Järelepärimine

-------------------------------------------------------------------------------------------------------------------------------------- OÜ Krediidiregister Toompuiestee 35, Tallinn 10149 Eesti/ Estonia

Riigi Infosüsteemide Amet

E-post: [email protected]

/kuupäev digiallkirjas/

Seisukoha küsimine küberturvalisuse seaduse

kohaldumise kohta OÜ´le Krediidiregister

1. 01.01.2026. a jõustus küberturvalisuse seadus (edaspidi KüTS).

2. OÜ Krediidiregister (edaspidi Krediidiregister) on läbi viinud õigusliku analüüsi, et

selgitada välja, kas Krediidiregister on 01.01.2026. a jõustunud KüTS § 3 lg 3 p 9

mõttes haldusteenuse osutaja.

3. Krediidiregister haldab maksehäireregistrit www.taust.ee ja osutab klientidele

maksehäireregistri teenust. Tegemist on server to server teenusega. Klientidega on

teenuse osutamiseks sõlmitud ka Service Level Agreementid (SLA-d).

Maksehäireregistri tugi või aktiivne haldamine on osaks kliendile osutatavast teenusest.

Maksehäireregistrit kasutavad kliendid võivad olla nii B2B (ärikliendid) kui ka B2C

(eraisikud).

4. Seega oleme seisukohal, et Krediidiregister on KüTS § 3 mõttes haldusteenuse osutaja,

kes on seega KüTS-i subjektiks (tegevusala kriteerium on täidetud).

5. Täiendavalt on olulise üksusena kvalifitseerumiseks nõutav minimaalse suuruse

kriteerium: minimaalselt 50 töötajat ja 10 MEUR aastakäive või aastabilansimaht

(KüTS § 3 lg 4 p 8 ja KüTS § 3 lg 3 p 9). Suuruse kriteerium ei ole seega

Krediidiregisteri puhul üksinda täidetud (töötajate arv on 6).

6. Krediidiregister kuulub Aktiva Finance Group-i (AFG), mis omab AFG 75% suurust

osalust Krediidiregistris. Eeltoodust tulenevalt tuleb täiendavalt hinnata, kas

Krediidiregister majandusnäitajate (töötajad ja käive või aastabilansimaht) hulka tuleb

arvestada ka AFG kui partner- või sidusettevõtja1 majandusnäitajad.

7. KüTS-s ei arvestata üksuse töötajate arvu, aastabilansimahu ja aastakäibe

kindlakstegemisel partner- või sidusettevõtja andmeid Euroopa Komisjoni soovituse

2003/361/EÜ tähenduses, kui üksus on teenuste osutamisel kasutatavate süsteemide

puhul oma partner- või sidusettevõtjast sõltumatu (KüTS § 3 lg 7).

1 Euroopa Komisjoni soovitus 2003/361/EÜ: https://eur-lex.europa.eu/eli/reco/2003/361/oj/eng

-------------------------------------------------------------------------------------------------------------------------------------- OÜ Krediidiregister Toompuiestee 35, Tallinn 10149 Eesti/ Estonia

8. KüTS seletuskirja kohaselt: Kommenteeritavas lõikes ette nähtud välistuse

rakendamine on võimalik, kui asjaomasel partner- või sidusettevõtjal on otsustav mõju

enda infotehnoloogiasüsteemide toimimise üle. Teisisõnu, kui nad on enda IT-

lahenduste korraldamisel sõltumatud. Selline sõltumatus infotehnoloogiasüsteemide

toimimise üle otsustamisel on olemas eelkõige siis, kui partner- ja sidusettevõtja saab

omal vastutusel teha põhilisi otsuseid infotehnoloogiasüsteemide, selle komponentide

ja protsesside üle. Kui partner- või sidusettevõtja on selliste otsuste tegemisel vaba, siis

ei arvestata tema töötajate arvu, käivet ega bilansimahtu üksuse töötajate arvu ning

käibe- või bilansinäitajate kindlakstegemisel. Kõnealuse välistuse kohaldamine ei tule

aga kõne alla juhul, kui IT-lahendused on ette nähtud terves kontsernis ühetaoliselt,

näiteks otsustab kõik IT-süsteemidega seotud küsimused emaettevõtja.

9. NIS2 direktiivi põhjenduspunkt 16 selgitab: Eelkõige on liikmesriikidel võimalik võtta

arvesse asjaolu, et üksus on oma partner- või sidusettevõtjatest sõltumatu teenuste

osutamisel kasutatavate võrgu- ja infosüsteemide osas, ja teenuste osas, mida üksus

osutab. Selle põhjal võivad liikmesriigid asjakohasel juhul leida, et nimetatud üksust ei

saa käsitada 2003/361/EÜ lisa artikli 2 kohase keskmise suurusega ettevõtjana või et

üksus ei ületa keskmise suurusega ettevõtja kõnealuse artikli lõikes 1 esitatud

ülemmäärasid, kui pärast selle üksuse sõltumatuse määra arvestamist üksnes tema

enda andmete arvesse võtmisel ei käsitataks teda keskmise suurusega ettevõtjana või

neid ülemmäärasid ületavana.

10. Krediidiregister on AFG-st sõltumatu nii (i) teenuste osutamisel kasutatavate võrgu- ja

infosüsteemide osas, kui ka (ii) teenuste osas, mida üksus osutab. Krediidiregister

kasutab teenuse osutamisel AFG-st eraldiseisvat serverit (Hetzner), tellib

arendusteenust iseseisvalt (Codecloud) ning langetab ärilisi ja teenuse osutamist (sh

infotehnoloogiasüsteeme, selle kompontente ja protsesse) puudutavaid otsuseid

sõltumatult AFG-st.

11. Teenuse osutamise kontekstis (nagu kirjeldab KüTS seletuskiri ja NIS2 direktiivi

põhjenduspunkt 16), ei mõjuta järeldust ka asjaolu, et Krediidiregister kasutab AFG

grupiga ühiseid suhtluskanaleid ja kontoritarkvara, sh Office ja Outlook tooteid.

12. Krediidiregister on jõudnud järeldusele, et kuigi tegevusala vastab haldusteenuse

osutaja mõistele (KüTS § 3 lg 3 p 9 ja § 2 p 7), ei ole täidetud piisava suuruse

kriteerium, mis võimaldaks jaatada KüTS-i kohaldumist. Krediidiregisteri

hinnangul oleks Krediidiregister haldusteenuse osutajana käsitletav KüTS

subjektina, kui tal oleks vähemalt 50 töötajat ja aastakäive üle 10MEUR, st

Krediidiregistri kasvu korral vastavate kriteeriumiteni oleks Krediidiregister

KüTS subjekt.

13. Krediidiregister hinnangul tuleb arvesse võtta, et Krediidiregister kuulub DORA

määruse kohaldamisalas (IKT-teenuse osutaja, DORA määruse artikkel 2 lg 1 punkt u).

-------------------------------------------------------------------------------------------------------------------------------------- OÜ Krediidiregister Toompuiestee 35, Tallinn 10149 Eesti/ Estonia

14. KüTS § 1 lg 4 sätestab, et kui teenuseosutaja võrgu- ja infosüsteemi pidamise ning

küberintsidendist teavitamise nõuded on samaväärselt käesolevas seaduses sätestatuga

reguleeritud välislepinguga, Euroopa Liidu õigusaktiga või muu seadusega,

kohaldatakse käesolevat seadust välislepingust, Euroopa Liidu õigusaktist või muust

seadusest tulenevate erisustega.

15. Seega juhul kui Krediidiregister OÜ-le kohalduks KüTS, siis tuleb seda kohaldada koos

DORA määrusest tulenevate erisustega. KüTS-i seletuskiri nimetab DORA määrust lex

specialis’eks KüTS-i suhtes: järgnevalt on illustreerival eesmärgil kirjeldatud

finantssektoris kehtiva valdkondliku õigusakti (lex specialis) – DORA määruse – ja

NIS2-direktiivi omavahelist koosmõju. DORA määruse nõudeid kohaldatakse NIS2-

direktiivi kohaldamisalasse kuuluvate krediidiasutuste, kesksete vastaspoolte ja

kauplemiskohtade suhtes. NIS2-direktiivi artikli 4 lõike 1 viimane lause sätestab, et

„[kui] valdkondlikud liidu õigusaktid ei hõlma kõiki konkreetse sektori üksusi, mis

kuuluvad käesoleva direktiivi kohaldamisalasse, kohaldatakse jätkuvalt [NIS2-

direktiivi] asjakohaseid sätteid nende valdkondlike liidu õigusaktidega hõlmamata

üksuste suhtes“.

16. KüTS alusel vastu võetud määrust nr 121 „Võrgu- ja infosüsteemide küberturvalisuse

nõuded“ (millega seatakse KüTS-i subjektile E-ITS või ISO27001 rakendamise

kohustus), ei kohaldata isikule, kellele kohalduvad Euroopa Parlamendi ja nõukogu

määruses (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust

(DORA määrus) sätestatud riskide juhtimise nõuded.

17. Eelnevast tulenevalt on Krediidiregister jõudnud järeldusele, et kuigi

Krediidiregistri tegevusala maksehäireregistri haldajana ja maksehäireregistri

teenuse osutajana vastab haldusteenuse osutaja mõistele (KüTS § 3 lg 3 p 9 ja § 2

p 7), ei ole täidetud piisava suuruse kriteerium, mis võimaldaks jaatada KüTS-i

kohaldumist.

18. KüTS kohaselt kohustub teenuseosutaja esitama KüTS´is ettenähtud teabe Riigi

Infosüsteemide Ametile (edaspidi RIA). Eeltoodust tulenevalt pöördub Krediidiregister

RIA poole seisukoha küsimiseks.

19. Krediidiregister palub RIA seisukohta, kas RIA nõustub Krediidiregistri õigusliku

analüüsi järeldusega, et Krediidiregister ei ole haldusteenuse osutajaks KüTS § 2

p 7 ja § 3 lg 3 p 9 mõttes.

Lugupidamisega

Art Andresson

Krediidiregister OÜ juhatuse liige

/allkirjastatud digitaalselt