BLRT hoiatab: kui uue küberseaduse täitmisega viivitad, võib see valusalt kätte maksta

Kõige suurem risk kaasneb äritegevusega. Seaduse täitmisega viivitamine võib kaela tuua ka kopsaka trahvi. Kuid mõjusid on veelgi. Näiteks ei saa sertifikaadita teatud pakkumistes osaleda ja kui teisedki seaduse subjektid lõpuks ärkavad, ei pruugi enam olla vabu nõustajaid ja spetsialiste, selgub saatest “Kasvukursil”.

Kui oma süsteemide ülevaatamisega alustada liiga hilja, ei pruugi ettevõte kolmeaastase üleminekuaja sisse lihtsalt ära mahtuda.

See aga nõuab arvestatavaid investeeringuid, rääkis Trautmann. Kuigi BLRT ei ole kõiki rahanumbreid täpselt kokku löönud, hindas ta ainuüksi sertifikaadi maksumust kümnetes tuhandetes eurodes.

Samas tõdes ta, et tulevikus ei saaks nad ilma selleta osaleda rahvusvahelistel hangetel. Ka välispartnerid, kes on praegu leppinud sellega, et BLRT kasutab meetmeid küberohutuse tagamiseks, kuid ette pole näidata sertifikaati, ei pruugi ühel päeval sellega rahulduda.

KüTS kohustab hindama ka oma partnerite küberturbe taset. Trautmann rääkis, et kolm aastat tagasi püüdis kurjategija just partneri kaudu nende süsteemidesse sisse tulla. Õnneks see ei läinud läbi, sest neil olid juba selleks ajaks vastavad tarkvarad kasutusele võetud.

Lisaks ei kasuta BLRT püsivaid VPN-ühendusi partneritega. Tootmisseadmete tarkvara uuendamisel peavad hooldajad kohal käima, sest seadmed on võrgust isoleeritud. “See risk, et keegi kodus köögilaua tagant ligi saab su asjadele, ei ole väärt seda mugavust,” põhjendas ta.

Kuigi seadus annab uutele subjektidele süsteemide vastavusse viimiseks ja vajalike auditite või sertifikaatide saamiseks kolmeaastase üleminekuaja, on ekspertide hinnangul viimasel hetkel alustamine äärmiselt riskantne.

Grant Thornton Balticu infoturbe valdkonnajuhi Artti Astoni sõnul võtab infoturbe juhtimissüsteemi rakendamine minimaalselt pool aastat ning selleks, et saada tõendit või sertifikaati, peab see süsteem ka tegelikult töötama umbes pool aastat. “Ehk aasta läheb kindlasti aega, kui sa võtad selle kohe ette,” tõi ta välja.

Advokaadibüroo Widen partner Henri Ratnik selgitas, et seadus tugineb Euroopa Liidu NIS2 direktiivile ja on kirjutatud hästi detailselt, et vältida hilisemaid vaidlusi. See aga tähendab ristviitamist teistele määrustele ja registritele.

“Ideaalses maailmas peaksid olema seadused sellised, et kõik saavad neist aru. Päris elus see nii ei ole,” nentis Ratnik ja lisas, et kõigi viidete seadusesse sissekirjutamine tähendanuks 20 paragrahvi asemel 120 paragrahvi pikkust lohet.

Kõige suurem peavalu tekib klassifikaatoritega, selgitas Aston. Näiteks on seaduses kirjas viis tootmisharu, aga ka mujal liigitamata masinate ja seadmete tootjad, mis tähendab, et nimekiri on tegelikult pikem. Kuna kogu list on spetsiifiline ja hõlmab arvutitest kuni laevade, õhusõidukite ja isegi jalgratasteni, võivad paljud ettevõtted olla seaduse subjektid, ilma et nad seda ise teadvustaksid, rääkis ta.

Seda probleemi toovad asjatundjad saates korduvalt välja – need, kes seadust peavad täitma hakkama, ei ole kohustusest teadlikud. Märtsi lõpuks pidid need, keda seadus puudutab, endast RIA-le märku andma, kuid Ratnik usub, et paljud ei ole seda teinud.

Miks peab aga iga ettevõte vaatama peeglisse ja palkama kallid nõustajad, et aru saada, kas ta on subjekt? Miks ei võiks seda neile öelda järelevalveorgan nagu RIA? Nii tehakse näiteks Leedus. Ratniku sõnul tahame me samal ajal ka õhukest riiki ja kahte korraga ei saa.