Mida tähendab Saksamaa uus IT-turvalisuse seadus Eesti IT-ettevõtetele?

25.11.2021

Saksamaa ettevõtteid ning riigi avalikku digitaristut on viimasel ajal tabanud mitmed küberrünnakud, mis sunnib Saksamaad jõuliselt reguleerima küberjulgeolekuvaldkonda. Käesoleva aasta maikuus vastu võetud uus IT-turvalisuse seadus seab suurema fookuse riskide ennetamisele ning seeläbi on avanemas uus turusegment, kus Eesti küberturvalisusega tegelevatel ettevõtetel võib olla arvestatavaid eeliseid.

2015. aastal vastu võetud IT-julgeoleku tagamise seaduse edasiarendusena vastu võetud IT-Sicherheitsgesetz 2.0 jõustus 28. mail 2021 ning see puudutab eelkõige kolme Saksamaa ettevõtete gruppi:

  • elutähtsate infrastruktuuride operaatorid (KRITIS) sellistes sektorites nagu tervishoid, energia, vesi ja kanalisatsioon, transport ja logistika, IT ja telekommunikatsioon, toiduainetööstus, finants- ja kindlustusvaldkond ning samuti jäätmekäitlus. Sellesse nimistusse hakkab edaspidi kuuluma 1870 Saksa ettevõtet;
  • erilistes avalikes huvides tegutsevad ettevõtted, näiteks relvatööstuses tegutsevad ettevõtted ja tähtsate IT-komponentide tootjad;
  • Saksa majanduse jaoks olulise tähtsusega ettevõtted (suurimat lisandväärtust tootvad ettevõtted) ja nende tarnijad.

Nendele gruppidele kehtestatakse mitmeid täiendavaid IT-turvalisusega seotud kohustusi, näiteks peavad elutähtsate taristute operaatorid täitma isikuandmete töötlemisel karmimaid eeskirju. Kriitilise tähtsusega IT-komponente kasutavatele ettevõtetele on kavas kehtestada miinimumstandardid ning kasutatavad komponendid tuleb eelnevalt sertifitseerida, nõudes tootjatelt tõendeid toodete turvalisuse kohta. Seejuures peab kontrollile alluma kogu tarneahel, nagu ette nähtud ISO/IEC 27001 tarnijaauditis.

ISO/IEC 27001 avab ning selle puudumine sulgeb uksi

Järelevalvet nende protsesside üle teostab Saksamaa riiklik küberjulgeolekuamet BSI (Bundesamt für Sicherheit in der Informationstechnik). Ainsate eranditena on loetelust välistatud ettevõtted, mis annavad tööd vähem kui 50 töötajale ja mille aastakäive ei ületa 10 miljonit eurot.

Uut küberturbedirektiivi on välja töötamas ka Euroopa Liit, asendamaks eelmist NIS 2 direktiivi (EL) 2016/11481. Selle ja Saksamaal juba vastu võetud seaduse valguses muutub IT-toodete ja süsteemide sertifitseerimine üha tähtsamaks. Alusstandardiks IT-valdkonnas on kujunemas sertifikaat ISO/IEC 27001, mille abil saavad oma juhtimissüsteemide turvalisust tõendada erinevad organisatsioonid erinevatest riikidest. Saksamaal koordineerib IT-turbe sertifitseerimist BSI ning IT-turvalisust hinnatakse rahvusvaheliste standardite, näiteks CC (Common Criteria) alusel.

Eesti ettevõtjate tähelepanekuid Saksamaa küberjulgeolekust

Eesti ja Saksamaa ühiseid huve küberjulgeolekut puudutavatel teemadel saavad kõige paremini kommenteerida valdkonnas tegutsevad ettevõtted. Helmes on teinud Saksa turu suunal tööd juba pikki aastaid ning ettevõtte esindajad külastavad Saksamaal toimuvaid üritusi regulaarselt. Sel sügisel külastas EASi ekspordinõunike kutsel Nürnbergis toimunud IT-SA IT Security messi Eesti küberjulgeolekuettevõtte CybExer Technologies esindaja, kes kohtus mitmete Saksa suurettevõtetega. Münchenis asutatud tehnoloogiakontsern Rohde & Schwarz tegutseb Eestis juba 1995. aastast, tootes ja müües elektroonilisi kapitalikaupu siinsetele tööstus- ja avaliku sektori klientidele.

CybExer Technologies äriarenduse ja rahvusvaheliste suhete juhi Kristiina Omri sõnul jäi Nürnbergi IT-julgeoleku messilt meelde sakslaste mure, et sealses erasektoris on üldine teadlikkus küberturvalisusega seotud riskidest veel liiga madal, vaatamata asjaolule, et Saksamaa digiassotsiatsiooni BITKOMi poolt korraldatud uuringu kohaselt oli 88 protsenti küsitletud ettevõtetest langenud viimase aasta jooksul ühel või teisel moel küberrünnaku ohvriks. “Isegi, kui teadlikkus on kasvanud, jõutakse süsteemse ennetuseni liiga aeglaselt. Samas on viimasel ajal Saksamaal just avaliku sektori toel loodud mitmeid võrgustikke tööstusettevõtete ja küberturbega tegelevate ettevõtete ühe laua taha toomiseks, eesmärgiga suurendada koostööd ning pakkuda ka rahalist toetust pilootprojektideks,” sedastab Kristiina.

Eesti ühisstend Medica messil Düsseldorfis Saksamaal käesoleva aasta novembris.
Autor: Constanze Tillmann

Kõik kolm ettevõtet peavad Saksa turul oma lahenduste või teenuste pakkumisel väga oluliseks sertifikaadi ISO/IEC 27001 olemasolu. Helmese partner Tarmo Kiivit nendib, et sakslased on tuntud korraarmastajad ning seetõttu on Helmesel vastav sertifikaat olemas, sest see aitab kliendi usaldust võita. “Seda enam, et seoses digitaliseerimisega tekib juurde väga palju andmeid, mille turvalisuse tagamine on järjest olulisem, sest just need ongi küberruumis kurikaelade sihtmärgiks,” märgib Tarmo. Sertifikaati on Helmeselt nõutud ka Euroopa Liidu agentuuride hangetes.

Kristiina CybExerist kinnitab, et Saksa turul on kõikvõimalikud sertifikaadid ja kvalifikatsiooni tõendavad dokumendid igal juhul olulised, sest moodustavad olulise osa sealsest ärikultuurist. “Sama kehtib ka IT-valdkonna kohta ning avalikes hangetes on vastavad nõudmised alati ära toodud. Lisaks ISO-le leidub Saksamaal ka riiklikke standardeid. Vastavust kõigile esitatud nõudmistele ei eelda ainuüksi seadus, vaid sageli aitab see ka usaldust luua,” rõhutab ka Kristiina usalduse olulisust. Samas kui pakutav lahendus on kliendi jaoks piisavalt huvipakkuv ning ettevõtte varasemad kogemused äratavad usaldust, võib standardile vastavust tõestada ka ilma sertifikaadita.

Rohde & Schwarz GmbH & Co müügijuht Silver Andre (fotol) usub, et ISO/UEC 27001 sertifikaat ongi muutumas parimate tavadega teabeturbe normiks. “Selle omamine on üha enam pakkumise tegemise või lepingu uuendamise minimaalseks kriteeriumiks. Vastavus standardile võib Saksamaa turul olla otsustava tähtsusega ülioluliste pakkumiste võitmisel või kaotamisel.“

Täna Saksamaal, homme Euroopa Liidus

Kuigi Euroopa Liit on välja töötamas uusi IT-julgeolekut puudutavaid eeskirju, jääb liikmesriikidele õigus kehtestada ka täiendavaid regulatsioone. Seega peaksid ettevõtjad lisaks Euroopa Liidu tasemel toimuvaga kursis püsimisele pöörama tähelepanu ka neid huvitavate sihtturgude õigusruumile. See on üks valdkond, kus EAS saab suuremat rolli kanda, arvab ka Tarmo Kiivit Helmesest. “Euroopa Liidu tasemel toimuvaga peab iga ühenduses tegutsev IT-ettevõtja tahes-tahtmata kursis olema. Küll aga annaks Eesti ettevõtjatele lisaväärtust info, kuidas ja mida sakslased ise kavatsevad teha, et Eesti IT ettevõtted saaksid olla õigel ajal kohal.” Kristiina Omri sõnul võib Saksamaa suurust ning olulisust arvestades nii mõnigi kord nende siseriiklikult võetud suund kajada peagi vastu ka Brüsselist, seega tasub Saksamaal toimuvat tähelepanelikult jälgida.

Lisainfo saamiseks Saksamaa turul toimuvate suurte seadusemuudatuste või sealsete ärivõimaluste kohta võta meiega ühendust.

Tiina Kivikas
Ekspordinõunik Saksamaal
E-post: tiina.kivikas@eas.ee
Leana Kammertöns
Ekspordinõunik Saksamaal
E-post: leana.kammertons@eas.ee

Projekti kaasrahastatakse Euroopa Liidu Regionaalarengu Fondist.

X