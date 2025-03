Direktiivi järgi jagatakse mõjutatud ettevõtted kahte kategooriasse: elutähtsad ja olulised üksused. Esimesse kuuluvad näiteks pangandus, tervishoid ja energeetikasektor, mille teenuste häiritus võib kaasa tuua laialdasi majanduslikke ja ühiskondlikke tagajärgi.

Teise rühma kuuluvad teenusepakkujad, kelle roll on samuti oluline, kuid kes ei ole nii otseselt elutähtsate süsteemide toimimisega seotud – näiteks domeeniregistripidajad ja pilveteenuste pakkujad. Sellesse rühma kuulub näiteks ka Zone.ee.

Nende kategooriate alla kuuluvad ainult need keskmise ja suure suurusega ettevõtted, mis tegutsevad sektorites, mis on määratletud direktiivi lisades I ja II. See tähendab, et kui üks ettevõte jääb tegevusala poolest nendest sektoritest väljapoole, siis NIS2 talle automaatselt ei laiene, isegi kui ta ületab suurusläve (50 töötajat ja 10 miljonit eurot käivet või bilansimahtu).

Mida ettevõtted peavad tegema?

ei sätesta konkreetseid standardeid. Näiteks kuigi või Ettevõtted, mis kuuluvad NIS2 reguleerimisalasse, peavad järgima mitmeid küberturvalisuse nõudeid. Direktiiv nõuab riskihindamise meetmete rakendamist ning infoturbe tugevdamist, kuid. Näiteks kuigi ISO/IEC 27001 Eesti Infoturbestandard (E-ITS) on tuntud ja sageli kasutatavad raamistikud, ei ole need NIS2 järgi kohustuslikud. Liikmesriigid võivad siiski oma seadusandluses teatud standardeid soovitada või isegi nõuda.

Lisaks kohustab direktiiv ettevõtteid määrama küberturvalisuse eest vastutava isiku, kehtestama selged protseduurid küberintsidentide haldamiseks, tagama juhtkonna teadlikkuse küberturvalisusest ja koolitama töötajaid ning reageerima kiiresti küberintsidentidele. Üks NIS2 võtmenõudeid on küberintsidentidest teavitamine. Kui ettevõte satub tõsise küberrünnaku alla, tuleb sellest kiiresti teavitada vastavat järelevalveasutust, Eestis Riigi Infosüsteemi Ametit (RIA). See aitab tagada, et rünnakutele reageeritakse kiiresti ning need ei jää varjatuks.

Domeeniregistripidajate ja muude digiteenuste osutajate jaoks on lisandumas ka täiendavad andmete kogumise ja haldamise nõuded, et vältida pahatahtlikke registreeringuid ning tagada teenuste suurem usaldusväärsus.

Maksimaalsed trahvid ja isiklik vastutus

NIS2 kehtestab selged sanktsioonid nendele ettevõtetele, kes ei täida küberturbenõudeid. Siinjuures on oluline täpsustus: trahvide määr sõltub sellest, kas ettevõte on elutähtis või oluline üksus. Elutähtsatele üksustele kehtivad maksimaalsed trahvid kuni 10 miljonit eurot või 2% ülemaailmsest aastakäibest (olenevalt sellest, kumb on suurem). Oluliste üksuste puhul on need summad väiksemad: kuni 7 miljonit eurot või 1,4% ülemaailmsest aastakäibest.

Seega ei ole 10 miljoni euro suurune trahv ühtlaselt rakendatav kõigile reguleeritavatele ettevõtetele. Direktiiv võimaldab ka juhtorganeid isiklikult vastutusele võtta, kui nad ei suuda tagada küberturvalisuse meetmete järgimist. Kuid oluline on märkida, et NIS2 ei sätesta konkreetseid isiklikke trahve eurodes. Varem meediast läbi käinud viiteid 2400-eurosele trahvile pärinevad tõenäoliselt Eesti õigusloome plaanidest ning ei ole otseselt EL-i tasemel paika pandud.