TIS2 – kas see teid mõjutab?
Kui Teie tegevus on seotud avalikkusele vajalike vajaduste tagamisega, siis Te kindlasti kuulute sellesse nimekirja. Pange tähele, et direktiivi subjektide nimekirja kuuluvad ettevõtted, mille aastane käive on üle 10 mln. EUR.
| Sektor | Klassifikatsioon | Näited |
|---|---|---|
|
Tervishoiu sektor
|
Oluline
|
Raviasutused, haiglate laborid
|
|
Digitaalne infrastruktuur
|
Oluline
|
Interneti, Cloud teenuse pakkujad
|
|
Transport
|
Oluline
|
Õhutranspordi kontroll, veetranspordi kontroll, raudteede infrastruktuur
|
|
Energeetika
|
Oluline
|
Elektro, gaasi, naftajuhtme tarnijad
|
|
Rahandus
|
Oluline
|
Bangal, krediidi asutused, investeerimisplatvormid
|
|
Digitaalsete teenuste pakkujad
|
Oluline
|
Veebipoodide platvormid internetis, Cloud teenusepakkujad
|
|
Avalik haldus
|
Oluline
|
Riigiteenused
|
|
Tootmine
|
Oluline
|
Ravimid, meditsiiniseadmed
|
|
Kosmiline ruum
|
Oluline
|
Satelliitoperaatorid
|
|
Toit
|
Oluline
|
Toidu tarne ahelad
|
|
Posti- ja kohaletoimetamisteenused
|
Oluline
|
Kulleriteenus
|
|
Kanalisatsioon ja jäätmete käitlemine
|
Oluline
|
Veepuhastus seadmed, jäätmete töötlemise teenused
|
|
Avaliku elektroonilise kommunikatsiooni teenuste pakkujad
|
Oluline
|
Elektronilised platvormid, kolokatsiooniteenused
|
|
Kriitiliste toodete tootmine
|
Oluline
|
Kriitilised toorained
|
Kuidas valmistuda / vastata TIS2?
MDP CLOUD pakubeb väljatöötatud, integreeritud ja tõhusaid lahendusi TIS2 vastavusele.
Korduma kippuvad küsimused TIS2 kohta
Mis on TIS2 direktiiv?
TIS2 direktiiv on EL õigusakt, mille eesmärk on parandada võrkude ja infotehnoloogiliste süsteemide turvalisust kogu Euroopa Liidus.
Millised on TIS2 põhivajadused?
Organisatsioonid peavad rakendama küberjulgeoleku meetmeid, teostama riskijuhtimist, tagama intsidentide haldamise ja intsidentidest teatamise, viima läbi regulaarseid turbeauditeid ning järgima rangeid tarneahela turvanõudeid.
Kuidas TIS2 erineb TIS1-st?
Võrreldes TIS1-ga, uue direktiivi versioon laiendab oluliselt ettevõtete ringi, kellele see kohaldub. Lisaks kriitiliste valdkondade laiendamisele on lisatud ka olulised valdkonnad. Direktiivi rakendamine nendele valdkondadele väljendub selles, et kriitiliste sektorite organisatsioonid peavad pidevalt esitama tõendeid oma küberjulgeoleku seisundi kohta, samas kui olulisi organisatsioone kontrollitakse õnnetuse korral.
Kriitilise sektori organisatsioonid on need, kellel on rohkem kui 250 töötajat ja aastased tulud ületavad 50 miljonit eurot; olulised organisatsioonid on need, kellel on vähem kui 50 töötajat ja aastased tulud kuni 10 miljonit eurot. Kriteeriumid võivad sõltuvalt sektorist erineda. Organisatsiooni võib pidada kriitiliseks sõltumata suurusest, kui see on ainus kriitilise teenuse pakkuja.
Lisaks mõjutab osa ettevõtteid kaudne mõju, kuna nad tegutsevad nende ettevõtete teenusepakkujatena (kolmandad osalised), kelle küberjulgeolekule keskendumist kontrollitakse samuti.
Millistele organisatsioonidele kehtib TIS2 direktiiv?
TIS2 kohaldatakse oluliste ja hädavajalike teenuste pakkujatele erinevates sektorites, sealhulgas energias, tervishoius, transpordis, rahanduses ja muudes kriitilistes infrastruktuurides.
Mis juhtub, kui te ei vasta TIS2 nõuetele pärast 2024. aasta 18. oktoobrit?
Ilma sobivate turvameetmeteta ei pääse te suurenenud küberrünnaku riskist. Sellised rünnakud võivad häirida teie tegevust ja/või kahjustada ettevõtte mainet.
Lisaks, kui õigeaegselt ei rakendata vajalikke muudatusi organisatsioonis, on oht trahvideks:
- Kriitiliste sektorite ettevõtetele ja organisatsioonidele võivad trahvid ulatuda kuni 10 000 000 Euroni või 2% eelmise aasta aastasest käibest (valitakse suurem rahasumma);
- Tähtsate sektorite ettevõtetele ja organisatsioonidele võivad trahvid ulatuda kuni 7 000 000 Euroni või 1,4% eelmise aasta aastasest käibest (valitakse suurem rahasumma).
Millal jõustub TIS2 direktiiv?
TIS2 direktiiv kinnitati 2022. aastal ja liikmesriigid peavad selle oma riigis õiguses rakendama enne 2024. aasta lõppu.
Kuidas TIS2 direktiiv mõjutab väikeseid ja keskmise suurusega ettevõtteid (VKE)?
Kuigi NIS2 on peamiselt suunatud olulistele ja hädavajalikele teenusepakkujatele, peavad teatud VKEd, eriti need, kes tegutsevad kriitilistes taristutes või kellel on suur mõju küberjulgeolekule, samuti järgima direktiivi nõudeid.
Kuidas TIS2 nõuded muudavad küberintsidentide teavitamise korda?
TIS2 kohaselt peavad organisatsioonid viivitamatult teatama kõikidest olulistest küberintsidentidest teatud ajavahemiku jooksul (tavaliselt 24-72 tunni jooksul), sealhulgas teabe intsidentide ulatuse ja võimaliku mõju kohta.
Kas TIS2 direktiiv kehtib ainult EL-i organisatsioonidele?
TIS2 direktiiv kehtib kõikidele organisatsioonidele, mis pakuvad ELis hädavajalikke teenuseid, olenemata sellest, kas nad on registreeritud ELis või väljaspool seda.
Kuidas TIS2 mõjutab tarneahela turvalisust?
TIS2 direktiiv kohustab organisatsioone hindama ja haldama tarneahela küberjulgeoleku riske, sealhulgas nõuet tagada, et nende tarnijad järgiksid sarnaseid julgeolekustandardeid.
Kuidas on TIS2 direktiiv seotud GDPR-iga?
Kuigi TIS2 ja GDPR direktiividel on erinevad eesmärgid (TIS2 on suunatud küberjulgeolekule, GDPR aga andmekaitsele), on need tihedalt seotud, kuna mõlemad nõuavad kõrgetasemelist kaitset ja õnnetustest teavitamist.
Mida organisatsioonid peaksid tegema, kui toimub küberintsident?
Organisatsioonid peavad viivitamatult teavitama asjakohaseid asutusi juhtumist, rakendama juhtumihaldusplaani ja võtma meetmeid mõju vähendamiseks ning sarnaste sündmuste tulevikus vältimiseks.
Kliendid
