Justiits- ja Digiministeerium Teie 11.05.2026 nr 8-1/3796-1
[email protected]
[email protected] Meie 25.05.2026 nr 4/98
Arvamuse esitamine justiits- ja digiministri määruse
„Küberturvalisuse taseme tõstmise toetuse andmise
ja kasutamise tingimused“ eelnõu kohta
Lugupeetud Liisa-Ly Pakosta!
Eesti Kaubandus-Tööstuskoda (edaspidi: Kaubanduskoda) tänab Justiits- ja Digiministeeriumit võimaluse eest avaldada arvamus justiits- ja digiministri määruse „Küberturvalisuse taseme tõstmise toetuse andmise ja kasutamise tingimused“ eelnõu kohta. Kaubanduskoda toetab eesmärki aidata ettevõtjatel saavutada küberturvalisuse kõrgem tase ning vähendada küberintsidentide tagajärjel tekkivat võimalikku kahju, eriti arvestades uute subjektide lisandumist seoses NIS2-direktiivi ülevõtmisega. Toetame põhimõtet, et riik pakub toetust olukorras, kus ettevõtjate regulatiivne koormus kasvab. Samas oleme järgnevalt toonud välja Kaubanduskoja kommentaarid plaanitava eelnõu kohta.
1. Toetuse saajad
1.1. Eelnõu § 10 sätestab nõuded taotlejale ning antud sätte lõike 1 kohaselt „taotleja on küberturvalisuse seaduse §-s 41 nimetatud juriidilisest isikust teenuseosutaja ja domeeninimede registreerimise teenuse osutaja, kes täitis § 41 lõikes 1 nimetatud kohustuse ja esitas määruse kohase taotluse toetuse saamiseks“. Eelnõu seletuskirja lk-l 9 on täpsustatud, et „tegemist on ettevõtjatega, kellele NIS2-direktiivi ülevõtmisega laiendati küberturvalisuse seaduse kohaldamisala, st nad ei olnud varem küberturvalisuse nõuete adressaadid, kuid peavad nüüd rakendama asjakohaseid turvameetmeid ning teavitama olulise mõjuga küberintsidentidest Riigi Infosüsteemi Ametit. Sellised teenuseosutajad on muu hulgas näiteks pilvandmetöötlusteenuse, andmekeskusteenuse ja haldusteenuse osutajad, sideettevõtjad (kes ei ole elutähtsa teenuse osutajad), postiteenuse osutajad ning toidu hulgimüügi, tööstusliku tootmise või töötlemisega tegelevad ettevõtjad“.
Kaubanduskoja hinnangul on eelnõu tekst sõnastatult liiga keeruliselt ning ettevõtjatel on keeruline mõista, kas neil on võimalik toetust taotleda või mitte. Näiteks ei tule eelnõu tekstist selgelt välja, et toetus on mõeldud ainult uutele küberturvalisuse seaduse subjektidele. Samuti on toetuse taotleja puhul viidatud küberturvalisuse seaduse § 41 lõikele 1, mis samuti ei ole meie hinnangul piisavalt selge. Küberturvalisuse seaduse § 41 lg 1 ütleb, et „Teenuseosutaja ja domeeninimede registreerimise teenuse osutaja täidab käesoleva seaduse § 31 lõikes 1 sätestatud kohustuse kolme kuu jooksul teenuseosutaja või domeeninimede registreerimise teenuse osutaja tunnustele vastavuse tekkimisest arvates“. Kaubanduskoja hinnangul loob antud sättele viitamine segadust, kuna toetuse taotlejal ehk ettevõtjal ei ole selge, kas ta kvalifitseerub toetuse saajaks või mitte. Õigusselguse huvides peab olema toetust soovival ettevõtjal võimalikult lihtsalt mõista, kas tal on õigust toetust taotleda või mitte.
Kaubanduskoja ettepanek: Täpsustada eelnõu § 10 lg 1 sõnastust viisil, mis ütleb üheselt, kas taotlejateks saavad olla üksnes uued kohustatud subjektid või ka olemasolevad ning mis ettevõtjatel on võimalik toetust taotleda.
2. Üldised kommentaarid
2.1. Juhime tähelepanu, et eelnõu ja seletuskirja vahel on mitmeid ebakõlasid ja valesid viiteid. Näiteks on eelnõu seletuskirja lk-l 6 peale § 7 lg 3 p 5 selgitus eelnõu § 4 lg 4 kohta, mis tegelikult peaks olema eelnõu § 7 lg 4.
2.2. Samuti on eelnõu § 15 lg 1 kirjas, et „Kui taotleja ja § 3 lõike 1 punktis 2 nimetatud tegevuse toetuse /…/I“, kuid seletuskirja lk-l 12 on kirjas, et „Paragrahvi 15 lõike 1 kohaselt hinnatakse § 6 lõike 1 punktides 2 ja 3 nimetatud tegevuste toetuse“. Palume eelnõus olev viide parandada.
2.3. Lisaks märgime, et eelnõu § 3 lg 2 määratleb teekaardi koostajana eksperdi, kellel on „põhjalikud teadmised ja kogemused“. Samas ei ole eelnõus eksperti täpsemalt defineeritud ega eksperdile nõutavaid tingimusi eelnõus sätestatud. Seega palume eelnõus sätestada konkreetsed sisulised kvalifikatsiooninõuded eksperdile.
2.4. Muuhulgad eelnõu § 3 lg 1 ütleb, et “/…/ teekaardi koostamisel võib olenevalt taotleja küberturbe taseme hetkesesisust ja soovist lähtuda minimaalsete meetmete, esmaste turvameetmete, Eesti infoturbestandardi, ISO 27001 või muu standardi nõuetest. Teekaardi koostamisel tuleb tugineda käesoleva määruse alusel koostatud ning Ettevõtluse ja Innovatsiooni Sihtasutuse kodulehel avaldatud küberturbe taseme tõstmise teekaardi metoodikale (edaspidi metoodika) ja näidisvormile”. Seega viitab säte määruse alusel koostatud ning Ettevõtluse ja Innovatsiooni Sihtasutuse kodulehel avaldatud küberturbe taseme tõstmise teekaardi metoodikale ja näidisvormile. Soovime täpsustada, kas antud metoodika on juba loodud või luuake. Samuti soovime teada, kus ning millal on metoodikaga võimalik tutvuda.
Lugupidamisega
/allkirjastatud digitaalselt/
Mait Palts
Eesti Kaubandus-Tööstuskoja peadirektor
Ireen Tarto
[email protected]