse baasilt (olulistel lepingupartneritel)
• Tarkvaratarneahela ohte on auditeeritud ja varundusplaan arendatud

Inimesed

• Kohustuslike koolitusstsenaariumide defineerimise protsess tagatud iga-aastaselt töötajatele
• Küberturbe riskidega haakuvatele turva-spetsialistidele erakoolitused korraldatud
• Taustakontrolliteostuse praktilisuse arendus prioriteetsete rollidega töötavatele meeskonnaliikmetele

NIS2 tegelikkus tehnoloogiaettevõtete jaoks

Oleme viimase aasta jooksul teinud korduvat NIS2 vastavuse analüüse tehnoloogiaettevõtete jaoks ja märganud regulaarseid mustreid.

Enamik tehnoloogiaettevõtteid on tehnilistele kontrollide osas nõuetele lähemal, kui nad arvavad. Arendusmeeskonnad, kes jälgivad modersneid DevSecOps suuniseid – CI/CD turvaväravatega, skriptimisel baseeruv taristu, andmete kesksel asukohal salvestamine ja logikeskne lähenemine – need spetsiifikad vastavad oma tegevustelt suuresti tehnilistele nõuetele.

See, mis kipub puudulikuks osutuma, on pigem administratiivne lünk - juhtkonna poolt allkirjastatud dokumendid, selgelt sõnastatud intsidendimenetlus, reguleeritud ja nõuetepärane logistika teenusepakkuja lepingu ning tegevusprotsesside baasil.

Alustage 2-päevase lõheanalüüsi töötoaga, et tuvastada teie praegune olukord artikli 21 nõuete suhtes. Seejärel prioriseerige: kõigepealt intsidentide lahendamise võimekus, siis halduse dokumentatsioon, siis tarneahel.

Kui olete ebakindel NIS2 kohaldatavuse osas või ei tea, kust alustada, pakume tasuta esialgset skoopimiskonsultatsiooni.