Tagasi avalehele
NIS2 — I lisa (oluline sektor)

NIS2 vastavus pangandus- ja finantssektoris

Pangandus- ja finantsteenuste pakkujad kuuluvad NIS2 direktiivi I lisa oluliste üksuste hulka. See tähendab kõrgeimat vastavustaseme nõuet, rangemaid trahve ja otsest järelevalvet. Eesti krediidiasutused, makseteenuste pakkujad ja investeerimisühingud peavad tagama täieliku vastavuse.

Kes on hõlmatud?

NIS2 direktiiv hõlmab pangandussektoris krediidiasutusi (pangad), makseteenuste pakkujaid, e-raha asutusi, investeerimisühinguid ja finantsturu infrastruktuuri operaatoreid. Eestis reguleerib sektorit Finantsinspektsioon koostöös RIA-ga. Alla 50 töötajaga mikroettevõtted võivad olla erandiks, kuid kriitilist teenust pakkuvad asutused on alati hõlmatud.

Peamised nõuded pangandussektorile

  • Riskihindamine ja infoturbehalduse süsteemi (ISMS) rakendamine vastavalt NIS2 artiklile 21
  • Intsidentidest teavitamine 24 tunni jooksul RIA-le ja 72 tunni jooksul täielik aruanne
  • Tarneahela turvalisuse tagamine, sealhulgas kolmandate osapoolte IT-teenuse pakkujate hindamine
  • Äritegevuse jätkuvuse plaanid ja katastroofitaaste protseduurid kriitiliste pangateenuste jaoks
  • Krüptograafia ja andmekaitse meetmed vastavalt panganduse eristandarditele
  • Küberturvalisuse koolitusprogramm kõikidele töötajatele, sealhulgas juhtkonnale
  • Juurdepääsuhaldus ja mitmefaktoriline autentimine kriitiliste süsteemide jaoks
  • Regulaarne turvatestmine, sealhulgas penetratsioonitestimine ja haavatavuste hindamine

Trahvid ja sanktsioonid

Pangandussektor kuulub NIS2 oluliste üksuste kategooriasse. Maksimaalne trahv on kuni 10 miljonit eurot või 2% ülemaailmsest aastakäibest (olenevalt kumb on suurem). Lisaks NIS2-le kehtivad pangandussektorile ka DORA (Digital Operational Resilience Act) nõuded, mis loovad täiendava küberturvalisuse raamistiku finantsasutustele.

Ajakava

NIS2 direktiiv jõustus 16. jaanuaril 2023 ja liikmesriikide ülevõtmise tähtaeg oli 17. oktoober 2024. Eestis on küberturvalisuse seaduse muudatused jõustunud. Pangandusasutused peavad tagama vastavuse viivitamatult. DORA kohaldub alates 17. jaanuarist 2025.

Vastavuse kontrollnimekiri

  1. 1Viia läbi NIS2 lünkade analüüs praeguste turvameetmete hindamiseks
  2. 2Uuenda intsidentidele reageerimise plaani vastavalt NIS2 teavitamisnõuetele
  3. 3Rakenda tarneahela turvalisuse hindamise protsess kõikidele IT-tarnijatele
  4. 4Koosta äritegevuse jätkuvuse plaan kriitiliste pangateenuste jaoks
  5. 5Kehtesta juhtkonna küberturvalisuse koolitusprogramm
  6. 6Testi intsidentidele reageerimise plaani regulaarselt läbi küberõppuste
  7. 7Dokumenteeri kõik turvameetmed ja protseduurid auditeerimiseks
  8. 8Koordineeri NIS2 ja DORA vastavuse nõuded ühtseks raamistikuks

Seotud ressursid

NIS2 küberturvalisuse teenus

Vastavuse tagamine ja audit

NIS2 valmisoleku hindamine

Tasuta interaktiivne tööriist

NIS2 vastavuse juhend

Põhjalik blogiartikkel

IT konsultatsioon

Arhitektuur ja turvaaudit

NIS2 teistes sektorites

EnergeetikaTervishoidDigitaristuTransportVeevarustusTootmineKeemia

Hinda oma pangandusasutuse NIS2 valmisolekut

Kasuta meie tasuta NIS2 valmisoleku hindamise tööriista, et saada kohene ülevaade oma organisatsiooni vastavusest.

Hinda valmisolekut