| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 9-7/26-0089/261114 |
| Registreeritud | 08.05.2026 |
| Sünkroonitud | 11.05.2026 |
| Liik | Käskkiri |
| Funktsioon | 9 Küberturvalisuse valdkonna teenuste korraldamine |
| Sari | 9-7 Usaldusteenuse osutamisega seonduv kirjavahetus ning tegevuslubade menetlemine |
| Toimik | 9-7/26-0089 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Järelevalveosakond |
| Originaal | Ava uues aknas |
OTSUS 08.05.2026 nr 9-7/26-0089/261114
Korduva tegevusloa andmine kvalifitseeritud
usaldusteenuse EID-SK osutamiseks
23. märtsil 2026. a esitas SK ID Solutions AS (edaspidi SK) Riigi Infosüsteemi Ametile (edaspidi
RIA) taotluse korduva loa saamiseks kvalifitseeritud usaldusteenuse „EID-SK kvalifitseeritud e-
allkirjastamise sertifikaatide väljastamine“ osutamiseks. Teenusega seotud sertifikaadid ja muud
andmed on eelnevalt kantud usaldusnimekirja kehtivusega kuni 28. maini 2026.
E-identimise ja e-tehingute usaldusteenuste seaduse (edaspidi EUTS) §-i 2 ja § 3 lõike 1 alusel
peab RIA Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 (muudetud määrusega (EL)
2024/1183, edaspidi eIDAS määrus) artikli 22 kohast usaldusnimekirja kvalifitseeritud
usaldusteenuse osutajate ja nende osutatavate usaldusteenuste kohta.
Vastavalt EUTS § 6 lõikele 1 peab kvalifitseeritud usaldusteenuse osutamiseks teenuse osutajal ja
tema usaldusteenusel olema eIDAS määruse artikli 21 lõike 2 kohane kvalifitseeritud staatus, mida
tõendab asjaomane luba. Kvalifitseeritud usaldusteenuse osutaja ja vastav usaldusteenus kantakse
usaldusnimekirja loa kehtivuse ajaks. Pädev asutus (RIA) kannab usaldusteenuse osutaja ja
usaldusteenuse andmed usaldusnimekirja kümne päeva jooksul loa väljastamisest arvates.
EUTS § 1 lõike 4 järgi kohaldatakse kvalifitseeritud usaldusteenuse osutamise (majandustegevuse)
alustamisele, teostamisele ja lõppemisele majandustegevuse seadustiku üldosa seadust (MSÜS).
MSÜS § 29 näeb ette majandustegevuse teostamise käigus ettevõtja hoolsuskohustuse, mis seisneb
muuhulgas asjakohaste meetmete võtmises majandustegevuse nõuetele mittevastavuse
viivitamatuks kõrvaldamiseks.
MSÜS § 17 lõike 1 kohaselt moodustavad tegevusloa regulatsioonieseme põhiregulatsioon ja
kõrvaltingimused. MSÜS § 17 lõike 4 kohaselt lisatakse tegevusloale kõrvaltingimusi üksnes
seaduses sätestatud juhul ja ulatuses. Haldusmenetluse seaduse (edaspidi HMS) § 53 lg 2 punktide
2 ja 3 kohaselt võib haldusaktile kehtestada kõrvaltingimusi juhul, kui kõrvaltingimuseta tuleks
haldusakt jätta andmata ning ka juhul, kui haldusakti andmine tuleb otsustada halduse
kaalutlusõiguse alusel. Kaalutlusõigus on HMS § 4 lõikest 1 lähtuvalt haldusorganile seadusega
antud volitus kaaluda otsuse tegemist või valida erinevate otsustuste vahel. Konkreetsel juhul peab
RIA tegema otsuse, kas rahuldada SK taotlus või mitte.
Vastavalt eIDAS määruse artikkel 24 lõikele 1 tuleb kvalifitseeritud usaldusteenuse osutajal
kontrollida kvalifitseeritud sertifikaati väljastades asjakohaste vahenditega ja siseriikliku õiguse
kohaselt selle füüsilise või juriidilise isiku identiteeti, kellele kvalifitseeritud sertifikaat
2 (3)
väljastatakse, ja vajaduse korral tema eritunnuseid.
SK rakendab käesoleva usaldusteenuse sertifikaatide väljastamisel isiku identiteedi tuvastamiseks
muuhulgas kaughindamise teel automaatse biomeetrilise isikusamasuse tuvastamise (ABIV)
meetodit. Seda meetodit kasutatakse nii täisealistele kui alaealistele füüsilistele isikutele
kvalifitseeritud e-allkirjastamise sertifikaatide väljastamisel.
Kaughindamise teel isikusamasuse kontrolli läbiviimisel on oluliseks turvanõudeks, et
alusdokumendid, mille vastu isikusamasust kontrollitakse, on autentsed ja kehtivad
kontrolltoimingu läbiviimise hetkel. Seda soovitab ka valdkonda koordineeriv standard ETSI TS
119 461 “Electronic Signatures and Infrastructures (ESI); Policy and security requirements for
trust service components providing identity proofing of trust service subjects“. Vastasel juhul on
võimalik isikul taotleda endale e-allkirjastamiseks vajalikud kvalifitseeritud sertifikaadid
mitteautentse või kehtetu isikut tõendava dokumendiga (edaspidi ITD). Lisaks ITD autentsuse
kontrollimisele tuleb ka kohustuslikus korras veenduda kontrolltoimingu läbiviimise hetkel
dokumendi kehtivuses. Positiivse vastussõnumi puudumise korral tuleb kvalifitseeritud e-
allkirjastamise sertifikaatide väljastamise tegevusvoog katkestada. Erandiks võib olla vaid
olukord, kui konkreetses riigis puudub ITD kehtivust kinnitav teenus või register ja dokumendi
kehtivuse kontrolltoimingut pole võimalik seetõttu teostada.
Sama oluliseks turvanõudeks on ka alaealise isiku eestkostja puhul veenduda usaldusväärse
registri alusel, et eestkostja on tõsikindlalt seotud alaealise sertifikaatide taotlejaga. Positiivse
vastussõnumi puudumise korral tuleb kvalifitseeritud e-allkirjastamise sertifikaatide väljastamise
tegevusvoog katkestada, vastasel juhul on võimalik, et sertifikaadid väljastatakse õigusvastaselt,
mis seab ohtu alaealise isiku elektroonilise identiteedi.
Perioodil 01.08.2025 – 14.11.2025 on läbi viidud eIDAS määruse artiklis 20 nimetatud
vastavushindamine EID-SK kvalifitseeritud e-allkirjastamise sertifikaatide väljastamise teenuse
suhtes. Taotlusele on lisatud 19. märtsi 2026. a TÜV AUSTRIA GMBH vastavushindamisaruanne
nr-ga TA235255797_CAR kehtivusega kuni 20. mai 2028.
Audiitor on vastavushindamisaruandes märkinud koodiga REC-55 lahknevuse kehtivast
regulatsioonist, mille SK ID Solutions AS lubas kõrvaldada hiljemalt 31.03.2026, kuid tehnilistel
põhjustel osutus see võimatuks. Puuduse kõrvaldamine teostatakse hiljemalt 30.06.2026.
Lähtuvalt eeltoodust peab RIA oluliseks määrata usaldusteenuse turvalisuse huvides ja kooskõlas
HMS § 53 lg 1 punktiga 2 tegevusloale põhiregulatsiooniga seotud kõrvaltingimused, mille
eesmärk on tagada teenuse täielik vastavus kehtivale regulatsioonile, sealhulgas eIDAS
rakendusaktidele.
EUTS § 9 lg 2 punkti 2 kohaselt tunnistab pädev asutus antud loa kehtetuks, kui pärast loa andmist
selgub, et usaldusteenuse osutaja või tema pakutav usaldusteenus ei vasta eIDAS-e või EUTS
nõuetele ja usaldusteenuse osutaja ei ole pädeva asutuse antud tähtaja jooksul viinud oma tegevust
nõuetega kooskõlla.
Riigi Infosüsteemi Amet, olles kontrollinud EUTS §-s 7 ja 8 sätestatud tingimuste täitmist,
vaadanud läbi vastavushindamisaruande ja selles audiitorite poolt viidatud märkused ning
juhindudes EUTS §-st 2, § 3 lõikest 1 ja §-st 6
otsustab:
1. anda korduva tegevusloa SK ID Solutions AS-le, registrikood 10747013, kvalifitseeritud
3 (3)
usaldusteenuse „EID-SK kvalifitseeritud e-allkirjastamise sertifikaatide
väljastamine“ osutamiseks järgnevate teenuse sertifikaatidega:
- CN=EID-SK 2016, mida väljastatakse sertifitseerimisahelast CN=EE Certification
Centre Root CA;
- CN=SK ID Solutions EID-Q 2021E, mida väljastatakse sertifitseerimisahelast CN=SK
ID Solutions ROOT G1E;
- CN=SK ID Solutions EID-Q 2021R, mida väljastatakse sertifitseerimisahelast CN=SK
ID Solutions ROOT G1R;
- CN=SK ID Solutions EID-Q 2024E, mida väljastatakse sertifitseerimisahelast CN=SK
ID Solutions ROOT G1E;
- CN=SK ID Solutions EID-Q 2024R, mida väljastatakse sertifitseerimisahelast CN=SK
ID Solutions ROOT G1R
järgmiste kõrvaltingimustega:
1.1 SK ID Solutions AS peab hiljemalt 30.06.2026 teostama vajalikud muudatused, et
kõrvaldada vastavushindamisaruandes nr TA235255797_CAR koodiga REC-55 välja
toodud lahknevuse kehtivast regulatsioonist. Muudatuse teostamisest tuleb RIA-t kui
järelevalve asutust eelnevalt teavitada vastavalt kehtivale regulatsioonile.
1.2 Kaughindamise teel isikusamasuse kontrolli meetmes on muuhulgas kohustuslik
tagada ITD kehtivuse kontrollimine ja dokumendi jätkuvat kehtivust kinnitava
vastussõnumi olemasolu. Ilma dokumendi kehtivuse kohta väljastatud positiivse
kinnituseta ei tohi kvalifitseeritud sertifikaate väljastada. Dokumendi jätkuvat
kehtivust tuleb kontrollida vastu usaldatud allikate poolt hallatud registrit. Erandina
võib jätta kõnealuse kontrolli tegemata, kui riigis puudub vastav teenus või register.
1.3 Alaealisele isikule sertifikaatide väljastamisel on kohustuslik muuhulgas tagada
eestkostja andmete õigsuse ja vastavuse kontrollimine ja päringule positiivse kinnituse
olemasolu usaldatud allika poolt hallatud registrist. Eestkostja andmete kohta saadud
negatiivse vastuse või kontrolltoimingu tegemata jätmise korral ei tohi kvalifitseeritud
sertifikaat(i)e alaealisele väljastada.
Tegevusluba kehtib kuni 20. maini 2028.a.
2. usaldusnimekirjas säilitada punktis 1 nimetatud usaldusteenuse kohta kehtivad andmed ning
kvalifitseeritud staatus kuni 20. maini 2028.a.
Isikul, kes leiab, et tema õigusi on rikutud, on 30 kalendripäeva jooksul otsusest teadasaamisest
arvates õigus esitada vaie Riigi Infosüsteemi Ametile haldusmenetluse seaduses sätestatud korras
või kaebus Tallinna Halduskohtule halduskohtumenetluse seadustikus sätestatud korras.
(allkirjastatud digitaalselt)
Taavi Ploompuu
peadirektori asetäitja riigi infosüsteemi alal
peadirektori ülesannetes