| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 1.1-21/261002 |
| Registreeritud | 11.05.2026 |
| Sünkroonitud | 12.05.2026 |
| Liik | Väljaminev kiri |
| Funktsioon | 1.1 Asutuse tegevuse korraldamine |
| Sari | 1.1-21 Õigusalane kirjavahetus ja muu dokumentatsioon |
| Toimik | 1.1-21/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Advokaadibüroo WIDEN |
| Saabumis/saatmisviis | Advokaadibüroo WIDEN |
| Vastutaja | Liina Lumiste (RIA, PDA Oigus) |
| Originaal | Ava uues aknas |
Pärnu mnt 139a / 15169 Tallinn / 663 0200 / [email protected] / www.ria.ee /
registrikood 70006317
Advokaadibüroo WIDEN
Teie 20.04.2026
Meie 11.05.2026 nr 1.1-21/261002
Vastus selgitustaotlusele
Austatud Henri Ratnik
Pöördusite 20. aprillil 2026. a. Riigi Infosüsteemi Ameti (RIA) poole selgitustaotlusega, milles
soovisite RIA seisukohta seoses kontserni kuuluvatele ühingutele küberturvalisuse seaduse
(KüTS) nõuete kohaldamisega.
Küsisite, kas emaettevõtja muutub tütarettevõtjatele teenuste osutamise või vahendamise tõttu
KüTS-i mõttes „teenuseosutajaks“ KüTS § 3 lg 3 p 9 või KüTS § 3 lg 3 p 11 mõttes.
RIA on seisukohalt, et emaettevõtja ei muutu teie poolt kirjeldatud tegevustega haldusteenuse
osutajaks KüTS § 3 lg 3 p 9 tähenduses ega infoturbeteenuse osutajaks KüTS § 3 lg 3 p 11 mõttes.
Viitate asjakohaselt, et KüTS § 2 p 7 kohaselt on haldusteenuse osutaja mõiste lai ning hõlmab
muu hulgas IKT-taristu, rakenduste ja infosüsteemide haldamist ja käitamist. Küll aga on RIA
seisukohal, et olukorras, kus emaettevõtja võimaldab tütarettevõtjal endale kuuluvate litsentside
alusel kontoritarkvara kasutamist ning emaettevõtja haldab kasutajakontosid, ligipääse ja
kasutajaõiguseid, ei automaatselt haldusteenuse osutamise alla kui seda tehakse vaid
kontsernisiseselt. Teie kirjeldatu kohaselt on tegemist kontsernisisese korraldusega ning nimetatud
tegevusi ei pakuta väljapoole kontserni. Seega ei ole haldusteenuse pakkumine emaettevõtja
tegevusvaldkond pakutavate teenuste mõttes.
Nõustume, et infoturbeteenuse jagamine tütarettevõttele ei muuda emaettevõtet ennast
infoturbeteenuse osutajaks, sest nagu välja toote – teenust ennast osutab siiski kolmas isik. Ka
juhul, kui seda teeks emaettevõtja IT-osakond, ei muudaks see emaettevõtjat infoturbeteenuse
osutajaks tuginedes eelpool esitatud põhjendustele.
Kui teenuseid osutataks ka välja poole kontserni, muutuks teenuseosutaja staatus sellest lähtuvalt.
Teiseks küsisite, kas kontserni kuuluv äriühing, kes oma tegevusala tõttu ei ole KüTS-i subjekt,
võib muutuda KüTS-i subjektiks (st teenuseosutajaks) ainuüksi seetõttu, et tema võrgu- ja
infosüsteemid on seotud teise sama kontserni kuuluva äriühinguga, kes on KüTS-i subjekt?
Nõustume teie esitatud seisukohaga. KüTS-i kohustused tulenevad konkreetse üksuse
tegevusvaldkonnast konkreetsele üksusele endale ega laiene sidus- ja partnerettevõtetele.
2 (2)
Kolmandaks küsisite, kas emaettevõtja juhatuse liige vastutab KüTS-i subjektiks
(teenuseosutajaks) oleva tütarettevõtja poolt KüTS-is sätestatud kohustuste täitmise eest?
Nõustume teie toodud selgitusega, et KüTS §-s 61 sätestatud juhatuse liikme kohustused ja
vastutus on seotud konkreetse teenuseosutajaga ning rakenduvad üksusepõhiselt
Neljandaks küsisite, kas olukorras, kui emaettevõtja osutab tütarettevõtjale IT-teenuseid ning
tütarettevõtjal puudub IT- või infoturbejuht ja tütarettevõtja suhtes viiakse RIA
järelevalvemenetluse raames läbi turvaaudit ja/või rakendatakse muid järelevalvemeetmeid, võib
RIA sama järelevalvemenetluse raames viia läbi auditi ja/või rakendada muid järelevalvemeetmeid
ka emaettevõtja suhtes?
Nõustume ka siin teie järeldusega. KüTS-i kohane järelevalve on üksusepõhine ning toimub
konkreetse KüTS-i subjektiks oleva üksuse suhtes.
Lugupidamisega
(allkirjastatud digitaalselt)
Liina Lumiste
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|