Kas Euroopa on suurenenud küberrünnakute valguses piisavalt kaitstud?

Euroopa elutähtis taristu seisab silmitsi üha keerukamate ja kasvavate küberohtudega. 2022. aasta oktoobris halvati küberrünnaku tulemusel täielikult Taani raudteeliiklus, sel aastal tabas mitut Prantsusmaa ministeeriumi ulatuslik küberrünnak, põhjustades märkimisväärseid häireid töös. Kogu Euroopa seisab silmitsi kasvava küberrünnakute lainega, mis sihivad kriitilist taristut ja valitsusasutusi, kuid puutumata ei jää ka meie üksikisikud. Ka Eestis on meie kriitiline infrastruktuur aina haavatavam, eriti tänaste geopoliitiliste konfliktide taustal, kus oluline roll on just kübersõjal. Teemat avavad advokaat Hegle Pärna ja vandeadvokaat Merlin Liis-Toomela.

Küberturvalisusest ja seda puudutavatest õigusaktidest

Lisaks kriitilisele infrastruktuurile suunatud küberintsidentidele ei saa alahinnata ka teisi hiljutisi intsidente. RIA septembrikuu ülevaatest selgub, et septembris registreeriti 512 olulist küberintsidenti. See tähendab, et leidis aset vähemalt 512 intsidenti, mis olid olulise mõjuga infosüsteemi turvalisusele või teenuse toimepidevusele. Samuti on ilmnenud, et aastaga on intsidentide arv kasvanud pea 90 protsenti.

Kõik see toob selgelt esile küberrünnakute sagenemise ja tõsiduse käesoleval aastal ning eriti elutähtsa taristu ja erinevate oluliste valitsusasutuste vastu. Taolise hübriidsõja taktika kasutamine ja lunavararünnakute levik on muutnud riikliku julgeoleku ning avalike teenuste kaitsmise küberohtude eest veelgi keerulisemaks.

Suurenenud küberohtudega võitlemiseks võeti 2022. aasta novembris vastu uuendatud võrgu- ja infoturbe (NIS2) direktiiv, mis jõustus 16. jaanuaril 2023. Juba mitu aastat on olnud Euroopa Liidus kehtinud esimene küberturvalisuse direktiiv (NIS1 direktiiv), mille eesmärk oli edendada küberturvalisust ja tagada ühtsete nõuete olemasolu ELi siseselt. NIS1 direktiiv pani aluse mitmele olulisele kohustusele – alates riikliku küberturvalisuse strateegia loomisest kuni elutähtsate teenuste osutajatele kehtestatud nõueteni.

Ka kohaliku järelevalveasutuse (Eestis RIA) teavitamise kohustus olulistest küberintsidentidest pärineb just NIS1 direktiivist. Eesti võttis NIS1 direktiivi üle küberturvalisuse seaduse kaudu. Kuna NIS1 on suurenenud ohtude valguses jäänud ajale jalgu, on liikmesriigid pidanud nüüd enda küberturvalisuse õigusakte uuendama ja viima NIS2 direktiivi riiklikku õigusesse hiljemalt 17. oktoobriks 2024. Artikli kirjutamise hetkel ei ole NIS2 direktiivi ülevõtmise eelnõu Eestis veel avalikustatud.

Direktiivi ülevõtmisest

Alles hiljuti algatas Euroopa Komisjon Eesti suhtes rikkumismenetluse Euroopa Liidu õiguse rikkumisest teavitajate kaitset käsitleva direktiivi – tuntud ka kui vilepuhujate direktiivi – ülevõtmise ebaõnnestumise tõttu. Samuti algatati tänavu Eesti suhtes rikkumismenetluse elektri- ja elektroonikaseadmete jäätmete direktiivi nõuetekohase ülevõtmata jätmise tõttu. Kas sama saatus võib oodata NIS2 direktiivi ülevõtmisega viivitamise tõttu?

Eesti on olnud üsna eesrindlik esimese (NIS1) direktiivi ülevõtmisel. NIS1 direktiiv sätestas  miinimumlävendi, millele iga liikmesriik pidi vastama ja mida järgima direktiivi ülevõtmisel oma riigi õigusesse. Eesti on praegu kehtiva küberturvalisuse seaduse kaudu NIS1 kohustused üle võtnud laiemalt, kui direktiiv seda ette nägi. Selle tulemusel on mitmed NIS2 direktiivis sätestatud nõuded meil juba osaliselt täidetud. Sellest hoolimata ei saa aga ükski liikmesriik mööda vaadata ette nähtud direktiivi ülevõtmise tähtajast, s.o ajast, mil direktiivist tulenevad kohustused peaksid olema ka meie siseriiklikus õiguses. Erinevate meediakajastuste pinnalt saab järeldada, et eelnõu on siiski lähiajal tulemas.

Arvestades, millistel juhtudel on Euroopa Komisjon varasemalt rikkumismenetlusi algatanud ning arvestades Eesti eesrindlikkust NIS1 direktiivi ülevõtmisel, siis võib loota, et veel on varupuhvrit. Isegi, kui Euroopa Komisjon peaks alustama Eesti suhtes rikkumismenetluse NIS2-direktiivi hilinenud ülevõtmise tõttu, siis algab konkreetne menetlus reeglina liikmesriigilt kirjaliku arupärimise kirjaga. Sellisel kirjale vastamiseks on liikmesriigil reeglina aega kaks kuud.

Õigusraamistiku harmoniseerimisest

NIS1 direktiivi ülevõtmise praktika näitab, et erinevad riigid tõlgendavad ja rakendavad direktiivist tulenevaid nõudeid üsna erinevalt. Direktiiv seab miinimumstandardid ning paljud liikmesriigid ka sellest kaugemale ei lähe. Seetõttu võib, sarnaselt andmekaitse valdkonnale, tekkida olukord, kus tekib vajadus hoopis küberturvalisuse määruse järele, mis on liikmesriikidele otsekohalduv ning mida ei pea iga liikmesriik eraldi riigisisesse õigusesse üle võtma.

Ühe näitena NIS2 rakendamisest võib tuua Saksamaa, kes on laiendanud NIS2 direktiivis määratletud kriitilise taristu ulatust, lisades vesiniku infrastruktuuri ja digitaalse infrastruktuuri ning IKT teenuste halduse, mida NIS2 otseselt ei nimeta, kuid mida peetakse Saksamaa kontekstis kriitiliseks​. Saksamaa seadus seab rangemad juhtkonna vastutuse ja raporteerimisnõuded: küberintsidentidest tuleb teatada 24 tunni jooksul, uuendused esitada 72 tunni jooksul ning lõplik raport ühe kuu jooksul​. Ka Tšehhi ja Ungari on lisanud uusi kriitilisi sektoreid, nagu sõjatööstus ja ühistransport​. Horvaatia on laiendanud kohustusi ka mitteolulistele sektoritele, kuid ranged raporteerimise nõuded seal ei kehti.

Seega, vaadates kaugemale tulevikku, kui NIS2 rakendamisel esineb liikmesriikide vahel liiga suuri erinevusi, võib EL kaaluda määruse kasutamist ühtsuse tagamiseks. Sarnane lahendus tehti andmekaitse valdkonnas, kus direktiiv asendati 2016. aastal vastu võetud ning 2018. aastal jõustunud isikuandmete kaitse üldmäärusega (IKÜM). See muutus oli ajendatud vajadusest rohkem harmoniseeritud andmekaitse reeglite järele ühtsel turul. Seetõttu ei saa välistada, et Euroopa Komisjon võib küberturvalisuse standardite ühtse rakendamise tagamiseks kaaluda tulevikus küberturvalisuse määrust.

Direktiivide rakendamine ja tõlgendamine võib liikmesriikide vahel oluliselt erineda, mis võib vähendada nende tõhusust küberturvalisuse ühtse tagamise osas. Küberohtude kasvav keerukus ja rahvusvaheline ulatus nõuavad aga ühtsemat ja koordineeritumat lähenemist. Määrus oleks selles kontekstis parem lahendus, kuna see kehtiks automaatselt kõigis liikmesriikides, tagades ühtse rakendamise ja vähendades erinevustest tulenevaid riske. Määrus aitaks luua selgema ja tugevama raamistikku, mis suudaks paremini toime tulla kiirelt arenevate küberturvalisuse väljakutsetega.

Artikkel ilmus 17.10.2024 ERRis.