| Dokumendiregister | Justiits- ja Digiministeerium |
| Viit | 8-1/3796-2 |
| Registreeritud | 25.05.2026 |
| Sünkroonitud | 26.05.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-1 Justiits- ja Digiministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega(Arhiiviväärtuslik) |
| Toimik | 8-1/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | Eesti Infotehnoloogia ja Telekommunikatsiooni Liit |
| Saabumis/saatmisviis | Eesti Infotehnoloogia ja Telekommunikatsiooni Liit |
| Vastutaja | Natalja Zinovjeva (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digitaristu- ja küberturvalisuse valdkond, Digitaristu- ja küberturvalisuse osakond, Riikliku küberturvalisuse talitus) |
| Originaal | Ava uues aknas |
Liisa-Ly Pakosta Justiits- ja digiminister Justiits- ja Digiministeerium Teie 11.05.2026 nr 8-1/3796-1 Suur-Ameerika 1 10122 TALLINN Meie 25.05.2026_6.1-2/110-1
Arvamus määruse „Küberturbe taseme tõstmise toetuse andmise ja kasutamise tingimused ja kord “ eelnõu kohta
Eesti Infotehnoloogia ja Telekommunikatsiooni liit (ITL) tänab võimaluse eest avaldada arvamust määruse „Küberturbe taseme tõstmise toetuse andmise ja kasutamise tingimused ja kord“ eelnõu (edaspidi: eelnõu) kohta. Eelnõuga kavandatav toetusmeede on väga tervitatav, kuna aitab kaasa küberturvalisuse taseme tõstmisele ning küberintsidentide tagajärjel tekkiva võimalikku kahju ennetamisele.
Esitame eelnõu kohta järgmised tähelepanekud ja ettepanekud:
1. Täpsustada, kes saab olla toetuse taotleja
Eelnõu § 10 lg 1 kohaselt on toetuse taotlejateks küberturvalisuse seaduse (KüTS) §-s 41 nimetatud juriidilisest isikust teenuseosutajad ja domeeninimede registreerimise teenuse osutajad, kes täitsid § 41 lõikes 1 nimetatud kohustuse ja esitasid määruse kohase taotluse toetuse saamiseks. Eelnõu seletuskirja juurde lugedes on võimalik aru saada, et toetus on mõeldud KüTS- i uutele subjektidele, kes lisati seadusesse seoses NIS2 direktiivi ülevõtmisega.
Kui toetus on mõeldud ainult KüTS-i uutele subjektidele, siis peab see eelnõu tekstist selgelt välja tulema. Meie hinnangul ei ole eelnõu § 10 lg 1 piisavalt selge ning viitamine KüTS § 41 lõike 1, mis reguleerib Riigi Infosüsteemi Ametile KüTS § 3 lg 1 teabe esitamise kohustuse tähtaega (3 kuud alates teenuse osutaja tunnustele vastavuse tekkimine), tekitab ainult segadust juurde. Märgime, et praktikas on tekkinud arusaamatus, kas KüTS § 31 sisalduvat teavitamiskohustust peavad täitma ainult uued subjektid või ka vanad. Seega oleks ka selles küsimuses Justiits- ja Digiministeerium selgitus teretulnud.
Algselt oli Justiits- ja Digiministeeriumil plaanis lisada küberturvalisuse taseme tõstmise toetus KüTS-i (viitame küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõule NIS2 direktiivi ülevõtmiseks), kuid sellest plaanist loobuti enne eelnõu esitamist Vabariigi Valitsusele.
2
Toonastes eelnõu versioonides oli toetus mõeldud „teenuseosutajatele ja muudele isikutele, kes soovivad käesoleva seaduse nõudeid täita või enda küberturvalisuse seisu parendada, et saavutada küberturvalisuse ühtlaselt kõrge tase Eestis“. Palume selgitust, miks on eelnõuga otsustatud taotlejate ringi oluliselt kitsendada.
2. Täpsustada, kes saab olla teekaardi koostaja ja ekspert
Eelnõu § 3 lg 2 kohaselt on teekaardi koostaja „ekspert või rühm eksperte, kellel on põhjalikud teadmised ja kogemused võrgu- ja infosüsteemide küberturvalisusest ja turvahaavatavuste kaardistamisest.“ Jääb arusaamatuks, keda peetakse eelnõu kohaselt eksperdiks. Kui teekaardi koostajale ei ole nõudeid sisulisi nõudeid, siis on see säte sisutühi.
ITL teeb ettepaneku lisada eelnõusse kvalifikatsiooninõuded eksperdile. Näiteks kas on ise oma ettevõttes juurutanud ISO/E-ITS standardi või selle juurutamist nõustanud ja selle kaudu kogemuse omandanud või ta on aktiivselt tegutsenud viimased 3 aastat infoturbeteenuse pakkujana. Nõuete kehtestamise eesmärk on tagada teenuse kvaliteet. Hetkel jääb eelnõu § 3 lg 2 sõnastus liiga üldiseks.
Teemaga seonduvalt sätestab eelnõu § 11 lg 4 punkt 1, et taotluses tuleb esitada teekaardi koostaja kinnitus varasema kogemuse kohta. Ka sellise kinnituse nõudmisel jääb ebaselgeks, mida siis ikkagi loetakse piisavaks, kui seda nõuet seaduses ei ole.
Eelnõu § 11 lg 5 punkt 4 nõuab kinnitust vähemalt ühe eelneva projekti kohta igal eksperdil. Seega hetkel on eelnõu kohaselt eeldus, et ühe projekti läbiviimine viitab ekspertsusele. ITL-ina ei saa sellega nõus olla.
Sõna „ekspert“ kasutusega tekkis ka küsimus, milliseid eksperte on mõeldud eelnõu §15 lõikes 2, mis sätestab, et taotluse hindamisel võib ka kaasata eksperte. Ilmselt ei saa ju taotluse hindamisel osaleda sama ekspert, kes teekaarti koostas, kuid kuna see mõiste on defineerimata, võib jääda selline mulje, et tegu on samade ekspertidega.
Lisaks leiame, et taotluste hindamisel osalevatele ekspertidele on eelnõu §-is 15 asjakohane ka ette näha tingimused, et tagada taotluste hindamine piisava ekspertsuse tasemel. Meie ettepanek on lisada nõue, et hindajal peab olema rahvusvaheline sertifikaat. Seletuskirjas saab täpsustada, et eksperdi tase peab näiteks olema minimaalselt CISA (ISACA IT audit #1 standard) või kõrgem (CISM, CISSP, CREST) või ISO 27001 Lead Auditor.
3. Keelelised ja muud väiksemad tähelepanekud ja küsimused: 3.1. Eelnõus ja seletuskirjas on palju viidete vigu, mis raskendavad arusaamist. Näiteks viitab
eelnõu § 11 lg 4 punkt 1 eelnõu § 3 lg 1 punktidele 1, mida eelnõus ei ole. Väga segane on eelnõu § 11 lg 5, mis viitab § 3 lg 1 punktidele 2 ja 3, mida eelnõus ei ole. Ilmselt on mõeldud § 6 lg 1 punkte 2 ja 3, kuid siis tekib küsimus, kas § 11 lg 4 punkt 4 on üldse asjakohane, kuna § 3 räägib teekaardist.
3.2. Eelnõu § 3 lg 1 viitab käesoleva määruse alusel koostatud ning Ettevõtluse ja Innovatsiooni Sihtasutuse kodulehel avaldatud küberturbe taseme tõstmise teekaardi metoodikale ja näidisvormile. Kas siin peetakse silmas Riigi Infosüsteemi Ameti metoodikat või luuakse selle eelnõu menetluse käigus uus metoodika? Kui luuakse, millal on sellega võimalik tutvuda?
3
3.3. Kaaluda mõiste asendamist, et tagada korrektsus ja erialaste terminite kasutamine:
3.3.1. „teekaart“ asendada mõistega „tegevuskava“ (vt https://akit.cyber.ee/term/13370- roadmap-2):
3.3.2. „turvahaavatavus“ asendada mõistega „turvanõrkus“ (vt https://akit.cyber.ee/term/102-vulnerability)
3.4. Eelnõu § 7 lg 5 on kirjas, et abikõlbliku kulu eest peab olema tasutud. Juhime tähelepanu, et kulu on juba tehtud ehk millegi eest on juba tasutud ehk see tingimus on liigne.
3.5. Eelnõu § 10 lõikes 1 on keeleliselt korrektne kasutada sõna „või“, mitte „ja“, sest taotleja ei saa olla korraga KüTS-i mõistes juriidilisest isikust teenuseosutaja ja domeeninimede registreerimise teenuse osutaja.
Loodame, et leiate võimaluse meie ettepanekuid arvestada ja meie küsimustele vastata. Oleme valmis oma arvamust ka suuliselt selgitama.
Lugupidamisega /allkirjastatud digitaalselt/
Doris Põld Tegevjuht Keilin Tammepärg, [email protected]
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga. |
Tere
Edastame Teile Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu 25.05.2026 kirja nr 6.1-2/110-1 „Arvamus määruse „Küberturbe taseme tõstmise toetuse andmise ja kasutamise tingimused ja kord “ eelnõu kohta“.
Lugupidamisega
Heleri Vahemäe
Büroojuht
Eesti Infotehnoloogia ja
Telekommunikatsiooni Liit
Lõõtsa 2B
11415 Tallinn
Mob 5115521
Tel 6177 145
Liisa-Ly Pakosta Justiits- ja digiminister Justiits- ja Digiministeerium Teie 11.05.2026 nr 8-1/3796-1 Suur-Ameerika 1 10122 TALLINN Meie 25.05.2026_6.1-2/110-1
Arvamus määruse „Küberturbe taseme tõstmise toetuse andmise ja kasutamise tingimused ja kord “ eelnõu kohta
Eesti Infotehnoloogia ja Telekommunikatsiooni liit (ITL) tänab võimaluse eest avaldada arvamust määruse „Küberturbe taseme tõstmise toetuse andmise ja kasutamise tingimused ja kord“ eelnõu (edaspidi: eelnõu) kohta. Eelnõuga kavandatav toetusmeede on väga tervitatav, kuna aitab kaasa küberturvalisuse taseme tõstmisele ning küberintsidentide tagajärjel tekkiva võimalikku kahju ennetamisele.
Esitame eelnõu kohta järgmised tähelepanekud ja ettepanekud:
1. Täpsustada, kes saab olla toetuse taotleja
Eelnõu § 10 lg 1 kohaselt on toetuse taotlejateks küberturvalisuse seaduse (KüTS) §-s 41 nimetatud juriidilisest isikust teenuseosutajad ja domeeninimede registreerimise teenuse osutajad, kes täitsid § 41 lõikes 1 nimetatud kohustuse ja esitasid määruse kohase taotluse toetuse saamiseks. Eelnõu seletuskirja juurde lugedes on võimalik aru saada, et toetus on mõeldud KüTS- i uutele subjektidele, kes lisati seadusesse seoses NIS2 direktiivi ülevõtmisega.
Kui toetus on mõeldud ainult KüTS-i uutele subjektidele, siis peab see eelnõu tekstist selgelt välja tulema. Meie hinnangul ei ole eelnõu § 10 lg 1 piisavalt selge ning viitamine KüTS § 41 lõike 1, mis reguleerib Riigi Infosüsteemi Ametile KüTS § 3 lg 1 teabe esitamise kohustuse tähtaega (3 kuud alates teenuse osutaja tunnustele vastavuse tekkimine), tekitab ainult segadust juurde. Märgime, et praktikas on tekkinud arusaamatus, kas KüTS § 31 sisalduvat teavitamiskohustust peavad täitma ainult uued subjektid või ka vanad. Seega oleks ka selles küsimuses Justiits- ja Digiministeerium selgitus teretulnud.
Algselt oli Justiits- ja Digiministeeriumil plaanis lisada küberturvalisuse taseme tõstmise toetus KüTS-i (viitame küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõule NIS2 direktiivi ülevõtmiseks), kuid sellest plaanist loobuti enne eelnõu esitamist Vabariigi Valitsusele.
2
Toonastes eelnõu versioonides oli toetus mõeldud „teenuseosutajatele ja muudele isikutele, kes soovivad käesoleva seaduse nõudeid täita või enda küberturvalisuse seisu parendada, et saavutada küberturvalisuse ühtlaselt kõrge tase Eestis“. Palume selgitust, miks on eelnõuga otsustatud taotlejate ringi oluliselt kitsendada.
2. Täpsustada, kes saab olla teekaardi koostaja ja ekspert
Eelnõu § 3 lg 2 kohaselt on teekaardi koostaja „ekspert või rühm eksperte, kellel on põhjalikud teadmised ja kogemused võrgu- ja infosüsteemide küberturvalisusest ja turvahaavatavuste kaardistamisest.“ Jääb arusaamatuks, keda peetakse eelnõu kohaselt eksperdiks. Kui teekaardi koostajale ei ole nõudeid sisulisi nõudeid, siis on see säte sisutühi.
ITL teeb ettepaneku lisada eelnõusse kvalifikatsiooninõuded eksperdile. Näiteks kas on ise oma ettevõttes juurutanud ISO/E-ITS standardi või selle juurutamist nõustanud ja selle kaudu kogemuse omandanud või ta on aktiivselt tegutsenud viimased 3 aastat infoturbeteenuse pakkujana. Nõuete kehtestamise eesmärk on tagada teenuse kvaliteet. Hetkel jääb eelnõu § 3 lg 2 sõnastus liiga üldiseks.
Teemaga seonduvalt sätestab eelnõu § 11 lg 4 punkt 1, et taotluses tuleb esitada teekaardi koostaja kinnitus varasema kogemuse kohta. Ka sellise kinnituse nõudmisel jääb ebaselgeks, mida siis ikkagi loetakse piisavaks, kui seda nõuet seaduses ei ole.
Eelnõu § 11 lg 5 punkt 4 nõuab kinnitust vähemalt ühe eelneva projekti kohta igal eksperdil. Seega hetkel on eelnõu kohaselt eeldus, et ühe projekti läbiviimine viitab ekspertsusele. ITL-ina ei saa sellega nõus olla.
Sõna „ekspert“ kasutusega tekkis ka küsimus, milliseid eksperte on mõeldud eelnõu §15 lõikes 2, mis sätestab, et taotluse hindamisel võib ka kaasata eksperte. Ilmselt ei saa ju taotluse hindamisel osaleda sama ekspert, kes teekaarti koostas, kuid kuna see mõiste on defineerimata, võib jääda selline mulje, et tegu on samade ekspertidega.
Lisaks leiame, et taotluste hindamisel osalevatele ekspertidele on eelnõu §-is 15 asjakohane ka ette näha tingimused, et tagada taotluste hindamine piisava ekspertsuse tasemel. Meie ettepanek on lisada nõue, et hindajal peab olema rahvusvaheline sertifikaat. Seletuskirjas saab täpsustada, et eksperdi tase peab näiteks olema minimaalselt CISA (ISACA IT audit #1 standard) või kõrgem (CISM, CISSP, CREST) või ISO 27001 Lead Auditor.
3. Keelelised ja muud väiksemad tähelepanekud ja küsimused: 3.1. Eelnõus ja seletuskirjas on palju viidete vigu, mis raskendavad arusaamist. Näiteks viitab
eelnõu § 11 lg 4 punkt 1 eelnõu § 3 lg 1 punktidele 1, mida eelnõus ei ole. Väga segane on eelnõu § 11 lg 5, mis viitab § 3 lg 1 punktidele 2 ja 3, mida eelnõus ei ole. Ilmselt on mõeldud § 6 lg 1 punkte 2 ja 3, kuid siis tekib küsimus, kas § 11 lg 4 punkt 4 on üldse asjakohane, kuna § 3 räägib teekaardist.
3.2. Eelnõu § 3 lg 1 viitab käesoleva määruse alusel koostatud ning Ettevõtluse ja Innovatsiooni Sihtasutuse kodulehel avaldatud küberturbe taseme tõstmise teekaardi metoodikale ja näidisvormile. Kas siin peetakse silmas Riigi Infosüsteemi Ameti metoodikat või luuakse selle eelnõu menetluse käigus uus metoodika? Kui luuakse, millal on sellega võimalik tutvuda?
3
3.3. Kaaluda mõiste asendamist, et tagada korrektsus ja erialaste terminite kasutamine:
3.3.1. „teekaart“ asendada mõistega „tegevuskava“ (vt https://akit.cyber.ee/term/13370- roadmap-2):
3.3.2. „turvahaavatavus“ asendada mõistega „turvanõrkus“ (vt https://akit.cyber.ee/term/102-vulnerability)
3.4. Eelnõu § 7 lg 5 on kirjas, et abikõlbliku kulu eest peab olema tasutud. Juhime tähelepanu, et kulu on juba tehtud ehk millegi eest on juba tasutud ehk see tingimus on liigne.
3.5. Eelnõu § 10 lõikes 1 on keeleliselt korrektne kasutada sõna „või“, mitte „ja“, sest taotleja ei saa olla korraga KüTS-i mõistes juriidilisest isikust teenuseosutaja ja domeeninimede registreerimise teenuse osutaja.
Loodame, et leiate võimaluse meie ettepanekuid arvestada ja meie küsimustele vastata. Oleme valmis oma arvamust ka suuliselt selgitama.
Lugupidamisega /allkirjastatud digitaalselt/
Doris Põld Tegevjuht Keilin Tammepärg, [email protected]