Eesti valitsuse neljapäeval heaks kiidetud määrus, mis sündis justiits- ja digiministeeriumi koostöös, vabastab hulga väikeettevõtteid, perearstikeskusi ja kohalike omavalitsuste asutusi kohustusest järgida täies mahus karmi ja ressursinõudlikku Eesti infoturbestandardit (E-ITS) või selle rahvusvahelist analoogi ISO/IEC 27001.

Muudatuse eesmärk on tuua selgust ja mõistlikkust küberturvalisuse maastikule. Selle asemel, et sundida kõiki ehitama Fort Knoxi kindlust, pakutakse välja selge ja jõukohane miinimumtase – omamoodi küberhügieeni aabits –, mis aitab end kaitsta levinumate ohtude, nagu andmepüügi, andmehõive ja lunavararünnakute vastu.

Justiits- ja digiminister Liisa Pakosta sõnul on tegemist olulise kergendusega just neile, kelle jaoks iga euro ja töötund on arvel: "Muudatus leevendab eelkõige mikro- ja väikeettevõtjate, perearstide ning kohaliku omavalitsuse hallatavate asutuste küberturvalisusega seonduvat töö- või halduskoormust."

Kes saavad kergendatult hingata?

Alates 1. oktoobrist, mil määrus jõustub, ei pea enam täismahus infoturbestandardeid rakendama alla 50 töötajaga organisatsioonid, kelle aastakäive või bilansimaht jääb alla 10 miljoni euro. 

Nende hulka kuuluvad:

• mikro- ja väikeettevõtted
• kohalike omavalitsuste hallatavad asutused (v.a üldhariduskoolid)
• riigimuuseumid
• kohalike omavalitsuste üksuste liidud.

Ministeeriumi riikliku küberturvalisuse talituse juhataja Taavi Viilukas rõhutab, et uued esmased turvameetmed ei asenda E-ITSi, mis jääb endiselt kuldstandardiks suurematele ja küpsematele organisatsioonidele: "Esmaste turvameetmete eesmärk on pakkuda selget ja jõukohast miinimumtaset, mis sobib ka oma küberturvalisuse tõstmiseks ja hoidmiseks väiksematele organisatsioonidele."

Lisaks teeb määrus olulise muudatuse ka haridusmaastikul, kaotades riigile kuuluvatel põhikoolidel ja gümnaasiumitel kohustuse tellida kulukas E-ITSi audit. Sellega võrdsustatakse nende staatus munitsipaalkoolidega, kellel sellist kohustust varemgi polnud. Auditi peavad koolid siiski tegema juhul, kui nad on mõne olulise andmekogu vastutavad või volitatud töötlejad.

RIA jääb vahipostile

Kuigi nõuete rihma lastakse lõdvemale, ei jäeta kedagi küberohtude ookeanil üksinda triivima. Riigi Infosüsteemi Amet (RIA) jätkab kõigi ettevõtete ja asutuste nõustajana ning abistajana.

RIA riigi infoturbe meetme osakonna juhataja Rain Ojastu sõnul on nende siht muuta küberturvalisus arusaadavaks ja teostatavaks ka kõige väiksematele tegijatele. Ta võrdleb seda igapäevase ohutusega: nii nagu kõik ei pea olema insenerid, et kinnitada turvavööd, ei pea ka väikeettevõtja olema kübergeenius, et rakendada elementaarseid kaitsemeetmeid.

"Turvalisus ei pea olema koormav kohustus, vaid loomulik osa igapäevasest tööst. Omaltpoolt kindlasti nõustame ja toetame praktiliste juhistega, et ükski perearst, kool ega väikeettevõte ei jääks üksi oma küberturvalisuse tagamisel,“ ütles Ojastu.

Kokkuvõttes ei tähenda muudatus riikliku küberturvalisuse taseme langetamist, vaid nõuete proportsionaalsemaks ja riskipõhisemaks muutmist. Need, kes on juba ehitanud endale tugeva küberkindluse, võivad rahulikult jätkata – nende tegevuses ei muutu midagi. Need, kes seni tundsid, et nõuete koorem on liiga suur, saavad nüüd alustada jõukohasemalt tasemelt.