← Tagasi avalehele
NIS2 Juhend
NIS2 Eestis — täielik juhend
NIS2 on Euroopa Liidu küberturvalisuse direktiiv, mis toob kaasa suurimad muutused ettevõtete infoturbenõuetes viimase kümne aasta jooksul. Kui teil pole aega 30-leheküljelist direktiiviteksti lugeda, olete õiges kohas. Selles juhendis selgitan teile kõige olulisema — ausalt, praktiliselt ja ilma asjatu keerukuseta.
Sisukord
- Mis on NIS2 ja miks see on oluline?
- Kas NIS2 kehtib teie ettevõttele?
- Mida NIS2 nõuab? 10 põhinõuet
- Juhtkonna vastutus — see osa, mida enamik ei tea
- NIS2 ajakava Eestis (Seisuga Juuni 2026)
- Kuidas NIS2-ks valmistuda? Praktiline tegevuskava
- NIS2 vs ISO 27001 — mis vahe on?
- Kokkuvõte — mida teha täna?
Mis on NIS2 ja miks see on oluline?
NIS2 (Network and Information Security Directive 2) on ELi direktiiv, mis asendab 2016. aasta NIS1 direktiivi. Eesmärk on tõsta küberturvalisuse taset kogu Euroopas — eriti sektorites, millest sõltub ühiskonna toimimine.
NIS1 puudutas vaid suurimaid operaatoreid. NIS2 laiendab kohaldamisala märkimisväärselt: üle 160 000 ettevõtte ELis tuleb vastavusse viia. Eestis puudutab see arvestuslikult tuhandeid organisatsioone.
Miks see just praegu oluline on? Küberrünnakute arv Eesti ettevõtete vastu on kasvanud igal aastal. RIA aastaaruanne dokumenteeris rekordarvu intsidente. NIS2 ei ole bürokraatlik tüütus — see on vastus reaalsele ohupildile.
NIS1 puudutas vaid suurimaid operaatoreid. NIS2 laiendab kohaldamisala märkimisväärselt: üle 160 000 ettevõtte ELis tuleb vastavusse viia. Eestis puudutab see arvestuslikult tuhandeid organisatsioone.
Miks see just praegu oluline on? Küberrünnakute arv Eesti ettevõtete vastu on kasvanud igal aastal. RIA aastaaruanne dokumenteeris rekordarvu intsidente. NIS2 ei ole bürokraatlik tüütus — see on vastus reaalsele ohupildile.
Kas NIS2 kehtib teie ettevõttele?
See on esimene küsimus, mida kõik küsivad. Vastus sõltub kahest asjast: sektorist ja suurusest.
Sektorid, millele NIS2 kohaldub:
Kõrge kriitilisusega sektorid (Annex I): energia, transport, pangandus, finantsturutaristu, tervishoid, joogivesi, reovesi, digitaristu (sh pilve- ja andmekeskused, internetivahetusteenused), IKT-teenuste haldus, kosmosesektor, avalik haldus.
Muud kriitilised sektorid (Annex II): post- ja kulleriteenused, jäätmekäitlus, kemikaalid, toiduaine, digitaalteenused (veebipõhised turud, otsingumootorid, sotsiaalvõrgustikud), tootmine (meditsiiniseadmed, arvutid, transport, elektroonikatehnikatarbed).
Suuruse kriteerium:
- Oluline ettevõte: 50–249 töötajat VÕI käive 10–50 mln € — NIS2 kohaldub
- Oluline suurettevõte: 250+ töötajat VÕI käive üle 50 mln € — NIS2 kohaldub rangemalt
- Mikroettevõte (<10 töötajat, <2 mln €): üldjuhul välja jäetud
- Erand: väiksemad ettevõtted võivad olla hõlmatud, kui nad on ainuke teenusepakkuja kriitilises sektoris
Praktiline rusikareegel: kui teie ettevõte pakub IT-, turva-, pilveteenuseid või tegutseb allhankijana suurematele organisatsioonidele — kontrollige üle, isegi kui te ametlikult alla suuruse piirmäära jääte. NIS2 laiendab nõudeid ka tarneahelale.
Sektorid, millele NIS2 kohaldub:
Kõrge kriitilisusega sektorid (Annex I): energia, transport, pangandus, finantsturutaristu, tervishoid, joogivesi, reovesi, digitaristu (sh pilve- ja andmekeskused, internetivahetusteenused), IKT-teenuste haldus, kosmosesektor, avalik haldus.
Muud kriitilised sektorid (Annex II): post- ja kulleriteenused, jäätmekäitlus, kemikaalid, toiduaine, digitaalteenused (veebipõhised turud, otsingumootorid, sotsiaalvõrgustikud), tootmine (meditsiiniseadmed, arvutid, transport, elektroonikatehnikatarbed).
Suuruse kriteerium:
- Oluline ettevõte: 50–249 töötajat VÕI käive 10–50 mln € — NIS2 kohaldub
- Oluline suurettevõte: 250+ töötajat VÕI käive üle 50 mln € — NIS2 kohaldub rangemalt
- Mikroettevõte (<10 töötajat, <2 mln €): üldjuhul välja jäetud
- Erand: väiksemad ettevõtted võivad olla hõlmatud, kui nad on ainuke teenusepakkuja kriitilises sektoris
Praktiline rusikareegel: kui teie ettevõte pakub IT-, turva-, pilveteenuseid või tegutseb allhankijana suurematele organisatsioonidele — kontrollige üle, isegi kui te ametlikult alla suuruse piirmäära jääte. NIS2 laiendab nõudeid ka tarneahelale.
Mida NIS2 nõuab? 10 põhinõuet
NIS2 artikkel 21 sätestab kümme kohustuslikku meetmete kategooriat. Siin on need lahti seletatult:
1. Küberriskide haldamise poliitika
Teil peab olema kirjalik riskijuhtimisraamistik. See ei pea olema 200-leheküljeline dokument — oluline on, et otsused oleksid dokumenteeritud ja regulaarselt üle vaadatud.
2. Intsidentide käitlemine
Peate suutma olulisi intsidente tuvastada, neile reageerida ja teatada. Tähtajad on karmid: esialgne teade 24 tunni jooksul, vahepealne aruanne 72 tunni jooksul, lõpparuanne 30 päeva jooksul.
3. Äritegevuse järjepidevus
BCP (Business Continuity Plan) ja DRP (Disaster Recovery Plan) peavad olemas olema ja testitud.
4. Tarneahela turvalisus
Teil tuleb hinnata oma tarnijate turvalisust. Kui teie pilveteenus või IT-partner saab rünnaku — peate selleks valmis olema.
5. Võrkude ja infosüsteemide turvalisus
Haavatavuste haldamine, paikamine, turvamine. Korralik varade inventuur.
6. Küberturvalisuse koolitus
Nii töötajad kui juhtkond peavad saama korrapärast koolitust. Juhtkonna koolitus on eraldi rõhutatud — NIS2 paneb isikliku vastutuse juhile.
7. Krüptograafia ja krüpteerimine
Tundlikud andmed peavad olema krüpteeritud nii edastamisel kui säilitamisel.
8. Juurdepääsukontroll ja identiteedihaldus
MFA (mitmefaktoriline autentimine) kõigis kriitilistes süsteemides. Vähimate privileegide põhimõte.
9. Turvalisus tarkvara arenduses
Kui arendate ise tarkvara — DevSecOps põhimõtted peavad olema rakendatud.
10. Küberturvalisus omandamisel
Uusi IT-lahendusi ostes peate hindama turvalisust ostuotsuse osana.
1. Küberriskide haldamise poliitika
Teil peab olema kirjalik riskijuhtimisraamistik. See ei pea olema 200-leheküljeline dokument — oluline on, et otsused oleksid dokumenteeritud ja regulaarselt üle vaadatud.
2. Intsidentide käitlemine
Peate suutma olulisi intsidente tuvastada, neile reageerida ja teatada. Tähtajad on karmid: esialgne teade 24 tunni jooksul, vahepealne aruanne 72 tunni jooksul, lõpparuanne 30 päeva jooksul.
3. Äritegevuse järjepidevus
BCP (Business Continuity Plan) ja DRP (Disaster Recovery Plan) peavad olemas olema ja testitud.
4. Tarneahela turvalisus
Teil tuleb hinnata oma tarnijate turvalisust. Kui teie pilveteenus või IT-partner saab rünnaku — peate selleks valmis olema.
5. Võrkude ja infosüsteemide turvalisus
Haavatavuste haldamine, paikamine, turvamine. Korralik varade inventuur.
6. Küberturvalisuse koolitus
Nii töötajad kui juhtkond peavad saama korrapärast koolitust. Juhtkonna koolitus on eraldi rõhutatud — NIS2 paneb isikliku vastutuse juhile.
7. Krüptograafia ja krüpteerimine
Tundlikud andmed peavad olema krüpteeritud nii edastamisel kui säilitamisel.
8. Juurdepääsukontroll ja identiteedihaldus
MFA (mitmefaktoriline autentimine) kõigis kriitilistes süsteemides. Vähimate privileegide põhimõte.
9. Turvalisus tarkvara arenduses
Kui arendate ise tarkvara — DevSecOps põhimõtted peavad olema rakendatud.
10. Küberturvalisus omandamisel
Uusi IT-lahendusi ostes peate hindama turvalisust ostuotsuse osana.
Juhtkonna vastutus — see osa, mida enamik ei tea
NIS2 on esimene ELi küberturvalisuse direktiiv, mis paneb otsese isikliku vastutuse juhtkonnale. See ei ole väike detail.
Direktiiv sätestab, et juhid peavad:
- Omama piisavaid teadmisi küberturvalisusest (või läbima koolituse)
- Kinnitama küberriskide haldamise meetmed
- Isiklikult vastutama vastavuse eest
Sanktsioonid: oluliste ettevõtete puhul võib trahv ulatuda 10 miljoni euroni või 2%-ni ülemaailmsest käibest (kumb on suurem). Suurettevõtete puhul kuni 20 miljonit eurot või 4% käibest. Lisaks on võimalik juhi isiklik diskvalifitseerimine.
Ehk teisisõnu: "meie IT-osakond ei rääkinud mulle" ei ole enam piisav vastus.
Direktiiv sätestab, et juhid peavad:
- Omama piisavaid teadmisi küberturvalisusest (või läbima koolituse)
- Kinnitama küberriskide haldamise meetmed
- Isiklikult vastutama vastavuse eest
Sanktsioonid: oluliste ettevõtete puhul võib trahv ulatuda 10 miljoni euroni või 2%-ni ülemaailmsest käibest (kumb on suurem). Suurettevõtete puhul kuni 20 miljonit eurot või 4% käibest. Lisaks on võimalik juhi isiklik diskvalifitseerimine.
Ehk teisisõnu: "meie IT-osakond ei rääkinud mulle" ei ole enam piisav vastus.
NIS2 ajakava Eestis (Seisuga Juuni 2026)
Eesti on NIS2 direktiivi siseriiklikku õigusesse ülevõtmisega jäänud ametlikult hiljaks.
Kuna oleme praegu 2026. aasta juunis, on õiguslik ja poliitiline surve Eesti riigile haripunktis.
Kuidas me siia jõudsime:
- Oktoober 2024: Möödus EL-i NIS2 direktiivi ametlik ülevõtmise tähtaeg.
- Veebruar 2025: Euroopa Komisjon alustas Eesti suhtes ametlikku rikkumismenetlust.
- Mai 2025: Komisjon saatis Eestile põhjendatud arvamuse direktiivi mitteülevõtmise kohta.
- Juuni 2026 (Praegu): Eesti riik on endiselt rikkumismenetluses, sest seaduseandja pole lõplikku rakendusseadust suutnud Riigikogus vastu võtta. Euroopa Kohtusse hagi esitamise risk on igapäevane reaalne oht.
Mida see tähendab teie ettevõttele?
Seaduse viibimine ei tähenda, et nõudeid eirata võiks. Rahvusvahelised kliendid ja EL-i hanked nõuavad NIS2 vastavust juba praegu, hoolimata sellest, et Eesti siseriiklik seadus viibib. Kui seadus lõpuks lähikuudel vastu võetakse, ei anta Eesti ettevõtetele tõenäoliselt pikka üleminekuaega (tavapärase 12 kuu asemel võib see olla oluliselt lühem, kuna algne EL-i tähtaeg on ammu möödas).
Praktiline nõuanne: Ärge oodake Riigikogu hääletust. NIS2 sisulised nõuded (Artikkel 21 riskijuhtimismeetmed) on kivisse raiutud ja ei muutu. Ettevõtted, kes tegelevad oma lünkade kaardistamisega täna, saavad seda teha mõistliku eelarvega. Need, kes ootavad seaduse väljakuulutamist, seisavad silmitsi turvakonsultantide defitsiidi ja kordades kõrgemate hindadega.
Kuidas me siia jõudsime:
- Oktoober 2024: Möödus EL-i NIS2 direktiivi ametlik ülevõtmise tähtaeg.
- Veebruar 2025: Euroopa Komisjon alustas Eesti suhtes ametlikku rikkumismenetlust.
- Mai 2025: Komisjon saatis Eestile põhjendatud arvamuse direktiivi mitteülevõtmise kohta.
- Juuni 2026 (Praegu): Eesti riik on endiselt rikkumismenetluses, sest seaduseandja pole lõplikku rakendusseadust suutnud Riigikogus vastu võtta. Euroopa Kohtusse hagi esitamise risk on igapäevane reaalne oht.
Mida see tähendab teie ettevõttele?
Seaduse viibimine ei tähenda, et nõudeid eirata võiks. Rahvusvahelised kliendid ja EL-i hanked nõuavad NIS2 vastavust juba praegu, hoolimata sellest, et Eesti siseriiklik seadus viibib. Kui seadus lõpuks lähikuudel vastu võetakse, ei anta Eesti ettevõtetele tõenäoliselt pikka üleminekuaega (tavapärase 12 kuu asemel võib see olla oluliselt lühem, kuna algne EL-i tähtaeg on ammu möödas).
Praktiline nõuanne: Ärge oodake Riigikogu hääletust. NIS2 sisulised nõuded (Artikkel 21 riskijuhtimismeetmed) on kivisse raiutud ja ei muutu. Ettevõtted, kes tegelevad oma lünkade kaardistamisega täna, saavad seda teha mõistliku eelarvega. Need, kes ootavad seaduse väljakuulutamist, seisavad silmitsi turvakonsultantide defitsiidi ja kordades kõrgemate hindadega.
Kuidas NIS2-ks valmistuda? Praktiline tegevuskava
Siin on see, mida soovitan oma klientidele:
1. samm — Hinnake kohaldatavust (1 päev)
Tehke kindlaks, kas NIS2 teile kohaldub. Vaadake sektori ja suuruse kriteeriumid üle. Kahtluse korral kontrollige — parem teada praegu kui hiljem.
2. samm — Lünkade analüüs / gap analysis (1–2 nädalat)
Võrrelge olemasolevat olukorda NIS2 nõuetega. Kus on lüngad? See on kõige olulisem samm — ilma selleta ei tea te, kust alustada.
3. samm — Prioritiseerige ja planeerige (1 nädal)
Kõike ei pea korraga tegema. Alustage kõrge riskiga lünkadest — enamasti on need intsidentide käitlemine, MFA ja tarneahela riskide hindamine.
4. samm — Rakendage meetmed (2–4 kuud)
Dokumenteerige poliitikad, juurutage tehnilised meetmed, koolitge juhtkond ja töötajad.
5. samm — Testige ja parandage (pidev)
NIS2 ei ole ühekordselt täidetav linnuke — see on pidev protsess. Planeerige regulaarsed ülevaated ja testid.
Mitu kuud kulub? Hästi ettevalmistatud ettevõttele, kus on olemas põhimõtteline turvakultuur — 3 kuud. Nullist alustades — 6–9 kuud. Meie kogemus näitab, et realistlik siht on 6 kuud, kui töö tehakse järjepidevalt.
1. samm — Hinnake kohaldatavust (1 päev)
Tehke kindlaks, kas NIS2 teile kohaldub. Vaadake sektori ja suuruse kriteeriumid üle. Kahtluse korral kontrollige — parem teada praegu kui hiljem.
2. samm — Lünkade analüüs / gap analysis (1–2 nädalat)
Võrrelge olemasolevat olukorda NIS2 nõuetega. Kus on lüngad? See on kõige olulisem samm — ilma selleta ei tea te, kust alustada.
3. samm — Prioritiseerige ja planeerige (1 nädal)
Kõike ei pea korraga tegema. Alustage kõrge riskiga lünkadest — enamasti on need intsidentide käitlemine, MFA ja tarneahela riskide hindamine.
4. samm — Rakendage meetmed (2–4 kuud)
Dokumenteerige poliitikad, juurutage tehnilised meetmed, koolitge juhtkond ja töötajad.
5. samm — Testige ja parandage (pidev)
NIS2 ei ole ühekordselt täidetav linnuke — see on pidev protsess. Planeerige regulaarsed ülevaated ja testid.
Mitu kuud kulub? Hästi ettevalmistatud ettevõttele, kus on olemas põhimõtteline turvakultuur — 3 kuud. Nullist alustades — 6–9 kuud. Meie kogemus näitab, et realistlik siht on 6 kuud, kui töö tehakse järjepidevalt.
NIS2 vs ISO 27001 — mis vahe on?
See on küsimus, mida kuulen sageli. Lühike vastus: need täiendavad teineteist.
NIS2 on seaduslik kohustus — vastavus on nõutav, mittevastamisel on sanktsioonid. See määrab mida peate tegema, kuid ei ütle alati täpselt kuidas.
ISO 27001 on rahvusvaheline standard, mis annab teile struktureeritud kuidas. ISO 27001 sertifikaat ei taga automaatselt NIS2 vastavust, kuid kui teil on ISO 27001 sertifikaat, on NIS2 vastavus märkimisväärselt lihtsam saavutada.
Praktiline soovitus: kui kaalute ISO 27001 sertifitseerimist — alustage NIS2 vastavusest. See on kiirem ja odavam, ning loob hea aluse hilisemaks sertifitseerimiseks. Kui olete juba ISO 27001 sertifitseeritud — peate oma ISMS-i NIS2 nõuetega vastavusse viima, kuid suur osa tööst on juba tehtud.
NIS2 on seaduslik kohustus — vastavus on nõutav, mittevastamisel on sanktsioonid. See määrab mida peate tegema, kuid ei ütle alati täpselt kuidas.
ISO 27001 on rahvusvaheline standard, mis annab teile struktureeritud kuidas. ISO 27001 sertifikaat ei taga automaatselt NIS2 vastavust, kuid kui teil on ISO 27001 sertifikaat, on NIS2 vastavus märkimisväärselt lihtsam saavutada.
Praktiline soovitus: kui kaalute ISO 27001 sertifitseerimist — alustage NIS2 vastavusest. See on kiirem ja odavam, ning loob hea aluse hilisemaks sertifitseerimiseks. Kui olete juba ISO 27001 sertifitseeritud — peate oma ISMS-i NIS2 nõuetega vastavusse viima, kuid suur osa tööst on juba tehtud.
Kokkuvõte — mida teha täna?
NIS2 ei ole kauges tulevikus aset leidev oht — rikkumismenetlused juba käivad ning Euroopa kliendid eeldavad vastavust.
Kolm asja, mida soovitan täna teha:
1. Tehke kindlaks, kas NIS2 teie ettevõttele kohaldub — kasutage meie tasuta NIS2 valmisoleku testi
2. Rääkige juhtkonnaga — NIS2 vastutus on juhi, mitte ainult IT-osakonna vastutus
3. Võtke ühendust konsultandiga — lünkade analüüs näitab täpse pildi, mida on vaja teha ja kui palju see maksab
Kui soovite selget ja ausat pilti oma ettevõtte olukorrast — olen valmis aitama. Broneeri tasuta 30-minutiline NIS2 lühiaudit ja vaatame koos, kus te seisate.
Kolm asja, mida soovitan täna teha:
1. Tehke kindlaks, kas NIS2 teie ettevõttele kohaldub — kasutage meie tasuta NIS2 valmisoleku testi
2. Rääkige juhtkonnaga — NIS2 vastutus on juhi, mitte ainult IT-osakonna vastutus
3. Võtke ühendust konsultandiga — lünkade analüüs näitab täpse pildi, mida on vaja teha ja kui palju see maksab
Kui soovite selget ja ausat pilti oma ettevõtte olukorrast — olen valmis aitama. Broneeri tasuta 30-minutiline NIS2 lühiaudit ja vaatame koos, kus te seisate.
Broneeri tasuta NIS2 lühiaudit
Tasuta 30 minutit. Konkreetne pilt, kust alustada.
Broneeri tasuta NIS2 lühiauditvõi kirjuta otse: Heikki@HoneyLake.eu