| Dokumendiregister | Riigikogu |
| Viit | 1-6/26-106/1 |
| Registreeritud | 26.05.2026 |
| Sünkroonitud | 26.05.2026 |
| Liik | Kiri |
| Funktsioon | |
| Sari | |
| Toimik | Eesti infoturbestandard eelnõu |
| Juurdepääsupiirang | Avalik |
| Adressaat | Justiits- ja Digiministeerium - Liisa-Ly Pakosta |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium - Liisa-Ly Pakosta |
| Vastutaja | |
| Originaal | Ava uues aknas |
1
EELNÕU
21.05.2026
JUSTIITS- JA DIGIMINISTER
MÄÄRUS
Eesti infoturbestandard
Määrus kehtestatakse küberturvalisuse seaduse § 7 lõike 5 ning Vabariigi Valitsuse 9. detsembri
2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded” § 3 lõike 1 alusel.
1. peatükk
Üldsätted
§ 1. Määruse reguleerimisala ja eesmärk
(1) Eesti infoturbestandardi rakendamine seisneb võrgu- ja infosüsteemi infoturbe halduses ja
infoturbe halduse meetmete auditeerimises.
(2) Teenuseosutajate Eesti infoturbestandardi rakendamise kohustus ja ulatus on sätestatud
Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide
küberturvalisuse nõuded” 2. peatükis.
(3) Eesti infoturbestandardi kehtestamise eesmärk on:
1) tagada avalike ning ühiskonna toimimiseks vajalike, sealhulgas oluliste ja kriitiliste
ülesannete täitmiseks kasutatavate võrgu- ja infosüsteemide kõikehõlmav kaitse ning saavutada
infoturbe ühtlane tase kõigis nende osades kogu elutsükli jooksul;
2) luua süsteemne raamistik, mis aitab teenuseosutajal kaitsta oma äriprotsesse, varasid, võrgu-
ja infosüsteemi ning ennetada ohte ja hallata riske.
§ 2. Terminid
(1) Määruses kasutatakse järgmisi termineid:
1) infoturbe halduse süsteem – riskide hindamisel, käsitlemisel ja aktsepteerimisel põhinev
teenuseosutaja süsteemse kaitsmise ning infoturbe rajamise, teostamise, seire, läbivaatamise ja
täiustamise süstemaatilise käsitlemise viis;
2) infoturvameetmete rakendamise plaan – organisatsioonikeskne struktureeritud ühest või
mitmest dokumendist koosnev juhend turvameetmete haldamiseks;
3) organisatsioon – teenuseosutaja küberturvalisuse seaduse tähenduses;
4) äriprotsess – organisatsiooni tegevuse osa, mingi eesmärgi saavutamiseks
rakendatavate inimeste, aja, finants- ja töövahendite (edaspidi koos ressursid), tegevuste,
toimingute või protseduuride kogum, mille tulemusel valmib toode või teenus (inglise keeles
business process).
2
2. peatükk
Infoturbe haldus
§ 3. Infoturbe halduse süsteem
(1) Infoturbe halduse süsteemi raames vaadatakse organisatsiooni:
1) tegevusvaldkonda, eesmärke, protsesse, protseduure ja tavasid;
2) õigusaktidest ning lepingutest tulenevaid õigusi ja kohustusi;
3) keskkonda, ressursse ja vara.
(2) Infoturbe halduse süsteemi toimimiseks tuleb määrata järgmised rollid:
1) hankejuht – jälgib, et turvameetmed on vara kogu elutsükli ulatuses plaanitud uue vara ja
teenuste hankimise etappi juba selle kavandamise käigus;
2) infoturbejuht – koordineerib ja nõustab turvameetmete rakendamist, sealhulgas koolituste
formaadi valimist;
3) kasutaja – järgib tema kasutusse antud vara kasutamise korda, läbib regulaarselt
infoturbekoolitusi, reageerib intsidentidele kokkulepete kohaselt, sealhulgas teavitab
küberintsidentidest;
4) äriüksuse juht – korraldab vara kaardistuse, kaitsetarbe määramise ja vajalike meetmete
rakendamise regulaarse seire.
(3) Taasesitatavas vormis säilitatakse järgmist teavet:
1) infoturbe halduse süsteemi alusdokumendid ja otsuste kulg;
2) infoturvasündmused ja organisatsiooni reaktsioon neile;
3) infoturvameetmete rakendamise plaan ja selles sisalduvad riski käsitlemise viisid.
§ 4. Organisatsiooni juhatuse tegevus
(1) Infoturbe halduse süsteemi toimimist korraldab organisatsiooni juhatus.
(2) Infoturbe halduse süsteemi toimimiseks juhatus:
1) määrab organisatsiooni sees rollid ja vastutajad, määramata rollide eest vastutab juhatus
ise;
2) eraldab vajalikud ressursid;
3) määrab kindlaks infoturbe eesmärgid, kehtestades infoturvapoliitika;
4) otsustab infoturvameetmete rakendamise plaanis kavandatud meetmete rakendamata
jätmisest tulenevate riskide aktsepteerimise üle, arvestades võimalikku mõju äriprotsessile.
(3) Infoturbe halduse süsteemi korraldus peab võimaldama juhatusel saada regulaarseid ja
operatiivseid ülevaateid:
1) riskidest ning nende võimalikust mõjust ja kulust;
2) toimunud küberintsidentide mõjust äriprotsessidele;
3) õigusaktides ja lepingutes sätestatud nõuetest ja nende muudatustest;
4) infoturbe hetkeseisust ja infoturvameetmete rakendamise plaani täitmisest.
§ 5. Infoturvapoliitika
(1) Infoturvapoliitikas nähakse ette vähemalt:
1) turbe üldised eesmärgid ja põhimõtted, sealhulgas riskihalduse alused;
2) rollide ja vastutusalade jaotus;
3
3) küberintsidentide käsitlemise ja infoturbe halduse süsteemi hindamise alused;
4) viited seotud dokumentidele, sealhulgas näiteks alampoliitikad, korrad, tegevuse
dokumentatsioon.
(2) Infoturvapoliitika vaadatakse üle ja vajaduse korral muudetakse vähemalt kord
kalendriaastas.
§ 6. Riskihaldusmetoodika
(1) Riskihaldusmetoodika kasutuselevõtmise eeldus on organisatsiooni varade arvelevõtmine
ja nende kaitseala kindlaksmääramine.
(2) Organisatsioon peab kehtestama riskihaldusmetoodika, mis on seotud organisatsiooni üldise
riskihaldusega ja koosneb vähemalt järgmisest:
1) äriprotsessidele mõju avaldavate ohtude tuvastamine, arvestades konfidentsiaalsust,
terviklust ja käideldavust;
2) vara ja äriprotsessi vastendamine infoturbekataloogi moodulitega;
3) infoturvameetmete rakendamise plaani täitmise otsused, sealhulgas riskide hindamine.
§ 7. Infoturbekataloog
(1) Määruse lisas 1 sätestatud infoturbekataloog on organisatsiooni kahjustada võivate ohtude
kaitseks võetavate meetmete loend.
(2) Lõikes 1 nimetatud meetmed jaotatakse protsessi- ja süsteemimoodulitesse.
§ 8. Infoturvameetmete rakendamise plaan
(1) Infoturvameetmete rakendamise plaanis esitatakse asjakohased infoturbekataloogiga seotud
meetmed. Riskihalduse põhjal lisatakse kõnealusesse rakendusplaani vajaduse korral
lisameetmeid.
(2) Infoturbekataloogi süsteemimoodulite meetmeid rakendatakse kõigile kaitseala varadele
kooskõlas infoturvameetmete rakendamise plaaniga.
(3) Infoturbekataloogi protsessimoodulite meetmed lõimitakse igapäevasesse töökorraldusse.
(4) Infoturbekataloogi meetmete rakendamise prioriteetide ja tähtaegade määramisel lähtutakse
kaitsetarbest, varade omavahelisest sõltuvusest ja vara elutsükli etapist.
(5) Infoturvameetmete rakendamise plaanis võib ette näha infoturbekataloogi mooduli meetme
asendamise muu samaväärse meetmega või meetme rakendamata jätmise, kui:
1) tagatakse vajalik infoturve;
2) organisatsioon on riski aktsepteerinud.
(6) Meetme rakendamise tähtaeg ja tegevuste regulaarsus peab tagama infoturvameetmete
rakendamise plaani täitmise mõistliku aja jooksul. Kui meetme rakendamise tähtaeg ületab
ühte aastat, tuleb seda käsitleda regulaarses riskihalduses kui aktsepteeritud riski.
4
(7) Kui äriprotsess sõltub organisatsioonivälisest tarneahelast, hinnatakse sellega kaasnevaid
riske.
(8) Organisatsioonivälise tarneahela kaitse vajaduse hindamiseks on organisatsioonil õigus
nõuda väliselt osapoolelt kaitsetarbele vastavate turvameetmete rakendamist, sealhulgas
seirearuandeid, asjakohase käsitlusalaga auditi järeldusotsuseid, turvasertifikaate,
enesehindamise tulemusi või muud asjakohast teavet.
(9) Kui organisatsioonivälisest tarneahelast tulenev risk ei ole organisatsiooni jaoks
aktsepteeritav, tuleb kaaluda alternatiivseid meetmeid või välise osapoole vahetust.
§ 9. Personali koolitamine
Organisatsioon korraldab personalile järjepidevalt koolitusi eesmärgiga:
1) parandada turvateadlikkust;
2) tagada teabe turvalise töötlemise ja töövahendite turvalise käitlemise oskused;
3) ennetada riskikäitumist;
4) tõsta teadlikkust küberintsidentide ennetamisest, tuvastamisest ja neile reageerimisest ning
täiendada sellealaseid oskusi.
3. peatükk
Seire
§ 10. Organisatsioonisisene hindamine
(1) Organisatsioon hindab regulaarselt, kas tal on:
1) kindlaks määratud äriprotsessid;
2) kaardistatud äriprotsessidega seotud varad;
3) kindlaks tehtud välised infoturvanõuded, sealhulgas õigusaktid ja lepingud;
4) määratud kaitsetarve;
5) vastendatud infoturbekataloogi moodulid kaitseala varaga;
6) kehtestatud riskihaldusmetoodika;
7) koostatud infoturvameetmete rakendamise plaan;
8) rakendatud ja seiratud infoturvameetmeid vastavalt infoturvameetmete rakendamise plaanis
seatud tähtaegadele;
9) kõrvaldatud auditite ja hindamiste käigus tuvastatud puudused.
(2) Lõikes 1 nimetatud hindamist võib teha organisatsiooniväline isik.
(3) Lõikes 1 nimetatud hindamise käigus tuvastatud puudused tuleb kõrvaldada auditeerimise
alguseks.
§ 11. Auditeerimine
(1) Eesti infoturbestandardi järgimise auditeerimise eesmärk on hinnata, kas auditeeritava
organisatsiooni infoturbe halduse süsteem ja selle raames rakendatud meetmed vastavad 2.
peatüki nõuetele ning kaitsevad organisatsiooni äriprotsesse ja eesmärkide täitmist.
5
(2) Organisatsioonivälise audiitori sõltumatu hinnang annab organisatsioonile, selle klientidele
ja partneritele teavet auditeeritava infoturbe halduse süsteemi jätkusuutlikkuse ja
infoturvalisuse ohtudele vastupanuvõime kohta.
(3) Organisatsioonipoolset auditi tellimist, auditiga kaasnevaid kohustusi, auditi kvaliteedi
hindamist ning audiitoripoolset auditi kavandamist, tegemist ja selle kohta aruande koostamist
on kirjeldatud määruse lisas 2 sätestatud auditeerimiseeskirjas.
4. peatükk
Eesti infoturbestandardi tugi ja rakendamine
§ 12. Eesti infoturbestandardi rakendamise tugitegevused
(1) Eesti infoturbestandardi rakendamise toetamiseks ja ühtlustamiseks loob Riigi Infosüsteemi
Amet asjaomase veebilehe või rakenduse.
(2) Riigi Infosüsteemi Amet võib lõikes 1 sätestatud veebilehel või rakenduses anda Eesti
infoturbestandardi rakendamist toetavaid soovituslikke juhiseid ning esitada muud rakendamist
toetavat ajakohast teavet.
§ 13. Enne määruse jõustumist rakendatud turvameetmete ja koostatud
dokumentatsiooni kehtivus
Enne käesoleva määruse jõustumist Eesti infoturbestandardi järgimiseks rakendatud
turvameetmed ja koostatud dokumentatsioon kehtivad kuni nende uuendamiseni käesolevas
määruses sätestatud korras, kuid mitte kauem kui kolm aastat määruse jõustumisest.
§ 14. Määruse kehtetuks tunnistamine
Ettevõtlus- ja infotehnoloogiaministri 16. detsembri 2022. a määrus nr 101 „Eesti
infoturbestandard“ tunnistatakse kehtetuks.
§ 15. Määruse jõustumine
Määrus jõustub 1. augustil 2026. a.
Liisa-Ly Pakosta
Minister
Tiina Uudeberg
Kantsler
Lisa 1 Infoturbekataloog
Lisa 2 Auditeerimiseeskiri
1
Justiits- ja digiministri PP.KK.2026. a
määruse nr „Eesti infoturbestandard“
lisa 1
Infoturbekataloog
Tabel 1. Protsessimoodulid
Protsessimoodulid
GRC. Turbehaldus
GRC.1. Infoturbe haldus
üldiselt
Esitada infoturbe halduse süsteemi rajamise ja täiustamise
meetmed ning turbekontseptsiooni väljatöötamise juhised
GRC.2. Infoturbe
korraldus
Esitada meetmed infoturbe korralduse sobitamiseks
organisatsiooniga ning infoturbe haldamiseks. Käsitletakse
infoturbeprotsesside haldust ja infoturbeülesandeid
organisatsioonis
GRC.3. Varade haldus
Esitada meetmed, mis tagavad organisatsiooni varade kaitse ja
halduse kogu vara elutsükli vältel ning toetavad varade tervikluse
säilitamist ja asutuse turvalist toimimist
GRC.4. Isikuandmete
kaitse
Esitada meetmed füüsilise isiku kui andmesubjekti põhiõiguste
kaitseks isikuandmete töötlemisel
GRC.5. Krüptograafia Esitada krüptograafilise vahendi kasutamise korralduslikud
meetmed ning krüptokontseptsiooni koostamise juhised
GRC.6. Vastavuse haldus
Esitada organisatsiooni eesmärkidel, õigusaktidel, lepingutel ja
poliitikatel põhinevate turvanõuete kehtestamise ja järgimise
meetmed
GRC.7. Audit ja läbivaatus
Esitada infoturbe auditi ja sõltumatu läbivaatuse tegemise üldised
juhised, et täiustada organisatsiooni infoturvet, vältida soovimatuid
suundumusi valdkonnas ja optimeerida turvameetmeid ja -
protsesse
ORP. Organisatsioon ja personal
ORP.1. Identiteedi- ja õiguste haldus
ORP.1.1. Identiteedi- ja
õiguste haldus üldiselt
Esitada identiteedi- ja õiguste halduse korraldamise meetmed. Nii
kasutajad kui infotehnoloogia (edaspidi IT) komponendid peavad
saama juurdepääsu üksnes vajalikele IT-ressurssidele ja teabele
ORP.1.2.
Sotsiaalmeediakonto
haldus
Esitada meetmed, mis tagavad, et organisatsiooni ametlike
sotsiaalmeediakontode loomine, haldamine ja kasutamine toimub
turvaliselt ühtse korra alusel
ORP.2. Personali haldus
Esitada meetmed, mille abil personaliosakond ja juht tagavad, et
nii oma kui ka välised töötajad tegutsevad organisatsiooni
turvaeesmärke silmas pidades
ORP.3. Töötaja
infoturvateadlikkuse
tõstmine
Esitada töötaja turvateadlikkuse tõstmise ja töötaja koolitusplaani
koostamise meetmed, arvestades organisatsiooni spetsiifikat ja
töötaja vajalikke teadmisi ja oskusi
2
ORP.4. Välislähetuse
infoturve
Esitada meetmed andmete turvalisuse tagamiseks töötaja
välislähetuses viibimisel ning abistada vastutavaid isikuid
välislähetuste turvameetmete kehtestamisel
ORP.5. Teabevahetus Esitada organisatsiooni ja välise poole vahelise turvalise
teabevahetuse meetmed
ORP.6. Kaugtöö Esitada kaugtöö raames talletatava, töödeldava ja edastatava teabe
kaitse meetmed
ORP.7. IT-vahendi turvaline kasutamine
ORP.7.1. IT-vahendi
kasutamine üldiselt
Esitada meetmed, et tagada organisatsiooni töövahendi turvaline
kasutamine, mis on kooskõlas infoturvanõuetega
ORP.7.2. Isikliku seadme
kasutamine
Esitada meetmed, et tagada organisatsioonis isikliku töövahendi (nt
isiklik mobiiltelefon, tahvelarvuti, sülearvuti, nutikell, isiklikud
kõrvaklapid) turvaline kasutamine, mis on kooskõlas
infoturvanõuetega
ORP.7.3. Mobiiltelefoni
kasutamine Esitada meetmed mobiiltelefoni turvaliseks kasutamiseks
ORP.8. Raadioside turvaline kasutamine
ORP.8.1. Raadioside
kasutamine üldiselt
Esitada meetmed, et tagada organisatsioonis kasutatava
raadiosidetehnoloogia (nt WiFi, Bluetooth, NFC, RFID ja muud
lühimaa raadioside protokollid) turvaline kasutamine, vältides
volitamata juurdepääsu, andmeside pealtkuulamist ja seadmete
manipuleerimist
ORP.8.2. WiFi kasutamine
Esitada organisatsiooni WiFi-võrgu kavandamise ja turvalise
käitamise meetmed, et vältida volitamata juurdepääsu sidevõrgule
ja andmeleket
ORP.8.3. Lähiväljaside
kasutamine
Esitada meetmed, et tagada organisatsioonis lähiväljaside
tehnoloogia turvaline kasutamine, mis on kooskõlas
organisatsiooni infoturvanõuetega
ORP.8.4. Bluetoothi
kasutamine
Esitada meetmed, et tagada Bluetoothi tehnoloogia turvaline
kasutamine organisatsioonis, vältides volitamata sidumisi,
andmeleket, seadmete ülevõtmist ning muid lähiväljasidega seotud
riske
OPS. IT haldus
OPS.1. IT valdkonna põhitööd
OPS.1.1. IT haldus üldiselt
Kehtestada infoturvameetmed lahutamatu osana kõigist IT halduse
põhiaspektidest (IT-varade haldamine, IT-hanked, IT käitamine,
muudatuste haldus, seire, intsidentide haldus ja IT-vahendite
kasutusest kõrvaldamine)
OPS.1.2. Muudatusehaldus
Esitada organisatsiooni tarkvarauuendite ja IT-süsteemide
muudatusehalduse protseduuri kohaldamise, juhtimise ja
optimeerimise meetmed
OPS.1.3. Andmevarundus Esitada organisatsioonis töödeldavate andmete varunduse
korraldamise meetmed
3
OPS.1.4. Andmete
digitaalne arhiveerimine
Esitada digitaalsete dokumentide muutumatul kujul pikaajalise,
turvalise ja ennistatavalt säilitamise meetmed
OPS.1.5. Turvasündmus
logimine
Esitada logiandmete turvalise kogumise, talletamise ja
nõuetekohase analüüsimise ja kõrvaldamise meetmed
OPS.1.6. Tarkvara
testimine ja kasutuselevõtt
Esitada mistahes tarkvararakenduse või -süsteemi testimise ja
kasutuselevõtu meetmed
OPS.1.7. Arvutikellade
sünkroniseerimine
Esitada meetmed täpse ajaarvestuse tagamiseks IT-komponentide
töös
OPS.1.8. IT-süsteemi
kaughooldus Esitada IT-süsteemi turvalise kaughoolduse korraldamise meetmed
OPS.1.9. Kaitse
kahjurprogrammide eest Esitada kahjurprogrammi vastase kaitse korraldamise meetmed
OPS.1.10. Turvanõrkuste
haldus
Esitada infotehnoloogiliste turvanõrkuste haldamise protseduuride
väljatöötamise meetmed koos juhistega, et minimeerida
küberrünnete mõju
OPS.1.11. Andmete
turvaline kustutamine
Esitada andmete turvalise kustutamise ja andmekandja hävitamise
meetmed
OPS.2. IT haldus teenusena
OPS.2.1. Väljasttellimine
üldiselt
Esitada meetmed väljasttellitava teenuse turvaeesmärkide
saavutamise tagamiseks kogu allhanke kestel
OPS.2.2. Pilvteenuse
integratsioon
äriprotsessiga
Esitada meetmed pilvteenuse kavandamiseks ja turvaliseks
käitamiseks organisatsiooni äriprotsessi toetamise eesmärgil
OPS.2.3. Teenuseleping
välise teenuseosutajaga
Esitada meetmed mistahes sisseostetava teenuse kvaliteedi
tagamise lepete sätestamiseks teenuse osutamise lepingus (inglise
keeles service level agreement, lühendSLA)
OPS.2.4. Tarneahela
infoturve
Esitada infoturbe haldamise meetmed tarneahela nõutava
turvataseme hoidmiseks, lähtudes tarneahela osalistelt nõutavatest
meetmetest
OPS.2.5. X-tee
andmeteenus
Esitada X-tee andmeteenuse turvalise kasutamise ja kaitse
meetmed. X-tee turvaserveriga liidestatud IT-süsteem ei tohi
ohustada X-tee taristut ega sattuda X-teega liidestatuse tõttu ise
haavatavasse olukorda. Samuti peab andmete liikumine eri
organisatsioonide ja üksuste vahel põhinema selgetel õiguslikel
alustel
OPS.3. Süsteemide haldus
OPS.3.1. Süsteemi haldus
üldiselt
Esitada mistahes süsteemina käsitatava keskkonna turvalise
halduse meetmed. Kuna süsteemi haldamiseks on vaja eeliskontot,
tuleb rakendada meetmeid selle võimaluse väärkasutuse
tõkestamiseks
OPS.3.2. Mobiilseadmete
keskhaldus
Esitada mobiilseadmete halduse kavandamise ja turvalise
käitamise meetmed
4
DER. Avastamine ja reageerimine
DER.1. Turvaintsidendi
avastamine
Esitada turvasündmusega seotud andmete kogumise, seostamise ja
hindamise meetmed, et tagada turvaintsidendi terviklik ja
õigeaegne avastamine
DER.2. Turvaintsidentide haldus
DER.2.1. Turvaintsidendi
käsitlus
Esitada turvaintsidendi süstemaatilise käsitlemise meetmed
DER.2.2. IT-kriminalistika
võimaldamine
Esitada meetmed infoturvaintsidendi kriminalistika
võimaldamiseks oluliste ettevalmistuste kaudu IT-süsteemi
projekteerimise ja käigushoiu etappides
DER.2.3. Ulatusliku
turvaintsidendi
lahendamine
Esitada ulatusliku turvaintsidendi lahendamise meetmed
DER.3. Turvatestimine ja
õppus
Esitada infoturbe nõuetelevastavuse testimise ja infoturbeõppuse
korraldamise meetmed
DER.4. Talitluspidevus Esitada meetmed infoturbe ja talitluspidevuse tagamiseks
avariiolukorras
5
Tabel 2. Süsteemimoodulid
Süsteemimoodulid
INF. Taristu
INF.1. Hoone Esitada meetmed, mis käsitlevad organisatsiooni tüüphoone
tehnilisi ja korralduslikke turvaaspekte
INF.2. Hoone ruumid
INF.2.1. Bürooruum
Esitada infoturvameetmed, mis on kohaldatavad bürooruumile (nt
kontor, ladu või muu ruum, kus asub arvutitöökoht) ja
bürootöökohale
INF.2.2. Serveriruum ja
andmekeskus
Esitada serveriruumi ja andmekeskuse turvaliste ja jätkusuutlike
käidutingimuste loomise ja säilitamise meetmed
INF.2.3. Tehnilise taristu
ruum
Esitada tehnilise taristu ruumi või tehnilise taristu kapi turvalisuse
tagamise meetmed
INF.2.4. Arhiiviruum Esitada andmekandjate arhiivi ja arhiveeritaval andmekandjal oleva
teabe kaitse meetmed
INF.2.5. Koosoleku-,
ürituse- ja koolitusruum
Esitada koosoleku-, ürituse- ja koolitusruumis töödeldava teabe ja
neis ruumides olevate IT-seadmete kaitse meetmed
INF.3. Mobiilne töökoht
Esitada mobiilsele töökohale kohaldatavad korralduslikud,
tehnilised ja personali käsitlevad meetmed, mida arvestatakse ja
täidetakse siis, kui töötaja töötab väljaspool organisatsiooni ruume
INF.4. Kodutöökoht Esitada meetmed organisatsiooni teabe kaitseks ja turvalise taristu
rajamiseks kodutöökohas
INF.5. Sõiduki IT-
komponendid
Esitada organisatsiooni mehitatud ja mehitamata, sh isejuhtiva
sõiduki infoturvameetmed juhul, kui sõiduk (nt mootor-, vee- või
õhusõiduk) on varustatud tänapäevaste infotehnoloogiliste
komponentidega
INF.6. Elektrikaabeldus Esitada meetmed hoone elektritoite kaitseks rikete, häirete ja
manipuleerimise eest
INF.7. Tehnosüsteemid
INF.7.1. Hoone
tehnosüsteemide haldus
üldiselt
Esitada hoone või hoonete tehnoseadmete ja -süsteemide (nt kütte-,
jahutus-, ventilatsiooni-, konditsioneerimis-, vee-, valgustus-,
tulekaitse- ja nõrkvoolusüsteemid; inglise keeles technical building
management, lühend TBM) kavandamise ja turvalise käitamise
meetmed
INF.7.2.
Hooneautomaatikasüsteem
Esitada hooneautomaatikasüsteemi (inglise keeles building
automation and control system, lühendBACS) kavandamise ja
turvalise käitamise meetmed
INF.7.3. Puhvertoiteallikas Esitada puhvertoiteallika kavandamise ja turvalise käitamise
meetmed
6
NET. Andme- ja kõneside
NET.1. Arvutivõrk
NET.1.1. Võrguhaldus
üldiselt
Esitada turvalise võrguhalduse rajamise ja käigus hoidmise ning
turvalise andmeside tagamise meetmed
NET.1.2. Kohtvõrk Esitada võrgu arhitektuuri ja võrgulahenduse infoturvameetmed
NET.1.3. Raadiokohtvõrk Esitada raadiokohtvõrgu rajamise ja turvalise käitamise juhised
NET.1.4. Virtuaalne
privaatvõrk
Esitada virtuaalse privaatvõrgu kavandamise ja turvalise käitamise
meetmed
NET.2. Sidevõrgu
kaabeldus
Esitada meetmed sidekaabelduse kaitseks rikete, häirete ja
manipuleerimise eest
NET.3. Võrgukomponendid
NET.3.1.
Võrgukomponent üldiselt
Esitada arvutivõrgu mistahes komponendi turvalise käitamise
meetmed
NET.3.2. Tulemüür Esitada tulemüüri või tulemüürisüsteemi turvalise hankimise,
rajamise, konfigureerimise ja käitamise meetmed
NET.3.3. Marsruuter Esitada ruuteri turvalise käitamise meetmed
NET.3.4. Kommutaator Esitada kommutaatori turvalise käitamise meetmed
NET.3.5. Raadiokohtvõrgu
pääsupunkt Esitada raadiokohtvõrgu komponendi turvalise käitamise meetmed
NET.4. Võrguühenduse
automaatne seadistus
Esitada võrguseadme turvalise konfigureerimise ja käitamise
meetmed
NET.5. Võrkupääsu
reguleerimise süsteem
Esitada meetmed arvutivõrgu klientseadme võrkupääsu
reguleerimise (inglise keeles network access control, lühend NAC)
süsteemi kavandamise ja turvalise käitamise meetmed
SYS. IT-süsteemid
SYS.1. Serverid
SYS.1.1. Server üldiselt Esitada serverina kasutatavas IT-komponendis töödeldavate
andmete ning sellega seotud rakenduste kaitse meetmed
SYS.1.2. Microsoft
Windowsi server
Esitada Microsoft Windowsi operatsioonisüsteemiga serveri
turvalise käitamise ja serverisüsteemis töödeldavate andmete ning
protsesside kaitsmise meetmed
SYS.1.3. Linuxi server
Esitada Linuxi ja UNIXioperatsioonisüsteeme kasutava
serverisüsteemi ja selles töödeldavate andmete ning protsesside
kaitse meetmed
SYS.1.4. Riistvaraline
server Esitada riistvaralise serverisüsteemi turvalise käitamise meetmed
SYS.1.5. Virtuaalserver Esitada virtualiseeritud serverisüsteemi turvalise käitamise
meetmed
SYS.1.6. Konteinerdus Esitada konteinertehnoloogia kavandamise ja turvalise käitamise
meetmed
SYS.1.7. Kubernetes Esitada meetmed konteinerduse haldamiseks ja andmete
kaitsmiseks Kubernetese keskkonnas
7
SYS.2. Lõppkasutaja tööjaamad
SYS.2.1. Tööjaam üldiselt
Esitada meetmed tööjaamas töödeldavate andmete kaitseks
olenemata arvuti tüübist või selles kasutatavast
operatsioonisüsteemist ning suurendada teadlikkust seadme
spetsiifilistest ohtudest
SYS.2.2. Microsoft
Windowsi tööjaam
Esitada Microsoft Windowsi operatsioonisüsteemi kasutava
tööjaama andmete kaitse meetmed
SYS.2.3. Linuxi tööjaam Esitada Linuxi operatsioonisüsteemi kasutava tööjaama andmete
kaitse meetmed
SYS.2.4. Apple macOSi
tööjaam
Esitada macOSioperatsioonisüsteemi kasutavas tööjaamas
talletatud andmete kaitse meetmed
SYS.2.6. Sülearvuti
Esitada meetmed sülearvuti turvaliseks kasutamiseks
organisatsioonis ja suurendada teadlikkust seadme spetsiifilistest
ohtudest
SYS.2.7. Irdandmekandja Esitada irdandmekandja (inglise keeles removable media) turvalise
kasutamise meetmed
SYS.2.8.
Failijagamisteenus
Esitada serverisõnumiploki (inglise keeles server message block,
lühend SMB ) andmesideprotokolli kavandamise ja turvalise
käitamise meetmed
SYS.3. Mobiilseadmed
SYS.3.1. Mobiilseade
üldiselt
Esitada meetmed tööülesannete täitmiseks kasutatava nutitelefoni
ja tahvelarvuti jaoks
SYS.3.2. Google Android Esitada Androidi operatsioonisüsteemiga mobiilseadme turvalise
haldamise meetmed
SYS.3.3. Apple iOS Esitada iOSi ja iPadOSi operatsioonisüsteemiga mobiilseadme
turvalise haldamise meetmed
SYS.4. Muud võrgustatud seadmed
SYS.4.1. Esemevõrgu
seade üldiselt
Esitada esemevõrgu (inglise keeles internet of things, lühend IoT)
seadme turvalise haldamise meetmed
SYS.4.2. Printer ja
kontorikombain
Esitada võrgustatud printeri ja kontorikombaini turvalise haldamise
ja kasutamise meetmed
SYS.4.3. Sardsüsteem Esitada sardsüsteemi (inglise keeles embedded system) turvalise
kasutamise meetmed
SYS.5. Serveriteenused
SYS.5.1. Serveriteenus
üldiselt
Esitada mistahes serveriteenuse turvalise seadistamise ja haldamise
meetmed
SYS.5.2. Failiserver Esitada failiserveri turvalise käitamise meetmed
SYS.5.3.
Andmebaasiserver
Esitada andmebaasisüsteemi kavandamise ja turvalise käitamise
ning andmebaasides töödeldava teabe kaitsmise meetmed
SYS.5.4. Veebirakendus Esitada veebirakenduse turvalise töötamise ning töödeldava teabe
kaitsmise meetmed
8
SYS.5.5. Ajaserveri teenus
Esitada meetmed ajaserveri turvaliseks seadistamiseks
usaldusväärse ja täpse kellaaja tagamise eesmärgil kõigis seotud
IT-süsteemides
SYS.5.6.
Domeeninimesüsteem
Esitada organisatsioonis kasutatava domeeninimesüsteemi (inglise
keeles domain name system, lühendDNS) serveriteenuste turvalise
käitamise meetmed
SYS.5.7. Veebiserver Esitada veebiserveri ja veebiserveri kaudu juurdepääsetava teabe
kaitse meetmed
SYS.5.8. Andmesalvesti Esitada andmesalvestilahenduse kavandamise, turvalise käitamise
ja kasutuselt kõrvaldamise meetmed
SYS.5.9. Terminaliserver Esitada terminaliserveri kavandamise ja turvalise käitamise
meetmed
SYS.5.10. E-posti server Esitada e-posti serveri turvalise seadistamise ja käitamise meetmed
SYS.5.11. Microsoft
Exchange
Esitada Microsoft Exchange’i rühmatarkvaralahenduse
kavandamise ja turvalise käitamise meetmed
SYS.5.12. Kataloogiteenus Esitada kataloogiteenuse kavandamise, turvalise käitamise ja
kõrvaldamise ning kataloogiteenuse andmete kaitsmise meetmed
SYS.5.13. Microsoft Active
Directory Domain Services
Esitada meetmed Microsoft Active Directory Domain Services’i
tavakasutuse turbeks, kui Active Directory teenust kasutatakse
Microsoft Windowsi süsteemidest koosneva taristu ja keskse
autentimis- ja autoriseerimislahenduse haldamiseks
SYS.5.14. X-tee
turvaserver
Esitada X-tee turvaserveri kaitse meetmed, et tagada
andmevahetuse tõendusväärtus ja X-teega seotud äriprotsesside
usaldusväärsus
SYS.5.15. Tehisarusüsteem Esitada meetmed tehisarusüsteemi turvaliseks kasutuselevõtmiseks
ja käitamiseks organisatsioonis
SYS.5.16. IP-telefonside
server
Esitada VoIP-põhise sidesüsteemi komponendi ja IP-telefoni
kõneedastuse turvalisuse tagamise meetmed
SYS.5.17.
Virtualiseerimissüsteem
Esitada serveri virtualiseerimiskeskkonna turvalisuse tagamise
meetmed
SYS.5.18. Töölaua
virtualiseerimine
Esitada virtuaaltöölaua taristu (inglise keeles virtual desktop
infrastructure, lühend VDI) kavandamise ja turvalise käitamise
meetmed
SYS.5.19. Elektrooniline
arhiivisüsteem
Esitada digitaalsete andmete arhiveerimise süsteemi kavandamise
ja turvalise käitamise meetmed
SYS.5.20. Keskne
logitaristu Esitada keskse logitaristu kavandamise ja käitamise meetmed
SYS.6. Pilvandmetöötlus
SYS.6.1. Pilvandmetöötlus
üldiselt
Esitada pilvandmetöötluse kavandamise ja turvalise käitamise
meetmed
SYS.6.2. Pilvrakendus Esitada pilvrakenduse turvalise seadistamise ja käitamise meetmed
9
SYS.7. Käidutehnoloogia
SYS.7.1. Käidutehnoloogia
üldiselt
Esitada korralduslikud ja kontseptuaalsed meetmed
käidutehnoloogia (inglise keeles operational technology, lühend
OT) turvaliseks kasutamiseks organisatsioonis
SYS.7.2.
Tööstusautomaatika
Esitada tööstusautomaatikasüsteemi (inglise keeles industrial
automation and control system), sh protsessijuhtimissüsteemi
(inglise keeles industrial control system, lühend ICS) ja SCADA-
süsteemi komponentide turbe meetmed, olenemata komponentide
valmistajast, arhitektuurist, otstarbest ja paigalduskohast
SYS.7.3.
Autonoomnesüsteem
Esitada autonoomse süsteemi, sh nutika anduri, andurina töötava
seadmestiku ja robotseadme turbe meetmed, olenemata selle
valmistajast, otstarbest, arhitektuurist või asukohast
SYS.7.4.
Ohutusautomaatika
Esitada infoturvameetmed ohutusautomaatika süsteemi turvaliseks
kasutuselevõtmiseks ja käitamiseks
SYS.7.5. Programmeeritav
kontroller
Esitada programmeeritava kontrolleri (inglise keeles
programmable logic controller, lühend PLC) turvalise
kasutuselevõtmise ja käitamise meetmed, olenemata nende
valmistajast, otstarbest, arhitektuurist või asukohast
SYS.7.6. Käidutehnoloogia
komponentide
kaughooldus
Esitada käidutehnoloogia komponentide turvalise kaughoolduse
meetmed. Käidutehnoloogia koosneb tavaliselt eri tootjate
riistvara- ja tarkvarakomponentidest, mille käigushoidmiseks ja
hooldamiseks tuleb tagada volitatud hoolduspersonali
kaugjuurdepääs
APP. Lõppkasutaja rakendused
APP.1. Tarkvara üldiselt
Esitada lõppkasutaja tööjaamas kasutatava tarkvara ja tarkvaraga
töödeldavate andmete turbe meetmed, sh tarkvara
kasutuselevõtmise, hankimise, kasutamise ja kasutuselt
kõrvaldamise meetmed
APP.2. Veebilehitseja
Esitada meetmed andmete kaitsmiseks tööjaama veebilehitseja
kaudu realiseeruda võivate ohtude eest, hõlmates nii tsentraalselt
kui ka iseseisvalt hallatavaid töökeskkondi
APP.3. E-posti klient Esitada e-posti kliendi töödeldavate andmete kaitse üldmeetmed
APP.4. Kontoritarkvara Esitada kontoritarkvaras töödeldavate andmete kaitsmise ja
kontoritarkvara turvalise haldamise meetmed
APP.5. Rühmatarkvara
Esitada ühendatud side- ja koostöölahenduse (inglise keeles unified
communication and collaboration, lühend UCC) turvalise
kasutamise meetmed
APP.6. Mobiilirakendus Esitada äriprotsessi toetavas mobiilirakenduses töödeldavate
andmete kaitse meetmed
10
DEV. Tarkvaraarendus
DEV.1. Tarkvaraarendus
üldiselt
Esitada organisatsiooni tellitud või organisatsioonis arendatava
tarkvaralahenduse infoturbe haldamise ja tarkvara turvalisuse
tagamise meetmed
DEV.2.
Tarkvaraarendusprojekt
Esitada organisatsiooni individuaalseks kasutusotstarbeks välja
töötatud või organisatsiooni tarbeks oluliselt kohandatud
rakenduste projektipõhise arendamise meetmed
DEV.3. Veebirakenduse
arendus
Esitada dünaamilise (muutuva sisuga) veebirakenduse turvalise
arendamise ja veebirakenduses töödeldavate andmete kaitsmise
meetmed
DEV.4. Integreerimine Eesti e-riigi teenustega
DEV.4.1. eID komponent Esitada meetmed elektroonilise identiteedi (eID) komponendi ja
sellega seotud teenuste rakendamiseks organisatsioonis
1
„Justiits- ja digiministri PP.KK. 2026
määruse nr „Eesti infoturbestandard“
lisa 2
Auditeerimiseeskiri
1. Terminid ja lühendid
Käesolevas lisas kasutatakse järgmisi termineid:
audiitor – (inglise keeles auditor) audiitorettevõttele auditi raames tööd tegev isik;
audiitorettevõte – (inglise keeles auditing entity) juriidiline isik, kes osutab võrgu- ja
infosüsteemide auditeerimise teenust;
audit –Eesti infoturbestandardi järgimise auditeerimine määruse § 11 lõikes 1 sätestatud
eesmärgil;
auditeeritav – (inglise keeles auditee) organisatsioon või selle osa, keda või mida
auditeeritakse, või auditi tellinud organisatsioon;
auditi käsitlusala – (inglise keeles audit scope) auditi või läbivaatuse ulatus ja piirid, millega
määratakse muu hulgas kindlaks auditeeritavad või läbivaadatavad tegevuskohad,
organisatsiooni üksused, protsessid, funktsioonid, süsteemid, varad ja tarneahela haldus;
auditirühm – audiitorettevõtte poolt auditi tegemiseks audiitoritest ja tehnilistest ekspertidest
moodustatud rühm;
juhtivaudiitor – (inglise keeles lead auditor) auditirühma juhtiv audiitor;
teenuseandja – füüsiline või juriidiline isik, kes teeb digielemente sisaldava toote tarbijale
vahetult või kellegi kaudu turul tasuta või tasu eest kättesaadavaks või kes annab tarbijale
vahetult või kellegi kaudu tasuta või tasu eest digielemente sisaldava tootega seotud teenuse.
2. Auditi üldine korraldus
2.1. Auditi tegemiseks sõlmitakse audiitorettevõttega auditeerimisleping ja
konfidentsiaalsusleping.
2.2. Auditi riski vähendamiseks ei tohi audiitorettevõte teha järjest üle kahe sama
organisatsiooni auditi.
2.3. Auditeeritav määrab auditi tegemise ajaks kontaktisiku või -isikud.
2.4. Auditi tegemine plaanitakse koostöös auditeeritava kontaktisikuga, kes tagab vajalike
andmete ja isikute kättesaadavuse auditi ajal. Põhjendatud juhtudel ja eelneval kokkuleppel
võib auditiprotseduure teha kaugtöö vormis, sellisel juhul kajastatakse see fakt auditiaruandes.
Kaugtöötunnid ei tohi ületada 30% audititööks kavandatud tundide koguarvust. Erandiks on
auditeeritav, kes kasutab ainult virtuaalseid töökohti.
3. Auditi tellimine või hankimine
2
3.1. Auditit tellides või hankides kirjeldab auditeeritav üheselt ja arusaadavalt auditi käsitlusala,
sealhulgas auditeeritavaid äriprotsesse, neile määratud kaitsetarvet ning nende erisusi.
3.2. Auditeeritav esitab audiitorettevõttele rakendamisele määratud infoturbekataloogi
moodulite nimekirja, andmetöötluse tegevuskohad, kasutatavad töökeeled, arvutikasutajate
arvu, infotehnoloogia (edaspidi IT) meeskonna suuruse, IT-taristu lühikirjelduse ja
väljasttellitavate IT-teenuste loendi.
3.3. Kui auditi käsitlusalasse kuuluvaid andmeid töödeldakse mitmes auditeeritava
tegevuskohas, esitab auditeeritav lepingus minimaalse tegevuskohtade arvu, mille suhtes audit
tehakse. Tegevuskohtade valik ja tegevuskohtade arv peab tagama kõikide tegevuskohatüüpide
proportsionaalse esindatuse. Kui andmeid töödeldakse kolmes või vähemas tegevuskohas, välja
arvatud pilvteenuse tarnija tegevuskoht, tehakse auditiprotseduurid kõigis tegevuskohtades.
3.4. Auditeeritav märgib auditit tellides või hankides ära, kui tegevuskohas ei ole võimalik
kohapeal auditiprotseduure teha (nt õigusaktidest või teenuseandjaga sõlmitud kokkulepetest
tulenevalt).
3.5. Auditi võib tellida või hankida mitmele auditeeritavale korraga. Kui auditeeritavad
tuginevad samale infoturbe halduse süsteemile (nt on neil ühine infoturbe organisatsioon,
infoturvapoliitika ja infoturbe dokumentatsioon), võib ühe auditi käsitlusala laiendada mitmele
auditeeritavale. Seejuures käsitletakse auditiaruandes ja järeldusotsustes vajaduse korral
auditeeritavate erisusi.
3.6. Kui auditeeritav vahetab audiitorettevõtet, lisab ta hankedokumentatsiooni kehtiva auditi
järeldusotsuse.
3.7. Auditi hankedokumentatsiooni või tellimuse põhjal peab audiitorettevõttel olema võimalik
adekvaatselt hinnata auditiprotseduuride tegemisega seotud tööaega ja kulu. Auditi eest
küsitava tasu määramisel tugineb audiitorettevõte muu hulgas punktis 3.8 sätestatule.
3.8. Audiitor esitab auditipakkumuses audiitori töömahu prognoosi ja eeldatava ajaplaani.
Soovitav on lisada ka auditeeritava töötajatele auditiga kaasneva töömahu prognoos.
Auditiprotseduuridele kuluvate tundide arv moodustab vähemalt 60% auditiks kavandatud
töötundide koguarvust.
4. Nõuded audiitorile
4.1. Auditeerimist juhib vastava kutseoskusega juhtivaudiitor. Juhtivaudiitor vastutab auditi
käigus tehtavate tööde eest ning allkirjastab auditi lõpparuande ja järeldusotsuse.
4.2. Juhtivaudiitoril peab auditi tegemise ajal kehtima vähemalt üks järgmine kutsetunnistus:
4.2.1. ülemaailmse IT-professionaale ühendava organisatsiooni ISACA välja antud
infosüsteemide audiitori (inglise keeles Certified Information Systems Auditor, lühend
CISA) kutsetunnistus;
4.2.2. kvaliteediinstituudi (inglise keeles Chartered Quality Institute) rahvusvahelise
kutsetunnistusega audiitorite registri (inglise keeles International Register of Certificated
3
Auditors, lühend IRCA) välja antud infoturbe halduse süsteemide ISO/IEC 27001 kohase
sertifitseerimisskeemi põhine juhtivaudiitori kutsetunnistus;
4.2.3. ametialase hindamise ja kutsetunnistuste andmise nõukogu PECB välja antud
infoturbe halduse süsteemide ISO/IEC 27001 kohase sertifitseerimisskeemi põhine
juhtivaudiitori kutsetunnistus.
4.3. Juhtivaudiitor peab auditile eelnenud kolme aasta jooksul olema audiitorina osalenud
vähemalt kolmes infoturbe või IT-süsteemide halduse auditis, nt Eesti infoturbestandardi
auditis. Juhtivaudiitoril peab olema vähemalt nelja-aastane IT auditi, IT juhtimise või
infoturbealane töökogemus.
4.4. Auditirühma kaasatud audiitoritel peab olema vähemalt kahe-aastane IT auditi, IT
juhtimise või infoturbealane töökogemus.
4.5. Auditirühma kaasatud tehnilistel ekspertidel peab olema auditi käsitlusala spetsiifikale
vastav tehniline kvalifikatsioon või vähemalt kahe-aastane IT halduse või infoturbealane
töökogemus.
4.6. Auditirühma liikmed peavad olema auditeeritavast sõltumatud ja ei tohi olla osalenud
auditeeritava infoturbe halduse süsteemi kavandamises või rakendamises, sh auditeeritava
konsulteerimises auditeeritavas valdkonnas, auditi alguskuupäevale eelnenud kolme aasta
jooksul.
4.7. Auditirühma liikmete sõltumatus peab olema kinnitatud allkirjastatud deklaratsiooniga.
4.8. Auditirühma liikmed peavad tagama oma kohustuste täitmise käigus teatavaks saanud teabe
hoidmise teadmisvajaduspõhiselt ning mitte jagama teavet auditeeritava nõusolekuta.
Auditeeritava esitatud isikuandmete töötlemisel, sh isikuandmeid sisaldavate dokumentide
läbivaatamisel ning logiandmete ja tuvastussüsteemide andmete kasutamisel, järgib audiitor
muu hulgas andmekaitsealaste õigusaktide nõudeid.
4.9. Audiitor peab auditi tegemisel järgima tunnustatud auditeerimisstandardeid ja -suuniseid,
infoturbe parimaid tavasid ja audiitori kutse-eetika koodeksit (nt ISACA kutse-eetika koodeks).
4.10. Audiitor peab auditi kavandamisel ja tegemisel juhinduma auditi käsitlusalast, määruse 2.
peatüki nõuetest ja õigusaktidest. Auditiprotseduuride tegemisel ja meetmete valimi
koostamisel arvestatakse infoturvaohtudest lähtuvaid riske ja auditeeritava kaitsetarvet ning
nende alusel hinnatakse asjakohaste infoturbekataloogi meetmete rakendatust.
5. Audit
5.1. Auditi alguseks peavad organisatsioonisisese hindamise käigus tuvastatud puudused olema
kõrvaldatud. Puuduste kõrvaldamata jätmise korral on audiitorettevõttel õigus nõuda auditi
alguse edasi lükkamist.
5.2. Enne auditi algust koostatakse ja kooskõlastatakse auditeeritavaga auditi plaan. Auditi
plaan aitab tagada, et kriitilistele infoturbevaldkondadele pööratakse auditi käigus piisavalt
4
tähelepanu ja auditiprotseduurid tehakse õiges järjekorras. Olude muutudes või ootamatute
asjaolude ilmnedes muudetakse vastavalt ka auditi plaani.
5.3. Auditi käigus hinnatakse:
5.3.1. organisatsiooni infoturbe halduse süsteemi vastavust määruse 2. peatüki nõuetele;
5.3.2. infoturbe dokumentatsiooni aja- ja asjakohasust;
5.3.3. infoturvameetmete rakendamise asjakohasust, riskipõhisust ning proportsionaalsust.
5.4. Infoturbe dokumentatsiooni asjakohasuse ja meetmete proportsionaalsuse hindamisel
võetakse igakülgselt arvesse auditeeritava riskidele avatuse määra, organisatsiooni suurust ning
intsidentide esinemise võimalikkust ja nende tõsidust, sealhulgas nende ühiskondlikku ja
majanduslikku mõju.
5.5. Audiitor hindab infoturvameetmete rakendamise plaani alusel meetmete rakendatust ning
moodulite väljajättude asjakohasust ja proportsionaalsust auditi käsitlusala ulatuses. Meetmete
rakendamist kontrollitakse valikuliselt, vastavalt kinnitatud auditi plaanile. Kontrollitavate
meetmete valimisel lähtub audiitor:
5.5.1. äriprotsessidele määratud kaitsetarbest;
5.5.2. mooduliga seotud ohtude olulisusest organisatsiooni kontekstis;
5.5.3. auditeeritavas organisatsioonis teostatud infoturvariskide kaalutlemise tulemustest;
5.5.4. organisatsioonis toimunud infoturvaintsidentidest;
5.5.5. varasemate infoturbe auditite leidudest ning läbivaatuste aruannetes esitatud
tähelepanekutest ja soovitustest;
5.5.6. auditeeritavale eelnevalt tutvustatud meetmetest valimi moodustamise metoodikast.
5.6. Audiitor lähtub oma hinnangutes riskipõhisuse printsiibist. Audiitori tähelepanek võib
põhineda ühe või mitme meetme mitterakendamisel või meetmete osalise rakendamise
koosmõjul.
5.7. Hinnangu kujundamiseks teeb audiitor auditiprotseduure, mille maht moodustab vähemalt
60% audiitori kogutöömahust ja mis hõlmab vähemalt järgmisi protseduure:
5.7.1. intervjuud;
5.7.2. meetmete tõhususe kontroll, sh tehniline kontroll;
5.7.3. paikvaatlused;
5.7.4. dokumentatsiooni ja tõendusmaterjali läbivaatus.
5.8. Auditi tõendusmaterjali võib auditeeritav audiitorile kas väljastada, kohapeal näidata või
selgitada intervjuu käigus (nt võrguskeem, logide analüsaator, tulemüüri reeglid, õiguste
süsteemi selgitamisel reaalsed isikupõhised näited).
5.9. Kui tõendusmaterjalidega tuleb tutvuda kohapeal, tagatakse audiitorile selleks vajalik
töökoht ja töötingimused.
5.10. Auditeeritava teenuseandjate infoturbe hindamisel tugineb audiitor oma hinnangut
kujundades teenuseandja (nt pilvteenuse tarnija) esitatud auditi käsitlusala hõlmavatele ja
turvameetmete rakendatust kinnitavatele sertifikaatidele ning vastavusauditite aruannetele.
5.11. Audit lõpeb auditi lõpparuande ja järeldusotsuse esitamisega auditeeritavale.
5
6. Auditi lõpparuanne ja auditi järeldusotsus
6.1. Lõpparuanne koosneb kahest eraldi ja juhtivaudiitori digiallkirjastatud elektroonilisest
dokumendist: auditi järeldusotsusest ja auditi lõpparuandest.
6.2. Auditi järeldusotsus peab sisaldama vähemalt järgmist:
6.2.1. auditeeritava ametlik nimetus ning auditi käsitlusalasse kuuluvate organisatsioonide
ametlik nimetus ja registrikood;
6.2.2. auditi tegemise aeg ja kestus;
6.2.3. käsitlusala;
6.2.4. üldhinnang organisatsiooni infoturbe halduse süsteemi toimimisele. Üldhinnang
sisaldab muu hulgas teavet, kas ja kui palju leiti auditi käigus lahknevusi ja sellest tulenevaid
kõrge tasemega riske;
6.2.5. audiitorettevõtte ametlik nimetus ja auditi teinud juhtivaudiitori nimi.
6.3. Auditi järeldusotsus ei või sisaldada juurdepääsupiiranguga teavet.
6.4. Auditi lõpparuanne peab sisaldama vähemalt järgmist:
6.4.1. auditi kokkuvõte, mis sisaldab juhtivaudiitori nime, auditi tegemise aega, auditi
tulemuste lühikokkuvõtet ning auditirühma üldhinnangut infoturbe halduse süsteemi
toimimisele. Auditi kokkuvõttes esitatakse ka auditi käigus kinnitust saanud positiivsed
aspektid;
6.4.2. auditi käsitlusala, sh äriprotsesside loend ja neile määratud kaitsetarve;
6.4.3. auditi metoodika, ajaplaan, auditeeritud tegevuskohad ja auditi tegemisel esinenud
piirangud;
6.4.4. auditis osalenud auditeeritava töötajate ja auditirühma liikmete nimekiri ning nende
rollide kirjeldused;
6.4.5. auditirühma hinnang IT-riskide haldusele;
6.4.6. auditirühma hinnang infoturvameetmete rakendamisele;
6.4.7. auditi leiud koos lahknevuste kirjelduste ja auditirühma lisatud riskihinnangutega;
6.4.8. auditi lõpparuande lisadena vormistatud asjakohane tõendusmaterjal.
6.5. Mitmele auditeeritavale korraga ühise auditi tegemisel käsitlevad auditi järeldusotsus ja
lõpparuanne vajaduse korral ka auditeeritavate erisusi. Kokkuleppel võib iga auditeeritava
kohta koostada eraldi järeldusotsuse, viidates otsuses auditi ühisele käsitlusalale.
6.6. Infoturbe halduse süsteemi hindamisel peab audiitorettevõte arvestama vähemalt järgmisi
aspekte:
6.6.1. süsteem vastab määruse 2. peatüki nõuetele;
6.6.2. organisatsioonis on määratud infoturbe eest vastutajad ja infoturbele on eraldatud
piisavad ressursid;
6.6.3. organisatsioonis on määratud kaitseala ja äriprotsessidega seotud varad;
6.6.4. organisatsioonis on määratud äriprotsesside nõuetelevastav kaitsetarve;
6.6.5. organisatsioonis on teostatud infoturbe haldus, sh valitud meetmed vastavad
organisatsiooni kaitsetarbele.
6
6.7. Aruandes esitatakse iga sellise auditileiu kirjeldus, lahknevus infoturbe halduse süsteemi
nõuetest, leiuga kaasneva riski kirjeldus ja auditirühma soovitus riski käsitlemiseks:
6.7.1. millest tulenevad ühele või mitmele äriprotsessile madala tasemega riskid;
6.7.2. millest tulenevad ühele või mitmele äriprotsessile kõrge tasemega riskid;
6.7.3. mille riskid üksikult võttes on väiksed, kuid mille puhul võib leidude koosmõju tõttu
asjaolude ebasoodsal kokkusattumisel kaasneda kõrge tasemega risk ühele või mitmele
äriprotsessile.
6.8. Auditirühm analüüsib meetmete mitterakendamise põhjendusi ning hindab meetmete
rakendamata jätmisest või osalisest rakendamisest tulenevaid riske järgmiselt:
6.8.1. kõrge tasemega risk – oluline lahknevus meetmetes kirjeldatu ja tegeliku olukorra
vahel. Meetmete rakendamata jätmisest tulenevate riskide realiseerumine võib tekitada suurt
kahju organisatsiooni varadele ja tegevusele. Kahju põhjustab lepingute ja õigusaktide
täitmata jätmist ning võib ähvardada äriprotsesside jätkusuutlikkust või auditeeritava
olemasolu;
6.8.2. madala tasemega risk – väheoluline lahknevus meetmetes kirjeldatu ja tegeliku
olukorra vahel. Riskide realiseerumine võib tekitada piiratud ja ohjatavat kahju auditeeritava
varadele ja tegevusele (nt lühiajalised töökatkestused).
6.9. Auditi lõpparuandes esitatakse loend auditi käigus:
6.9.1. tehtud auditiprotseduuridest ja kogutud tõendusmaterjalidest;
6.9.2. kontrollitud meetmetest.
6.10. Auditi leidude kohta on auditirühmal olemas tõendusmaterjal, auditi kontrollid peavad
olema korratavad.
6.11. Kui auditi tegemisel tuginetakse varasema infoturbe halduse süsteemi auditi tulemustele,
märgitakse auditi aruandes selgelt, millisele auditi aruandele auditirühm on tuginenud ja mil
määral.
6.12. Auditi järeldusotsuse ja auditi lõpparuande kavand esitatakse auditeeritavale seitsme
päeva jooksul pärast auditiprotseduuride lõppemist.
6.13. Auditeeritaval on õigus esitada 14 päeva jooksul kavandi kohta audiitorettevõttele
kirjalikult taasesitatavas vormis vaidlustus, sealhulgas täiendavaid tõendusmaterjale.
6.14. Vaidlustuse arvestamise korral teeb audiitorettevõte 14 päeva jooksul kavandis
asjakohased parandused. Vaidlustuse arvestamata jätmise korral lisab audiitorettevõte auditi
lõpparuandele vaidlustuse ja selle arvestamata jätmise põhjenduse.
6.15. Auditi järeldusotsus ja auditi lõpparuanne esitatakse auditeeritavale hiljemalt 14 päeva
jooksul pärast vastavalt punktis 6.13 või 6.14 sätestatud tähtaja möödumist. Auditeeritav
kinnitab auditi lõpparuande vastuvõtmise kirjalikult taasesitatavas vormis.
6.16. Kokkuleppel auditeeritavaga võib audiitorettevõte tutvustada auditi lõpparuannet
auditeeritava juhtkonnale.
7
6.17. Auditeeritav esitab järelevalveasutusele auditi järeldusotsuse hiljemalt 14 päeva jooksul
pärast auditi järeldusotsuse ja auditi lõpparuande saamist.
6.18. Kui auditi järeldusotsuses on viidatud ühele või mitmele kõrge tasemega riskile, tuleb
auditeeritaval esitada järelevalveasutusele ka auditi lõpparuanne.
7. Auditijärgsed tegevused
7.1. Auditeeritav kavandab parandusmeetmete rakendamise, määrab vastutajad ja tähtajad.
Parandusmeetmete rakendamist ja infoturvameetmete rakendamise plaani ajakohastamist
koordineerib infoturbe eest vastutav isik.
7.2. Auditeeritav kõrvaldab auditi lõpparuandes viidatud madala tasemega riski või määrab
käsitlusviisi hiljemalt järgmise auditi alguseks.
7.3. Kõrge tasemega riski on auditeeritav kohustatud kõrvaldama kuue kuu jooksul auditi
järeldusotsuse ja auditi lõpparuande saamisest arvates.
7.4. Punktis 7.3 sätestatud kohustuse täitmisest teavitab auditeeritav järelevalveasutust 14 päeva
jooksul kohustuse täitmisest arvates.
7.5. Kui auditi aruannete säilitamise tähtaeg ei tulene muust õigusaktist või eeskirjast, säilitab
auditeeritav auditi aruandeid turvaliselt vähemalt seitse aastat.
7.6. Audiitorettevõte säilitab auditi aruandeid ja seotud dokumente turvaliselt ning vastavalt
pooltevahelisele kokkuleppele. Juurdepääs dokumentidele on üksnes vastava
teadmisvajadusega isikul.
1
21.05.2026
Justiits- ja digiministri määruse „Eesti infoturbestandard“ eelnõu
SELETUSKIRI
1. Sissejuhatus
1.1. Sisukokkuvõte
Eelnõukohase määrusega uuendatakse Eesti infoturbestandardit. Eesti infoturbestandardi
(edaspidi E-ITS) siht on hoida ning edendada kübeturvalisuse seaduse subjektide ehk
teenuseosutajate infoturvet. E-ITSis on esitatud nõuded, mis aitavad organisatsioonil saavutada
oma vajadustega sobivat infoturbe taset, arvestades Eesti ja Euroopa Liidu õigusaktides
sätestatut. Uuendatud E-ITS suurendab teenuseosutaja vastutust infoturbe eest ning vähendab
riigipoolset keskset ettekirjutuste andmist. Muudatustega soovitakse edendada teenuseosutaja
äriprotsessist lähtuvat infoturvet ja parandada nõuete arusaadavust. Nõuete detailsuse
vähendamisega soovitakse anda nii teenuseosutajale kui ka riigile võimalus adekvaatsemalt ja
kiiremalt reageerida uutele tehnoloogilistele lahendustele ja infoturvalisust ohustavatele
sündmustele.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja ettevalmistamist ning koostamist on korraldanud Justiits- ja
Digiministeeriumi riikliku küberturvalisuse talitus ([email protected]) koostöös Riigi
Infosüsteemi Ametiga, lähtudes ameti ettepanekust. Vastutav ametnik on nimetatud talituse
õigusnõunik Guido Pääsuke. Eelnõu ja seletuskirja on keeleliselt toimetanud Justiits- ja
Digiministeeriumi õiguspoliitika osakonna õigusloome korralduse talituse toimetaja Merike
Koppel ([email protected]).
1.3. Märkused
Eelnõu ei ole seotud ühegi teise menetluses oleva eelnõuga ega jõustunud seadusemuudatusega.
Eelnõu on kooskõlas Euroopa Parlamendi ja nõukogu 14. detsembri 2022. a direktiivi (EL)
2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu
liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning
tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (edaspidi
küberturvalisuse 2. direktiiv), artikliga 21.
Eelnõukohase määrusega asendatakse ettevõtlus- ja infotehnoloogiaministri 16. detsembri
2022. a määrus nr 101 „Eesti infoturbestandard“ (RT I, 28.08.2025, 12) (edaspidi määrus nr
101).
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb 15 paragrahvist, mis on jaotatud nelja peatüki vahel järgmiselt:
1. peatükk – üldosa §-d 1 ja 2;
2. peatükk – infoturbe haldus §-d 3–9;
3. peatükk – seire §-d 10 ja 11;
2
4. peatükk – Eesti infoturbestandardi tugi ja rakendamine §-d 12–15.
E-ITS on osutunud tõhusaks abivahendiks Eesti turvalise digiühiskonna tagamisel ning aidanud
kaasa IT-teadlikkuse kasvule. Määrusega nr 101 kehtestatud E-ITS on mahukas õigusakt, mis
on tekitanud palju küsimusi selle rakendamise kohta, sealhulgas meetmete kohaldatavuse ja
ulatuse kohta. Kehtivas määruses on meetmed põhjalikult rakendajatele lahti kirjutatud, mille
tõttu on õigusloomeprotsess osutunud takistuseks kiirele reageerimisele uutele riskidele ning
tehniliste lahenduste kasutuselevõtmisele. See tähendab, et mõned nõuded aeguvad kiiremini,
kui neid kehtestada jõutakse. Praktikutelt saadud tagasisidest lähtuvalt on eelnõus võrreldes
E-ITSi kehtiva versiooniga vähendatud soovitatavate meetmete, riski ulatuse ja infotehnoloogia
(edaspidi IT) vahendite või neid toetava taristuga seotud ohtude, riskide ja vastumeetmete
põhist ette kirjutamist. Eelnõukohase määrusega peaks turvameetmete rakendamine
eeldatavasti muutuma arusaadavamaks, vajaduspõhiseks ning kohanduma paremini rakendaja
äriprotsessidega.
Eesti infoturbestandardi uuendamisel peeti muu hulgas silmas järgmist:
i. Eesti avaliku korra ja ühiskonna toimimine ning turvalisusega seotud olulised valdkonnad on
suurel määral seotud infotehnoloogiaga. Infotehnoloogial on ka üsna suur roll Eesti residentide
igapäevategevustes. Mistahes süsteemid on mõjutatavad või pakuvad oma suure mõju tõttu
huvi isikutele, kes võivad olla vaenulikud või pahatahtlikud nii ühiskonna kui ka indiviidi vastu.
Seetõttu on vajalik üldine, koordineeritud ja pidev võrgu- ja infosüsteemide kaitse ning
võimalike riskide hindamine ja maandamine.
ii. Infotehnoloogia ning küberkeskkond arenevad kiirelt, mis eeldab ka kiiret ning paindlikku
reageerimist võimalikele või tuvastatud ohtudele.
iii. Küberturvalisuse 2. direktiivi artikli 21 lõike 1 esimese lõigu järgi tagavad liikmesriigid, et
üliolulised ja olulised üksused võtavad asjakohased ja proportsionaalsed tehnilised,
tegevuslikud ja korralduslikud meetmed, et juhtida riske, mis ohustavad nende üksuste
tegevuses või teenuste osutamisel kasutatavate võrgu- ja infosüsteemide turvalisust, ning et
ennetada või minimeerida intsidentide mõju nende teenuste saajatele ja muudele teenustele.
iv. Küberturvalisuse seaduse (edaspidi KüTS) §-st 7 tulenevalt:
1. peab teenuseosutaja rakendama alaliselt asjakohaseid ja proportsionaalseid tehnilisi,
tegevuslikke ning korralduslikke turvameetmeid, et:
1.1. hallata riske, mis ohustavad teenuseosutaja tegevuses või teenuse osutamisel
kasutatava süsteemi turvalisust, sealhulgas koostab vastava riskianalüüsi;
1.2. ennetada või minimeerida küberintsidendi mõju teenuseosutaja osutatava teenuse
saajale ja muule teenusele;
1.3. ennetada küberintsidenti või see tuvastada ja lahendada.
2. arvestatakse turvameetmete rakendamisel:
2.1. teenuseosutaja vajadusi ja turvanõudeid;
2.2. ajakohaseid ning asjakohasel juhul Euroopa ja rahvusvahelisi standardeid;
2.3. turvameetmete rakendamise kulusid;
2.4. turvameetmete rakendamise proportsionaalsust, mille hindamisel võetakse muu
hulgas arvesse teenuseosutaja riskidele avatuse määra, teenuseosutaja suurust,
küberintsidentide esinemise tõenäosust ja nende tõsidust, sealhulgas küberintsidentide
ühiskondlikku ja majanduslikku mõju;
2.5. ohte süsteemselt ja terviklikult hõlmavat lähenemisviisi, mille eesmärk on kaitsta
süsteeme ja nende süsteemide füüsilist keskkonda küberintsidentide eest.
3
v. KüTSi § 7 lõike 5 kohaselt kehtestab Vabariigi Valitsus või tema volitatud minister määrusega
eeltoodu tagamiseks muu hulgas:
1. infoturbe halduse nõuded üldnimetusega Eesti infoturbestandard;
2. turvameetmete üldnõuded.
vi. Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide
küberturvalisuse nõuded“ (edaspidi määrus nr 121) 3. peatükk sätestab turvameetmete nõuded.
Määruse nr 121 § 3 annab üleriigilise küberturvalisuse tagamise korraldamise eest vastutavale
ministrile volituse kehtestada Eesti infoturbestandard. Samas paragrahvis on osutatud ka
teenuseosutajatele, kellele laieneb lisaks määruse nr 121 3. peatükis sätestatud turvameetmete
nõuetele ka E-ITS. Siinjuures tasub toonitada, et E-ITS hõlmab ka esmaste turvameetmete
puhul nõutut, mistõttu E-ITSi rakendades ei ole teenuseosutajal kohustust eristada esmaseid
turvameetmeid ja E-ITSi rakendamisega kaasnevaid lisameetmeid.
vii. Arvestades eeltoodut on määruse eesmärk luua avalikku sektorit, avalikku korda ning
ühiskonna toimimist olulisel määral mõjutavate teenuste osutamisel kasutatavate võrgu- ja
infosüsteemide, sealhulgas neis töödeldava teabe kaitseks kasutatavate meetmete ühtne
raamistik.
Arvestades eeltoodut, ei põhine eelnõukohase määruse jõustumisel kehtima hakkav E-ITS
enam Saksa etalonturbe süsteemil BSI IT-Grundschutz (BSIG) ja standardil EVS-ISO/IEC
27001:2014 „INFOTEHNOLOOGIA. Turbemeetodid. Infoturbe halduse süsteemid. Nõuded“
(27001). Uue E-ITSi puhul on arvestatud rakendajatelt saadud tagasisidega ning eesmärgiga
vähendada rakendamisega kaasnevat koormust. Standardmeetmete kihi kaotamisega muutub
asjakohaste meetmete väljaselgitamine ja rakendamine eeldatavalt kiiremaks. E-ITSi põhiosad
on: äriprotsesside ja varade kaitsetarbe kaardistus; vastendamine; riskihaldus ja talitluspidevus,
testimine ja kontroll. E-ITSi lahtisidumine eespool nimetatud dokumentidest loob parema
võimaluse minna valdkonnaspetsiifiliselt regulatsioonilt üle üldisemale. Võrreldavusest
loobumisega soovitakse parandada nõuete arusaadavust ka isiku jaoks, kes iga päev ei puutu
kokku IT, võrgu- ja infosüsteemide haldusega ning sellest tulenevalt ka erialase sõnavaraga.
Eelnõu koostamisel on arvesse võetud Riigi Infosüsteemi Ametile ning Justiits- ja
Digiministeeriumile laekunud tagasisidet E-ITSi kehtiva versiooni rakendamise kohta. E-ITSi
muutmise kontseptsiooni on tutvustatud seletuskirja punktis 9.1 loetletud ministeeriumitele.
1. peatükk. Üldsätted
Paragrahvis 1 nähakse ette määruse üldsätted.
Lõikes 1 sätestatakse E-ITSi käsitlusala. E-ITS käsitleb võrgu- ja infosüsteemi infoturbe haldust
ja infoturbe halduse meetmete auditeerimist.Võrreldes määrusega nr 101 E-ITSi käsitlusala ei
muutu.
Lõikes 2 esitatakse viide nendele määruse nr 121 sätetele, kus on sätestatud teenuseosutajatele
E-ITSi järgimise ulatus. E-ITS on kehtestatud Vabariigi Valitsuse antud volituse alusel ning
Vabariigi Valitsusel on KüTSist tulenevalt õigus näha ette ka turvameetmete üldnõuded, mille
puhul arvestatakse võrgu- ja infosüsteemide olulisuse ja mõjuga. Seetõttu on Vabariigi Valitsus
määrusega nr 121 ka ette näinud erandid E-ITSi rakendamisel. E-ITSi meetmeid ei pea
rakendama:
4
1. teenuseosutaja, kelle rakendatud turvameetmed vastavad rahvusvahelise standardiga
ISO/IEC 27001 või Eesti standardiga EVS-EN ISO/IEC 27001 kehtestatud nõuetele
ning seda kinnitav vastavussertifikaat on kehtiv ja esitatud Riigi Infosüsteemi Ametile.
Tasub tähele panna, et see erand kehtib vaid osas, millele on eelnimetatud standardi
kohane sertifikaat antud. Sertifikaadiga hõlmamata jäänu suhtes peab teenuseosutaja
rakendama siiski E-ITSi;
2. teenuseosutaja, kellel on majandusaasta jooksul keskmiselt alla 50 töötaja ja kelle
aastane bilansimaht või aastakäive ei ületa 10 miljonit eurot, arvestades väikeettevõtjate
määratlusi Euroopa Komisjoni soovituses 2003/361/EÜ mikro-, väikeste ja keskmise
suurusega ettevõtjate määratluse kohta (ELT L 124, 20.05.2003, lk 36–41). Siinjuures
ei ole oluline, kes on teenuseosutaja omanikud. See tähendab, et avaliku sektori osalus
ei välista erandi tegemist. Kuna see erand on seotud ettevõtlusega, siis ei laiene see
automaatselt avaliku sektori asutustele, kes võiks oma töötajate arvu ja eelarveaasta
näitajatega kehtestatud kriteeriumite alusel erandi kohaldamisalasse kuuluda;
3. teenuseosutaja, kes on valla või linna ametiasutuse hallatav asutus ja osavalla või
linnaosa ametiasutuse hallatav asutus, välja arvatud üldhariduskool, ja kellel on
kalendriaasta jooksul keskmiselt alla 50 töötaja;
4. riigimuuseumist teenuseosutaja, kellel on kalendriaasta jooksul keskmiselt alla 50
töötaja;
5. kohaliku omavalitsuse üksuste liidust teenuseosutaja, kellel on kalendriaasta jooksul
keskmiselt alla 50 töötaja.
Ülaltoodud erand ei kehti punktides 2–4 nimetatud teenuseosutajale, kui ta on avaliku teabe
seaduse kohane andmekogu vastutav või volitatud töötleja, sest KüTSi § 3 lõike 4 punkti 1 järgi
on andmekogu vastutav töötleja ja volitatud töötleja avaliku teabe seaduse tähenduses (vt § 431
ja § 434) oluline üksus. See tähendab, et tekkinud kohustus tuleneb erandina andmekogust
endast, mitte teenuseosutaja tegevusvaldkonnast. Oluline on vahet teha, et andmekogu vastutav
ja volitatud töötleja ei ole sama mis andmete vastutav või volitatud töötleja isikuandmete kaitse
üldmääruse tähenduses.
Vabariigi Valitsus on lisaks E-ITSi rakendamise kohustusest vabastamisele ette näinud ka
E-ITSi osalise rakendamise võimaluse. Osalise rakendamise korral on jätkuvalt kohustuslik
välise isiku poolne infoturbe halduse meetmete auditeerimine. Vabariigi Valitsus on
auditeerimiskohustusest vabastanud:
1. riigimuuseumi, avalik-õigusliku isiku muuseumi, valla või linna ametiasutuse, valla või
linna ametiasutuse hallatava asutuse, osavalla või linnaosa ametiasutuse, osavalla või
linnaosa ametiasutuse hallatava asutuse ning kohaliku omavalitsuse üksuste ühisameti
ja -asutuse, kui tegemist ei ole andmekogu vastutava töötlejaga või volitatud töötlejaga;
2. Haridus- ja Teadusministeeriumi hallatava asutusena tegutseva põhikooli ja
gümnaasiumi, kui tegemist ei ole andmekogu vastutava töötlejaga või volitatud
töötlejaga avaliku teabe seaduse tähenduses.
Lõikes 3 esitatakse määruse kehtestamise eesmärk (vt seletuskirja p 2 sissejuhatavat osa).
Paragrahvis 2 esitatakse kolme määruses kasutatava termini tähendus: infoturbe halduse
süsteem, infoturvameetmete rakendamise plaan (edaspidi ka IMR), organisatsioon ja äriprotsess
(vt ka seletuskirja p 4 „Eelnõu terminoloogia“).
Organisatsiooni all mõistetakse kõiki KüTSi subjekte ehk teenuseosutajaid. Kuna infoturbe
valdkonnas tähistatakse sõnaga „organisatsioon“ mistahes üksust (asutus, ettevõtja,
5
struktuuriüksus jne), mis infoturvameetmeid rakendab, siis kasutatakse eelnõus arusaadavuse
huvides sama sõna.
2. peatükk. Infoturbe haldus
Paragrahvis 3 selgitatakse infoturbe halduse süsteemi olemust. Võrreldes määrusega nr 101
on välja jäetud infoturbe halduse süsteemi toimimist kirjeldav osa (määruse nr 101 lisa 1) ning
haldussüsteemile olemuslikud olulisemad üksikasjad sätestatakse määruses endas.
Lõikes 1kirjeldatakse asjaolusid, mida organisatsioon peab infoturbe halduse süsteemi puhul
arvesse võtma. Nendeks on organisatsiooni:
tegevusvaldkond, eesmärgid, protsessid (sh äriprotsessid), protseduurid ja tavad;
õigusaktidest ning lepingutest tulenevaid õigused ja kohustused;
keskkond, kus tegutsetakse, ressursid (sh personal) ja vara.
Toimiva infoturbe halduse süsteemi ülesanne on tagada organisatsiooni jätkusuutlikkus ja
kvaliteetne teenuste osutamine. Turve keskendub teabe ja äriprotsesside kaitsmisele, millest
tuleneb vajadus kaitsta äriprotsesside toimimist tagavat infotöötlust ja ITd. Organisatsioon peab
tuvastama teenuse osutamiseks vajalikud äriprotsessid, nendega seotud varad ning määrama
kindlaks äriprotsessi ja vara kaitsetarbe, mille alusel saab riskihalduse jaoks kokku leppida
riskikriteeriumid ja neile vastavad meetmed.
Infoturbe halduse süsteemi protsesse ja sooritatavaid tegevusi on kujutatud joonisel 1. Tegevusi
võib sooritada vajadusel korraga. Infoturbe täiustamise käigus naastakse iga kord protsessi
algusesse.
Joonis 1. Infoturbe halduse süsteemi elutsükkel
Allikas: Riigi Infosüsteemi Amet
6
Võrreldes E-ITSi kehtiva versiooniga on loobutud erinevatest skaaladest (nt kõrge, keskmine,
madal), sest normiga ei ole võimalik piiritleda kõikvõimalikke olukordi ja lahendusi, mis
võivad organisatsioonides esineda. Organisatsioonil võib olla erinevaid kohustusi, need võivad
tuleneda erinevatest õigusaktidest. Neist mõnes on võib olla juba kirjeldatud ka riskihalduse
nõudeid, mistõttu ei ole mõistlik E-ITSiga neid nõudeid sätestada. Seega jäetakse edaspidi
organisatsiooni enda otsustada, kuidas riske hinnata ja millist skaalat kasutada.
Võrreldes kehtiva versiooniga on alles jäetud vaid kaitsemeetmed ja infoturbe halduse süsteemi
raamistik ning loobutud on haldussüsteemi detailsest kirjeldamisest, küll aga on Riigi
Infosüsteemi Ametile jäetud võimalus avaldada seni määruse nr 101 lisas 1 olnud teave samas
ulatuses juhendmaterjalina veebilehel.
Lõikes 2 nimetatakse rollid, mis on vajalikud infohalduse süsteemi toimimiseks. Roll ei
tähenda, et seda peab täitma sama ametinimetusega töötaja, vaid tegemist on tegevustega,
millega organisatsioon peab arvestama. Nendeks rollideks on:
äriüksuse juht – korraldab varade arvestuse, kaitsetarbe määramise ja kaitsetarbe
saavutamiseks vajalike meetmete rakendamise regulaarse seire;
infoturbejuht – koordineerib ja nõustab turvameetmete rakendamist, sealhulgas
koolituste formaadi valimist;
hankejuht – jälgib, et vara ja teenuste turvameetmed on kogu nende elutsükli ulatuses
plaanitud uue vara ja teenuste hankimise etappi juba selle kavandamise käigus;
kasutaja – järgib tema kasutusse antud vara kasutamise korda, läbib regulaarselt
infoturbekoolitusi, reageerib intsidentidele kokkulepete kohaselt, sealhulgas korraldab
küberintsidentidest teavitamist.
Hankejuhi all ei mõisteta eelnõus ostujuhti või riigihanke eest vastutajat. Hankejuhi ülesanne
on kontrollida, kas turvameetmed on planeeritud kogu elutsüklis (nii teenuste kui ka varade
puhul), enne kui mõni uus teenus kasutusele võetakse või võrgu- ja infosüsteemi turvalisuse
tagamisega seotud tegevusi tehakse. Näiteks peab ta välja selgitama vajaduse
tulekustutussüsteemi järele serveriruumis, nii et õnnetuse korral ei oleks tagatud mitte ainult
tuleohutus, vaid ka teabe säilimine. Hankejuhi rollis ei pea olema üks töötaja, vaid seda rolli
võib täita mitu töötajat.
Kasutaja rolli täidavad kõik organisatsioonis võrgu- ja infosüsteemi kasutavad töötajad.
Kasutajatele võib ette näha erinevaid võrgu- ja infosüsteemile juurdepääsu ja teabe töötlemise
õigusi.
Määruse nr 121 § 5 lõike 1 kohaselt peab organisatsioon kaardistama võrgu- ja infosüsteemid
ning nendega seotud teenused või protsessid ja dokumenteerima süsteemidele rakendatavad
turvameetmed ja riskianalüüsi. Sellest tulenevalt nähakse lõikes 3 ette infoturbe halduse
süsteemiga seotud teave, mis tuleb säilitada. Säilitamise kohustus nähakse ette osas, mis on
seotud võrgu- ja infosüsteemi turvameetmete rakendamisega ning riskide ja nende
vastumeetmete rakendamisega, seega tuleb säilitada järgmisi andmeid ja dokumente:
infoturbe halduse süsteemi alusdokumendid ja otsuste kulg;
infoturvasündmused ja organisatsiooni reaktsioon neile;
infoturvameetmete rakendamise plaan ja selles sisalduvad riski aktsepteerimise
otsused.
Määruse nr 121 § 5 lõike 2 kohaselt säilitatakse dokumentatsiooni vähemalt seitse aastat alates
selle koostamisest.
7
Paragrahvis 4 sätestatakse organisatsiooni juhatuse roll infoturbe halduse süsteemi
korraldamises. Organisatsiooni äriprotsesside toimimise eest vastutab juhatus, sellest tulenevalt
vastutab juhatus ka äriprotsesse ohustavate sündmuste käsitlemise, sh infoturbe halduse
süsteemi toimimise eest (lõige 1). Juhatuse kaasatus tagab infoturbe lõimituse kaitseala kõigisse
protsessidesse ja infoturbe jätkusuutlikkuse ning juhatusel on õigus määrata prioriteete,
kehtestada poliitikaid ja eraldada ressursse.
Juhatuse all tuleb lähtuvalt KüTSi §-st 61 mõista eraõigusliku juriidilise isiku või avalik-
õigusliku isiku juhtorganit, kohaliku omavalitsuse üksuse täitevorganit (valla- või
linnavalitsus), riigi ametiasutuse juhti, kohaliku omavalitsuse üksuse ametiasutuse juhti,
valitsusasutuse hallatava asutuse juhti, valla või linna ametiasutuse hallatava asutuse juhti,
sihtasutuse juhatust, riigi tulundusasutuse juhtimisorganit ja füüsilisest isikust ettevõtjat. Kui
juhatus on mitmeliikmeline, siis on mõistlik, et põhivastutus pannakse kokkuleppel ühele
liikmetest. Infoturbe halduse süsteemi rakendamise korraldamisel on juhatusel ka õigus jaotada
ära rollid (vt ka § 3 lg 2 selgitus) ning vastutusalad konkreetsemalt (edasivolitamine, ülesannete
kehtestamine jne). Juhatusel on õigus organisatsiooni tööd korraldava organina ka otsustada,
milliseid rakendusplaanis kavandatud meetmete rakendamata jätmisest tulenevaid riske
aktsepteeritakse ja milliseid mitte, arvestades võimalikku mõju äriprotsessi kaitsetarbele (lõige
2).
Selleks, et juhatus saaks täita talle antud ülesannet infoturbe halduse süsteemi korraldamisel,
peab juhatusele olema tagatud regulaarne ja vajadusel operatiivne juurdepääs järgmisele
teabele:
riskid ning nende võimalik mõju ja kulu;
toimunud küberintsidentide mõju äriprotsessidele;
õigusaktidest ja lepingutest tulenevad nõuded ja nende muudatused;
infoturbe hetkeseis ja infoturvameetmete rakendamise plaani täitmine.
Teabe liikumise protseduurid kehtestab organisatsioon ise (lõige 3).
Paragrahvi 5 lõikes 1 käsitletakse infoturvapoliitikat. Infoturvapoliitika (inglise keeles
information security policy) koosneb organisatsiooni väärtuste ja varade kaitse
juhtpõhimõtetest. See sisaldab infoturbe põhimõtteid ja kohustumust: miks ja millistel
põhimõtetel kaitstakse organisatsiooni varasid, sh andmeid ning võrgu- ja infosüsteeme
küberohtude eest. Infoturvapoliitika määrab kindlaks infoturbe lähtealused, infoturbe üldised
eesmärgid (inglise keeles security goal), sellega seotud rollid ja vastutusalad, turbe rakendamise
korralduslikud alused, intsidentide käsitlemise ning turbeprotsessi hindamise ja täiustamise
põhimõtted ning uuendamise regulaarsuse. Infoturvapoliitika alusel luuakse täpsemad
alampoliitikad, eeskirjad, juhendid, protseduurireeglid ja tehnilised lahendused.
Infoturvapoliitika ei pea olema koondatud vaid ühte dokumenti, kuid põhidokument peaks
selguse huvides sisaldama viiteid seotud dokumentidele. Organisatsiooni selleteemaline tekst
ei pea kohustuslikus korras kandma pealkirja „infoturvapoliitika“, vaid seda võib nimetada ka
muud moodi või see võib ka olla muu dokumendi osa.
8
Joonis 2. Infoturvapoliitika põhilised elemendid
Allikas: Riigi Infosüsteemi Amet
Organisatsiooni kaitstavad väärtused tuletatakse üldisest keskkonnast ja organisatsiooni
põhieesmärkidest. Põhieesmärgid tulenevad ettevõtte puhul ärieesmärkidest, avaliku sektori
asutuse puhul põhikirjast või põhimäärusest. Organisatsiooni väärtustena võetakse arvesse
vähemalt järgmist:
a) toimingute, sh teabekäitluse usaldatavus (käideldavus, terviklus, konfidentsiaalsus);
b) organisatsiooni sisemine ja väline maine;
c) investeeringud tehnoloogiasse, teabesse, tööprotsessidesse ja teadmusesse;
d) töödeldava informatsiooni väärtus ja kaitse vajadus, sh isikuandmed;
e) õigusaktide, eeskirjade, standardite ja lepingute nõuete täitmine;
f) inimeste füüsiline ja vaimne heaolu.
Organisatsiooni väärtused on aluseks kaitsetarbe määramisele.
Organisatsiooni infoturvapoliitika koostamisel tuleks arvestada:
a) organisatsiooni eesmärke ja strateegiat;
b) organisatsiooni kaitseala;
c) organisatsiooni struktuuri;
d) organisatsiooni olemasolevaid haldussüsteeme, nt kvaliteedihaldus, riskihaldus,
keskkonnahaldus;
e) õigusalaseid raamtingimusi, sh kohalikud ja rahvusvahelised õigusaktid, valdkondlikud
määrused;
f) klientide, tarnijate, partnerite ja muude huvipoolte nõudeid, sh lepingulisi;
g) tegevusala turvastandardeid ja -praktikaid.
Infoturvapoliitika kinnitab juhtkond. Infoturvapoliitika on soovitatav teha teatavaks töötajatele
ning vajadusel teistele huvipooltele. Infoturvapoliitika tuleks vähemalt korra kalendriaastas või
oluliste muudatuste korral üle vaadata ja vajadusel ajakohastada. Lõikes 2 ette nähtud iga-
aastase ülevaatamise kohustus on tingitud teadmisest, et IT-valdkond muutub kiirelt, mistõttu
peaks organisatsioon vähemalt korra aastas mõtlema, kas infoturbe halduses tuleb midagi muuta
või ei. Säte ei eelda, et iga aasta kinnitatakse uus infoturvapoliitika või selle muudatused.
Muudatust ei ole vaja teha, kui on selge, et selle järele puudub vajadus.
Paragrahv 6. KüTSi § 7 lõikest 1 tulenevalt peab organisatsioon rakendama asjakohaseid ja
proportsionaalseid tehnilisi, tegevuslikke ning korralduslikke turvameetmeid, et:
1) hallata riske, mis ohustavad tema tegevuses või teenuse osutamisel kasutatava võrgu- ja
infosüsteemi turvalisust, sealhulgas koostama vastava riskianalüüsi;
2) ennetada või minimeerida küberintsidendi mõju osutatava teenuse saajale ja muule teenusele;
9
3) ennetada küberintsidenti või see tuvastada ja lahendada.
See tähendab, et organisatsioonis peab olema toimiv riskihaldus.
Organisatsioon otsustab ise oma vara ja teabe (isikuandmed ja ärisaladus, sh tundlikud
tehnoloogiad ja muu intellektuaalomand) kaitsmise vajaduse ja meetmed ohtudest avalduva
riski alusel.
Mistahes meetmete rakendamisel jääb mingi risk alati alles ning organisatsioon peab otsustama,
kas selline tuvastatud jääkrisk on aktsepteeritav või ei, st kas ta on nõus sellist riski taluma.
Seejuures tuleb arvestada, et organisatsiooni riskitaluvus võib eri olukordades olla erinev.
Riskihaldus hõlmab ka rohkemate kaitsemeetmete kavandamist tulevikus tekkida võiva riski
maandamiseks, näiteks tehnoloogilist arengut silmas pidades. Ühtlasi tuleb kehtestada kahju
vähendamise meetmed juhuks, kui vara või teavet ei ole enam võimalik kaitsta. Riskihalduse
üldised etapid ja tegevused on esitatud tabelis 1.
Tabel 1. Riskihaldus
Riskihalduse etapp
Tegevus
Ohuhinnang
Millised ohud organisatsioonile avalduvad? Kelle või mille eest kaitstakse?
Riskihinnang Millist kahju vara või teabe kahjustamine põhjustab? Millisel tasemel tuleks vara või teavet kaitsta?
Kaitsemeetmed Millised peavad olema kaitsemeetmed üldiselt? Millised peavad olema kaitsemeetmed konkreetsel juhul?
Jääkrisk Millised riskid jäävad pärast meetmete rakendamist alles? Kas maandamata risk on aktsepteeritav?
Lisameetmed Kuidas tulevikus tekkida võivaid riske maandada? Millised kahju vähendamise meetmed on vajalikud?
Protsessi kordamine Kas ohu- või riskihinnang on muutunud või muutub tulevikus? Milliseid uusi kaitsemeetmeid tuleb kasutusele võtta või kavandada?
Allikas: Justiits- ja Digiministeerium
Lõikes 1 sätestatakse, et enne riskihaldusmetoodika koostamist tuleks organisatsioonis võtta
arvele varad (sh IT-vara) ja määrata kindlaks nende kaitseala. Kaitseala tuleb kindlaks määrata
ning vajaduse korral ajakohastada ka jooksvalt soetatava vara puhul.
Lõike 2 järgi seotakse turvariskihaldus äririskide halduse protsessiga. Riskihaldusmetoodika
peab sisaldama vähemalt järgmist:
äriprotsessidele mõju avaldavate ohtude tuvastamine, arvestades teabe
konfidentsiaalsust, autentsust, terviklust, käideldavust;
vara ja protsessi vastendamine infoturbekataloogi moodulitega;
infoturvameetmete rakendamise plaani täitmise otsused, sealhulgas riskide hindamine.
10
Organisatsiooni riskihaldusmetoodika peab tagama protsessi korratavuse ja võrreldavuse,
võimaldades ülevaadet rakendatud meetmete seisust ning infoturvariskide haldamisest
tervikuna.
Mistahes riskihinnang hakkab aeguma kohe pärast selle koostamist, mistõttu on riskihaldus
pidev protsess. Seega peab organisatsioon regulaarselt uuesti läbi mõtlema, milliste ohtude eest,
millisel määral ja milliste kaitsemeetmetega end ja oma teavet kaitsta.
Paragrahvis 7 kirjeldatakse infoturbekataloogi olemust. Infoturbekataloog on organisatsiooni
kahjustada võivate ohtude kaitseks võetavate meetmete loend. Infoturbekataloogi moodulid on
jaotatud protsessimooduliteks ja süsteemimooduliteks. Organisatsioon määrab igale kaitstavale
varale või varade koondile turvameetmed. Infoturbekataloog on esitatud määruse lisas.
Võrreldes kehtiva E-ITSi määrusega on märgatavalt vähendatud kataloogi detailsust, jättes
sellega organisatsioonidele suurema vabaduse asjakohaste ja efektiivsete meetmete valimisel
ning organisatsiooni tegevusest lähtuvate riskide kirjeldamisel.
Paragrahvis 8 käsitletakse infoturvameetmete rakendamise plaani. Infoturvameetmete
rakendamise plaan (edaspidi ka IMR) on ühest või mitmest dokumendist koosnev juhend, kus
kirjeldatakse, kuidas organisatsioonis teavet ja vara kaitsta ning võimalikke riske ennetada.
IMRis esitatakse kokkulepitud turvameetmed ja rollid ning käitumisjuhised erinevateks
olukordadeks.
Lõiked 1–6. IMRi koostatakse infoturbekataloogi abil, valides välja asjakohased osad ning
kirjeldades kaitsemeetmeid. Organisatsioon võib riskihalduse põhjal lisada uusi meetmeid.
Erinevalt E-ITSi kehtivast versioonist töötab organisatsioon välja oma meetmed ja hindab
nende rakendamist ning mõju ise ilma määrusepoolse ettekirjutuseta. See võimaldab
organisatsioonil välja töötada sobivaima meetmete komplekti, mis vastab organisatsiooni
kaitsevajadustele. Kasutatavad protsessimoodulid ja süsteemimoodulid lõimitakse
organisatsiooni infoturbe haldusse. Kaitseala varasid vastendatakse süsteemimoodulitega ja
luuakse neile turvameetmete komplektid. Protsessimoodulite meetmed lõimitakse
organisatsiooni igapäevasesse töökorraldusse.
Organisatsioon määrab meetmete rakendamise prioriteedid kaitsetarbe, turbeviisi, meetmete ja
varade omavahelise sõltuvuse, vara elutsükli ja infoturbe eesmärkide alusel. Riski kaalutlemise
tulemusel lisanduvaid riskikäsitlusmeetmeid kirjeldatakse IMRis. IMRi pidev haldus on
riskihalduse protsessi osa. Ülevaade IMRist ja meetmete rakendamise hetkeseisust on osa
juhtkonnale regulaarselt esitatavatest aruannetest.
Kui üksiku meetme rakendamata jätmisest tulenev risk ei ületa organisatsioonis kehtivat
riskitaluvuspiiri või on risk maandatud alternatiivsete või kompenseerivate turvameetmetega,
on lubatav jätta infoturbekataloogi meede rakendamata ja sellest tulenevat riski aktsepteerida.
Riski aktsepteerimise otsused dokumenteeritakse IMRis ja vaadatakse regulaarselt üle.
Lõigetes 7–9 on võrreldes E-ITSi kehtiva versiooniga selgemalt sätestatud organisatsiooni
kohustus hinnata ka sõltuvust välistest isikutest teenuse osutamisel või äriprotsessides
(organisatsiooniväline tarneahel). Ka sellisel juhul peab organisatsioon võtma kasutusele
mõistlikud meetmed, et olla teadlik tarneahelaga seotud riskidest. Näiteks veendumaks, et ka
tarnija rakendab turvameetmeid, võib küsida asjakohase sertifikaadi olemasolu või
enesehindamise tulemusi. Kui välise isiku puhul ei ole selge, milliseid meetmeid ta rakendab
või kas tema teenust on hinnatud, siis tasub organisatsioonil kaaluda välise isiku vahetust või
11
kasutatava teenuse puhul rohkemate riskimeetmete rakendamist, sh teenuse kasutusulatuse
piiramist.
Paragrahvis 9 nähakse ette personali turvameetmete rakendamise alase koolitamise vajadus.
Organisatsioon peab kooskõlas infoturvapoliitika eesmärkidega tagama kõigi töötajate, sh
juhatuse liikmete infoturbealase koolitamise ja teadmiste täiendamise. Koolitusel lähtutakse
töötaja ülesannetest ja seotusest rakendatavate turvameetmetega. Regulaarsete infoturvet
käsitlevate koolituste eesmärk on motiveerida töötajaid järgima infoturvanõudeid, käsitlema
teavet ja käsitsema töövahendeid korrektselt, vältima riskikäitumist ja asjakohaselt reageerima
mistahes intsidentidele, sealhulgas teadma, kuidas intsidente ennetada ja avastada.
Koolitus ei pea olema loengupõhine, lubatud on kasutada ka muid meetodeid, näiteks
perioodiliste testide tegemist. Koolitus ei pea olema kogu personalile samasugune, vaid
koolitamisel võib lähtuda töötaja rollist, seotusest võrgu- ja infosüsteemi ning selle kaitsega
jne.
3. peatükk. Seire
Paragrahv 10. Eelnõu koostamise käigus vaadati üle määruse nr 101 lisas sätestatud
auditeerimiseeskiri.
Võrreldes E-ITSi kehtiva versiooniga ei ole enam auditi osana sätestatud eelauditit, vaheauditit
ja järelauditit. Nimetatud osade asemel nähakse eelnõus (lõige 1) ette organisatsioonisisene
hindamine. Organisatsioonisisene hindamine on organisatsiooni pidev kontroll, mille käigus
hinnatakse, kas organisatsioonis on:
1) kindlaks määratud äriprotsessid;
2) kaardistatud äriprotsessidega seotud varad;
3) tuvastatud välised infoturvanõuded, sealhulgas õigusaktid ja lepingud;
4) määratud kaitsetarve;
5) vastendatud infoturbekataloogi moodulid kaitseala varaga;
6) kehtestatud riskihaldusmetoodika;
7) koostatud infoturvameetmete rakendamise plaan;
8) rakendatud ja seiratud infoturvameetmeid vastavalt infoturvameetmete rakendamise plaanis
esitatud tähtaegadele;
9) kõrvaldatud auditite ja hindamiste käigus tuvastatud puudused.
Järelauditi asemel peab organisatsioon auditi lõpparuandest tulenevalt kavandama
parandusmeetmete rakendamise, määrama vastutajad ja tähtajad. Parandusmeetmete
rakendamist ja infoturvameetmete rakendamise plaani ajakohastamist koordineerib infoturbe
eest vastutav isik. Organisatsioonisisese hindamise käigus hinnatakse kavandatud meetmete
rakendamist ja tulemuslikkust.
Lõige 2. Organisatsioonisisest hindamist võib teha organisatsiooniga töö- või teenistussuhtes
olev isik või organisatsiooniväline isik. Muudatus võimaldab organisatsioonil lähtuda oma
võimalustest ja vajadustest. Näiteks võib organisatsioon kasutada hindamiseks siseaudiitorit või
kui organisatsiooni suurus või ülesehitus ei võimalda hindajat palgal hoida, siis on võimalik ka
teenust sisse osta. Sealhulgas ei ole välistatud, et hindamist tehakse kahasse kahe või enama
organisatsiooniga, kes on oma olemuselt seotud. Oluline on, et hindaja ise ei ole turvameetmete
rakendaja, st on selle suhtes erapooletu.
Lõikes 3 sätestatakse, et organisatsioonisisese hindamise käigus tuvastatud puudused ning
eelmise auditi järel kavandatud parandusmeetmed peaksid olema vastavalt kas kõrvaldatud või
rakendatud. Sealhulgas arvatakse selle hulka ka riskide põhjendatud aktsepteerimist. Välise
12
isiku hinnang annab organisatsiooni klientidele ja partneritele teavet organisatsiooni infoturbe
halduse süsteemi jätkusuutlikkuse ja infoturvalisuse ohtudele vastupanuvõime kohta. Näiteks
rahvusvahelise standardi ISO/IEC 27001 järgimine eeldab auditeerimist, mille tulemusel
väljastatakse vastav sertifikaat. Selle sertifikaadi olemasolu võivad eeldada võimalikud
koostööpartnerid enne koostöö alustamist. Samas võib sertifikaat kehtida vaid kindla teenuse
või tegevuse kohta.
Paragrahvis 11 kirjeldatakse auditeerimise eesmärki, mis seni oli nimetatud kehtiva E-ITSi
määruse lisas. Auditeerimine on osa turvameetmete rakendamise protsessist, mille käigus
väline isik annab sõltumatu hinnangu tehtule ja kirjeldab avastatud puudujääke.
Auditi võib teha koos teise organisatsiooniga. Ühisaudit või teise organisatsiooni nimel auditi
tellimine on ennekõike asjakohane juhul, kui eri organisatsioonide info- ja
kommunikatsioonitehnoloogia (edaspidi IKT) taristu haldamine ja majutamine on üle antud
kesksele organisatsioonile. Samas ei ole välistatud ka muud võimalused ühishanget teha. Küll
aga peab auditi lõpparuanne sisaldama teavet iga auditi subjekti kohta. IKT-taristu haldamine
ja majutamine kolmanda organisatsiooni kaudu ei mõjuta auditi subjekti kohustust E-ITSi
järgida, mille täitmist audit kontrollib.
Organisatsioonipoolset auditi tellimist, auditiga kaasnevaid kohustusi, auditi kvaliteedi
hindamist ning audiitoripoolset auditi kavandamist, tegemist ja selle kohta aruande koostamist
on kirjeldatud auditeerimiseeskirjas, mis kehtestatakse määruse lisana.
Peatükis kirjeldatud tegevuste ajajoon on esitatud joonisel 3.
Joonis 3. Seire ajajoon
Allikas: Justiits- ja Digiministeerium
4. peatükk. Eesti infoturbestandardi tugi ja rakendamine
Eelnõuga kavandatakse märgatavalt vähendada määruse nr 101 regulatiivset osa, suurendades
seeläbi info- ja võrgusüsteemide turvameetmete rakendamise paindlikkust ning parandades ka
efektiivust, võimaldades organisatsioonil ise valida ja kujundada asjakohaseid turvameetmeid.
Eri organisatsioonid vajavad siiski endiselt tuge ja nõu meetmete rakendamisel võrgu- ja
infosüsteemide kaitseks. Selleks nähakse paragrahvis 12 ette riigi tugitegevused E-ITSi
organisatsioonisisene hindamine
selgitada välja, kas puudused, sh eelmisest auditist
tulenevad puudused, on kõrvaldatud või jääkrisk aksepteeritud
audit
1. aasta 2. aasta 3. aasta 4. aasta/ 1. aasta >
S e ir
e t e ge
vu se
d
13
rakendamisel. Küberturvalisuse valdkonnas teeb riiklikku ja haldusjärelevalvet Riigi
Infosüsteemi Amet. Eelnõukohases määruses sätestatakse, et E-ITSi rakendamise toetamiseks
ja ühtlustamiseks loob amet asjakohase veebilehe või rakenduse. Veebilehe loomise nõue ei ole
uus, sest ka kehtiva E-ITSi rakendamise toetamiseks on Riigi Infosüsteemi Amet loonud
rakendamist toetava veebikeskkonna.1 Veebilehel saab amet avaldada ajakohaseid juhiseid
turvameetmete rakendamiseks või selgitada, kuidas, miks ja millele tähelepanu pöörata.
Veebileht toetab määrust, kuid sel ei ole iseseisvat õigusjõudu. Seal avaldatud teave toetab
organisatsioone, kuid samas jääb igale organisatsioonile vabadus rakendada soovitatust erinevat
meedet või võtta kasutusel mõni teine organisatsiooni äriprotsessidega sobivam meede või jätta
meede üldse rakendamata, kui selleks puudub vajadus. Veebileht võimaldab Riigi Infosüsteemi
Ametil kiiremini teavitada organisatsioone uutest ohtudest ja riskidest ning pakkuda uusi
tehnoloogilisi lahendusi jne.
Eelnõukohane määrus sätestab ka E-ITSi järgimist toetavate rakenduste kasutusele võtmise
võimaluse. Kavandatav rakendus peaks parandama eelkõige väiksemate organisatsioonide
võimekust omada ülevaadet oma võrgu- ja infosüsteemide kaitsega seotud riskidest ning
puudujääkidest, sest erinevalt suurtest organisatsioonidest puudub väiksemates
organisatsioonides sageli ainult infoturbega tegelev töötaja (infoturbejuht) või ostetakse
infoturbeteenust sisse. Näiteks Riigi Infosüsteemi Amet arendab Eesti infoturbestandardi
järgimiseks tugirakendust, mis aitab rakendajal luua vajaduspõhist turvameetmete rakendamise
plaani, seejuures vähendada vigu meetmete valimisel, ja suunab rakendaja kohe meetmeid
rakendama.2
Paragrahv 13. Eelnõukohase määrusega on ette nähtud E-ITSi kehtiva versiooni kehtetuks
tunnistamine, mistõttu nähakse ette kolmeaastane üleminekuperiood. Perioodi pikkuse
määramisel on arvestatud senise auditeerimise välbaga. Eelnõukohase määruse jõustumise
korral ei ole ühelgi organisatsioonil kohustust alustada turvameetmete ülevaatamist või jätta
pooleli juba toimuv audit. Eelnõukohase määrusega väheneb asjaomaste sätete hulk, kuid ei
muudeta vajadust kaitsta võrgu- ja infosüsteeme. Seega on kehiva määruse alusel tehtud audit
asjakohane ka pärast uue määruse kehtima hakkamist. Turvameetmete rakendamine ja riskide
hindamine on pidev protsess, seega on ka organisatsioonipoolne meetmete kohandamine pidev
protsess.
Paragrahvis 14 nähakse ette määruse nr 101 (RT I, 28.08.2025, 12) kehtetuks tunnistamine
eelnõukohase määruse jõustumisel. Määrus jõustub paragrahvi 15 kohaselt 1. augustil 2026
(vt ka seletuskirja p 7 „Määruse jõustumine“).
Eelnõul on kaks lisa:
lisa 1 „Infoturbekataloog“,
lisa 2 „Auditeerimiseeskiri“.
3. Eelnõu terminoloogia
Eelnõukohases määruses esitatakse nelja määruses kasutatava termini määratlus:
infoturbe halduse süsteem – riskide hindamisel, käsitlemisel ja aktsepteerimisel põhinev
teenuseosutaja süsteemse kaitsmise ning infoturbe rajamise, teostamise, seire, läbivaatamise ja
täiustamise süstemaatilise käsitlemise viis;
1 https://eits.ria.ee/ 2 https://eits.ria.ee/et/abimaterjalid/tugirakendus
14
infoturvameetmete rakendamise plaan – organisatsioonikeskne struktureeritud ühest või
mitmest dokumendist koosnev juhend turvameetmete haldamiseks;
organisatsioon – teenuseosutaja küberturvalisuse seaduse tähenduses;
äriprotsess – organisatsiooni tegevuse osa, mingi eesmärgi saavutamiseks
rakendatavate inimeste, aja, finants- ja töövahendite (edaspidi koos ressursid), tegevuste,
toimingute või protseduuride kogum, mille tulemusel valmib toode või teenus.
4. Eelnõu vastavus Euroopa Liidu õigusele
Määrus vastab Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiivi (EL)
2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu
liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning
tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv), artiklile 21.
Eelnõu ei ole seotud Euroopa Liidu õiguse ülevõtmisega.
5. Määruse mõjud
Eelnõukohane määrus mõjutab majanduskeskkonda ning riigivalitsemist.
Eelnõukohase määruse jõustumisel väheneb olulisel määral nende võrgu- ja infosüsteemide
infoturvet kirjeldavate sätete hulk, mille arvestamist või arvestamata jätmist peab põhjendama.
Mõjuvaldkond: halduskoormus (majanduslik), mõju kohaliku omavalitsuse korraldusele ja
finantseerimisele ning keskvalitsuse korraldusele (riigivalitsemine)
Mõju sihtrühm: KüTSi subjektid, kellel on määrusest nr 121 tulenev kohustus rakendada E-
ITSi.
Avalduv mõju ja mõju olulisus
Eelnõukohase määruse jõustumisel keskendub E-ITS senisest enam turvameetmete
vormikohasuse asemel nende ajakohasusele, mille tulemusena muutub organisatsioonide
küberturbe korraldamine efektiivsemaks ning vajaduspõhisemaks. Organisatsioonidel on
edaspidi paremad võimalused keskenduda asja- ja ajakohaste meetmete rakendamisele.
Pikemas perspektiivis peaks eelnõukohase määruse rakendamine vähendama organisatsioonide
haldus- või töökoormust, sest uue määrusega vähendatakse välise auditi kasutamise kohustuse
ulatust ning ettekirjutavate normide hulka.
Järeldus mõju olulisuse kohta: eelnõukohase määruse jõustumisel suureneb paindlikkus
võrgu- ja infosüsteemide turvameetmete valimisel ja rakendamisel. See võimaldab kiiremini
reageerida tehnoloogiamuutustele ja võimalikele kaasnevatele riskidele. Muudatus toetab
eeldatavalt efektiivsemalt digiühiskonna toimimist. Seega määruse üldine mõju on positiivne,
kuid üksiku organisatsiooni seisukohast siiski väike, sest ei eelda vahetult uusi tegevusi ega sea
ka uusi kohustusi.
6. Määruse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud
Eelnõukohase määrusega ei kehtestata organisatsioonidele uusi kohustusi, küll aga võib see
tänu auditeerimisprotsessi muudatustele veidi vähendada kulu. Eelnõukohase määruse
jõustumisega ei kaasne riigi ja kohaliku omavalitsuse üksuse eelarvele lisakulu ega -tulu.
15
7. Määruse jõustumine
Määrus jõustub 1. augustil 2026. Jõustumisaja kehtestamisel on arvestatud Riigi Infosüsteemi
Ameti vajadust vaadata üle haldus- ja riikliku järelevalvega seotud dokumentatsioon ning
avaandmed ning viia need muudatustega kooskõlla. Riigi Infosüsteemi Amet peab ka
ajakohastama oma veebilehel oleva teabe ning tegema selle kättesaadavaks rakendajatele.
8. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
9.1. Eelnõu esitakse eelnõude infosüsteemi kaudu kooskõlastamiseks Haridus- ja
Teadusministeeriumile, Kliimaministeeriumile, Kultuuriministeeriumile, Majandus- ja
Kommunikatsiooniministeeriumile, Regionaal- ja Põllumajandusministeeriumile,
Rahandusministeeriumile, Siseministeeriumile, Sotsiaalministeeriumile, Välisministeeriumile,
Riigikantseleile ning Eesti Linnade ja Valdade Liidule.
9.2. Eelnõu saadetakse arvamuse avaldamiseks Riigikogu Kantseleile, Vabariigi Presidendi
Kantseleile, Riigikohtule, Eesti Pangale, Finantsinspektsioonile, Riigi Infosüsteemi Ametile,
Riigi Info- ja Kommunikatsioonitehnoloogia Keskusele, Andmekaitse Inspektsioonile ning
Registrite ja Infosüsteemide Keskusele.
9.3. Eelnõu saadetakse arvamuse avaldamiseks Eesti Haiglate Liidule, Eesti Perearstide
Seltsile, Eesti Vee-ettevõtete Liidule, Eesti Kiirabi Liidule, Ravimitootjate Liidule, Eesti
Proviisorapteekide Liidule, Eesti Apteekrite Liidule, Eesti Elektritööstuse Liidule, Eesti
Jõujaamade ja Kaugkütte Ühingule, Eesti Gaasiliidule, Eesti Transpordikütuste Ühingule, Eesti
Infotehnoloogia ja Telekommunikatsiooni Liidule, Eesti Kaubandus-Tööstuskojale, Eesti
Põllumajandus-Kaubanduskojale, Eesti Esmatasandi Tervisekeskuste Liidule ja Eesti
Infosüsteemide Audiitorite Ühingule.
1
Justiits- ja digiministri PP.KK.2026. a
määruse nr „Eesti infoturbestandard“
lisa 1
Infoturbekataloog
Tabel 1. Protsessimoodulid
Protsessimoodulid
GRC. Turbehaldus
GRC.1. Infoturbe haldus
üldiselt
Esitada infoturbe halduse süsteemi rajamise ja täiustamise
meetmed ning turbekontseptsiooni väljatöötamise juhised
GRC.2. Infoturbe
korraldus
Esitada meetmed infoturbe korralduse sobitamiseks
organisatsiooniga ning infoturbe haldamiseks. Käsitletakse
infoturbeprotsesside haldust ja infoturbeülesandeid
organisatsioonis
GRC.3. Varade haldus
Esitada meetmed, mis tagavad organisatsiooni varade kaitse ja
halduse kogu vara elutsükli vältel ning toetavad varade tervikluse
säilitamist ja asutuse turvalist toimimist
GRC.4. Isikuandmete
kaitse
Esitada meetmed füüsilise isiku kui andmesubjekti põhiõiguste
kaitseks isikuandmete töötlemisel
GRC.5. Krüptograafia Esitada krüptograafilise vahendi kasutamise korralduslikud
meetmed ning krüptokontseptsiooni koostamise juhised
GRC.6. Vastavuse haldus
Esitada organisatsiooni eesmärkidel, õigusaktidel, lepingutel ja
poliitikatel põhinevate turvanõuete kehtestamise ja järgimise
meetmed
GRC.7. Audit ja läbivaatus
Esitada infoturbe auditi ja sõltumatu läbivaatuse tegemise üldised
juhised, et täiustada organisatsiooni infoturvet, vältida soovimatuid
suundumusi valdkonnas ja optimeerida turvameetmeid ja -
protsesse
ORP. Organisatsioon ja personal
ORP.1. Identiteedi- ja õiguste haldus
ORP.1.1. Identiteedi- ja
õiguste haldus üldiselt
Esitada identiteedi- ja õiguste halduse korraldamise meetmed. Nii
kasutajad kui infotehnoloogia (edaspidi IT) komponendid peavad
saama juurdepääsu üksnes vajalikele IT-ressurssidele ja teabele
ORP.1.2.
Sotsiaalmeediakonto
haldus
Esitada meetmed, mis tagavad, et organisatsiooni ametlike
sotsiaalmeediakontode loomine, haldamine ja kasutamine toimub
turvaliselt ühtse korra alusel
ORP.2. Personali haldus
Esitada meetmed, mille abil personaliosakond ja juht tagavad, et
nii oma kui ka välised töötajad tegutsevad organisatsiooni
turvaeesmärke silmas pidades
ORP.3. Töötaja
infoturvateadlikkuse
tõstmine
Esitada töötaja turvateadlikkuse tõstmise ja töötaja koolitusplaani
koostamise meetmed, arvestades organisatsiooni spetsiifikat ja
töötaja vajalikke teadmisi ja oskusi
2
ORP.4. Välislähetuse
infoturve
Esitada meetmed andmete turvalisuse tagamiseks töötaja
välislähetuses viibimisel ning abistada vastutavaid isikuid
välislähetuste turvameetmete kehtestamisel
ORP.5. Teabevahetus Esitada organisatsiooni ja välise poole vahelise turvalise
teabevahetuse meetmed
ORP.6. Kaugtöö Esitada kaugtöö raames talletatava, töödeldava ja edastatava teabe
kaitse meetmed
ORP.7. IT-vahendi turvaline kasutamine
ORP.7.1. IT-vahendi
kasutamine üldiselt
Esitada meetmed, et tagada organisatsiooni töövahendi turvaline
kasutamine, mis on kooskõlas infoturvanõuetega
ORP.7.2. Isikliku seadme
kasutamine
Esitada meetmed, et tagada organisatsioonis isikliku töövahendi (nt
isiklik mobiiltelefon, tahvelarvuti, sülearvuti, nutikell, isiklikud
kõrvaklapid) turvaline kasutamine, mis on kooskõlas
infoturvanõuetega
ORP.7.3. Mobiiltelefoni
kasutamine Esitada meetmed mobiiltelefoni turvaliseks kasutamiseks
ORP.8. Raadioside turvaline kasutamine
ORP.8.1. Raadioside
kasutamine üldiselt
Esitada meetmed, et tagada organisatsioonis kasutatava
raadiosidetehnoloogia (nt WiFi, Bluetooth, NFC, RFID ja muud
lühimaa raadioside protokollid) turvaline kasutamine, vältides
volitamata juurdepääsu, andmeside pealtkuulamist ja seadmete
manipuleerimist
ORP.8.2. WiFi kasutamine
Esitada organisatsiooni WiFi-võrgu kavandamise ja turvalise
käitamise meetmed, et vältida volitamata juurdepääsu sidevõrgule
ja andmeleket
ORP.8.3. Lähiväljaside
kasutamine
Esitada meetmed, et tagada organisatsioonis lähiväljaside
tehnoloogia turvaline kasutamine, mis on kooskõlas
organisatsiooni infoturvanõuetega
ORP.8.4. Bluetoothi
kasutamine
Esitada meetmed, et tagada Bluetoothi tehnoloogia turvaline
kasutamine organisatsioonis, vältides volitamata sidumisi,
andmeleket, seadmete ülevõtmist ning muid lähiväljasidega seotud
riske
OPS. IT haldus
OPS.1. IT valdkonna põhitööd
OPS.1.1. IT haldus üldiselt
Kehtestada infoturvameetmed lahutamatu osana kõigist IT halduse
põhiaspektidest (IT-varade haldamine, IT-hanked, IT käitamine,
muudatuste haldus, seire, intsidentide haldus ja IT-vahendite
kasutusest kõrvaldamine)
OPS.1.2. Muudatusehaldus
Esitada organisatsiooni tarkvarauuendite ja IT-süsteemide
muudatusehalduse protseduuri kohaldamise, juhtimise ja
optimeerimise meetmed
OPS.1.3. Andmevarundus Esitada organisatsioonis töödeldavate andmete varunduse
korraldamise meetmed
3
OPS.1.4. Andmete
digitaalne arhiveerimine
Esitada digitaalsete dokumentide muutumatul kujul pikaajalise,
turvalise ja ennistatavalt säilitamise meetmed
OPS.1.5. Turvasündmus
logimine
Esitada logiandmete turvalise kogumise, talletamise ja
nõuetekohase analüüsimise ja kõrvaldamise meetmed
OPS.1.6. Tarkvara
testimine ja kasutuselevõtt
Esitada mistahes tarkvararakenduse või -süsteemi testimise ja
kasutuselevõtu meetmed
OPS.1.7. Arvutikellade
sünkroniseerimine
Esitada meetmed täpse ajaarvestuse tagamiseks IT-komponentide
töös
OPS.1.8. IT-süsteemi
kaughooldus Esitada IT-süsteemi turvalise kaughoolduse korraldamise meetmed
OPS.1.9. Kaitse
kahjurprogrammide eest Esitada kahjurprogrammi vastase kaitse korraldamise meetmed
OPS.1.10. Turvanõrkuste
haldus
Esitada infotehnoloogiliste turvanõrkuste haldamise protseduuride
väljatöötamise meetmed koos juhistega, et minimeerida
küberrünnete mõju
OPS.1.11. Andmete
turvaline kustutamine
Esitada andmete turvalise kustutamise ja andmekandja hävitamise
meetmed
OPS.2. IT haldus teenusena
OPS.2.1. Väljasttellimine
üldiselt
Esitada meetmed väljasttellitava teenuse turvaeesmärkide
saavutamise tagamiseks kogu allhanke kestel
OPS.2.2. Pilvteenuse
integratsioon
äriprotsessiga
Esitada meetmed pilvteenuse kavandamiseks ja turvaliseks
käitamiseks organisatsiooni äriprotsessi toetamise eesmärgil
OPS.2.3. Teenuseleping
välise teenuseosutajaga
Esitada meetmed mistahes sisseostetava teenuse kvaliteedi
tagamise lepete sätestamiseks teenuse osutamise lepingus (inglise
keeles service level agreement, lühendSLA)
OPS.2.4. Tarneahela
infoturve
Esitada infoturbe haldamise meetmed tarneahela nõutava
turvataseme hoidmiseks, lähtudes tarneahela osalistelt nõutavatest
meetmetest
OPS.2.5. X-tee
andmeteenus
Esitada X-tee andmeteenuse turvalise kasutamise ja kaitse
meetmed. X-tee turvaserveriga liidestatud IT-süsteem ei tohi
ohustada X-tee taristut ega sattuda X-teega liidestatuse tõttu ise
haavatavasse olukorda. Samuti peab andmete liikumine eri
organisatsioonide ja üksuste vahel põhinema selgetel õiguslikel
alustel
OPS.3. Süsteemide haldus
OPS.3.1. Süsteemi haldus
üldiselt
Esitada mistahes süsteemina käsitatava keskkonna turvalise
halduse meetmed. Kuna süsteemi haldamiseks on vaja eeliskontot,
tuleb rakendada meetmeid selle võimaluse väärkasutuse
tõkestamiseks
OPS.3.2. Mobiilseadmete
keskhaldus
Esitada mobiilseadmete halduse kavandamise ja turvalise
käitamise meetmed
4
DER. Avastamine ja reageerimine
DER.1. Turvaintsidendi
avastamine
Esitada turvasündmusega seotud andmete kogumise, seostamise ja
hindamise meetmed, et tagada turvaintsidendi terviklik ja
õigeaegne avastamine
DER.2. Turvaintsidentide haldus
DER.2.1. Turvaintsidendi
käsitlus
Esitada turvaintsidendi süstemaatilise käsitlemise meetmed
DER.2.2. IT-kriminalistika
võimaldamine
Esitada meetmed infoturvaintsidendi kriminalistika
võimaldamiseks oluliste ettevalmistuste kaudu IT-süsteemi
projekteerimise ja käigushoiu etappides
DER.2.3. Ulatusliku
turvaintsidendi
lahendamine
Esitada ulatusliku turvaintsidendi lahendamise meetmed
DER.3. Turvatestimine ja
õppus
Esitada infoturbe nõuetelevastavuse testimise ja infoturbeõppuse
korraldamise meetmed
DER.4. Talitluspidevus Esitada meetmed infoturbe ja talitluspidevuse tagamiseks
avariiolukorras
5
Tabel 2. Süsteemimoodulid
Süsteemimoodulid
INF. Taristu
INF.1. Hoone Esitada meetmed, mis käsitlevad organisatsiooni tüüphoone
tehnilisi ja korralduslikke turvaaspekte
INF.2. Hoone ruumid
INF.2.1. Bürooruum
Esitada infoturvameetmed, mis on kohaldatavad bürooruumile (nt
kontor, ladu või muu ruum, kus asub arvutitöökoht) ja
bürootöökohale
INF.2.2. Serveriruum ja
andmekeskus
Esitada serveriruumi ja andmekeskuse turvaliste ja jätkusuutlike
käidutingimuste loomise ja säilitamise meetmed
INF.2.3. Tehnilise taristu
ruum
Esitada tehnilise taristu ruumi või tehnilise taristu kapi turvalisuse
tagamise meetmed
INF.2.4. Arhiiviruum Esitada andmekandjate arhiivi ja arhiveeritaval andmekandjal oleva
teabe kaitse meetmed
INF.2.5. Koosoleku-,
ürituse- ja koolitusruum
Esitada koosoleku-, ürituse- ja koolitusruumis töödeldava teabe ja
neis ruumides olevate IT-seadmete kaitse meetmed
INF.3. Mobiilne töökoht
Esitada mobiilsele töökohale kohaldatavad korralduslikud,
tehnilised ja personali käsitlevad meetmed, mida arvestatakse ja
täidetakse siis, kui töötaja töötab väljaspool organisatsiooni ruume
INF.4. Kodutöökoht Esitada meetmed organisatsiooni teabe kaitseks ja turvalise taristu
rajamiseks kodutöökohas
INF.5. Sõiduki IT-
komponendid
Esitada organisatsiooni mehitatud ja mehitamata, sh isejuhtiva
sõiduki infoturvameetmed juhul, kui sõiduk (nt mootor-, vee- või
õhusõiduk) on varustatud tänapäevaste infotehnoloogiliste
komponentidega
INF.6. Elektrikaabeldus Esitada meetmed hoone elektritoite kaitseks rikete, häirete ja
manipuleerimise eest
INF.7. Tehnosüsteemid
INF.7.1. Hoone
tehnosüsteemide haldus
üldiselt
Esitada hoone või hoonete tehnoseadmete ja -süsteemide (nt kütte-,
jahutus-, ventilatsiooni-, konditsioneerimis-, vee-, valgustus-,
tulekaitse- ja nõrkvoolusüsteemid; inglise keeles technical building
management, lühend TBM) kavandamise ja turvalise käitamise
meetmed
INF.7.2.
Hooneautomaatikasüsteem
Esitada hooneautomaatikasüsteemi (inglise keeles building
automation and control system, lühendBACS) kavandamise ja
turvalise käitamise meetmed
INF.7.3. Puhvertoiteallikas Esitada puhvertoiteallika kavandamise ja turvalise käitamise
meetmed
6
NET. Andme- ja kõneside
NET.1. Arvutivõrk
NET.1.1. Võrguhaldus
üldiselt
Esitada turvalise võrguhalduse rajamise ja käigus hoidmise ning
turvalise andmeside tagamise meetmed
NET.1.2. Kohtvõrk Esitada võrgu arhitektuuri ja võrgulahenduse infoturvameetmed
NET.1.3. Raadiokohtvõrk Esitada raadiokohtvõrgu rajamise ja turvalise käitamise juhised
NET.1.4. Virtuaalne
privaatvõrk
Esitada virtuaalse privaatvõrgu kavandamise ja turvalise käitamise
meetmed
NET.2. Sidevõrgu
kaabeldus
Esitada meetmed sidekaabelduse kaitseks rikete, häirete ja
manipuleerimise eest
NET.3. Võrgukomponendid
NET.3.1.
Võrgukomponent üldiselt
Esitada arvutivõrgu mistahes komponendi turvalise käitamise
meetmed
NET.3.2. Tulemüür Esitada tulemüüri või tulemüürisüsteemi turvalise hankimise,
rajamise, konfigureerimise ja käitamise meetmed
NET.3.3. Marsruuter Esitada ruuteri turvalise käitamise meetmed
NET.3.4. Kommutaator Esitada kommutaatori turvalise käitamise meetmed
NET.3.5. Raadiokohtvõrgu
pääsupunkt Esitada raadiokohtvõrgu komponendi turvalise käitamise meetmed
NET.4. Võrguühenduse
automaatne seadistus
Esitada võrguseadme turvalise konfigureerimise ja käitamise
meetmed
NET.5. Võrkupääsu
reguleerimise süsteem
Esitada meetmed arvutivõrgu klientseadme võrkupääsu
reguleerimise (inglise keeles network access control, lühend NAC)
süsteemi kavandamise ja turvalise käitamise meetmed
SYS. IT-süsteemid
SYS.1. Serverid
SYS.1.1. Server üldiselt Esitada serverina kasutatavas IT-komponendis töödeldavate
andmete ning sellega seotud rakenduste kaitse meetmed
SYS.1.2. Microsoft
Windowsi server
Esitada Microsoft Windowsi operatsioonisüsteemiga serveri
turvalise käitamise ja serverisüsteemis töödeldavate andmete ning
protsesside kaitsmise meetmed
SYS.1.3. Linuxi server
Esitada Linuxi ja UNIXioperatsioonisüsteeme kasutava
serverisüsteemi ja selles töödeldavate andmete ning protsesside
kaitse meetmed
SYS.1.4. Riistvaraline
server Esitada riistvaralise serverisüsteemi turvalise käitamise meetmed
SYS.1.5. Virtuaalserver Esitada virtualiseeritud serverisüsteemi turvalise käitamise
meetmed
SYS.1.6. Konteinerdus Esitada konteinertehnoloogia kavandamise ja turvalise käitamise
meetmed
SYS.1.7. Kubernetes Esitada meetmed konteinerduse haldamiseks ja andmete
kaitsmiseks Kubernetese keskkonnas
7
SYS.2. Lõppkasutaja tööjaamad
SYS.2.1. Tööjaam üldiselt
Esitada meetmed tööjaamas töödeldavate andmete kaitseks
olenemata arvuti tüübist või selles kasutatavast
operatsioonisüsteemist ning suurendada teadlikkust seadme
spetsiifilistest ohtudest
SYS.2.2. Microsoft
Windowsi tööjaam
Esitada Microsoft Windowsi operatsioonisüsteemi kasutava
tööjaama andmete kaitse meetmed
SYS.2.3. Linuxi tööjaam Esitada Linuxi operatsioonisüsteemi kasutava tööjaama andmete
kaitse meetmed
SYS.2.4. Apple macOSi
tööjaam
Esitada macOSioperatsioonisüsteemi kasutavas tööjaamas
talletatud andmete kaitse meetmed
SYS.2.6. Sülearvuti
Esitada meetmed sülearvuti turvaliseks kasutamiseks
organisatsioonis ja suurendada teadlikkust seadme spetsiifilistest
ohtudest
SYS.2.7. Irdandmekandja Esitada irdandmekandja (inglise keeles removable media) turvalise
kasutamise meetmed
SYS.2.8.
Failijagamisteenus
Esitada serverisõnumiploki (inglise keeles server message block,
lühend SMB ) andmesideprotokolli kavandamise ja turvalise
käitamise meetmed
SYS.3. Mobiilseadmed
SYS.3.1. Mobiilseade
üldiselt
Esitada meetmed tööülesannete täitmiseks kasutatava nutitelefoni
ja tahvelarvuti jaoks
SYS.3.2. Google Android Esitada Androidi operatsioonisüsteemiga mobiilseadme turvalise
haldamise meetmed
SYS.3.3. Apple iOS Esitada iOSi ja iPadOSi operatsioonisüsteemiga mobiilseadme
turvalise haldamise meetmed
SYS.4. Muud võrgustatud seadmed
SYS.4.1. Esemevõrgu
seade üldiselt
Esitada esemevõrgu (inglise keeles internet of things, lühend IoT)
seadme turvalise haldamise meetmed
SYS.4.2. Printer ja
kontorikombain
Esitada võrgustatud printeri ja kontorikombaini turvalise haldamise
ja kasutamise meetmed
SYS.4.3. Sardsüsteem Esitada sardsüsteemi (inglise keeles embedded system) turvalise
kasutamise meetmed
SYS.5. Serveriteenused
SYS.5.1. Serveriteenus
üldiselt
Esitada mistahes serveriteenuse turvalise seadistamise ja haldamise
meetmed
SYS.5.2. Failiserver Esitada failiserveri turvalise käitamise meetmed
SYS.5.3.
Andmebaasiserver
Esitada andmebaasisüsteemi kavandamise ja turvalise käitamise
ning andmebaasides töödeldava teabe kaitsmise meetmed
SYS.5.4. Veebirakendus Esitada veebirakenduse turvalise töötamise ning töödeldava teabe
kaitsmise meetmed
8
SYS.5.5. Ajaserveri teenus
Esitada meetmed ajaserveri turvaliseks seadistamiseks
usaldusväärse ja täpse kellaaja tagamise eesmärgil kõigis seotud
IT-süsteemides
SYS.5.6.
Domeeninimesüsteem
Esitada organisatsioonis kasutatava domeeninimesüsteemi (inglise
keeles domain name system, lühendDNS) serveriteenuste turvalise
käitamise meetmed
SYS.5.7. Veebiserver Esitada veebiserveri ja veebiserveri kaudu juurdepääsetava teabe
kaitse meetmed
SYS.5.8. Andmesalvesti Esitada andmesalvestilahenduse kavandamise, turvalise käitamise
ja kasutuselt kõrvaldamise meetmed
SYS.5.9. Terminaliserver Esitada terminaliserveri kavandamise ja turvalise käitamise
meetmed
SYS.5.10. E-posti server Esitada e-posti serveri turvalise seadistamise ja käitamise meetmed
SYS.5.11. Microsoft
Exchange
Esitada Microsoft Exchange’i rühmatarkvaralahenduse
kavandamise ja turvalise käitamise meetmed
SYS.5.12. Kataloogiteenus Esitada kataloogiteenuse kavandamise, turvalise käitamise ja
kõrvaldamise ning kataloogiteenuse andmete kaitsmise meetmed
SYS.5.13. Microsoft Active
Directory Domain Services
Esitada meetmed Microsoft Active Directory Domain Services’i
tavakasutuse turbeks, kui Active Directory teenust kasutatakse
Microsoft Windowsi süsteemidest koosneva taristu ja keskse
autentimis- ja autoriseerimislahenduse haldamiseks
SYS.5.14. X-tee
turvaserver
Esitada X-tee turvaserveri kaitse meetmed, et tagada
andmevahetuse tõendusväärtus ja X-teega seotud äriprotsesside
usaldusväärsus
SYS.5.15. Tehisarusüsteem Esitada meetmed tehisarusüsteemi turvaliseks kasutuselevõtmiseks
ja käitamiseks organisatsioonis
SYS.5.16. IP-telefonside
server
Esitada VoIP-põhise sidesüsteemi komponendi ja IP-telefoni
kõneedastuse turvalisuse tagamise meetmed
SYS.5.17.
Virtualiseerimissüsteem
Esitada serveri virtualiseerimiskeskkonna turvalisuse tagamise
meetmed
SYS.5.18. Töölaua
virtualiseerimine
Esitada virtuaaltöölaua taristu (inglise keeles virtual desktop
infrastructure, lühend VDI) kavandamise ja turvalise käitamise
meetmed
SYS.5.19. Elektrooniline
arhiivisüsteem
Esitada digitaalsete andmete arhiveerimise süsteemi kavandamise
ja turvalise käitamise meetmed
SYS.5.20. Keskne
logitaristu Esitada keskse logitaristu kavandamise ja käitamise meetmed
SYS.6. Pilvandmetöötlus
SYS.6.1. Pilvandmetöötlus
üldiselt
Esitada pilvandmetöötluse kavandamise ja turvalise käitamise
meetmed
SYS.6.2. Pilvrakendus Esitada pilvrakenduse turvalise seadistamise ja käitamise meetmed
9
SYS.7. Käidutehnoloogia
SYS.7.1. Käidutehnoloogia
üldiselt
Esitada korralduslikud ja kontseptuaalsed meetmed
käidutehnoloogia (inglise keeles operational technology, lühend
OT) turvaliseks kasutamiseks organisatsioonis
SYS.7.2.
Tööstusautomaatika
Esitada tööstusautomaatikasüsteemi (inglise keeles industrial
automation and control system), sh protsessijuhtimissüsteemi
(inglise keeles industrial control system, lühend ICS) ja SCADA-
süsteemi komponentide turbe meetmed, olenemata komponentide
valmistajast, arhitektuurist, otstarbest ja paigalduskohast
SYS.7.3.
Autonoomnesüsteem
Esitada autonoomse süsteemi, sh nutika anduri, andurina töötava
seadmestiku ja robotseadme turbe meetmed, olenemata selle
valmistajast, otstarbest, arhitektuurist või asukohast
SYS.7.4.
Ohutusautomaatika
Esitada infoturvameetmed ohutusautomaatika süsteemi turvaliseks
kasutuselevõtmiseks ja käitamiseks
SYS.7.5. Programmeeritav
kontroller
Esitada programmeeritava kontrolleri (inglise keeles
programmable logic controller, lühend PLC) turvalise
kasutuselevõtmise ja käitamise meetmed, olenemata nende
valmistajast, otstarbest, arhitektuurist või asukohast
SYS.7.6. Käidutehnoloogia
komponentide
kaughooldus
Esitada käidutehnoloogia komponentide turvalise kaughoolduse
meetmed. Käidutehnoloogia koosneb tavaliselt eri tootjate
riistvara- ja tarkvarakomponentidest, mille käigushoidmiseks ja
hooldamiseks tuleb tagada volitatud hoolduspersonali
kaugjuurdepääs
APP. Lõppkasutaja rakendused
APP.1. Tarkvara üldiselt
Esitada lõppkasutaja tööjaamas kasutatava tarkvara ja tarkvaraga
töödeldavate andmete turbe meetmed, sh tarkvara
kasutuselevõtmise, hankimise, kasutamise ja kasutuselt
kõrvaldamise meetmed
APP.2. Veebilehitseja
Esitada meetmed andmete kaitsmiseks tööjaama veebilehitseja
kaudu realiseeruda võivate ohtude eest, hõlmates nii tsentraalselt
kui ka iseseisvalt hallatavaid töökeskkondi
APP.3. E-posti klient Esitada e-posti kliendi töödeldavate andmete kaitse üldmeetmed
APP.4. Kontoritarkvara Esitada kontoritarkvaras töödeldavate andmete kaitsmise ja
kontoritarkvara turvalise haldamise meetmed
APP.5. Rühmatarkvara
Esitada ühendatud side- ja koostöölahenduse (inglise keeles unified
communication and collaboration, lühend UCC) turvalise
kasutamise meetmed
APP.6. Mobiilirakendus Esitada äriprotsessi toetavas mobiilirakenduses töödeldavate
andmete kaitse meetmed
10
DEV. Tarkvaraarendus
DEV.1. Tarkvaraarendus
üldiselt
Esitada organisatsiooni tellitud või organisatsioonis arendatava
tarkvaralahenduse infoturbe haldamise ja tarkvara turvalisuse
tagamise meetmed
DEV.2.
Tarkvaraarendusprojekt
Esitada organisatsiooni individuaalseks kasutusotstarbeks välja
töötatud või organisatsiooni tarbeks oluliselt kohandatud
rakenduste projektipõhise arendamise meetmed
DEV.3. Veebirakenduse
arendus
Esitada dünaamilise (muutuva sisuga) veebirakenduse turvalise
arendamise ja veebirakenduses töödeldavate andmete kaitsmise
meetmed
DEV.4. Integreerimine Eesti e-riigi teenustega
DEV.4.1. eID komponent Esitada meetmed elektroonilise identiteedi (eID) komponendi ja
sellega seotud teenuste rakendamiseks organisatsioonis
1
„Justiits- ja digiministri PP.KK. 2026
määruse nr „Eesti infoturbestandard“
lisa 2
Auditeerimiseeskiri
1. Terminid ja lühendid
Käesolevas lisas kasutatakse järgmisi termineid:
audiitor – (inglise keeles auditor) audiitorettevõttele auditi raames tööd tegev isik;
audiitorettevõte – (inglise keeles auditing entity) juriidiline isik, kes osutab võrgu- ja
infosüsteemide auditeerimise teenust;
audit –Eesti infoturbestandardi järgimise auditeerimine määruse § 11 lõikes 1 sätestatud
eesmärgil;
auditeeritav – (inglise keeles auditee) organisatsioon või selle osa, keda või mida
auditeeritakse, või auditi tellinud organisatsioon;
auditi käsitlusala – (inglise keeles audit scope) auditi või läbivaatuse ulatus ja piirid, millega
määratakse muu hulgas kindlaks auditeeritavad või läbivaadatavad tegevuskohad,
organisatsiooni üksused, protsessid, funktsioonid, süsteemid, varad ja tarneahela haldus;
auditirühm – audiitorettevõtte poolt auditi tegemiseks audiitoritest ja tehnilistest ekspertidest
moodustatud rühm;
juhtivaudiitor – (inglise keeles lead auditor) auditirühma juhtiv audiitor;
teenuseandja – füüsiline või juriidiline isik, kes teeb digielemente sisaldava toote tarbijale
vahetult või kellegi kaudu turul tasuta või tasu eest kättesaadavaks või kes annab tarbijale
vahetult või kellegi kaudu tasuta või tasu eest digielemente sisaldava tootega seotud teenuse.
2. Auditi üldine korraldus
2.1. Auditi tegemiseks sõlmitakse audiitorettevõttega auditeerimisleping ja
konfidentsiaalsusleping.
2.2. Auditi riski vähendamiseks ei tohi audiitorettevõte teha järjest üle kahe sama
organisatsiooni auditi.
2.3. Auditeeritav määrab auditi tegemise ajaks kontaktisiku või -isikud.
2.4. Auditi tegemine plaanitakse koostöös auditeeritava kontaktisikuga, kes tagab vajalike
andmete ja isikute kättesaadavuse auditi ajal. Põhjendatud juhtudel ja eelneval kokkuleppel
võib auditiprotseduure teha kaugtöö vormis, sellisel juhul kajastatakse see fakt auditiaruandes.
Kaugtöötunnid ei tohi ületada 30% audititööks kavandatud tundide koguarvust. Erandiks on
auditeeritav, kes kasutab ainult virtuaalseid töökohti.
3. Auditi tellimine või hankimine
2
3.1. Auditit tellides või hankides kirjeldab auditeeritav üheselt ja arusaadavalt auditi käsitlusala,
sealhulgas auditeeritavaid äriprotsesse, neile määratud kaitsetarvet ning nende erisusi.
3.2. Auditeeritav esitab audiitorettevõttele rakendamisele määratud infoturbekataloogi
moodulite nimekirja, andmetöötluse tegevuskohad, kasutatavad töökeeled, arvutikasutajate
arvu, infotehnoloogia (edaspidi IT) meeskonna suuruse, IT-taristu lühikirjelduse ja
väljasttellitavate IT-teenuste loendi.
3.3. Kui auditi käsitlusalasse kuuluvaid andmeid töödeldakse mitmes auditeeritava
tegevuskohas, esitab auditeeritav lepingus minimaalse tegevuskohtade arvu, mille suhtes audit
tehakse. Tegevuskohtade valik ja tegevuskohtade arv peab tagama kõikide tegevuskohatüüpide
proportsionaalse esindatuse. Kui andmeid töödeldakse kolmes või vähemas tegevuskohas, välja
arvatud pilvteenuse tarnija tegevuskoht, tehakse auditiprotseduurid kõigis tegevuskohtades.
3.4. Auditeeritav märgib auditit tellides või hankides ära, kui tegevuskohas ei ole võimalik
kohapeal auditiprotseduure teha (nt õigusaktidest või teenuseandjaga sõlmitud kokkulepetest
tulenevalt).
3.5. Auditi võib tellida või hankida mitmele auditeeritavale korraga. Kui auditeeritavad
tuginevad samale infoturbe halduse süsteemile (nt on neil ühine infoturbe organisatsioon,
infoturvapoliitika ja infoturbe dokumentatsioon), võib ühe auditi käsitlusala laiendada mitmele
auditeeritavale. Seejuures käsitletakse auditiaruandes ja järeldusotsustes vajaduse korral
auditeeritavate erisusi.
3.6. Kui auditeeritav vahetab audiitorettevõtet, lisab ta hankedokumentatsiooni kehtiva auditi
järeldusotsuse.
3.7. Auditi hankedokumentatsiooni või tellimuse põhjal peab audiitorettevõttel olema võimalik
adekvaatselt hinnata auditiprotseduuride tegemisega seotud tööaega ja kulu. Auditi eest
küsitava tasu määramisel tugineb audiitorettevõte muu hulgas punktis 3.8 sätestatule.
3.8. Audiitor esitab auditipakkumuses audiitori töömahu prognoosi ja eeldatava ajaplaani.
Soovitav on lisada ka auditeeritava töötajatele auditiga kaasneva töömahu prognoos.
Auditiprotseduuridele kuluvate tundide arv moodustab vähemalt 60% auditiks kavandatud
töötundide koguarvust.
4. Nõuded audiitorile
4.1. Auditeerimist juhib vastava kutseoskusega juhtivaudiitor. Juhtivaudiitor vastutab auditi
käigus tehtavate tööde eest ning allkirjastab auditi lõpparuande ja järeldusotsuse.
4.2. Juhtivaudiitoril peab auditi tegemise ajal kehtima vähemalt üks järgmine kutsetunnistus:
4.2.1. ülemaailmse IT-professionaale ühendava organisatsiooni ISACA välja antud
infosüsteemide audiitori (inglise keeles Certified Information Systems Auditor, lühend
CISA) kutsetunnistus;
4.2.2. kvaliteediinstituudi (inglise keeles Chartered Quality Institute) rahvusvahelise
kutsetunnistusega audiitorite registri (inglise keeles International Register of Certificated
3
Auditors, lühend IRCA) välja antud infoturbe halduse süsteemide ISO/IEC 27001 kohase
sertifitseerimisskeemi põhine juhtivaudiitori kutsetunnistus;
4.2.3. ametialase hindamise ja kutsetunnistuste andmise nõukogu PECB välja antud
infoturbe halduse süsteemide ISO/IEC 27001 kohase sertifitseerimisskeemi põhine
juhtivaudiitori kutsetunnistus.
4.3. Juhtivaudiitor peab auditile eelnenud kolme aasta jooksul olema audiitorina osalenud
vähemalt kolmes infoturbe või IT-süsteemide halduse auditis, nt Eesti infoturbestandardi
auditis. Juhtivaudiitoril peab olema vähemalt nelja-aastane IT auditi, IT juhtimise või
infoturbealane töökogemus.
4.4. Auditirühma kaasatud audiitoritel peab olema vähemalt kahe-aastane IT auditi, IT
juhtimise või infoturbealane töökogemus.
4.5. Auditirühma kaasatud tehnilistel ekspertidel peab olema auditi käsitlusala spetsiifikale
vastav tehniline kvalifikatsioon või vähemalt kahe-aastane IT halduse või infoturbealane
töökogemus.
4.6. Auditirühma liikmed peavad olema auditeeritavast sõltumatud ja ei tohi olla osalenud
auditeeritava infoturbe halduse süsteemi kavandamises või rakendamises, sh auditeeritava
konsulteerimises auditeeritavas valdkonnas, auditi alguskuupäevale eelnenud kolme aasta
jooksul.
4.7. Auditirühma liikmete sõltumatus peab olema kinnitatud allkirjastatud deklaratsiooniga.
4.8. Auditirühma liikmed peavad tagama oma kohustuste täitmise käigus teatavaks saanud teabe
hoidmise teadmisvajaduspõhiselt ning mitte jagama teavet auditeeritava nõusolekuta.
Auditeeritava esitatud isikuandmete töötlemisel, sh isikuandmeid sisaldavate dokumentide
läbivaatamisel ning logiandmete ja tuvastussüsteemide andmete kasutamisel, järgib audiitor
muu hulgas andmekaitsealaste õigusaktide nõudeid.
4.9. Audiitor peab auditi tegemisel järgima tunnustatud auditeerimisstandardeid ja -suuniseid,
infoturbe parimaid tavasid ja audiitori kutse-eetika koodeksit (nt ISACA kutse-eetika koodeks).
4.10. Audiitor peab auditi kavandamisel ja tegemisel juhinduma auditi käsitlusalast, määruse 2.
peatüki nõuetest ja õigusaktidest. Auditiprotseduuride tegemisel ja meetmete valimi
koostamisel arvestatakse infoturvaohtudest lähtuvaid riske ja auditeeritava kaitsetarvet ning
nende alusel hinnatakse asjakohaste infoturbekataloogi meetmete rakendatust.
5. Audit
5.1. Auditi alguseks peavad organisatsioonisisese hindamise käigus tuvastatud puudused olema
kõrvaldatud. Puuduste kõrvaldamata jätmise korral on audiitorettevõttel õigus nõuda auditi
alguse edasi lükkamist.
5.2. Enne auditi algust koostatakse ja kooskõlastatakse auditeeritavaga auditi plaan. Auditi
plaan aitab tagada, et kriitilistele infoturbevaldkondadele pööratakse auditi käigus piisavalt
4
tähelepanu ja auditiprotseduurid tehakse õiges järjekorras. Olude muutudes või ootamatute
asjaolude ilmnedes muudetakse vastavalt ka auditi plaani.
5.3. Auditi käigus hinnatakse:
5.3.1. organisatsiooni infoturbe halduse süsteemi vastavust määruse 2. peatüki nõuetele;
5.3.2. infoturbe dokumentatsiooni aja- ja asjakohasust;
5.3.3. infoturvameetmete rakendamise asjakohasust, riskipõhisust ning proportsionaalsust.
5.4. Infoturbe dokumentatsiooni asjakohasuse ja meetmete proportsionaalsuse hindamisel
võetakse igakülgselt arvesse auditeeritava riskidele avatuse määra, organisatsiooni suurust ning
intsidentide esinemise võimalikkust ja nende tõsidust, sealhulgas nende ühiskondlikku ja
majanduslikku mõju.
5.5. Audiitor hindab infoturvameetmete rakendamise plaani alusel meetmete rakendatust ning
moodulite väljajättude asjakohasust ja proportsionaalsust auditi käsitlusala ulatuses. Meetmete
rakendamist kontrollitakse valikuliselt, vastavalt kinnitatud auditi plaanile. Kontrollitavate
meetmete valimisel lähtub audiitor:
5.5.1. äriprotsessidele määratud kaitsetarbest;
5.5.2. mooduliga seotud ohtude olulisusest organisatsiooni kontekstis;
5.5.3. auditeeritavas organisatsioonis teostatud infoturvariskide kaalutlemise tulemustest;
5.5.4. organisatsioonis toimunud infoturvaintsidentidest;
5.5.5. varasemate infoturbe auditite leidudest ning läbivaatuste aruannetes esitatud
tähelepanekutest ja soovitustest;
5.5.6. auditeeritavale eelnevalt tutvustatud meetmetest valimi moodustamise metoodikast.
5.6. Audiitor lähtub oma hinnangutes riskipõhisuse printsiibist. Audiitori tähelepanek võib
põhineda ühe või mitme meetme mitterakendamisel või meetmete osalise rakendamise
koosmõjul.
5.7. Hinnangu kujundamiseks teeb audiitor auditiprotseduure, mille maht moodustab vähemalt
60% audiitori kogutöömahust ja mis hõlmab vähemalt järgmisi protseduure:
5.7.1. intervjuud;
5.7.2. meetmete tõhususe kontroll, sh tehniline kontroll;
5.7.3. paikvaatlused;
5.7.4. dokumentatsiooni ja tõendusmaterjali läbivaatus.
5.8. Auditi tõendusmaterjali võib auditeeritav audiitorile kas väljastada, kohapeal näidata või
selgitada intervjuu käigus (nt võrguskeem, logide analüsaator, tulemüüri reeglid, õiguste
süsteemi selgitamisel reaalsed isikupõhised näited).
5.9. Kui tõendusmaterjalidega tuleb tutvuda kohapeal, tagatakse audiitorile selleks vajalik
töökoht ja töötingimused.
5.10. Auditeeritava teenuseandjate infoturbe hindamisel tugineb audiitor oma hinnangut
kujundades teenuseandja (nt pilvteenuse tarnija) esitatud auditi käsitlusala hõlmavatele ja
turvameetmete rakendatust kinnitavatele sertifikaatidele ning vastavusauditite aruannetele.
5.11. Audit lõpeb auditi lõpparuande ja järeldusotsuse esitamisega auditeeritavale.
5
6. Auditi lõpparuanne ja auditi järeldusotsus
6.1. Lõpparuanne koosneb kahest eraldi ja juhtivaudiitori digiallkirjastatud elektroonilisest
dokumendist: auditi järeldusotsusest ja auditi lõpparuandest.
6.2. Auditi järeldusotsus peab sisaldama vähemalt järgmist:
6.2.1. auditeeritava ametlik nimetus ning auditi käsitlusalasse kuuluvate organisatsioonide
ametlik nimetus ja registrikood;
6.2.2. auditi tegemise aeg ja kestus;
6.2.3. käsitlusala;
6.2.4. üldhinnang organisatsiooni infoturbe halduse süsteemi toimimisele. Üldhinnang
sisaldab muu hulgas teavet, kas ja kui palju leiti auditi käigus lahknevusi ja sellest tulenevaid
kõrge tasemega riske;
6.2.5. audiitorettevõtte ametlik nimetus ja auditi teinud juhtivaudiitori nimi.
6.3. Auditi järeldusotsus ei või sisaldada juurdepääsupiiranguga teavet.
6.4. Auditi lõpparuanne peab sisaldama vähemalt järgmist:
6.4.1. auditi kokkuvõte, mis sisaldab juhtivaudiitori nime, auditi tegemise aega, auditi
tulemuste lühikokkuvõtet ning auditirühma üldhinnangut infoturbe halduse süsteemi
toimimisele. Auditi kokkuvõttes esitatakse ka auditi käigus kinnitust saanud positiivsed
aspektid;
6.4.2. auditi käsitlusala, sh äriprotsesside loend ja neile määratud kaitsetarve;
6.4.3. auditi metoodika, ajaplaan, auditeeritud tegevuskohad ja auditi tegemisel esinenud
piirangud;
6.4.4. auditis osalenud auditeeritava töötajate ja auditirühma liikmete nimekiri ning nende
rollide kirjeldused;
6.4.5. auditirühma hinnang IT-riskide haldusele;
6.4.6. auditirühma hinnang infoturvameetmete rakendamisele;
6.4.7. auditi leiud koos lahknevuste kirjelduste ja auditirühma lisatud riskihinnangutega;
6.4.8. auditi lõpparuande lisadena vormistatud asjakohane tõendusmaterjal.
6.5. Mitmele auditeeritavale korraga ühise auditi tegemisel käsitlevad auditi järeldusotsus ja
lõpparuanne vajaduse korral ka auditeeritavate erisusi. Kokkuleppel võib iga auditeeritava
kohta koostada eraldi järeldusotsuse, viidates otsuses auditi ühisele käsitlusalale.
6.6. Infoturbe halduse süsteemi hindamisel peab audiitorettevõte arvestama vähemalt järgmisi
aspekte:
6.6.1. süsteem vastab määruse 2. peatüki nõuetele;
6.6.2. organisatsioonis on määratud infoturbe eest vastutajad ja infoturbele on eraldatud
piisavad ressursid;
6.6.3. organisatsioonis on määratud kaitseala ja äriprotsessidega seotud varad;
6.6.4. organisatsioonis on määratud äriprotsesside nõuetelevastav kaitsetarve;
6.6.5. organisatsioonis on teostatud infoturbe haldus, sh valitud meetmed vastavad
organisatsiooni kaitsetarbele.
6
6.7. Aruandes esitatakse iga sellise auditileiu kirjeldus, lahknevus infoturbe halduse süsteemi
nõuetest, leiuga kaasneva riski kirjeldus ja auditirühma soovitus riski käsitlemiseks:
6.7.1. millest tulenevad ühele või mitmele äriprotsessile madala tasemega riskid;
6.7.2. millest tulenevad ühele või mitmele äriprotsessile kõrge tasemega riskid;
6.7.3. mille riskid üksikult võttes on väiksed, kuid mille puhul võib leidude koosmõju tõttu
asjaolude ebasoodsal kokkusattumisel kaasneda kõrge tasemega risk ühele või mitmele
äriprotsessile.
6.8. Auditirühm analüüsib meetmete mitterakendamise põhjendusi ning hindab meetmete
rakendamata jätmisest või osalisest rakendamisest tulenevaid riske järgmiselt:
6.8.1. kõrge tasemega risk – oluline lahknevus meetmetes kirjeldatu ja tegeliku olukorra
vahel. Meetmete rakendamata jätmisest tulenevate riskide realiseerumine võib tekitada suurt
kahju organisatsiooni varadele ja tegevusele. Kahju põhjustab lepingute ja õigusaktide
täitmata jätmist ning võib ähvardada äriprotsesside jätkusuutlikkust või auditeeritava
olemasolu;
6.8.2. madala tasemega risk – väheoluline lahknevus meetmetes kirjeldatu ja tegeliku
olukorra vahel. Riskide realiseerumine võib tekitada piiratud ja ohjatavat kahju auditeeritava
varadele ja tegevusele (nt lühiajalised töökatkestused).
6.9. Auditi lõpparuandes esitatakse loend auditi käigus:
6.9.1. tehtud auditiprotseduuridest ja kogutud tõendusmaterjalidest;
6.9.2. kontrollitud meetmetest.
6.10. Auditi leidude kohta on auditirühmal olemas tõendusmaterjal, auditi kontrollid peavad
olema korratavad.
6.11. Kui auditi tegemisel tuginetakse varasema infoturbe halduse süsteemi auditi tulemustele,
märgitakse auditi aruandes selgelt, millisele auditi aruandele auditirühm on tuginenud ja mil
määral.
6.12. Auditi järeldusotsuse ja auditi lõpparuande kavand esitatakse auditeeritavale seitsme
päeva jooksul pärast auditiprotseduuride lõppemist.
6.13. Auditeeritaval on õigus esitada 14 päeva jooksul kavandi kohta audiitorettevõttele
kirjalikult taasesitatavas vormis vaidlustus, sealhulgas täiendavaid tõendusmaterjale.
6.14. Vaidlustuse arvestamise korral teeb audiitorettevõte 14 päeva jooksul kavandis
asjakohased parandused. Vaidlustuse arvestamata jätmise korral lisab audiitorettevõte auditi
lõpparuandele vaidlustuse ja selle arvestamata jätmise põhjenduse.
6.15. Auditi järeldusotsus ja auditi lõpparuanne esitatakse auditeeritavale hiljemalt 14 päeva
jooksul pärast vastavalt punktis 6.13 või 6.14 sätestatud tähtaja möödumist. Auditeeritav
kinnitab auditi lõpparuande vastuvõtmise kirjalikult taasesitatavas vormis.
6.16. Kokkuleppel auditeeritavaga võib audiitorettevõte tutvustada auditi lõpparuannet
auditeeritava juhtkonnale.
7
6.17. Auditeeritav esitab järelevalveasutusele auditi järeldusotsuse hiljemalt 14 päeva jooksul
pärast auditi järeldusotsuse ja auditi lõpparuande saamist.
6.18. Kui auditi järeldusotsuses on viidatud ühele või mitmele kõrge tasemega riskile, tuleb
auditeeritaval esitada järelevalveasutusele ka auditi lõpparuanne.
7. Auditijärgsed tegevused
7.1. Auditeeritav kavandab parandusmeetmete rakendamise, määrab vastutajad ja tähtajad.
Parandusmeetmete rakendamist ja infoturvameetmete rakendamise plaani ajakohastamist
koordineerib infoturbe eest vastutav isik.
7.2. Auditeeritav kõrvaldab auditi lõpparuandes viidatud madala tasemega riski või määrab
käsitlusviisi hiljemalt järgmise auditi alguseks.
7.3. Kõrge tasemega riski on auditeeritav kohustatud kõrvaldama kuue kuu jooksul auditi
järeldusotsuse ja auditi lõpparuande saamisest arvates.
7.4. Punktis 7.3 sätestatud kohustuse täitmisest teavitab auditeeritav järelevalveasutust 14 päeva
jooksul kohustuse täitmisest arvates.
7.5. Kui auditi aruannete säilitamise tähtaeg ei tulene muust õigusaktist või eeskirjast, säilitab
auditeeritav auditi aruandeid turvaliselt vähemalt seitse aastat.
7.6. Audiitorettevõte säilitab auditi aruandeid ja seotud dokumente turvaliselt ning vastavalt
pooltevahelisele kokkuleppele. Juurdepääs dokumentidele on üksnes vastava
teadmisvajadusega isikul.
1
EELNÕU
21.05.2026
JUSTIITS- JA DIGIMINISTER
MÄÄRUS
Eesti infoturbestandard
Määrus kehtestatakse küberturvalisuse seaduse § 7 lõike 5 ning Vabariigi Valitsuse 9. detsembri
2022. a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded” § 3 lõike 1 alusel.
1. peatükk
Üldsätted
§ 1. Määruse reguleerimisala ja eesmärk
(1) Eesti infoturbestandardi rakendamine seisneb võrgu- ja infosüsteemi infoturbe halduses ja
infoturbe halduse meetmete auditeerimises.
(2) Teenuseosutajate Eesti infoturbestandardi rakendamise kohustus ja ulatus on sätestatud
Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide
küberturvalisuse nõuded” 2. peatükis.
(3) Eesti infoturbestandardi kehtestamise eesmärk on:
1) tagada avalike ning ühiskonna toimimiseks vajalike, sealhulgas oluliste ja kriitiliste
ülesannete täitmiseks kasutatavate võrgu- ja infosüsteemide kõikehõlmav kaitse ning saavutada
infoturbe ühtlane tase kõigis nende osades kogu elutsükli jooksul;
2) luua süsteemne raamistik, mis aitab teenuseosutajal kaitsta oma äriprotsesse, varasid, võrgu-
ja infosüsteemi ning ennetada ohte ja hallata riske.
§ 2. Terminid
(1) Määruses kasutatakse järgmisi termineid:
1) infoturbe halduse süsteem – riskide hindamisel, käsitlemisel ja aktsepteerimisel põhinev
teenuseosutaja süsteemse kaitsmise ning infoturbe rajamise, teostamise, seire, läbivaatamise ja
täiustamise süstemaatilise käsitlemise viis;
2) infoturvameetmete rakendamise plaan – organisatsioonikeskne struktureeritud ühest või
mitmest dokumendist koosnev juhend turvameetmete haldamiseks;
3) organisatsioon – teenuseosutaja küberturvalisuse seaduse tähenduses;
4) äriprotsess – organisatsiooni tegevuse osa, mingi eesmärgi saavutamiseks
rakendatavate inimeste, aja, finants- ja töövahendite (edaspidi koos ressursid), tegevuste,
toimingute või protseduuride kogum, mille tulemusel valmib toode või teenus (inglise keeles
business process).
2
2. peatükk
Infoturbe haldus
§ 3. Infoturbe halduse süsteem
(1) Infoturbe halduse süsteemi raames vaadatakse organisatsiooni:
1) tegevusvaldkonda, eesmärke, protsesse, protseduure ja tavasid;
2) õigusaktidest ning lepingutest tulenevaid õigusi ja kohustusi;
3) keskkonda, ressursse ja vara.
(2) Infoturbe halduse süsteemi toimimiseks tuleb määrata järgmised rollid:
1) hankejuht – jälgib, et turvameetmed on vara kogu elutsükli ulatuses plaanitud uue vara ja
teenuste hankimise etappi juba selle kavandamise käigus;
2) infoturbejuht – koordineerib ja nõustab turvameetmete rakendamist, sealhulgas koolituste
formaadi valimist;
3) kasutaja – järgib tema kasutusse antud vara kasutamise korda, läbib regulaarselt
infoturbekoolitusi, reageerib intsidentidele kokkulepete kohaselt, sealhulgas teavitab
küberintsidentidest;
4) äriüksuse juht – korraldab vara kaardistuse, kaitsetarbe määramise ja vajalike meetmete
rakendamise regulaarse seire.
(3) Taasesitatavas vormis säilitatakse järgmist teavet:
1) infoturbe halduse süsteemi alusdokumendid ja otsuste kulg;
2) infoturvasündmused ja organisatsiooni reaktsioon neile;
3) infoturvameetmete rakendamise plaan ja selles sisalduvad riski käsitlemise viisid.
§ 4. Organisatsiooni juhatuse tegevus
(1) Infoturbe halduse süsteemi toimimist korraldab organisatsiooni juhatus.
(2) Infoturbe halduse süsteemi toimimiseks juhatus:
1) määrab organisatsiooni sees rollid ja vastutajad, määramata rollide eest vastutab juhatus
ise;
2) eraldab vajalikud ressursid;
3) määrab kindlaks infoturbe eesmärgid, kehtestades infoturvapoliitika;
4) otsustab infoturvameetmete rakendamise plaanis kavandatud meetmete rakendamata
jätmisest tulenevate riskide aktsepteerimise üle, arvestades võimalikku mõju äriprotsessile.
(3) Infoturbe halduse süsteemi korraldus peab võimaldama juhatusel saada regulaarseid ja
operatiivseid ülevaateid:
1) riskidest ning nende võimalikust mõjust ja kulust;
2) toimunud küberintsidentide mõjust äriprotsessidele;
3) õigusaktides ja lepingutes sätestatud nõuetest ja nende muudatustest;
4) infoturbe hetkeseisust ja infoturvameetmete rakendamise plaani täitmisest.
§ 5. Infoturvapoliitika
(1) Infoturvapoliitikas nähakse ette vähemalt:
1) turbe üldised eesmärgid ja põhimõtted, sealhulgas riskihalduse alused;
2) rollide ja vastutusalade jaotus;
3
3) küberintsidentide käsitlemise ja infoturbe halduse süsteemi hindamise alused;
4) viited seotud dokumentidele, sealhulgas näiteks alampoliitikad, korrad, tegevuse
dokumentatsioon.
(2) Infoturvapoliitika vaadatakse üle ja vajaduse korral muudetakse vähemalt kord
kalendriaastas.
§ 6. Riskihaldusmetoodika
(1) Riskihaldusmetoodika kasutuselevõtmise eeldus on organisatsiooni varade arvelevõtmine
ja nende kaitseala kindlaksmääramine.
(2) Organisatsioon peab kehtestama riskihaldusmetoodika, mis on seotud organisatsiooni üldise
riskihaldusega ja koosneb vähemalt järgmisest:
1) äriprotsessidele mõju avaldavate ohtude tuvastamine, arvestades konfidentsiaalsust,
terviklust ja käideldavust;
2) vara ja äriprotsessi vastendamine infoturbekataloogi moodulitega;
3) infoturvameetmete rakendamise plaani täitmise otsused, sealhulgas riskide hindamine.
§ 7. Infoturbekataloog
(1) Määruse lisas 1 sätestatud infoturbekataloog on organisatsiooni kahjustada võivate ohtude
kaitseks võetavate meetmete loend.
(2) Lõikes 1 nimetatud meetmed jaotatakse protsessi- ja süsteemimoodulitesse.
§ 8. Infoturvameetmete rakendamise plaan
(1) Infoturvameetmete rakendamise plaanis esitatakse asjakohased infoturbekataloogiga seotud
meetmed. Riskihalduse põhjal lisatakse kõnealusesse rakendusplaani vajaduse korral
lisameetmeid.
(2) Infoturbekataloogi süsteemimoodulite meetmeid rakendatakse kõigile kaitseala varadele
kooskõlas infoturvameetmete rakendamise plaaniga.
(3) Infoturbekataloogi protsessimoodulite meetmed lõimitakse igapäevasesse töökorraldusse.
(4) Infoturbekataloogi meetmete rakendamise prioriteetide ja tähtaegade määramisel lähtutakse
kaitsetarbest, varade omavahelisest sõltuvusest ja vara elutsükli etapist.
(5) Infoturvameetmete rakendamise plaanis võib ette näha infoturbekataloogi mooduli meetme
asendamise muu samaväärse meetmega või meetme rakendamata jätmise, kui:
1) tagatakse vajalik infoturve;
2) organisatsioon on riski aktsepteerinud.
(6) Meetme rakendamise tähtaeg ja tegevuste regulaarsus peab tagama infoturvameetmete
rakendamise plaani täitmise mõistliku aja jooksul. Kui meetme rakendamise tähtaeg ületab
ühte aastat, tuleb seda käsitleda regulaarses riskihalduses kui aktsepteeritud riski.
4
(7) Kui äriprotsess sõltub organisatsioonivälisest tarneahelast, hinnatakse sellega kaasnevaid
riske.
(8) Organisatsioonivälise tarneahela kaitse vajaduse hindamiseks on organisatsioonil õigus
nõuda väliselt osapoolelt kaitsetarbele vastavate turvameetmete rakendamist, sealhulgas
seirearuandeid, asjakohase käsitlusalaga auditi järeldusotsuseid, turvasertifikaate,
enesehindamise tulemusi või muud asjakohast teavet.
(9) Kui organisatsioonivälisest tarneahelast tulenev risk ei ole organisatsiooni jaoks
aktsepteeritav, tuleb kaaluda alternatiivseid meetmeid või välise osapoole vahetust.
§ 9. Personali koolitamine
Organisatsioon korraldab personalile järjepidevalt koolitusi eesmärgiga:
1) parandada turvateadlikkust;
2) tagada teabe turvalise töötlemise ja töövahendite turvalise käitlemise oskused;
3) ennetada riskikäitumist;
4) tõsta teadlikkust küberintsidentide ennetamisest, tuvastamisest ja neile reageerimisest ning
täiendada sellealaseid oskusi.
3. peatükk
Seire
§ 10. Organisatsioonisisene hindamine
(1) Organisatsioon hindab regulaarselt, kas tal on:
1) kindlaks määratud äriprotsessid;
2) kaardistatud äriprotsessidega seotud varad;
3) kindlaks tehtud välised infoturvanõuded, sealhulgas õigusaktid ja lepingud;
4) määratud kaitsetarve;
5) vastendatud infoturbekataloogi moodulid kaitseala varaga;
6) kehtestatud riskihaldusmetoodika;
7) koostatud infoturvameetmete rakendamise plaan;
8) rakendatud ja seiratud infoturvameetmeid vastavalt infoturvameetmete rakendamise plaanis
seatud tähtaegadele;
9) kõrvaldatud auditite ja hindamiste käigus tuvastatud puudused.
(2) Lõikes 1 nimetatud hindamist võib teha organisatsiooniväline isik.
(3) Lõikes 1 nimetatud hindamise käigus tuvastatud puudused tuleb kõrvaldada auditeerimise
alguseks.
§ 11. Auditeerimine
(1) Eesti infoturbestandardi järgimise auditeerimise eesmärk on hinnata, kas auditeeritava
organisatsiooni infoturbe halduse süsteem ja selle raames rakendatud meetmed vastavad 2.
peatüki nõuetele ning kaitsevad organisatsiooni äriprotsesse ja eesmärkide täitmist.
5
(2) Organisatsioonivälise audiitori sõltumatu hinnang annab organisatsioonile, selle klientidele
ja partneritele teavet auditeeritava infoturbe halduse süsteemi jätkusuutlikkuse ja
infoturvalisuse ohtudele vastupanuvõime kohta.
(3) Organisatsioonipoolset auditi tellimist, auditiga kaasnevaid kohustusi, auditi kvaliteedi
hindamist ning audiitoripoolset auditi kavandamist, tegemist ja selle kohta aruande koostamist
on kirjeldatud määruse lisas 2 sätestatud auditeerimiseeskirjas.
4. peatükk
Eesti infoturbestandardi tugi ja rakendamine
§ 12. Eesti infoturbestandardi rakendamise tugitegevused
(1) Eesti infoturbestandardi rakendamise toetamiseks ja ühtlustamiseks loob Riigi Infosüsteemi
Amet asjaomase veebilehe või rakenduse.
(2) Riigi Infosüsteemi Amet võib lõikes 1 sätestatud veebilehel või rakenduses anda Eesti
infoturbestandardi rakendamist toetavaid soovituslikke juhiseid ning esitada muud rakendamist
toetavat ajakohast teavet.
§ 13. Enne määruse jõustumist rakendatud turvameetmete ja koostatud
dokumentatsiooni kehtivus
Enne käesoleva määruse jõustumist Eesti infoturbestandardi järgimiseks rakendatud
turvameetmed ja koostatud dokumentatsioon kehtivad kuni nende uuendamiseni käesolevas
määruses sätestatud korras, kuid mitte kauem kui kolm aastat määruse jõustumisest.
§ 14. Määruse kehtetuks tunnistamine
Ettevõtlus- ja infotehnoloogiaministri 16. detsembri 2022. a määrus nr 101 „Eesti
infoturbestandard“ tunnistatakse kehtetuks.
§ 15. Määruse jõustumine
Määrus jõustub 1. augustil 2026. a.
Liisa-Ly Pakosta
Minister
Tiina Uudeberg
Kantsler
Lisa 1 Infoturbekataloog
Lisa 2 Auditeerimiseeskiri
1
21.05.2026
Justiits- ja digiministri määruse „Eesti infoturbestandard“ eelnõu
SELETUSKIRI
1. Sissejuhatus
1.1. Sisukokkuvõte
Eelnõukohase määrusega uuendatakse Eesti infoturbestandardit. Eesti infoturbestandardi
(edaspidi E-ITS) siht on hoida ning edendada kübeturvalisuse seaduse subjektide ehk
teenuseosutajate infoturvet. E-ITSis on esitatud nõuded, mis aitavad organisatsioonil saavutada
oma vajadustega sobivat infoturbe taset, arvestades Eesti ja Euroopa Liidu õigusaktides
sätestatut. Uuendatud E-ITS suurendab teenuseosutaja vastutust infoturbe eest ning vähendab
riigipoolset keskset ettekirjutuste andmist. Muudatustega soovitakse edendada teenuseosutaja
äriprotsessist lähtuvat infoturvet ja parandada nõuete arusaadavust. Nõuete detailsuse
vähendamisega soovitakse anda nii teenuseosutajale kui ka riigile võimalus adekvaatsemalt ja
kiiremalt reageerida uutele tehnoloogilistele lahendustele ja infoturvalisust ohustavatele
sündmustele.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja ettevalmistamist ning koostamist on korraldanud Justiits- ja
Digiministeeriumi riikliku küberturvalisuse talitus ([email protected]) koostöös Riigi
Infosüsteemi Ametiga, lähtudes ameti ettepanekust. Vastutav ametnik on nimetatud talituse
õigusnõunik Guido Pääsuke. Eelnõu ja seletuskirja on keeleliselt toimetanud Justiits- ja
Digiministeeriumi õiguspoliitika osakonna õigusloome korralduse talituse toimetaja Merike
Koppel ([email protected]).
1.3. Märkused
Eelnõu ei ole seotud ühegi teise menetluses oleva eelnõuga ega jõustunud seadusemuudatusega.
Eelnõu on kooskõlas Euroopa Parlamendi ja nõukogu 14. detsembri 2022. a direktiivi (EL)
2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu
liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning
tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (edaspidi
küberturvalisuse 2. direktiiv), artikliga 21.
Eelnõukohase määrusega asendatakse ettevõtlus- ja infotehnoloogiaministri 16. detsembri
2022. a määrus nr 101 „Eesti infoturbestandard“ (RT I, 28.08.2025, 12) (edaspidi määrus nr
101).
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb 15 paragrahvist, mis on jaotatud nelja peatüki vahel järgmiselt:
1. peatükk – üldosa §-d 1 ja 2;
2. peatükk – infoturbe haldus §-d 3–9;
3. peatükk – seire §-d 10 ja 11;
2
4. peatükk – Eesti infoturbestandardi tugi ja rakendamine §-d 12–15.
E-ITS on osutunud tõhusaks abivahendiks Eesti turvalise digiühiskonna tagamisel ning aidanud
kaasa IT-teadlikkuse kasvule. Määrusega nr 101 kehtestatud E-ITS on mahukas õigusakt, mis
on tekitanud palju küsimusi selle rakendamise kohta, sealhulgas meetmete kohaldatavuse ja
ulatuse kohta. Kehtivas määruses on meetmed põhjalikult rakendajatele lahti kirjutatud, mille
tõttu on õigusloomeprotsess osutunud takistuseks kiirele reageerimisele uutele riskidele ning
tehniliste lahenduste kasutuselevõtmisele. See tähendab, et mõned nõuded aeguvad kiiremini,
kui neid kehtestada jõutakse. Praktikutelt saadud tagasisidest lähtuvalt on eelnõus võrreldes
E-ITSi kehtiva versiooniga vähendatud soovitatavate meetmete, riski ulatuse ja infotehnoloogia
(edaspidi IT) vahendite või neid toetava taristuga seotud ohtude, riskide ja vastumeetmete
põhist ette kirjutamist. Eelnõukohase määrusega peaks turvameetmete rakendamine
eeldatavasti muutuma arusaadavamaks, vajaduspõhiseks ning kohanduma paremini rakendaja
äriprotsessidega.
Eesti infoturbestandardi uuendamisel peeti muu hulgas silmas järgmist:
i. Eesti avaliku korra ja ühiskonna toimimine ning turvalisusega seotud olulised valdkonnad on
suurel määral seotud infotehnoloogiaga. Infotehnoloogial on ka üsna suur roll Eesti residentide
igapäevategevustes. Mistahes süsteemid on mõjutatavad või pakuvad oma suure mõju tõttu
huvi isikutele, kes võivad olla vaenulikud või pahatahtlikud nii ühiskonna kui ka indiviidi vastu.
Seetõttu on vajalik üldine, koordineeritud ja pidev võrgu- ja infosüsteemide kaitse ning
võimalike riskide hindamine ja maandamine.
ii. Infotehnoloogia ning küberkeskkond arenevad kiirelt, mis eeldab ka kiiret ning paindlikku
reageerimist võimalikele või tuvastatud ohtudele.
iii. Küberturvalisuse 2. direktiivi artikli 21 lõike 1 esimese lõigu järgi tagavad liikmesriigid, et
üliolulised ja olulised üksused võtavad asjakohased ja proportsionaalsed tehnilised,
tegevuslikud ja korralduslikud meetmed, et juhtida riske, mis ohustavad nende üksuste
tegevuses või teenuste osutamisel kasutatavate võrgu- ja infosüsteemide turvalisust, ning et
ennetada või minimeerida intsidentide mõju nende teenuste saajatele ja muudele teenustele.
iv. Küberturvalisuse seaduse (edaspidi KüTS) §-st 7 tulenevalt:
1. peab teenuseosutaja rakendama alaliselt asjakohaseid ja proportsionaalseid tehnilisi,
tegevuslikke ning korralduslikke turvameetmeid, et:
1.1. hallata riske, mis ohustavad teenuseosutaja tegevuses või teenuse osutamisel
kasutatava süsteemi turvalisust, sealhulgas koostab vastava riskianalüüsi;
1.2. ennetada või minimeerida küberintsidendi mõju teenuseosutaja osutatava teenuse
saajale ja muule teenusele;
1.3. ennetada küberintsidenti või see tuvastada ja lahendada.
2. arvestatakse turvameetmete rakendamisel:
2.1. teenuseosutaja vajadusi ja turvanõudeid;
2.2. ajakohaseid ning asjakohasel juhul Euroopa ja rahvusvahelisi standardeid;
2.3. turvameetmete rakendamise kulusid;
2.4. turvameetmete rakendamise proportsionaalsust, mille hindamisel võetakse muu
hulgas arvesse teenuseosutaja riskidele avatuse määra, teenuseosutaja suurust,
küberintsidentide esinemise tõenäosust ja nende tõsidust, sealhulgas küberintsidentide
ühiskondlikku ja majanduslikku mõju;
2.5. ohte süsteemselt ja terviklikult hõlmavat lähenemisviisi, mille eesmärk on kaitsta
süsteeme ja nende süsteemide füüsilist keskkonda küberintsidentide eest.
3
v. KüTSi § 7 lõike 5 kohaselt kehtestab Vabariigi Valitsus või tema volitatud minister määrusega
eeltoodu tagamiseks muu hulgas:
1. infoturbe halduse nõuded üldnimetusega Eesti infoturbestandard;
2. turvameetmete üldnõuded.
vi. Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide
küberturvalisuse nõuded“ (edaspidi määrus nr 121) 3. peatükk sätestab turvameetmete nõuded.
Määruse nr 121 § 3 annab üleriigilise küberturvalisuse tagamise korraldamise eest vastutavale
ministrile volituse kehtestada Eesti infoturbestandard. Samas paragrahvis on osutatud ka
teenuseosutajatele, kellele laieneb lisaks määruse nr 121 3. peatükis sätestatud turvameetmete
nõuetele ka E-ITS. Siinjuures tasub toonitada, et E-ITS hõlmab ka esmaste turvameetmete
puhul nõutut, mistõttu E-ITSi rakendades ei ole teenuseosutajal kohustust eristada esmaseid
turvameetmeid ja E-ITSi rakendamisega kaasnevaid lisameetmeid.
vii. Arvestades eeltoodut on määruse eesmärk luua avalikku sektorit, avalikku korda ning
ühiskonna toimimist olulisel määral mõjutavate teenuste osutamisel kasutatavate võrgu- ja
infosüsteemide, sealhulgas neis töödeldava teabe kaitseks kasutatavate meetmete ühtne
raamistik.
Arvestades eeltoodut, ei põhine eelnõukohase määruse jõustumisel kehtima hakkav E-ITS
enam Saksa etalonturbe süsteemil BSI IT-Grundschutz (BSIG) ja standardil EVS-ISO/IEC
27001:2014 „INFOTEHNOLOOGIA. Turbemeetodid. Infoturbe halduse süsteemid. Nõuded“
(27001). Uue E-ITSi puhul on arvestatud rakendajatelt saadud tagasisidega ning eesmärgiga
vähendada rakendamisega kaasnevat koormust. Standardmeetmete kihi kaotamisega muutub
asjakohaste meetmete väljaselgitamine ja rakendamine eeldatavalt kiiremaks. E-ITSi põhiosad
on: äriprotsesside ja varade kaitsetarbe kaardistus; vastendamine; riskihaldus ja talitluspidevus,
testimine ja kontroll. E-ITSi lahtisidumine eespool nimetatud dokumentidest loob parema
võimaluse minna valdkonnaspetsiifiliselt regulatsioonilt üle üldisemale. Võrreldavusest
loobumisega soovitakse parandada nõuete arusaadavust ka isiku jaoks, kes iga päev ei puutu
kokku IT, võrgu- ja infosüsteemide haldusega ning sellest tulenevalt ka erialase sõnavaraga.
Eelnõu koostamisel on arvesse võetud Riigi Infosüsteemi Ametile ning Justiits- ja
Digiministeeriumile laekunud tagasisidet E-ITSi kehtiva versiooni rakendamise kohta. E-ITSi
muutmise kontseptsiooni on tutvustatud seletuskirja punktis 9.1 loetletud ministeeriumitele.
1. peatükk. Üldsätted
Paragrahvis 1 nähakse ette määruse üldsätted.
Lõikes 1 sätestatakse E-ITSi käsitlusala. E-ITS käsitleb võrgu- ja infosüsteemi infoturbe haldust
ja infoturbe halduse meetmete auditeerimist.Võrreldes määrusega nr 101 E-ITSi käsitlusala ei
muutu.
Lõikes 2 esitatakse viide nendele määruse nr 121 sätetele, kus on sätestatud teenuseosutajatele
E-ITSi järgimise ulatus. E-ITS on kehtestatud Vabariigi Valitsuse antud volituse alusel ning
Vabariigi Valitsusel on KüTSist tulenevalt õigus näha ette ka turvameetmete üldnõuded, mille
puhul arvestatakse võrgu- ja infosüsteemide olulisuse ja mõjuga. Seetõttu on Vabariigi Valitsus
määrusega nr 121 ka ette näinud erandid E-ITSi rakendamisel. E-ITSi meetmeid ei pea
rakendama:
4
1. teenuseosutaja, kelle rakendatud turvameetmed vastavad rahvusvahelise standardiga
ISO/IEC 27001 või Eesti standardiga EVS-EN ISO/IEC 27001 kehtestatud nõuetele
ning seda kinnitav vastavussertifikaat on kehtiv ja esitatud Riigi Infosüsteemi Ametile.
Tasub tähele panna, et see erand kehtib vaid osas, millele on eelnimetatud standardi
kohane sertifikaat antud. Sertifikaadiga hõlmamata jäänu suhtes peab teenuseosutaja
rakendama siiski E-ITSi;
2. teenuseosutaja, kellel on majandusaasta jooksul keskmiselt alla 50 töötaja ja kelle
aastane bilansimaht või aastakäive ei ületa 10 miljonit eurot, arvestades väikeettevõtjate
määratlusi Euroopa Komisjoni soovituses 2003/361/EÜ mikro-, väikeste ja keskmise
suurusega ettevõtjate määratluse kohta (ELT L 124, 20.05.2003, lk 36–41). Siinjuures
ei ole oluline, kes on teenuseosutaja omanikud. See tähendab, et avaliku sektori osalus
ei välista erandi tegemist. Kuna see erand on seotud ettevõtlusega, siis ei laiene see
automaatselt avaliku sektori asutustele, kes võiks oma töötajate arvu ja eelarveaasta
näitajatega kehtestatud kriteeriumite alusel erandi kohaldamisalasse kuuluda;
3. teenuseosutaja, kes on valla või linna ametiasutuse hallatav asutus ja osavalla või
linnaosa ametiasutuse hallatav asutus, välja arvatud üldhariduskool, ja kellel on
kalendriaasta jooksul keskmiselt alla 50 töötaja;
4. riigimuuseumist teenuseosutaja, kellel on kalendriaasta jooksul keskmiselt alla 50
töötaja;
5. kohaliku omavalitsuse üksuste liidust teenuseosutaja, kellel on kalendriaasta jooksul
keskmiselt alla 50 töötaja.
Ülaltoodud erand ei kehti punktides 2–4 nimetatud teenuseosutajale, kui ta on avaliku teabe
seaduse kohane andmekogu vastutav või volitatud töötleja, sest KüTSi § 3 lõike 4 punkti 1 järgi
on andmekogu vastutav töötleja ja volitatud töötleja avaliku teabe seaduse tähenduses (vt § 431
ja § 434) oluline üksus. See tähendab, et tekkinud kohustus tuleneb erandina andmekogust
endast, mitte teenuseosutaja tegevusvaldkonnast. Oluline on vahet teha, et andmekogu vastutav
ja volitatud töötleja ei ole sama mis andmete vastutav või volitatud töötleja isikuandmete kaitse
üldmääruse tähenduses.
Vabariigi Valitsus on lisaks E-ITSi rakendamise kohustusest vabastamisele ette näinud ka
E-ITSi osalise rakendamise võimaluse. Osalise rakendamise korral on jätkuvalt kohustuslik
välise isiku poolne infoturbe halduse meetmete auditeerimine. Vabariigi Valitsus on
auditeerimiskohustusest vabastanud:
1. riigimuuseumi, avalik-õigusliku isiku muuseumi, valla või linna ametiasutuse, valla või
linna ametiasutuse hallatava asutuse, osavalla või linnaosa ametiasutuse, osavalla või
linnaosa ametiasutuse hallatava asutuse ning kohaliku omavalitsuse üksuste ühisameti
ja -asutuse, kui tegemist ei ole andmekogu vastutava töötlejaga või volitatud töötlejaga;
2. Haridus- ja Teadusministeeriumi hallatava asutusena tegutseva põhikooli ja
gümnaasiumi, kui tegemist ei ole andmekogu vastutava töötlejaga või volitatud
töötlejaga avaliku teabe seaduse tähenduses.
Lõikes 3 esitatakse määruse kehtestamise eesmärk (vt seletuskirja p 2 sissejuhatavat osa).
Paragrahvis 2 esitatakse kolme määruses kasutatava termini tähendus: infoturbe halduse
süsteem, infoturvameetmete rakendamise plaan (edaspidi ka IMR), organisatsioon ja äriprotsess
(vt ka seletuskirja p 4 „Eelnõu terminoloogia“).
Organisatsiooni all mõistetakse kõiki KüTSi subjekte ehk teenuseosutajaid. Kuna infoturbe
valdkonnas tähistatakse sõnaga „organisatsioon“ mistahes üksust (asutus, ettevõtja,
5
struktuuriüksus jne), mis infoturvameetmeid rakendab, siis kasutatakse eelnõus arusaadavuse
huvides sama sõna.
2. peatükk. Infoturbe haldus
Paragrahvis 3 selgitatakse infoturbe halduse süsteemi olemust. Võrreldes määrusega nr 101
on välja jäetud infoturbe halduse süsteemi toimimist kirjeldav osa (määruse nr 101 lisa 1) ning
haldussüsteemile olemuslikud olulisemad üksikasjad sätestatakse määruses endas.
Lõikes 1kirjeldatakse asjaolusid, mida organisatsioon peab infoturbe halduse süsteemi puhul
arvesse võtma. Nendeks on organisatsiooni:
tegevusvaldkond, eesmärgid, protsessid (sh äriprotsessid), protseduurid ja tavad;
õigusaktidest ning lepingutest tulenevaid õigused ja kohustused;
keskkond, kus tegutsetakse, ressursid (sh personal) ja vara.
Toimiva infoturbe halduse süsteemi ülesanne on tagada organisatsiooni jätkusuutlikkus ja
kvaliteetne teenuste osutamine. Turve keskendub teabe ja äriprotsesside kaitsmisele, millest
tuleneb vajadus kaitsta äriprotsesside toimimist tagavat infotöötlust ja ITd. Organisatsioon peab
tuvastama teenuse osutamiseks vajalikud äriprotsessid, nendega seotud varad ning määrama
kindlaks äriprotsessi ja vara kaitsetarbe, mille alusel saab riskihalduse jaoks kokku leppida
riskikriteeriumid ja neile vastavad meetmed.
Infoturbe halduse süsteemi protsesse ja sooritatavaid tegevusi on kujutatud joonisel 1. Tegevusi
võib sooritada vajadusel korraga. Infoturbe täiustamise käigus naastakse iga kord protsessi
algusesse.
Joonis 1. Infoturbe halduse süsteemi elutsükkel
Allikas: Riigi Infosüsteemi Amet
6
Võrreldes E-ITSi kehtiva versiooniga on loobutud erinevatest skaaladest (nt kõrge, keskmine,
madal), sest normiga ei ole võimalik piiritleda kõikvõimalikke olukordi ja lahendusi, mis
võivad organisatsioonides esineda. Organisatsioonil võib olla erinevaid kohustusi, need võivad
tuleneda erinevatest õigusaktidest. Neist mõnes on võib olla juba kirjeldatud ka riskihalduse
nõudeid, mistõttu ei ole mõistlik E-ITSiga neid nõudeid sätestada. Seega jäetakse edaspidi
organisatsiooni enda otsustada, kuidas riske hinnata ja millist skaalat kasutada.
Võrreldes kehtiva versiooniga on alles jäetud vaid kaitsemeetmed ja infoturbe halduse süsteemi
raamistik ning loobutud on haldussüsteemi detailsest kirjeldamisest, küll aga on Riigi
Infosüsteemi Ametile jäetud võimalus avaldada seni määruse nr 101 lisas 1 olnud teave samas
ulatuses juhendmaterjalina veebilehel.
Lõikes 2 nimetatakse rollid, mis on vajalikud infohalduse süsteemi toimimiseks. Roll ei
tähenda, et seda peab täitma sama ametinimetusega töötaja, vaid tegemist on tegevustega,
millega organisatsioon peab arvestama. Nendeks rollideks on:
äriüksuse juht – korraldab varade arvestuse, kaitsetarbe määramise ja kaitsetarbe
saavutamiseks vajalike meetmete rakendamise regulaarse seire;
infoturbejuht – koordineerib ja nõustab turvameetmete rakendamist, sealhulgas
koolituste formaadi valimist;
hankejuht – jälgib, et vara ja teenuste turvameetmed on kogu nende elutsükli ulatuses
plaanitud uue vara ja teenuste hankimise etappi juba selle kavandamise käigus;
kasutaja – järgib tema kasutusse antud vara kasutamise korda, läbib regulaarselt
infoturbekoolitusi, reageerib intsidentidele kokkulepete kohaselt, sealhulgas korraldab
küberintsidentidest teavitamist.
Hankejuhi all ei mõisteta eelnõus ostujuhti või riigihanke eest vastutajat. Hankejuhi ülesanne
on kontrollida, kas turvameetmed on planeeritud kogu elutsüklis (nii teenuste kui ka varade
puhul), enne kui mõni uus teenus kasutusele võetakse või võrgu- ja infosüsteemi turvalisuse
tagamisega seotud tegevusi tehakse. Näiteks peab ta välja selgitama vajaduse
tulekustutussüsteemi järele serveriruumis, nii et õnnetuse korral ei oleks tagatud mitte ainult
tuleohutus, vaid ka teabe säilimine. Hankejuhi rollis ei pea olema üks töötaja, vaid seda rolli
võib täita mitu töötajat.
Kasutaja rolli täidavad kõik organisatsioonis võrgu- ja infosüsteemi kasutavad töötajad.
Kasutajatele võib ette näha erinevaid võrgu- ja infosüsteemile juurdepääsu ja teabe töötlemise
õigusi.
Määruse nr 121 § 5 lõike 1 kohaselt peab organisatsioon kaardistama võrgu- ja infosüsteemid
ning nendega seotud teenused või protsessid ja dokumenteerima süsteemidele rakendatavad
turvameetmed ja riskianalüüsi. Sellest tulenevalt nähakse lõikes 3 ette infoturbe halduse
süsteemiga seotud teave, mis tuleb säilitada. Säilitamise kohustus nähakse ette osas, mis on
seotud võrgu- ja infosüsteemi turvameetmete rakendamisega ning riskide ja nende
vastumeetmete rakendamisega, seega tuleb säilitada järgmisi andmeid ja dokumente:
infoturbe halduse süsteemi alusdokumendid ja otsuste kulg;
infoturvasündmused ja organisatsiooni reaktsioon neile;
infoturvameetmete rakendamise plaan ja selles sisalduvad riski aktsepteerimise
otsused.
Määruse nr 121 § 5 lõike 2 kohaselt säilitatakse dokumentatsiooni vähemalt seitse aastat alates
selle koostamisest.
7
Paragrahvis 4 sätestatakse organisatsiooni juhatuse roll infoturbe halduse süsteemi
korraldamises. Organisatsiooni äriprotsesside toimimise eest vastutab juhatus, sellest tulenevalt
vastutab juhatus ka äriprotsesse ohustavate sündmuste käsitlemise, sh infoturbe halduse
süsteemi toimimise eest (lõige 1). Juhatuse kaasatus tagab infoturbe lõimituse kaitseala kõigisse
protsessidesse ja infoturbe jätkusuutlikkuse ning juhatusel on õigus määrata prioriteete,
kehtestada poliitikaid ja eraldada ressursse.
Juhatuse all tuleb lähtuvalt KüTSi §-st 61 mõista eraõigusliku juriidilise isiku või avalik-
õigusliku isiku juhtorganit, kohaliku omavalitsuse üksuse täitevorganit (valla- või
linnavalitsus), riigi ametiasutuse juhti, kohaliku omavalitsuse üksuse ametiasutuse juhti,
valitsusasutuse hallatava asutuse juhti, valla või linna ametiasutuse hallatava asutuse juhti,
sihtasutuse juhatust, riigi tulundusasutuse juhtimisorganit ja füüsilisest isikust ettevõtjat. Kui
juhatus on mitmeliikmeline, siis on mõistlik, et põhivastutus pannakse kokkuleppel ühele
liikmetest. Infoturbe halduse süsteemi rakendamise korraldamisel on juhatusel ka õigus jaotada
ära rollid (vt ka § 3 lg 2 selgitus) ning vastutusalad konkreetsemalt (edasivolitamine, ülesannete
kehtestamine jne). Juhatusel on õigus organisatsiooni tööd korraldava organina ka otsustada,
milliseid rakendusplaanis kavandatud meetmete rakendamata jätmisest tulenevaid riske
aktsepteeritakse ja milliseid mitte, arvestades võimalikku mõju äriprotsessi kaitsetarbele (lõige
2).
Selleks, et juhatus saaks täita talle antud ülesannet infoturbe halduse süsteemi korraldamisel,
peab juhatusele olema tagatud regulaarne ja vajadusel operatiivne juurdepääs järgmisele
teabele:
riskid ning nende võimalik mõju ja kulu;
toimunud küberintsidentide mõju äriprotsessidele;
õigusaktidest ja lepingutest tulenevad nõuded ja nende muudatused;
infoturbe hetkeseis ja infoturvameetmete rakendamise plaani täitmine.
Teabe liikumise protseduurid kehtestab organisatsioon ise (lõige 3).
Paragrahvi 5 lõikes 1 käsitletakse infoturvapoliitikat. Infoturvapoliitika (inglise keeles
information security policy) koosneb organisatsiooni väärtuste ja varade kaitse
juhtpõhimõtetest. See sisaldab infoturbe põhimõtteid ja kohustumust: miks ja millistel
põhimõtetel kaitstakse organisatsiooni varasid, sh andmeid ning võrgu- ja infosüsteeme
küberohtude eest. Infoturvapoliitika määrab kindlaks infoturbe lähtealused, infoturbe üldised
eesmärgid (inglise keeles security goal), sellega seotud rollid ja vastutusalad, turbe rakendamise
korralduslikud alused, intsidentide käsitlemise ning turbeprotsessi hindamise ja täiustamise
põhimõtted ning uuendamise regulaarsuse. Infoturvapoliitika alusel luuakse täpsemad
alampoliitikad, eeskirjad, juhendid, protseduurireeglid ja tehnilised lahendused.
Infoturvapoliitika ei pea olema koondatud vaid ühte dokumenti, kuid põhidokument peaks
selguse huvides sisaldama viiteid seotud dokumentidele. Organisatsiooni selleteemaline tekst
ei pea kohustuslikus korras kandma pealkirja „infoturvapoliitika“, vaid seda võib nimetada ka
muud moodi või see võib ka olla muu dokumendi osa.
8
Joonis 2. Infoturvapoliitika põhilised elemendid
Allikas: Riigi Infosüsteemi Amet
Organisatsiooni kaitstavad väärtused tuletatakse üldisest keskkonnast ja organisatsiooni
põhieesmärkidest. Põhieesmärgid tulenevad ettevõtte puhul ärieesmärkidest, avaliku sektori
asutuse puhul põhikirjast või põhimäärusest. Organisatsiooni väärtustena võetakse arvesse
vähemalt järgmist:
a) toimingute, sh teabekäitluse usaldatavus (käideldavus, terviklus, konfidentsiaalsus);
b) organisatsiooni sisemine ja väline maine;
c) investeeringud tehnoloogiasse, teabesse, tööprotsessidesse ja teadmusesse;
d) töödeldava informatsiooni väärtus ja kaitse vajadus, sh isikuandmed;
e) õigusaktide, eeskirjade, standardite ja lepingute nõuete täitmine;
f) inimeste füüsiline ja vaimne heaolu.
Organisatsiooni väärtused on aluseks kaitsetarbe määramisele.
Organisatsiooni infoturvapoliitika koostamisel tuleks arvestada:
a) organisatsiooni eesmärke ja strateegiat;
b) organisatsiooni kaitseala;
c) organisatsiooni struktuuri;
d) organisatsiooni olemasolevaid haldussüsteeme, nt kvaliteedihaldus, riskihaldus,
keskkonnahaldus;
e) õigusalaseid raamtingimusi, sh kohalikud ja rahvusvahelised õigusaktid, valdkondlikud
määrused;
f) klientide, tarnijate, partnerite ja muude huvipoolte nõudeid, sh lepingulisi;
g) tegevusala turvastandardeid ja -praktikaid.
Infoturvapoliitika kinnitab juhtkond. Infoturvapoliitika on soovitatav teha teatavaks töötajatele
ning vajadusel teistele huvipooltele. Infoturvapoliitika tuleks vähemalt korra kalendriaastas või
oluliste muudatuste korral üle vaadata ja vajadusel ajakohastada. Lõikes 2 ette nähtud iga-
aastase ülevaatamise kohustus on tingitud teadmisest, et IT-valdkond muutub kiirelt, mistõttu
peaks organisatsioon vähemalt korra aastas mõtlema, kas infoturbe halduses tuleb midagi muuta
või ei. Säte ei eelda, et iga aasta kinnitatakse uus infoturvapoliitika või selle muudatused.
Muudatust ei ole vaja teha, kui on selge, et selle järele puudub vajadus.
Paragrahv 6. KüTSi § 7 lõikest 1 tulenevalt peab organisatsioon rakendama asjakohaseid ja
proportsionaalseid tehnilisi, tegevuslikke ning korralduslikke turvameetmeid, et:
1) hallata riske, mis ohustavad tema tegevuses või teenuse osutamisel kasutatava võrgu- ja
infosüsteemi turvalisust, sealhulgas koostama vastava riskianalüüsi;
2) ennetada või minimeerida küberintsidendi mõju osutatava teenuse saajale ja muule teenusele;
9
3) ennetada küberintsidenti või see tuvastada ja lahendada.
See tähendab, et organisatsioonis peab olema toimiv riskihaldus.
Organisatsioon otsustab ise oma vara ja teabe (isikuandmed ja ärisaladus, sh tundlikud
tehnoloogiad ja muu intellektuaalomand) kaitsmise vajaduse ja meetmed ohtudest avalduva
riski alusel.
Mistahes meetmete rakendamisel jääb mingi risk alati alles ning organisatsioon peab otsustama,
kas selline tuvastatud jääkrisk on aktsepteeritav või ei, st kas ta on nõus sellist riski taluma.
Seejuures tuleb arvestada, et organisatsiooni riskitaluvus võib eri olukordades olla erinev.
Riskihaldus hõlmab ka rohkemate kaitsemeetmete kavandamist tulevikus tekkida võiva riski
maandamiseks, näiteks tehnoloogilist arengut silmas pidades. Ühtlasi tuleb kehtestada kahju
vähendamise meetmed juhuks, kui vara või teavet ei ole enam võimalik kaitsta. Riskihalduse
üldised etapid ja tegevused on esitatud tabelis 1.
Tabel 1. Riskihaldus
Riskihalduse etapp
Tegevus
Ohuhinnang
Millised ohud organisatsioonile avalduvad? Kelle või mille eest kaitstakse?
Riskihinnang Millist kahju vara või teabe kahjustamine põhjustab? Millisel tasemel tuleks vara või teavet kaitsta?
Kaitsemeetmed Millised peavad olema kaitsemeetmed üldiselt? Millised peavad olema kaitsemeetmed konkreetsel juhul?
Jääkrisk Millised riskid jäävad pärast meetmete rakendamist alles? Kas maandamata risk on aktsepteeritav?
Lisameetmed Kuidas tulevikus tekkida võivaid riske maandada? Millised kahju vähendamise meetmed on vajalikud?
Protsessi kordamine Kas ohu- või riskihinnang on muutunud või muutub tulevikus? Milliseid uusi kaitsemeetmeid tuleb kasutusele võtta või kavandada?
Allikas: Justiits- ja Digiministeerium
Lõikes 1 sätestatakse, et enne riskihaldusmetoodika koostamist tuleks organisatsioonis võtta
arvele varad (sh IT-vara) ja määrata kindlaks nende kaitseala. Kaitseala tuleb kindlaks määrata
ning vajaduse korral ajakohastada ka jooksvalt soetatava vara puhul.
Lõike 2 järgi seotakse turvariskihaldus äririskide halduse protsessiga. Riskihaldusmetoodika
peab sisaldama vähemalt järgmist:
äriprotsessidele mõju avaldavate ohtude tuvastamine, arvestades teabe
konfidentsiaalsust, autentsust, terviklust, käideldavust;
vara ja protsessi vastendamine infoturbekataloogi moodulitega;
infoturvameetmete rakendamise plaani täitmise otsused, sealhulgas riskide hindamine.
10
Organisatsiooni riskihaldusmetoodika peab tagama protsessi korratavuse ja võrreldavuse,
võimaldades ülevaadet rakendatud meetmete seisust ning infoturvariskide haldamisest
tervikuna.
Mistahes riskihinnang hakkab aeguma kohe pärast selle koostamist, mistõttu on riskihaldus
pidev protsess. Seega peab organisatsioon regulaarselt uuesti läbi mõtlema, milliste ohtude eest,
millisel määral ja milliste kaitsemeetmetega end ja oma teavet kaitsta.
Paragrahvis 7 kirjeldatakse infoturbekataloogi olemust. Infoturbekataloog on organisatsiooni
kahjustada võivate ohtude kaitseks võetavate meetmete loend. Infoturbekataloogi moodulid on
jaotatud protsessimooduliteks ja süsteemimooduliteks. Organisatsioon määrab igale kaitstavale
varale või varade koondile turvameetmed. Infoturbekataloog on esitatud määruse lisas.
Võrreldes kehtiva E-ITSi määrusega on märgatavalt vähendatud kataloogi detailsust, jättes
sellega organisatsioonidele suurema vabaduse asjakohaste ja efektiivsete meetmete valimisel
ning organisatsiooni tegevusest lähtuvate riskide kirjeldamisel.
Paragrahvis 8 käsitletakse infoturvameetmete rakendamise plaani. Infoturvameetmete
rakendamise plaan (edaspidi ka IMR) on ühest või mitmest dokumendist koosnev juhend, kus
kirjeldatakse, kuidas organisatsioonis teavet ja vara kaitsta ning võimalikke riske ennetada.
IMRis esitatakse kokkulepitud turvameetmed ja rollid ning käitumisjuhised erinevateks
olukordadeks.
Lõiked 1–6. IMRi koostatakse infoturbekataloogi abil, valides välja asjakohased osad ning
kirjeldades kaitsemeetmeid. Organisatsioon võib riskihalduse põhjal lisada uusi meetmeid.
Erinevalt E-ITSi kehtivast versioonist töötab organisatsioon välja oma meetmed ja hindab
nende rakendamist ning mõju ise ilma määrusepoolse ettekirjutuseta. See võimaldab
organisatsioonil välja töötada sobivaima meetmete komplekti, mis vastab organisatsiooni
kaitsevajadustele. Kasutatavad protsessimoodulid ja süsteemimoodulid lõimitakse
organisatsiooni infoturbe haldusse. Kaitseala varasid vastendatakse süsteemimoodulitega ja
luuakse neile turvameetmete komplektid. Protsessimoodulite meetmed lõimitakse
organisatsiooni igapäevasesse töökorraldusse.
Organisatsioon määrab meetmete rakendamise prioriteedid kaitsetarbe, turbeviisi, meetmete ja
varade omavahelise sõltuvuse, vara elutsükli ja infoturbe eesmärkide alusel. Riski kaalutlemise
tulemusel lisanduvaid riskikäsitlusmeetmeid kirjeldatakse IMRis. IMRi pidev haldus on
riskihalduse protsessi osa. Ülevaade IMRist ja meetmete rakendamise hetkeseisust on osa
juhtkonnale regulaarselt esitatavatest aruannetest.
Kui üksiku meetme rakendamata jätmisest tulenev risk ei ületa organisatsioonis kehtivat
riskitaluvuspiiri või on risk maandatud alternatiivsete või kompenseerivate turvameetmetega,
on lubatav jätta infoturbekataloogi meede rakendamata ja sellest tulenevat riski aktsepteerida.
Riski aktsepteerimise otsused dokumenteeritakse IMRis ja vaadatakse regulaarselt üle.
Lõigetes 7–9 on võrreldes E-ITSi kehtiva versiooniga selgemalt sätestatud organisatsiooni
kohustus hinnata ka sõltuvust välistest isikutest teenuse osutamisel või äriprotsessides
(organisatsiooniväline tarneahel). Ka sellisel juhul peab organisatsioon võtma kasutusele
mõistlikud meetmed, et olla teadlik tarneahelaga seotud riskidest. Näiteks veendumaks, et ka
tarnija rakendab turvameetmeid, võib küsida asjakohase sertifikaadi olemasolu või
enesehindamise tulemusi. Kui välise isiku puhul ei ole selge, milliseid meetmeid ta rakendab
või kas tema teenust on hinnatud, siis tasub organisatsioonil kaaluda välise isiku vahetust või
11
kasutatava teenuse puhul rohkemate riskimeetmete rakendamist, sh teenuse kasutusulatuse
piiramist.
Paragrahvis 9 nähakse ette personali turvameetmete rakendamise alase koolitamise vajadus.
Organisatsioon peab kooskõlas infoturvapoliitika eesmärkidega tagama kõigi töötajate, sh
juhatuse liikmete infoturbealase koolitamise ja teadmiste täiendamise. Koolitusel lähtutakse
töötaja ülesannetest ja seotusest rakendatavate turvameetmetega. Regulaarsete infoturvet
käsitlevate koolituste eesmärk on motiveerida töötajaid järgima infoturvanõudeid, käsitlema
teavet ja käsitsema töövahendeid korrektselt, vältima riskikäitumist ja asjakohaselt reageerima
mistahes intsidentidele, sealhulgas teadma, kuidas intsidente ennetada ja avastada.
Koolitus ei pea olema loengupõhine, lubatud on kasutada ka muid meetodeid, näiteks
perioodiliste testide tegemist. Koolitus ei pea olema kogu personalile samasugune, vaid
koolitamisel võib lähtuda töötaja rollist, seotusest võrgu- ja infosüsteemi ning selle kaitsega
jne.
3. peatükk. Seire
Paragrahv 10. Eelnõu koostamise käigus vaadati üle määruse nr 101 lisas sätestatud
auditeerimiseeskiri.
Võrreldes E-ITSi kehtiva versiooniga ei ole enam auditi osana sätestatud eelauditit, vaheauditit
ja järelauditit. Nimetatud osade asemel nähakse eelnõus (lõige 1) ette organisatsioonisisene
hindamine. Organisatsioonisisene hindamine on organisatsiooni pidev kontroll, mille käigus
hinnatakse, kas organisatsioonis on:
1) kindlaks määratud äriprotsessid;
2) kaardistatud äriprotsessidega seotud varad;
3) tuvastatud välised infoturvanõuded, sealhulgas õigusaktid ja lepingud;
4) määratud kaitsetarve;
5) vastendatud infoturbekataloogi moodulid kaitseala varaga;
6) kehtestatud riskihaldusmetoodika;
7) koostatud infoturvameetmete rakendamise plaan;
8) rakendatud ja seiratud infoturvameetmeid vastavalt infoturvameetmete rakendamise plaanis
esitatud tähtaegadele;
9) kõrvaldatud auditite ja hindamiste käigus tuvastatud puudused.
Järelauditi asemel peab organisatsioon auditi lõpparuandest tulenevalt kavandama
parandusmeetmete rakendamise, määrama vastutajad ja tähtajad. Parandusmeetmete
rakendamist ja infoturvameetmete rakendamise plaani ajakohastamist koordineerib infoturbe
eest vastutav isik. Organisatsioonisisese hindamise käigus hinnatakse kavandatud meetmete
rakendamist ja tulemuslikkust.
Lõige 2. Organisatsioonisisest hindamist võib teha organisatsiooniga töö- või teenistussuhtes
olev isik või organisatsiooniväline isik. Muudatus võimaldab organisatsioonil lähtuda oma
võimalustest ja vajadustest. Näiteks võib organisatsioon kasutada hindamiseks siseaudiitorit või
kui organisatsiooni suurus või ülesehitus ei võimalda hindajat palgal hoida, siis on võimalik ka
teenust sisse osta. Sealhulgas ei ole välistatud, et hindamist tehakse kahasse kahe või enama
organisatsiooniga, kes on oma olemuselt seotud. Oluline on, et hindaja ise ei ole turvameetmete
rakendaja, st on selle suhtes erapooletu.
Lõikes 3 sätestatakse, et organisatsioonisisese hindamise käigus tuvastatud puudused ning
eelmise auditi järel kavandatud parandusmeetmed peaksid olema vastavalt kas kõrvaldatud või
rakendatud. Sealhulgas arvatakse selle hulka ka riskide põhjendatud aktsepteerimist. Välise
12
isiku hinnang annab organisatsiooni klientidele ja partneritele teavet organisatsiooni infoturbe
halduse süsteemi jätkusuutlikkuse ja infoturvalisuse ohtudele vastupanuvõime kohta. Näiteks
rahvusvahelise standardi ISO/IEC 27001 järgimine eeldab auditeerimist, mille tulemusel
väljastatakse vastav sertifikaat. Selle sertifikaadi olemasolu võivad eeldada võimalikud
koostööpartnerid enne koostöö alustamist. Samas võib sertifikaat kehtida vaid kindla teenuse
või tegevuse kohta.
Paragrahvis 11 kirjeldatakse auditeerimise eesmärki, mis seni oli nimetatud kehtiva E-ITSi
määruse lisas. Auditeerimine on osa turvameetmete rakendamise protsessist, mille käigus
väline isik annab sõltumatu hinnangu tehtule ja kirjeldab avastatud puudujääke.
Auditi võib teha koos teise organisatsiooniga. Ühisaudit või teise organisatsiooni nimel auditi
tellimine on ennekõike asjakohane juhul, kui eri organisatsioonide info- ja
kommunikatsioonitehnoloogia (edaspidi IKT) taristu haldamine ja majutamine on üle antud
kesksele organisatsioonile. Samas ei ole välistatud ka muud võimalused ühishanget teha. Küll
aga peab auditi lõpparuanne sisaldama teavet iga auditi subjekti kohta. IKT-taristu haldamine
ja majutamine kolmanda organisatsiooni kaudu ei mõjuta auditi subjekti kohustust E-ITSi
järgida, mille täitmist audit kontrollib.
Organisatsioonipoolset auditi tellimist, auditiga kaasnevaid kohustusi, auditi kvaliteedi
hindamist ning audiitoripoolset auditi kavandamist, tegemist ja selle kohta aruande koostamist
on kirjeldatud auditeerimiseeskirjas, mis kehtestatakse määruse lisana.
Peatükis kirjeldatud tegevuste ajajoon on esitatud joonisel 3.
Joonis 3. Seire ajajoon
Allikas: Justiits- ja Digiministeerium
4. peatükk. Eesti infoturbestandardi tugi ja rakendamine
Eelnõuga kavandatakse märgatavalt vähendada määruse nr 101 regulatiivset osa, suurendades
seeläbi info- ja võrgusüsteemide turvameetmete rakendamise paindlikkust ning parandades ka
efektiivust, võimaldades organisatsioonil ise valida ja kujundada asjakohaseid turvameetmeid.
Eri organisatsioonid vajavad siiski endiselt tuge ja nõu meetmete rakendamisel võrgu- ja
infosüsteemide kaitseks. Selleks nähakse paragrahvis 12 ette riigi tugitegevused E-ITSi
organisatsioonisisene hindamine
selgitada välja, kas puudused, sh eelmisest auditist
tulenevad puudused, on kõrvaldatud või jääkrisk aksepteeritud
audit
1. aasta 2. aasta 3. aasta 4. aasta/ 1. aasta >
S e ir
e t e ge
vu se
d
13
rakendamisel. Küberturvalisuse valdkonnas teeb riiklikku ja haldusjärelevalvet Riigi
Infosüsteemi Amet. Eelnõukohases määruses sätestatakse, et E-ITSi rakendamise toetamiseks
ja ühtlustamiseks loob amet asjakohase veebilehe või rakenduse. Veebilehe loomise nõue ei ole
uus, sest ka kehtiva E-ITSi rakendamise toetamiseks on Riigi Infosüsteemi Amet loonud
rakendamist toetava veebikeskkonna.1 Veebilehel saab amet avaldada ajakohaseid juhiseid
turvameetmete rakendamiseks või selgitada, kuidas, miks ja millele tähelepanu pöörata.
Veebileht toetab määrust, kuid sel ei ole iseseisvat õigusjõudu. Seal avaldatud teave toetab
organisatsioone, kuid samas jääb igale organisatsioonile vabadus rakendada soovitatust erinevat
meedet või võtta kasutusel mõni teine organisatsiooni äriprotsessidega sobivam meede või jätta
meede üldse rakendamata, kui selleks puudub vajadus. Veebileht võimaldab Riigi Infosüsteemi
Ametil kiiremini teavitada organisatsioone uutest ohtudest ja riskidest ning pakkuda uusi
tehnoloogilisi lahendusi jne.
Eelnõukohane määrus sätestab ka E-ITSi järgimist toetavate rakenduste kasutusele võtmise
võimaluse. Kavandatav rakendus peaks parandama eelkõige väiksemate organisatsioonide
võimekust omada ülevaadet oma võrgu- ja infosüsteemide kaitsega seotud riskidest ning
puudujääkidest, sest erinevalt suurtest organisatsioonidest puudub väiksemates
organisatsioonides sageli ainult infoturbega tegelev töötaja (infoturbejuht) või ostetakse
infoturbeteenust sisse. Näiteks Riigi Infosüsteemi Amet arendab Eesti infoturbestandardi
järgimiseks tugirakendust, mis aitab rakendajal luua vajaduspõhist turvameetmete rakendamise
plaani, seejuures vähendada vigu meetmete valimisel, ja suunab rakendaja kohe meetmeid
rakendama.2
Paragrahv 13. Eelnõukohase määrusega on ette nähtud E-ITSi kehtiva versiooni kehtetuks
tunnistamine, mistõttu nähakse ette kolmeaastane üleminekuperiood. Perioodi pikkuse
määramisel on arvestatud senise auditeerimise välbaga. Eelnõukohase määruse jõustumise
korral ei ole ühelgi organisatsioonil kohustust alustada turvameetmete ülevaatamist või jätta
pooleli juba toimuv audit. Eelnõukohase määrusega väheneb asjaomaste sätete hulk, kuid ei
muudeta vajadust kaitsta võrgu- ja infosüsteeme. Seega on kehiva määruse alusel tehtud audit
asjakohane ka pärast uue määruse kehtima hakkamist. Turvameetmete rakendamine ja riskide
hindamine on pidev protsess, seega on ka organisatsioonipoolne meetmete kohandamine pidev
protsess.
Paragrahvis 14 nähakse ette määruse nr 101 (RT I, 28.08.2025, 12) kehtetuks tunnistamine
eelnõukohase määruse jõustumisel. Määrus jõustub paragrahvi 15 kohaselt 1. augustil 2026
(vt ka seletuskirja p 7 „Määruse jõustumine“).
Eelnõul on kaks lisa:
lisa 1 „Infoturbekataloog“,
lisa 2 „Auditeerimiseeskiri“.
3. Eelnõu terminoloogia
Eelnõukohases määruses esitatakse nelja määruses kasutatava termini määratlus:
infoturbe halduse süsteem – riskide hindamisel, käsitlemisel ja aktsepteerimisel põhinev
teenuseosutaja süsteemse kaitsmise ning infoturbe rajamise, teostamise, seire, läbivaatamise ja
täiustamise süstemaatilise käsitlemise viis;
1 https://eits.ria.ee/ 2 https://eits.ria.ee/et/abimaterjalid/tugirakendus
14
infoturvameetmete rakendamise plaan – organisatsioonikeskne struktureeritud ühest või
mitmest dokumendist koosnev juhend turvameetmete haldamiseks;
organisatsioon – teenuseosutaja küberturvalisuse seaduse tähenduses;
äriprotsess – organisatsiooni tegevuse osa, mingi eesmärgi saavutamiseks
rakendatavate inimeste, aja, finants- ja töövahendite (edaspidi koos ressursid), tegevuste,
toimingute või protseduuride kogum, mille tulemusel valmib toode või teenus.
4. Eelnõu vastavus Euroopa Liidu õigusele
Määrus vastab Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiivi (EL)
2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu
liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning
tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv), artiklile 21.
Eelnõu ei ole seotud Euroopa Liidu õiguse ülevõtmisega.
5. Määruse mõjud
Eelnõukohane määrus mõjutab majanduskeskkonda ning riigivalitsemist.
Eelnõukohase määruse jõustumisel väheneb olulisel määral nende võrgu- ja infosüsteemide
infoturvet kirjeldavate sätete hulk, mille arvestamist või arvestamata jätmist peab põhjendama.
Mõjuvaldkond: halduskoormus (majanduslik), mõju kohaliku omavalitsuse korraldusele ja
finantseerimisele ning keskvalitsuse korraldusele (riigivalitsemine)
Mõju sihtrühm: KüTSi subjektid, kellel on määrusest nr 121 tulenev kohustus rakendada E-
ITSi.
Avalduv mõju ja mõju olulisus
Eelnõukohase määruse jõustumisel keskendub E-ITS senisest enam turvameetmete
vormikohasuse asemel nende ajakohasusele, mille tulemusena muutub organisatsioonide
küberturbe korraldamine efektiivsemaks ning vajaduspõhisemaks. Organisatsioonidel on
edaspidi paremad võimalused keskenduda asja- ja ajakohaste meetmete rakendamisele.
Pikemas perspektiivis peaks eelnõukohase määruse rakendamine vähendama organisatsioonide
haldus- või töökoormust, sest uue määrusega vähendatakse välise auditi kasutamise kohustuse
ulatust ning ettekirjutavate normide hulka.
Järeldus mõju olulisuse kohta: eelnõukohase määruse jõustumisel suureneb paindlikkus
võrgu- ja infosüsteemide turvameetmete valimisel ja rakendamisel. See võimaldab kiiremini
reageerida tehnoloogiamuutustele ja võimalikele kaasnevatele riskidele. Muudatus toetab
eeldatavalt efektiivsemalt digiühiskonna toimimist. Seega määruse üldine mõju on positiivne,
kuid üksiku organisatsiooni seisukohast siiski väike, sest ei eelda vahetult uusi tegevusi ega sea
ka uusi kohustusi.
6. Määruse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud
Eelnõukohase määrusega ei kehtestata organisatsioonidele uusi kohustusi, küll aga võib see
tänu auditeerimisprotsessi muudatustele veidi vähendada kulu. Eelnõukohase määruse
jõustumisega ei kaasne riigi ja kohaliku omavalitsuse üksuse eelarvele lisakulu ega -tulu.
15
7. Määruse jõustumine
Määrus jõustub 1. augustil 2026. Jõustumisaja kehtestamisel on arvestatud Riigi Infosüsteemi
Ameti vajadust vaadata üle haldus- ja riikliku järelevalvega seotud dokumentatsioon ning
avaandmed ning viia need muudatustega kooskõlla. Riigi Infosüsteemi Amet peab ka
ajakohastama oma veebilehel oleva teabe ning tegema selle kättesaadavaks rakendajatele.
8. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
9.1. Eelnõu esitakse eelnõude infosüsteemi kaudu kooskõlastamiseks Haridus- ja
Teadusministeeriumile, Kliimaministeeriumile, Kultuuriministeeriumile, Majandus- ja
Kommunikatsiooniministeeriumile, Regionaal- ja Põllumajandusministeeriumile,
Rahandusministeeriumile, Siseministeeriumile, Sotsiaalministeeriumile, Välisministeeriumile,
Riigikantseleile ning Eesti Linnade ja Valdade Liidule.
9.2. Eelnõu saadetakse arvamuse avaldamiseks Riigikogu Kantseleile, Vabariigi Presidendi
Kantseleile, Riigikohtule, Eesti Pangale, Finantsinspektsioonile, Riigi Infosüsteemi Ametile,
Riigi Info- ja Kommunikatsioonitehnoloogia Keskusele, Andmekaitse Inspektsioonile ning
Registrite ja Infosüsteemide Keskusele.
9.3. Eelnõu saadetakse arvamuse avaldamiseks Eesti Haiglate Liidule, Eesti Perearstide
Seltsile, Eesti Vee-ettevõtete Liidule, Eesti Kiirabi Liidule, Ravimitootjate Liidule, Eesti
Proviisorapteekide Liidule, Eesti Apteekrite Liidule, Eesti Elektritööstuse Liidule, Eesti
Jõujaamade ja Kaugkütte Ühingule, Eesti Gaasiliidule, Eesti Transpordikütuste Ühingule, Eesti
Infotehnoloogia ja Telekommunikatsiooni Liidule, Eesti Kaubandus-Tööstuskojale, Eesti
Põllumajandus-Kaubanduskojale, Eesti Esmatasandi Tervisekeskuste Liidule ja Eesti
Infosüsteemide Audiitorite Ühingule.
Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898
Ministeeriumid Eesti infoturbestandard Edastame justiits- ja digiministri määruse „Eesti infoturbestandard“ eelnõu. Palume Teie tagasisidet 30 päeva jooksul eelnõu avaldamisest eelnõude infosüsteemis. Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister Lisad: 1. Eelnõu 2. Seletuskiri 3. Lisa 1 Infoturbekataloog 4. Lisa 2 Auditeerimiseeskiri Arvamuse andmiseks: Riigikogu Kantselei Vabariigi Presidendi Kantselei Riigikohus Eesti Pank Finantsinspektsioon Riigi Infosüsteemi Amet Riigi Info- ja Kommunikatsioonitehnoloogia Keskus Andmekaitse Inspektsioon Registrite ja Infosüsteemide Keskus Eesti Haiglate Liit Eesti Perearstide Selts Eesti Vee-Ettevõtete Liit Eesti Kiirabi Liit Ravimitootjate Liit Eesti Proviisorapteekide Liit Eesti Apteekrite Liit Eesti Elektritööstuse Liit Eesti Jõujaamade ja Kaugkütte Ühing Eesti Gaasiliit Eesti Transpordikütuste Ühing Eesti Infotehnoloogia ja Telekommunikatsiooni Liit Eesti Kaubandus-Tööstuskoda Eesti Põllumajandus-Kaubanduskoda
Meie 25.05.2026 nr 8-1/4143-1
2
Eesti Infosüsteemide Audiitorite Ühing Eesti Esmatasandi Tervisekeskuste Liit Guido Pääsuke [email protected]
Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898
Ministeeriumid Eesti infoturbestandard Edastame justiits- ja digiministri määruse „Eesti infoturbestandard“ eelnõu. Palume Teie tagasisidet 30 päeva jooksul eelnõu avaldamisest eelnõude infosüsteemis. Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister Lisad: 1. Eelnõu 2. Seletuskiri 3. Lisa 1 Infoturbekataloog 4. Lisa 2 Auditeerimiseeskiri Arvamuse andmiseks: Riigikogu Kantselei Vabariigi Presidendi Kantselei Riigikohus Eesti Pank Finantsinspektsioon Riigi Infosüsteemi Amet Riigi Info- ja Kommunikatsioonitehnoloogia Keskus Andmekaitse Inspektsioon Registrite ja Infosüsteemide Keskus Eesti Haiglate Liit Eesti Perearstide Selts Eesti Vee-Ettevõtete Liit Eesti Kiirabi Liit Ravimitootjate Liit Eesti Proviisorapteekide Liit Eesti Apteekrite Liit Eesti Elektritööstuse Liit Eesti Jõujaamade ja Kaugkütte Ühing Eesti Gaasiliit Eesti Transpordikütuste Ühing Eesti Infotehnoloogia ja Telekommunikatsiooni Liit Eesti Kaubandus-Tööstuskoda Eesti Põllumajandus-Kaubanduskoda
Meie 25.05.2026 nr 8-1/4143-1
2
Eesti Infosüsteemide Audiitorite Ühing Eesti Esmatasandi Tervisekeskuste Liit Guido Pääsuke [email protected]