| Dokumendiregister | Transpordiamet |
| Viit | 1.2-3/22/10535-1 |
| Registreeritud | 11.05.2022 |
| Sünkroonitud | 01.04.2024 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.2 Õigusteenuse osutamine |
| Sari | 1.2-3 Seaduste ja määruste eelnõudega seotud kirjavahetus |
| Toimik | 1.2-3/2022 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Majandus- ja Kommunikatsiooniministeerium |
| Saabumis/saatmisviis | Majandus- ja Kommunikatsiooniministeerium |
| Vastutaja | Sigrid Rahkema (Transpordiamet, Users, Tugiteenuste teenistus, Õigusosakond) |
| Originaal | Ava uues aknas |
1
EELNÕU
26.04.2022
VABARIIGI VALITSUS
MÄÄRUS
Võrgu- ja infosüsteemide küberturvalisuse nõuded
Määrus kehtestatakse küberturvalisuse seaduse § 7 lõike 5 alusel.
1. peatükk
Üldsätted
§ 1. Reguleerimisala
Määrusega kehtestatakse küberturvalisuse seaduse §-s 7 sätestatud kohustuste täitmise ja süsteemide
küberturvalisuse tagamiseks:
1) volitus üleriigilise küberturvalisuse tagamise korraldamise eest vastutavale ministrile Eesti
infoturbestandardi ning süsteemide turvameetmete erinõuete kehtestamiseks;
2) süsteemide turvameetmete üldnõuded;
3) süsteemide turvameetmete erinõuded ja nende kohaldamise ulatus.
§ 2. Terminid
Käesolevas määruses kasutatakse termineid järgmises tähenduses:
1) andmekogu on andmekogu avaliku teabe seaduse § 431 lõike 1 tähenduses;
2) infoturve on süsteemile turvameetmete loomise, valimise ja rakendamise protsesside kogum;
3) pilvsüsteem on süsteem või süsteemi osa, mille pidamist teostab teenuse osutaja pilvandmetöötlusteenust
kasutades.
2. peatükk
Eesti infoturbestandard
§ 3. Eesti infoturbestandardi kehtestamise volitus
(1) Eesti infoturbestandardi kehtestab üleriigilise küberturvalisuse tagamise korraldamise eest vastutav
minister määrusega.
(2) Süsteemi turvalisuse tagamiseks rakendatud meetmete vastavust Eesti infoturbestandardile eeldatakse ka
juhul, kui on täidetud kõik järgmised tingimused:
1) teenuse osutaja rakendatud turvameetmed vastavad rahvusvahelise standardiga ISO/IEC 27001 kehtestatud
nõuetele;
2) teenuse osutaja on esitanud Riigi Infosüsteemi Ametile kehtiva vastavussertifikaadi, mis kinnitab punktis
1 sätestatud kohustuse täitmist.
2
§ 4. Eesti infoturbestandardi auditeerimine
(1) Teenuse osutaja viib läbi Eesti infoturbestandardi tingimuste täitmise auditi iga kolme aasta järel.
(2) Teenuse osutaja edastab lõike 1 alusel läbiviidud auditi järeldusotsuse Riigi Infosüsteemi Ametile 30 päeva
jooksul selle kättesaamisest.
(3) Lõigetes 1 ja 2 sätestatut ei kohaldata:
1) teenuse osutajale, kellel on majandusaasta jooksul keskmiselt alla 10 töötaja ja kelle aasta bilansimaht või
aastakäive ei ületa 2 miljonit eurot, arvestades mikroettevõtjate määratlusi Euroopa Komisjoni soovituses
2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratlemise kohta (ELT L 124, 20.05.2003,
lk 36–41);
2) muuseumile, rahvaraamatukogule, etendusasutusele, kohaliku omavalitsuse üksuse ametiasutuse
hallatavale asutusele ja osavalla või linnaosa ametiasutuse hallatavale asutusele, kui tegemist ei ole
haridusasutusega, andmekogu vastutava töötlejaga või volitatud töötlejaga.
3. peatükk
Turvameetmete nõuded
1. jagu
Turvameetmete üldnõuded
§ 5. Teenuste kaardistuse ja turvameetmete dokumentatsioon
(1) Teenuse osutaja dokumenteerib enda teenused, teenuste haldamise süsteemid, nendele rakendatavad
turvameetmed ja riskianalüüsi.
(2) Teenuse osutaja säilitab lõikes 1 nimetatud dokumentatsiooni vähemalt seitse aastat alates selle
koostamisest ning teeb vastava taotluse korral selle Riigi Infosüsteemi Ametile kättesaadavaks.
(3) Teenuse osutaja võib lõikes 1 nimetatud dokumentatsiooni koostada muu õigusakti alusel koostatava
dokumendi osana.
§ 6. Riskianalüüsi ajakohastamine
Teenuse osutaja ajakohastab riskianalüüsi:
1) viivitamatult pärast olulise mõjuga küberintsidendi toimumist;
2) viivitamatult pärast teenuse osutamiseks kasutatava süsteemi sellist muutust, mis mõjutab süsteemi
turvalisust või
3) hiljemalt kolme aasta möödumisel viimasest ajakohastamisest.
2. jagu
Turvameetmete erinõuded
1. jaotis
Andmekogu
§ 7. Turvameetmete nõuete erisused andmekogu pidamisel
(1) Andmekogu vastutav töötleja korraldab andmekogu turbeastme ja andmete turvaklassi määramise,
andmekogu andmete turvaklassi määramiseks andmete tähtsuse hindamise ning andmete turvalisuse
puudumisest tuleneva kahjude hindamise.
3
(2) Andmekogu andmetele määratud turvaklass ja andmekogu turbeaste kooskõlastatakse koos andmekogu
registreerimiseks või andmekogu andmete ajakohastamiseks ettevalmistatava tehnilise dokumentatsiooniga
avaliku teabe seaduse § 439 lõike 1 punkti 6 alusel kehtestatud õigusaktis sätestatud korras.
(3) Andmekogu vastutav töötleja ja andmekogu majutav volitatud töötleja rakendab turvameetmed
andmekogu kasutusele võtmise ajaks.
(4) Andmekogu vastutav töötleja ja andmekogu majutav volitatud töötleja rakendab andmekogu pidamisega
seotud süsteemide turvameetmeid andmekogu turbeastmest lähtuvalt.
§ 8. Andmekogu turbeastme määramine
(1) Turbeaste võib olla kõrge (H), keskmine (M) või madal (L).
(2) Andmekogu turbeaste määratakse lähtuvalt andmete turvaklassist. Kui andmete turvaklassi vähemalt üks
osaklass vastab tasemele 3, siis on andmekogu turbeaste kõrge (H). Kui andmete turvaklassi vähemalt üks
osaklass vastab tasemele 2, siis on andmekogu turbeaste vähemalt keskmine (M). Muul juhul on andmekogu
turbeaste vähemalt madal (L).
§ 9. Andmete turvaklassi määramine
(1) Andmete turvaklass määratakse vastavalt infoturbe eesmärkidele tervikluse, konfidentsiaalsuse ja
käideldavuse parameetrite kaudu.
(2) Andmete käideldavus on eelnevalt kokku lepitud vajalikul ja nõutaval tööajal kasutamiskõlblike andmete
õigeaegne ning hõlbus kättesaadavus (st vajalikul ja nõutaval ajahetkel ning vajaliku ning nõutava aja jooksul)
selleks volitatud isikule või tehnilisele vahendile.
(3) Andmete terviklus on andmete õigsuse, täielikkuse ja ajakohasuse tagatus ning päritolu autentsus ja
volitamatute muutuste puudumine.
(4) Andmete konfidentsiaalsus on andmete kättesaadavus ainult selleks volitatud isikule või tehnilisele
vahendile.
(5) Andmete turvaklass on kombinatsioon andmete käideldavuse (K), tervikluse (T) ja konfidentsiaalsuse (S)
turvaosaklasside tasemetest. Andmete turvaklassi tähis moodustatakse osaklasside tähistest nende järjestuses
KTS (näiteks K2T3S1).
§ 10. Andmete turvaosaklasside määramine
(1) Andmete turvaosaklass on andmete tähtsusest tulenev infoturbe eesmärgi saavutamise nõutav tase.
(2) Andmekogu vastutav töötleja määrab andmete käideldavuse, tervikluse ja konfidentsiaalsuse
turvaosaklasside tasemed vastavalt käesolevas paragrahvis sätestatud skaalale. Turvaosaklasside taseme
määramisel lähtub andmekogu vastutav töötleja järgnevast:
1) andmetega seotud nõuded tulenevalt õigusaktidest ja lepingulistest kohustustest;
2) andmetega seotud nõuded tulenevalt pakutavate teenuste iseloomust;
3) küberintsidentidest tekkivate kahjude olulisus.
(3) Andmete käideldavuse alusel määratakse turvaosaklass järgmisest skaalast lähtuvalt:
1) K0 – töökindlus – pole oluline, jõudlus – pole oluline;
2) K1 – töökindlus – 90% (lubatud summaarne seisak nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja kasv
tippkoormusel – tunnid (1÷10);
3) K2 – töökindlus – 99% (lubatud summaarne seisak nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja kasv
tippkoormusel – minutid (1÷10);
4
4) K3 – töökindlus – 99,9% (lubatud summaarne seisak nädalas ~ 10 minutit); lubatav nõutava reaktsiooniaja
kasv tippkoormusel – sekundid (1÷10).
(4) Andmete tervikluse alusel määratakse turvaosaklass järgmisest skaalast:
1) T0 – info allikas, muutmise ega hävitamise tuvastatavus ei ole olulised; info õigsuse, täielikkuse ja
ajakohasuse kontroll pole vajalik;
2) T1 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; info õigsuse, täielikkuse ja
ajakohasuse kontroll erijuhtudel ja vastavalt vajadusele;
3) T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalik on info õigsuse,
täielikkuse ja ajakohasuse perioodiline kontroll;
4) T3 – info allikas, selle muutmise ja hävitamise faktil peab olema tõestusväärtus; vajalik on info õigsuse,
täielikkuse ja ajakohasuse kontroll reaalajas.
(5) Andmete konfidentsiaalsuse alusel määratakse turvaosaklass järgmisest skaalast:
1) S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus on kõigil huvitatutel, muutmise õigus on
määratud tervikluse nõuetega);
2) S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku
teadmisvajaduse korral;
3) S2 – salajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs
teabele on lubatav juurdepääsu taotleva isiku teadmisvajaduse korral;
4) S3 – ülisalajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele
on lubatav juurdepääsu taotleva isiku teadmisvajaduse korral.
(6) Turvaosaklassi määramisel lähtutakse andmestiku enim kaitset vajavate andmete infoturbe tasemest.
§ 11. Turvameetmete rakendamine andmekogu turbeastmest lähtuvalt
(1) Paragrahvi 7 lõikes 4 sätestatud kohustuse täitmiseks peab andmekogu vastutav töötleja ja andmekogu
majutav volitatud töötleja Eesti infoturbestandardi järgimisel lähtuma kaitsealast, mis hõlmab vähemalt kõiki
andmekogu pidamisega seotud süsteeme, määrama kõikidele andmekogu pidamisega seotud süsteemidele ja
teenustele vähemalt andmekogu turbeastmele vastava kaitsetarbe ning rakendama Eesti infoturbestandardi
etalonturbe standardturve turbeviisi.
(2) Turbeastmele kõrge (H) vastav Eesti infoturbestandardi kaitsetarve on väga suur (VS), turbeastmele
keskmine (M) vastav Eesti infoturbestandardi kaitsetarve on suur (S) ning turbeastmele madal (L) vastav Eesti
infoturbestandardi kaitsetarve on normaalne (N).
(3) Paragrahvi 7 lõikes 4 sätestatud kohustus loetakse täidetuks, kui andmekogu vastutav töötleja ja
andmekogu majutav volitatud töötleja on täitnud kõik § 3 lõikes 2 sätestatud tingimused.
2. jaotis
Avalike ülesannete täitmist oluliselt mõjutavad süsteemid
§ 12. Avalike ülesannete täitmist oluliselt mõjutavate süsteemide loetelu
Süsteemid, millel on oluline mõju riigi ja kohaliku omavalitsuse üksuse võimele täita avalikke ülesandeid, on:
1) e-toimiku süsteem;
2) elektrooniline kataster;
3) elektrooniline kinnistusraamat;
4) kommertspandiregister;
5
5) maksukohustuslaste register;
6) mittetulundusühingute ja sihtasutuste register;
7) rahvastikuregister;
8) riigi- ja kohaliku omavalitsuse asutuste riiklik register;
9) Riigi Teataja infosüsteem;
10) riigikassa infosüsteem;
11) sotsiaalkaitse infosüsteem;
12) äriregister.
§ 13. Avalike ülesannete täitmist oluliselt mõjutavate süsteemide pidamise nõuded
Paragrahvis 12 nimetatud süsteemide andmekoosseis, vajadusel koos andmekoosseisu kasutamiseks vajaliku
toimiva rakenduskihiga, varundatakse välisriigiga sõlmitud rahvusvahelise lepingu alusel regulaarselt
välisriigis asuvasse turvalisse andmekeskusesse.
3. jaotis
Pilvsüsteem
§ 14. Nõuete kohaldamise ulatus
(1) Käesolevas jaotises sätestatud nõudeid kohaldatakse pilvsüsteemide pidamisele. Jaotises sätestatud
pilvsüsteemi pidamise nõuete vastuolu korral määruses või selle alusel kehtestatud nõuetega kohaldatakse
käesolevas jaotises sätestatud nõudeid.
(2) Jaotises sätestatud nõudeid kohaldatakse üksnes küberturvalisuse seaduse § 3 lõikes 4 loetletud asutusele,
kogule või isikule (edaspidi kasutaja).
§ 15. Tehniliste suvandite kehtestamise volitus
Küberturvalisuse korraldamise eest vastutav minister võib määrusega kehtestada pilvsüsteemi pidamiseks
kasutatava pilvandmetöötlusteenuse kohustuslikud tehnilised suvandid.
§ 16. Pilvsüsteemi pidamiseks kasutatav pilvandmetöötlusteenus
(1) Pilvsüsteemi pidamiseks kasutab kasutaja pilvandmetöötlusteenust, mille pakkujast ei tulene kõrget riski
pilvsüsteemi turvalisusele.
(2) Kasutaja hindab enne pilvandmetöötlusteenuse kasutamist, kas pilvandmetöötlusteenuse pakkujast tuleneb
kõrge risk pilvsüsteemi turvalisusele.
(3) Pilvandmetöötlusteenuse pakkujast tuleneva riski hindamisel arvestatakse muu hulgas teavet selle kohta,
kas pilvandmetöötlusteenuse pakkuja:
1) asukoht või peakontor on riigis (edaspidi asukohariik), mis ei ole Euroopa Liidu, Põhja-Atlandi Lepingu
Organisatsiooni (edaspidi NATO) või Majandusliku Koostöö ja Arengu Organisatsiooni (edaspidi OECD)
liikmesriik;
2) asukohariigis eiratakse demokraatliku õigusriigi põhimõtteid või ei austata inimõigusi;
3) asukohariigis ei kaitsta muu riigi isikute intellektuaalomandit, isikuandmeid või ärisaladust;
4) asukohariik käitub küberruumis agressiivselt;
5) asukohariigile on Euroopa Liidu, NATO või OECD liikmesriigid omistanud küberrünnakuid;
6) allub sõltumatu kohtuliku kontrollita asukohariigi või muu välisriigi valitsusele või riigiasutusele;
6
7) asukohariik või muu välisriik võib kohustada teda tegutsema Eesti Vabariigi julgeolekut ohustaval viisil;
8) majandustegevus rikub turupõhise konkurentsi põhimõtteid või puuduvad asukohariigis piisavad
tingimused turupõhise konkurentsi põhimõtete järgimiseks;
9) omandistruktuur, organisatsiooniline ülesehitus või juhtimisstruktuur on läbipaistmatu;
10) rahastamine on läbipaistmatu;
11) teenused sisaldavad turvanõrkusi ning nende kõrvaldamiseks on piisavad turvameetmed rakendamata;
12) teenuste toimepidevus on järjepidevalt puudulik, välja arvatud vääramatu jõu tõttu;
13) kasutab oma teenuste pakkumiseks muid pilvandmetöötlusteenuseid, mille pakkuja vastab punktides 1–
12 kirjeldatud tingimustele.
§ 17. Pilvsüsteemis töödeldava teabe konfidentsiaalsus
(1) Kasutaja tagab avaliku teabe seaduse § 35 lõike 1 punktides 31, 4, 5, 51, 52, 6, 61, 62, 9 või 181 sätestatud
teabe konfidentsiaalsuse pilvandmetöötlusteenuse pakkuja eest pilvsüsteemis, sealhulgas tagab kasutaja
loetletud teabe krüpteerimise.
(2) Lõikes 1 sätestatud kohustust ei kohaldata avaliku teabe seaduse § 35 lõike 1 punktis 9 sätestatud teabele
ulatuses, milles pilvsüsteemi või selle pidamiseks kasutatavat pilvandmetöötlusteenust kasutatakse kasutaja
süsteemide turvalisuse tagamiseks.
(3) Üleriigilise küberturvalisuse tagamise korraldamise eest vastutav minister võib kehtestada määrusega
nõuded käesoleva paragrahvi lõikes 1 nimetatud teabe krüpteerimise krüptomaterjalidele.
§ 18. Logimine
(1) Kasutaja edastab või tagab muul moel juurdepääsu Riigi Infosüsteemi Ametile pilvandmetöötlusteenuse
kasutamisega kaasnevatele logidele, mis võimaldavad analüüsida peetava pilvsüsteemi turvalisust ohustavaid
riske.
(2) Kasutaja kasutab vaid sellist pilvandmetöötlusteenust, mille lõikes 1 nimetatud logidele saab kasutaja
juurdepääsu, et pidada pilvsüsteemi:
1) mis töötleb avaliku teabe seaduse § 35 lõike 1 punktides 31, 4, 5, 51, 52, 6, 61, 62, 9 või 181 sätestatud teavet;
või
2) mille kaitsetarve on Eesti infoturbestandardi järgi vähemalt suur (S).
§ 19. Pilvsüsteemi terviklus ja käideldavus
(1) Süsteemi, mille kaitsetarve käideldavuse põhikomponendist tulenevalt on Eesti infoturbestandardi järgi
vähemalt suur (S), pidamisel pilvsüsteemina peab kasutaja ka alternatiivset süsteemi või meedet. Alternatiivne
süsteem või meede peab võimaldama kasutajal jätkata tegevusi, mille toimepidevus tugineb käesolevas lõikes
nimetatud pilvsüsteemile.
(2) Lõikes 1 nimetatud alternatiivne süsteem või selle osa võib olla pilvsüsteem, kui see on kasutatav sõltumata
lõikes 1 nimetatud pilvsüsteemile pilvandmetöötlusteenuse pakkuja vastava teenuse või selle pakkumiseks
kasutatava kolmanda osapoole teenuse osutamisest.
(3) Lõikes 1 nimetatud pilvsüsteemi terviklust või käideldavust mõjutava küberintsidendi korral tagab kasutaja
võimekuse rakendada lõikes 1 nimetatud alternatiivset süsteemi või meedet viivitamatult ja kuni
küberintsidendi lõppemiseni.
(4) Kui kasutaja ei määra süsteemile kaitsetarvet Eesti infoturbestandardi järgi ning kohaldub § 3 lõige 2, siis
loetakse lõikes 1 nimetatud pilvsüsteemiks samaväärse riskitasemega süsteem, mida peetakse pilvsüsteemina.
7
4. peatükk
Rakendussätted
§ 20. Üleminek Eesti infoturbestandardile
(1) Kui teenuse osutaja haldab riigi või kohaliku omavalitsuse üksuse süsteemi, siis kuni 31. detsembrini 2022.
a eeldatakse süsteemi turvalisuse tagamiseks rakendatud meetmete vastavust Eesti infoturbestandardile, kui
teenuse osutaja kohaldab nimetatud süsteemi turvalisuse tagamisele avaliku teabe seaduse § 439 lõike 1 punkti
4 alusel kehtestatud määruses sätestatud nõudeid.
(2) Kui teenuse osutaja ei halda riigi või kohaliku omavalitsuse üksuse süsteemi, siis kuni 31. detsembrini
2022. a eeldatakse süsteemi turvalisuse tagamiseks rakendatud meetmete vastavust Eesti infoturbestandardile,
kui teenuse osutaja rakendab, seirab ja ajakohastab turvameetmeid, millega nähakse ette vähemalt:
1) süsteemide juurdepääsuõiguste haldamine, süsteemi kasutajate identifitseerimine ja autoriseerimine;
2) teenuse osutamiseks vajalikest andmetest regulaarsete varukoopiate tegemine ja protseduurid andmete
varukoopiatest taastamiseks;
3) süsteeme käitava ja süsteemides käideldava tarkvara ajakohasus;
4) süsteemides läbiviidavate toimingute logid toimingu teostaja, toimingu liigi ja toimingu teostamise ajaga;
5) tarkvaralised ja riistvaralised lahendused süsteemide turvalisust ohustava tegevuse ning tarkvara
tuvastamiseks ja tõrjumiseks ning
6) protseduurid süsteemide turvalisuse või teenuse toimepidevuse taastamiseks.
§ 21. Eesti infoturbestandardi järgimise auditeerimise tähtajad
(1) Teenuse osutaja, kes on Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 252 „Infosüsteemide
turvameetmete süsteem“ § 91 lõike 1 alusel kohustatud läbi viima turvameetmete süsteemi rakendamise
auditeerimist, on kohustatud esmakordse Eesti infoturbestandardi järgimise auditeerimise läbi viima kahe
aasta jooksul pärast viimast Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 252 „Infosüsteemide
turvameetmete süsteem“ § 91 lõike 1 alusel läbi viidud turvameetmete süsteemi auditeerimist.
(2) Teenuse osutaja, kes on Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 252 „Infosüsteemide
turvameetmete süsteem“ § 91 lõike 2 alusel kohustatud läbi viima turvameetmete süsteemi rakendamise
auditeerimist, on kohustatud esmakordse Eesti infoturbestandardi järgimise auditeerimise läbi viima kolme
aasta jooksul pärast viimast Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 252 „Infosüsteemide
turvameetmete süsteem“ § 91 lõike 2 alusel läbi viidud turvameetmete süsteemi auditeerimist, kuid mitte
hiljem kui kolme aasta jooksul alates käesoleva määruse jõustumisest.
(3) Teenuse osutaja, kes on Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 252 „Infosüsteemide
turvameetmete süsteem“ § 91 lõike 3 alusel kohustatud läbi viima turvameetmete süsteemi rakendamise
auditeerimist, on kohustatud esmakordse Eesti infoturbestandardi järgimise auditeerimise läbi viima nelja
aasta jooksul pärast viimast Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 252 „Infosüsteemide
turvameetmete süsteem“ § 91 lõike 3 alusel läbi viidud turvameetmete süsteemi auditeerimist, kuid mitte
hiljem kui kolme aasta jooksul alates käesoleva määruse jõustumisest.
(4) Käesoleva paragrahvi lõigetes 1–3 nimetamata teenuse osutaja on kohustatud esmakordse Eesti
infoturbestandardi järgimise auditeerimise läbi viima hiljemalt kolme aasta jooksul alates Eesti
infoturbestandardi järgimise auditeerimise kohustuse tekkimisest.
§ 22. Määruse jõustumine
(1) Käesolev määrus jõustub [tulevane kuupäev on seotud küberturvalisuse seaduse, avaliku teabe seaduse ja
Eesti Rahvusringhäälinud seaduse eelnõu 531 SE jõustumise kuupäevaga, mis jõustub üldises korras].
(2) Käesoleva määruse §-d 7–11 jõustuvad 1. jaanuaril 2023. a.
8
(3) Käesoleva määruse §-d 14–19 jõustuvad 1. jaanuaril 2024. a.
Kaja Kallas
Peaminister
Andres Sutt
Ettevõtlus- ja infotehnoloogiaminister
Taimar Peterkop
Riigisekretär
1
26.04.2022
Vabariigi Valitsuse määruse „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ eelnõu
seletuskiri
1. Sissejuhatus
Käesoleva eelnõuga kehtestatakse Vabariigi Valitsuse määrus „Võrgu- ja infosüsteemide
küberturvalisuse nõuded“.
1.1. Sisukokkuvõte
Käesoleval eelnõul on kolm eesmärki.
1.1.1. Volitada küberturvalisuse eest vastutavat ministrit kehtestama Eesti
infoturbestandardit (edaspidi E-ITS).
Eelnõu sätestab küberturvalisuse seaduse (edaspidi KüTS) § 7 lõike 5 volitusnormi alusel E-
ITS-i kehtestamise volituse üleriigilise küberturvalisuse eest vastutavale ministrile, kelleks
hetkel on ettevõtlus- ja infotehnoloogiaminister (edaspidi: minister).
E-ITS-i järgimise kohustust, sealhulgas auditeerimise kohustust kohaldatakse kogu KüTS
kohaldamisalale, kuid nende täitmisel on ka erandid. E-ITS-i järgimise kohustus on asendatav
ISO/IEC 27001:2017 (Infotehnoloogia. Turbemeetodid. Infoturbe halduse süsteemid. Nõuded)1
järgimisega. Auditeerimise läbiviimine ei ole kohustuslik erasektoris mikroettevõtjale ning
avalikus sektoris muuseumile, rahvaraamatukogule, etendusasutusele, valla või linna
ametiasutuse hallatavale asutusele ja osavalla või linnaosa ametiasutuse hallatavale asutusele.
E-ITS asendab sisulises mõttes avaliku teabe seaduse (edaspidi AvTS) alusel kehtestatud
infosüsteemide kolmeastmelist etalonturbe süsteemi (edaspidi ISKE). Sellest tulenevalt on
määruse jõustumisel võimalik 2023. aastani (ISKE kehtetuks tunnistamiseni) jätkata ISKE
täitmist E-ITS-i asemel ning on kehtestatud ka erinormid E-ITS-i rakendamiseks andmekogude
suhtes.
1.1.2. Kehtestada avalike ülesannete täitmist oluliselt mõjutavate süsteemide pidamise
nõuded.
Eesmärgiks on tõsta Eesti omariikluse ja digitaalse järjepidevuse hoidmiseks loodud
infotehnoloogiliste süsteemide aluseks oleva õigusruumi selgust ja läbipaistvust. Eelnõuga
luuakse loetelu võrgu- ja infosüsteemidest (edaspidi süsteem), millel on oluline mõju riigi ja
kohaliku omavalitsuse üksuse asutuse võimele täita avalikke ülesandeid ning sätestatakse
kohustus varundada nimetatud süsteemid välisriigis asuvasse turvalisse andmekeskusesse
määruses ettenähtud tingimustel.
Olukorras, kus peaaegu kõik riigi avalikud teenused on digitaalselt kättesaadavad, on vajalik
kindlustada riigi ja kohaliku omavalitsuse üksuse asutuste põhifunktsioonide täitmiseks
vajalike andmete turvaline säilitamine ja ligipääs ning elutähtsate infosüsteemide töös hoidmine
1 Standard leitav ning võimalik osta siit: https://www.evs.ee/et/evs-en-iso-iec-27001-2017.
2
teenuste osutamiseks ka siis, kui riigi territooriumil asuvate andmekeskuste töö on peatunud
või häiritud näiteks sõja, looduskatastroofi, ulatusliku küberrünnaku, elektrikatkestuse või muu
kriisiolukorra tõttu.
Hetkel varundatakse avalike ülesannete täitmist oluliselt mõjutavaid süsteeme ja nendes
sisalduvaid andmeid Luksemburgi Suurhertsogiriigi riiklikku andmekeskusesse (edaspidi
Luksemburgi andmesaatkond) Luksemburgi Suurhertsogiriigiga sõlmitud rahvusvahelise
lepingu alusel2. Eelnõu valmimise hetkel on Luksemburgi andmesaatkonda varundatud juba e-
toimiku süsteem, riigikassa infosüsteem, elektrooniline kinnistusraamat, maksukohustuslaste
register, äriregister, riigi- ja kohaliku omavalitsuse asutuste riiklik register,
mittetulundusühingute ja sihtasutuste register, kommertspandiregister, rahvastikuregister,
elektrooniline kataster, sotsiaalkaitse infosüsteem, Riigi Teataja infosüsteem. Tulevikus on
võimalus sõlmida rahvusvahelisi lepinguid andmete varundamiseks ka teiste välisriikidega
lisaks Luksemburgi Suurhertsogiriigile.
1.1.3. Kehtestada pilvandmetöötlusteenusel põhineva süsteemi (edaspidi pilvsüsteemi)
pidamise nõuded.
Eesmärk on võimaldada avalikul sektoril peetavaid süsteeme „pilve viia“ küberturvalisust
tagaval viisil. Läbi pilvsüsteemi määratluse kehtestatakse nõuded, mida avalik sektor peab
rakendama, kui soovib kasutada pilvandmetöötlusteenuseid. Raamistik on sellisel kujul
küberturvalisuse tagamiseks vajalik, kuivõrd pilvandmetöötlusteenuse kasutaja tugineb suurel
määral vastava süsteemi toimimiseks teenusepakkuja infrastruktuurile ning seadusandjal
puudub jurisdiktsioonist tulenevatel põhjustel võimalus teenusepakkujatele avaliku sektori
küberturvalisuse tagamiseks nõudeid kehtestada.
Nõudeid kohaldatakse KüTS § 3 lõikes 4 loetletud asutusele, kogule või isikule
(koondnimetusega ning edaspidiselt kasutaja).
Peamised nõuded pilvsüsteemi pidamisel on järgnevad.
1) Teenusepakkuja usaldusväärsuse hindamise kohustus
Kasutaja peab enne pilvandmetöötlusteenuse hankimist hindama pakkuja usaldusväärasust ehk
et kas teenusepakkujast tuleneb oht kasutaja süsteemide turvalisusele. Hinnatakse
organisatsiooni ja tema taustast tulenevaid ohutegureid, mitte tehnilist lahendust.
2) Riikliku julgeoleku tagamisega seotud teabe teenusepakkujaga jagamise keeld
Kasutaja ei või spetsiifilist asutusesiseseks kasutamiseks tunnistatud teavet teenusepakkujaga
pilvandmetöötluse kasutamise kontekstis jagada. Tegemist on kitsa ringiga kogu
asutusesiseseks kasutamiseks tunnistatud teabest ning ei ole olulisel määral töödeldav avaliku
sektori enamuse poolt. Nimetatud teabe majutamisel pilvsüsteemi peab teave olema
teenusepakkuja vastu krüpteeritud (mis vähendab ka pilvandmetöötlusteenuse kasulikkust
2 Eesti Vabariigi ja Luksemburgi Suurhertsogiriigi vaheline andmete ja infosüsteemide majutamise kokkulepe, RT
II, 28.03.2018, 1; kättesaadav https://www.riigiteataja.ee/akt/228032018002.
3
sellise teabe töötlemise suhtes). Luuakse ministrile volitusnorm krüptomaterjalide täpsemate
tehniliste nõuete kehtestamiseks.
3) Kasutaja organisatsiooniliseks toimepidevuseks olulistele pilvsüsteemidele alternatiivide
pidamise kohustus.
Kui kasutaja soovib „pilve viia“ süsteemi, mis on kasutajale kui avaliku sektori
organisatsioonile oluline oma ülesannete täitmiseks, siis peab kasutaja täiendavalt pidama ka
alternatiivset süsteemi või meedet, mis võimaldab tal samu tegevusi teostada kasutatavast
teenusest sõltumatult.
Vastava kohustusega süsteeme kaardistab kasutaja E-ITS-i rakendamise käigus. Alternatiivne
süsteem või meede võib samuti olla pilvandmetöötlusteenus või isegi muu lahendus samalt
teenusepakkujalt, kui see on tehnoloogiliselt iseseisev ehk üks töötab ilma teiseta. Alternatiivne
meede peab suutma tagada samade ülesannete tegemise võimaluse, kuid ei pea olema
pilvsüsteemiga tehniliselt samaväärne.
4) Pilvandmetöötlusteenuste kasutamisel kehtestatud tehniliste suvandite järgimine ja
kasutamisega seonduvate logide edastamine Riigi Infosüsteemi Ametile (edaspidi RIA).
Sätestatakse ministrile volitusnorm levinumate pilvandmetöötlusteenuste kasutamisel
rakendatavate tehniliste suvandite (kasutamise tehnilised seaded) kehtestamiseks. Volitusnormi
alusel kehtestatud juhendi olemasolul rakendab kasutaja sätestatud tehnilisi suvandeid.
Sätestatakse kohustus edastada või tagada muul moel juurdepääsu RIA-le
pilvandmetöötlusteenuse kasutamisega seonduvatele logidele, mis võimaldavad analüüsida
pilvsüsteemi turvalisust. Logid tuleb edastada RIA-le reaalajas. Kui teenusepakkuja kasutajale
vastavate logidele ligipääsu ei võimalda, puudub ka kohustus nende edastamiseks. Erandiks on
olukorrad, kus pilvsüsteem töötleb julgeolekuga seotud teavet või on organisatsiooni
toimepidevuseks oluline. Sellisel juhul kasutatakse vaid neid teenusepakkujaid, mis logisid ka
kasutaja edastavad.
1.2. Eelnõu ettevalmistajad
Määruse eelnõu ja seletuskirja koostasid Majandus- ja Kommunikatsiooniministeeriumi
riikliku küberturvalisuse osakonna küberturvalisuse õigusnõunikud Oliver Grauberg
([email protected]) ja Raavo Palu ([email protected]) ning digiriigi arengu
osakonna IT-õiguse nõunik Kätlin Aren ([email protected]).
Eelnõu ja seletuskirja osas tegi õiguslikke ettepanekuid Majandus- ja
Kommunikatsiooniministeeriumi õigusosakonna õigusnõunik Ave Henberg
([email protected]). Eelnõu ja seletuskirja toimetas keeleliselt Majandus- ja
Kommunikatsiooniministeeriumi riikliku küberturvalisuse osakonna küberturvalisuse
õigusnõunik Raavo Palu ([email protected]).
4
1.3. Märkused
Eelnõu on seotud küberturvalisuse seaduse, avaliku teabe seaduse ja Eesti Rahvusringhäälingu
seaduse muutmise seaduse eelnõuga 531 SE (edaspidi 531 SE), millega luuakse volitusnorm
käesoleva määruse kehtestamiseks.3
Määrus kehtestatakse küberturvalisuse seaduse § 7 lõike 5 alusel.
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb neljast peatükist. Esimene peatükk reguleerib määruse üldsätteid, teine peatükk
sisustab E-ITS-iga seotud sätteid, kolmas peatükk sisustab turvameetmete nõuded (eraldi
jagudena nii turvameetmete üldnõuded kui ka erinõuded, sh jaguneb teine jagu kolmeks
jaotiseks: andmekogud, avalike ülesannete täitmist oluliselt mõjutatavad süsteemid ja
pilvesüsteem) ning neljas peatükk sisustab rakendussätted.
Eelnõu § 1 kehtestab eelnõu reguleerimisala. Määruse reguleerimisala vastab KüTS § 7 lõike
5 alusel kehtestatud volitusnormi sisulisele piiritlusele.
KüTS § 7 lõikes 5 sätestatud edasivolituse alusel sätestab eelnõu volituse küberturvalisuse
tagamise korraldamise eest vastutavale ministrile E-ITS-i kehtestamiseks.
Täiendavalt sätestab eelnõu volituse küberturvalisuse tagamise korraldamise eest vastutavale
ministrile süsteemide erinõuete kehtestamiseks. Volitus sätestatakse kahte liiki erinõuete
kehtestamiseks. Esiteks sätestatakse volitus pilvsüsteemi pidamiseks kasutatava
pilvandmetöötlusteenuse kohustuslike tehniliste suvandite kehtestamiseks, mis on selgitatud
eelnõu § 15 lõike 2 alajaotises. Teiseks sätestatakse volitus pilvsüsteemis eelnõus piiritletud
teabe krüpteerimise krüptomaterjalide nõuete kehtestamiseks, mis on selgitatud eelnõu § 17
lõike 3 alajaotises.
Eelnõu § 2 kehtestab määruses kasutatavate terminite tähenduse, sisustatakse andmekogu,
inforturve ja pilvsüsteemi terminid. Eelnõus avamata terminid on KüTS tähenduses, sealhulgas
teenuse osutaja.
Andmekogu on andmekogu avaliku teabe seaduse § 431 lõike 1 tähenduses.
Esimese uue terminina kasutatakse mõistet „infoturve“. Infoturbena käsitletakse terviklikku
protsessi, mille lõppeesmärk on turvameetmete rakendamine, mistõttu hõlmab termin ka
turvameetmete loomise ja valimise protsesse.
Teise uue terminina kasutatakse mõistet pilvsüsteem ehk pilvandmetöötlusteenusel põhinev
süsteem. Selle termini selgitamiseks on vaja käsitleda termini kolme peamist komponenti –
3 Küberturvalisuse seaduse, avaliku teabe seaduse ja Eesti Rahvusringhäälingu seaduse muutmise seadus 531 SE
– kättesaadav: https://www.riigikogu.ee/tegevus/eelnoud/eelnou/cd3107f9-b19c-4ed4-b6a7-
7379fa3bf6b9/K%C3%BCberturvalisuse%20seaduse,%20avaliku%20teabe%20seaduse%20ja%20Eesti%20Rah
vusringh%C3%A4%C3%A4lingu%20seaduse%20muutmise%20seadus.
5
pilvandmetöötlusteenus, süsteem ning pidamine (ehk süsteemi pidamine
pilvandmetöötlusteenust kasutades).
Pilvandmetöötlusteenus on KüTS-s defineeritud termin. Tegemist on infoühiskonna teenusega,
mis võimaldab juurdepääsu andmetöötlusressursside kogumile, mis on paindlikult jagatav ning
laiendatav süsteemi ennast muutmata. KüTS-i termin on üle võetud NIS direktiivist.4 Termin
käsitleb väga laia valdkonda, kuivõrd kõik infoühiskonna teenused,5 mis nimetatud
kriteeriumitele vastavad, on käsitletavad pilvandmetöötlusteenusena. Näiteks lisaks
lihtsamatele serverite „rentimisele“ kohaldub see termin ka tarkvaralistele lahendustele, mille
funktsioonid tuginevad teenusepakkuja andmetöötlusressurssidele ning mis pakuvad kitsamaid
andmetöötlusfunktsioone, sest NIS direktiivi selgituspunktis 17 on mõiste „laiendatav“
(direktiivi tõlkes mõiste „skaleeritav“) kirjeldatud just teenusepakkuja võimekusena vastavalt
vajadusele ressursse ühe kasutaja jaoks laiendada. Samuti on Euroopa Komisjon täpsustanud6
et pilvandmetöötlusteenusena on käsitletav ka tarkvarana pakutud teenus (software as a service
ehk SaaS). Teisisõnu võib pilvandmetöötlusteenustena olla käsitletav ka tüüpiline
kontoritarkvara, kui pakutav teenus vastab toodud kriteeriumitele. On ka oluline märkida, et
termini alla ei kohaldata tegevusi, mis on küll sisult sarnased, kuid ei ole infoühiskonna
teenused (näiteks ei ole osutatud majandus- või kutsetegevuse raames).
Süsteem on samuti KüTS-s defineeritud termin. Tegemist on laia mõistega, mis ei piirdu ainult
tehnoloogilise riistavaraga, vaid laieneb ka tarkvarale ning digitaalsetele andmetele. KüTS-i
subjekti süsteem käesoleva pilvsüsteemi mõiste kontekstis ei ole seega üldjuhul riistvara, sest
pilvandmetöötluse peamine eeldus on, et andmetöötlusressursid on teenusepakkuja valduses,
mitte kasutaja valduses. Pilvsüsteemi kontekstis käsitletakse seega süsteemina ennekõike
kasutaja kasutatavat tarkvara ning andmeid, mis vastavatel ressurssidel majutatud on või nende
toel funktsioneerivad. On oluline eristada, et lihtsalt pilvandmetöötlusteenuse kasutamine ei
tähenda, et subjektil puudub kaardistatav ning kaitstav infovara pilvandmetöötlusteenusel
tuginevate protsesside küberturvalisuse tagamisel.
Pilvsüsteem on seega süsteem (ennekõike tarkvaralisel ja andmete kujul), mida peetakse
pilvandmetöötlusteenuse kaudu ehk pakutud andmetöötlusressursse kasutades. Pilvsüsteem
võib seega olla nii pilves majutatav andmekogu kui ka KüTS-i subjekti teabevahetuse protsessi
infovarad.
4 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/1148, 6. juuli 2016, meetmete kohta, millega tagada võrgu-
ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (ELT L 194, 19.07.2016, lk 1-30) – kättesaadav:
https://eur-lex.europa.eu/legal-content/ET/ALL/?uri=CELEX:32016L1148. 5 Infoühiskonnateenuse seaduse § 2 punkt 1: infoühiskonna teenus – teenus, mida osutatakse majandus- või
kutsetegevuse raames teenuse kasutaja otsesel taotlusel ja mille puhul andmeid töödeldakse, säilitatakse ja
edastatakse digitaalkujul andmete töötlemiseks ja säilitamiseks mõeldud elektrooniliste vahendite abil, kusjuures
osapooled ei viibi üheaegselt samas kohas. Infoühiskonna teenus peab olema täielikult üle kantud, edastatud ja
vastu võetud elektrooniliste sidevahendite abil. Infoühiskonna teenus ei ole faksi ega telefonikõne abil edastatud
teenus ega televisiooni- või raadioteenus. 6 Komisjoni teatis Euroopa Parlamendi ja nõukogule: Parimate tulemuste saavutamine võrgu- ja infoturbe
direktiivi rakendamisel – jõupingutused direktiivi (EL) 2016/1148 (meetmete kohta, millega tagada võrgu- ja
infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus) tulemuslikuks rakendamiseks (COM/2017/0476 final,
13.09.2017 ning uuendatud 04.10.2017) – kättesaadav: https://eur-lex.europa.eu/legal-
content/EN/TXT/?uri=CELEX%3A52017DC0476.
6
Eriliigiliste süsteemide turvameetmete nõuete kehtestamisel määruse 3. peatükis sätestatakse
ka erisusi E-ITS-i nõuete järgimise osas, millest tulenevalt kasutatakse määruses ka
kehtestatava E-ITS-i termineid vastavalt E-ITS-is sätestatud tähendustele.
Eelnõu § 3 sätestab E-ITS-i kehtestamise volituse ning E-ITS-i rakendamise erandi.
Lõige 1 kehtestab volitusnormi E-ITS-i kehtestamiseks. E-ITS, kui käesoleva eelnõu
koostamise hetkel ligikaudu 500-leheküljeline kogum nõuetest ja juhenditest, kehtestatakse
küberturvalisuse tagamise korraldamise eest vastutava ministri määrusega.
Sarnaselt hetkel kehtiva ISKE-ga on ka E-ITS pidevat kaasajastamist ning täiendamist nõudev
dokument. Majandus- ja Kommunikatsiooniministeeriumi (edaspidi MKM) valitsemisala
asutus RIA korraldab E-ITS-i täiendamise ning uuendamisega seotud teenuseid, võttes selle
aluseks varasemase rakendamise praktikat ning muutusi infotehnoloogilises maailmapildis ja
õigusraamistikes. Tulenevalt eeldatavast vajadusest E-ITS-i korduvalt muuta ja ajakohastada ei
ole Vabariigi Valitsuse määruse vorm sobilik E-ITS-i kehtestamiseks. Sellegipoolest omab E-
ITS-i kehtestamine regulatiivset mõju ning ei ole käsitletav üksikjuhtumi reguleerimisena oma
rakendusala tõttu, mistõttu on välistatud E-ITS-i kehtestamine käskkirjaga. Eesmärgipärane
vorm E-ITS-i kehtestamiseks ongi eeltoodust lähtuvalt ministri määrus.
Eelnõuga kehtestatava määruse volitusnorm (KüTS § 7 lõige 5) hõlmab ka edasivolituse
võimalust haldusmenetluse seaduse § 91 lõike 1 tähenduses. E-ITS-i dokumentatsioon ning
muu E-ITS-ga seotud teave avalikustatakse ka Eesti infoturbestandardi portaalis - eelnõu
koostamise hetkel asub see veebiaadressil https://eits.ria.ee/.
Kehtestatav ministri määrus kehtestab E-ITS-i dokumentatsiooni ja sisustab E-ITS-i
rakendamise kohustust.
Lõige 2 määratleb, et süsteemi turvalisuse tagamiseks rakendatud meetmete vastavust E-ITS-
le eeldatakse ka juhul, kui selle asemel rakendatakse rahvusvahelist standardit ISO/IEC
27001:2017 (Infotehnoloogia. Turbemeetodid. Infoturbe halduse süsteemid. Nõuded).7
E-ITS-i võimalik alternatiiv on rahvusvahelise standardi ISO/IEC 27001 järgimine. Samas ei
piisa selle alternatiivi kasutamiseks lihtsalt teenuse osutaja otsusest ega ka standardi
rakendamisele vastavatest tegevustest. Alternatiiv kuulub kohaldamisele vaid siis, kui teenuse
osutaja on lisaks ISO/IEC 27001 standardi nõuetele vastavate turvameetmete rakendamisele
esitanud RIA-le kehtiva ISO/IEC 27001 vastavussertifikaadi, mille kohaldamisala hõlmab
vähemalt E-ITS-i kohaldamisala. Kui teenuse osutaja RIA-le eelnevalt kehtivat
vastavussertifikaati esitanud ei ole, on teenuse osutaja vastavus eelnõu E-ITS-le hinnatav
sõltumata sellest, kas teenuse osutaja on vastavuses ISO/IEC 27001 nõuetega, isegi kehtiva
vastavussertifikaadi olemasolul. Selle kitsenduse eesmärk on tagada järelevalveasutusele
ülevaade teenuse osutajate vastavusest E-ITS-i järgimise nõuetele ning kuivõrd E-ITS-i
vastavusauditite järeldusotsuste edastamine RIA-le on kohustuslik, siis alternatiivi
rakendamine ilma aktiivse edastamiskohustuseta töötaks ülevaate tagamise eesmärgi vastu.
7 Standard leitav ning võimalik osta siit: https://www.evs.ee/et/evs-en-iso-iec-27001-2017.
7
Erinevalt eelnõu §-s 20 toodud võimalustest (vt sealsete lõigete selgitust) pole siinse lõikega
tekitatav erand ajutine.
Eelnõu § 4 kehtestab E-ITS-i tingimuste täitmise auditeerimise nõuded.
E-ITSi tingimuste täitmise üks osa on auditeerimine ning seda aitab sisustada E-ITS-i osaks
olev auditeerimisjuhend. Auditeerimise nõudeid ei kohaldata teenuse osutajale, kes on täitnud
eelnõu § 3 lõike 2 tingimused, kuivõrd nende osas loetakse auditeerimiskohustus, kui E-ITS-i
järgimiskohustuse üks osa, täidetuks viidatud sätte tõttu.
Lõige 1 kehtestab auditeerimise põhilise nõude – audit viiakse läbi iga kolme aasta järel.
Esmakordse auditi läbiviimise tähtaeg on üldjuhul 3 aastat alates auditeerimise kohustuse
tekkimisest. Teenuse osutajatele, kellele tekib auditeerimise kohustus eelnõu jõustumise hetkel,
sh kes on eelnevalt turvameetmete süsteemi rakendamise auditeerimist läbi viinud ISKE nõuete
järgi, sätestavad esmakordse auditi läbiviimise tähtaja eelnõu 4. peatüki rakendussätted.
Teenuse osutajate loetelu on sätestatud KüTS § 3 lõikes 1. Lisaks selles lõikes nimetatud
isikutele kohaldatakse teenuse osutaja kohta sätestatud nõuded ka KüTS § 3 lõikes 4 sätestatud
loetelus olevatele isikutele (vt siin ka 531 SE-ga tehtavaid muudatusi).
Selleks, et läbiviidav audit oleks aluseks auditeerimise kohustuse täitmisele, peab auditi
planeerimine, tegemine jm tegevused (ehk auditeerimine) toimuma vastavalt eelnõu § 3 lõike
1 alusel kehtestatud auditeerimisjuhendile.
Audit loetakse käesoleva lõike tähenduses läbiviiduks, kui audiitor on teenuse osutajale
edastanud auditeerimisjuhendi tähenduses lõpparuande. Sellest hetkest alustab kulgemist
järgmise auditi läbiviimise tähtaeg ning teenuse osutaja kohustus on tagada vastavaks tähtajaks
järgmise auditi läbiviimine. Kuna infoturbe haldus on kestev protsess, siis praktikas tuleb
teenuse osutajal hakata tegelema lõpparuandes toodud puuduste likvideerimisega (kui neid
tuvastatakse) selleks, et saavutada positiivne tulemus järgmisel auditil.
Ei ole keelatud auditi läbiviimist, ennekõike auditi tellimist, volitada või teha koos teise
organisatsiooniga. Ühisauditite läbiviimine või teise organisatsiooni nimel auditi tellimine on
ennekõike asjakohane olukordades, kus erinevate organisatsioonide info- ja
kommunikatsioonitehnoloogia (edaspidi IKT) infrastruktuuri haldamine ja majutamine on üle
antud kesksele organisatsioonile. Küll aga peab läbiviidud auditi lõpparuanne käsitlema teavet
iga auditi subjekti suhtes. IKT infrastruktuuri haldamine ja majutamine kolmanda
organisatsiooni kaudu ei mõjuta auditi subjekti iseseisvat kohustust E-ITS-i järgida, mille
täitmist auditeerimine kontrollib.
Lõige 2 kehtestab kohustuse lõike 1 alusel läbiviidud auditi järeldusotsuse edastamiseks
järelevalveasutusele. Kohustus on eraldiseisev auditeerimise (ja seetõttu ka E-ITS-i järgimise)
kohustusest. Teisisõnu ei loeta käesolevas lõikes kehtestatud kohustuse täitmisel teenuse
osutaja poolt täidetuks auditeerimise kohustust ega ka muid eelnõu § 3 lõike 1 alusel kehtestatud
kohustusi. Samamoodi on läbiviidud auditi järeldusotsuse esitamata jätmisel teenuse osutaja
rikkunud käesoleva lõike alusel kehtestatud kohustust sõltumata sellest, kas teenuse osutaja on
täitnud E-ITS-i järgimise, sh auditeerimise kohustust.
8
Lõike kohaselt täidab kohustuse teenuse osutaja, kuid praktikas on ka võimalik, et teenuse
osutaja on selle ülesande edasi delegeerinud talle auditi tellinud IT-majale (avaliku sektori
korral) või muule välisele partnerile (kui taoline olukord ilmneb).
Lõike 3 eesmärk on tagada E-ITS-i nõuete järgimisest tulenevate kohustuste proportsionaalsus
subjekti IKT korralduslike võimetega.
Subjektidele, kes vastavad käesolevas lõikes kehtestatud tingimustele, on auditi läbiviimine
valikuline ja soovitatav, kuid mitte kohustuslik osa E-ITS-i järgimise kohustusest. See aga ei
tähenda, et E-ITS-i järgimine tervikuna oleks subjektile valikuline või et E-ITS-i järgimine ei
oleks subjekti suhtes järelevalvatav. Auditi läbiviimise valikulisus ei mõjuta KüTS-is
määratletud järelevalveorgani meetmete rakendamist subjektide suhtes nõuete täitmise
tagamiseks ega sätesta ühtki eeldust, et subjekt E-ITS-i järgimisest tulenevaid nõudeid muus
osas täidab. Sellest tulenevalt on ka auditi läbiviimine soovitatav sõltumata selle tegemise
kohustusest.
Esimene erand on sätestatud lõike esimeses punktis. Sellest tulenevalt on audit valikuline
KüTS-i subjektidele, kes vastavad mikroettevõtja definitsioonile. Tegemist on
väikesemahuliste organisatsioonidega, kelle IKT korralduslikud vahendid on oluliselt
piiratumad ning seetõttu võib ka auditi lävendiline majanduslik mõju olla organisatsioonile
ebaproportsionaalselt suur. KüTS-i subjektidest on mikroettevõtjad enamasti teede sõidetavust
tagavad ettevõtjad (subjektid KüTS § 3 lg 1 p 1 alusel hädaolukorra seadusest tulenevalt) ning
mitmed perearstid (subjektid KüTS § 3 lg 1 p 7 alusel).
Teine erand on sätestatud lõike teises punktis. Tegemist on asutustega, mille IKT
korralduslikud vahendid on oluliselt piiratumad tulenevalt IKT vahendite väiksemast
olulisusest asutuse avalike ülesannete täitmisel. Avalikus sektoris sõltub asutuse IKT struktuuri
mahukus ning selle IKT struktuuri turvalisuse kriitilisus ühiskonna toimepidevusele rohkem
asutuse ülesannetest kui asutuse organisatsioonilisest suurusest. Muuseumi all on mõeldud
muusemi muuseumiseaduse § 2 lõike 1 tähenduses ning hõlmab sama seaduse § 1 lõigetes 2 ja
3 nimetatud muuseumeid.8 Rahvaraamatukogu all on mõeldud rahvaraamatukogu seaduse § 2
lõike 2 tähenduses olevat rahvaraamatukogu.9 Omavalitsusüksuse ametiasutuse hallatava
asutuse all on mõeldud asutusi, mis on asutatud kohaliku omavalitsuse korralduse seaduse § 22
lg 1 punkti 34 alusel.10
Kommenteeritavas punktis nimetatud asutused peavad siiski läbima auditi, kui vastav asutus on
haridusasutus (Eesti Vabariigi haridusseaduse11 § 3 lõikes 2 tähenduses) või kui tegemist on
andmekogu vastutav töötleja või volitatud töötleja (AvTS § 434 tähenduses). Neid asutusi ei
välistata auditi tegemise ja auditi järeldusotsuse edastamise kohustustest nende asutuste
täidetavate ülesannete tõttu.
8 Muuseumiseadus, RT I, 19.03.2019, 103. 9 Rahvaraamatukogu seadus, RT I, 13.03.2019, 127. 10 Kohaliku omavalitsuse korralduse seadus, RT I, 25.06.2021, 8. 11 Eesti Vabariigi haridusseadus, RT I, 16.06.2020, 3.
9
Eelnõu §-id 5 ja 6 kehtestavad turvameetmete üldnõuded 3. peatüki eraldi jaona. Eelnõu § 5
kehtestab teenuse osutaja teenuste kaardistuse ja turvameetmete dokumenteerimiskohustuse.
Lõige 1 täpsustab dokumenteerimisnõudeid. KüTS § 7 lg 2 punkti 1 alusel peab teenuse osutaja
koostama süsteemi riskianalüüsi, mis lähtub küberintsidentide ohust ning ohu realiseerumisel
kahju olulisusest. Riskianalüüs kuulub ise dokumenteerimisele KüTS § 7 lg 2 punkti 2 alusel,
samuti ka turvameetmete kirjeldus. Kuid küberriskide haldamisel on mainitud kohustuse näol
tegemist vaid kahe viimase protsessi dokumenteerimisega.
Riskianalüüsi läbiviimisele eelneb teenuste kaardistamine ning nende teenuste haldamiseks
asjakohaste süsteemide kaardistamine. Käesolev lõige sätestab seega ka kohustuse
dokumenteerida lisaks riskianalüüsile ja rakendatavatele turvameetmetele ka riskianalüüsile
eelnev teenuste ja vastavate süsteemide kaardistus. Teenuste kaardistamine erasektori puhul on
seotud KüTS § 3 lõikes 1 vastava punkti juures viidatud osutatava teenusega. Avaliku sektori
puhul siinses lõikes mõeldud kaardistus ei ole täielikult kattuv kaardistusega, mis
valitsusasutused peavad tegema teenuste korraldamise ja teabehalduse aluste määruse (edaspidi
TKTA määrus)12 § 7 lõike 1 alusel, kuna TKTA määrus kehtib ainult valitsusasutustele, kuid
KüTS-i ning siinse eelnõuga kehtestatava määruse nõuded kehtivad ka muudele isikutele ja
asutustele kui valitsusasutused. Siiski on võimalik siinse kaardistuse puhul arvestada ning
kasutada TKTA määruse täitmiseks tehtud kaardistust või teha koos tolle kaardistusega (vt ka
eelnõu § 5 lõike 3 selgitust).
Lõige 2 täpsustab riskianalüüsi ja sellega seonduva dokumentatsiooni säilitamisnõuded. KüTS
§ 7 lg 2 punkti 2 alusel on teenuse osutaja kohustatud tagama riskianalüüsi ja sellega seonduva
dokumentatsiooni olemasolu. Käesolev lõige sisustab eelmainitud kohustuse vähemalt 7
aastase säilitamiskohustusega.
KüTS § lg 2 punkti 6 kohaselt peab teenuse osutaja juba praegu taolist dokumentatsiooni
säilitama vähemalt kolm aastat dokumendi loomisest alates. Vastav KüTS-i nõue tunnistatakse
531 SE-ga kehtetuks ning selle asemel kehtestatakse samalaadne (pikema tähtajaga) säte siinse
eelnõuga. Kui teenuse osutaja on koostanud nimetatud KüTS-i nõude alusel vastava
dokumentatsiooni ning see on säilitatud alla kolme aasta eelnõu jõustumise kuupäeval, siis
edaspidiselt tuleb nimetatud dokumentatsiooni säilitada vähemalt 7 aastat. Tähtaja
määratlemisel on lähtutud asjaolust, et see tähtaeg katab ära vähemalt kaks auditiperioodi (3+3
aastat) ning ühe aastase täiendava tähtaja. Nimetatud tähtaeg võimaldab järelevalveasutusel ka
planeerida enda järelevalvelisi tegevusi.
Täiendavalt sätestab käesolev lõige kohustuse lõikes 1 nimetatud dokumentatsiooni
järelevalveasutusele kättesaadavaks tegemiseks. Sätte eesmärk on küberturvalisuse nõuete
järgimise järelevalve efektiivsemaks muutmine. Riskianalüüs ja sellega seonduv on suuresti
aluseks teenuse osutaja küberturbe võimekuse ning selle valdkonna nõuete täitmise
hindamisele. RIA kui järelevalveasutus saab käesolevale sättele tuginedes nõuda teenuse
osutajalt lõikes 1 nimetatud dokumentatsiooni.
12 Vabariigi Valitsuse 25.04.2017 määrus nr 88 „Teenuste korraldamise ja teabehalduse alused“, RT I, 25.03.2021,
6.
10
Lõige 3 täpsustab koostatava dokumentatsiooni vormilisi võimalusi. Käesolev lõige sätestab,
et lõikes 1 nimetatud dokumentatsioon võib olla samastatav teenuse osutaja poolt muu õigusakti
alusel koostatava dokumendi osana. Üheks näiteks on E-ITSi järgimise kohustuse täitmiseks
koostatav dokumentatsioon. Teiseks näiteks on TKTA määruse alusel tehtavad kaardistused (vt
TKTA määruse § 7 lõiget 1 ja § 12 lõiget 1).
Muu õigusakti alusel koostatava dokumendi osa vastavus lõikes 1 nimetatud dokumentatsiooni
nõuetele sõltub võrreldavate sisulisest analüüsist. Selleks, et muu õigusakti alusel koostatava
dokumendi osa oleks samastatav lõikes 1 nimetatud dokumentatsiooniga, peab vastav
dokumendi osa sisaldama lõikes 1 nimetatud dokumentatsiooni sisu, st peab olema olemas
teenuste ja nende haldamiseks asjakohaste süsteemide kaardistus, riskianalüüs ja süsteemidele
rakendatavad turvameetmed.
Vorminõude täpsustus rakendub KüTS § 7 lg 2 punktides 1 ja 2 nimetatud dokumentidele,
kuivõrd täpsustavad dokumenteerimisnõuded on nende osas kehtestanud kommenteeritava
paragrahvi lõige 1.
Käesoleva lõike vormilise võimaluse kasutamisel lõikes 1 nimetatud
dokumenteerimiskohustuse täitmisel kohustub teenuse osutaja RIA lõikele 2 tugineva taotluse
alusel esitama kas muu õigusakti alusel koostatud dokumendi tervikuna või vähemalt sellises
osas, et esitatavas dokumentatsioonis kajastuks lõikes 1 nõutud sisu.
Eelnõu § 6 täpsustab, millal tuleb eelnevas paragrahvis mainitud riskianalüüs ajakohastada.
KüTS § 7 lg 2 punkti 2 alusel on teenuse osutaja kohustatud tagama riskianalüüsi ajakohasuse.
Käesolev lõige sisustab eelmainitud kohustuse. Riskianalüüsi ajakohastamise tähtpäev on kõige
hiljemalt kolme aasta möödumisel viimasest riskianalüüsi ajakohastamisest. Kahel
alternatiivsel juhul võib aga riskianalüüsi ajakohastamise tähtpäev saabuda varem.
Esiteks peab teenuse osutaja oma koostatud riskianalüüsi ajakohastama viivitamatult pärast
olulise mõjuga küberintsidendi toimumist. Pärast olulise mõjuga küberintsidendi toimumist on
vajalik edasiste intsidentide ennetamiseks vaadata üle ennekõike riskianalüüsis loetletud riskide
ning nendele määratud tagajärgede raskusastmete asjakohasus. Küberintsident on defineeritud
KüTS § 2 punktis 3 ning küberintsident on olulise mõjuga, kui on täidetud vähemalt üks KüTS
§ 8 lõikes 2 sätestatud tingimustest.
Teiseks peab teenuse osutaja oma koostatud riskianalüüsi ajakohastama viivitamatult pärast
süsteemi turvalisust mõjutava muudatuse rakendamist. Sellises olukorras ei pruugi enam olla
asjakohased riskianalüüsi aluseks olevate süsteemide kaardistused ega ka riskianalüüsis
loetletud riskid ning nende tagajärgede raskusastmed. Süsteemi turvalisus on defineeritud
KüTS § 2 punktis 2 ning süsteemi turvalisust mõjutava muutusena on käsitletavad kõik
muudatused süsteemile (nii riist– kui ka tarkvaralised) mis mõjutavad süsteemi eelmainitud
omadust. Riskianalüüsi ajakohastamise kohustuse tekkimiseks peab muudatus olema läbiviidud
või tellitud teenuse osutaja poolt. Litsentseeritud tarkvara suhtes rakendatavad uuendused
litsenseerijate poolt, kui need on tehtud süsteemi tavapärase hoolduse raames ning ei muuda
süsteemi otstarvet, ei too kaasa ka kohustust riskianalüüsi ajakohastamiseks.
11
Tuvastamine, kas teenuse osutaja on viivitanud riskianalüüsi ajakohastamisega, tuleb läbi viia
iga teenuse osutaja suhtes asjaoludest lähtuvalt. Ennekõike on viivitamise tuvastamisel oluline
riskianalüüsi ajakohastamise eeldatav ajakulu muudatuste ning mõjutatud süsteemide ulatust
arvestades. Pärast küberintsidendi toimumist tuleb viivituse tuvastamisel arvestada ka
võimaliku ajakuluga KüTS § 7 lg 2 punktis 4 sätestatud kohustuse täitmiseks.
Eelnõu §-id 7 kuni 11 (3. peatüki 2. jao 1. jaotis) kehtestavad küberturvalisuse nõuete erisused
andmekogude pidamisel. Andmekogu on AvTS-s reguleeritud süsteemi eriliik, millele
rakenduvad ka eelmainitud seaduse alusel mitmed nõuded. Andmekogude küberturvalisuse
tagamiseks rakendatakse ISKE nõudeid, mis omakorda olid koostatud andmekogu kui süsteemi
vaatepunktist. E-ITSi kehtestamisel ISKE asemele (531 SE ning siinse eelnõu tulemusena)
uueneb mõnevõrra ka küberturvalisuse tagamiseks rakendatavate nõuete loogika, seda
ennekõike süsteemipõhise lähenemise asendamisel organisatsiooni ja selle protsesside põhiste
lähenemisega.
Arvestades aga vajadust säilitada andmekogude kui eriliigiliste süsteemide turbeastme
määramine ennekõike andmekogu andmete tähtsusest lähtuvalt (erinevalt E-ITS-i riskipõhisest
kaitsetarviduse määramisest infovarade olulisuse kaudu protsessi eesmärgi täitmisel) ning
säilitada riigi infosüsteemi haldussüsteemi ja seekaudu ka andmekogude põhimääruste
regulatiivne sisu turvaosaklasside ja nendest tulenevate turbetasemete osas, on eelnõu §-de 7-
11 eesmärk võtta üle kehtetuks tunnistatavast13 infosüsteemide turvameetmete süsteemist
andmekogude turbeastmete regulatsioon ning ühildada see E-ITS-i rakendamisega
organisatsioonis, mis on andmekogu vastutav või andmekogu majutav volitatud töötleja.
Eelnõus sätestatavad §-id 7-10 kehtivad juba praegu süsteemidele (vt KüTS § 9 lõiget 2), sh
andmekogudele (vt AvTS § 439 lõike 3 esimest lauset ning sama paragrahvi lõike 1 punkti 4).
Need nõuded on hetkel sisustatud Vabariigi Valitsuse 20.12.2007 määruse nr 252
„Infosüsteemide turvameetmete süsteem“ (edaspidi ISKE määrus)14 §-des 4-9. Nimetatud
muudatusete sisu on analüüsitud ISKE määruse ning selle muudatuste vastu võtmisel – seetõttu
puudub vajadus kehtiva õiguse säilitamisega seotud muudatusi uuesti analüüsida.
Eelnõu §-id 7–11 hakkavad kehtima 01.01.2023 ehk ISKE määruse volitusnormi kehtetuks
tunnistamise järel.
Eelnõu § 7 kehtestab turvameetmete nõuete erisused andmekogu pidamisel.
Lõige 1 kehtestab andmekogu vastutavale töötlejale kohustuse korraldada andmekogu
turbeastme määramine. Andmekogu turbeastme määramise aluseks on andmekogu andmete
turvaklass, mille määramist samuti andmekogu vastutav töötleja korraldama peab. Andmekogu
andmete turvaklassi määramise aluseks on andmete turvaanalüüs ehk andmete tähtsuse
hindamine ning andmete püüdmisest tuleneva kahju hindamine, ka selle läbiviimise kohustus
on andmekogu vastutaval töötlejal käesoleva lõike alusel. Eelnõu § 10 sisustab täpsemalt
andmete turvaanalüüsile vastavate erinevate andmete turvaosaklasside olemust.
13 531 SE-ga tunnistatakse kehtetuks AvTS-is olev ISKE määruse volitusnorm. 14 Vabariigi Valitsuse 20.12.2007 määrus nr 252 „Infosüsteemide turvameetmete süsteem“ (RT I, 15.09.2020,
15).
12
Lõike eesmärk on sätestada alus teenuse osutajale, kes on andmekogu vastutav töötleja,
andmekogude erisuste rakendamiseks turvameetmete rakendamisel ning koondab endas ISKE
määruse § 4 lõike 1 ja § 5 lõike 1 regulatiivset sisu.
Lõige 2 kehtestab andmekogu andmetele määratud turvaklassi ja andmekogu turbastme
kooskõlastamise korra. Lõige säilitab ISKE määruse § 4 lõike 2 regulatsiooni.
Lõige 3 kehtestab piirangu andmekogude kasutamisele. Nimelt peavad enne või hiljemalt
andmekogu kasutusele võtmise ajaks olema rakendatud ka turvameetmed. Samasisuline nõue
oli kuni 17.09.2020. a ISKE määruse § 4 lõikes 2.15 Õigusselguse tagamiseks on vajalik
määratleda, mis ajaks on vajalik tagada turvameetmete rakendamine, mistõttu toimub selle sätte
uuesti kehtestamine. Kasutusele võtmise aeg on seotud kommenteeritava paragrahvi lõikes 2
viidatud kooskõlastusmenetlusega riigi infosüsteemi haldussüsteemis ehk RIHA.16 Näiteks uute
andmekogude puhul peavad turvameetmed olema rakendatud andmekogu lõpliku
registreerimise ajaks (st kui andmekogu saab RIHA-sse märke "kasutusel").
Lõige 4 alusel kehtestatav kohustus turvameetmete rakendamiseks lähtuvalt andmekogu
turbeastmele kohaldub teenuse osutajatele, kes on nii andmekogu vastutavad töötlejad kui ka
andmekogu majutamiseks volitatud töötlejad. Andmekogu turbeastmest tulenevad
turvameetmed lähtuvad E-ITSi rakendamise erikorrast, mis on omakorda reguleeritud eelnõu
§-s 11. Lõige säilitab kuni 17.09.2020. a kehtinud ISKE määruse § 4 lõike 2 teise lause
regulatsiooni.
Eelnõu § 8 kehtestab andmekogu turbeastme määramise korra. Turbeastme määramine lähtub
otseselt andmekogusse kogutavatele andmetele määratud turvaklassi turvaosaklassist.
Paragrahviga säilitatakse ISKE määruse § 6 lõike 1 sisu.
Esimene lõige sätestab kolm võimalikku andmekogu turbeastet – kõrge (H), keskmine (M) või
madal (L). Teine lõige määratleb, kuidas konkreetsetest andmete turvaklassi osaklassidest
lähtuvalt andmekogu turbeastet määrata. Andmete turvaklassi määramise korra kehtestab
eelnõu § 8 ning turvaosaklasside määramise eelnõu § 9.
Turbeastme määramist on võimalik määratleda järgnevalt:
Andmekogu andmete turvaklassi (KTS)
kõrgeima numbrilise väärtusega turvaosaklassi
(K, T või S) väärtus
Andmekogu madalaim võimalik turbeaste
0 L
1 L
2 M
3 H
15 Eelnõude infosüsteemi toimik nr 20-0208: Vabariigi Valitsuse 20. detsembri 2007. a määruse nr 252
„Infosüsteemide turvameetmete süsteem“ muutmine – kättesaadav:
https://eelnoud.valitsus.ee/main/mount/docList/0909a3a0-38ed-434c-8dc3-7a9c0f87be92. 16 Riigi infosüsteemi haldussüsteem ehk RIHA – lisainfo: https://www.riha.ee/Avaleht.
13
On lubatud määrata andmekogule ka kõrgem turbeaste kui madalaim turbeaste ehk andmete
turvaklassi turvaosaklassi väärtusele vastav turbeaste. Kõrgema turbeastme määramine võib
kuuluda kohaldamisele, kui rakendaja soovib sõltumata madalamast andmete turvaklassist
rakendada andmekogule kõrgemaid küberturvalisuse tagamise nõudeid.
Andmekogu turbeastmete määratlemine on vajalik küberturvalisuse tagamisega seotud edasiste
tegevuse jaoks – ennekõike turvameetmete valiku ja rakendamise teostamiseks. Vt siin ka
eelnõu §-i 11.
Eelnõu § 9 kehtestab andmekogu andmete turvaklassi määramise korra. Andmete turvaklass
on otseselt tuletatud andmete turvaosaklasside numbrilistest väärtustest. Andmete
turvaosaklasside määramine kehtestatakse eelnõu § 10 alusel.
Lõiked 2–4 selgitavad erinevate turvaosaklasside (käideldavus, terviklus ja konfidentsiaalsus)
tähendusi ning lõige 5 selgitab turvaklassi määramise korda. Kuna andmekogude osas
säilitatakse eelnõuga eraldi regulatsioon ning see jõustub erineval ajal eelnõust, siis ei ole
mõistlik nimetatud termineid sisustada eelnõu §-s 2.
Lõige 1 säilitab ISKE määruse § 6 lõike 2 sisu. Lõiked 2-4 säilitavad ISKE määruse § 6 lõigete
3-5 sisu. Lõige 5 säilitab ISKE määruse § 3 lg 1 punkti 7 ja § 5 lõike 4 mõtet ning §-i 8 sisu.
Eelnõu § 10 kehtestab andmekogu andmete turvaosaklasside määramise korra.
Lõige 1 sätestab turvaosaklassi mõiste tähenduse. Turvaosaklassil on tähis (K, T või S) ning
numbriline väärus (0, 1, 2, 3). Tähis märgistab andmete tagatava parameetri (käideldavus,
terviklus või konfidentsiaalsus) ning numbriline väärtus tähistab vastava tagatava parameetri
tähtsusest tulenevat infoturbe eesmärki.
Lõige 1 säilitab ISKE määruse § 3 lg 1 punktis 8 olevat termini sisu ning mõtet.
Lõige 2 sätestab alused, millest lähtuvalt tuleb määrata andmete tagatava kvaliteedi infoturbe
eesmärke hinnata. Vastavalt lõigetele 3-5 on sätestatud andmete erinevate turvaosaklasside
numbrilised väärtused ja sellele vastav infoturbe eesmärk (vajalik saavutatav tulem). Kui
turvaosaklass koos tähise ja numbrilise väärtusega vastab konkreetsele saavutatavale infoturbe
eesmärgile, siis lõikes 2 on sätestatud alused, millest lähtuvalt peab rakendaja hindama, milline
peaks selle andmekvaliteedi osas soovitud infoturbe eesmärk kui vajalik saavutatav tulem.
Andmete vastava turvaosaklassi määramiseks on seega vajalik võtta aluseks kolm peamist
kriteeriumi.
Esimene kriteerium on andmetega seotud nõuded (nii lepingulised kui ka õigusaktidest
tulenevad). Näiteks kui andmekogu töötleb asutusesiseseks kasutamiseks mõeldud teavet, ei
saaks olla põhjendatud nendele andmetele konfidentsiaalsuse osaklassi „S0“ määramine.
Teine kriteerium on andmetega seotud pakutavate teenuste iseloom. Näiteks kui andmekogu on
kriitiline osa elutähtsa teenuse osutamist tagavast süsteemist, siis ei ole põhjendatud andmete
käideldavuse osaklassi „K1“ määramine.
Kolmas kriteerium on küberintsidendist tekkiv kahju. Küberintsidendi all on mõeldud
küberintsidenti KüTS § 2 punkti 3 tähenduses. Kriteerium võtab eelduseks, et küberintsident
14
toimub andmekogu või seda toetava süsteemi suhtes ning selle tulemusena on mõjutatud
andmete käideldavus, terviklus või konfidentsiaalsus. Näiteks võib andmekogu küberintsident
oluliselt muuta või isegi hävitada karistusregistri andmed. Sellest tekkiv kahju on piisavalt
oluline, et ei oleks põhjendatud andmete tervikluse osaklassi „T1“ määramine.
Iga rakendaja ülesanne on hinnata lõikes sätestatud aluste põhjal andmete tähtsust objektiivselt
ning kooskõlas KüTS §-s 6 sätestatud küberturvalisuse tagamise põhimõtetega. Erinevatel
kriteeriumitel võib konkreetsete andmekogumite osas olla erinev tähtsus. Kui üks
kriteeriumitest viitab kõrge väärtusega turvaosaklassi määramisele, siis see võib põhjustada ka
vajaduse määrata kõrge väärtusega turvaosaklass sõltumata teiste kriteeriumite viitamistele
madalama turvaosaklassi määramiseks.
Lõiked 3-5 kehtestavad iga turvaosaklassi tähise igale numbrilisele väärtusele vastava
saavutatava infoturbe eesmärgi taseme ehk turvaosaklasside skaala. Nimetatud lõiked säilitavad
ISKE määruse § 7 sisu. Eelnõus säilitatavate sätete osas on tehtud ainult üks erisus võrreldes
ISKE määruse § 7 lg 3 punktidega 2-4 – sõnade „õigustatud huvi“ asemel on kasutatud sõna
„teadmisvajaduse“. See muudatus ei muuda lause mõtet ning see võimaldab välistada
ebaselguse, et nimetatud sõnastused oleksid seotud isikuandmete kaitse üldmääruses17
sätestatud õigustatud huvi kui ühe isikuandmete töötlemise õigusliku alusega.
Lõige 6 sätestab andmete turvaosaklassi määramise korra juhul, kui andmekogu analüüsitavad
andmed on mitmeliigilised (andmestik). Üldjuhul on andmekogudes salvestatud andmed
mitmeliigilised, näiteks isikuandmeid puudutavates andmekogudes salvestatakse rohkem kui
lihtsalt andmesubjekti nimi (isikukood, andmekoguga seotud teenuse jaoks vajalikud andmed
jms). Sellisel juhul lähtutakse andmete (kui terviku) turvaosaklassi määramisel just nendest
andmetest, millest tuleneb suurim kaitsevajadus lõikes 2 sätestatud alustel infoturbe eesmärkide
määramisel. Siinne lõige säilitab ISKE määruse § 5 lõike 3 sisu.
Eelnõu § 11 kehtestab turvameetmete rakendamise lähtuvalt andmekogu turbeastmest. Eelnõu
§ 7 lõike 4 alusel on teenuse osutajal kohustus rakendada andmekogu pidamisega seotud
süsteemide turvameetmeid andmekogu turbeastmest lähtuvalt. Sisuliselt eeldab selle kohustuse
täitmine erisuste rakendamist E-ITS-i järgimisel. Sellest tulenevalt on eelnõus kasutusel ka E-
ITS-i spetsiifilised terminid „kaitseala“, „kaitsetarve“, „standardturve“, „väga suur (VS)“, „suur
(S)“ ja „normaalne (N)“.
Lõige 1 kehtestab erisuse E-ITS-i tingimuste järgimisel kaitsetarbe ja turbeviisi määramisele.
E-ITS-i tingimuste järgi tuleb kaitsetarbe määramisel lähtuda varasemalt määratletud
kaitsealast (nt infovarade kogumik). Käesoleva lõike alusel on teenuse osutajal keeld arvestada
andmekogu ning selle pidamisega seotud süsteemid erinevatesse kaitsealadesse. Täiendavalt ei
saa nimetatud kaitsealale määrata madalamat kui andmekogu turbeastmele vastavat
kaitsetarvet. Kaitsetarve (E-ITS) ja turbeaste (ISKE) on sisuliselt sarnased terminid, mis
iseloomustavad süsteemide küberturvalisuse tagamise olulisust. Lõikes 2 on kehtestatud ka
igale andmekogu turbeastmele vastav andmekogu sisaldava kaitseala kaitsetarve. Kui teenuse
17 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta
isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta
(isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88).
15
osutaja on otsustanud rakendada turvameetmeid vastavalt E-ITS etalonturbe kataloogidele, siis
peab teenuse osutaja, sõltumata sellest, kas E-ITS tingimuste järgimisel oleks lubatav ka
põhiturbe või tuumikuturbe rakendamine, rakendama standardturbe turveviisi.
Lõige 2 kehtestab igale andmekogu turbeastme väärtusele vastava E-ITS-is kehtestatud
kaitsetarbe väärtuse.
Lõige 3 kehtestab erandi andmekogust turbeastmest tulenevate erisuste arvestamisele
turvameetmete rakendamisel. Nimelt loetakse eelnõu § 7 lõikes 4 sätestatud kohustus täidetuks,
kui teenuse osutaja on täitnud § 3 lõikes 2 sätestatud tingimuse ehk E-ITS-i asemel on
rakendanud rahvusvahelise standardiga ISO/IEC 27001 standardile vastavad turvameetmed
ning esitanud RIA-le kehtiva vastavussertifikaadi.
Eelnõu §-id 12 ja 13 (3. peatüki 2. jao 2. jaotis) kehtestavad küberturvalisuse nõuete erisused
avalike ülesannete täitmist oluliselt mõjutavate süsteemide pidamisele. Eesmärk on kindlustada
avaliku sektori põhifunktsioonide täitmiseks vajalike andmete turvaline säilitamine ja ligipääs
ning elutähtsate infosüsteemide töös hoidmine teenuste osutamiseks ka siis, kui riigi
territooriumil asuvate andmekeskuste töö on peatunud või häiritud näiteks looduskatastroofi,
ulatusliku küberrünnaku, elektrikatkestuse või muu kriisiolukorra tõttu.
Eelnõu § 12 sätestab kaheteistkümnest kriitilisest süsteemist koosneva loetelu, millel on oluline
mõju riigi- ja kohaliku omavalitsuse üksuse asutuse võimele avalikke ülesandeid täita.
Lähtudes MKM-i küberturvalisuse strateegiast 2019-2022 on kõige enam kaitset vajavateks
digitaalseteks varadeks põhiandmed kodanike, riigi territooriumi ja õigusloome kohta18.
Kriitiliste andmekogude töörühm, mis käis koos MKM-i juhatamisel selgitasid välja avalike
ülesannete täitmist oluliselt mõjutavad süsteemid, mis on ka küberjulgeoleku nõukogu19 poolt
kinnitatud.
Nendeks kriitilisteks süsteemideks on e-toimiku süsteem, elektrooniline kinnistusraamat,
äriregister, riigi- ja kohaliku omavalitsuse asutuste riiklik register, mittetulundusühingute ja
sihtasutuste register, kommertspandiregister, Riigi Teataja infosüsteem, elektrooniline kataster,
riigikassa infosüsteem, maksukohustuslaste register, rahvastikuregister, sotsiaalkaitse
infosüsteem. Eelnõus on kasutatud nimetatud andmekogude ametlikke nimetusi, mis on
nimetatud vastavat andmekogu reguleerivas seaduses või põhimääruses.
Eelnõu § 13 sätestab §-s 12 loetletud süsteemide varundamise nõuded.
Paragrahv sätestab, et süsteemide andmekoosseis tuleb varundada välisriigi andmekeskusesse
(edaspidi andmesaatkond), vajadusel koos andmekoosseisu kasutamiseks vajaliku toimiva
rakenduskihiga.
18 Majandus- ja Kommunikatsiooniministeerium. Küberturvalisuse strateegia 2019-2022, lk 24. Kättesaadav:
https://www.mkm.ee/sites/default/files/kuberturvalisuse_strateegia_2019-2022.pdf. 19 2009. aastal alustas Vabariigi Valitsuse julgeolekukomisjoni juures tööd küberjulgeoleku nõukogu, mille
ülesanne on aidata kaasa ametkondade koostöö toimimisele ja teha järelevalvet küberjulgeoleku strateegia
eesmärkide elluviimise üle. Nõukogu esimees on ettevõtlus- ja infotehnoloogiaminister ning nõukogu juhib MKM-
i kantsler.
16
Andmed varundatakse rahvusvahelise lepingu alusel andmesaatkonda tagamaks, et olukorras,
kus riigi territooriumil asuvate andmekeskuste töö on peatunud või häiritud näiteks sõja,
looduskatastroofi, ulatusliku küberrünnaku, elektrikatkestuse või muu kriisiolukorra tõttu, riigi
ja kohaliku omavalitsuse üksuse asutuste põhifunktsioonide täitmiseks vajalikud andmed ei
hävineks; tagatud oleks nende kestev säilimine ning neid oleks võimalik võtta kasutusse kas
koheselt, ilma, et elutähtsa teenuse osutamine ebaproportsionaalselt pikaks ajaks peatuks või
lõppeks või hiljem, kui tekib taas võimalus andmete baasil avalike ülesandeid täita. Teisisõnu
on andmesaatkonna pidamise eesmärk tagada Eesti omariikluse ja digitaalse järjepidevuse
säilimine läbi oluliste andmete tervikluse, käideldavuse ja konfidentsiaalsuse tagamise.
Selleks, et andmesaatkonda varundatud andmekoosseise oleks võimalik realiseerida
(varukoopiate alusel andmekoosseisud taastada), on vajalik, et lisaks andmekoosseisudele oleks
andmesaatkonda varundatud ka vastavate infosüsteemide rakenduskiht ja muu, mis on vajalik
andmete kasutuselevõtuks ja elutähtsate teenuste toimimiseks. Näiteks saab varundada koopia
virtuaalmasinast või andmekogu koos selle info- ja tootesüsteemiga. Pelgalt andmebaasi sisu
ehk andmete ning sellega seonduva tarkvara lähtekoodi varundamine ei võimalda efektiivselt
andmesaatkonda varundatud andmeid taastada, kui selleks peaks vajadus tekkima.
Andmekoosseisu varundav asutus hindab läbi testimise, kas välisriigi andmekeskusesse
varundatud süsteemi on võimalik töösse rakendada kasutades ainult varundatud faile.
Kommenteeritav paragrahv ei tähenda, et mõne riigiga tuleb sõlmida rahvusvaheline leping,
vaid see selgitab, et kui see on sõlmitud, siis andmete vahetamine toimubki selle lepingu alusel.
Lisaks sellele lepingule võikase ette näha seda lepinguid täiendavaid kokkuleppeid – nt
võidakse leppida kokku varundamisega seotud üksikasjad Eesti Vabariigi ja välisriigi vahelise
andmete ja süsteemide majutamise kokkuleppega.
Kuivõrd andmesaatkonna kontseptsioon on uudne ning tegemist ei ole vaatamata
mitteametlikule nimetusele „andmesaatkond“ siiski diplomaatilise esindusega, millele
kohaldatakse diplomaatiliste suhete Viini konventsioonist20 tulenevalt välisesindustele omaseid
eesõigusi ja puudutumatust, on vajalik sõlmida rahvusvaheline leping, mille eesmärgiks on
kaitsta Eesti riigi avalike ülesannete täitmist oluliselt mõjutavaid süsteeme ja nendes sisalduvate
andmete puutumatust ning tagada neile välisesindustega sarnane kaitse. Riikidevaheline
kokkulepe määrab kindlaks riikide kohustused ja õigused, mis on vajalikud Eesti riigi andmete
ja süsteemide kaitsmiseks.21
Eelnõu §-id 14 kuni 19 (3. peatüki 2. jao 3. jaotis) kehtestavad küberturvalisuse nõuete erisused
pilvsüsteemide pidamisel. Pilvsüsteem on käesolevas määruses defineeritud süsteemi eriliik.
Käesolevas jaotises sätestatud nõuete eesmärk on luua regulatiivne raamistik avalikule sektorile
pilveteenuste kasutamiseks avalike ülesannete täitmisel. Pilveteenuste kasutamise ajendiks on
ennekõike majanduslikud eelised andmetöötlusressursside kasutamiseks vastavalt kasutaja
vajadusele, kuid kasutamisega kaasnev olemuslik risk on tehnilise kontrolli puudumine
kasutatava infrastruktuuri üle. Regulatiivse raamistiku puudumisel võib seega tekkida liigne
risk avaliku sektori toimepidevusele, kui pilvandmetöötlusteenuste majanduslikke eeliste
20 Diplomaatiliste suhete Viini konventsioon; välisleping avaldatud RT II 2006, 16. 21 Eesti Vabariigi ja Luksemburgi Suurhertsogiriigi vahelise andmete ja infosüsteemide majutamise kokkuleppe
ratifitseerimise seadus 563 SE seletuskiri. Kättesaadav: https://www.riigikogu.ee/tegevus/eelnoud/.
17
kõrval puudub kohustus ka teenusega seotud riskide hindamiseks. Sätted kehtestavad seega
põhilised eeltingimused, mille eesmärk on kaasnevat riski või selle mõju vähendada süsteemide
osas, mis on vajalikud avalike ülesannete täitmiseks. Sellest tulenevalt on käesoleva jaotise
sätetel kaks iseärasust.
Esimene paragrahv on kohaldamisala. Käesoleva jaotise sätteid kohaldatakse vaid osale KüTS-
i kohaldamisalast – avalikule sektorile. Teine on turvameetmete erinõuete iseloom. Ennekõike
on tegemist protseduuriliste nõuetega pilvsüsteemi pidamisel, mida rakendatakse kasutatava
pilvandmetöötlusteenuse valimiseks, mitte tehniliste nõuetega pilvsüsteemile endale.
Jaotises on sätestatud KüTS § 7 lõike 1 struktuuri eeskujul pilvsüsteemi pidamisele
rakendatavate turvameetmete erinõuded vastavalt nõude eesmärgile kas küberintsidendi
ennetamiseks, lahendamiseks või selle mõju leevendamiseks.
Eelnõu § 14 sätestab nõuete kohaldamise ulatuse. Olulisim on teises lõikes sätestatu, mis
kitsendab jaotise nõuete kohaldamisala konkreetsele osale KüTS-i subjektidest. Pilvsüsteemide
pidamisega seotud nõudeid kohaldatakse vaid KüTS § 3 lõikes 4 sätestatud loetelule. Eelnõu
koostamise hetkel on selleks loeteluks:
1) andmekogu vastutav töötleja ning volitatud töötleja;
2) Arenguseire Keskus;
3) Eesti Pank;
4) kohaliku omavalitsuse üksus ja kohaliku omavalitsuse üksuste liit;
5) kohtuasutus;
6) riigi valimisteenistus;
7) Riigikogu Kantselei;
8) Riigikogus esindatud erakond;
9) Riigikontroll;
10) Riigimetsa Majandamise Keskus;
11) seaduse alusel asutatud avalik-õiguslik juriidiline isik;
12) Vabariigi Presidendi Kantselei;
13) valitsusasutus ja valitsusasutuse hallatav riigiasutus;
14) valla või linna ametiasutus, valla või linna ametiasutuse hallatav asutus, osavald ning
linnaosa, osavalla või linnaosa ametiasutus, osavalla või linnaosa ametiasutuse hallatav
asutus, omavalitsusüksuste ühisamet ja -asutus;
15) Õiguskantsleri Kantselei.
Eelnevalt toodud loetelu lisandub KüTS-i 531 SE tulemusena.
Käesolevas jaotises on toodud loetelu ühisnimetajaks määratud „kasutaja“, viitamaks asjaolule,
et KüTS-i subjekt kasutab pilvsüsteemi pidamiseks pilvandmetöötlusteenust. Tegemist on nn
avaliku sektori loetelu osaga KüTS subjektide laiemast loetelust. Kuivõrd jaotises loodav
regulatiivne raamistik mõjutab subjekti majanduslikku käitumist pilvandmetöötlusteenuste
soetamisel, siis on eesmärk rakendada eelkirjeldatud riske maandavat raamistikku avaliku
sektori süsteemidele vähemalt kuni pole hinnatud, kas vastav raamistik on eesmärgipärane ning
vajalik regulatsioon ka KüTS erasektori subjektidele.
18
Kuivõrd jaotis on erineva kohaldamisalaga muu eelnõuga kehtestatava määruse või selle alusel
kehtestatud nõuete kohaldamisalaga võrreldes, on olemas ka võimalus regulatiivsete erisuste
tekkimiseks käesoleva jaotise ja muude sätete vahel. Sellest tulenevalt on paragrahvi esimeses
lõikes sätestatud, et vastuolude korral kohaldatakse käesoleva jaotise sätteid. Ennekõike võib
vastuolu tekkida selle määruse alusel kehtestatavate E-ITS-i nõuetega, mis võivad sätestada
etalonturbe meetmete nõudeid arvestamata käesoleva raamistiku erisusi. Käesoleva eelnõu
koostamise hetkel eelnõuga sätestatavate nõuete ja E-ITS-i nõuete vahel ühtegi vastuolu
tuvastatud ei ole. E-ITS nõudeid rakendatakse lisaks raamistikule ning on oluline välja tuua, et
ka vastuolu korral kohaldatakse kõiki nõudeid osas, mis ei ole vastuolus. Lisaks E-ITS-le tuleb
ka arvestada võimalusega, et kasutaja võtab E-ITS-i asemel kasutusele ISO/IEC 27001 – sel
juhul tuleb kasutajal samuti lähtuda siinses jaotises toodud nõuetest.
Eelnõu § 15 sätestab volituse küberturvalisuse korraldamise eest vastutavale ministrile
kehtestada määrusega pilvsüsteemi pidamiseks kasutatava pilvandmetöötlusteenuse
kohustuslikud tehnilised suvandid. Tegemist on piiritletud pilvandmetöötlusteenuste (näiteks
Microsoft 365) kasutamise korra kehtestamisega. Tehnilised suvandid tähendavad
kohustuslikke juhiseid kasutajale ennekõike selles osas, et missuguseid valikuid ja teenuse
kasutamisega seotud rakenduslikke tegevusi peab kasutaja selle pilvandmetöötluse kasutamisel
tegema. Sätte eesmärk on ennetada levinumate pilvandmetöötlusteenuste kasutamisega seotud
riske kasutaja pilvsüsteemi turvalisusele, mis võivad tuleneda kasutaja (kui organisatsiooni)
vähesest tehnilisest pädevusest või hooletusvigadest teenuste seadistamisel.
Eelnõu § 16 kehtestab pilvandmetöötlusteenuse pakkujast kui organisatsioonist tuleneva riski
hindamise kohustuse.
Kui süsteem viiakse „pilve“ ehk kui peetakse süsteemi pilvsüsteemina, mõjutab selle
pilvsüsteemi turvalisust suuresti kasutatav pilvandmetöötlusteenus. Pilvsüsteemi turvalisus
tähendab muidugi KüTS § 2 lõikes 2 sätestatud süsteemi turvalisuse mõistet kohandatuna
pilvsüsteemile ehk süsteemile, mille pidamist teostab kasutaja pilvandmetöötlusteenust
kasutades. Kasutajal on aga praktikas keeruline hinnata kasutatava pilvandmetöötlusteenuse
turvalisust, seda ennekõike kasutatava tehnoloogilise lahenduse kasvava keerukuse,
läbipaistmatuse ning hindamiseks vajaliku tööjõu puudumise tõttu. Suuremate tehniliste
puuduste või turvariskide tuvastamine ehk üldine kvaliteedihindamine on kindlasti võimalik,
kuid oluline keerukus seisneb just peidetud riskide tuvastamises või nende olemasolu
objektiivses välistamises. Siiski ei mineta see takistus vajadust pilvsüsteeme kaitsta ehk näiteks
vältida avaliku sektori süsteemide sidumist pilvandmetöötlusteenustega, mis selle turvalisust
ohustavad.
Pilvandmetöötlusteenuse tehnilise lahenduse hindamise kõrval on aga lihtsamini võimalik
hinnata seda teenust pakkuvat organisatsiooni ehk pilvandmetöötlusteenuse pakkujat. Pakkujast
tulenevate riskide hindamine võimaldab kasutajal välistada suurel määral riske pilvsüsteemi
turvalisusele, mille tuvastamine väljuks muidu lahenduse üldise kvaliteedihindamise ulatusest,
sest pilvandmetöötlusteenuse puhul mõjutab pilvsüsteemi turvalisust kestvuslepingulisele
suhtele iseloomulikult ka pakkuja tegevus teenuse osutamisel ning siin ongi peamiseks
kriteeriumiks pakkuja usaldusväärsus kasutajale.
19
Käesoleva paragrahviga loodav pilvandmetöötlusteenuse pakkujast tuleneva riskihindamise
raamistik ei jõua seega järelduseni pilveandmetöötlusteenuse tehnilise turvalisuse osas, vaid
jõuab hinnanguni süsteemi turvalisust ohustavate riskide esinemise ning peitmise tõenäosuse
suhtes teenuse osutamisel pilvandmetöötlusteenuse pakkujast kui organisatsioonist tulenevalt.
Raamistik on sisult hinnanguline ning hinnangu annab kasutaja. Keelatud on kasutada
pilveandmetöötlusteenust, mille pakkujast tuleneb kõrge risk pilvsüsteemi turvalisusele, seega
ei ole hindamise küsimus selles, et kas kasutaja leiab ükskõik millise riski pilvsüsteemi
turvalisusele pakkuja organisatsioonist tulenevalt, vaid kas leitav on kõrge risk. Kuivõrd
siinkohal ei vaadelda pilvandmetöötlusteenuse kasutamise eesmärki, siis ei ole kõrge risk
seotud kahjuliku tagajärje ulatusega. Käesolevas raamistikus on riski väärtus seotud riski
tõenäosusega ehk risk on kõrge sellisel juhul, kui on tõenäoline, et pakkujast kui
organisatsioonist tulenevalt, kaasnevad tema pilvandmetöötlusteenuse kasutamisega riskid,
tehniliselt peidetud või mitte, pilvsüsteemi turvalisusele. Pakkujast tulenev risk tähendab
siinkohal, et pakkuja hindamisel on tuvastatud ebausaldusväärsusele viitavad asjaolud või pole
suudetud saada teavet, mis pakkuja usaldusväärsust hinnata võimaldaksid.
Suur osa avalikus sektoris kasutatavatest pilvandmetöötlusteenustest pakuvad loetletud
teenusepakkujad. Kuivõrd teenusepakkuja hindamine tugineb rangelt organisatsiooni enda
hindamisele ning ei lähtu konkreetsest teenusest, selle olulisusest kasutajale ega ka teenuse
kasutamise eesmärgist, ei ole kuidagi välistatud võimalus kasutajal tugineda mõne teise
kasutaja riskihinnangu järeldustele. Samas ei võta teise kasutaja riskihinnangule tuginemine ära
kasutaja enda vastutust kohustuse asjakohase täitmise üle.
MKM-l on kavas levinumate teenusepakkujate suhtes korduvate riskihindamiste tegemise
halduskoormuse vähendamiseks luua keskne riskihindamise mehhanism, mille kaudu
avalikustataks riskihinnangud levinumate teenusepakkujate suhtes. Variante riskihindamisi
teostavateks asutajataks on mitmeid, näiteks muutub üheks suurimaks
pilveandmetöötlusteenuste kasutajaks Riigi Info- ja Kommunikatsioonitehnoloogia Keskus
(edaspidi RIT). Samuti saab RIA teha korrakaitseseaduse22 alusel ohuhinnanguid konkreetse
pilveteenuse osutaja suhtes, arvestades siinses paragrahvis olevaid sätteid. Samalaadset
analüüsi saab teha ka IT-maja ning selle analüüsi ise avalikustada osas, mis pole
juurdepääsupiiranguga.
Lõige 1 sätestab kasutajale kohustuse lähtuda pilvsüsteemide pidamisel selliste pakkujate
teenustest, kellest ei tulene kõrget riski pilvsüsteemi turvalisusele. Lisaks ülaltoodule on vajalik
selle lõike all ka täpsustada, et sätestatud kohustus on ajaliselt kestev. Praktikas on seega
kasutajal vajalik olla kursis pilvandmetöötlusteenuse pakkuja kui organisatsiooniga jooksvalt,
sest olulised muutused pakkuja organisatsioonis võivad tõstatada vajaduse riskihindamise
ajakohastamiseks, kuivõrd varasema hindamise eeldused on muutunud.
Lõige 2 sätestab esimeses lõikes sätestatud kohustuse järgimise tagamiseks pakkuja suhtes
riskihindamise läbiviimise kohustuse. Kui kasutaja soetab pilvandmetöötlusteenust läbi
hankemenetluse, tuleb kasutajal hanget korraldades tähelepanu pöörata käesoleva nõude
täitmisele pakkujate suhtes. Kui hankija ei sätesta piisavaid nõudeid pakkujatele hanke
22 Korrakaitseseadus, RT I, 03.03.2021, 5.
20
korraldamisel, võib ta sattuda käesoleva paragrahvi lõikes 1 sätestatud kohustuse rikkumisse,
kui sõlmib hanke tulemusena lepingu kõrge riskiga (pilveteenuse) pakkujaga.
Lõikes 3 esitatakse näitlik loetelu, millist teavet pilvandmetöötlusteenuse pakkujast tuleneva
kõrge riski hindamisel muu hulgas arvestatakse ning mis võib ohustada pilvsüsteemi
turvalisust. Loetelu põhineb analoogsetel kriteeriumitel, mida rakendatakse sidevõrgus
kasutatava riist- või tarkvara tootja või hooldus- või tugiteenuse pakkujast tuleneva riski
hindamisel elektroonilise side seaduse § 873 lõike 3 alusel.23
Loetelu ei tähenda, et kui üks tingimus on täidetud, oleks tegu automaatselt kõrge riskiga
pakkujaga. Käesolevas raamistikus on riski väärtus seotud riski tõenäosusega ehk risk on kõrge
sellisel juhul, kui on tõenäoline, et pilveandmetöötlusteenuse pakkujast kui organisatsioonist
tulenevalt, kaasnevad tema pilvandmetöötlusteenuse kasutamisega riskid, tehniliselt peidetud
või mitte, pilvsüsteemi turvalisusele. Ühe loetelus nimetatud punkti täitmine võib
põhimõtteliselt kaasa tuua kõrge riski, kuid eeldusel, et see on piisavalt kaalukas.
Punktid, mida pilvandmetöötlusteenuse pakkuja kohta riskianalüüsis muu hulgas hinnatakse,
on tema asukohariik (täpsemalt pakkujale kohalduva jurisdiktsiooni sobivus demokraatliku
õigusriigi avaliku sektori süsteemide pidamiseks) (1-8), äritegevus (8-10), käitumine teenuste
turvalisuse või toimepidevuse tagamisel (11-12) ning pakkuja kasutatava tarneahela vastavus
loetletud punktidele (13).
Punktid 1-8 hindavad ennekõike seda, kas pakkujale kohalduv jurisdiktsiooni on sobiv
demokraatliku õigusriigi avaliku sektori süsteemide sidumiseks nende
pilvandmetöötlusteenustega.
Eesti on Euroopa Liidu, NATO ja OECD liikmesriik. Nende organisatsioonide liikmesriikides
asuvad ettevõtjad on üldiselt vähem riskantsed, kuna nendes riikides kehtivad kokkulepped,
väärtused ja põhimõtted, mis ühilduvad Eesti riigi julgeoleku huvidega. OECD liikmesriike
ühendavad väärtused nagu avatud turumajandus, demokraatlik pluralism ja inimõiguste
austamine ning NATO liikmesriike isikute vabadus, demokraatia, inimõigused ja õigusriik.
Euroopa Liidu põhimõtted on inimõiguste austamine, demokraatia, õigusriik, inimväärikus,
vabadus ning muud Euroopa Liidu õigusaktides sätestatud põhimõtted. Neid väärtusi kandvad
riigid on üldiselt vähem tõenäolised sekkuma oma riigis asuva ettevõtja tegevusse eesmärgiga
kahjustada Eesti riigi julgeolekut.
Sarnaselt eeltooduga on väiksem risk taolisele sekkumisele, kui asukohariigis järgitakse
demokraatliku õigusriigi põhimõtteid ja austatakse inimõigusi ning kaitstakse muu riigi isikute
intellektuaalomandit, isikuandmeid ja ärisaladust.
Demokraatliku õigusriigi põhimõte tähendab, et kehtivad sellised õiguse üldpõhimõtted, mida
tunnustatakse Euroopa õigusruumis. Õigusriigi all on mõeldud õigusriiki laiemas tähenduses
ehk mitte ainult riiki, kus on olemas seadused, vaid on olemas ka põhiõigused, võimude lahusus,
sõltumatud kohtud ja seadusi järgiv haldus.
23 Elektroonilise side seadus, RT I, 27.02.2022, 3.
21
Riik, kus kaitstakse muu riigi isikute intellektuaalomandit, isikuandmeid ja ärisaladust, on
vähem tõenäoline sekkuma enda riigis asuva ettevõtja tegevusse eesmärgiga teise riigi isikute
intellektuaalomandit, isikuandmeid või ärisaladust rikkuda. Kuna pilvsüsteemid võivad olla
riigi ja ühiskonna toimimisel olulise tähtsusega ning töötlevad suures koguses andmeid (sh
isikuandmeid või juurdepääsupiiranguga andmeid), siis peab olema kindlus, et pilvsüsteemidele
nende pidamiseks kasutatavate pilvandmetöötlusteenuste kaudu kolmandatel isikutel ja riikidel
õigusvastaselt juurdepääsu pole.
Teave, et asukohariik käitub küberruumis agressiivselt või Euroopa Liidu, NATO või OECD
liikmesriigid on asukohariigile omistanud küberrünnakuid, viitab, et asukohariik võib taolisi
küberrünnakuid korraldada pilvandmetöötlusteenuste tehnoloogia kaudu ka Eesti vastu.
Punktid selle kohta, kas ettevõtja allub sõltumatu kohtuliku kontrollita asukohariigi või muu
välisriigi valitsusele või riigiasutusel ning kas tema asukohariik või muu välisriik võib
kohustada teda tegutsema Eesti riigi julgeolekut ohustaval viisil, baseeruvad eelkõige teise riigi
õigusruumi hindamisel. Kui näiteks asukohariigi õigusaktid võimaldavad kohtuliku kontrollita
anda ettevõtjale korraldusi luure või riigikaitse huvides teise riigi järele luurata, on see ohumärk
Eesti riigi julgeoleku aspektist.
Punktid 8-10 hindavad eelkõige seda, kas ettevõtjal võib olla varjatud sidemeid välisriigi
valitsusega, mis panevad teda sõltuma selle välisriigi valitsuse tahtest ning luure ja agressiivse
teiste riikide mõjutamise kaalutlustest.
Punktid 11-12 keskenduvad eelkõige sellele, kas pilveandmetöötlusteenuse pakkuja ise
tähtsustab küberturvalisust ning on suuteline tarneid tagama. Kui ettevõtja ise küberturvalisust
ei tähtsusta, on suurem risk, et tema riist- ja tarkvara sisaldab ohtlikke turvanõrkusi. Kui
ettevõtja järjepidevalt, ka pahatahtlikult, teenuste toimepidevust ei taga, seab see ohtu
pilvsüsteemi toimimise ja turvalisuse.
Punkt 13 sätestab, et lisaks pakkujale tuleb hinnata ning kontrollida pilvandmetöötlusteenuse
pakkujaid, keda hinnatav organisatsioon ise teenuse pakkumiseks kasutab.
Pilvandmetöötlusteenused võivad tihti tugineda teistele pilvandmetöötlusteenustele, tüüpiliselt
näiteks ühe teenusepakkuja IaaS/PaaS lahendusel tugineva PaaS/SaaS lahenduse pakkumine
kasutajale. Sellistes olukordades ei tohiks kasutaja pimesi usaldada oma teenusepakkuja
tarneahelat. Näiteks hiljutine SolarWinds Orion’i intsident näitab, et ka tarneahelas olevatele
ohtudele tuleb tähelepanu pöörata.24 Veel problemaatilised võivad olla aga olukorrad, kus
pilveandmetöötlusteenuse pakkujateks on juriidilised kehad, mis on loodud lihtsalt teenuse
vahendamiseks ebausaldusväärse lõpliku teenusepakkuja poolt. Üldiselt on teenusepakkujate
koostööpartnerid või lahenduse pakkumiseks kasutatavad platvormid
pilveandmetöötlusteenuse pakkuja enda poolt avalikustatud. Kui see nii ei ole, siis peab aga
kasutaja vastavat teavet pilvandmetöötlusteenuse soetamisel küsima.
Lisaks eeltoodud tingimustele tuleb pilvandmetöötlusteenuse pakkuja valikul arvestada ka
muudest õigusaktidest või korraldustest tulenevaid nõudeid – näiteks:
24 Lisainfo: https://www.solarwinds.com/securityadvisory ning https://www.zdnet.com/article/solarwinds-the-
more-we-learn-the-worse-it-looks/.
22
Tuleb arvestada ning lähtuda isikuandmete kaitse valdkonnas kehtivatest nõuetest
(näiteks isikuandmete turvalisuse kui ka isikuandmete andmekaitse mõttes
kolmandatesse riikidesse edastamise kontekstis).25
Tuleb arvestada ka Euroopa Liidu määratud sanktsioonidega.26 Lisaks võidakse
rahvusvahelise sanktsiooni seaduse27 alusel välistada teatavate riikide ettevõtete
kaupade (või teenuste) kasutamine riigihangetes.28
Eelnõu § 17 kehtestab piirangud pilvsüsteemis töödeldava teabe käitlemisele
konfidentsiaalsuse tagamise eesmärkidel. Kuigi eelnõu §-s 16 sätestatud raamistik maandab
suurel määral pilvandmetöötlusteenuse kasutamisega kaasnevat riski pilvsüsteemis töödeldava
avaliku sektori teabe lekkimisele või ärakasutamisele teenusepakkuja poolt, siis ei ole kindlasti
usaldusväärsuse hindamise tagajärjel selline risk täielikult maandatud, arvestades, et kasutaja
siiski jagab andmete juurdepääsu teenusepakkujaga.
Pilvandmetöötlusteenuse osutamise seisukohast ei tohiks teenusepakkujal olla huvi
pilvsüsteemis töödeldavate andmete sisule, sest see teadmine ei ole teenuse osutamiseks vajalik.
Seega on enamikel juhtudel usaldusvääruse hindamise järgne jääkrisk andmete lekkimisele või
ärakasutamisele piisavalt madal ehk aktsepteeritav.
Teatud avaliku sektori poolt töödeldavate andmete puhul on aga andmete lekkimise või
ärakasutamise tagajärjed oluliselt suurema mõjuga riiklikule julgeolekule. Selles ulatuses
jääkrisk vastuvõetavaks ei muutu. Kasutaja poolt pilvsüsteemis töödeldavate andmete liikidest
võib eelmainitud mõjuga olla ennekõike asutusesiseseks kasutamiseks tunnistatud teave AvTS
tähenduses (edaspidi AK teave). Seega tuleb tagada, et kui kasutaja edastab pilvsüsteemi sellist
AK teavet, mille lekkimise või ärakasutamise tagajärjed võivad mõjutada riiklikku julgeolekut,
oleks ka nimetatud teabe konfidentsiaalsus täiendavalt kaitstud.
Kuivõrd pilvandmetöötlusteenuse osutamise eelduseks ei ole, et pilvandmetöötlusteenuse
pakkujale on teada pilvsüsteemis töödeldava teabe sisu, siis on selgeim meede sellise AK teabe
lekkimise või ärakasutamise vältimiseks teenusepakkujast tulenevalt tagada teabe
konfidentsiaalsus kasutaja poolt ka teenusepakkuja vastu. Selline meede välistaks
teenusepakkujast tuleneva riski andmete konfidentsiaalsusele. Praktikas tähendab selline nõue
vastava teabe osas ka pilvandmetöötlusteenuse kasutamise eeliste vähenemist, sest paljud
pilvandmetöötlusteenuse funktsioonid rakendavad tulemuste saavutamiseks pilvsüsteemis
hoitavate andmete automatiseeritud töötlemist. Pilvandmetöötlusteenused oleksid sellise teabe
25 Kolmandatesse riikidesse isikuandmete edastamise osas lisainfo leitav siit: https://www.aki.ee/et/teenused-
poordumisvormid/andmete-edastamine-valisriiki ning Euroopa Andmekaitsenõukogu võrgulehel
(https://edpb.europa.eu/our-work-tools/documents/our-documents_et; lehel oleva parempoolses filtreeringus
märkida linnuke teema „International transfers of Data“ juurde). 26 Vt lähemalt https://ec.europa.eu/info/business-economy-euro/banking-and-finance/international-
relations/restrictive-measures-sanctions/what-are-restrictive-measures-sanctions_et ning eraldi vt Venemaa
sõjalise agressiooniga seotud sanktsioone siit: https://ec.europa.eu/info/business-economy-euro/banking-and-
finance/international-relations/restrictive-measures-sanctions/sanctions-adopted-following-russias-military-
aggression-against-ukraine_en. 27 Rahvusvahelise sanktsiooni seadus, RT I, 08.03.2022, 3. 28 Vt ka: Rahandusministeeriumi juhend: kuidas välistada riigihangetes Vene ja Valgevene kaupu ja ettevõtjaid –
kättesaadav: https://www.fin.ee/uudised/rm-juhend-kuidas-valistada-riigihangetes-vene-ja-valgevene-kaupu-ja-
ettevotjaid.
23
puhul kõige selgemalt kasutatavad teabe hoiustamiseks ja edastamiseks, kuigi teoreetiliselt ei
oleks välistatud ka muud funktsionaalsused.
AvTS-st tulenevalt peab küll teabevaldaja tagama AK teabe konfidentsiaalsuse kolmandate
osapoolte eest, kuid AvTS § 38 lõike 4 alusel võib kasutaja lubada kaalutlusotsuse alusel
kolmandate isikute juurdepääsu AK teabele. Käesoleva paragrahvi regulatiivne efekt on seega
ennekõike nimetatud diskretsiooni nulli viimine riiklikku julgeolekut mõjutava AK teabe osas
pilvandmetöötlusteenuse pakkuja suhtes pilvandmetöötlusteenuse pakkumise kontekstis.
Täiendavalt sätestab käesolev paragrahv kohustuste tehnilise meetme rakendamiseks samal
eesmärgil ehk nimetatud AK teabe krüpteerimise pilvandmetöötlusteenuse pakkuja suhtes.
Lõige 1 kehtestab kasutajale kohustuse lõikes loeteletud teabe konfidentsiaalsus tagada
pilvandmetöötlusteenuse pakkuja eest pilvsüsteemis, sealhulgas rakendada tehnilist meedet
vastava teabe krüpteerimiseks teenusepakkuja eest. Lõikes on loeteletud AvTS § 35 lõike 1
punktides 31, 4, 5, 51, 52, 6, 61, 62, 9 või 181 sätestatud teave ehk:
1) teave sisejulgeoleku tagamise, riigikaitsepoliitika kujundamise, riigikaitse korraldamise,
sealhulgas riigi sõjalise kaitse planeerimise, ettevalmistamise ja juhtimise, või riigisaladuse ja
salastatud välisteabe kaitse korraldamisega tegeleva teabevaldaja struktuuriüksuse ülesannete
ja koosseisu, ametniku ja töötaja ning tema ülesannete kohta, kui sellise teabe avalikuks tulek
ohustaks riigi julgeolekut või riigisaladuse ja salastatud välisteabe kaitset;
2) teave kaitseväe relvastuse ja varustuse tabelite ning relvastuse ja varustuse hulga kohta, kui
selline teave ei ole riigisaladus või salastatud välisteave;
3) kaitseväe valdusse sõjalise valmisoleku tõstmisel ja mobilisatsiooni korral üleantava
riigivara kohta käiva teave;
4) teave uurimisasutuse tegevuse meetodite ja taktika kohta, kui selle avalikuks tulek võib
raskendada süütegude avastamist või soodustada nende toimepanemist;
5) teave politsei relvastuse hulga kohta, kui selline teave ei ole riigisaladus või salastatud
välisteave;
6) teave riigikaitselise sundkoormise kohta;
7) teave, mille avalikuks tulek ohustaks riigikaitseobjekti või lihtsustaks selle vastase ründe
toimepanemist;
8) teave riigikaitseülesannete täitmiseks ja hädaolukorra tagajärgede leevendamiseks vajaliku
varu suuruse ja vahendite koguse kohta ning selle kasutusele võtmise ulatuse ja tingimuste
kohta;
9) teabe turvasüsteemide, turvaorganisatsiooni või turvameetmete kirjelduse kohta;
10) elutähtsa teenuse riskianalüüsi ja toimepidevuse plaani puudutav teave.
Loetletud teabeliikide konfidentsiaalsusel on selge seos riikliku julgeolekuga. Teabe loetelu
määratluse aluseks on eelkirjeldatud kahjulike riskide maandamise ning
pilvandmetöötlusteenuste kasutamise eeliste omavaheline tasakaalustamine. Seega on tegemist
24
teabeliikidega, mida valdav osa kasutajaid ei töötle või töötleb kontekstis, milleks pilvsüsteemi
kasutamine ei ole tingimata vajalik.
Tehnilise meetmena tähendab AK teabe krüpteerimise nõude täitmine ennekõike seda, et
kasutaja on muutnud AK teabe teenusepakkujale loetamatuks ning et teenusepakkujal puudub
ligipääs võtmele sellise teabe dekrüpteerimiseks ehk loetavaks muutmisele. Krüpteerimiseks
kasutatavad materjalid peavad olema piisavalt keerukad, et ka mõistliku pingutuse korral ei
oleks eeldatav, et teenusepakkuja suudab dekrüpteerimisvõtit kasutamata teavet dekrüpteerida.
Sellise tehnilise meetme täpsemad nõuete kehtestamiseks on käesoleva paragrahvi kolmandas
lõikes sätestatud ka volitusnorm.
Eeltoodud nimekirjas ei ole kõik olemasolevad AK alused.29 Seetõttu eelnõu koostajad
märgivad, et siinses lõikes toodud loetelu on esmane loetelu ning aja jooksul võib siia lisanduda
ka muid või uusi juurdepääsupiirangute aluseid, kui vastav vajadus peaks tekkima.
Lõikes 2 sätestatakse erand esimeses lõikes kehtestatud piirangule. Teise lõike eesmärk on
võimaldada selliste pilvandmetöötlusteenuste eesmärgipärast kasutamist, mis pakuvad
kasutajale süsteemide turvalisuse tagamise teenuseid. Tuntud ka kui security as a service
(SECaaS), on siinkohal tegemist teenustega, mis vajavad ligipääsu süsteemide turvalisusega
seotud logide andmetele. Ei ole õiguslikult lõplikult selge, kas AvTS § 35 lõikes 1 punktis 9
sätestatud teave turvasüsteemide, turvaorganisatsiooni või turvameetmete kirjelduse kohta
hõlmab määratluse kohaselt ka võrgu- ja infosüsteemi kasutamisega seotud logisid või piirdub
traditsioonilisemas vormis dokumentatsiooniga. Turvameetmete teavet, mida sellisel
pilvandmetöötlusteenusel toimimiseks vaja ei ole, ei tohiks olla ka pilvandmetöötlusteenuse
pakkujale ligipääsetav. Erand rakendub õigusselguse tagamiseks SECaaS lahenduste
toimimiseks vajaliku teabe suhtes.
Lõige 3 sätestab volitusnormi lõikes 1 nimetatud teabe krüpteerimise krüptomaterjalide
täpsemate tehniliste nõuete kehtestamiseks ministri määrusega. Krüptomaterjalide mõiste
tuleneb riigisaladuse ja salastatud välisteabe seadusest ning on täpsemalt määratletud
kaitseministri 28.10.2015 määruses nr 29 „Nõuded krüptomaterjalidele, nende töötlemisele ja
kaitsmisele.“30
Volitusnormi alusel kehtestatud nõuete korral peab kasutaja tagama lõikes 1 nimetatud teabe
krüpteerimise pilvandmetöötlusteenuse pakkuja suhtes vähemalt sätestatud tehnilistele
nõuetele vastavalt. Osas, kus käesoleva lõike alusel nõudeid kehtestatud ei ole, peab kasutaja
tagama lõikes 1 nimetatud teabe krüpteerimise pilvandmetöötlusteenuse pakkuja suhtes
vastavalt üldpõhimõttele, et krüpteerimiseks kasutatavad materjalid peavad olema piisavalt
keerukad, et ka mõistliku pingutuse korral ei oleks eeldatav, et teenusepakkuja suudab
dekrüpteerimisvõtit kasutamata teavet dekrüpteerida.
29 Vt ka RIHA varamus asuvat juurdepääsupiirangute klassifikaatorit – kättesaadav:
https://varamu.riha.ee/#Juurdepaasupiirangute_klassifikaator. 30 Kaitseministri 28.10.2015 määrus nr 29 „Nõuded krüptomaterjalidele, nende töötlemisele ja kaitsmisele“, RT I,
28.06.2017, 48.
25
Lõike eesmärk on vajaduse korral võimaldada ühtlase tehnilise lävendiga krüpteerimisnõuete
korraldamist ning tagada vajadusel õigusselgus nõuete täitmiseks vajalike tehniliste meetmete
suhtes.
Eelnõu § 18 kehtestab kohustuse pilvandmetöötlusteenuste kasutamisel ka teenuse
kasutamisega kaasnevate logide edastamiseks RIA-le.
Avalike ülesannete täitmiseks vajalike süsteemide turvalisus on ühiskondlikult olulise
tähtsusega, sõltumata sellest, kas süsteem tugineb kasutaja enda infrastruktuurile või peab
kasutaja seda pilvsüsteemina. Üks olulisemaid tehnilisi vahendeid süsteemide turvalisuse
tagamisel on süsteemis tehtavate toimingute, täpsemalt nende toimingute logide, seiramine.
Logide seiramine võimaldab koheselt tuvastada ebaregulaarseid või volitamata toiminguid
süsteemis ning seega ka asuda võimaliku küberintsidendi lahendamisele suuremaid kahjusid
ära ootamata.
Paljudele avalikus sektoris kasutatavatele süsteemidele teeb aktiivset seiret RIA, täpsemalt
Eesti rahvuslik CERT (Computer Emergency Response Team). Tegemist on RIA põhimääruse
§ 8 lg 4 punktist 4 tuleneva ülesandega. Seevastu aga süsteem, mida kasutaja otsustab pidada
pilvsüsteemina teenusepakkuja tehnilisele lahendusele tuginedes, asendab varasema süsteemi,
mille turvalisust sai RIA seirata. Sätte eesmärk on hoida ning edendada RIA seirevõimekusele
tuginemisest tulenevaid eeliseid kasutajate süsteemide turvalisuse tagamisel.
Lõige 1 kehtestab kohustuse RIA-le pilvandmetöötlusteenuse kasutamisega kaasnevatele
logide edastamiseks või muul moel kättesaadavaks tegemiseks.
Edastamine või muul moel juurdepääsu tagamine logidele peab võimaldama RIA-le analüüsida
turvalisust ohustavaid riske. Selle nõude täitmiseks peab logide edastamine kasutajalt RIA-le
koheselt pärast seda, kui logid on saabunud teenusepakkujalt kasutajale. Nõude täitmiseks on
seega kasutajal mõistlik luua lahendus, kus logide edastamine toimub reaalajas ja
automatiseeritult.
Kohustuslik on edastada pilvandmetöötlusteenuse kasutamisega kaasnevaid logisid ehk
kasutaja ei pea ise arendama pilvsüsteemi toimingute logimissüsteemi, vaid edastama RIA-le
seda, mida teenusepakkuja kasutajale edastab. Sisuliselt kohaldub nõue ennekõike
pilvandmetöötlusteenuse kasutuslogidele. Samas logide sisu või vorminõue ei ole määratletud.
Põhjuseks on logide mitmekesisus nii selle vormi kui ka sisu jaotustelt. Tuvastamaks,
missuguseid logisid peaks kasutaja RIA-le edastama, on vaja vaadelda logide eesmärki. Kui
logid võimaldavad analüüsida pilvsüsteemi turvalisust ohustavaid riske (näiteks päringulogid),
siis on ka kohustus need logid edastada.
Kui pilvandmetöötlusteenuse pakkuja ei võimalda kasutajale teenuse osana juurdepääsu ühelegi
kirjeldatud logile, siis puudub kasutajal ka kohustus logide edastamiseks. Kasutaja peaks
eelistama siiski pilvandmetöötlusteenuse pakkujaid, kes võimaldavad kasutajatel ka seirata
pilvsüsteemis tehtavaid toiminguid; lõikes kaks sätestatud juhtudel on sellise tingimuse
täitmine ka pilvandmetöötlusteenuse kasutamise eeldus. Kui turvalisuse seireks vajalik logi
sisaldab isikuandmeid, siis on nende RIA-le edastamise aluseks seadusliku kohustuse täitmine
käesoleva sätte alusel. RIA poolt nende andmete töötlemine (seire) toimub samuti seadusliku
26
kohustuse täitmiseks vajaliku andmetöötluse alusel RIA põhimääruse alusel. Kui logi on
määratud AK teabeks, siis on RIA ametniku juurdepääsu aluseks AvTS § 38 lg 3.
Lõige 2 kehtestab kohustuse kasutada vaid sellist pilvandmetöötlusteenuse pakkuja lahendust,
mille kasutamisega kaasnevatele esimeses lõikes määratletud logidele võimaldab pakkuja
juurdepääsu. Kohustus rakendub lõikes määratletud pilvsüsteemide pidamisele. Tegemist on
pilvsüsteemidega, mille turvalisuse tagamiseks teostatava seire vajadus on kõrgendatud kas
selles töödeldavate andmete konfidentsiaalsuse või süsteemide turvalisuse tagamise olulisusest
tulenevalt. Esimeses punktis kirjeldatud pilvsüsteem on selgitatud laiemalt §-s 17 ning teises
punktis kirjeldatud süsteem §-s 19.
Eelnõu § 19 kehtestab nõuded olulisema kaitsetarbega pilvsüsteemide käideldavuse
tagamiseks. Kasutaja võib otsustada väga erinevate pilvsüsteemide pidamise kasuks, sealhulgas
ka tema ülesannete täitmiseks vajalike süsteemide majutamiseks pilvsüsteemina. Sellistel
juhtudel tuleb aga arvestada, et kasutaja kui organisatsiooni ülesannete täitmist mõjutava
pilvsüsteemi käideldavus ei ole tehniliselt kasutaja poolt tagatav, vaid jääb sõltuma
teenusepakkuja infrastruktuurist. Kui kasutaja samas ei peaks sellist süsteemi pilvsüsteemina
(ehk ei viiks sellist süsteemi pilve), saaks toimepidevusriske maandada E-ITS-ile vastavad
turvameetmete nõuded. Samuti on viimatised küberintsidendid selgelt näidanud, et isegi
levinumate või suurimate teenusepakkujate pilvandmetöötlusteenuste käideldavus võib äkitselt
kaduda.31 Käesoleva paragrahvi eesmärk on seega tagada kasutaja ülesannete täitmiseks
vajalike pilvsüsteemide käideldavus sõltumata pilvandmetöötlusteenuse käideldavusest.
Lõige 1 sätestab käesolev paragrahv kasutajale kohustuse suure käideldavusest tuleneva
kaitsetarbega süsteemide pidamisel pilvsüsteemina pidada ka alternatiivset süsteemi või
meedet.
Kasutaja peab seega alternatiivi pidamise nõuet täitma selliste süsteemide pilvsüsteemina
pidamisel (nn pilve viimisel), mille kaitsetarvet on kasutaja hinnanud E-ITS-i järgi vähemal
suureks (S) käideldavuse põhikomponendist tulenevalt. E-ITS-i järgimise kohustus on igal
kasutajal ning selle järgimise käigus peab kasutaja ka kaardistama oma protsesside infovarad
ja määrama neile kaitsetarbe. Kaitsetarve määratakse üldkorras kolme põhikomponendi järgi:
konfidentsiaalsus, terviklus ning käideldavus. Sisuliselt antakse igale komponendile väärtus
kasvaval skaalal: normaalne (N), suur (S) või väga suur (VS). Komponendi konkreetne väärtus
sõltub selle komponendi häiritusest või kadumisest tuleneva kahjuliku mõju ulatusest kasutaja
tegevusele. Seega tähendab süsteemi kaitsetarve S või VS käideldavuse suhtes seda, et kasutaja
on hinnanud nimetatud süsteemi käideldavuse häirituse või isegi kadumise suureks või väga
suureks kahjulikuks mõjuks oma tegevustele. Kui kasutaja otsustab seejärel pidada selliselt
hinnatut süsteemi pilvsüsteemina, peab kasutaja pidama ka alternatiivset süsteemi või meedet.
E-ITS-le viitav määratlus kohustuse aluseks oleva süsteemi tuvastamisel on sätestatud
eesmärgiga võimaldada kasutajal tugineda kohustuse täitmiseks juba tehtud tegevustele ning
31 Näiteks on 2019. a blogipostituses https://davidmytton.blog/what-are-the-common-causes-of-cloud-outages/
toodud mõningad näiteid kolme suurima pilveandmetöötlusteenuse osutaja kohta; samuti on leheküljelt
https://status.cloud.google.com/summary näha statistikat Google Cloud staatuse kohta, sisaldades ka ülevaateid
intsidentide kohta.
27
vältida seega täiendava kaardistuse loomise ning haldamise kohustust. Samal eesmärgil on
sätestatud ka kommenteeritava paragrahvi lõikes 4, et kui kasutaja rakendab rahvusvahelist
standardit ISO/IEC 27001 E-ITS-i järgimise asemel, siis loetakse lõikes 1 sätestatud kohustuse
aluseks selline süsteem, mis vastab kirjeldusele ISO/IEC 27001 kontekstis ehk samaväärsele
riskitasemele. Kuivõrd ISO/IEC 27001 ei kehtesta nõuet (vaid soovitusi) süsteemi riskitaseme
määratletud väärtusega hindamiseks, jääb ISO/IEC 27001 rakendamisel kasutaja kohustuseks
määratleda pilve viidavaid süsteeme ka E-ITS-i kaitsetarbe perspektiivist, kui seda pole
ISO/IEC 27001 kontekstis tehtud.
Peetav alternatiivne süsteem või meede peab vastama esimese lõike teises lauses sätestatud
kriteeriumile. Puuduvad konkreetsed tehnilised nõuded või täieliku samaväärsuse nõue
alternatiivi valimisel ja pidamisel. Tegemist peab olema alternatiiviga, mida kasutajal oleks
võimalik ka pilvsüsteemi rikke korral rakendada, et kasutaja tegevus ja ülesannete täitmine
saaks jätkuda. Samas ei pea alternatiiv olema aktiivselt kasutuses, kasutajal peab olema
võimekus alternatiivi kasutusele võtta nii, et see ei sõltuks kolmandate osapoolte tahtest. Nõude
täitmine ei eelda, et kasutaja peab pilvsüsteemi rikke korral olema võimeline täitma sellest
sõltuvaid ülesandeid täies mahus. See, et alternatiiv võib olla väiksema võimekusega, saab olla
kasutaja poolt vastuvõetav risk, kui selline risk on kaardistatud ja selgelt vastu võetud.
Peamiseks nõude täitmise hindamise aluseks on, et kasutaja suudab oma ülesandeid ka
pilvsüsteemi rikke korral täitma jääda.
Lõige 2 kehtestab nõuded peetavale alternatiivile kasutatava pilvandmetöötlusteenuse
pakkujaga seonduvalt. Lõikes sätestatud kriteerium on sisuliselt tehnoloogilise sõltumatuse
nõue. Pilvsüsteemi käideldavusega seonduv risk ei oleks maandatud, kui kasutaja soetaks
näiteks sama teenust kaks korda, sest sellisel juhul ei töötaks intsidendi korral kumbki lahendus.
Ei ole küll tehniliselt võimalik ega ka eeldatav, et alternatiiv oleks töökorras kogu aeg, kuid
kasutataval lahendusel ja alternatiivil ei tohiks olla tehnoloogilisi ristsõltuvusi (süsteemi
pidamisega seonduvalt, mitte elektri- või internetiühendusest tulenevalt). Samas ei ole
välistatud, et nii pilvsüsteem kui ka alternatiiv tuginevad mõlemad pilvandmetöötlusteenusele
või sama pakkuja erinevatele teenustele. Sellistes olukordades peab aga kasutaja suutma
tõendada, et nii pilvsüsteem kui ka peetav alternatiiv on tehnoloogiliselt sõltumatud lahendused.
Lõige 3 kehtestab nõuded alternatiivi pidamisele pilvsüsteemi suhtes toimunud terviklust või
käideldavust mõjutava küberintsidendi korral. Käideldavust mõjutav küberintsident ei pruugi
tähendada, et pilvsüsteemi käideldavus täielikult puudub, ka osaline käideldavuse häiritus või
sündmus, mis ohustab käideldavust, on käsitletav küberintsidendina KüTS § 2 punkti 3
tähenduses. Küberintsidendi toimumisel peab kasutaja tegema seega kõik vajalikud toimingud,
et kasutajal oleks võimalik alustada pilvsüsteemi asemel alternatiivi rakendamist viivitamatult.
Koheselt peab kasutaja hakkama alternatiivi rakendama siis, kui see on vajalik oma tegevuste
jätkamiseks, näiteks kui käideldavus on juba küberintsidendi alguses täielikult kadunud või on
selleks suur oht. Alternatiivi tuleb kasutada ka juhul, kui on aset leidnud kasutatava lahenduse
terviklust mõjutav küberintsident.
Eelnõu §-id 20, 21 ja 22 (4. peatükk) on rakendussätted.
Eelnõu § 20 sisustab lühiajalise erandi E-ITS-le üleminekuks.
28
Paragrahv kehtestab KüTS-i subjektidele võimaluse täita E-ITS-i rakendamise asemel seni
subjektidele kehtinud küberturvalisuse turvameetmete nõudeid. Tegemist on E-ITS-i
rakendamise edasilükkamist võimaldavate lõigetega, mille kehtivus on ajaliselt piiratud 2022.
aasta lõpuni. Sarnaselt eelnõu § 3 lõikega 2, käsitletakse siinsetes lõigetes sätestatud nõuete
täitmise korral E-ITS-i järgimise ja selle järgimisest tulenevate turvameetmete rakendamise
kohustus täidetuks.
Lõige 1 sätestab E-ITS-i rakendamise edasilükkamise võimalused avalikule sektorile. Sätte
sõnastus on üle võetud kehtetuks tunnistatava KüTS § 9 lõikest 2. Kuigi ISKE turvameetmete
nõuetele viitav norm tunnistatakse 531 SE-ga kehtetuks, on ISKE volitusnorm AvTS--is kehtiv
sarnaselt käesoleva sättega 2022. aasta lõpuni.
Lõige 2 sätestab E-ITS-i rakendamise edasilükkamise võimalused muudele KüTS-
subjektidele, ennekõike KüTS § 3 lõikes 1 loetletud teenuse osutajatele. Sisuliselt on sätte
eesmärgiks võimaldada E-ITS-i rakendamise edasilükkamist, kui subjekt täidab kehtetuks
tunnistatava KüTS § 7 lõike 4 alusel sätestatud nõudeid. Kuivõrd nõuded on tunnistatakse 531
SE-ga kehtetuks, ei saa neile ka käesolev määrus viidata, vaid on vajalik nimetatud nõuete
sisuline ülevõtmine sättesse kuni üleminekuperioodi lõpuni. Käesoleva lõikega on üle võetud
kehtetuks tunnistatava KüTS § 7 lõike 4 alusel kehtestatud turvameetmete nõuded. Kehtetuks
tunnistatava KüTS § 7 lõike 4 alusel kehtestatud määruses sätestatakse ka nõuded süsteemide
suhtes läbiviidavatele riskianalüüsidele, kuid käesolev lõige neid nõudeid üle ei võta. Viidatud
riskianalüüsinõuded ei vaja oma üldisuse tasemest tulenevalt käesolevasse määrusesse
ülevõtmist, kuivõrd põhjustaksid eelnõu §-des 5 ja 6 sätestatud nõuete dubleerimist. Kuivõrd
§-des 5 ja 6 sätestatud nõuded on eraldiseisvad E-ITS-i järgimise kohustusest (küll võimaldab
E-ITS-i järgimine riskianalüüsi nõuded eraldiseisva tegevuseta täita eelnõu § 5 lõike 2 alusel),
ei ole riskianalüüsi nõuete eraldi sätestamine käesolevas lõikes vajalik ka riskianalüüsi
läbiviimise kohustuse olemasoluks.
Eelnõu § 21 kehtestab tähtajad E-ITS-i järgimise esmakordsele auditeerimisele. E-ITS-i
järgimise auditeerimiskohustus tuleneb E-ITS-ist endast ning eelnõu § 4 lõikest 1. Üldreegel
on, et audit tuleb läbi viia iga kolme aasta järel.
Esmakordse auditeerimise läbiviimiseks sätestatakse aga erikord, sest ISKE
auditeerimistähtajad varieeruvad 2-4 aasta vahel ning seda asendav E-ITS kasutab ühtset
kolmeaastast intervalli. Samuti on ka vaja õigusselgust nende teenuse osutajate osas, kes ei pea
ISKE-t rakendama.
Seega on iga auditeerimiskohuslase esmakordse auditi läbiviimise tähtajaks ISKE auditi
aegumine, kui see aegub enne kolme aasta möödumist käesoleva määruse jõustumisest.
Teenuse osutajad, kes ISKE-t ei rakenda või kelle ISKE audit aegub hiljem, peavad esmakordse
auditeerimise läbi viima kolme aasta jooksul.
Esmakordse auditi läbiviimise tähtaja eriregulatsioon võimaldab ISKE-t järgival teenuse
osutajal lükata edasi tähtaja saabumist täiendava ISKE auditi läbiviimise kaudu enne 2023.
aasta 1. jaanuarit (alates millest ISKE järgimise kohustus muutub kehtetuks).
29
Organisatsioon, kes muutub teenuse osutajaks pärast käesoleva määruse jõustumist, viib
esmakordse auditi läbi kolme aasta jooksul alates teenuse osutajaks muutumisest, mitte ei pea
subjekt lähtuma käesoleva määruse jõustumiskuupäevast.
Eelnõu § 22 sätestab määruse jõustumise.
Määrus jõustub 531 SE-ga samal ajal, kuid mõne olulise erandiga.
Määruse §-id 7 kuni 11 jõustuvad 1. jaanuaril 2023. aastal. Tegemist on andmekogude erisustest
tulenevate nõuetega E-ITS-i järgimisel, mis tulenevad ennekõike ISKE nõuetest. Erisused
jõustuvad seega ka hetkest, kui ISKE nõuded kehtetuks muutuvad. Need muudatused toimuvad
531 SE tõttu AvTS-i muudatustega.
Määruse §-id 14 kuni 19 jõustuvad 1. jaanuaril 2024. aastal. Tegemist on pilvsüsteemide
pidamisega seonduvate nõuetega. Nõuetega vastavusse jõudmiseks juba olemasolevate
pilvsüsteemide pidamisel on seega kasutajatele sätestatud üleminekuaeg 2024. aasta 1.
jaanuarini.
Eelnõu koostajad märgivad, et E-ITS-i järgimise kohustuse jõustumine üldises korras ei
tähenda nõuet, et E-ITS-i järgija peab olema jõudnud selle kohustuse ehk 531 SE ning siinse
eelnõu jõustumise hetkeks juba rakendada kõik järgimisest tulenevad turvameetmed. Selline
olukord ei ole ka võimalik, sest E-ITS-i järgimine on tsükliline protsess; isegi konkreetse
turvameetme rakendamine ei tähenda, et E-ITS-i järgimise protsess oleks kuidagi „lõpule
viidud“. E-ITS-i järgimise kohustuse täitmine on hinnatav läbi teenuse osutaja tegevuste või
tegevusetuse hindamise infoturbe korraldamisel ning esimene arvestatav ülevaade kohustuste
järgimisest tekib pärast esmakordse auditi läbiviimist.
3. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu ei oma puutumust Euroopa Liidu õigusega.
4. Määruse terminoloogia
Eelnõu terminid tuginevad KüTS-s ning AvTS-s sisustatud terminitele. Määruses kasutatakse
samuti Eesti infoturbestandardis määratletud termineid ning täiendavalt luuakse määrusega
terminid „infoturve“ ja „pilvandmetöötlusteenusel põhinev süsteem“ ehk „pilvsüsteem“.
Andmekogudega seonduvalt määratletakse ka andmete käideldavuse, tervikluse ja
konfidentsiaalsuse sisu – need kehtivad ainult §-de 7-11 olukorras.
1) Andmekogu on andmekogu avaliku teabe seaduse § 431 lõike 1 tähenduses.
2) Infoturve on võrgu- ja infosüsteemile turvameetmete loomise, valimise ja rakendamise
protsesside kogum.
3) Pilvsüsteem on süsteem või süsteemi osa, mille pidamist teostab teenuse osutaja
pilvandmetöötlusteenust kasutades.
30
4) Andmete käideldavus on eelnevalt kokku lepitud vajalikul ja nõutaval tööajal
kasutamiskõlblike andmete õigeaegne ning hõlbus kättesaadavus (st vajalikul ja nõutaval
ajahetkel ning vajaliku ning nõutava aja jooksul) selleks volitatud isikule või tehnilisele
vahendile.
5) Andmete terviklus on andmete õigsuse, täielikkuse ja ajakohasuse tagatus ning päritolu
autentsus ja volitamatute muutuste puudumine.
6) Andmete konfidentsiaalsus on andmete kättesaadavus ainult selleks volitatud isikule või
tehnilisele vahendile.
5. Määruse mõjud
Määruse eelnõu mõjude hindamine on selguse huvides läbi viidud muutuste kategooriate suhtes
eraldi. Analüüsitavateks muudatusteks on:
1) E-ITS-i kehtestamise volitamine;
2) avalike ülesannete täitmist oluliselt mõjutavate süsteemide pidamise nõuded;
3) pilvsüsteemi pidamise nõuded.
Määruse eelnõu 3. peatüki 1. jao ning 2. jao 1. jaotisel hinnatav oluline mõju puudub.
3. peatüki 1. jagu (eelnõu §-id 5 ja 6) kehtestab teenuste kaardistuse ja turvameetmete
dokumentatsiooni nõude, mis täpsustab samasisulisi nõudeid KüTS § 7 lg 2 punktide 1, 2 ja 6
alusel. Dokumentatsiooni säilitamise tähtaja pikendamine kolmelt aastalt seitsmele aastale
võimaldab teostada dokumentatsiooni ajakohasuse järelevalvet kahe auditeerimistsükli ulatuses
ning ei kujuta kohuslastele hinnatavat olulist mõju.
3. peatüki 2. jao 1. jaotise eesmärk andmekogude pidamise erisuste kehtestamisel on
võimaldada üleminek ISKE asendamisel E-ITS-ga andmekogude suhtes säilitades
olemasolevad nõuded, mistõttu sätetel iseseisvat mõju E-ITS-i kehtestamise mõjudest
eraldiseisvalt ei ole.
5.1. Kavandatav muudatus: E-ITS-i kehtestamise volitamine
E-ITS-i kehtestamisega seotud mõjud on ulatuslikult analüüsitud küberturvalisuse seaduse,
avaliku teabe seaduse ja Eesti Rahvusringhäälingu seaduse muutmise seaduse eelnõu 531 SE32
seletuskirjas (seletuskirja punkt 6.1. ning selle alapunktid; lk-d 33-39), kuivõrd nimetatud
eelnõu sätestas volitusnormi käesoleva kavandatava määruse kehtestamiseks. Järgnev analüüs
on seega suuresti eelnimetatud eelnõu mõjude analüüsi vastava peatüki kordus.
32 Küberturvalisuse seaduse, avaliku teabe seaduse ja Eesti Rahvusringhäälingu seaduse muutmise seadus 531 SE
– kättesaadav: https://www.riigikogu.ee/tegevus/eelnoud/eelnou/cd3107f9-b19c-4ed4-b6a7-
7379fa3bf6b9/K%C3%BCberturvalisuse%20seaduse,%20avaliku%20teabe%20seaduse%20ja%20Eesti%20Rah
vusringh%C3%A4%C3%A4lingu%20seaduse%20muutmise%20seadus.
31
5.1.1. Sotsiaalne, sh demograafiline mõju
5.1.1.1. Mõju ettevõtjale
Eelnõu ei tekita ettevõtjale sotsiaalset mõju. Teenuse osutajate vajadus tööturul sobiva
kvalifikatsiooniga küberturbe ekspertide järele küberturvalisuse tagamiseks jääb püsima.
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
5.1.1.2. Mõju kodanikele
Eelnõu tekitab kodanikele positiivset sotsiaalset mõju. Vene Föderatsiooni sõjaline (sh
kübertasandil) agressioon iseseisva demokraatliku riigi vastu viitab ohule ka võimalike
küberrünnakute korraldamiseks Eesti teenuse osutajate vastu. Praktikas toimub igapäevaselt
Eesti küberruumi vastu suunatud tegevusi, mida tõendavad RIA koostatavad ülevaated.33
Eesmärk E-ITS-i kehtestamise kaudu tugevdada küberturvalisuse taset parandab avalike ja
elutähtsate teenuste toimepidevust, seega kuigi Eestis ei ole käesoleva eelnõu koostamise hetkel
elutähtsate või avalike teenuste toimepidevus ohustatud, aitab eelnõu positiivselt kaasa selle
seisukorra säilitamisele.
Ulatus keskmine, sagedus väike, ebasoovitavate mõjude risk väike.
5.1.2. Mõju riigi julgeolekule ja välissuhetele
5.1.2.1. Mõju ettevõtjatele
KüTS-i mõistes teenuse osutajad pakuvad ühiskonna toimimiseks vajalikke teenuseid. E-ITS-i
kehtestamise eesmärk on täpsustatud ja selgema infoturbe haldamissüsteemi rakendamisega
aidata edendada teenuse osutaja ning tema teenuste vastupanuvõimet küberintsidentidele, ning
sellest tulenevalt on eelnõul positiivne mõju riigi julgeolekule.
Eelnõu ei mõjuta otseselt ettevõtjate välissuhteid, kuivõrd teenuse osutajatel on ka edaspidi
võimalik E-ITS-i rakendamise asemel rakendada küberturvalisuse tagamisel ka rahvusvahelist
ISO/IEC 27001 standardit. Kaudselt on eelnõul positiivne mõju välissuhete edendamisele
tugevama küberturvalisuse kuvandi tõttu.
Ulatus keskmine, sagedus keskmine, ebasoovitavate mõjude risk väike.
5.1.2.2. Mõju avalikule sektorile
Eelnõul on positiivne mõju riigi julgeolekule ka avaliku sektori kaudu. Selgema avaliku sektori
määratluse 531 SE tulemusel ning E-ITS-i kehtestamisega kehtiva ISKE asemel on avalikus
sektoris ka suurem selgus, et kes ja mida tegema peab. Samuti vähendab E-ITS-i
organisatsioonipõhine lähenemine küberturvalisuse tagamisel ka avaliku sektori haavatavust
küberintsidentidele ning nende mõjude levimist avalike sektori jaoks olulisemate süsteemideni.
Välissuhete vaatepunktist aitab avaliku sektori küberturvalisuse nõuete uuendamine ka säilitada
ning arendada Eesti riigi kui küberturvalisuse eestvedaja kuvandit.
33 Kättesaadavad siit: https://www.ria.ee/et/kuberturvalisus/olukord-kuberruumis.html.
32
Ulatus keskmine, sagedus keskmine, ebasoovitavate mõjude risk väike.
5.1.2.3. Mõju järelvalveasutusele (RIA-le; julgeolekuasutustele)
Eelnõu aitab RIA-l läbi täpsemate küberturvalisuse tagamise nõuete tugineda küberintsidentide
ennetamisel, tuvastamisel ja lahendamisel ühtsematele eeldustele teenuse osutajate ja avaliku
sektori turvameetmete suhtes. Samuti aitab eelnõu läbi reguleeritud auditeerimistingimuste
tagada selgema ja kiiremini analüüsitava ülevaate küberturbe tasemest Eestis. Sellest tulenevalt
on eelnõul positiivne mõju RIA riigikaitse ja julgeolekuga seotud valmisolekule
küberintsidentide ennetamiseks, tõrjumiseks ja lahendamiseks.
531 SE-ga tehakse ka erisus julgeolekuasutustega seotud süsteemide järelevalve osas.
Julgeolekuasutuste puhul puuduvad olulised mõjud riigi julgeoleku ja välissuhete osas.
Julgeolekuasutustele (enda süsteemide üle järelevalve teostamisel) avalduvad sarnased mõjud,
mis RIA-le (vt eelmist tekstilõiku).
Ulatus keskmine, sagedus keskmine, ebasoovitavate mõjude risk väike.
5.1.3. Mõju majandusele
5.1.3.1. Mõju ettevõtjatele
E-ITS-i kehtestamisest tulenevad muutused kujundavad formaalselt ümber teenuse osutajate
kohustusi, kuid ei muuda neid sisuliselt võrreldes varasemate kohustustega küberturvalisuse
tagamisel. Kehtiva KüTS § 7 lõike 1 alusel peavad teenuse osutajad juba praegu rakendama
turvameetmeid ning kehtinud lõike 2 alusel koostama süsteemide riskianalüüse. Neid kohustusi
sisustab KüTS § 7 lõike 4 alusel kehtestatud määrus (viidatud määruse volitusnorm
tunnistatakse 531 SE-ga kehtetuks).
Muudatusega ei lähtuks teenuse osutajad nõuete täitmisel KüTS § 7 lõike 4 alusel kehtestatud
määrusest, vaid käesolevast eelnõust. E-ITS on kindlasti mahukam dokument kui KüTS § 7
lõike 4 alusel kehtestatud määrus, kuid selle põhjuseks on nõuete põhjalikum kirjeldus, mitte
nõuete oluline laiendamine. Sarnaselt veel kehtiva KüTS § 7 lõike 4 alusel kehtestatud määruses
sisustatud nõuetega, põhinevad ka E-ITS-i nõuded organisatsiooni riskianalüüsile ja selle põhjal
rakendatud turvameetmetele. Seega eeldusel, et teenuse osutaja on varasemalt teinud pingutusi
küberturvalisuse tagamiseks KüTS § 7 lõike 4 alusel kehtestatud määruse nõuete järgimisega,
ei tulene teenuse osutajale E-ITS-i tingimuste järgimise kohustusest suurt majanduslikku mõju.
Lisaks säilitab eelnõu kuni 31. detsembrini 2022. a KüTs § 7 lõike 4 alusel antud määruse
põhilised nõuded – vt eelnõu § 20, sh nende kahe lõike selgitusi.
E-ITS-i kehtestamisega kaasneks ettevõtjatele kohustus läbi viia E-ITS-i vastavusaudit iga
kolme aasta järel. Eelnõuga asendatakse KüTS § 7 lõike 2 punktide 5 ja 6 alusel kehtinud
kohustus viia läbi ning dokumenteerida turvameetmete rakendamise piisavuse kontroll.
Kehtinud nõuete kohaselt oli turvameetmete rakendamise piisavuse kontrolli üks meetoditest
auditi läbiviimine pädeva sõltumatu isiku poolt, mida võis asendada ka nn enesehindamisega.
E-ITS-i kehtestamise järgselt kaoks võimalus asendada audit enesekontrolliga ning E-ITS
sätestab konkreetse raamistiku auditite läbiviimiseks eesmärgiga tagada selgem ja läbipaistvam
küberturvalisuse nõuete järgimine. Teenuse osutajatele, kes varasemalt teostasid
33
turvameetmete rakendamise piisavuse kontrolli nn enesehindamise kaudu, võib muudatus
avaldada majanduslikku mõju, kuid seda maksimaalselt ulatuses, mis oleks nn enesehindamise
läbiviimise ja auditi läbiviimise kulude vahe. Ei ole otseselt hinnatav, kas E-ITS-i vastavusaudit
on ettevõtjale soodsam või kulukam kehtinud KüTS § 7 lõike 2 punkti 5 alusel läbiviidud
kontrollidest. Kui ettevõtjal on vastavushindamise läbiviimiseks endal sobivad spetsialistid, siis
võib tekkiv E-ITS-i auditite läbiviimise kohustus olla kulukam kui seni KüTS § 7 lõike 2 punkti
5 alusel läbiviidud kontroll, mis oleks nn enesehindamisega läbi viidud. Siinkohal saab ettevõtja
täiendavaid kulusid minimeerida põhjaliku eeltööga E-ITS-i auditi tellimiseks ja läbiviimiseks.
Kui ettevõtja on aga kehtinud KüTS § 7 lõike 2 punktis 5 sätestatud kohustuste täitmiseks
tellinud vastavushindamisi teenusepakkujatelt, siis võib tekkiv E-ITS-i auditite läbiviimise
kohustus olla soodsa majandusliku mõjuga. Soodne majanduslik mõju võib tuleneda
asjaoludest, et E-ITS-i audit oleks rohkem standardiseeritud teenus, mis tugineb ka põhjalikuma
täpsusastmega standardiseeritud nõuete kogumi vastavuse hindamisel. Kuivõrd E-ITS-i
läbiviimise audit ei ole veel turul pakutav teenus, siis ei ole võimalik hindade täpset võrdlust
käsitleda. Samas on olemas teenuse osutajaid, kes auditeerimisteenust pakuvad.34
On võimalik, et auditeerimiskulud on majanduslikult koormavamad subjektidele, kelle IKT
korraldus on oluliselt väiksema mahuga, kuivõrd ühine lävend ja seega ka minimaalne kulu
auditi teenuse läbiviimises tuleneb protseduurist auditi läbiviimisel, kvalifikatsiooninõuetest
auditi läbiviijale ning auditi käigus koostatava dokumentatsiooni nõuetest. Seega on
majandusliku mõju tasakaalustamiseks käesoleva määruse § 4 lg 3 punktis 1 ettenähtud ka
erand mikroettevõtjatele (nt suurele osa tegutsevatele perearstidele). Erand on kavandatud
konkreetselt auditite läbiviimise kohustuse suhtes, mitte E-ITS-i järgimise kohustuse suhtes.
Täiendavalt toetab RIA ka E-ITS-le üleminekut ettevõtjatele koolituste läbiviimisega E-ITS-i
rakendamiseks. Arvestamaks samaliigiliste ettevõtjate sarnast profiili IKT korraldamisel on
RIA-l ka kavas võimaluste piires E-ITS-i rakendamise profiilide loomine, mis võimaldab
konkreetset tüüpi ettevõtjatel (nt perearstidel ja teistel teenuse osutajatel) veel lihtsustatumas
korras RIA poolt pakutavate lahenduste ja kavandatavate meetmete toel E-ITS-i rakendada.
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
5.1.3.2. Mõju avalikule sektorile
E-ITS kehtestamisega asendatakse AvTS-i alusel kehtinud ISKE järgimiskohustus. Eeldusel, et
avaliku sektori rakendaja on järginud ISKE nõudeid, puudub ISKE ja E-ITS-i nõuete võrdluses
E-ITS-i kehtestamisest tulenev majanduslik mõju avalikule sektorile nii turvameetmete
rakendamisel kui ka vastavusauditite läbiviimisel. Majanduslik mõju avalikule sektorile, mis
tuleneb täpsemalt raamistatud organisatsioonipõhisest lähenemisest küberturvalisuse tagamisel
(sh kaardistustegevused ja riskianalüüsid) on minimaalne ning praktikas rakendatav läbi E-ITS-
i üleminekujuhendite kasutamise.35 Üleminekuperioodil võib arvestada ajutiselt suurenenud
ressursi vajadusega, et tutvuda uue standardiga. Samas on RIA üleminekut toetamas juba alates
2020 aasta algusest: a) kaasates kõiki avaliku sektori infoturbejuhte E-ITS-i väljatöötamisse; b)
34 Vt https://www.eisay.ee/iske-e-its-ja-iso-27001-alaste-teenustega-tegelevate-ettevotete-loetelu. 35 Üleminekujuhend on kättesaadav siit: https://eits.ria.ee/et/versioon/2020vers1/juhendid/ueleminekujuhend-
iskelt-eitsile/.
34
korraldades koolitusi36, mis tutvustavad E-ITS-i sisu ja selle rakendamist; c) viies läbi
pilootprojekti E-ITS-i rakendamiseks; d) koostades muuhulgas üleminekujuhendi. Kõik need
toetavad tegevused jätkuvad.
E-ITS-i kehtestamisega on mõju avalikule sektorile vaadeldav kolme stsenaariumi alusel
lähtuvalt subjektile varasemalt kehtinud nõuetest:
1) Stsenaarium 1: E-ITS asendab ISKE järgimise kohustuse kõikide süsteemide
suhtes (suurem osa kohaldamisalast).
E-ITS-i ülevõtmiseks rakendatakse selleks otstarbeks koostatud üleminekujuhendit.
ISKE nõuetekohase rakendamise korral E-ITS-i ülevõtmisega RIA hinnangul
täiendavaid rahalisi kulusid üldjuhul ei kaasne, aga kaasneb ajakulu senise
dokumentatsiooni vastavusse viimiseks. E-ITS-i juurutamise etapis tuleb arvestada, et
infoturbe rolli täitvatel inimestel kulub põhitöö kõrvalt täiendavalt aega E-ITS-i nõuete
ülevõtmiseks.
Kui subjektil on olnud ISKE järgimise kohustus kõikide süsteemide suhtes, kuid see ei
ole nõuetekohaselt täidetud, siis selle subjekti süsteemi turvalisuse tagamiseks vajalikud
kulutused E-ITS-iga vastavusse jõudmisel ei kuulu eelnõu majandusliku mõju analüüsi
alla. Eelnõu koostamine lähtub eeldusest, et kehtivaid seaduslikke nõuded täidetakse
ning käsitleb eelnõuga kehtestatavate nõuete mõju vastu varasemate nõuete mõju.
Avalik sektor peab oma eelarve planeerimisel seisma selle eest, et IT-lahenduste
arendamine ning kasutuselevõtt toimuks vaid nende süsteemide küberturvalisuse
tagamiseks vajalike ressursside olemasolul.
2) Stsenaarium 2: E-ITS-i ülevõtmise kohustusele ei eelnenud varasemalt
küberturvalisuse tagamise nõudeid (nt osad avalik-õiguslikud juriidilised isikud).
Sarnaselt esimese stsenaariumiga tuleb arvestada infoturbe rolli täitvate inimeste
ajakuluga E-ITS-i ülevõtmiseks vajalike dokumentatsioonide koostamisel. Ajakulu on
suurem selles osas, milles dokumentatsioon, sh vajalikud kaardistused, kuuluks
esmakordselt koostamisele.
Erinevalt esimesest stsenaariumist kaasneb üldjuhul ka rahaline kulu süsteemide
turvalisust tagavate meetmete rakendamisel. Majanduslik mõju selles stsenaariumis on
igale subjektile väga erinev ning ei oleks analüüsis mõistlikult hinnatav. Turvameetmete
rakendamiseks vajalik rahaline kulu sõltub subjekti kasutatavate süsteemide hulgast,
keerukusest ning nendele ka eelnevalt rakendatud turvameetmete olemasolust
(tulenevalt subjekti vastutustundlikkusest oma IT-lahenduste kasutamisel või muudest
seaduslikest nõuetest, näiteks isikuandmete töötlemiseks rakendatud tehnilisi ja
korralduslikke meetmeid turvalisuse tagamiseks). Rakendamiseks vajaliku kulu
majanduslik mõju subjektile sõltub omakorda selle kulu osakaalust subjekti eelarves,
ennekõike IT-lahendustega seotud eelarves.
36 Vt https://eits.ria.ee/et/avalehe-menueue/koolitus/ ning https://www.ria.ee/et/kalender.html.
35
Selle stsenaariumi korral võib mõnele subjektile tekkida eelnõust tulenevalt oluline
majanduslik mõju, kui subjekt kasutab oma tegevuses ulatuslikult keerukaid süsteeme,
millele turvameetmeid varasemalt rakendatud ei ole ning mille eelarve ei ole lihtsasti
võimeline nende IT-lahenduste toimepidevuse tagamiseks vajalikke ressursse
teenindama. Küll aga ei mõjuta see olukord majandusliku mõju hinnangut avalikule
sektorile tervikuna, kuivõrd tegemist oleks ühe osaga väga piiratud subjektide ringist.
3) Stsenaarium 3: E-ITS asendab ISKE järgimise kohustuse, ning laiendab nõuete
kohaldamisala andmekogudelt kõikidele süsteemidele (andmekogude vastutavad või
volitatud töötlejad, kes ei olnud KüTS-i subjektid, sh mitmed avalik-õiguslikud
juriidilised isikud).
Sarnaselt eelnevatele stsenaariumitele kaasneb ka selle stsenaariumi puhul E-ITS-ist
järgimisest tulenev ajakulu infoturbe rolli täitvatel inimestel.
Sarnaselt teise stsenaariumiga kaasneb üldjuhul ka rahaline kulu süsteemide turvalisust
tagavate meetmete rakendamiseks, mille ulatus ning ulatusest tulenev majanduslik mõju
on igale subjektile erinev.
Stsenaariumis on aga vajalik ajaline kui ka rahaline kulu oluliselt piiratum teisest
stsenaariumist, kuivõrd subjekt on järginud ISKE nõudeid andmekogude turvalisuse
tagamiseks. Samuti on ka käesoleva subjektide ring väga piiratud kehtinud KüTS § 9 lg
1 kohaldamisalaga võrreldes, ega mõjuta ka seega oluliselt eelnõust tulenevat
majandusliku mõju hinnangut avalikule sektorile.
Täiendavalt on majandusliku mõju hindamiseks oluline märkida, et isegi kui eelnõust tulenevalt
peab subjekt võtma rahalisi kohustusi süsteemide turvalisuse tagamiseks, siis võib nende
kulude mõju olla subjektile majanduslikult positiivne. Süsteemide turvalisuse tagamiseks
tehtavad kulutused vähendavad nii küberintsidendi tekkimise tõenäosust kui ka tekkinud
küberintsidendi kahjulikku majanduslikku mõju. Arvestades küberruumis aina sagedamini
esinevaid rünnakuid,37 suuresti ka avaliku sektori süsteemide vastu, ning nende laastavat mõju
ohvri süsteemide kasutatavusele, ei oleks õigustatud ka süsteemide turvalisuse tagamiseks
tehtavaid kulutusi vaadelda rangelt kahjuliku majandusliku mõjuna.
Sarnaselt ettevõtja majandusliku mõju hinnanguga on ka võimalik, et auditeerimiskulud on
majanduslikult koormavamad nendele avaliku sektori subjektidele, kelle IKT korraldus on
oluliselt väiksema mahuga, kuivõrd ühine lävend ja seega ka minimaalne kulu auditi teenuse
läbiviimises tuleneb protseduurist auditi läbiviimisel, kvalifikatsiooninõuetest auditi läbiviijale
ning auditi käigus koostatava dokumentatsiooni nõuetest. Seega on majandusliku mõju
tasakaalustamiseks käesoleva määruse § 4 lg 3 punktis 2 ettenähtud ka erand avaliku sektori
subjektidele, kelle IKT korraldus on subjekti ülesannetest lähtuvalt piiratum (nt muuseumid,
raamatukogud, etendusasutused). Erand on kavandatud konkreetselt auditite läbiviimise
kohustuse suhtes, mitte E-ITS-i järgimise kohustuse suhtes.
37 Vt nt RIA ööpäeva ülevaadet Eesti küberruumi kohta: https://www.ria.ee/et/kuberturvalisus/olukord-
kuberruumis/oopaeva-ulevaated.html.
36
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
5.1.3.3. Mõju kodanikele
E-ITS-i kehtestamise eesmärk on selgema raamistiku kaudu edendada süsteemide turvalisust.
Sellel on vahetu mõju majanduskeskkonna toimimisele, kuivõrd Eesti konkurentsieelis
digilahenduste kasutuselevõtus ja arendamises on tugevalt seotud nende digitaalsete lahenduste
ja sealse andmetöötluse toimepidevuse, tervikluse ning konfidentsiaalsuse tagamisega. Samuti
mõjutab eelnõu kodanikke digitaalseid teenuseid rohkem usaldama, tagades seega ka nende
toimimise jätkusuutlikkuse suureneva kasutamise kaudu.
Kodanike halduskoormust eelnõu ei mõjuta.
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
5.1.4. Mõju elu- ja looduskeskkonnale
Eelnõu ei avalda otsest mõju elu- ja looduskeskkonnale. Kaudselt võib eelnõu positiivset mõju
elu- ja looduskeskkonnale aga avaldada läbi vastupanuvõimekuse suurendamise
küberrünnakute suhtes, mis saaksid põhjustada elukeskkonnale või looduskeskkonnale
kahjulikke tagajärgi (nt veepuhastusprotsessi sekkumine ja kasutatavate kemikaalide koguste
muutmine).
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
5.1.5. Mõju regionaalarengule
Seaduseelnõu ei oma olulist mõju regionaalarengule.
5.1.6. Mõju riigiasutuste ja kohaliku omavalitsuse korraldusele
5.1.6.1. Mõju avalikule sektorile
Eelnõu ei mõjuta avaliku sektori töökorraldust, kuivõrd ka varasemate nõuete alusel oli avalik
sektor kohustatud kõikidele võrgu- ja infosüsteemide küberturvalisuse tagamisel järgima ISKE
nõudeid. E-ITS-i kehtestamine ei too kaasa muudatusi, mille rakendamine vajaks asutuse
töökorralduse või selles osas töökoormuse olulist suurendamist.
Eelnõu võib kaudselt mõjutada avaliku sektori teenuste kvaliteeti, kuivõrd teenuste
kaardistamise ja riskipõhine lähenemine aitab asutusel tuvastada tehnoloogilisi mahajäämusi
või paremaid arendussuundi. Ühtlasi aitab E-ITS-i rakendamise eelduseks olev selge ülevaade
asutuse äriprotsessidest ja nendega seotud teenustest hinnata asutuse toimimiseks vajalike
ressursside kasutamist. Siinse kaardistuse puhul on abiks protsesside kaardistus, mis on
teostatud TKTA määruse alusel.38 Sel teemal vaata ka eelnõu § 5 lõike 3 selgitusi.
Mõju avaliku sektori kuludele võib eelnõu kehtestamisel esineda vastavalt punktis 5.1.3.2
esitatud analüüsile neil juriidilistel isikutel ja asutustel, kes varasemalt ei ole olnud kõikide
süsteemide osas ISKE kohuslased, ning ühtlasi pole teinud pingutusi kasutatavate võrgu- ja
38 Vabariigi Valitsuse 25.05.2017 määrus nr 88 „Teenuste korraldamise ja teabehalduse alused“; RT I, 25.03.2021,
6.
37
infosüsteemide turvalisuse tagamiseks. Sellisel juhul suurendab E-ITS-i kehtestamine kulutuste
tegemise vajadust pädeva personali palkamiseks, asjakohaste turvameetmete rakendamiseks
ning auditite läbiviimiseks, samas vähendades kulutuste tegemise vajadust küberintsidentidest
tuleneva kahju või muude tagajärgede likvideerimiseks.
Sellegipoolest oleks ka siis mõjude ulatus väike, kuivõrd kohustusi avalikule sektorile tehniliste
ja korralduslike turvameetmete rakendamiseks tuleneb ka mujalt. Ennekõike peab sõltumata
KüTS-is sätestatud kohustustest avalik sektor rakendama isikuandmete turvalisuse tagamiseks
asjakohaseid tehnilisi ja korralduslikke meetmeid isikuandmete kaitse üldmääruse artikkel 32
lõike 1 alusel ning samuti lähtuma selle kohustuse täitmisel riskide analüüsist isikuandmete
kaitse üldmääruse artikkel 32 lõike 2 alusel.
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
5.1.6.2. Mõju järelvalveasutusele (RIA-le; julgeolekuasutustele)
E-ITS-i kehtestamise eesmärgi raames ei mõjuta eelnõu RIA töökorraldust. Varasem KüTS §
7 lõike 4 alusel kehtestatud nõuete ja ISKE nõuete järgimise kontroll asendub E-ITS nõuete
järgimise kontrolliga.
RIA töökoormust võib eelnõu suurendada suurema hulga auditite järeldusotsuste ülevaatamise
vajaduse tõttu, kuid samuti ka vähendada tänu küberturbe korralduste kui ka auditite
põhjalikumale standardiseeritusele.
531 SE-ga tehakse ka erisus julgeolekuasutustega seotud süsteemide järelevalve osas.
Julgeolekuasutuste puhul on eeldatavasti teatavad mõjud, kuid kuna auditid on
standardiseeritud, siis see mõju ei ole oluline.
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
5.1.7. Muu otsene või kaudne mõju
Seaduseelnõu ei oma muud otsest või kaudset olulist mõju.
5.2. Kavandatav muudatus: avalike ülesannete täitmist oluliselt mõjutavate süsteemide
pidamise nõuded
5.2.1. Sotsiaalne, sealhulgas demograafiline mõju
Eelnõuga kaasneb positiivne sotsiaalne mõju. Eelnõu kehtestamisega tagatakse efektiivsemalt
Eesti riigi kodanikele Eesti riigi järjepidevus ning edasi toimimine, luues aluse võimaldamaks
teostada elutähtsate teenuste pakkumist ka siis, kui Eesti riigis paiknevad andmekeskused ei
tööta, olgu selle taga siis looduskatastroof, elektrikatkestus või sõjaline rünnak.
Ulatus keskmine, sagedus väike, ebasoovitavate mõjude risk väike.
5.2.2. Mõju riigi julgeolekule ja välissuhetele
Eelnõuga kaasneb positiivne mõju riigi julgeolekule, lisades turvalisust Eesti omariiklusele ja
digitaalsele järjepidevusele. Eelnõu kehtestamisega tagatakse riigi ja kohaliku omavalitsuse
38
funktsioonide ning elutähtsate teenuste pakkumiseks andmete säilitamine ja nende
taaskasutamise võimalus. See tähendab, et Eesti riigi toimimine saab efektiivsemalt jätkuda ka
siis, kui Eestis paiknevad andmekeskused ei tööta, olgu selle taga siis looduskatastroof,
elektrikatkestus või sõjaline rünnak.
Ulatus keskmine, sagedus väike, ebasoovitavate mõjude risk väike.
5.2.3. Majanduslik mõju
Eelnõuga kaasnevad kriitiliste süsteemide varundamisega seotud kulud, mis on detailsemalt
lahti kirjeldatud seletuskirja punktis 6.2.
Andmesaatkonna uudne kontseptsioon võib tuua kaudset majanduslikku kasu, arvestades, et
lahendus on ka rahvusvaheliselt pakkunud palju huvi ja meediakajastust. Võimalik on luua uus
teenus, kus jagatakse teadmisi ja kogemust kontseptsiooni väljatöötamises või võimalik on
pakkuda Eesti riigi serveriruume teistele riikidele andmete ja infosüsteemide majutamiseks.
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
5.2.4. Mõju elu- ja looduskeskkonnale
Eelnõu muudatused ei too kaasa otseseid või kaudseid mõjusid elu- ja looduskeskkonnale.
5.2.5. Mõju regionaalarengule
Eelnõu muudatused ei too kaasa otseseid või kaudseid mõjusid regionaalarengule.
5.2.6. Mõju riigiasutuste ja kohaliku omavalitsuse asutuste korraldusele
Eelnõuga kaasnev otsene mõju riigi- ja kohaliku omavalitsuste asutustele on minimaalne.
Kriitiliste süsteemide vastutavatele töötlejatele võib kaasneda mõningane, kuid mitte
märkimisväärne halduskoormuse ja kulude kasv seoses varundamise kohustusega.
Kulude ja halduskoormuse kasv asutustele sõltuvad sellest, kuidas asutused soovivad
varunduslahenduse asutuses välja töötada (täiendava riistvara soetamine, manuaalse
varundamise või automaatse varundamise valik). Varundamine ei nõua märkimisväärset
ümberõpet, lisatööaega ega ka kulusid, sest regulaarne automaatne varundamine kui protsess
peaks olema asutustes juba tagatud tulenevalt riigisiseste andmete majutamisele tulenevatest
küberturvalisuse nõuetest. Andmesaatkond on täiendav koht, kuhu varundamist teostada.
MKM on valmis koordineerima läbi vajalike partnerite kaasamise asutuste nõustamist ja
juhendamist seoses varundamislahenduste väljatöötamisega.
5.2.7. Muud otsesed või kaudsed mõjud
Eelnõu muudatused ei too kaasa muid otseseid või kaudseid mõjusid.
5.3. Kavandatav muudatus: pilvsüsteemi pidamise nõuded
5.3.1. Sotsiaalne, sealhulgas demograafiline mõju
39
Eelnõuga kaasneb positiivne sotsiaalne mõju. Loodav raamistik pilvandmetöötlusteenuste
kasutamiseks tõstab avaliku sektori teenuste usaldusväärsust ja toimepidevust ka siis, kui
ülesannete täitmisel tuginetaks välise teenusepakkuja infrastruktuurile.
Ulatus keskmine, sagedus väike, ebasoovitavate mõjude risk väike.
5.3.2. Mõju riigi julgeolekule ja välissuhetele
Eelnõuga kaasneb positiivne mõju riigi julgeolekule. Loodav raamistik võimaldab luua parema
ülevaate avaliku sektori teenustest, mis tuginevad pilvsüsteemidele ning nende pidamisel
rakendada meetmeid oluliste süsteemide toimepidevuse ning riigi julgeolekut mõjutava teabe
konfidentsiaalsuse tagamiseks. Samuti tagab loodav raamistik RIA-le keskse seirevõimekuse
avaliku sektori pilvsüsteemide ohtude analüüsimiseks. Kavandatav muudatus pärsib avalikus
sektoris pilvandmetöötlusteenuste kasutuselevõtmist nö „moe pärast“ või selle turvalisuse
aspekte läbi mõtlemata.
Mõju välissuhetele võib eelnõul olla kahetine. Kuivõrd teenusepakkuja usaldusväärsuse
hindamine on suuresti seotud ka teenusepakkuja peakontori jurisdiktsiooni käitumisega, võivad
küberruumis agressiivsemad ja demokraatlikest väärtustest mitte lähtuvad riigid panna pahaks
teenusepakkuja usaldusväärsuse hindamise nõuet. Samas demokraatlikud riigid, kes Vene
Föderatsiooni agressiooni taustal jõuavad järgi Baltimaade arusaamale, et ka küberruumis
võtavad vaenulikud riigid kasutusele kõik vahendid, sealhulgas oma tehnoloogiasektori, ning
ründavad valimatult nii riiklikke süsteeme kui ka eraettevõtjate teenuseid ja tarneahelaid,
saavad võtta eelnõud eeskujuna jõudmaks turvalisema ning raamistatud lähenemiseni
pilvandmetöötlusteenuste kasutamisele avalikus sektoris.
Ulatus keskmine, sagedus keskmine, ebasoovitavate mõjude risk väike.
5.3.3. Majanduslik mõju
Eelnõul võib olla majanduslik mõju avalikule sektorile.
Majanduslik mõju Eesti erasektorile ei ole eeldatav, kuivõrd tegemist pole kavandatava
muudatuse subjektidega ning Eesti teenusepakkujate äritegevus avaliku sektori suhtes vastab
eelduslikult raamistiku nõuetele. Muudatuse eesmärk on ennekõike reguleerida selliste
teenusepakkujate teenuste tarbimist, kelle poolt teenuse osutamise reguleerimiseks
jurisdiktsioon puudub – nende teenusepakkujate pea- või harukontorid ei asu Eestis.
Avalikule sektorile teeb raamistik kulukamaks pilvandmetöötlusteenuste hankimise, kuid selle
kulukuse määr ei ole mõõdetav ning kulukus ei väljendu majandusliku kahjuna.
Raamistiku kulukuse määr avalikule sektorile pilvandmetöötlusteenuste hankimisel ei ole
mõõdetav ennekõike põhjusel, et avaliku sektori IKT korraldus on detsentraliseeritud. See
tähendab, et ennekõike on asutuse enda otsustada, kui palju ning millise keerukuse süsteeme
viimane pilvsüsteemina peab. Peamised nõuded, mis võivad avalikule sektorile majanduslikku
mõju avaldada, on:
1) teenusepakkuja usaldusväärsuse hindamise läbiviimise kohustus;
40
2) kohustus tagada vastu teenusepakkujat riiklikku julgeolekut mõjutava AK teabe
konfidentsiaalsus, sh krüpteeritus;
3) kohustus pidada alternatiivseid süsteeme või meetmeid olulise käideldavuse riskiga
süsteemide „pilve viimisel“.
Esimene nõue võib tekitada subjektile kulu, mis tekib potentsiaalsete teenusepakkujate suhtes
usaldusväärsuse hindamise läbiviimisega. Seda mõju vähendab kaks tegurit. Kõigepealt ei nõua
teenusepakkuja usaldusväärsuse hindamine tehnilist ekspertiisi osutatavast teenusest. Tegemist
on ennekõike teenusepakkuja kui organisatsiooni taustast ja käitumisest tuleneva
riskihindamisega, mis on jõukohane ka neile, kel puudub tehniline ekspertiis lahenduse
tehnilise turvalisuse hindamiseks. Teiseks on MKM-l kavas levinumate teenusepakkujate
suhtes korduvate riskihindamiste tegemise halduskoormuse vähendamiseks luua keskne
riskihindamise mehhanism, mille kaudu avalikustataks riskihinnangud levinumate
teenusepakkujate suhtes. Variante riskihindamisi teostavateks asutajataks on mitmeid, näiteks
muutub üheks suurimaks pilveandmetöötlusteenuste kasutajaks RIT. Samuti saab RIA teha
korrakaitseseaduse39 alusel ohuhinnanguid konkreetse pilveteenuse osutaja suhtes, arvestades
siinses paragrahvis olevaid sätteid. Samalaadset analüüsi saab teha ka IT-maja ning selle
analüüsi ise avalikustada osas, mis pole juurdepääsupiiranguga. Kavandatav pilvsüsteemi
pidamise raamistik jõustub olulise üleminekuajaga ning selle aja jooksul on võimalik keskselt
hinnata selliseid teenusepakkujaid, keda Eesti avalikus sektoris laiemalt kasutatakse. Sellest
tulenevalt ei tohiks nõue majanduslikult mõjutada ka väiksemaid avaliku sektori subjekte, kelle
IKT struktuur piiratud vaid levinumate teenuste kasutamisele.
Teine nõue võib tekitada kulu lahenduste väljatöötamiseks, mis võimaldavad pilvsüsteemis
majutatavat või selle kaudu edastatavat AK teavet iseseisvalt krüpteerida. Seda mõju vähendab
kaks tegurit. Eelnõus piiritletud krüpteerimise kohustus ainult selgelt riiklikku julgeolekut
mõjutava AK teabe suhtes. Valdavale osale juurdepääsupiiranguga töödeldavale teabele ei
kohaldu sätestatud AK teabe alused. Tegemist on suures osas teabega, mida töötlevad
teabevaldajad turvalisuse kaalutlustel eelduslikult pilvsüsteemis ei hoia või mida töötlevatel
teabevaldajatel on valmisolek teabe konfidentsiaalseks töötlemiseks ka pilvsüsteemis. Teiseks
on juba praegu võimalik edastada pilvsüsteemide vahel ka teenusepakkuja vastu DigiDoc4 või
RIA DigiDoc rakendusega krüpteeritud teavet. MKM-il on kavas ka seoses planeeritava
muudatusega arendada kontseptsiooni riiklikust krüptomaterjalist teabe pikaajaliseks
majutamiseks pilvsüsteemis krüpteeritud kujul.
Kolmas nõue võib tekitada nõude subjektile kulu, mis tuleneb pilvsüsteemiga paralleelse
alternatiivi pidamisest. Seda mõju vähendab kaks tegurit. Esiteks ei kohaldata nõuet kõikidele
pilvsüsteemidele, vaid sellistele, mille käideldavuse häirimisel oleks oluline kahjulik tagajärg
asutuse tegevusele. Ei saa olla eelduseks, et avalik sektor soovib tugineda
pilvandmetöötlusteenustele ehk võõrale infrastruktuurile selliste süsteemide pidamiseks, mille
toimepidevus oluliselt avaliku sektori ülesannete täitmist mõjutab, millest tulenevalt on ka
meetme mõju piiratum. Teiseks on peetava alternatiivi tehnilised võimekused suuresti subjekti
enda määratleda. Peetav alternatiiv ei pea täitma pilvsüsteemi võimekust täielikult, kuid peab
39 Korrakaitseseadus, RT I, 03.03.2021, 5.
41
lubama avaliku sektori organisatsioonil jätkata oma ülesannete täitmist ka ilma pilvsüsteemita.
Seega varieerub alternatiivi pidamise nõudest tulenev kulu lähtuvalt nii süsteemide mahust ja
keerukusest, mida asutus „pilve viia“ soovib, kui ka kaalutlustest alternatiivi enda võimekuste
ja arenduste osas.
Kokkuvõtlikult tuleneb raamistiku kehtestamisega kulutusi, mida avaliku sektori
organisatsioon süsteemide „pilve viimisel“ kandma peab, kuid kõik peamised majandusliku
mõju avaldajad on minimeeritud rakendumaks kas ebatavaliste pilvandmetöötlusteenustele,
julgeoleku tagamisega seotud teabele või toimepidevuseks vajalikele süsteemidele.
Täiendavalt ei avaldu raamistiku majanduslik mõju otsese kuluna. Kavandatav regulatsioon
rakendub küll pilvsüsteemide pidamisele, kuid ei kohusta ühtki subjekti pilvsüsteemi pidama.
Peamine põhjus pilvsüsteemi pidamiseks on aga majanduslik kasu või kokkuhoid võrreldes
oma taristul tugineva süsteemi välja arendamise ja hooldamisega. Seega on kavandatava
regulatsiooni reaalne majanduslik mõju vaadeldav majandusliku kasu või kokkuhoiu
vähendamisena oluliste süsteemide „pilve viimisel“, mitte otsese kuluna subjektile. Mõjusid
peab subjekt ennekõike arvestama IKT arenduste eelarve kujundamisel.
Ulatus keskmine, sagedus keskmine, ebasoovitavate mõjude risk väike.
5.3.4. Mõju elu- ja looduskeskkonnale
Eelnõu muudatused ei too kaasa otseseid või kaudseid mõjusid elu- ja looduskeskkonnale.
5.3.5. Mõju regionaalarengule
Eelnõu muudatused ei too kaasa otseseid või kaudseid mõjusid regionaalarengule.
5.3.6. Mõju riigiasutuste ja kohaliku omavalitsuse asutuste korraldusele
Eelnõu ei mõjuta olulisel määral avaliku sektori töökorraldust, kuivõrd kavandatav regulatsioon
täiendab, mitte ei kujunda ümber avaliku sektori IKT korralduslikku protsessi. Tekib täiendav
vajadus välja töötada sisemine töökorraldus pilvandmetöötlusteenuste pakkujate
usaldusväärsuse hindamiseks, kui seda varasemalt tehtud ei ole ning kui soovitakse kasutada
pilvandmetöötlusteenuse pakkujaid, keda keskselt hinnatud nimekirjas kajastatud ei ole.
Julgeoleku tagamisega seotud AK teabe töötlemisel pilvsüsteemis on ennekõike tehnilise, mitte
organisatoorse iseloomuga, sest nimetatud AK teabe määratlemine toimub alustel, mida juba
avalikus sektori AK teabe töötlemisel kasutatakse.
Eelnõuga kaasnevad täiendavad kulud järelevalve ja volitusnormide alusel nõuete täpsema
tehnilise sisustamise teostamiseks, mis on kirjeldatud seletuskirja punktis 6.3.
5.3.7. Muud otsesed või kaudsed mõjud
Eelnõu muudatused ei too kaasa muid otseseid või kaudseid mõjusid.
42
6. Määruse rakendamiseks vajalikud kulutused ja määruse rakendamise eeldatavad
tulud
6.1. Kavandatav muudatus: E-ITS-i kehtestamine
6.1.1. Küberturvalisuse tagamiseks vajalike kulutuste ja E-ITS-i kehtestamisest
tulenevate kulutuste eristamine
Kuigi eelnõu eesmärk on kehtestada uued infoturbe halduse nõuded, siis selle kehtestamisest
tuleneva majandusliku mõju analüüsil tuleb eristada E-ITS-i spetsiifikast tulenevaid kulutusi
küberturvalisuse tagamiseks tehtavatest kulutustest üleüldiselt. Teenuse osutajad ning enamik
isikutest, kellele kohaldatakse teenuse osutajale sätestatud nõudeid, on pidanud
küberturvalisuse tagamiseks tegema vastavaid investeeringuid juba kehtiva õiguse (KüTS § 7)
alusel.
Mis eristab E-ITS-i varasemalt kehtinud nõuetest, on ennekõike terviklik ja struktureeritud
lähenemine küberturvalisuse tagamisele organisatsioonis, ning see, et nende nõuete täitmist on
lihtsam kontrollida. E-ITS aga ei kujuta endast kannapööret küberturvalisuse rakendamise
põhimõtetes ega parimas praktikas.
On tõenäoline, et E-ITS-i rakendaja hakkab tegema varasemast rohkem investeeringuid
küberturvalisusesse, et jõuda vastavusse kehtestatavatele nõuetele ning sealhulgas viia läbi
edukas E-ITS-i audit. See aga ei tähenda, et majanduslik mõju E-ITS-i rakendajale tulenes E-
ITS-i kehtestamisest – pigem viitab selline olukord, et E-ITS-i rakendaja ei ole varem KüTS-i
alusel kehtestatud nõudeid piisavalt põhjalikult järginud.
Seega isegi kui teenuse osutajad ning need, kellele kohaldatakse teenuse osutajale sätestatud
nõudeid, peavad tegema olulisi investeeringuid E-ITS-i nõuetele vastamiseks, siis väitmaks, et
eelnõu majanduslik mõju on rakendajale suure ulatusega, ei pea rakendaja põhistama, kuidas
konkreetsed kulutused on vajalikud E-ITS-i nõuete täitmiseks, vaid just põhistama, kuidas
konkreetsed kulutused ei olnud vajalikud kehtiva seaduse nõuete täitmiseks. Küberturvalisuse
tagamiseks on vaja teha olulisi pingutusi ja investeeringuid esitatud eelnõust sõltumata.
6.1.2. Küberturvalisuse tagamiseks tehtavate kulutuste majanduslik mõju
Küberturvalisusega seotud kulutused võib jaotada kaheks liigiks – kulutused, mida tehakse
küberturvalisuse tagamiseks organisatsioonis (pädeva personali palkamine, teenuste ja
süsteemide kaardistamine, riskianalüüs, meetmete rakendamine), ning kulutused, mida tehakse
küberintsidendi tagajärgede likvideerimiseks (lunavara nõuded, andmebaaside taastamine,
riistvara väljavahetamine, info- ja võrgusüsteemide uuesti arendamine, teenuse osutamata
jätmisega tekkinud kahju kandmine (sh esitatud kahjunõuded ja leppetrahvid) jne).
Alati on võimalik, et küberturvalisuse tagamisele olulisi kulutusi teinud organisatsioon ei suuda
vältida kahjulikke küberintsidente ega nendega kaasnevaid kulutusi, ning et küberturvalisuse
tagamisele kulutusi mitte teinud organisatsioon ei lange küberintsidendi ohvriks ega kanna ka
sellest tulenevaid kulutusi, kuid üldreeglina tähendab küberturvalisuse tagamiseks tehtavate
kulutuste suurendamine küberintsidendi juhtumise tõenäosuse vähenemist. Samas näitab RIA
statistika, millega on võimalik tutvuda iga kuu ilmuva „Olukord küberruumis“ ning kvartaalselt
43
ilmuva „Trendid ja tähelepanekud küberruumis“40 väljaande vahendusel, et küberintsidendi
ohvriks langemise puhul on küsimus pigem ajas, millal see juhtub, ning milline on toimunud
küberintsidendi mõju ulatus. Seega ei saa pidada mõistlikuks lähenemist, et küberturvalisuse
tagamiseks jäetakse kulutused tegemata põhjendusel, et loodetavasti organisatsioon ei lange
küberintsidendi ohvriks.
Kui eelnõu tulemusel on seetõttu oodatav E-ITS-i rakendajatel ühel või teisel põhjusel (nt
varasemalt nõuete ebapiisav täitmine või küberturvalisusega seotud kohustuste puudumine)
küberturvalisusele tehtavate kulutuste suurenemist, ei saa seda vaadelda vaid kulutuste
kandmise vaatenurgast, vaid tuleb arvestada ka teist liiki kulutuste vältimist. Küberintsidendid
on ebaregulaarsed sündmused, mille põhjustajaks on enamasti pahatahtlikud kolmandad isikud,
seega ei ole ka otseselt ennustatav suhe, kui palju konkreetne teenuse osutaja küberturvalisuse
meetmete rakendamisest majanduslikult võidab või kaotab.
6.1.3. Riigi ja kohaliku omavalitsuse tegevused, eeldatavad tulud ja kulud
Eelnõu rakendamisel kaasneb nii riigi kui ka kohaliku omavalitsuse tasandil ajakulu senise
ISKE alusel koostatud dokumentatsiooni vastavusse viimisel E-ITS-iga. E-ITS-i juurutamise
etapis tuleb arvestada, et infoturbe rolli täitvatel inimestel kulub põhitöö kõrvalt täiendavalt
aega E-ITS-i nõuetega vastavusse viimiseks (aktiivses juurutamise etapis mõned tunnid
nädalas).
Eelnõust tulenevalt täiendavate kulutuste tegemise vajadust ei teki, kuivõrd üleminek ISKE-lt
E-ITS-i rakendamisele asendab vastavad auditeerimiskulud ning nõuab peamiselt ajalist panust
dokumentatsiooni koostamisele.41
Küberturvalisuse tagamiseks tehtavate kulutustega tuleb arvestada ka kehtivate õigusaktide
alusel, ning kui seni ei ole avalik sektor sellele piisavalt tähelepanu pööranud, siis tuleb avaliku
sektori asutusel või muul üksusel selle eest seista oma majandusaasta eelarvestamisel, sh
võimaluse korral riigieelarve läbirääkimistel. Asjaolu, et käesolev eelnõu ei too otseselt kaasa
kulutuste kasvu kehtivate õigusaktidega võrreldes, ei tähenda, et juriidilisel isikul või asutusel
oleks õigustatud küberturvalisuse tagamiseks vajalike kulutuste jätkuv alahindamine.
6.1.4. Järelevalveasutuse tegevused, eeldatavad tulud ja kulud
E-ITS-i kehtestamise eesmärgi raames ei mõjuta eelnõu RIA töökorraldust. Varasem KüTS §
7 lõike 4 alusel kehtestatud nõuete ja ISKE nõuete järgimise kontroll asendub E-ITS-i nõuete
järgimise kontrolliga.
RIA töökoormust võib eelnõu suurendada suurema hulga auditite järeldusotsuste ülevaatamise
vajaduse tõttu. Samuti on vajalikud täiendavad toetustegevused E-ITS edasi arendamiseks ning
KüTS-i subjektidele vastavate profiilide loomiseks.
40 Leitav: https://www.ria.ee/et/uudised.html?type-filter[0]=Olukord%20k%C3%BCberruumis. 41 Siin on abiks vastavad abimaterjalid (sh üleminekujuhend ISKE-lt E-ITS-le), mis on leitavad E-ITS-i portaalist:
https://eits.ria.ee/
44
RIA esmase hinnangu kohaselt on järelevalve eesmärkide täitmiseks vajalik palgata juurde
kolm töötajat ning E-ITS arendamiseks ja profiilide loomiseks täiendavalt kolm töötajat.
Personali- ja halduskulude arutelu toimub riigi eelarvestrateegia protsessis.
6.2. Kavandatav muudatus: avalike ülesannete täitmist oluliselt mõjutavate süsteemide
pidamise nõuded
Kuivõrd Luksemburgi andmesaatkond on juba käivitatud ning andmeid ja infosüsteeme on
varundatud alates 2019. aastast, siis on selle käitamiseks vajalikud tehnilised lahendused
Registrite ja Infosüsteemide Keskuse (edaspidi RIK) poolt välja töötatud ning serveriruum
vastava riist- ja tarkvaraga sisustatud. Andmesaatkonna rendikulud Luksemburgiga sõlmitud
rahvusvahelise lepingu alusel on 236 000 eurot aastas, mille tarbeks on MKM-ile raha eraldatud
riigieelarvest kuni nimetatud lepingu kehtivuse lõpuni (31.12.2022). Lisaks üüritasule
kaasnevad andmesaatkonna pidamisega ka serveriruumi elektritarbimise kulud, mille
tasumiseks eraldas MKM lepingu alusel RIK-le, kui serveriruumi haldus- ja majutusteenuse
osutajale raha kuni eelnimetatud lepingu lõppemiseni. Eelnõu koostamise hetkeks on RIK-lt
vastava ülesande üle võtnud RIT.
Asutustel ei teki märkimisväärseid varundamisega seotud kulusid eeldusel, et varundamise
protsess juba toimib. Reeglina on asutustes juba tulenevalt ISKE nõuetest kasutusele võetud
andmete riigisisese regulaarse andmevarunduse osas toimiv protsess. Andmesaatkond on
täiendav koht, kuhu varundamist teostada. Kulude kasv asutustele sõltub sellest, kuidas
asutused oma varunduslahendused soovivad välja töötada (täiendava riistvara soetamine,
manuaalse varundamise või automaatse varundamise valik). Varundamisega seonduvad
halduskulud kaetakse asutuste eelarvest.
6.3. Kavandatav muudatus: pilvsüsteemi pidamise nõuded
Eelnõu ei eelda rakendamisega kaasnevaid olulisi majanduslikke kulutusi raamistiku
subjektidele, ennekõike vähendab raamistik pilvandmetöötlusteenuste kasutamise
majanduslikke eeliseid pilvsüsteemi turvalisuse tagamise eesmärgil.
Juba kasutatavate pilvandmetöötlusteenuste kooskõlla viimine kavandatavate muudatustega
võib tekitada kulutusi, mille ulatus sõltub muidugi kasutatavate teenuste mahust, kuid millega
peamised kaasnevad muutused tegevustes on siiski tehnilised ümberkorraldused ja
dokumentatsiooni vormistamised. Sellega kaasneva ajakulu arvestamiseks jõustub kavandatav
regulatsioon ka 2024. aasta alguses.
Järelevalve teostamiseks on RIA esmasel hinnangul vajalik palgata juurde kuni 8 töötajat.
Täpsemalt:
1) Kuni viis töötajat pilvsüsteemide logide seire teostamiseks, st kuni kolm töötajat
aktiivse seire teostamiseks, üks töötaja logilahenduste haldamiseks ning üks töötaja
järelevalve süsteemide arendamiseks. Vajalike kulutustega kaasneks ka ligikaudu poole
miljoni ulatuses majanduskulu ning saja tuhande ulatuses investeeringute kulu.
45
2) Kuni kolm töötajat nõuete üle järelevalve teostamiseks.
Personali- ja halduskulude arutelu toimub riigi eelarvestrateegia protsessis.
7. Määruse jõustumine
Määrus jõustub 531 SE-ga samal kuupäeval, kuid mõne erisusega.
Määruse §-id 7 kuni 11 jõustuvad 1. jaanuaril 2023. a. Tegemist on andmekogude suhtes ISKE-
lt E-ITS-le vormistusliku ülemineku võimaldamise normidega, mis jõustuvad samal ajal ISKE
kehtetuks tunnistamisega. Need muudatused toimuvad 531 SE tõttu AvTS-i muudatustega.
Määruse §-id 14 kuni 19 jõustuvad 1. jaanuaril 2024. a. Tegemist on pilvsüsteemi pidamise
nõuete sätetega, mille suhtes rakendatakse üleminekuaega olemasolevate pilvsüsteemide
kooskõlla viimiseks.
8. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
Eelnõu on seotud Riigikogus arutatava seaduseelnõuga ehk 531 SE-ga. 531 SE avaliku
kooskõlastuse käigus (toimus viimati sügisel 2021. a) esitati ka kommentaare ja märkusi
teemade kohta, mis on pigem seotud siinse eelnõuga. Need märkused koos eelnõu koostajate
uuendatud vastustega on lisatud seletuskirjale kui lisa 2, et hõlbustada siinsele eelnõule
kooskõlastuse andmist või arvamuse avaldamist.
Eelnõu esitati kooskõlastamiseks eelnõude infosüsteemi kaudu kõikidele ministeeriumitele
ning arvamuse avaldamiseks põhiseaduslikele institutsioonidele, avalik-õiguslikele
juriidilistele isikutele, Andmekaitse Inspektsioonile, RIA-le, Keskkonnaministeeriumi
Infotehnoloogiakeskusele, RIK-le, RIT-le, Rahandusministeeriumi Infotehnoloogiakeskusele,
Siseministeeriumi infotehnoloogia- ja arenduskeskusele, Tervise ja Heaolu Infosüsteemide
Keskusele, Eesti Linnade ja Valdade Liidule, Eesti Infotehnoloogia ja Telekommunikatsiooni
Liidule, Eesti Infosüsteemide Audiitorite Ühingule ning RIA vahendusel elutähtsate ja oluliste
teenuste osutajatele.
1
Vabariigi Valitsuse määruse „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“
eelnõu seletuskirja juurde
Lisa 1
ETTVÕTLUS- JA INFOTEHNOLOOGIAMINISTER
MÄÄRUS
Eesti infoturbestandard
Määrus kehtestatakse küberturvalisuse seaduse § 7 lõike 5 ning Vabariigi Valitsuse KUUPÄEV
määruse nr XX „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ § 3 lõike 1 alusel.
§ 1. Eesti infoturbestandardi kehtestamine ja järgimine
(1) Eesti infoturbestandardi (edaspidi E-ITS) versioon 2021 on lisatud.
(2) E-ITS 2021. a versioonis on:
1) organisatsiooni infoturbe halduse süsteemi nõuded;
2) rakendusjuhend;
3) etalonturbe kataloog;
4) auditeerimise juhend.
(3) Teenuse osutaja järgib Eesti infoturbestandardit ning rakendab sellest tulenevaid
turvameetmeid.
(4) Eesti infoturbestandardi järgimine seisneb Eesti infoturbestandardi tingimuste täitmises
infoturbe halduse käivitamisel, rakendamisel, käigushoidmisel ning täiustamisel ja Eesti
infoturbestandardi tingimuste täitmise auditeerimises.
§ 2. Määruse jõustumine
Määrus jõustub [kuupäev on seotud küberturvalisuse seaduse, avaliku teabe seaduse ja Eesti
Rahvusringhäälingu seaduse eelnõu 531 SE jõustumise kuupäevaga, mis jõustub üldises
korras].
Lisa: Eesti infoturbestandardi (E-ITS) versioon 2021. [kättesaadav ka E-ITS portaalist:
https://eits.ria.ee/]
2
ETTVÕTLUS- JA INFOTEHNOLOOGIAMINISTER
MÄÄRUS
Pilvsüsteemi pidamiseks kasutatava pilvandmetöötlusteenuse kohustuslikud tehnilised
suvandid
Määrus kehtestatakse küberturvalisuse seaduse § 7 lõike 5 ning Vabariigi Valitsuse xxx
määruse „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ § 15 alusel.
§ 1. Kohaldamisala
Määrusega kehtestatakse tehnilised suvandid järgmiste pilvandmetöötlusteenuste
kasutamisele:
1) …
2) …
§ 2. Määruse jõustumine
Määrus jõustub 1. jaanuaril 2024. a.
Lisad:
Lisa 1 - … tehnilised suvandid;
Lisa 2 - … tehnilised suvandid.
3
ETTVÕTLUS- JA INFOTEHNOLOOGIAMINISTER
MÄÄRUS
Pilvsüsteemis peetava asutusesiseseks kasutamiseks mõeldud teabe krüpteerimise
krüptomaterjalide nõuded
Määrus kehtestatakse küberturvalisuse seaduse § 7 lõike 5 Vabariigi Valitsuse xxx määruse
„Võrgu- ja infosüsteemide küberturvalisuse nõuded“ § 17 lõike 3 alusel.
§ 1. Kohaldamisala
Määrusega kehtestatakse avaliku teabe seaduse § 35 lõike 1 punktides 31, 4, 5, 51, 52, 6, 61, 62,
9 või 181 sätestatud teabe krüpteerimise krüptomaterjalide nõuded järgnevatele
andmetöötlusvormidele pilvsüsteemis:
1) …
2) …
§ 2. Määruse jõustumine
Määrus jõustub 1. jaanuaril 2024. a.
Lisad:
Lisa 1 - … krüptomaterjalide nõuded;
Lisa 2 - … krüptomaterjalide nõuded.
1
Vabariigi Valitsuse määruse „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“
eelnõu seletuskirja juurde
Lisa 2
SE 531 KOOSKÕLASTUSTE JA MÄRKUSTE TABELI II OSA TÄIENDATUD TAGASISIDE
II Kavandatavate rakendusaktidega seotud tagasiside
Käesoleva lisa eesmärk on lihtsustada Vabariigi Valitsuse määruse „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ tagasisidestamist.
Dokumendis on kajastatud muutmata kujul SE 531 kooskõlastamise raames esitatud märkuseid SE 531 lisana esitatud rakendusaktide kavandite osas.
Muudetud kujul on esitatud Majandus- ja Kommunikatsiooniministeeriumi kommentaarid ja selgitused esitatud märkustele, kajastamaks käesoleva eelnõu
hetkeolukorda ja vastavaid selgitusi. Palume arvestada, et muutmata märkuste viited määruse eelnõu paragrahvide numbritele on ajakohastamata. Samuti
juhime tähelepanu, et olulise lisandina SE 531 raames esitatud rakendusakti kavandile käesoleva määruse eelnõu poolt on käsitletav 2. jao 3. jaotis
(Pilvsüsteem).
1. Justiitsministeerium esitas järgnevad märkused seoses eelnõu § 7 lõike 5 alusel kehtestatava Vabariigi Valitsuse määruse „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ kavandiga
21. Määruse eelnõu § 3 lg 3 kohaselt kehtestab Eesti Infoturbestandardi (E-
ITS) valdkonna eest vastutav minister määrusega. Kuna tegu on
üleriigilise standardiga, mis loob kohustusi kõikidele teenuse
osutajatele, teeme ettepaneku vastav standard kehtestada Vabariigi
Valitsuse määruse tasandil.
Mittearvestatud.
EITS on infoturberaamistik. Küberturvalisuse tagamise korraldamise eest
vastutava ministri määruse kohaldamisala saab olla, vastava volituse
korral, võrdeline küberturvalisuse seaduse kohaldamisalaga.
Selgitame, et sarnaselt hetkel kehtiva ISKE-ga on ka E-ITS pidevat
kaasajastamist ning täiendamist nõudev dokument. Majandus- ja
Kommunikatsiooniministeeriumi valitsemisala asutus RIA korraldab E-
ITS-i täiendamise ning uuendamisega seotud teenuseid, võttes selle
aluseks varasemase rakendamise praktikat ning muutusi
infotehnoloogilises maailmapildis ja õigusraamistikes. Tulenevalt
2
eeldatavast vajadusest E-ITS-i korduvalt muuta ja ajakohastada, ei ole
Vabariigi Valitsuse määruse vorm sobilik E-ITS-i kehtestamiseks.
22. Määruse eelnõu § 4 lg 1 kohaselt viiakse auditeerimine läbi vastavalt
küberturvalisuse seaduse (KüTS) § 7 lg-le 5 ning määruse § 3 lg 3
kohaselt. Tõenäoliselt on siin kogemata tekkinud viide valele sättele,
sest KüTS § 7 lg 5 sisaldab volitusnorme määruste kehtestamiseks, kuid
ei reguleeri auditeerimise korraldust. Palun vaadake viide üle.
Arvestatud.
Määruse eelnõu § 4 lõikest 1 eemaldatakse viited KüTS § 7 lõikele 5 ja
määruse eelnõu § 3 lõikele 3.
Selgitame, et infoturbe korralduse, sh etalonturbe rakendamise,
auditeerimine ei ole eraldiseisev E-ITS-st, vaid on selle üks osa E-ITS-i
tingimustest tulenevalt. Kavandatava ministri määruse eelnõu kehtestab
ühe E-ITS-i dokumendina ka auditeerimisjuhendi.
Tagasiside aluseks olev määruse eelnõu § 4 kehtestab aga Vabariigi
Valitsuse tasandil nõuded auditi läbiviimise sagedusele, sätestab auditi
järeldusotsuse edastamise kohustuse ning auditi läbiviimise kohustuse
erandid.
23. Määruse eelnõu § 4 lg 2 seab teenuse osutajale (kelleks on sisuliselt kõik
Justiitsministeeriumi haldusala asutused) kohustuse auditi
järeldusotsuse edastamiseks. Piisavaks tuleks pidada, kui vastava otsuse
edastab auditi tellija (st KüTS EN sõnastuse vaatest üks teenuse
osutajatest).
Teadmiseks võetud.
Selgitame, et eesmärk on võimaldada ühisauditite tellimist ning
läbiviimist. Eelnõu seletuskirjas on täiendavalt kirjeldatud auditi
edastamise delegeerimist.
24. Määruse eelnõu § 4 lg 3 p 2 kohaselt loetakse auditi läbiviimise kohustus
täidetuks, kui tegu on perearstiga. Juhime tähelepanu, et perearstid
töötlevad mh eriliigilisi isikuandmeid, mistõttu kontroll teabeturbe osas
võib osutuda olulisemaks kui mõne muu asutuse väiksema andmekogu
puhul.
Teadmiseks võetud.
Määruse eelnõus on auditi läbiviimise erandit muudetud perearsti
määratlusest mikroettevõtja määratlusele.
Selgitame, et lisaks perearstidele võivad ka muud KüTS-i mõistes teenuse
osutajad töödelda olulise kaitseväärtusega andmeid, kuid see ei ole
auditeerimise erandi loomise aluseks.
3
Eesmärk on tagada auditi läbiviimise mõju proportsionaalsus subjekti
IKT korralduslike võimetega. Kommenteeritava erandi puhul on tegemist
väikesemahuliste organisatsioonidega, kelle IKT korralduslikud vahendid
on oluliselt piiratumad ning seetõttu võib ka auditi lävendiline
majanduslik mõju olla organisatsioonile ebaproportsionaalselt suur.
KüTS-i subjektidest on mikroettevõtjad enamasti teede sõidetavust
tagavad ettevõtjad (subjektid KüTS § 3 lg 1 p 1 alusel hädaolukorra
seadusest tulenevalt) ning mitmed perearstid (subjektid KüTS § 3 lg 1 p
7 alusel). Samas perearstikeskused, mis ületavad mikroettevõtja lävendit,
alluvad auditeerimiskohustusele.
25. Määruse eelnõu § 4 lg 3 p 3 kohaselt loetakse auditi läbiviimise kohustus
täidetuks valitsusasutuse hallatava riigiasutusega ning sellele isikule
kohaldatakse KüTS §-s 7 sätestatud kohustusi ainult sama seaduse § 3
lõike 4 alusel. Sellest tulenevalt väheneks isegi IT-asutuste kohustused
ning nii Registrite ja Infosüsteemide Keskus kui ka teised IT-majad ei
ole kohustatud enam auditeid tellima. Kas see on aga olnud ikka
eesmärk võttes arvesse teabe töötluse ulatust IT-majades?
Teadmiseks võetud.
Määruse eelnõus on auditi läbiviimise erandit täpsustatud avaliku sektori
asutuste suhtes. IT-asutustele erandid ei kohaldata.
Selgitame, et eesmärk on vabastada asutused, mille IKT korralduslikud
vahendid on oluliselt piiratumad tulenevalt IKT vahendite väiksemast
olulisusest asutuse avalike ülesannete täitmisel. Avalikus sektoris sõltub
asutuse IKT struktuuri mahukus ning selle IKT struktuuri turvalisuse
kriitilisus ühiskonna toimepidevusele rohkem asutuse ülesannetest kui
asutuse organisatsioonilisest suurusest.
26. Määruse eelnõu 3-nda peatüki 1. jagu ületab määruse kehtestamise
aluseks oleva seaduse (KüTS §-is 1 sätestatud) reguleerimis- ja
kohaldamisala. Nimelt KüTS § 1 kohaselt kohaldub seadus ühiskonna
toimimise seisukohast oluliste ning avaliku sektori võrgu ja
infosüsteemidele. Määruse eelnõu § 5 sõnastus hõlmab aga kõiki
teenuseid (st mitte üksnes võrgu- ja infosüsteeme), ületades
reguleerimisala. Sellega seoses tuleks muuta § 5 sõnastust. KüTS §-is 1
sätestatud reguleerimis- ja kohaldamisala ei tohiks laiendada kõikidele
teenustele. Ühtlasi tekitab segadust EITS (Eesti infoturbe standard)
juhis, mis räägib omakorda hoopis äriprotsessidest, mitte võrgu- ja
infosüsteemidest. Palun vaadake need sätted üle ja parandage vastavalt.
Mittearvestatud.
Määruse eelnõu § 5 allub KüTS kohaldamisala piiridele.
Selgitame täiendavalt, et KüTS reguleerimis- ja kohaldamisalaks ei ole
võrgu- ja infosüsteemid (süsteem), vaid süsteemide pidamine. Teenusena
käsitletakse erasektori puhul teenuseid, mille alusel isik on KüTS subjekt
ning teenuste kaardistus dokumenteeritakse koos selle haldamise
süsteemi, rakendatavate turvameetmete ja riskianalüüsiga. Avaliku
sektori puhul on kaardistamine laiem ning teenuste kaardistamisel saab
4
subjekt lähtuda TKTA määrusest1. Teenuste kaardistus
dokumenteeritakse koos selle haldamise süsteemi, rakendatavate
turvameetmete ja riskianalüüsiga.
27. Vaadates määruse eelnõu § 4 ja § 6 sõnastust, siis kas mõistame õigesti,
et auditid tuleb läbi viia mitte üksnes andmekogude osas, vaid kõikide
võrgu- ja infosüsteemide osas, kuid turvaklass määratakse üksnes
andmekogudele? Ühtlasi on hetkel rakenduslikust vaatest arusaamatu,
mida mõeldud turvalisuse puudumisest tuleneva kahju hindamise all.
Palun selgitage.
Teadmiseks võetud.
Selgitame täiendavalt, et turvaklassi määramine säilitatakse
andmekogude suhtes ning selle praktiline väljund rakendatavate
turvameetmete osas tuleneb turvaklassi teisendamisest kaitsetarbeks, mis
on osa E-ITS-i metoodikast. Teiste infosüsteemide puhul ei ole
teisendamine vajalik, kuivõrd turvaklassi asemel määratletakse
kaitsetarve E-ITS-i metoodika alusel. Audit viiakse läbi organisatsiooni
vaatest.
Andmete turvalisuse puudumisest tulenev kahju hindamine on protsess,
mis koos andmete tähtsuse hindamise protsessiga moodustab andmekogu
andmete turvaanalüüsi ning sellest tulenevalt määratakse andmekogu
turvaklass.
Täpsemad selgitused on esitatud määruse eelnõu seletuskirjas.
28. Määruse eelnõu § 9 lõikes 3 kehtestatud käideldavuse turvaosaklassi K1
ja K2 vahel on võrdlemisi suur (K1 lubatud seisak nädalas ööpäev, K2
seisak 2 h, K3 seisak 10 min), mis võib tekitada olukorra, kus
andmekogu vastutav töötleja määrab kõrgema osaklassi vaid seetõttu, et
K1 osaklass võimaldab liiga pikka seisakut. Sellega seoses teeme
ettepaneku vähendada osaklasside vahet.
Mittearvestatud
Selgitame, et turvaosaklasside K lävendid ei ole määratletud lineaarse
skaalana, vaid astmelise skaalana. Kui töökindlus on oluline, siis peab
vastutav töötleja hindama, kas lubatav seisak nädalas on mõõdetav kuni
päeva, üksikute tundide või üksikute minutite piires.
Lubatavad summaarsed seisakud on pöördvõrdelised nõutava
töökindlusega. See tähendab, et minimaalne nõutav töökindlus kujutab
maksimaalset lubatavat seisakut vastavas osaklassis. Teisisõnu, kui K1
1 Vabariigi Valitsuse 25.04.2017 määrus nr 88 „Teenuste korraldamise ja teabehalduse alused“, RT I, 25.03.2021, 6.
5
osaklass lubab liiga pikka seisakut, aga K2 lubatav seisak on liiga lühike,
siis määrab vastutav töötleja turvaosaklassiks K1, sest nõutav töökindlus
jääb vastutava töötleja hinnangul vahemikku 90%-99%. Eelnõu koostajad
ei näe, kuidas vastutav töötleja peaks määrama kõrgema turvaosaklassi
lihtsalt seetõttu, et K1 lubatav seisak on liiga pikk. Oluline on hinnata,
mis lävendit nõutav töökindlus ületab.
29. Määruse eelnõu § 11 kehtestab süsteemid, millel on oluline mõju riigi ja
kohaliku omavalitsuse üksuse võimele täita avalikke ülesandeid. Ühtlasi
on ka teisi võrgu- ja infosüsteeme, mis omavad olulist mõju avalike
ülesannete täitmisele. Näiteks puudub nimekirjas mh riigi andmeside
võrk (ASO võrk), allkirjastamise ja autentimise süsteemid, millest
sõltuvad väga paljud teised võrgu- ja infosüsteemid (sh avalike
ülesannete täitmine). Loetletud andmekogude ja infosüsteemide
nimetused vajavad täpsustamist, palun vaadake loetelu üle.
Mittearvestatud.
Selgitame, et lähtudes MKM-i küberturvalisuse strateegiast 2019-2022 on
kõige enam kaitset vajavateks digitaalseteks varadeks põhiandmed
kodanike, riigi territooriumi ja õigusloome kohta2. Kriitiliste
andmekogude töörühm, mis käis koos MKM-i juhatamisel selgitasid välja
avalike ülesannete täitmist oluliselt mõjutavad süsteemid, mis on ka
küberjulgeoleku nõukogu3 poolt kinnitatud. Sama kinnitatud loetelu
alusel ongi koostatud määruses toodud loetelu.
Täpsemad selgitused on esitatud eelnõu seletuskirjas.
30. Määruse eelnõu § 12 lõike 3 kohaselt ei ole võimalik IT-asutustel
rakendada ISO standardit määruse eelnõu §-is 11 toodud infosüsteemide
osas. Hetkel ei ole arusaadav, miks selline erisus on tehtud. Kui asutus
otsustaks rakendada ISO standardit, siis EITS rakendamine üksnes
osadele süsteemidele toob kaasa täiendava ressursi kulu. Teeme
ettepanku, et regulatsioon toetaks laiemalt turbestandardi valikut
asutuste poolt.
Arvestatud.
Eelnõust on viidatud säte kustutatud.
2. Siseministeerium esitas järgnevad märkused
2 Majandus- ja Kommunikatsiooniministeerium. Küberturvalisuse strateegia 2019-2022, lk 24. Kättesaadav:
https://www.mkm.ee/sites/default/files/kuberturvalisuse_strateegia_2019-2022.pdf. 3 2009. aastal alustas Vabariigi Valitsuse julgeolekukomisjoni juures tööd küberjulgeoleku nõukogu, mille ülesanne on aidata kaasa ametkondade koostöö toimimisele ja teha
järelevalvet küberjulgeoleku strateegia eesmärkide elluviimise üle. Nõukogu esimees on ettevõtlus- ja infotehnoloogiaminister ning nõukogu juhib MKM-i kantsler.
6
31. Seletuskirjas on toodud lause: "Eelnõu koostamise hetkel kavandatav
Vabariigi Valitsuse määrus sätestab kohustuse järgida E-ITS-i ning
rakendada selle järgimisest tulenevaid turvameetmeid, kusjuures E-ITS-
i järgimine seisneb E-ITS tingimuste täitmises infoturbe halduse
käivitamisel, rakendamisel, käigushoidmisel ning täiustamisel ja E-ITS-
i tingimuste täitmise auditeerimises." Selle lause kohaselt võib aru
saada, et E-ITS-i rakendamine on kohustuslik ja ainuke valik. Samas on
erinevatel EITS-iga seotud kohtumistel ja koolitustel toodud välja, et
võib rakendada ka ISO standardit.
Teadmiseks võetud.
Selgitame, et E-ITS-i asemel võib tõesti rakendada ISO standardit ning
vastav võimalus on ka määruse eelnõus esitatud.
32. Juhime tähelepanu olukorrale, mis tekib kui Vabariigi Valitsuse määruse
eelnõu kavand „Võrgu- ja infosüsteemide küberturvalisuse nõuded“
pakutud sõnastuses jõustub. Antud määruse eelnõu kavandi § 3 lõige 1
ja 4 kohaselt lubatakse teenuse osutajal rakendada turvameetmeid, mis
vastavad rahvusvahelise standardi ISO/IEC 27001 kehtestatud nõuetele.
Samas aga piirab § 12 lõige 3 ISO/IEC 27001 standardis kehtestatud
nõuete kasutamist juhul, kui tegu on § 11 nimetatud süsteemiga. Antud
juhul siis on § 11 punktis 11 nimetatud rahvastikuregister.
Selline piirang viib olukorrani, kus Siseministeerium ja
Siseministeeriumi infotehnoloogia- ja arenduskeskus peavad hakkama
juurutama paralleelselt Eesti Infoturbestandardi tingimusi ainult
rahvastikuregistri jaoks, aga teiste infosüsteemide jaoks saab kasutada
ISO/IEC 27001 kehtestatud nõudeid.
Teadmiseks võetud.
Eelnõust on viidatud säte kustutatud.
33. Eelnõus on käsitlemata, kuidas täpsemalt määratletakse andmekogude
ja äriprotsesside kaitsetarvet (vana nimega turvaosaklassid). Ära on
määratud, mis tase vastab endisele kõrgkäideldavusele või kõrg-
terviklikkuse turvaosaklassile, kuid pole täpselt välja toodud, kuidas
selleni jõutakse. Palume seletuskirja selles osas täiendada.
Arvestatud.
Seletuskirja on täiendatud andmekogude turvaosaklasside määramise
selgitamisega. E-ITS-i alusel kaitsetarbe määramine toimub E-ITS-i
dokumentatsiooni alusel.
7
34. Riigi Infosüsteemi Amet peaks välja töötame E-ITS-i tööriista, mis
aitaks kiirendada ja viia efektiivsemalt praktikasse uut infoturbe
standardit. Antud vajadus ilmnes juba eelmise infoturbe standardi ISKE-
ga, kus see puudus mitmeid aastaid ja paljud tegid seda oma
äranägemise järgi. Mõistlik oleks seda üle riigi ühtlustada või vähemalt
osa sellest.
Teadmiseks võetud.
3. Rahandusministeerium esitas järgnevad märkused
35. Eelnõu § 1 punktiga 8 täiendatakse KüTS § 7 lõikega 5, mis sisaldab
volitusnormi süsteemide küberturvalisuse tagamiseks vajalike nõuete,
sh E-ITS-i kehtestamiseks.
Sellega seoses tunnistatakse kehtetuks avaliku teabe seaduse § 439 lõike
1 punkt 4 volitusnorm infosüsteemide turvameetmete süsteemi
kehtestamiseks. Muudatustega kaasajastatakse ning viiakse infoturbe
tagamine andmekogude põhiselt lähenemiselt võrgu- ja infosüsteemide
lähenemisele. Seega võimaldab muudatus aegunud infosüsteemide
kolmeastmelise etalonturbe süsteemi asendada uue Eesti
Infoturbestandardiga (E-ITS).
Eelnõu seletuskirja lisa 2 (rakendusaktide kavandid) sisaldab Vabariigi
Valitsuse määruse „Võrgu- ja infosüsteemide küberturvalisuse nõuded“
kavandit (edaspidi kavand). Kavandi § 10 lõike 2 kohaselt on
turbeastmele kõrge (H) vastav E-ITS-i kaitsetarve väga suur (VS),
turbeastmele keskmine (M) vastav kaitsetarve suur (S) ning
turbeastmele madal (L) vastav kaitsetarve normaalne (N).
Kavandi §-s 11 on loetelu avalike ülesannete täitmist oluliselt
mõjutatavate süsteemidest. Nõustume, et on asjakohane loetleda avalike
ülesannete täitmist oluliselt mõjutavad süsteemid ja maksukohustuslaste
register ning e-riigikassa on olulised süsteemid. Kuivõrd nende andmeid
varundatakse välisriigis asuvasse turvalisse andmekeskusesse, on
vastava volitusnormi loomine igati asjakohane. Lisaks soovitame
Arvestatud.
Eelnõust on eemaldatud säte, mis kohustab avalike ülesannete täitmist
oluliselt mõjutavate süsteemide loetelus kehtestatud süsteemidele
rakendama kaitsetarvet väga suur (VS).
8
kaaluda ka normi lisamist, mis laiendaks krüptovõtmete hoidmise
võimalusi, et vähendada võimalikke riske.
Kavandi § 12 lõike 2 kohaselt on §-s 11 nimetatud süsteemide (sh
riigikassa infosüsteem ja maksukohustuslaste register) kaitsetarve E-
ITS-i tähenduses on väga suur (VS), mis tähendab, et täitmaks tulevikus
määrust, peab nii maksukohustuslaste registrile kui riigikassa
infosüsteemile rakendama kõrgmeetmeid, mis praegu vastavad
turbeastmele kõrge (H).4
Märgime, et vastavalt Vabariigi Valitsuse 7. märtsi 2019. a määruse nr
21 „Maksukohustuslaste registri põhimäärus“ § 74 lõikele 3 on
infosüsteemi turbeaste keskmine (M). Määrates maksukohustuslaste
registrile infosüsteemi turbeaste keskmine (M) asemel turbeastmeks
kõrge (H), mis edaspidi Eesti Infoturbestandardi kohaselt tähendab, et
kaitsetarve on väga suur (VS), see aga toob kaasa märkimisväärsed
kulud H taseme kohustuslike meetmete, edaspidi kõrgmeetmete
rakendamiseks. Muutus mõjutab samuti Maksu- ja Tolliameti ning
Rahandusministeeriumi Infotehnoloogiakeskuse töökorraldust ja
nõudeid andmete töötlemisele. Muutus mõjutab ka e-riigikassa
süsteemi, mille turbeastmeks on hetkel määratud samuti (M).
Määruse seletuskirjast ei selgu, millistele andmetele või analüüsile
tugineb maksukohustuslaste registri ja e-riigikassa infosüsteemi
kaitsetarve muutmine seniselt väga suurele (VS). Vastavalt standardile
väljendab kaitsetarve äriprotsessi infoturbe vajadust. Hinnang
äriprotsessi kaitsetarbele tuleneb eelkõige äriprotsessi poolt töödeldava
teabe kaitsetarbest, sh andmekogu turvaklassist. Kaitsetarbe määramine
võib toimuda näiteks äritoime analüüsi tulemuste põhjal. Kui
4 Lisainformatsioon täiendavalt rakendatavatest kõrgmeetmetest on kirjeldatud vastavustabelis ISKE meetmetele, kus näidatud E-ITS etalonturbe mooduli meetmete ja ISKE
8.06 meetmete omavahelisi seoseid (https://eits.ria.ee/et/versioon/2020vers1/standardi-dokumendid/vastavustabelid/#vastavustabeliskemeetmetele2 ).
9
sellekohane analüüs on läbi viidud, siis palume vastav analüüs
Rahandusministeeriumile edastada.
Arvestades eeltoodut ei saa Rahandusministeerium kavandit
kooskõlastada enne, kui Majandus- ja Kommunikatsiooniministeerium
on teostanud analüüsi ja leidnud rahastuse kavandi § 11 punktides 9 ja
10 nimetatud süsteemide nõuetele vastavaks viimise ja ülalhoiu
kuludeks tingimuses, kus tekib kohustus rakendada kõrgmeetmeid
lähtudes väga suurest kaitsetarbest (VS). Samuti palume selles osas
täiendada seletuskirja mõju osa, nii rahalises vaates kui ka E-ITS
kehtestamise tingimuste osas.
36. Määruse § 12 lõiked 2 ja 3 välistavad Rahandusministeeriumi
valitsemisalas ülemineku Eesti siseriiklikult, küll uuenevalt, aga
rahvusvaheliselt tunnustamata infoturbe raamistikult, üldtunnustatud
ISO/IEC 27001 infoturbestandardile kui kõik E-ITS-i kohustuslikud
meetmed on täidetud. Peame vajalikuks jätta otsustuspädevus
ministeeriumide valitsemisalasse ja hõlbustada toimivate sidusate
lahenduste juurutamist ühtses tollialas, nii Euroopa Liidu üleselt, kui ka
vastavalt riikide vahelisele koostööle ja kehtivatele koostöölepetele sh
ühine võitlus terrorismi rahastamise ja rahapesuga. Seega peame
vajalikuks, et E-ITS kohustuslike meetmete rakendamisel §-s 11
nimetatud süsteemide puhul ei välistataks ISO/IEC 27001
infoturbestandardi rakendamist.
Arvestatud.
Eelnõust on eemaldatud säte, mis välistaks ISO kohaldamise erandi.
37. Palume eelnõus kontrollida eelnõu ja seotud rakendusaktide
kavandatavad jõustumise ajad. Näiteks kavandi § 12 lõige 2 jõustub §
15 lõike 1 kohaselt juba 2022.a, mille tulemusena peaks §-s 11
nimetatud süsteemid vastama turbeastmele (VS) ehk tänases mõistes
astmele (H) juba 2022. aasta algusest. Selgitame veelkord, et
süsteemidele kõrgema turbeastme nõuete rakendamine eeldab nii aja-
kui finantsressursse ning protseduuriliste jm reeglite muutmist ning
Teadmiseks võetud.
Selgitame täiendavalt, et kavandatava määrusega sätestatakse küll E-ITS-
i järgimise kohustus, kuid E-ITS-i järgimise kohustuse täitmine ei
tähenda, et rakendaja on järgmiseks päevaks kõik vastavad turvameetmed
rakendanud. E-ITS-i järgimine on protsess, mitte seisund, ning see algab
10
Rahandusministeerium ei saa kavandi kohast määruse eelnõu
kooskõlastada enne käesoleva kirja punktis 1 nimetatud analüüsi
teostamist ning lisarahastuse tagamist.
üldjuhul juhtkonna tasemel küberturvalisuse tagamise pühendumuse
tegemisest ning infovarade kaardistamisest.
38. Ühtlasi palume selgitada, kas kavandi § 11 punktides 4 ja 5 nimetatud
riigi- ja kohaliku omavalitsuse register ning mittetulundusühingute ja
sihtasutuste register on käsitletavad eraldi süsteemidena või on tegemist
e-äriregistri keskkonna osaga.
Teadmiseks võetud.
Selgitame, et kuigi eesmärk on tagada e-äriregistri keskkonna
toimepidevus, siis tuleb süsteemide loetelus lähtuda nende süsteemide
juriidilistest nimetustest. Seetõttu on määruses nimetatud registri
ametlikud nimetused, mis kogumina moodustavad e-äriregistri
keskkonna.
4. Maaeluministeerium esitas järgneva märkuse
39. Seaduseelnõu seletuskirja lisa 2 Vabariigi Valitsuse määruse „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ kavandi 3. peatüki 2. jao 1.
alljaotises kasutatakse mõisteid „turvaklass“ ja „turbeaste“, need
mõisted on siiani tulnud Vabariigi Valitsuse 20. detsembri
2007. a määrusest nr 252 „Infosüsteemide turvameetmete süsteem“.
Eelnõuga tunnistatakse nimetatud määruse volitusnorm kehtetuks ja
kehtima hakkav Eesti Infoturbestandard (edaspidi E-ITS) selliseid
mõisteid ei kasuta, kuid samad mõisted esitatakse seletuskirja lisas
rakendusakti kavandis uuesti. E-ITS annab kasutuseks võrdväärse
mõiste „kaitsetarve“ ja sisustab selle võrdväärsete tasemetega, mille
võrdlus turbeastmega on ka rakendusakti kavandis toodud.
Samuti nimetab E-ITS turvaosaklasside tähise K-T-S ümber
ingliskeelseks C-I-A (Confidentiality, Integrity, Availability). Leiame,
et kahe võrdväärse mõiste turbeastme või kaitsetarbe määramise
metoodika kehtestamine lisab keerukust. Sellise lähenemise otstarve aga
jääb arusaamatuks.
Teeme ettepaneku ühtlustada metoodikad rakendusakti ja E-ITS vahel.
Teadmiseks võetud.
Selgitame, et kommenteeritud määruse kavandi vastava osa eesmärk on
kehtestada küberturvalisuse nõuete erisused andmekogude pidamisel.
Andmekogu on AvTS-s reguleeritud süsteemi eriliik, millele rakenduvad
ka eelmainitud seaduse alusel mitmed nõuded. Andmekogude
küberturvalisuse tagamiseks rakendati varasemalt ISKE nõudeid, mis
omakorda olid koostatud andmekogu kui süsteemi vaatepunktist. E-ITS-i
kehtestamisel ISKE asemele uueneb mõnevõrra ka küberturvalisuse
tagamiseks rakendatavate nõuete loogika, seda ennekõike süsteemipõhise
lähenemise asendamisel organisatsiooni ja selle protsesside põhiste
lähenemisega.
Arvestades aga vajadust säilitada andmekogude kui eriliigiliste
süsteemide turbeastme määramine ennekõike andmekogu andmete
tähtsusest lähtuvalt (erinevalt E-ITSi riskipõhisest kaitsetarviduse
määramisest infovarade olulisuse kaudu protsessi eesmärgi täitmisel)
ning säilitada riigi infosüsteemi haldussüsteemi ja seekaudu ka
andmekogude põhimääruste regulatiivne sisu turvaosaklasside ja nendest
11
tulenevate turbetasemete osas, on alljaotise eesmärk võtta üle kehtetuks
tunnistatavast infosüsteemide turvameetmete süsteemist andmekogude
turbeastmete regulatsioon ning ühildada see E-ITSi rakendamisega
organisatsioonis, mis on andmekogu vastutav või andmekogu majutav
volitatud töötleja.
Kavandatava määruse kooskõlastamisel esitatav seletuskiri käsitleb ka iga
konkreetse sätte eesmärki ja vajalikkust täiendavalt.
5. Sotsiaalministeerium esitas järgneva märkuse
40. Eelnõu seletuskirja lisast 2 (rakendusaktide kavandid) nähtub, et
üleminekusätteid on plaanitud sätestada ka KüTS § 7 lõike 5 alusel
kehtestatava määruse „Võrgu- ja infosüsteemide küberturvalisuse
nõuded“ §-s 14.
Palume kaaluda auditeerimise kohustuse ülemineku tähtaegade
sätestamist seaduse tasemel ning vastavalt täiendada eelnõu ja
seletuskirja rakendussätete osa.
Nimetatud rakendusakti kavandi §-s 14 sätestatud üleminekusätetest ei
selgu üleminekuperioodi kestus. Nimetatud paragrahvis sätestatu
kohaselt on teenuseosutaja kohustatud E-ITS nõuetele vastava
auditeerimise viima läbi nelja aasta jooksul pärast viimast ISKE järgi
tehtud turvameetmete süsteemi auditeerimist. Samas on märgitud, et E-
ITS nõuetele vastava esimene auditeerimine peab teenuseosutajal olema
läbi viidud mitte hiljem kui 2025. aasta 1. jaanuariks.
Kuivõrd ajavahemik 2023. aasta 1. jaanuarist kuni 2025. aasta 1.
jaanuarini ei ole neli aastat, palume üleminekuperioodi täpsustada ja
seletuskirjas vastavalt lahti selgitada.
Teadmiseks võetud.
Selgitame, et auditeerimise kohustus on üks osa E-ITS-i järgimise
kohustusest. Sellest tulenevalt puudub vajadus reguleerida auditeerimise
kohustuse ülemineku tähtaegade sätestamist seaduse tasemel. Sarnaselt
sätestas Vabariigi valitsuse ISKE määrus esimese auditi läbiviimise
tähtajad.
Olukorras, kus hiljemalt 2022. aastal läbiviidud ISKE audit võimaldaks
järgmise E-ITS-i auditi läbiviimise tähtaega viia kaugemale kui 2025.
aasta 1. jaanuar, rakendatakse E-ITS auditi läbiviimise tähtajaks 2025.
aasta 1. jaanuari. ISKE auditi läbiviimine ei tähenda, et nõuded on
täidetud järgnevaks neljaks („L“ turbeastmega andmekogude suhtes)
aastaks. See tähendab, et auditi läbiviimise hetkel on teada
küberturvalisuse tagamiseks rakendatud meetmed. Ei eeldata, et õigusakti
jõustumisele järgneval päeval on E-ITS-i järgimisega jõutud auditeeritava
tasemeni, kuid E-ITS-i järgimise kontrollimise viimaseks tähtajaks jääb
kolm aastat pärast nõuete järgimise kohustuse tekkimist.
6. Eesti Energia AS esitas järgneva märkuse
41. Lisaks ei saa nõustuda eelnõus oleva Vabariigi Valitsuse määruse
„Võrgu- ja infosüsteemide küberturvalisuse nõuded“ § 5 lõikega 3, mis Teadmiseks võetud.
12
kohustab säilitada dokumentatsiooni 7 aastat selle koostamisest ja see
tuleb teha RIA-le kättesaadavaks vastava taotluse korral. Hetkel kehtiva
seaduse § 7 lõike 2 punkti 6 järgi tuleb dokumente säilitada 3 aastat (see
punkt tunnistatakse eelnõuga kehtetuks). 7 aastat on infotehnoloogias
väga pikk aeg ja on raske mõista, mis väärtust pakuvad RIA-le 7 aasta
tagused riskianalüüsid või sel hetkel rakendatud turvameetmete info.
Eriti arvestades veel nõuet, et sõltumatu audit või sertifitseerimine tuleb
läbi viia iga 3 aasta järel.
Selgitame, et tähtaja määratlemisel on lähtutud asjaolust, et see tähtaeg
katab ära vähemalt kaks auditiperioodi (3+3 aastat) ning ühe aastase
täiendava tähtaja. Nimetatud tähtaeg võimaldab järelevalveasutusel ka
planeerida enda järelevalvelisi tegevusi.
Suur-Ameerika 1 / 10122 Tallinn / 625 6342 / [email protected] / www.mkm.ee
Registrikood 70003158
Riigikantselei
ministeeriumid
Meie 10.05.2022 nr 2-1/2022/3387
Vabariigi Valitsuse määrus "Võrgu- ja
infosüsteemide küberturvalisuse nõuded"
Edastame kooskõlastamiseks või arvamuse avaldamiseks Vabariigi Valitsuse määruse „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ eelnõu.
Riigi Infosüsteemi Ametil edastada eelnõu elutähtsate ja oluliste teenuste osutajatele.
Palume esitada kooskõlastus või arvamus hiljemalt 15 tööpäeva jooksul.
Lugupidamisega
(allkirjastatud digitaalselt)
Andres Sutt
ettevõtlus- ja infotehnoloogiaminister
Lisad: Lisa 1: eelnõu;
Lisa 2: seletuskiri;
Lisa 3: seletuskirja lisa 1: rakendusaktide kavandid;
Lisa 4: seletuskirja lisa 2: SE 531 kooskõlastuste ja märkuste tabeli II osa täiendatud
tagasiside.
Lisaadressaadid: Riigikontroll
Riigikogu
Eesti Pank
Viru Maakohus
Tartu Maakohus
Pärnu Maakohus
Harju Maakohus
Tervise ja Heaolu Infosüsteemide Keskus
Eesti Linnade ja Valdade Liit
Eesti Infotehnoloogia ja Telekommunikatsiooni Liit
Eesti Infosüsteemide Audiitorite Ühing
Audiitorkogu
Eesti Advokatuur
2 (2)
Eesti Haigekassa
Andmekaitse Inspektsioon
Riigi Infosüsteemi Amet
Keskkonnaministeeriumi Infotehnoloogiakeskus
Registrite ja Infosüsteemide Keskus
Riigi Info- ja Kommunikatsioonitehnoloogia Keskus
Rahandusministeeriumi Infotehnoloogiakeskus
Siseministeeriumi infotehnoloogia- ja arenduskeskus
Tervise ja Heaolu Infosüsteemide Keskus
Eesti Linnade ja Valdade Liit
Eesti Infotehnoloogia ja Telekommunikatsiooni Liit
Eesti Infosüsteemide Audiitorite Ühing
Audiitorkogu
Eesti Advokatuur
Eesti Haigekassa
Kultuurkapital
Eesti Kunstiakadeemia
Eesti Maaülikool
Eesti Muusika- ja Teatriakadeemia
Eesti Rahvusraamatukogu
Eesti Rahvusringhääling
Eesti Teaduste Akadeemia
Eesti Töötukassa
Finantsinspektsiooni
Kaitseliit
Keemilise ja Bioloogilise Füüsika Instituut
Kohtutäiturite ja Pankrotihaldurite Koda
Notarite Koda
Patendivolinike Koda
Rahvusooper Estonia
Tagatisfond
Tallinna Tehnikaülikool
Tallinna Ülikool
Tartu Ülikool
Raavo Palu [email protected]
Oliver Grauberg [email protected]
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Kiri | 08.04.2024 | 4 | 1.2-3/24/5338-2 | Valjaminev kiri | transpordiamet | Kliimaministeerium |
| Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmine | 28.03.2024 | 4 | 1.2-3/24/5338-1 | Sissetulev kiri | transpordiamet | Kliimaministeerium |