Selgitustaotlus

Maakri 30, Tallinn 10145 T +372 611 6567 [email protected] pangaliit.ee

Justiits- ja Digiministeerium [email protected] Koopia: Riigi Infosüsteemi Amet [email protected] 30.04.2026 nr 26 Pöördume Justiits- ja Digiministeeriumi poole saamaks vastuseid küsimustele küberturvalisuse seaduse (edaspidi KüTS) kohaldamise ja rakendamise osas. KüTS-i muudatused jõustusid 01.01.2026 ning sellega võeti Eesti õigusesse üle Euroopa Parlamendi ja Nõukogu direktiiv (EL) 2022/2555, 14. detsember 2022, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (edaspidi NIS2). Krediidiasutustele kohaldub samal ajal ka Euroopa Parlamendi ja Nõukogu määrus (EL) 2022/2554, 14. detsember 2022, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (edaspidi DORA). Seoses nimetatud õigusaktide rakendamise ja nende omavahelise koostoimega on praktikas tekkinud tõlgendus- ja rakendusküsimusi, mille osas soovime saada ministeeriumi selgitusi ja täpsustusi, et tagada nõuete korrektne ja ühetaoline rakendamine ning õiguslik selgus.

1. Millistele teenustele peab krediidiasutus kohaldama KüTS-i?

2. Kas krediidiasutused peavad Riigi Infosüsteemi Ametile esitama KüTS § 31 kohase teavituse? Seaduse tekst ei näe ette erisusi teavitamiskohustuse täitmisele, kuid seletuskirja kohaselt ei kohaldata DORA kohaldamisalas oleva finantssektori üksuse osutatavale DORA kohaldamisalasse kuuluvale teenusele KüTS-i §-i 31. Vastamisel palun võtke arvesse ka vastust küsimusele nr 1.

3. Kas saame õigesti aru, et pangad ei pea Riigi Infosüsteemi Ametile esitama KüTS § 61 kohase info?

Krediidiasutuste seaduse § 824 lõige 3 järgi ei kohaldata krediidiasutustele küberturvalisuse seaduse 2. peatükis sätestatud küberturvalisuse tagamise nõudeid ja hädaolukorra seaduse § 41 lõiget 1 (jõustunud 17.01.2025). Alates 2026. aastast on KüTS 2. peatükki lisatud § 61. Teenuseosutaja juhatuse liikme kohustused, mis sätestab vastutava juhatuse liikme määramise ning esitama Riigi Infosüsteemi Ameti taotlusel vastava nime ja kontaktandmed.

4. Kas krediidiasutused peavad esitama Riigi Infosüsteemi Ametile KüTS § 61 alusel vastutava juhatuse liikme andmed?

Arvestada tuleb krediidiasutuste seaduse KAS § 824 lõikes 3 sätestatut, et krediidiasutustele ei kohaldata KüTS 2. peatüki nõudeid. Alates 2026. aastast lisandub § 61 samasse peatükki. Palume ministeeriumi seisukohta, kas krediidiasutused on sellest kohustusest vabastatud või ministeeriumi hinnangul rakendub § 61 siiski ka krediidiasutustele. Oleme valmis kohtuma aruteluks. Lugupidamisega /allkirjastatud digitaalselt/ Katrin Talihärm Tegevjuht

Maakri 30, Tallinn 10145 T +372 611 6567 [email protected] pangaliit.ee

Justiits- ja Digiministeerium [email protected] Koopia: Riigi Infosüsteemi Amet [email protected] 30.04.2026 nr 26 Pöördume Justiits- ja Digiministeeriumi poole saamaks vastuseid küsimustele küberturvalisuse seaduse (edaspidi KüTS) kohaldamise ja rakendamise osas. KüTS-i muudatused jõustusid 01.01.2026 ning sellega võeti Eesti õigusesse üle Euroopa Parlamendi ja Nõukogu direktiiv (EL) 2022/2555, 14. detsember 2022, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (edaspidi NIS2). Krediidiasutustele kohaldub samal ajal ka Euroopa Parlamendi ja Nõukogu määrus (EL) 2022/2554, 14. detsember 2022, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (edaspidi DORA). Seoses nimetatud õigusaktide rakendamise ja nende omavahelise koostoimega on praktikas tekkinud tõlgendus- ja rakendusküsimusi, mille osas soovime saada ministeeriumi selgitusi ja täpsustusi, et tagada nõuete korrektne ja ühetaoline rakendamine ning õiguslik selgus.

1. Millistele teenustele peab krediidiasutus kohaldama KüTS-i?

2. Kas krediidiasutused peavad Riigi Infosüsteemi Ametile esitama KüTS § 31 kohase teavituse? Seaduse tekst ei näe ette erisusi teavitamiskohustuse täitmisele, kuid seletuskirja kohaselt ei kohaldata DORA kohaldamisalas oleva finantssektori üksuse osutatavale DORA kohaldamisalasse kuuluvale teenusele KüTS-i §-i 31. Vastamisel palun võtke arvesse ka vastust küsimusele nr 1.

3. Kas saame õigesti aru, et pangad ei pea Riigi Infosüsteemi Ametile esitama KüTS § 61 kohase info?

Krediidiasutuste seaduse § 824 lõige 3 järgi ei kohaldata krediidiasutustele küberturvalisuse seaduse 2. peatükis sätestatud küberturvalisuse tagamise nõudeid ja hädaolukorra seaduse § 41 lõiget 1 (jõustunud 17.01.2025). Alates 2026. aastast on KüTS 2. peatükki lisatud § 61. Teenuseosutaja juhatuse liikme kohustused, mis sätestab vastutava juhatuse liikme määramise ning esitama Riigi Infosüsteemi Ameti taotlusel vastava nime ja kontaktandmed.

4. Kas krediidiasutused peavad esitama Riigi Infosüsteemi Ametile KüTS § 61 alusel vastutava juhatuse liikme andmed?

Arvestada tuleb krediidiasutuste seaduse KAS § 824 lõikes 3 sätestatut, et krediidiasutustele ei kohaldata KüTS 2. peatüki nõudeid. Alates 2026. aastast lisandub § 61 samasse peatükki. Palume ministeeriumi seisukohta, kas krediidiasutused on sellest kohustusest vabastatud või ministeeriumi hinnangul rakendub § 61 siiski ka krediidiasutustele. Oleme valmis kohtuma aruteluks. Lugupidamisega /allkirjastatud digitaalselt/ Katrin Talihärm Tegevjuht