Eesti seisukohad Euroopa Liidu küberturvalisuse õigusaktide eelnõude paketi kohta

ET ET

EUROOPA KOMISJON

Strasbourg, 20.1.2026

COM(2026) 13 final

2026/0012 (COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV

millega muudetakse direktiivi (EL) 2022/2555 seoses lihtsustamismeetmetega ja

vastavusse viimisega [küberturvalisuse 2. määruse ettepanekuga]

{SWD(2026) 11-12} - {SEC(2026) 11}

(EMPs kohaldatav tekst)

ET 1 ET

SELETUSKIRI

1. ETTEPANEKU TAUST

• Ettepaneku põhjused ja eesmärgid

Käesolev ettepanek kuulub meetmepaketti, mille eesmärk on viia liidu küberturvalisuse

raamistik kooskõlla sidusrühmade vajadustega aina keerukamate küberohtudega keskkonnas

ja keerulises geopoliitilises reaalsuses. Aina sagedamini on küberrünnete sihtmärkideks

kriitilise tähtsusega sektoritesse kuuluvad elutähtsad ja olulised üksused,1 samal ajal kui

riiklikud ohusubjektid kasutavad oma rünnete võimendamiseks ja optimeerimiseks

kujunemisjärgus tehnoloogiat, näiteks tehisintellekti. Sellega seoses käsitatakse elutähtsa

taristu vastupidavust küberohtudele meie demokraatia ja liidu majandusjulgeoleku

strateegilise tugisambana. Küberturvalisus on seatud liidu vastupanuvõime tegevuskava

keskmesse nii ELi kriisivalmiduse strateegias2 kui ka Euroopa sisejulgeoleku strateegias

(ProtectEU)3. Samuti on teatises „ELi majandusjulgeoleku tugevdamine“4 nimetatud

prioriteetsete eesmärkidena juurdepääsu takistamist tundlikule teabele ja andmetele, mis võib

kahjustada liidu majandusjulgeolekut, ning liidu majandust mõjutavate liidu elutähtsa taristu

häirete ennetamist ja leevendamist, milles on tähtsal kohal tulemuslikud küberturvalisuse

meetmed. Lisaks rõhutati Draghi aruandes vajadust suurendada julgeolekut ja vähendada

sõltuvust kui üht peamist liidus vajalikku tegevusvaldkonda5. Oma teatises „Lihtsam ja kiirem

Euroopa“6 teatas komisjon oma pühendumisest ambitsioonikale programmile, et edendada

tulevikku vaatavaid uuenduslikke poliitikameetmeid, mis tugevdavad liidu konkurentsivõimet

ning vähendavad inimeste, ettevõtete ja haldusasutuste regulatiivset koormust, säilitades

samal ajal liidu väärtuste edendamisel kõrgeima standardi.

Käesolev ettepanek võtta vastu direktiiv, millega muudetakse direktiivi (EL) 2022/2555

seoses lihtsustamismeetmetega ja vastavusse viimisega [ettepanekuga võtta vastu Euroopa

Parlamendi ja nõukogu määrus, mis käsitleb Euroopa Liidu Küberturvalisuse Ametit

(ENISA), Euroopa küberturvalisuse sertifitseerimise raamistikku ja IKT tarneahela turvalisust

ning millega tunnistatakse kehtetuks määrus (EL) 2019/881 (küberturvalisuse 2. määrus)], on

kirjeldatud asjaolusid arvestades loodud eesmärgiga lahendada liidu turvaolekut mõjutava

küberturvalisusega seotud poliitika keerukuse ja mitmekesisuse probleem, eelkõige

täpsustuste lisamisega ja reguleeritud üksuste jaoks nõuete täitmise lihtsustamisega.

Käesoleva direktiivi eesmärki tuleks käsitada osana küberturvalisuse määruse läbivaatamise

paketi üldistest eesmärkidest; pakett sisaldab ettepanekut võtta vastu Euroopa Parlamendi ja

nõukogu määrus, milles käsitletakse Euroopa Liidu Küberturvalisuse Ametit (ENISA),

Euroopa küberturvalisuse sertifitseerimise raamistikku ja IKT tarneahela turvalisust ning

millega tunnistatakse kehtetuks määrus (EL) 2019/881. Kõnealuse määruse ettepaneku

eesmärk on käsitleda järgmisi probleeme: i) liidu küberturvalisuse poliitikaraamistiku ja

sidusrühmade vajaduste kooskõlastamatus üha vaenulikumas keskkonnas; ii) Euroopa

küberturvalisuse sertifitseerimise raamistiku rakendamise seiskumine; iii) liidu turvaolekut

1 ENISA, ENISA ohtude kaardistamise aruanne 2025. 2 JOIN/2025/130 final. 3 COM/2025/148 final. 4 JOIN(2025) 977 final. 5 Euroopa Komisjon, „Euroopa konkurentsivõime tulevik“,

https://commission.europa.eu/document/download/97e481fd-2dc3-412d-be4c-

f152a8232961_en?filename=The%20future%20of%20European%20competitiveness%20_%20A%20competitiven

ess%20strategy%20for%20Europe.pdf. 6 COM(2025) 47 final.

ET 2 ET

mõjutava küberturvalisusega seotud poliitika keerukus ja mitmekesisus ning iv) IKT

tarneahelate turvariskide suurenemine. Seoses liidu turvaolekut mõjutava küberturvalisusega

seotud poliitika keerukuse ja mitmekesisusega on küberturvalisuse määruse läbivaatamise

paketis tehtud Euroopa küberturvalisuse sertifitseerimise raamistiku reformi raames ettepanek

edendada sertifitseerimist kui ettevõtjate nõuetele vastavuse tagamise vahendit ning

võimaldada üksuste turvaolekut käsitleva kava väljatöötamist, et vähendada nõuete täitmisega

seotud kulusid üksustele, kelle suhtes kohaldatakse küberturvalisuse 2. direktiivi ja muid

asjakohaseid liidu küberturvalisuse õigusakte. See lähenemisviis lihtsustab märkimisväärselt

paljusid vastavusnõudeid täitma pidavate üksuste regulatiivseid kohustusi ja tagab ressursside

tulemuslikuma kasutamise riikide ametiasutustes.

Küberturvalisuse 2. määruse ettepaneku seletuskirjas kirjeldatakse ettepaneku aluseks olevaid

peamisi probleeme ja konkreetseid eesmärke nende lahendamiseks. Direktiivi ettepanekus

käsitletakse küberturvalisuse määruse läbivaatamise mõjuhinnangu 4. erieesmärki, st luua

mehhanismid ja tingimused, mis aitavad hõlbustada küberturvalisuse nõuete täitmist ning

muuta seeläbi nende rakendamine sidusamaks ja tulemuslikumaks. Küberturvalisuse

2. direktiivi sihipäraste muudatuste eesmärk on lihtsustada küberturvalisuse raamistiku

konkreetsete aspektide järgimist ning tagada nende sujuv ja sidus rakendamine, sealhulgas

seoses kohaldamisala, määratluste, lunavaraintsidentidest teatamise ja piiriüleseid teenuseid

osutavate üksuste järelevalvega.

Ettepanek võtta vastu direktiiv, millega muudetakse direktiivi (EL) 2022/2555 seoses

lihtsustamismeetmega ja vastavusse viimisega [küberturvalisuse 2. määrusega], kuulub

õigusloome kvaliteedi ja tulemuslikkuse programmi (REFIT) alla. Koos küberturvalisuse

määruse läbivaatamisega aitab see oluliselt kaasa selguse parandamisele, ebatõhususe

kõrvaldamisele ja eri õigusraamistike menetluste ühtlustamisele. See aitab kaasa siseturu

nõuetekohasele toimimisele, tagades samal ajal liidu julgeoleku ja strateegilise autonoomia.

• Kooskõla poliitikavaldkonnas praegu kehtivate õigusnormidega

Liit on laiendanud oma õiguslikke ja poliitilisi vahendeid mitme õigusakti ja poliitikameetme

vastuvõtmisega: i) küberturvalisuse 2. direktiivi eesmärk on tugevdada elutähtsa taristu

küberturvalisust; ii) selle nn sõsardirektiivis, elutähtsa teenuse osutajate toimepidevuse

direktiivis, on määratletud füüsilise turvalisuse meetmed; iii) küberkerksuse määrusega

suurendatakse toodete küberturvalisust; iv) kübersolidaarsuse määrusega parandatakse kogu

ELis reageerimisvõimekust; v) ELi kübervaldkonna tegevuskavaga7 toetatakse ELi tasandi

koostööd kriisiohje valdkonnas; vi) 5G küberturvalisuse meetmepaketiga (5G meetmepakett)

toetatakse 5G-võrkude küberturvalisust; vii) Euroopa haiglate ja tervishoiuteenuse osutajate

küberturvalisuse tegevuskava8 aitab suurendada nende küberturvalisust ning

viii) küberturbeoskuste akadeemia9 kaudu lahendatakse üha suuremat küberturvalisuse

valdkonna talendinappuse probleemi.

Eespool kirjeldatud küberturvalisuse õigusraamistikku on täiendatud valdkondlike

õigusaktidega, nagu digitaalse tegevuskerksuse määrus (DORA määrus) finantssektori jaoks,

võrgueeskiri piiriüleste elektrivoogude küberturvalisust käsitlevate sektoripõhiste normide

kohta elektri allsektori jaoks ning infoturbe eeskirjad10 lennutranspordi allsektori jaoks.

7 COM/2025/66 final. 8 COM(2025) 10 final. 9 COM(2023) 207 final. 10 Komisjoni rakendusmäärus (EL) 2023/203 ja komisjoni delegeeritud määrus (EL) 2022/1645.

ET 3 ET

Käesolev direktiivi ettepanek, nagu ka sellega kaasnev määruse ettepanek, on osa laiemast

õiguslike ja poliitiliste algatuste kogumist, mille liit võtab vastu, et parandada üksuste

vastupanuvõimet julgeoleku- ja küberohtudele. Selles keskendutakse küberturvalisuse

2. direktiivi sihipärastele muudatustele, mille eesmärk on muu hulgas täpsustada teatavaid

kohaldamisala, määratluste ja jurisdiktsiooninormidega seotud aspekte, vähendada elutähtsate

ja oluliste üksuste järelevalve koormust ning hõlbustada piiriüleste üksuste järelevalvet,

tugevdades ENISA rolli operatiivkoostöö toetamisel. Peale selle loovad käesolev ettepanek ja

määruse ettepanek ühiselt tugeva sünergia, mis tuleneb küberturvalisuse 2. direktiivi kohase

turvaoleku sertifitseerimise väljatöötamisest ning võib hõlbustada muude asjakohaste liidu

õigusaktide, näiteks isikuandmete kaitse üldmääruse järgimist, ilma et see piiraks nende

konkreetseid sertifitseerimisnõudeid. Need lihtsustamismeetmed peaksid vabastama

vahendeid, et tugevdada liidu kriitilise tähtsusega sektorite üksuste operatiivset

küberturvalisuse alast valmisolekut.

• Kooskõla muude liidu tegevuspõhimõtetega

Käesoleva ettepanekuga tugevdatakse ettevõtluskukru teenuseid pakkuvate üksuste

turvanõudeid, mis on sätestatud ettepanekus võtta vastu Euroopa Parlamendi ja nõukogu

määrus Euroopa ettevõtluskukrute loomise kohta11. Lisaks tagab komisjon kooskõla tulevaste

algatustega, näiteks digivõrkude õigusaktiga. Käesolev ettepanek on kooskõlas digivaldkonna

õigusaktide lihtsustamist käsitleva määruse ettepanekuga (digivaldkonna koondpakett), mis

sisaldab muudatusi küberturvalisuse 2. direktiivis ja muudes liidu õigusaktides.

Digivaldkonna koondpaketis tehakse ettepanek hõlbustada muu hulgas küberturvalisuse

2. direktiivi kohaste küberturvalisuse aruandlusnõuete täitmist, nii et teatamiseks kasutataks

intsidentidest teatamise ühtset kontaktpunkti, mille töötab välja ja mida haldab ENISA.

Ettepanek on ühtlasi kooskõlas ettepanekuga võtta vastu Euroopa Parlamendi ja nõukogu

määrus liidus toimuva kosmosetegevuse ohutuse, kerksuse ja kestlikkuse kohta12.

Nagu eespool rõhutatud, on ettepanek kooskõlas ka Mario Draghi aruandega Euroopa

konkurentsivõime tuleviku kohta.

2. ÕIGUSLIK ALUS, SUBSIDIAARSUS JA PROPORTSIONAALSUS

• Õiguslik alus

Käesoleva direktiivi õiguslik alus on Euroopa Liidu toimimise lepingu (ELi toimimise leping)

artikkel 114, mille kohaselt soovitakse rajada siseturg ja tagada selle toimimine riigisiseste

normide ühtlustamise meetmete tõhustamise abil. Käesoleva ettepanekuga muudetakse

direktiivi (EL) 2022/2555, mis võeti vastu ELi toimimise lepingu artikli 114 alusel.

• Subsidiaarsus (ainupädevusse mittekuuluva valdkonna puhul)

Subsidiaarsuse põhimõtte kohaselt on vaja hinnata liidu meetme vajalikkust ja lisaväärtust.

Subsidiaarsuse põhimõtte järgimist selles valdkonnas tunnistati juba käesoleva ettepanekuga

muudetava direktiivi (EL) 2022/2555 vastuvõtmisel.

Käesolev ettepanek soodustab liidu küberturvalisuse õigusaktide järgimist, vähendades

mõjutatud üksuste nõuete täitmisega seotud kulusid ja õiguskindlusetust ning hõlbustades ja

11 COM/2025/838 final. 12 COM/2025/335 final.

ET 4 ET

parandades küberturvalisuse nõuete täitmise määra. Samuti aitab see liikmesriikides

ühtlustada lähenemisviise järelevalvele ja vastavuskontrollile.

• Proportsionaalsus

Käesoleva direktiivi kavandatud eeskirjadega reguleeritakse üksnes seda, mis on vajalik, et

saavutada kindlad eesmärgid rahuldaval tasemel. Kavandatav kohaldamisala, turvameetmete

ja teatamiskohustuste vastavusse viimine ja ühtlustamine lähtub liikmesriikide ja ettevõtjate

taotlustest praegust raamistikku parandada.

• Vahendi valik

Ettepanekuga muudetakse kehtivat küberturvalisuse 2. direktiivi ja ühtlustatakse veelgi

ettevõtjatele kehtestatud kohustusi, tagades seega kogu liidus ühtlasema taseme. Käesoleva

ettepaneku jaoks valitud vahend on vastab muudetavale õigusaktile, s.t küberturvalisuse

2. direktiivile. Käesolevas ettepanekus tuginetakse küberturvalisuse 2. direktiivi eesmärgile

anda liikmesriikidele paindlikkus, mida on vaja riiklike eripärade arvessevõtmiseks.

3. JÄRELHINDAMISE, SIDUSRÜHMADEGA KONSULTEERIMISE JA MÕJU

HINDAMISE TULEMUSED

• Praegu kehtivate õigusaktide järelhindamine või toimivuse kontroll

Vt [küberturvalisuse 2. määruse ettepaneku] seletuskiri.

• Konsulteerimine sidusrühmadega

Vt [küberturvalisuse 2. määruse ettepaneku] seletuskiri.

• Eksperdiarvamuste kogumine ja kasutamine

Vt [küberturvalisuse 2. määruse ettepaneku] seletuskiri.

• Mõjuhinnang

Vt [küberturvalisuse 2. määruse ettepanekule] lisatud seletuskiri ja mõjuhinnang.

• Õigusnormide toimivus ja lihtsustamine

Vt [küberturvalisuse 2. määruse ettepaneku] seletuskiri.

• Põhiõigused

Vt [küberturvalisuse 2. määruse ettepaneku] seletuskiri.

4. MÕJU EELARVELE

Vt [küberturvalisuse 2. määruse ettepaneku] finantsselgitus.

5. MUU TEAVE

• Rakenduskavad ning järelevalve, hindamise ja aruandluse kord

Küberturvalisuse 2. direktiivi artikli 40 kohaselt vaatab komisjon direktiivi toimimise läbi

ja esitab iga 36 kuu järel Euroopa Parlamendile ja nõukogule aruande.

ET 5 ET

• Ettepaneku sätete üksikasjalik selgitus

Ettepaneku eesmärk on hõlbustada küberturvalisuse kohustuste täitmist ja vabastada

vahendeid, et tugevdada liidu kriitilise tähtsusega sektorite üksuste operatiivset

küberturvalisuse alast valmisolekut.

Ettepanekuga tehakse küberturvalisuse 2. direktiivis sihipäraseid muudatusi, et lihtsustada

küberturvalisuse raamistiku konkreetseid aspekte, suurendada õiguskindlust ja ühtlustada

rakendamist.

Selleks et üksustel ja tarnijatel oleks lihtsam tõendada vastavust küberturvalisuse

2. direktiivile, on küberturvalisuse 2. direktiiviga reguleeritud üksustel võimalik saada

sertifikaate organisatsioonide küberturvalisuse sertifitseerimise kavade alusel, mis on välja

töötatud Euroopa küberturvalisuse sertifitseerimise raamistikus kooskõlas käesoleva

ettepanekuga kaasneva määruse ettepanekuga.

Et veelgi hõlbustada küberturvalisuse riskijuhtimismeetmete järgimist mitme riigiga seotud

üksustes, mille üle teevad järelevalvet mitme liikmesriigi pädevad asutused, antakse ENISA-

le uus roll toetada liikmesriike nende üksuste järelevalves, hõlbustades vastastikust abi ja

luues parema ülevaate küberturvalisuse 2. direktiivi kohaldamisalasse kuuluvatest üksustest.

Lisaks pakutakse ettepanekus välja, et komisjon võtaks vastu suunised selliste tarneahela

turvanõuete kohaldamise kohta, mida küberturvalisuse 2. direktiivi kohaldamisalasse

kuuluvad üksused nõuavad oma tarnijatelt, et tagada õiguskindlus ja vältida kohustuste

põhjendamatut edasiandmist üksustele, mis ei kuulu küberturvalisuse 2. direktiivi

kohaldamisalasse.

Küberturvalisuse 2. direktiivi sihipäraste muudatuste hulka kuuluvad ka järgmised:

• kohaldamisala ja määratluste täpsustamine;

• mikro- ja väikeettevõtjatest domeeninimede süsteemi teenuse osutajate väljajätmine

kohaldamisalast;

• artikli 21 lõike 5 kohaste rakendusaktide (milles täpsustatakse küberturvalisuse

riskijuhtimismeetmed) võimalikult suur ühtlustamine, et hõlbustada üksuste jaoks

nõuete täitmist ja ametiasutuste jaoks järelevalve tegemist;

• väikeste keskmise turukapitalisatsiooniga ettevõtjate uue kategooria kasutuselevõtt

kooskõlas komisjoni 2025. aasta soovitusega väikeste keskmise

turukapitalisatsiooniga ettevõtjate määratluse kohta18; väikesteks keskmise

turukapitalisatsiooniga ettevõtjateks kvalifitseeruvad üksused tuleb määrata

olulisteks üksusteks, vähendades nende nõuete täitmisega seotud koormust ja

pädevate asutuste järelevalvekoormust;

• nõue, et liikmesriigid võtaksid oma riikliku küberturvalisuse strateegia osana vastu

postkvantkrüptograafiale ülemineku poliitika, ning

• lunavararündeid käsitlevate andmete ühtlustatud kogumine.

ET 6 ET

2026/0012 (COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV

millega muudetakse direktiivi (EL) 2022/2555 seoses lihtsustamismeetmetega ja

vastavusse viimisega [küberturvalisuse 2. määruse ettepanekuga]

(EMPs kohaldatav tekst)

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artiklit 114,

võttes arvesse Euroopa Komisjoni ettepanekut

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust1,

võttes arvesse Regioonide Komitee arvamust2,

toimides seadusandliku tavamenetluse kohaselt

ning arvestades järgmist:

(1) Euroopa Parlamendi ja nõukogu direktiivis (EL) 2022/25553 on sätestatud meetmed,

mille eesmärk on saavutada küberturvalisuse ühtlaselt kõrge tase kogu liidus, et

parandada siseturu toimimist. Alates direktiivi (EL) 2022/2555 jõustumisest on liidu

kübervastupidavusvõime suurendamisel tehtud edusamme. Samal ajal on

liikmesriikides tekkinud rakendamisel teatavad probleemid, sealhulgas seoses

direktiivi kohaldamisalaga, küberturvalisuse riskijuhtimise ja intsidentidest teatamise

kohustuste rakendamisega ning piiriüleste üksuste järelevalvega. Tuginedes

[küberturvalisuse 2. määruse ettepanekule], tuleks nende probleemide lahendamiseks

teha direktiivis (EL) 2022/2555 sihipäraseid muudatusi, lihtsustades konkreetseid

aspekte, et suurendada õiguskindlust ja tagada direktiivi (EL) 2022/2555 ühetaoline

rakendamine.

(2) Selleks et vähendada üksuste nõuete täitmisega seotud koormust ja pädevate asutuste

järelevalvekoormust, tuleks direktiivi (EL) 2022/2555 lisada väikeste keskmise

turukapitalisatsiooniga ettevõtjate uus kategooria kooskõlas komisjoni soovitusega

(EL) 2025/10994. Direktiivi (EL) 2022/2555 I lisas osutatud liiki üksused, mis

1 ELT C [...], [...], lk [...]. 2 ELT C [...], [...], lk [...]. 3 Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb

meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse

määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv

(EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80, ELI:

http://data.europa.eu/eli/dir/2022/2555/oj). 4 Komisjoni 21. mai 2025. aasta soovitus (EL) 2025/1099, mis käsitleb väikeste keskmise

turukapitalisatsiooniga ettevõtjate määratlust (ELT L, 2025/1099, 28.5.2025, ELI:

http://data.europa.eu/eli/reco/2025/1099/oj).

ET 7 ET

kvalifitseeruvad kõnealuse soovituse kohaselt väikesteks keskmise

turukapitalisatsiooniga ettevõtjateks, tuleks reeglina määrata olulisteks üksusteks.

Selleks et toetada komisjoni eesmärki vähendada halduskulusid kokku 25 % ning

väikeste ja keskmise suurusega ettevõtjate puhul 35 %, tuleks domeeninimede

süsteemi teenuse osutajate suhtes kohaldada direktiivis (EL) 2022/2555 sätestatud

suuruse ülemmäära üldreeglit, mille kohaselt kõik üksused, kes kvalifitseeruvad

komisjoni soovituse 2003/361/EÜ5 lisa artikli 2 kohaselt keskmise suurusega

ettevõtjateks või ületavad kõnealuse artikli lõikes 1 esitatud keskmise suurusega

ettevõtja ülemmäärasid, kuuluvad direktiivi (EL) 2022/2555 kohaldamisalasse.

(3) Direktiivi (EL) 2022/2555 rakendamisel on esinenud probleeme selle kohaldamisala

käsitlevate sätete tõlgendamisel. Seepärast tuleks täpsustada teatavaid

kohaldamisalaga seotud sätteid tervishoiuteenuste osutajate, elektritootjate,

vesinikuettevõtjate ja keemiasektori üksuste kohta, et tagada õiguskindlus ja

vähendada nõuete täitmisega seotud koormust nii üksuste kui ka riiklike ametiasutuste

jaoks.

(4) Selleks et tagada proportsionaalsus elektritootjate puhul, kes on määratletud Euroopa

Parlamendi ja nõukogu direktiivi (EL) 2019/9446 artikli 2 punktis 38, tuleks direktiivis

(EL) 2022/2555 elutähtsateks või olulisteks üksusteks pidada üksnes neid

elektritootjaid, kelle kogu tootmisvõimsus ületab 1 MW, tingimusel et nad vastavad

suuruse ülemmäära reeglile. Siia alla peaksid kuuluma nii elektritootjad, kelle üks

elektritootmisrajatis ületab 1 MW, kui ka elektritootjad, kes käitavad mitut

tootmisrajatist, mille tootmisvõimsus kokku ületab 1 MW. Selline lähenemisviis

võimaldab saavutada tasakaalu, kus ühel pool on vajadus hõlmata need üksused, mille

võrgu- ja infosüsteemi häirimine võib tähendada tootmisvõimsuse kadu,

kontrollimatust või välist kontrolli, kusjuures see tootmisvõimsus on iseenesest oluline

elektrivõrgu turvalisuse ja stabiilsuse seisukohast, ning teisel pool on vajadus mitte

tekitada ettevõtjatele direktiivi (EL) 2022/2555 alusel ebaproportsionaalset

halduskoormust.

(5) Euroopa Parlamendi ja nõukogu määruses (EL) nr 910/20147 sätestatud Euroopa

digiidentiteedikukrud on liidu digitaristu vajalik osa, mis võimaldab turvalist

identimist ja autentimist ning elektrooniliste dokumentide, sealhulgas elektrooniliste

tõendite vahetamist. Arvestades digiidentiteedikukrute tähtsust üldsusele ning avalike

ja erateenuste osutamisele, võib neid digiidentiteedikukruid mõjutavatel

küberintsidentidel olla ulatuslik mõju. Selleks et tagada digiidenteedikukrute teenuste

osutamine, tuleks nõuda, et Euroopa digiidentiteedikukrute pakkujad rakendaksid

asjakohaseid tehnilisi, tegevuslikke ja korralduslikke meetmeid küberriskide

juhtimiseks ning intsidentide ennetamiseks ja neile reageerimiseks ja teeksid pädevate

asutustega koostööd vastavalt direktiivile (EL) 2022/2555. Seepärast tuleks olenemata

nende suurusest lisada nad kõnealuse direktiiviga hõlmatud üksuste hulka ja

kvalifitseerida elutähtsateks üksusteks. ELi digiidentiteedi raamistikule tuginedes

pakuvad Euroopa ettevõtluskukrud sarnaseid funktsioone ja teenuseid, mis on

5 Komisjoni 6. mai 2003. aasta soovitus 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate

määratluse kohta (ELT L 124, 20.5.2003, lk 36, ELI: http://data.europa.eu/eli/reco/2003/361/oj). 6 5. juuni 2019. aasta direktiiv (EL) 2019/944 elektrienergia siseturu ühiste normide kohta ja millega

muudetakse direktiivi 2012/27/EL (ELT L 158, 14.6.2019, lk 125, ELI:

http://data.europa.eu/eli/dir/2019/944/oj). 7 Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrus (EL) nr 910/2014 e-identimise ja e-

tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks

direktiiv 1999/93/EÜ (ELT L 257, 28.8.2014, lk 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).

ET 8 ET

kohandatud ettevõtjate ja avaliku sektori asutuste vajadustega, ning on sama tähtsad

digimajanduse turvalisuse ja terviklikkuse seisukohast. Järelikult tuleks vastavalt

[ettepanekule võtta vastu määrus Euroopa ettevõtluskukrute loomise kohta]8 loodud

Euroopa ettevõtluskukrute pakkujate suhtes kohaldada samu küberturvalisuse nõudeid

ja kohustusi kui Euroopa digiidentiteedikukrute pakkujate suhtes, et tagada kogu

digiidentiteedi ökosüsteemis järjepidev ja kõrge turvalisuse tase.

(6) Merealusesse andmeedastustaristusse kuulub lisaks kaablitele ka nende käitamisega

seotud taristu. Selline taristu sisaldab merekaabli maabumiskohti ja selle maa peal

asuvaid osi, mis on nendega ühendatud, nt maismaateed rannikul asuvate sidekaevude

juurest maabumiskohtadeni, andmekeskused või ühenduspunktid. Merealust

andmeedastustaristut käitavad tavaliselt üksused, mis juba kuuluvad direktiivi

(EL) 2022/2555 kohaldamisalasse, sealhulgas üldkasutatavate elektroonilise side

võrkude ja teenuste pakkujad või pilvandmetöötlusteenuse osutajad. Merealust

andmeedastustaristut võivad aga käitada ka muud liiki üksused, mis ei kuulu praegu

direktiivi (EL) 2022/2555 kohaldamisalasse, näiteks üldsusele suletud elektroonilise

side võrkude pakkujad või üksused, mis on andnud merealuse andmeedastustaristu

käitamise kas täielikult või osaliselt rendile üldkasutatavate elektroonilise side

võrkude pakkujatele. Arvestades üha suurenevaid riske merealusele

andmeedastustaristule ja nendest tulenevat suurt kriitilist tähtsust, on vaja tagada, et

direktiiv (EL) 2022/2555 hõlmaks merealuse andmeedastustaristu igat liiki käitajaid.

Muud kriitilise tähtsusega meretaristud, nagu merealused elektrikaablid ja gaasi-,

vesiniku- ja naftajuhtmed enamasti juba kuuluvad direktiivi (EL) 2022/2555 alla, kuna

neid käitavad elektri, gaasi, vesiniku ja nafta allsektorite ülekandesüsteemi haldurid.

(7) Selleks et mitmes liikmesriigis teenuseid osutavad üksused saaksid siseturul kasu

sidusamatest ja vähem koormavatest järelevalvealastest lähenemisviisidest, peaks

sellistel üksustel olema võimalik tõendada direktiivis (EL) 2022/2555 sätestatud

konkreetsete või kõigi küberriskide juhtimisega seotud kohustuste täitmist turvaoleku

sertifikaadiga, mis kuulub Euroopa küberturvalisuse sertifitseerimise kava alla. Sellise

kava väljatöötamiseks võetakse vastu rakendusaktid tehniliste, metoodiliste ja

valdkondlike nõuete kohta seoses direktiivi (EL) 2022/2555 kohaste küberturvalisuse

riskijuhtimismeetmetega, mis põhinevad võimalikult suurel ühtlustamisel.

(8) Arvestades meie ühiskonna ja majanduse üha suuremat sõltuvust digitehnoloogiast, on

vaja võtta leevendusmeetmeid kvantohu vastu. Võimalikud „kogu nüüd, dekrüpteeri

hiljem“ (harvest now, decrypt later) ründed, mis tõenäoliselt toimuvad juba praegu,

ning tulevased kvantrünnetest tulenevad allkirjade võltsimise riskid, teatavate

algoritmide teostuse kavandatud mittesoovitavaks kuulutamine ja praeguste avaliku

võtmega krüptoalgoritmide täielik keelamine suurendavad postkvantkrüptograafiale

ülemineku meetmete võtmise vajaduse kiireloomulisust. Seetõttu tuleks nõuda, et

liikmesriigid võtaksid oma riikliku küberturvalisuse strateegia osana vastu

postkvantkrüptograafiale ülemineku poliitika. Selline poliitika peaks hõlbustama

strateegilise kavandamise kiirendamist ning toetusmeetmete ja abivahendite loomist,

et hinnata krüptograafiliste varade avatust kvantarvutitest tulenevatele riskidele. Lisaks

peaks see aitama koostada üleminekukava ja katsetada postkvantkrüptograafia

kasutuselevõttu digirakendustes ja -võrkudes ning samal ajal soodustama selliste

ametlikult kontrollitud ja hinnatud Euroopa postkvantkrüptograafia lahenduste teket ja

kasutuselevõttu, mis järgivad toodete ja teenuste vastavusraamistikke. See poliitika

8 COM(2025) 838 final.

ET 9 ET

peaks olema kooskõlas vahe-eesmärkidega, mis on sätestatud liidu õigusaktides ja

liidu poliitikas ning võrgu- ja infoturbe koostöörühma vastu võetud dokumentides,

eelkõige koostöörühma 2025. aasta juunis vastu võetud postkvantkrüptograafiale

ülemineku koordineeritud rakendamise tegevuskavas, saavutades seega kriitilise

tähtsusega kasutusjuhtumite puhul postkvantkrüptograafiale ülemineku 2030. aastaks

ning keskmise ja madala taseme kasutusjuhtumite puhul 2035. aastaks.

(9) Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti d kohaselt peavad elutähtsad ja

olulised üksused tagama oma tarneahelas asjakohase turvalisuse taseme. Praktikas on

see kohustus tekitanud olukorra, kus paljud üksused küsivad oma tarnijatelt

ulatuslikku teavet erinevate küsimustike, vormingute ja protsesside kaudu. Kuigi

selliste taotluste eesmärk on toetada hoolsuskohustust ja riskijuhtimist, võivad need

ühtlasi tekitada elutähtsate ja oluliste üksuste tarnijatele märkimisväärset

halduskoormust, eriti kui sarnast teavet tuleb esitada korduvalt eri vormides. Selle

koormuse leevendamiseks ning tarneahela turvalisuse hindamise järjepideva,

proportsionaalse ja tõhusa lähenemisviisi edendamiseks peaks komisjon välja töötama

suunised, et soovitada, milline on selliste teabenõuete asjakohane üksikasjalikkus,

struktuur ja vorm. Sellised suunised peaksid hõlbustama ühtlustamist, vähendama

tarbetut dubleerimist ning aitama nii üksustel kui ka nende tarnijatel tulemuslikult täita

direktiivist (EL) 2022/2555 tulenevaid kohustusi.

(10) Endiselt on üks peamisi ohte elutähtsatele ja olulistele üksustele lunavararünded, mille

puhul pahavara krüpteerib andmeid ja süsteeme ning nõuab vabastamiseks lunaraha

maksmist. Küberintsidentidele reageerimise üksustele (edaspidi „CSIRTid“) ja riikide

ametiasutustele annaks mõjutatud elutähtsatelt ja olulistelt üksustelt lunavararünnete

kohta andmete kogumise ühtlustamine ja parendamine teavet, mis võimaldab neil

tagada, et tulevased lunavaraga seotud sekkumised on asjakohased ja tulemuslikud,

toetada üksusi nende vastupanuvõime suurendamisel ja tulevaste rünnete ennetamisel

ning koguda luureandmeid ja tõendeid, mida õiguskaitseasutused vajavad

lunavararündeid korraldavate grupeeringute tabamiseks ja kõrvaldamiseks ning nende

liikmete karistamiseks. Võttes arvesse lunavararünnete kohta jagatava teabe

võimalikku tundlikku laadi, eelkõige seda, kas üksus on maksnud lunaraha, ning kui

on, siis kui palju ja kellele, tuleks selline teave esitada üksnes CSIRTidele või

asjakohasel juhul pädevatele asutustele nende taotluse korral. Sellise teabevahetuse

eesmärgil soovitatakse elutähtsatel ja olulistel üksustel määrata isik, kes tegutseb

kontaktpunktina ning tagab teabevahetuse konfidentsiaalsuse ja usaldusväärsuse.

Rahvusvahelise lunavaravastase algatuse raames on liit heaks kiitnud mittesiduva

rahvusvahelise poliitilise avalduse, mille kohaselt osalevate riikide valitsuste alluvusse

kuuluvad asjaomased asutused ei tohiks maksta lunavaraga väljapressimise korral

lunaraha.

(11) Lunavaraintsidentide kohta asjakohase teabe esitamise kohustuse täitmine ei tohiks

kaasa tuua lisakohustuste kehtestamist direktiivi (EL) 2022/2555 alusel, mida üksuse

suhtes ei oleks kohaldatud, kui ta ei oleks teavet esitanud. Selleks peaksid

liikmesriigid oma riigisisese õiguskorra piires käsitlema võimalikke riske, mis

tulenevad suuremast vastutusest seoses lunavaraintsidente puudutava asjakohase teabe

esitamisega.

(12) Arvestades siseturu paljude elutähtsate ja oluliste üksuste piiriülest mõõdet ja vajadust

tagada järelevalvealaste lähenemisviiside sidusus ning toetada nende lähenemist ja

tõhusust, peaks ENISA toetama liikmesriike vastastikuse abi andmisel elutähtsatele ja

olulistele üksustele, kes osutavad teenuseid rohkem kui ühes liikmesriigis või kes

osutavad teenuseid ühes või mitmes liikmesriigis ja kelle võrgu- ja infosüsteemid

ET 10 ET

asuvad ühes või mitmes muus liikmesriigis. Selleks peaksid liikmesriigid esitama

lisateavet ENISA hallatavale üksuste registrile. ENISA peaks elutähtsate ja oluliste

üksuste registri teabe alusel põhjalikult analüüsima elutähtsate ja oluliste üksustega

seotud piiriüleseid küberriske. Analüüs peaks põhinema metoodikal, mis on välja

töötatud koos komisjoni ning võrgu- ja infoturbe koostöörühmaga. Selle metoodika

puhul võiks arvesse võtta, millisel määral elutähtsad ja olulised üksused kasutavad

oma teenuseid laialdaselt piiriüleselt, sõltuvad piiriülestest teenustest, on avatud

tarneahela kontsentratsiooniriskile, võivad ise osutuda tarneahela

kontsentratsiooniriski allikaks, on avatud intsidentidele, millel võib olla

märkimisväärne häiriv mõju piiriülestele teenustele, või tuginevad oma teenuste

osutamisel võrgu- ja infosüsteemidele, mis asuvad eri liikmesriikides ja väljaspool

liitu. ENISA peaks riskianalüüsi aruande põhjal soovitama asjaomastel pädevatel

asutustel moodustada ühised kontrollirühmad, et toetada intsidentide korral selliste

üksuste järelevalvet, kelle siseturu sujuva toimimise takistamise risk on suurem, ning

abistada pädevaid asutusi nende taotluse korral ühiste järelevalvemeetmete võtmisel.

(13) Kuna käesoleva direktiivi eesmärki – lihtsustada meetmete rakendamist, et tagada

küberturvalisuse ühtlaselt kõrge tase kogu liidus – ei suuda liikmesriigid eraldi

piisavalt saavutada, küll aga saab seda meetme toimet arvestades paremini saavutada

liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5

sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud

proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärgi

saavutamiseks vajalikust kaugemale.

(14) Euroopa Andmekaitseinspektori ja Euroopa Andmekaitsenõukoguga konsulteeriti

kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2018/17259 artikli 42

lõikega 2 ning nad esitasid ühisarvamuse [kuupäev],

ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI:

Artikkel 1

Direktiivi (EL) 2022/2555 muutmine

Direktiivi (EL) 2022/2555 muudetakse järgmiselt.

(1) Artiklit 2 muudetakse järgmiselt:

(a) lõike 2 punkti a muudetakse järgmiselt:

i) alapunkt iii asendatakse järgmisega:

„iii) tippdomeeninimede registrid;“;

ii) lisatakse punktid iv ja v:

„iv) määruses (EL) nr 910/2014 nimetatud Euroopa

digiidentiteedikukrute pakkujad;

v) määruse (EL) [...]* kohaselt loodud Euroopa ettevõtluskukrute

pakkujad.

9 Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb

füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning

isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus

nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ET 11 ET

_______

* Määrus (EL) [...] [ettepanek võtta vastu määrus Euroopa

ettevõtluskukrute loomise kohta].“;

(b) lisatakse lõige 3a:

„3a. Käesolevat direktiivi kohaldatakse üksuste suhtes, kes on määruse (EL)

[...]** kohaselt kindlaks määratud strateegilise kahesuguse kasutusega taristu

omanike, haldajate ja käitajatena, olenemata nende suurusest.

_________

** Määrus (EL) [...] [Ettepanek võtta vastu Euroopa Parlamendi ja nõukogu

määrus, millega kehtestatakse meetmete raamistik, et hõlbustada

kaitseotstarbelise varustuse, sõjaliste kaupade ja sõjaväelaste transporti

liidus].“

(2) Artiklit 3 muudetakse järgmiselt:

(a) lõiget 1 muudetakse järgmiselt:

i) punktid a ja b asendatakse järgmisega:

„a) I lisas osutatud liiki üksused, mis ületavad väikeste keskmise

turukapitalisatsiooniga ettevõtjate ülemmäärasid;

b) kvalifitseeritud usaldusteenuse osutajad, Euroopa

digiidentiteedikukrute pakkujad, Euroopa ettevõtluskukrute pakkujad ja

tippdomeeninimede registrid, olenemata nende suurusest;“;

ii) lisatakse punkt h:

„h) üksused, mis on määruse (EL) [...] [ettepanek võtta vastu Euroopa

Parlamendi ja nõukogu määrus, millega kehtestatakse meetmete

raamistik, et hõlbustada kaitseotstarbelise varustuse, sõjaliste kaupade ja

sõjaväelaste transporti liidus] kohaselt kindlaks määratud strateegilise

kahesuguse kasutusega taristu omanike, haldajate ja käitajatena.“;

(b) lõike 4 esimene lõik asendatakse järgmisega:

„Lõikes 3 osutatud loetelu koostamiseks nõuavad liikmesriigid, et nimetatud

lõikes osutatud üksused esitaksid pädevatele asutustele vähemalt järgmise

teabe:

a) üksuse nimi;

b) I või II lisas osutatud asjakohane sektor, allsektor ja üksuse liik, kui see on

kohaldatav;

c) üksuse aadress või üksuse peamise tegevuskoha ja liidus asuvate muude

ametlike tegevuskohtade aadress, kui see on kohaldatav, või kui tal liidus

tegevuskohta ei ole või ta ei ole seal asutatud, tema artikli 26 lõike 3 kohaselt

määratud esindaja aadress;

d) kui see on kohaldatav, üksuse Euroopa ettevõtluskukru ja asjakohasel juhul

selle artikli 26 lõike 3 kohaselt määratud esindaja ajakohased kontaktandmed,

sealhulgas e-posti aadressid, telefoninumbrid, kordumatu tunnus ja

digiaadressid;

e) liikmesriigid, kus üksus teenust osutab;

ET 12 ET

f) üksuse IP-vahemikud.“

(3) Artikkel 5 asendatakse järgmisega:

„Artikkel 5

Minimaalne ühtlustamine

Ilma et see piiraks artikli 21 lõike 5 viienda lõigu kohaldamist, ei takista käesolev

direktiiv liikmesriike tarbijate kaitseks vastu võtmast või kehtima jätmast sätteid,

millega tagatakse kõrgem küberturvalisuse tase, tingimusel et sellised sätted on

kooskõlas liikmesriikide kohustustega, mis on sätestatud liidu õiguses.“

(4) Artiklisse 6

lisatakse punktid 42 ja 43:

„42) „väike keskmise turukapitalisatsiooniga ettevõtja“ – komisjoni soovituse

(EL) 2025/1099*** lisas määratletud ettevõtja;

43) „merealune andmeedastustaristu“ – andmeid edastavad merekaablid,

nendega seotud taristu ja muud andmeedastusega seotud rajatised või

elemendid.

__________

*** Komisjoni 21. mai 2025. aasta soovitus (EL) 2025/1099, mis käsitleb

väikeste keskmise turukapitalisatsiooniga ettevõtjate määratlust

(ELT L, 2025/1099, 28.5.2025, ELI:

http://data.europa.eu/eli/reco/2025/1099/oj).“

(5) Artikli 7 lõikesse 2 lisatakse punkt k:

„k) postkvantkrüptograafiale üleminekuks, võttes arvesse kohaldatavates liidu

õigusaktides ja poliitikas sätestatud ülemineku tähtaegu ja asjakohaseid nõudeid.“

(6) Artikli 15 lõike 2 esimene lause asendatakse järgmisega:

„CSIRTide võrgustik luuakse artikli 10 kohaselt määratud või asutatud CSIRTide,

liidu institutsioonide ja ametite infoturbeintsidentidega tegeleva rühma (CERT-EU)

ja ENISA esindajatest.“

(7) Artikli 21 lõiget 5 muudetakse järgmiselt:

(a) teine lõik asendatakse järgmisega:

„Komisjon võib võtta vastu rakendusakte, milles sätestatakse lõikes 2 osutatud

meetmete tehnilised ja metoodilised ning vajaduse korral valdkondlikud

nõuded seoses muude kui käesoleva lõike esimeses lõigus osutatud elutähtsate

ja oluliste üksustega. Siseturu toimimise parandamiseks hindab komisjon

korrapäraselt, kas käesolevas lõigus osutatud rakendusaktid võetakse vastu

konkreetsete sektorite või üksuste liikide kohta. Selliste hindamiste

ettevalmistamisel keskendub komisjon eelkõige sektorite või üksuste liikide

piiriülesusele ning korraldab avatud, läbipaistva ja kaasava

konsultatsiooniprotsessi asjaomaste sidusrühmade ja liikmesriikidega.“;

(b) lisatakse viies lõik:

„Kui komisjon võtab vastu käesoleva lõike esimeses ja teises lõigus osutatud

rakendusaktid, ei kehtesta liikmesriigid nende rakendusaktide

kohaldamisalasse kuuluvatele üksustele direktiivi (EL) 2022/2555 artikli 21

ET 13 ET

lõikes 2 osutatud meetmetega seoses täiendavaid tehnilisi, metoodilisi ega

valdkondlikke nõudeid.“

(8) Artiklisse 23 lisatakse lõiked 12 ja 13:

„12. Lõike 11 esimese lõigu kohase rakendusakti vastuvõtmisel lisab komisjon

nõude, et lunavararünnete kohta esitatakse lõike 1 kohaselt järgmine teave:

(a) kas üksus avastas lunavararünde;

(b) lunavararünde ründevektor;

(c) kas on rakendatud leevendusmeetmeid.

13. Liikmesriigid tagavad, et lunavararündest põhjustatud olulise intsidendi korral

teatavad asjaomased üksused CSIRTi või asjakohasel juhul pädeva asutuse taotlusel

CSIRTi või asjakohasel juhul pädeva asutuse pakutava sidekanali kaudu järgmisest:

(a) kas üksus on saanud lunarahanõude ja asjakohasel juhul nõude esitaja;

(b) kas lunaraha on makstud ja kui on, siis milline summa, millise

maksevahendi kaudu ja millisele saajale, sealhulgas asjakohasel juhul

krüptovara ja krüptovarateenuse osutaja.“

(9) Artiklisse 24 lisatakse lõiked 4, 5 ja 6:

„4. Liikmesriigid võivad nõuda, et elutähtsad ja olulised üksused esitaksid

artiklile 21 vastavuse tõendamiseks määruse (EL) XXX/XXX**** [ettepanek võtta

vastu küberturvalisuse 2. määrus] artikli 75 kohaselt vastu võetud Euroopa

küberturvalisuse sertifitseerimise kava kohase turvaoleku sertifikaadi.

5. Kui elutähtsa või olulise üksuse turvaolek on määruse (EL) XXX/XXX****

[ettepanek võtta vastu küberturvalisuse 2. määrus] artikli 74 alusel vastu võetud

Euroopa küberturvalisuse sertifitseerimise kava kohaselt sertifitseeritud ja kui

sertifikaat tõendab vastavust käesoleva direktiivi artikli 21 lõike 5 kohaselt vastu

võetud rakendusaktis või käesoleva direktiivi artikli 21 lõikeid 1 ja 2 ülevõtvas

riigisiseses seaduses sätestatud nõuetele, ei kohalda pädevad asutused üksuse suhtes

kas artikli 32 lõike 2 punkti b või artikli 33 lõike 2 punkti b kohaseid lisameetmeid

seoses sertifikaadiga hõlmatud nõuetega, olenevalt sellest, kumb punkt on

asjakohane.

6. Lõike 4 kohane sertifitseerimine ei mõjuta elutähtsa või olulise üksuse vastutust

käesoleva direktiivi järgimise eest.

_____________

**** Määrus (EL) XXX/XXX [ettepanek võtta vastu küberturvalisuse 2. määrus].“

(10) Artiklit 26 muudetakse järgmiselt:

(a) lõikesse 1 lisatakse punkt d:

„d) lennuettevõtjaid loetakse selle liikmesriigi jurisdiktsiooni alla kuuluvaks,

kelle lennutegevuslube väljaandev pädev asutus andis üksusele

lennutegevusloa vastavalt Euroopa Parlamendi ja nõukogu määrusele (EÜ)

nr 1008/2008*****, või kui kõnealuse määruse kohast lennutegevusluba või

samaväärset luba ei ole antud, loetakse neid selle liikmesriigi jurisdiktsiooni

alla kuuluvaks, kus on nende lõike 2 kohane peamine tegevuskoht liidus.

______________

ET 14 ET

***** Euroopa Parlamendi ja nõukogu 24. septembri 2008. aasta määrus (EÜ)

nr 1008/2008 ühenduses lennuteenuste osutamist käsitlevate ühiseeskirjade

kohta (ELT L 293, 31.10.2008, lk 3, ELI:

http://data.europa.eu/eli/reg/2008/1008/oj).“;

(b) lõige 3 asendatakse järgmisega:

„3. Kui elutähtsa või olulise üksuse tegevuskoht ei ole liidus või ta ei ole seal

asutatud, kuid ta pakub liidus oma teenuseid, määrab ta endale liidus esindaja.

Esindaja tegevuskoht peab olema ühes nendest liikmesriikidest, kus teenuseid

osutatakse, või ta peab olema seal asutatud. Kõnealust üksust loetakse selle

liikmesriigi jurisdiktsiooni alla kuuluvaks, kus on esindaja tegevuskoht või kus

ta on asutatud. Kui selline üksus on lõike 1 punktis a osutatud üksus, loetakse

ta selle liikmesriigi jurisdiktsiooni alla kuuluvaks, kus ta oma teenuseid osutab.

Kui käesoleva lõike kohast esindajat liidus määratud ei ole, võib üksuse vastu,

kes rikub käesolevat direktiivi, võtta õiguslikke meetmeid iga liikmesriik, kus

üksus teenuseid osutab.“

(11) Artiklit 27 muudetakse järgmiselt:

(a) lõige 1 asendatakse järgmisega:

„1. ENISA loob ühtsetelt kontaktpunktidelt lõike 4 kohaselt saadud teabe

põhjal elutähtsate ja oluliste üksuste ning domeeninimede registreerimise

teenuseid osutavate üksuste registri ja haldab seda. Taotluse korral võimaldab

ENISA pädevatele asutustele juurdepääsu selle registri teabele domeeninimede

süsteemi teenuse osutajate, tippdomeeninimede registrite, domeeninimede

registreerimise teenuseid osutavate üksuste, pilvandmetöötlusteenuse osutajate,

andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse

osutajate ja hallatud turbeteenuse osutajate ning internetipõhiste

kauplemiskohtade, veebipõhiste otsingumootorite, sotsiaalvõrguteenuse

platvormide pakkujate ja lennuettevõtjate kohta, tagades samal ajal teabe

konfidentsiaalsuse kaitse, kui see on kohaldatav.“;

(b) lõige 2 jäetakse välja;

(c) lõiked 3, 4 ja 5 asendatakse järgmisega:

„3. Liikmesriigid tagavad, et elutähtsad ja olulised üksused teavitavad pädevat

asutust viivitamata artikli 3 lõike 4 kohaselt esitatud teabe muutumisest, tehes

seda igal juhul hiljemalt kahe nädala jooksul alates muudatuse kuupäevast.

4. Artikli 3 lõikes 4 osutatud teabe kättesaamisel edastab asjaomase

liikmesriigi ühtne kontaktpunkt selle põhjendamatu viivituseta ENISA-le.

5. Kui see on kohaldatav, esitatakse artikli 3 lõike 4 esimeses lõigus osutatud

teave artikli 3 lõike 4 neljandas lõigus osutatud riikliku mehhanismi kaudu.“

(12) Lisatakse artikkel 37a:

„Artikkel 37a

ENISA roll vastastikuses abis

1. ENISA abistab liikmesriike vastastikuse abi osutamisel artikli 37 tähenduses ning

aitab hõlbustada selliseid koostööprotsesse elutähtsate ja oluliste üksuste puhul, kes

osutavad teenuseid rohkem kui ühes liikmesriigis või osutavad teenuseid ühes või

ET 15 ET

mitmes liikmesriigis ning kelle võrgu- ja infosüsteemid asuvad ühes või mitmes

muus liikmesriigis.

2. Lõikes 1 sätestatud eesmärkidel analüüsib ENISA hiljemalt ... [15 kuud pärast

käesoleva määruse jõustumist] põhjalikult piiriüleseid küberriske, mis on seotud

elutähtsate ja oluliste üksustega, kes osutavad teenuseid rohkem kui ühes

liikmesriigis või osutavad teenuseid ühes või mitmes liikmesriigis ja kelle võrgu- ja

infosüsteemid asuvad ühes või mitmes muus liikmesriigis. Analüüsi käigus

hinnatakse selliseid elutähtsaid ja olulisi üksuseid mõjutavate intsidentide võimalike

piiriüleste ja siseturule avalduvate tagajärgede ulatust. ENISA töötab nimetatud

analüüsi metoodika välja koostöös komisjoni ja koostöörühmaga. Analüüsi põhjal

koostab ENISA põhjaliku piiriülese küberriski hindamise aruande, mida

ajakohastatakse igal aastal.

3. ENISA teeb põhjaliku piiriülese küberriski hindamise aruande põhjal järgmist:

(a) kui see on asjakohane, soovitab asjaomastel pädevatel asutustel moodustada

ühised kontrollirühmad, et toetada kindlate üksuste järelevalvet;

(b) töötab välja suunised ühiste järelevalvemeetmete kohta;

(c) kehtestab asjaomaste liikmesriikide pädevate asutuste taotluse korral praktilise

korra ühiste järelevalvemeetmete võtmiseks;

(d) osaleb asjaomaste liikmesriikide pädevate asutuste taotluse korral ja tema

omavahenditega proportsionaalselt ühistes järelevalvemeetmetes;

(e) aitab asjaomaste liikmesriikide pädevate asutuste taotluse korral hinnata,

millisel määral on elutähtis või oluline üksus rakendanud artiklis 21 sätestatud

küberturvalisuse riskide juhtimise meetmeid.

4. Käesoleva artikli lõike 3 punkti e kohaldamisel esitavad asjaomaste liikmesriikide

pädevad asutused ENISA-le elutähtsa või olulise üksuse poolt artikli 21 kohaselt

võetud küberturvalisuse riskijuhtimismeetmete loetelu, kui see on kättesaadav,

võetud järelevalve- või täitmise tagamise meetmete loetelu ning asjakohased

dokumendid, sealhulgas tõendid küberturvalisuse alase poliitika rakendamise kohta,

näiteks selliste turvaauditite tulemused, mille pädevad asutused on selle üksuse

suhtes artiklite 32 ja 33 kohaselt läbi viinud.

5. Kui liikmesriik saab artikli 37 lõike 1 esimese lõigu punktis c osutatud vastastikust

abi, teavitab ühtne kontaktpunkt ENISAt vastastikuse abi osutamisest. Kui see on

kohaldatav, märgib ühtne kontaktpunkt, milline artikli 23 lõikes 6 osutatud piiriülene

intsident oli seotud vastastikuse abi juhtumiga.“

(13) I ja II lisa muudetakse vastavalt käesoleva direktiivi lisale.

Artikkel 2

Ülevõtmine

1. Liikmesriigid võtavad käesoleva direktiivi järgimiseks vajalikud meetmed vastu ja

avaldavad need hiljemalt … [12 kuud pärast käesoleva direktiivi jõustumist].

Liikmesriigid teatavad nendest viivitamata komisjonile.

Nad kohaldavad kõnealuseid meetmeid alates … [esimeses lõigus osutatud

kuupäevale järgnevast päevast].

ET 16 ET

2. Kui liikmesriigid lõikes 1 osutatud meetmed vastu võtavad, lisavad nad nende

ametlikul avaldamisel nendesse või nende juurde viite käesolevale direktiivile.

Sellise viitamise viisi näevad ette liikmesriigid.

Artikkel 3

Jõustumine

Käesolev direktiiv jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu

Teatajas.

Artikkel 4

Adressaadid

Käesolev direktiiv on adresseeritud liikmesriikidele.

Strasbourg,

Euroopa Parlamendi nimel Nõukogu nimel

president eesistuja

[...] [...]

Kaasamistabel Vabariigi Valitsuse otsuse juurde „Eesti seisukohad küberturvalisuse paketile” kohta

Nr Märkus Märkusega arvestamine

1. Kliimaministeerium kooskõlastas märkustega

01.04.2026 e-kiri

1.1 Nn. ENISA rolli laiendamist ja sertifitseerimist puudutav

ettepanek (COM(2026) 11 Proposal for a REGULATION OF

THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on

the European Union Agency for Cybersecurity (ENISA), the

European cybersecurity certification framework, and ICT...): Toetame ENISA rolli tugevdamist ja standardiseerimist, kuna

küberrünnakud ei tunne valdkondade ega ka riigi piire ning

ründevektorid on tihtipeale ka universaalsed (st sama

rünnakutüübiga annab maha võtta nt energeetika ettevõtte, aga

ka panku ning seda annab teha nii Eestis, aga ka mõnes muus

riigis jne) ja seetõttu on oluline, et Euroopas käiakse selles osas

ühte jalga – ühtne riskipilt, sarnased turvameetmed,

intsidentidest teavitamine-info kiire jagamine;

sertifitseeritud/turvalised seadmed/teenused, kuna enamik ise

kohapeal tehnoloogiat ei tooda jne. Siiski on oluline, et turvalisus tagamine ei hakkaks omakorda

takistama teenuse toimimist – st, et sertifitseerimine ei tooks

omakorda kaasa teenuste/toodete-seadmete turutõrke ja selle

asemel, et kaitsta tekitame olukorra, kus seadmed vananevad ja

ei saa uute vastu välja vahetada, sest tarnejärjekorrad on

ebaproportsionaalselt pikad või, et auditeid ei saa mõistlikus

ajaraamis läbi viia (hetkel on 1x aastas kohustus), sest

sertifitseerituid audiitoreid ei tule nii palju peale. Ehk,

kokkuvõttes tuleb leida turvalisuse ja teenuse tagamise vaatest

mõistlik tasakaal.

Võtame teadmiseks

1.2 Nn NIS2.0 muudatuste ettepanekut (COM(2026) 13 - Directive

Proposal for simplification measures and alignment with the

Cybersecurity Act + COM(2026) 13 - Annex to the Directive

Proposal for simplification measures and alignment with the

Cybersecurity Act): Toetame, et selguse mõistes on täiendatud nii energeetika- kui

ka transpordivaldkonnas NIS2.0 subjektide sõnastusi ja tehtud

konkreetsed viited valdkondlikele EL õigusaktidele, mis

võimaldab selgemini aru saada, millised teenuseosutajad on

NIS2.0 alla hõlmatud ja millised mitte. Samuti toetame, et edaspidi on hõlmatud selgelt NIS2.0

direktiivi subjektidena ka kahese kasutuse/sõjalist liikuvust

tagav taristu, mis oma sisult haakub juba täna

transpordivaldkonnas tegutsevate teenuseosutajatega. Arvestades, et ettepaneku kohaselt võib Euroopa Komisjon

välja töötada ka valdkondade põhiselt tehnilisi nõudeid, siis

peame oluliseks, et need ei dubleeriks või läheks vastuollu juba

seni väljatöötatud nõuetega (näiteks energeetika- või

lennunduse valdkonnas on juba praegu olemas eraldi EL

tasandil küberturvalisuse regulatsioon).

Võetud teadmiseks

2. Majandus- ja Kommunikatsiooniministeerium kooskõlastas märkustega

06.03.2026 e-kiri

2.1 Esitatud pakett sisaldab meetmeid, millega lihtsustatakse ELis

tegutsevate ettevõtjate jaoks ELi küberturvalisuse eeskirjade ja

riskijuhtimisnõuete täitmist. Muuhulgas on küberturvalisuse

NIS2 direktiivi sihipäraste muudatuste eesmärk on suurendada

õigusselgust, lihtsustatakse mikro- ja väikeettevõtjate ning

väikeste keskmise turukapitalisatsiooniga ettevõtjate jaoks

nõuete täitmist. Majandus- ja Kommunikatsiooniministeeriumi poolt toetame

EL küberturvalisuse paketis muudatusi, mis lihtsustavad ELis

Võetud teadmiseks Vt seisukohta seletuskirja punktis 6.5.

tegutsevate ettevõtjate jaoks ELi küberturvalisuse eeskirjade ja

riskijuhtimisnõuete täitmist, tagades liidus jätkuva kõrge

küberturvalisuse taseme. Toetame harmoneeritud EL

küberturvalisuse sertifitseerimisraamistiku loomist, et

edendada ja tõhustada EL sertifitseerimisskeemide loomist ja

rakendamist. Seejuures peame oluliseks, et sertifitseerimine

jääb ettevõtjatele valdavalt vabatahtlikuks ja et loodavad

skeemid on kooskõlas rahvusvaheliste standarditega. Toetame

ettepaneku lähenemist, mis edendab sertifitseerimise

kasutamist vastavuskinnituse mehhanismina, lihtsustades

nõnda ettevõtjatele nõuetele vastavuse tõendamist.

2.2 Lisaks, Eesti seisukohtades ELi kosmosemääruse ja Euroopa

kosmosemajanduse visiooni teatise kohta (mis kiideti heaks

19.02.2026 Vabariigi Valitsuse istungil) tõime välja, et

toetame riskijuhtimisraamistiku loomist, mis hõlmaks

küberturvalisust ja füüsilist turvalisust nii kosmoses asuva kui

ka maapealse taristu puhul. Samuti rõhutasime seisukohtades,

et kosmosevaldkonna kerksusnõuete puhul tuleb maksimaalselt

ära kasutada olemasolevat küberturvalisuse õigusraamistikku,

vajadusel seda täiendada ning mitte dubleerida olemasolevaid

nõudeid. Märgime ära, et kosmosevaldkonna kerksusnõuded

peavad arvestama Euroopa Kosmoseagentuuri ja ELi

olemasolevate turvastandarditega ning toetama rahvusvahelise

küberkoostöö ja infojagamise arendamist.

Võetud teadmiseks

3. Rahandusministeerium kooskõlastas märkusteta

10.03.2026 e-kiri

4. Siseministeerium kooskõlastas märkustega

17.03.2026 kiri nr 5-1/5-4

4.1 Tulenevalt Riigikantselei resolutsioonist 2-5/26-00267 edastab

Siseministeerium arvamuse Justiits- ja Digiministeeriumi

Euroopa Liidu (edaspidi EL) küberturvalisuse eelnõude paketi

kohta: COM(2026) 11 ning COM(2026) 13. Ülevaate koostasid

Võetud teadmiseks

Siseministeeriumi EL ja välissuhete osakond

([email protected]), sisejulgeoleku osakond ning digi-

ja teabehaldusosakond. Politsei- ja Piirivalveamet ning

Kaitsepolitseiamet olid kaasatud arvamuse kujundamisesse

ning neilt täiendavaid märkusi ei laekunud.

4.2 Siseministeerium toetab esitatud EL küberturvalisuse eelnõude

paketti, kuna see aitab tugevdada Euroopa vastupanuvõimet

kasvavatele küberohtudele ja lihtsustab ning ühtlustab

olemasolevat küberturbenõuete ja sertifitseerimisskeemide

süsteemi. Lisaks toob eelnõude pakett positiivse mõjuna kaasa

ENISA rolli laiendamise, mille tulemusel on nendel suuremad

volitused sertifitseerimise, riskihindamise ja liikmesriikide

toetamise vallas. See omakorda aitab vähendada liikmesriikide

halduskoormust, tugevdada nende olukorrateadlikust ning

vähendada EL-i ülest tegevuste dubleerimist.

Võetud teadmiseks

4.3 Samas on ENISA mandaadi laiendamise osas mõned

praktilised küsimused, mis vajaks arutelude käigus selgitamist.

Nimelt kas ENISA mandaat muutub senisest märksa

operatiivsemaks? Kui jah, siis see omakorda tõstatab küsimuse,

kas ENISA-l kujuneb välja piisav institutsionaalne ja tehniline

võimekus oma laienevaid ülesandeid tõhusalt täita.

Võetud teadmiseks

Vt seisukohta seletuskirja punktis 6.2.

4.4 Samuti toetame ühtset küberturbe sertifitseerimise raamistikku,

mis peaks lihtsustama ja ühtlustama nõudeid toodetele,

teenustele ja tarneahelatele üle EL-i. Kuna IKT tarneahelad on

keerukad ja paljude osapooltega, on ühtsetel alustel lähenemine

kasulik liikmesriigile ja selle organisatsioonidele vähendamaks

võimalikke riske.

Võetud teadmiseks Vt seisukohta seletuskirja punktis 6.5.

4.5 Lisaks vähendab eelnõude pakett NIS2 nõuete dubleerimist

erinevatele määruste vahel (nt GDPR, DORA, CER AI

määrus), mille tagajärjel samuti väheneb halduskoormus.

Võetud teadmiseks

5. Sotsiaalministeerium kooskõlastas märkustega

19.03.2026 kommentaar EISis

5.1 Hindame väga positiivseks EL-i ülese nõrkuste andmebaasi ja

haldusteenuse loomist – see on kriitiline meditsiiniseadmete ja

e-tervise tarkvara turvalisuse tagamiseks. Samuti toetame

sertifitseerimise lihtsustamist, kuid on oluline silmas pidada, et

mikro- ja väikeettevõtjate halduskoormus ei kasvaks.

Võetud teadmiseks

5.2 Eelnõu toob kaasa olulise rahalise mõju nii avalikule kui ka

erasektorile: Järelevalve kulud: Liikmesriikide ametiasutuste

järelevalvekuludeks prognoositakse kogu EL-is kuni 80

miljonit eurot viie aasta jooksul, Eestis tähendab see

tõenäoliselt lisakulutusi mitte ainult RIA-le, vaid näiteks ka

Tervise ja Heaolu Infosüsteemide Keskusele (TEHIK). Kas ja

kuidas on plaanitud kulusid katta? Tuleb arvestada, et sõltumata tõenäolisest pikaajalisest säästust

toob uute nõuete rakendamine alguses osapooltele kaasa

kulusid sertifitseerimise ja auditite näol. Täiendavad kulutused

kaasnevad kõrge riskiga tarneahelate asendamisega. Samuti

võib see tekitada uusi raskusi kriitiliste süsteemide hooldamisel

või hankimisel, kui puuduvad alternatiivid. Täiendav kulude kasv tuleb veel ilmselt IT-spetsialistide

puudusest – vajadus uusi turvameetmeid ja

sertifitseerimiskavasid õigeaegselt rakendada, tekitab

suurenenud tööjõu vajaduse, mis mõjutab tööjõuturgu ja/või

seab riski alla tähtaegse rakendamise.

Selgitame Praeguses etapis ei ole lõplikult võimalik ette teada ega näha, millises

ulatuses tekib kulu. Kui neid peaks siiski tekkima, analüüsitakse neid

riigieelarve planeerimise protsessis.

5.3 Soovitame ülemineku sujuvamaks kulgemiseks võimalusel

tähtaegu pikendada. Arvestatud Vt seisukohti seletuskirja punktides 6.8. ja 6.145.

5.4 Halduskoormus ja dubleerimine Oluline on silmas pidada, et uued meetmed ei dubleeriks juba

kehtestatud määruseid ja nõudeid (NIS2 jt). ENISA rolli

tugevdamine peab olema selgelt piiritletud, et see ei hakkaks

kattuma (dubleerima) liikmesriikide enda pädevusega

küberohtude ennetamisel ja reageerimisel.

Arvestatud Vt seisukohta seletuskirja punktis 6.2.

5.5 Lisaks märgime, et sätestatavad riskihindamise kriteeriumid ei

tohiks omakorda veelgi pärssida innovatsiooni, milleks on juba

niigi palju piiranguid ja regulatsioone.

Võetud teadmiseks

6. Andmekaitse Inspektsiooni arvamus

06.03.2026 kiri nr 2.3-4/26/590-2

6.1 1. Sertifitseerimine IKÜM ja CSA2 alusel

CSA2 ettepaneku artikli 80 lõike 1 punkti w kohaselt on

Euroopa küberturvalisuse sertifitseerimise skeemide sisu

ülesandeks tagada isikuandmete töötlemise turvalisus. CSA2

alusel välja antav sertifikaat võib praktikas olla kasulik

tõendusmaterjal, mis näitab, et organisatsiooni tehnilised

turvameetmed võivad vastata ühtlasi isikuandmete kaitse

nõuetele. Seda kinnitab ka CSA2 ettepaneku põhjenduspunkt

79, mille kohaselt peaks sertifitseerimisraamistik (ECCF)

andma võimaluse tõendada vastavust erinevatele küber- ja

andmeturbenõuetele ühe sertifitseerimismeetme kaudu, et

vähendada koormust ja ühtlustada nõudeid. Põhjenduses

rõhutatakse, et organisatsioonid seisavad korraga silmitsi

mitmete regulatsioonide nõuete täitmisega ning seetõttu võib

ühtne sertifikaat aidata lihtsustada mitme paralleelse

regulatsiooni täitmist. Oluline on siiski rõhutada, et CSA2 sertifikaat ei asenda

IKÜMi artikli 42 alusel antavat sertifikaati. CSA2 keskendub

küberturbe nõuetele, IKÜM seevastu nõuab lisaks tehnilistele

meetmetele ka õiguslike põhimõtete järgimist, sealhulgas

läbipaistvust, andmete minimaalsust, eesmärgipärasust,

andmesubjekti õiguste tagamist ning töötlemise õiguspärasust.

Need jäävad CSA2 sertifikaadi ulatusest välja, kuna CSA2

sertifitseerimisskeem ei ole mõeldud hindama isikuandmete

kaitset tervikuna. Teatav kattuvus võib esineda IKÜMi artiklis

32 sätestatud töötlemise turvalisuse nõuetega, kuid siinjuures

tuleks panna tähele, et IKÜMi artikli 32 lõike 3 kohaselt võib

Võetud teadmiseks

artikli 32 nõuetele vastavust tõendada artikli 42 alusel

heakskiidetud sertifitseerimismehhanismi järgimisega.

6.2 2. EAKNi ja CSIRT võrgustiku koostöö

CSA2 artikli 68 lõike 1 kohaselt peab ENISA tegema koostööd

EAKNiga. On positiivne, et selline koostöökohustus ENISA ja

EAKNi vahel on CSA2 selgesõnaliselt ette nähtud. EAKN on

varem oma valmidust kinnitanud 22. juuli 20241 kirjaga1. Küll

aga on oluline märkida, et selline koostöö ei tähenda

andmekaitseasutuste ja küberturbe intsidentidele lahendamise

üksuste (Computer Security Incident Response Teams ehk

edaspidi CSIRTid) vahelist süsteemset ja struktureeritud

koostööd. EAKNi moodustavad riiklikud andmekaitseasutused, samal

ajal kui CSIRTid on koondatud CSIRT võrgustikku (CSIRTs

Network). CSIRT võrgustiku suhe ENISAga on reguleeritud

NIS2 direktiivi artiklis 15. Kuigi mõlemate siseriiklike

pädevate asutuste võrgustike koostöö ENISAga on kas juba ette

nähtud või nähakse käesoleva ettepanekuga, ei ole ette nähtud

koostöövormi EAKNi ja CSIRT võrgustiku enda vahele. Samal

ajal on Euroopa Liidu õigusruumis sellised koostöövõimalused

muude asutuste vahel juba ette nähtud, näiteks digiturgude

määruse kõrgetasemeline töörühm (DMA HLG), kus osalevad

nii EAKN kui ka Euroopa konkurentsivõrgustik. See näitab, et

horisontaalne koostöö erinevate regulatiivsete asutuste vahel

on võimalik. EAKN ja CSIRT võrgustiku koostööl oleks märkimisväärsed

eelised. Esiteks võimaldaks see välja töötada ühiseid seisukohti

olukordades, kus andmekaitse ja küberturbe kohustused

põimuvad, näiteks küberturbeintsidentide ja isikuandmete

Selgitame

ENISA pakub sekretariaadi rolli CNW-le ja CSA2-te on EAKNi ja

ENISA koostöö sisse kirjutatud.

1 EAKN vastus ENISA kirjale 22. juulil 2024. EDPB response to letter on collaboration with ENISA | European Data Protection Board

rikkumiste teavitamiskohustuste ristumiskohtades. Ühtsed

juhised vähendaksid õiguslikku killustatust ja annaksid

ettevõtetele või organisatsioonidele selgemad ootused. Teiseks

looks otsene koostöö kanali kiiremaks infovahetuseks

olukordades, millel on samaaegselt nii küberturbe- kui ka

andmekaitseline mõõde. CSIRTid tuvastavad sageli intsidente

enne kui vastutavad töötlejad andmekaitseasutusi teavitavad,

mistõttu otsekontakt parandaks oluliselt andmekaitseasutuste

informeeritust ja reageerimisvõimet. Samuti oleks

andmekaitseasutustel sellisel juhul võimalus anda CSIRTidele

juhised olukordadeks, kus vastutavad töötlejad teavitavad

küberrikkumistest küll CSIRTe, kuid hindavad rikkumise

sellisele tasemele, et andmekaitseasutusi ei teavitata. Samas tuleb arvestada ka võimalike probleemidega.

Andmekaitseasutused ja CSIRTid tegutsevad erinevate

õiguslike volituste alusel, andmekaitseasutused rakendavad

IKÜMi ja lähtuvad põhiõiguste kaitse loogikast, samal ajal kui

CSIRTid tegutsevad küberturbe ja kriitiliste intsidentide

lahendamise raamistikus. See tähendab, et riskitõlgendused ja

konfidentsiaalsusnormid ei pruugi alati kattuda. CSIRTidel

võib olla ligipääs tundlikule tehnilisele teabele, mida ei saa

andmekaitseasutustega jagada, samas andmekaitseasutuste

käsutuses võivad olla isikuandmed, mida CSIRTidel ei ole

volitust töödelda. Selge õigusliku mehhanismita piirdub koostöö tõenäoliselt

siseriiklike ad hoc kontaktidega, millel ei ole piisavalt kaalu, et

tagada järjepidevust ja õigusselgust. Ühtlasi on selline koostöö

vabatahtlik.

6.3 3. ENISA andmetöötluse õiguslik alus intsidentidest

teavitamisel

CSA2 ettepanek näeb ette ENISA rolli märkimisväärset

laiendamist, sealhulgas ülesannete tugevdamist EL-i

Selgitame

Kui arvamus oli tehtud nn ühtse teavitusakna teemal, siis sellega

seotud arutelud toimuvad nn digiomnibussi (ehk digivaldkonna

küberturvalisuse poolel ja intsidentide teavitamise

mehhanismide loomisel. Kavandatud ühtne intsidentidest

teavitamise mehhanism tähendab, et ENISA hakkab toimima

keskse infosõlmena, mille kaudu liiguvad ka isikuandmeid

sisaldavad teated, mistõttu on vajalik selge ja konkreetne

õiguslik alus isikuandmete töötlemiseks. Käesolev ettepanek ei sisalda sätteid, mis annaksid ENISA-le

õiguse töödelda isikuandmeid nende uute ülesannete

täitmiseks. Kuigi ettepanek viitab vajadusele arendada ühtne

teavitussüsteem ja toetada liikmesriike koostöös, ei täpsusta see

töötluse eesmärke ega andmekategooriaid ning seetõttu ei vasta

see määruse (EL) 2018/1725 (edaspidi EUDPR) nõudele, mille

kohaselt peab töötlemine tuginema selgele EL-i õiguslikule

alusele, mis määratleb täpsed ülesanded ja vajaliku töötlemise

ulatuse. ENISA andmetöötlust reguleerib EUDPR, mis seab Euroopa

Liidu institutsioonidele IKÜM-iga sisuliselt samaväärsed

põhimõtted. EUDPR sätestab raamistikud ja tingimused,

millele peab töötlemine tuginema, samas kui õiguslik alus

isikuandmete töötlemiseks peab tulenema mõnest muust EL-i õigusaktist, mis annab ENISA-le vastava ülesande ning

kirjeldab töötluse vältimatut vajadust. Kuna CSA2 ettepanek

õiguslikku alust ei sisalda, tekib olukord, kus ENISA-l võivad

tulevikus olla ülesanded, mis sisuliselt eeldavad isikuandmete

töötlemist, kuid mille töötlemiseks puudub õiguslik alus.

koondpaketi) ettepaneku2 arutluse käigus. Seetõttu tuleb EUDPR

nõuetele vastavusele tähelepanu juhtida tolles protsessis, mitte

siinsete ettepanekutega seonduvalt.

6.4 4. Tarneahela turvalisus ja andmete edastamise piirangud

kolmandatesse riikidesse

CSA2 artikli 103 lõike 2 punkt b annab komisjonile võimaluse

näha rakendusaktiga ette, et teatud üksused ei tohi

küberturberiskide maandamiseks edastada andmeid

Võetud teadmiseks

2 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:52025PC0837

kolmandatesse riikidesse ega kasutada sellist andmetöötlust,

mida tehakse kolmandast riigist. Teisisõnu võimaldab see säte

piirata olukordi, kus andmetele pääsetakse ligi või neid

töödeldakse väljastpoolt Euroopa Liitu, kui sellega kaasneb oht

liidu küberturvalisusele, kübervastupidavusele või usaldusele. Andmete kolmandasse riiki edastamise kohta on sätted ka

IKÜMi V peatükis. CSA2 artikli 103 lõike 2 punkti b ja IKÜM

V peatüki suhet tuleb mõista kumulatiivsena, mitte

alternatiivsetena. Asjaolu, et CSA2 alusel võib komisjon

kehtestada teatavatele üksustele keelu seoses andmete

edastamisega kolmandatesse riikidesse või kolmandas riigis

toimuva andmetöötlusega, ei tähenda, et IKÜM V peatükk

muutuks kohaldamatuks. IKÜM V peatükk sätestab

tingimused, mille esinemisel võib isikuandmete edastamine

kolmandasse riiki olla lubatud, kuid see ei anna iseseisvat ega

absoluutset õigust selliseid edastusi teha sõltumata muudest

liidu õiguse nõuetest. CSA2 alusel kehtestatud keeld või

piirang ei tähenda seda, et IKÜM V peatüki nõuded kaotaksid

tähtsuse. Kui tegemist on isikuandmete edastamisega, tuleb

paralleelselt hinnata ka vastavust IKÜM V peatükile, kuivõrd

IKÜM V peatükk kaitseb isikuandmete edastamisel

andmesubjektide õigusi ja tagab kaitsetaseme jätkumise pärast

andmete liikumist kolmandasse riiki. Praktikas võib see tekitada õigusselguse probleeme, sest

kolmanda riigi andmeedastuse lubatavus ei sõltu siis enam

ainult IKÜM V peatükist, vaid potentsiaalselt ka CSA2

määrusest. Andmetöötleja jaoks ei pruugi olla läbipaistev,

millal pelgalt IKÜMi järgimisest enam ei piisa. Seoses CSA2

artikli 103 lõike 2 punktiga b võiks määruses sisalduda

täpsustus, et sätte kohaldamine ei piira IKÜM V peatüki

kohaldamist, ning selgitus, et isikuandmete puhul tuleb

mõlemat raamistikku hinnata paralleelselt.

6.5 5. Lunavararünded

Lunavararünnete avastamine, nende kohta teabe kogumine ja

juhtumite kohta ülevaate loomine on küberturvalisuse

seisukohalt oluline. Samas ei muuda see üleliigseks nõuet, et

juhul kui kogutav või jagatav teave sisaldab isikuandmeid, peab

selline andmetöötlus olema õiguspärane, eesmärgipärane ja

piirduma vajalikuga. NIS2 määruse ettepaneku põhjenduspunktis 10 kasutatakse

lunavararünnete juures väljendit “tundlik teave”. Sellise mõiste

kasutamine ei tähenda, et tegemist oleks IKÜM artikli 9 mõttes

eriliigiliste isikuandmetega, vaid pigem osutab see sellise teabe

tundlikkusele küberturbe ja konfidentsiaalsuse vaatest.

Tegemist on olulise vaheteguriga, kuivõrd IKÜM artikli 9

mõttes tundliku teabe töötlemine on üldjuhul keelatud,

väljaarvatud IKÜM artikkel 9 lõike 2 erandite kohaldumisel.

Võetud teadmiseks

Vt seisukohta seletuskirja punktis 6.1.

7. Riigi Infosüsteemi Ameti arvamus

06.04.2026 kiri nr 1.1-20/26281

7.1 ENISA konverentsil väljendasid rakendajad üle Euroopa ootust

töörahule, võimalusega enne järgmisi muudatusi mõistliku

perioodi jooksul kehtestatud reegleid rakendada. Nõustume

selle seisukohaga. Praegused muudatused seoses nt NIS2-ga ei

adresseeri tõenäoliselt väga suurt osa praktikas ilmnenud või

veel ilmnevaid probleeme, eriti arvestades, et paljude riikide

poolt direktiivi ülevõtmine viibis, sh Eestil. Uued muudatused

tähendaksid niigi põhjalikult muudetus küberturvalisuse

raamistiku uuesti muutmist sisulistes aspektides. Muudatused, mis on planeeritud, näitavad selget ambitsiooni

suurendada tsentraliseeritust ning vähenda liikmesriikide

otsustuspädevust. Kuigi ühisturu mõistes on see ambitsioon

arusaadav, ei ole see liikmesriikide ja nende erinevuste vaatest

põhjendatud. Eestil on ühelt poolt väga arenenud digiriik ja

teiselt poolt ka selge, meie vajadustele vastav, eripärasid, sh

Võetud teadmiseks

väiksust ja turuosalisi arvestav küberturvalisuse tagamise

süsteem. Kesksete meetmete ülimuslikkus liikmesriigi

kehtestatud nõuete ees võib mõjutada negatiivselt saavutatud

tasakaalu.

7.2 ENISA rolli suurenemine 1. Nii CSA2 kui NIS2.2 ettepanekute oluline osa on ENISA

rolli suurendamine. Selle juures on mitmed küsitavused ja

murekohad. Eesmärk on suurem tsentraliseeritus, kuid pole

selge selle tegelik kasutegur, samas tähendab see selgelt

suuremaid kulusid.

2. Euroopa Komisjon on öelnud, et nende eesmärk ei ole teha

ENISA-st CSIRTi, mis reageerib intsidentidele. On arusaadav,

et ENISA roll CSIRT võrgustikus (edaspidi: CNW) on suurem

kui ainult sekretariaadi oma. Sestap soovitame sõnastada

ettepanekus ENISA rolli CNW-s palju täpsemalt ning ühes

ääremärkusega, mis kirjeldab, mida tähendab, et ENISA on

CNW liige ja milles seisnevad selle liikmelisusega kaasnevad

õigused ja ülesanded. Tähelepanu tasub pöörata ka asjaolule,

rahvusvahelised partnerid ei pruugi üheselt mõista, mida

tähendab, et ENISA on CNW liige - võib jääda väärarusaam, et

ENISA on üks Euroopa Liidu CSIRTidest, isegi kui CSA2 järgi

ta seda ei ole.

Võtame arvesse

7.3 3. ENISA suurem roll tähendab ka suuremat ja intensiivsemat

koostööd liikmesriikidega. CSA2 näeb ette NLO ja SNE-d,

kuid tuleb arvestada, et spetsialistid CSIRT-is, järelevalves ja

riskianalüütikud on erinevad inimesed - ei saa vaid ühe-kahe

inimese peale üles ehitada kogu sisulist koostööd. Koostöö

tugineb inimestel ja see tähendab lisaks kirjalikule suhtlusele

ka reisikulusid - kuidas neid kaetakse. Tagajärjeks võib olla

väiksemate riikide kõrvale jäämine ja marginaliseerumine.

Võtame arvesse

7.4 4. CSA2 ütleb, et ENISA hakkab komisjoni nõustama ja

abistama ELi küberpoliitika ja väljatöötamisel (artikkel 4).

Varem oli kirjas ainult "policies", nüüd ka "legislation". Ehk

siis ENISA-l oleks suurem roll küberõiguse väljatöötamisel,

samas artikkel 1 rõhutab jätkuvalt sõltumatust. Tekib küsimus,

mida “assist” hõlmab ja kui suures mahus ning intensiivsusega

hakkab ENISA õigusloomesse panustama. Selline mandaat

muudab hägusaks piiri rakendusasutuse ja seadusandliku

võimu vahel, andes kvaasi-seadusandlikud õigused. Samas ei

ole ENISA-l samaväärset vastutust kui on seda Komisjonil.

Samal ajal luuakse artikliga 10 senisest suurem operatiivse

koostöö mandaat: koostöö toetamise asemel hakkab ENISA

rohkem ise ka ülevaadetesse ja olukorra teadlikkuse

panustama.

Võetud teadmiseks Vt seisukohta seletuskirja punktis 6.2.

7.5 5. Artikkel 11(1)(g) sätestab, et ENISA analüüsib ka lunavara

meetodite, nõuete ja mõju trende. Mõistetav on vajadus

piiriülese informatsiooni ja tervikvaate järgi, mis võimaldaks

teha põhjendatud ning otstarbekaid poliitikaotsuseid. Teisalt

juhime tähelepanu, et ENISA analüüsid on kõrge

abstraktsustasandiga, ei sisalda tundlikku, kuid tihti olulist

teavet ning valmivad pika ajaperioodi peale olles seega

valmimise ajaks tihti teatud määral aegunud. Seega tasub

sellise ülesande ettenägemisel arvestada eeltoodud

piirangutega ning arvestada, et selline analüütika saab

ennekõike informeerida kõrgema tasandi poliitikaotsuseid,

kuid pole ilmselt suure kasuteguriga operatiivsele tasandile.

Võetud teadmiseks Vt seisukohta seletuskirja punktis 6.2.

7.6 6. Mitmes sättes on sisse toodud ja rõhutatud Europoli ja

ENISA koostöö. Koostöö eeldab usaldust ja head infovahetust.

Tuleb arvestada, et Europol ja CSIRT-id tegutsevad erineva

loogika alusel. CSIRT-ide toimise eeldus on kiirus,

konfidentsiaalsus ja neutraalsus, samas kui Europol lähtub

uurimis- ja tõendamisraamistikest. Praktikas on näiteks

Võetud teadmiseks

CSIRT-võrgustikus üleval probleem õiguspärase ligipääsu

küsimusega, mille puhul pole Europol suutnud liikmesriikidele

tõestada, kuidas nad saavutavad ligipääsu andmetele ilma

küberturvalisuse põhimõtteid rikkumata. Seega on koostöö

eelduseks selged piirid ja tagatised, mida praegune ettepanek ei

adresseeri. See omakorda tähendab, et koostöö võib jääda vaid

formaalseks.

7.7 7. Artikkel 12 näeb ette varase hoiatuse (early alerts) süsteemi.

Küsimus on, kas süsteem teatud määral ei dubleeri juba

olevasolevaid teavitusskeeme (CNW-s, CERT-EU). Teiseks,

arvestades, et ENISA tugineb kaudsele infole, on küsimus,

kuidas tagatakse, et teavitused on piisavalt operatiivsed ja

informatiivsed. Lisaks on osa teavitussüsteemist ka soovituste

tegemine. Näeme siin teatavat ohukohta kui ENISA, kes ei

seira EE küberruumi, teeb soovitusi meie ettevõtetele teadmata

kõiki olulisi asjaolusid ja nimetatud soovitused ei ole

kohandatud vastavatele oludele. Lisaks võib siin tekkida

olukord, kus riiklik CSIRT jääb välja oluliselt infovahetusest ja

kontaktist üksusega.

Arvestatud Vt seisukohta seletuskirja punktis 6.2.

7.8 8. Lisaks on neil ettepaneku kohaselt konkreetne roll (shall

assist) ka lunavararünnetele vastamise osas (artikkel 13(3).

Kuigi on toodud, et see toimub koostöös CSIRT-idega, jätab

see ebamääraseks koostöö vahekorra ja jätab õhku küsimuse,

kas ENISA hakkab nende eest või nendega paralleelset

lunavara intsidentidele reageerima. See on laiem küsimus

sellest, kas ENISA-l on liikmesriike toetav roll või hakkab

ENISA-st saama/kujunema CSIRT. Kuigi Komisjon on seda

eitanud, näitavad kõnealused mandaadilaiendused teistpidist

suundumust. Konkreetsemalt näeme siin ohtu tungida CSIRTi

ja riigi pädevuses. Säte viitab küll koostööle CSIRT-idega, kuid

ei sisalda selget nõuet liikmesriigi nõusolekule, mida on

kasutatud muudes sätetes.

Arvestatud Vt seisukohta seletuskirja punktis 6.2.

7.9 9. Artikkel 13(3) sätestab ka, et "For that purpose, ENISA shall

establish a helpdesk and in particular make use of the enhanced

shared situational awareness of the cyber threat and incident

landscape pursuant to Article 11(1), first subparagraph, points

(a) and (g) of this Regulation." Sellest võib järeldada, et ENISA

hakkab pakkuma osaliselt SOC teenust. Sellega seoses tekib

taas küsimus riikliku CSIRTi ja ENISA tegevuse kattuvusest

või põrkumisest. Tekstist ei selgu, kuidas toimub

koordinatsioon operatiivse toe pakkumisel ning kuidas toimub

infovahetus. Tekib oht, et oluline informatsioon ei jõua seetõttu

CSIRT-ini või, et üksus saab riiklikult ja ENISA tasandilt

erinevaid suuniseid. Samuti on küsitav, millise kvaliteediga

tuge saab ENISA tasandilt pakkuda, arvestades, et spetsiifiline

teadmus oludest on siiski riiklikul tasandil.

Arvestatud Vt seisukohta seletuskirja punktis 6.2.

7.10 Euroopa küberturvalisuse sertifitseerimisraamistiku

lihtsustamine 10. Sertifitseerimisraamistik näeb ette liikmesriikidele

kohustuse aktsepteerida sertifikaate ilma õiguseta täiendavalt

auditeerida.

11. Tuleb arvestada, et keskselt väljatöötatud

sertifitseerimisskeem ei pruugi piisaval määral ajaga kaasas

käia ning esitatavad nõuded on kompromiss erinevate lävendite

vahel. Arvestades liikmesriikide siiski erinevat

küberturvalisuse taset ei ole vastuvõetav ega mõistlik panna

kohustust tingimusteta sellist sertifikaati aktsepteerida ning

säilima peaks võimalus vajadusel täiendavalt auditeerida

nõuetele vastavust.

12. Lisaks tuleb silmas pidada vastavushindamisasutuste

(conformity assessment bodies, CAB) võimalikku erinevat

praktikat, mis võib kaasa tuua kohtalluvuse valimist (forum

shopping) lähtuvalt soodsamaist praktikast. Kuigi on

Selgitame Ettepaneku artikli 88 kohaselt peavad riigid määrama riikliku(d)

küberturvalisuse sertifitseerimise asutuse(d). Tollel asutusel on

ettepaneku artikli 88 lõike 6 punktide b ja c kohaselt järgmised

ülesanded: b) nad teevad Euroopa küberturvalisuse sertifitseerimise kavade üle

järelevalvet ja tagavad nende nõuete täitmise kooskõlas artikli 81

lõike 2 punktiga a eesmärgiga tagada IKT-toodete, -teenuste, -

protsesside, hallatud turbeteenuste ja üksuste turvaoleku vastavus

nende Euroopa küberturvalisuse sertifikaatide nõuetele, mis on

väljastatud nende vastavatel territooriumidel, koostöös asjaomase

turujärelevalve- või järelevalveasutusega, sh pädevate asutustega

Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 või

määruse (EL) 2024/2847 alusel;

c) nad teevad nende vastaval territooriumil asutatud ning vastava

Euroopa küberturvalisuse sertifitseerimise kava kohaselt vastavuse

enesehindamist tegevate käesolevas määruses sätestatud IKT-

ettenähtud mehhanism CAB-i tegevuse nõuetele vastamiseks

(artikkel 94), on see selgelt ajakulukas protsess mis ei võimalda

tagasi pöörata juba tehtud otsuseid. Ehk ettenähtud usaldus

sertifikaatide vastu on suur, kui kontrollimehhanismid on

kaudsed ja nõrgad.

13. Fundamentaalsemal tasemel võib sertifikaadi tingimusteta

ja täiendava kontrollita aktsepteerimise kohustus olla vastuolus

liikmesriikide pädevusega julgeoleku küsimustes.

Küberturvalisusel on oluline koht riigi julgeolekus. Pandud

kohustus välistab aga riigi võimaluse välistada mingeid

tehnoloogiaid või teostada efektiivset kontrolli. Seega tõstatub

küsimus, kas ettenähtud raamistik on kooskõlas Euroopa Liidu

toimimise artikliga 4(2), eeskätt selle viimase lausega.

toodete, -teenuste, -protsesside või hallatud turbeteenuste tootjate või

pakkujate või sertifitseeritava turvaolekuga üksuste kohustuste

täitmise üle järelevalvet ning tagavad nende kohustuste täitmise

koostöös asjaomaste turujärelevalveasutustega;

Sama artikli lõike 7 punktide b, c ja e kohaselt on nendel asutustel

vähemalt järgmised volitused: b) uurida auditi vormis vastavushindamisasutusi, Euroopa

küberturvalisuse sertifikaadi omanikke ja ELi

vastavusdeklaratsiooni väljaandjaid, et kontrollida nende poolt

käesolevas jaotises sätestatud nõuete järgimist;

c) võtta asjakohaseid meetmeid vastavalt liikmesriigi õigusele

tagamaks, et vastavushindamisasutused, Euroopa küberturvalisuse

sertifikaadi omanikud ja ELi vastavusdeklaratsiooni väljaandjad

järgivad käesoleva määruse ja Euroopa küberturvalisuse

sertifitseerimise kava nõudeid;

e) tunnistada liikmesriigi õiguse kohaselt kehtetuks Euroopa

küberturvalisuse sertifikaadid, mille on välja andnud riiklikud

küberturvalisuse sertifitseerimise asutused või

vastavushindamisasutused kooskõlas artikli 85 lõikega 4, kui need

sertifikaadid ei vasta käesolevale määrusele või Euroopa

küberturvalisuse sertifitseerimise kavale;

Sama artikli lõike 8 kohaselt [r]iiklikud küberturvalisuse

sertifitseerimise asutused teevad omavahel ja komisjoniga koostööd,

eelkõige vahetavad teavet, kogemusi ja häid tavasid seoses IKT-

toodete, -teenuste ja -protsesside, hallatud turbeteenuste ja üksuste

turvaoleku küberturvalisuse sertifitseerimisega ning küberturvalisust

puudutavate tehniliste küsimustega.

Kehtiva küberturvalisuse määruse kontekstis on vastava ülesande

täitja Tarbijakaitse ja Tehnilise Järelevalve Amet (vt küberturvalisuse

seaduse § 131).

Lisaks vt ka küberturvalisuse 2. direktiivi muudatusega seotud

seisukohta, mis on seotud direktiivi artikli 21 lõikega 5. Vt ka seisukohta seletuskirja punktis 6.13.

7.11 IKT tarneahela turvalisuse raamistik 14. Laias laastus IKT tarneahela turvalisuse raamistik (98-105)

tegeleb mitte-tehniliste riskide maandamisega kõrge

kriitilisusega sektorite tarneahelates ja meetmed kehtiksid

NIS2 I ja II lisa üksustele. Artikkel 100 kohaselt saab

määratleda kolmandaid riike küberturvalisuse vaatest

riskiriigiks (designation of third countries posing cybersecurity

concerns). Oluline on ka see, et sinna alla ei lähe ainult

kolmandate riikide firmad, vaid ka firmad mis on kolmanda

riigi kontrolli all või nt mille omanik on kolmanda riigi

kodanik.

15. Üldiselt toetame riskiriikide määramise mehhanismi, sest

see annab võimaluse vähendada kriitilises infrastruktuuris

sõltuvust kõrge riskiga riikide tootjate tooteid. RIA vaatest

pigem positiivne, et aktsepteeritakse, et tarneahela riskid on

laiemad, kui kitsas mõistes tehnoloogilised.

Arvestatud

7.12 16. Ettepanek annab otsustuspädevuse kolmandate riikide

määramiseks küberturvalisusele ohtu kujutavateks riikide

hulka Komisjonile. Liikmesriigid küll panustavad läbi

ohuhinnangu ja konsultatsioonide, kuid nende roll jääb selgelt

nõuandvaks. Seejuures ei näe raamistik ette võimalusi ei

leevendusteks ega ka liikmesriigi poolseks karmimaks

lähenemiseks (kuigi art 98(3) näeb ette justkui vastava õiguse,

on see allutatud ühisturu nõuetele). Juhime tähelepanu, et kuna

otsustel on suure tõenäosusega lisaks mõjule julgeolekule ka

oluline majanduslik mõju, on ka arvestatav risk protsessi

politisserumisele, mis omakorda võib õõnestada selle

usaldusväärsust.

Arvestatud Vt seisukohta seletuskirja punktis 6.8.

7.13 17. Artikkel 103 näeb ette, et komisjon võib rakendusaktiga ette

näha seadmed ja komponendid, mille kasutamine on NIS2-s

ettenähtud sektorites tegutsevatele ettevõtetele keelatud, ning

anda neile üleminekuks tähtaja. Kui peab hakkama vahetama

välja tooteid, siis millised on eeldatavalt need tähtajad ja kas

sellele tuleb ka mingi täiendav EL-i tugi?

Selgitame Küberturvalisuse 2. määruse ettepaneku artikli 103 lõike 1 teine lause

sedastab: “Kõnealustes rakendusaktides nähakse ette sobilikud

üleminekuperioodid, mille vältel komisjon avaldab artiklis 104

osutatud suure riskiga tarnijate loetelud, ning täiendavad

ajavahemikud asjaomaste IKT-komponentide ja IKT-komponente

sisaldavate komponentide järkjärguliseks kasutusest

kõrvaldamiseks.” Vt seisukohti seletuskirja punktides 6.8. ja 6.14.

7.14 18. [Artikli] 99(1) kohaselt võib Komisjon või 3 liikmesriiki

algatada, et NIS CG viiks läbi riskianalüüsi. Sätte alusel on

silmas peetud süvitsi, põhjalikku riskihindamist, kuid samas on

ajaraam vaid kuus kuud. RIA vaatest tekitab küsimusi NIS CG

raames võimekus sellist hindamist läbi viia. Täna ei ole RIA

panus NIS CG-sse FTE-de mõttes sellises mahus, et sisukalt

sellisesse riskihindamisse panustada; küsitav on, kas teistegi

riikide panus seda võimaldab. Seega eeldab selline raamistik

riikide, sh Eesti suuremat panust NIS CG-sse.

19. Segaseks jääb protsessi n-ö omanik – kuigi NIS CG justkui

viib seda läbi, on Komisjonil arvestatavad hoovad selle üle.

Lisaks, riskihindamisel on oluline kaal kuna sellest sõltub

hilisem kõrge-riskiga tootjate määratlemine, seega on

liikmesriikide panusel väga oluline kaal, kuid kontroll protsessi

üle on minimaalne (läbi NIS CG).

Selgitame Selles artiklis viidatud küberturvalisuse 2. direktiivi artikkel 22 ei

määratle hetkel tähtaega, mis ajaks tuleb vastav riskianalüüs läbi viia.

7.15 NIS2 direktiivi ettepanekud 1. On tervitatav, et teatud üksuste kategooriaid täpsustatakse.

Samas oleks hädavajalik, et täpsustataks mõisteid laiemalt.

Näiteks järelevalve mõisted (ad hoc audit, targeted audit, and

regulaar audit). Mõisted peaks olema kooskõlas ka

standardiseeritud terminoloogiaga. Praegu kasutatav

terminoloogia, mis pole ühegi turbevaldkonna terminoloogiaga

Arvestatud

süstemaatiliselt kooskõlas. Sellegi korrastamine on täiesti välja

jäänud teema ja probleemid aina progresseeruvad.

7.16 2. Keskmise suurusega ettevõtte kategooria asendamine Small

mid-cap kategooriaga a. Ettepanek ei võta laias laastus arvesse väiksemate riikide

turuolukorda. Eestis kukuvad enamus ettevõtteid alla selle piiri.

See omakorda tähendab, et enamus direktiivi lisas I toodud

valdkondades tegutsevad ettevõtted jäävad üliolulise üksuse

regulatsiooni alt välja ja seega ei ole kohustatud võtma ka

vastavaid turvameetmeid ning nende üle järelevalve on

võimalik teostada vaid ex post ehk kui midagi on juba juhtunud. b. Ettevõtete suuruste määratluse muutmine selleks, et skoopi

vähendada, jätab tähelepanu alt aga välja ettevõtete mõju

proportsionaalsuse ja sõltuvuse digitaalsest elemendist, võrgu-

ja infosüsteemidest. See jookseb ka peamise kriitikana NIS2

kohta läbi teaduskirjandusest.

Selgitame Jah, selle tulemusena jääksid Eestis paljud direktiivi I lisas olevad

ettevõtjad üliolulise üksuse regulatsiooni alt välja, sh muutuks ka

nende üksuste suhtes järelevalve režiim rohkem reageerivaks. Samas

see ei tähenda, et see muudab turvameetmete kohaldamise nõuet -

kehtiva küberturvalisuse 2. direktiivi artiklis 21 pole hetkel sätestatud

ning ettepanekuga seda artiklit ei muudeta viisil, et ülioluliste ja

oluliste üksuste puhul toimuks erinev lähenemine turvameetmete

(direktiivi sõnastuses “riskijuhtimismeetmete”) kohaldamisele.

7.17 3. Artikliga 5 nähakse ette, et kui Komisjon on andnud

rakendusmääruse art 21(5) alusel, kuulub kohaldamisele

viimati nimetatu ning liikmesriigid ei või kehtestada

täiendavaid nõudeid. Sellisele regulatsioonile oleme kindlasti

vastu. Liikmesriikidel peab jääma võimalus kehtestada

täiendavaid nõudeid, pidades silmas riigi eripära. Praegusel

juhul oleks välistatud näiteks Eesti-spetsiifilised turvanõuded

valdkonna üksustele, kellele on kehtestatud ka

rakendusmäärus. Samuti kaasneb selle ettepanekuga kinni

kirjutamise oht – olukorras, kus rakendusmäärus ei ole enam

ajakohane, ei ole sellise regulatsiooni korral võimalik riigil

kehtestada selle kategooria üksustele aja- ja asjakohasemaid

nõudeid. Küsitav on aga komisjoni võime asjakohaseid

tehnilisi, metodoloogilisi sektoripõhiseid nõudeid kehtestada

piisava agiilsusega, et need oleksid ja jääksid asjakohaseks.

Praegu on ühe rakendusakti sektorina välja toodud ka

Arvestatud

pilvandmetöötlusteenuse osutajad ja andmekeskusteenuse

osutajad – RIA hinnangul ei ole rakendusmäärus piisav,

pidades silmas ka Eesti digiriigi eripärasid ja täiendavaid,

riigispetsiifilisi nõudeid. Samas marginaliseerub E-ITS ja

seeläbi ka muud kohalikud ettevõtluse algatused (Cybsis,

Kordon, PlanPRO jne). Siin võiks jääda valdkondlike

soovituslike standardite tasemele ja mitte üle reguleerida.

7.18 4. Küberturvalisuse seisundi (cyber posture) sertifikaadi osas vt

kommentaare ülalt seoses sertifitseerimisraamistikuga. Võetud teadmiseks

7.19 5. Praegu ettenähtud ülevõtmisaeg 12 kuud on ilmselt liiga

lühike periood, arvestades, et üleminek ja kohanemine seniste

muutustega kestab veel pikalt.

Arvestatud

8. Tarbijakaitse ja Tehnilise Järelevalve Ameti arvamus

31.06.2026 kiri nr 2-3/2026/0380

8.1 Tarbijakaitse ja Tehnilise Järelevalve Amet (edaspidi TTJA)

toetab küberturvalisuse paketis toodud eesmärke ja pakutud

lahendusi eelkõige Euroopa Liidu Küberturvalisuse Ameti

(edaspidi ka ENISA) mandaadi tugevdamisel ja

küberturvalisuse sertifitseerimisraamistiku lihtsustamisel.

Võetud teadmiseks

8.2 1. Ettepaneku artikkel 2 Ettepaneku artiklis 2 on esitatud mitu uut definitsiooni, mis on

seotud elektrooniliste sidevõrkude ja raadioside tehniliste

aspektidega. Nende definitsioonide praktiline roll ettepaneku

ülejäänud tekstis ei ole hetkel piisavalt selge, kuivõrd

ettepanekus neid rohkem ei kasutata. Täiendavat selgitamist

vajaks asjaolu, kas neid definitsioone on kavas kasutada

edaspidi rakendusaktides (sealhulgas

sertifitseerimisskeemides).

Selgitame

Vastab tõele, et mujal ei ole neid definitsioone kasutatud, kuid paraku

ei ole ka hetkel teada, kus ja millises kontekstis neid võidakse

kasutada.

Vt ka seisukohta seletuskirja punktis 6.1.

8.3 2. Ettepaneku artikkel 47

Ettepaneku artikkel 47 näeb vastavushindamise asutustele ette

sertifikaatide väljastamisega seotud tasud, mis laekuvad

ENISA eelarvesse. TTJA hinnangul suurendab selline lahendus

Arvestatud

Vt seisukohta seletuskirja punktis 6.5.

sertifitseerimise kogukulu ning kandub lõppastmes edasi

tarbijahindadesse. Ettenähtud tasude süsteem võib pidurdada

Euroopa küberturvalisuse sertifitseerimise arengut, eelkõige

nendes liikmesriikides (nagu Eesti), kus vastavushindamise

asutuste turg on alles kujunemisjärgus. Seetõttu palume

täiendavalt hinnata, kas kavandatud tasude süsteem on

praeguses arengufaasis proportsionaalne ja kas see toetab

regulatsiooni eesmärke

8.4 3. Ettepaneku artikkel 74

Ettepaneku artikkel 74 kohustab ENISA-t valmistama pärast

komisjoni vastava taotluse saamist sertifitseerimisskeemi ette

12 kuu jooksul. Leiame, et kõikide sertifitseerimisskeemide

puhul ei pruugi see tähtaeg olla realistlik. Arvestades vajadust

koguda arvamusi huvirühmadelt ja Euroopa küberturvalisuse

sertifitseerimisrühmalt (ECCG) võib sertifitseerimisskeemi

valmistamine nõuda põhjendatult pikemat aega. TTJA

hinnangul tuleks kaaluda tähtaja põhjendatud juhtudel

pikendamise võimalust.

Võetud teadmiseks

Vt seisukohti seletuskirja punktides 6.7 ja 6.8.

8.5 4. Ettepaneku IV jaotis

Peame vajalikuks selgitada, mida täpsemalt hõlmab ettepaneku

IV jaotises sätestatud IKT tarneahela turvalisuse regulatsioon.

Eelkõige vajab selgitamist, kas kohaldamisala hõlmab ka IKT

kasutajaseadmeid või üksnes võrguseadmeid ja nende

komponente. TTJA hinnangul peaks kolmandatest riikidest

pärinevate IKT kasutajaseadmete puhul üldjuhul piisama

sellest, et need vastavad küberkerksuse määruse (EL)

2024/2847 nõuetele.

Selgitame

Küberkerksuse määrus käsitleb tehnilisi riske ja küberturvalisuse 2.

määrus keskendub mittetehnilistele riskidele ehk siis need täiendavad

üksteist. Toode võib täita ära kõik küberkerksuse määruse tehnilised

nõuded, kuid siiski langeda riskiriigi nimekirja, kuna CSA2 käsitleb

mittetehnilisi riske.

9. Eesti Maaülikooli arvamus

12.03.2026 kiri nr 5.1-14/1406-1

9.1 Eesti Maaülikool (edaspidi: ülikool) toetab Euroopa Liidu

küberturvalisuse paketi üldisi eesmärke tugevdada ELi

kübervastupidavust, vähendada liikmesriikide vahelist

Võetud teadmiseks

killustatust ning parandada IKT-tarneahela turvalisust. Peame

oluliseks, et regulatsioonide rakendamisel järgitaks

proportsionaalsuse põhimõtet ning välditaks dubleerivat

halduskoormust, mis ei suurenda sisuliselt turvalisust, kuid

tekitab märkimisväärseid lisakulusid.

9.2 Ülikool taotleb ISO/IEC 27001 (edaspidi: ISO 27001)

sertifikaati eesmärgiga kehtestada rahvusvaheliselt tunnustatud

ja riskipõhine infoturbe juhtimissüsteem. ISO 27001

rakendamine tuleneb nii kehtivast küberturvalisuse seadusest

kui ka ülikooli rahvusvahelisest tegevusmudelist, mis eeldab

võrreldavat ja usaldusväärset turberaamistikku rahvusvaheliste

partnerite ees. Sertifitseerimine toimub täielikult ülikooli oma

vahenditest ning ülikool ei ole saanud kasutada eraldi riiklikke

toetusmeetmeid. Samuti ei ole riigisisene E-ITS raamistik

rahvusvahelise ülikooli kontekstis täiel määral rakendatav. ISO 27001 ja NIS2 põhinevad samadel alustel: riskijuhtimine,

juhtkonna vastutus, tarneahela turvalisus, intsidentide haldus ja

pidev parendamine. Seetõttu peab ISO 27001 sertifitseeritud

infoturbe juhtimissüsteemi käsitlema NIS2 nõuete täitmise

alusraamistikuna. Kui ISO 27001 sertifikaati NIS2

rakendamisel ei arvestata, tekib olukord, kus ülikool peab

looma paralleelsed protsessid, dubleeriva aruandluse ja

täiendavad auditimehhanismid, mis oleks ebamõistlikult

kulukas ning vastuolus halduskoormuse vähendamise

eesmärgiga.

Võetud teadmiseks ja selgitame

Küberturvalisuse 2. direktiivi põhjendus 79 sedastab, et võrgu- ja

infosüsteemide turvalisuse tagamisega seotud riskijuhtimismeetmed

peavad käsitlema erinevaid aspekte “kooskõlas Euroopa ja

rahvusvaheliselt tunnustatud standarditega, näiteks ISO/IEC 27000

seeria standarditega”. Ka direktiivi artikli 21 lõike 5 alusel vastu

võetud komisjoni rakendusmääruse (EL) 2024/2690 põhjenduses 3

on märgitud “Tulenevalt direktiivi (EL) 2022/2555 artikli 21 lõike 5

kolmandast lõigust põhinevad käesoleva määruse lisas esitatud

küberturvalisuse riskijuhtimismeetmete tehnilised ja metoodilised

nõuded Euroopa ja rahvusvahelistel standarditel, nagu ISO/IEC

27001, ISO/IEC 27002 ja ETSI EN 319401, ja tehnilistel nõuetel,

nagu CEN/TS 18026:2024, mis puudutavad võrgu- ja infosüsteemide

turvalisust.”. Too rakendusmäärus kohaldub ennekõike valitud

üksustele (kes on rohkem seotud piiriüleste digivaldkonna

teenustega). Eeltoodu ilmestab, et direktiivi artikliga 21 ette nähtud

nõuete täitmise osas on võimalik rakendada ISO/IEC 27001

standardit ning taoline võimalus on ette nähtud ka Eestis teatud

üksuste korral.3

9.3 Toetame ENISA rolli tugevdamist koordineeriva ja juhendava

institutsioonina, EL-ülese sertifitseerimisraamistiku

ühtlustamist ning IKT-tarneahela riskide süsteemset ja

riskipõhist käsitlemist, kuna need meetmed suurendavad

õigusselgust, vähendavad liikmesriikide vahelist killustatust

Arvestatud

3 https://www.riigiteataja.ee/akt/127092025002, vt § 3 lõikeid 2 ja 21.

ning aitavad kaasa turvalisemate ja usaldusväärsemate

digilahenduste laialdasemale kasutuselevõtule. Samas on

praktilise rakendatavuse seisukohalt oluline tagada selge

üleminekuperiood olemasolevatele teenuslepingutele, eriti

pilveteenuste osas, rakendada teadus- ja haridusasutuste suhtes

selgelt proportsionaalsuse põhimõtet ning arvestada

järelevalves ja vastavuse hindamisel ISO 27001 sertifitseeritud

organisatsioonide küpsustaset, vältides dubleerivat

sertifitseerimist olukorras, kus riskijuhtimine on juba tõendatult

toimiv.

9.4 Eesti-spetsiifiliste aspektidena juhime tähelepanu, et

rahvusvahelise ülikoolina teeme tihedat koostööd kolmandate

riikide partneritega, kasutame rahvusvahelisi teadustaristuid

ning globaalset pilveinfrastruktuuri. Liiga jäik või formaalne

tarneahela piirangute rakendamine võib kahjustada

teaduskoostööd ning tuua kaasa märkimisväärseid aja- ja

finantskulusid. Eestis puuduvad praegu sihitud toetusmeetmed,

mis aitaksid kõrgkoolidel katta sertifitseerimise ja ülemineku

kulusid. Seetõttu on eriti oluline, et juba rakendatud ja

rahvusvaheliselt tunnustatud ISO 27001 sertifitseerimist

arvestataks NIS2 rakendamisel sisulise vastavuse tõendina. Toetame küberturvalisuse paketi eesmärke ning vajadust

tugevdada ELi vastupanuvõimet, kuid rõhutame, et ISO 27001

sertifitseeritud infoturbe juhtimissüsteemi mittearvestamine

NIS2 rakendamisel tooks kaasa ebaproportsionaalse

topeltkoormuse ega aitaks sisuliselt kaasa küberturvalisuse

taseme tõstmisele. Palume Eesti seisukohtade kujundamisel

arvestada rahvusvaheliste ülikoolide eripära,

proportsionaalsuse põhimõtet ning standardite ja regulatiivsete

nõuete sisulist kooskõla.

Selgitame

Vt ka kommentaari 9.2 vastust.

9.5 Samuti palume ministeeriumil algatada arutelu riikliku toe või

paindlike rakendusmehhanismide võimalikkuse üle teadus- ja Võetud teadmiseks

haridusasutustele, sealhulgas üleminekutoetuse või

rahvusvaheliste projektide erimenetluse osas, et regulatsioon

võimaldaks riskipõhist otsustamist automaatsete keeldude

asemel, lubaks põhjendatud juhtudel kasutada kolmandate

riikide teenuseid juhul, kui riskid on nõuetekohaselt hinnatud

ja maandatud, ning näeks ette mõistliku üleminekuperioodi

olemasolevatele lepingutele, vältimaks kohest ja kulukat

migratsiooni. Kui ülikool suudab ISO 27001 raamistikus

tõendada riskide süstemaatilist hindamist ja kontrolli, ei peaks

regulatsioon automaatselt nõudma teenuse lõpetamist ega

dubleerivat sertifitseerimist. Tegemist on proportsionaalsuse ja

halduskoormuse vähendamise küsimusega, mis on kooskõlas

ka paketi üldiste eesmärkidega.

10. Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu arvamus

31.03.2026 kiri nr 6.1-2/58

10.1 ITL-i üldised seisukohad 1) Küberturvalisus on väga oluline valdkond ja selle

regulatsioon on tervikuna selgelt vajalik. Kuna

küberturvalisuse määrusega ei ole saavutatud soovitud

eesmärke, siis toetame selle ülevaatamist ja muutmist. 2) Teeme ettepaneku võtta Euroopa Liidu (EL)

küberturvalisuse paketi suuremaks eesmärgiks regulatsioonide

päriselt lihtsustamine, sealhulgas kattumiste ja dubleerimiste

vähendamine NIS2, finantssektori digitaalse tegevuskerksuse

määruse (DORA), küberkerksuse määruse (CRA) ja muude

asjakohaste raamistike vahel. See võimaldaks ettevõtetel ja

asutustel suunata ressursid vastavuse tagamise ja tõendamise

asemel meetmete rakendamisele, mis praktikas aitavad luua

suuremat turvalisust. Kehtivad küberturvalisust ja digiteemasid

reguleerivad õigusaktid on keerulised ja mahukad ning

seepärast on neid rakendavatel organisatsioonidel raske mõista,

millised on kõige olulisemad meetmed, mis tagaksid nende

Võetud teadmiseks

turvalisuse. Kuna regulatsioonid on mahukad, siis ruumi

lihtsustamiseks ja ühtlustamiseks neis jagub. 3) Uute täiendavate riskihaldusemeetmete kaalumisel ja

kehtestamisel tuleb lähtuda sellest, et kõik kohuslased

erinevates riikides oleks võimelised neid täitma. Nende

regulatsioonide eesmärgiks tagada EL-i kõigis liikmesriikides

turvalisuse ühtlaselt (harmoneeritult) kõrge tase. Kui ettevõtted

tegutsevad mitmes riigis, siis tuleb praegu praktikas tegelda

tegeliku turvalisuse tagamise asemel erinevate riikide

regulatsioonide erisuste tuvastamise ning nendega

kohandumisega. Seega tuleb regulatsioonide läbivaatamisel ja

uuendamisel lähtuda minimaalsuse printsiibist ning sellest, et

need ei tekitaks rakendamisel ülemäärast ressursikulu ega

tekitaks ainult läbi erinevate nõuete täitmise kinnitamise

eksitavat tunnet tegelikust turvalisusest. 4) Küberturvalisuse regulatsioone kehtestades ja muutes on

oluline arvestada suuremat eesmärki milleks on õiguskindluse-

ja selguse tagamine ning osapooltele aja andmine

regulatsioonide sisuliseks rakendamiseks. Hetkel oleme

olukorras, kus viimastel aastatel on vastu võetud mitmeid

mahukad regulatsioone, mida juba on asutud muutma. Leiame,

et oluline on lasta juba kehtestatud regulatsioonidel piisava

ajaperioodi jooksul toimida. Seejärel teha nende mõjude ja

tulemuste kohta analüüs mille järelduste põhjal saab otsustada

muutmise vajalikkuse üle. Heitlik õigusruum kus toimuvad

pidevad muudatused ja uute kohustuste kehtestamine nõuab nii

era kui avalikult sektorilt ebavajalikke investeeringuid ja

protseduuride muutmist. Tuleb jätta rohkem ruumi

riskipõhiseks tegutsemiseks kuna see loob pidevalt muutuvas

olukorras võimaluse paindlikult riske hallata mitte käituda

nõuete, mis tegelikult põhinevad mineviku intsidentidel, järgi.

10.2 ITL-i seisukohad CSA2 ettepaneku kohta: Selgitame

1. ENISA mandaadi uuendamine, uute ülesannete ja pädevuste

lisamine ITL-ina tegime CSA ülevaatamise käigus ettepaneku, et

ENISA-le ei määrataks uusi täiendavaid rolle, mis ei ole

kooskõlas tema seniste võimekustega. Uute ülesannete lisamise

asemel soovitasime ENISA-l keskenduda oma

põhiülesannetele ja vältida liigset laienemist kõrvalteemadele,

mis võivad takistada tõhusat tegutsemist põhivaldkondades ja

nende arendamist. Konkreetsemalt leidsime, et ENISA peaks

keskenduma EL-i küberturvalisuse valdkonna õigusaktide,

nagu küberturvalisuse 2. direktiiv (NIS2), finantssektori

digitaalse tegevuskerksuse määruse (DORA) ja küberkerksuse

määruse (CRA) rakendamist abistavate tehniliste

spetsifikatsioonide ning juhiste väljatöötamisele. CSA2 ettepanekuga ENISA rolli ei kitsendata, vaid

reformitakse ja antakse uusi tegevusvaldkondi, näiteks seoses

tarneahela turvalisuse ja oskustega. Seega on oht ENISA

tegevuse fookuste veel suuremale hajumisele.

Vt seisukohta seletuskirja punktis 6.2.

10.3 ENISA kui üks teavituspunkt Kordame Euroopa Komisjoni avaldatud digivaldkonna

lihtsustamispaketile ehk digiomnibussile ITL-i poolt

19.12.2025 esitatud tagasisides sisaldunud seisukohta mille

kohaselt toetame erinevate intsidentide raporteerimiseks ühise

keskkonna loomist. Novembris 2025 avaldatud nn

digiomnibussi ettepanekus pakkus Euroopa Komisjon välja

ühise teavitamiskanali loomise, et sama intsidendi puhul ei

tuleks mitmes kohas ning mitu korda teavitada. Selline üks teavitamiskanal on kindlasti tervitatav, eriti

piiriüleselt tegutsevate ettevõtete jaoks ning me toetame seda.

Võetud teadmiseks ja selgitame

Siinsete eelnõude puhul sama Eesti seisukohta ei koostata, kuna see

on juba koostatud4 digiomnibussi eelnõude raames, mida on siinses

protsessi võimalik taaskasutada.

4 https://eelnoud.valitsus.ee/main/mount/docList/a4bbca3f-8cca-4bcb-af5b-6d6e15dbb143

Hetkel peab mitmes Euroopa Liidu riigis tegutsev

küberturvalisuse erinevate regulatsioonide alla langev ettevõte

tegema teavitust kohalikele CERT-idele eraldi ja erinevatel

dokumendi vormidel. Sealjuures tekib täiendav oluline ressursikulu ettevõttele iga

riigi CERT-iga eraldi suhtlemisel, kui teavituse kohta tuleb

lisaküsimusi. Ettevõtte jaoks läheb seega kaotsi intsidendi

lahendamiseks vajalik aeg ning muud ressursid, kuna tuleb

suhelda mitme asutusega teavituse teemal. Seetõttu toetame

ülesandeid, mis ENISA-le antakse CSA2 ettepaneku artikliga

15. Seoses ühtse teavituskanaliga lisame, et lihtsustamise eesmärki

silmas pidades tuleb olla ambitsioonikam ning ühtlustada ka

teavitamise aegasid, vorme jm EL-i küberturvalisuse

õigusaktides, kuna see hoiab kokku mitmes riigis tegutsevate

ettevõtete ressursse.

10.4 2. Sertifitseerimisskeeme puudutava regulatsiooni laiendamine ITL on järjepidevalt toetanud vabatahtlikke standardeid ja

sertifitseerimist. CSA2 ettepanek võimaldab kehtestada

kohustuslikke standardeid (art 71 lg 3). CSA2 ettepaneku kohaselt saaks tulevikus

sertifitseerimisskeeme kasutada ettevõtte tegevuse nõuetele

vastavuse tõendamiseks ja vastavuseelduse saamiseks

asjakohastele ELi õigusaktidele. Kuivõrd see ei ole kohustus, siis leiame, et kohustusliku

sertifitseerimise sätestamine ei ole vajalik. Iga õigusakti

kohuslane saab tellida endale välise sõltumatu hinnangu,

millega tõendatakse vastavust õigusaktidele. Täiendava

sertifikaadi andmine ei tõsta vastavust tõendanud ettevõtte

tegevuse kvaliteeti, küll aga suurendab bürokraatiat ja võib

tõsta turule sisenemise barjääre.

Selgitame Vt seisukohta seletuskirja punktis 6.5.

Lisaks võiks uus skeem hakata mõjutama ISO 27001, E-ITS

või muude juba kehtivate ja tunnustatud sertifitseerimise

skeeme. Seega pole mõistetav, et kui tekib uus

sertifitseerimisskeem, mis on erinev vastavuse tõendamisest

juba kehtivatele standarditele, siis milliste kriteeriumite põhjal

peaks ettevõte otsustama, millise skeemi alusel sertifitseerimist

teha. Samas küberkerksuse õigusakti (CRA) vaates on vaja selgust ja

kaetust sertifitseerimisskeemidega, mis on täna veel puudu.

Omaette küsimus on see kuidas tagatakse

sertifitseerimisskeemide kirjeldused ja koolitused

sertifitseerimisprotsessi läbiviijatele nii, et liikmesriigid

oleksid CRA rakendamisega ajagraafikus. Kokkuvõtteks jääb meile arusaamatuks, miks soovitakse lisada

CSA2 nõue uue sertifikaadi järele.

10.5 3. Üldine raamistik turvalise IKT tarneahela jaoks CSA2 artiklitega 98 jj antakse Euroopa Komisjonile õigus

kehtestada meetmeid, et tagada info-ja

kommunikatsioonitehnoloogia (IKT) tarneahela turvalisus. Meile jääb väljapakutava regulatsiooni eesmärk arusaamatuks,

kuna olemasolevad EL-i küberturvalisuse õigusaktid juba

tagavad piisava juhendmaterjali ja tehniliste standardite

olemasolu. Näiteks peavad ettevõtted ja asutused NIS2

täitmiseks viima läbi riskide hindamise ning sealhulgas tuleb

hinnata ka tarneahela riske. Lähtudes hinnangu tulemustest

tuleb rakendada vastavaid meetmeid. Tarneahela riskide hindamise üksikasjalikul reguleerimisel

võib juhtuda, et see kaotab kiiresti oma ajakohasuse. Nimelt

koostatakse regulatsioon olemasolevate tarneahelate näidete

põhjal. Samas on iga uus tarneahel uut tüüpi juhtum ja seda ei

ole võimalik ette kirjeldada. Kui organisatsioon(id) rakendavad

riskipõhisuse põhimõtteid sisuliselt, mitte formaalselt

Võetud teadmiseks Olemasolevad EL-i küberturvalisuse õigusaktid pakuvad juba

ulatuslikku juhendmaterjali ja tehnilisi standardeid. CSA2

lisandväärtus seisneb aga eelkõige mittetehniliste riskide

käsitlemises valdkonnas, mida ELi tasandil on seni käsitletud

suhteliselt piiratud ulatuses. Euroopa Liidu tasandil on kavas

kehtestada miinimumnõuded, jättes liikmesriikidele võimaluse

kehtestada siseriiklikult täiendavaid või rangemaid meetmeid.

olemasolevate regulatsioonide alusel, ei ole vajadust täiendava

regulatsiooni järele. Täiendavast regulatsioonist palju olulisem on tagada juba

kehtivate regulatsioonide rakendamist abistava materjali

ajakohasus ja praktiline tugi kohustatud subjektidele.

10.6 4. Tarneahela turvalisuse erinormid elektroonilise side sektorile CSA2 ettepaneku artiklitega 110 ja 111 kehtestatakse

elektroonilise side võrkude osas keeld kasutada suure riskiga

tarnijaid ning see jõustuks hiljemalt 36 kuu pärast suure riskiga

tarnijate nimekirja avaldamist. Põhimõttelisel tasandil on

mõistetav keeld riikliku julgeoleku kaalutlustel kasutada kõrge

riskiga tarnijaid elektroonilise side võrkude

tuumiksüsteemides. Siiski on oluline arvestada, et tarneahela turvalisuse (kõrge

riski määratlemine) EL-i tasandile tõstmine ning ettepanekus

välja pakutud lühikesed üleminekutähtajad (36 kuud) tekitavad

Euroopa ettevõtetele kindlasti olulisi riske. Näiteks seoses

tarneahelate erinevate ülesehitustega, teostatavuse ja

investeeringute mõistlikkusega. Samuti eeldab kõrge riskiga riikide nimekirjade kujundamine

EL-i tasandil poliitilist konsensust, mis võib olla erinevate

liikmesriikide vahel raskesti saavutatav.

ITL-i ettepanekud ja küsimused artiklite 110 ja 111 osas on

järgmised: 1) Teeme ettepaneku antud sätete rakendumise üleminekuaega

pikendada ja siduda üleminekuaeg olemasolevate seadmete

elueaga. Märgime, et CSA2 ettepanekus sisalduv väga lühike

tähtaeg võib kaasa tuua tarneraskused ja tellimuste koondumise

vähestele tarnijatele. Samuti suurendab see ettevõtete kulusid

hüppeliselt (sh uued hanked, integratsioon, teenuse

Selgitame

Vt seisukohta seletuskirja punktis 6.8.

katkestustega seotud tegevused seadmete ümbervahetamisel

jms). 2) Kuivõrd sideettevõtjad on hankinud seadmed ajal, mil nende

kasutus oli lubatud ja on neid kasutanud õiguspäraselt, tekib

küsimus ka enne nende tegeliku eluea lõppu väljavahetamisega

seotud kulude hüvitamisest. Seda teemat ei ole CSA2

ettepanekus üldse käsitletud. 3) Lisaks tekitab küsimusi kõrge riskiga tarnija määramine.

Kuivõrd selle nimekirja koostab CSA2 ettepaneku kohaselt

Euroopa Komisjon koos liikmesriikidega lähtudes

julgeolekukaalutlustest, ei hakka selle otsuse tagamaad olema

läbipaistvad ettevõtjatele. Seetõttu jääb ettevõtjatele seadmeid

hankides ebakindlus, millistele kriteeriumitele vastavalt täpselt

võidakse Euroopa Komisjoni poolt mõni tarnija tulevikus

lubamatuks või kõrgema riskiga tarnijaks lugeda. Seetõttu on

ka eriti oluline, et üleminekuperiood oleks piisavalt pikk või

alternatiivselt oleks sätestatud kompensatsioonimehhanism ja

ettevõtjad saaksid teabe tarnija staatuse muutumisest

võimalikult varakult. 4) Kahjuks on jätkuvalt ka väga palju lahtisi küsimusi, sest ei

ole teada, mida täpselt hõlmavad komisjoni rakendusaktid.

Lisaks on artikli 110 lõigete 4 ja 5 sõnastuse kohaselt Euroopa

Komisjonil õigus, mitte kohustus vastu võtta rakendusakte, mis

tekitab väga ebakindla olukorra. Samuti tekib küsimus, mis

saab Euroopa Liidu 5G küberturvalisuse tööriistakastist

(Cybersecurity of 5G networks – EU Toolbox of risk mitigating

measures), mis võeti vastu 2020. aastal liikmesriikide

küberturvalisuse asutuste koostöö raames ning mille aluseks on

Euroopa Komisjoni soovitus (EL) 2019/534 5G-võrkude

küberturvalisuse kohta.

5) Lisaks tekkis praktilisi küsimusi. Kui keeld kohaldub

komponentidele, siis kas hooldus ja tugiteenused on sama

tootja poolt siiski lubatud? Või kui tehakse tarkvarauuendusi nt

juba kõrge riskiga tootja kasutuses olevale tarkvaral, kas see

oleks lubatud?

10.7 ITL-i seisukohad NIS2 muutmise ettepaneku kohta: 1. Subjektide nimekirja täpsustamine ja täiendamine ITL toetab, et täpsustakse NIS2 subjektide nimekirja. Mitmed

subjektide kategooriad on kehtivas NIS2-s sõnastatud segaselt

ja direktiivi ülevõtmisel on osutunud üheks raskemaks

küsimuseks mõista, kes on NIS2 kohuslased. Kahjuks näeb

NIS2 muutmise ettepaneku artikkel 1 punkt 1 ette vaid uute

subjektide lisamise NIS2 artiklisse 2. Teeme ettepaneku, et artikkel 2 vaadatakse tervikuna üle ja

täpsustatakse sisuliselt vastavalt liikmesriikide poolt esitatud

küsimustele. Teeme ettepaneku viia NIS2 sisse muudatus, mis kohustab

pädevat asutust teavitama ise kohuslasi, et nad on NIS2

kohuslased või pädeva asutuse poolt tehtud eelhinnangu

kohaselt nad võivad osutuda NIS 2 kohuslasteks. Hetkel on

selle osas liikmesriikides suur segadus ja erinev praktika, kuna

paljud NIS2 kohuslased ei oska ennast määratleda subjektina ja

seega ei rakenda ka vajalikke riskihalduse meetmeid. Leiame,

et EL-is peaks subjektide määramine olema ühetaoline ning

ettevõtted ja asutused ei peaks ise end subjektina üles andma.

Selgitame Osaliselt arvestatud – vt seisukohta seletuskirja punktis 6.1.

Nende üksuste puhul, mis on seotud nn suuruse kriteeriumiga ehk

kellele kohaldub komisjoni soovitus 2003/361/EÜ mikro-, väikeste

ja keskmise suurusega ettevõtjate määratlemise kohta, ei pruugi

pädevatel asutustel olla piisavalt algandmeid ja andmeid, et teada

konkreetse üksuse puhul tema seoseid selle soovituse kohaste

partnerettevõtjate ja sidusettevõtjatega. Teave nendest seostest (sh

nende ulatusest) on ennekõike teada konkreetsel üksusel, mitte

pädeval asutusel. Seetõttu on kaheldav, kuivõrd on pädeval asutusel

avalike andmete (nt üksuse majandusaasta aruannete ja tema

võrgulehel olevate muude ülevaadete ja andmete) põhjal konkreetse

üksuse asemel kindlaks teha, kas nn suuruse kriteeriumid (töötajate

arvud ja/või finantsnäitajaid) on täidetud.

10.8 2. Üksuste subjektsuse lävendi tõstmine NIS2 muutmise ettepanekuga tõstetakse ülioluliste üksuste

subjektsuse lävend keskmise suurusega ettevõtetelt (kuni 250

töötajat ja aastakäive kuni 50 miljonit eurot või bilansimaht

kuni 43 miljonit eurot vastavalt Euroopa Komisjoni soovitusele

(2003/361/EÜ) väikese keskmise turukapitalisatsiooniga

ettevõteteni (kuni 750 töötajat ja aastakäive kuni 150 miljonit

eurot või bilansimaht kuni 129 miljonit eurot vastavalt Euroopa

Arvestatud Vt seisukohta seletuskirja punktis 6.10.

Komisjoni soovitusele (EL) 2025/1099). See tähendaks

praktikas NIS2 mõttes ülioluliste üksuste arvu vähenemist. ITL-ina toetame seda muudatust.

10.9 3. Täiendavate siseriiklike küberturvalisuse riskihalduse

meetmete kehtestamise keeld

Toetame NIS2 muutmise ettepaneku artikkel 1 punktiga 7

tehtavat muudatust (NIS2 art 21 lg 5 muutmine), mille kohaselt

ei või liikmesriigid kehtestada täiendavaid nõudeid, kui

Euroopa Komisjon on kehtestanud küberturvalisuse

riskijuhtimismeetmed NIS2 art 21 lg 5 alusel. Hetkel kehtib

Eestis kõigile küberturvalisuse seaduse subjektidele kohustus

rakendada sõltuvalt suurusest kas esmaseid turvanõudeid või

kohalikku E-ITS standardit, millega loetakse võrdsustatuks ka

ISO 27001 sertifikaat. See tähendab, et NIS2 art 21 lg 5 alusel

kehtestatud rakendusmääruse (EL) 2024/2690 subjektiks

olevad digiteenuse osutajad peavad Eestis täitma lisaks

kohalikke riskihalduse meetmeid (KüTS-i alusel kehtestatud

turvameetmed). See tähendab topeltkoormust, erisuste otsimist

ja nõuete võrdlemist. See omakorda viib suurema

halduskoormuseni ja võimalik, et ka paralleelsete nõuete

rakendamiseni. Piiriüleselt tegutsevate digiteenuste osutajate

jaoks tähendab see riigikohaseid erisusi. Juhime tähelepanu, et osa rakendusakte on veel välja andmata,

mistõttu ei ole selge, kas nendes sisalduvad nõuded oleksid

leebemad või rangemad nendest, mida Eesti hetkel või

tulevikus plaanib rakendada. Lisaks ei ole ka Komisjonile

sätestatud tähtaega, millal vastavad rakendusaktid peaksid

jõustuma. Teeme ettepaneku sätestada NIS2-s ka

rakendusaktide vastuvõtmise tähtajad, et tagada õigusselgus.

Jäetud arvestamata ja selgitame

Vt seisukohti seletuskirja punktides 6.13. ja 6.14.

10.10 4. Lunavara rünnakute andmete kogumine

Hetkel kehtib NIS2 üle võtnud küberturvalisuse seaduse alusel

kohustus teavitada küberintsidentidest. Leiame, et kehtivas

Arvestatud osaliselt

Vt seisukohta seletuskirja punktis 6.16.

regulatsioonis sisalduv kohustus katab ära ka lunavara

rünnakud. NIS2 muutmise ettepanekus sisalduva eraldi

lunavara rünnakuid (kui ainult ühte rünnaku viisi paljudest)

puudutava regulatsiooni (NIS2 ettepaneku art 1 punkt 8)

lisamine eraldiseisvalt ei muudaks olukorda. Seega tekkis

küsimus, miks soovitakse lunavaraga seotud rünnakute eraldi

regulatsiooni lisada. Kas hetkel kehtiv regulatsioon ei kata ära

seda küberintsidendi osa? Samuti jääb ebaselgeks, millal (upon request) ja millises mahus

andmeid täpselt soovitakse. Kui eraldi lunavara rünnakuid

käsitlev regulatsioon jääb alles, siis teeme ettepaneku see

põhjalikumalt lahti kirjutada. Näiteks võib makseandmete

avaldamine kaasa tuua ettevõtjatele sanktsioonidega seotud

riske, kui olid sunnitud siiski mingis olukorras lunaraha

maksma isikutele, kes on seotud sanktsioneeritud

jurisdiktsiooniga. Seetõttu oleks vajalik selge safe harbour

klausel ettevõtjatele vastavate teavituste tegemisel.

10.11 NIS2 muutmise ettepaneku kohta toome täiendava olulise

teemana välja DORA rakendamise IKT teenuse osutajatele. Täname Justiits- ja Digiministeeriumit, et arvestasite Euroopa

Komisjoni digiomnibussi määruse ettepanekule Eesti

seisukohti koostades ITL-i ettepanekut lahendada küsimus

NIS2 ja DORA paralleelsetest kohustustest IKT teenuse

osutajatele. Teeme ettepaneku korrata seda seisukohta ka

küberpaketile Eesti poolt tagasisidet andes. See teema on vaja

lahendada, et vähendada ettevõtete halduskoormust ja

lihtsustada regulatsioone. Kehtivate õigusaktide kohaselt on DORA subjektid vabastatud

NIS2 täitmisest, kuid NIS2 subjektid, kes osutavad teenuseid

DORA subjektidele, peavad DORA subjektide nõudel vastama

Võetud teadmiseks ja selgitame Siinsete eelnõude puhul sama Eesti seisukohta ei koostata, kuna see

on juba koostatud5 digiomnibussi eelnõude raames, mida on siinses

protsessi võimalik taaskasutada.

5 https://eelnoud.valitsus.ee/main/mount/docList/a4bbca3f-8cca-4bcb-af5b-6d6e15dbb143

ka DORA-le. See tekitab NIS2 subjektidest IKT teenuse

osutajatele, kes soovivad oma teenuseid osutada ka

finantssektori asutustele, väga suurt halduskoormust. Seetõttu

on ITL-i ettepanek muuta nii NIS2-te kui ka DORA-t selliselt,

et NIS2 direktiivi kohuslased, kes osutavad finantssektori

asututele IKT teenuseid, ei pea tõendama eraldi DORA-le

vastavust, vaid need turvanõuded tunnistatakse

samaväärseteks, kui nad vastavad NIS2 alusel kehtestatud

nõuetele.

10.12 Ettepanek võtta NIS2 artikkel 3 lõikes 4 sisalduvast loetelust,

millist teavet peavad teenuse osutajad esitama, välja punkti f

ehk IP-vahemikud.

Me ei saanud ju Eestis NIS2 üle võttes tegelikult selgeks,

milliseid IP-vahemikke mõeldakse. Nüüd aga tahetakse

artikkel 27 lõikes 3 lühendada oluliselt seda teabe edastamise

kohustust - 3 kuult 2 nädalani.

Osaliselt arvestatud Vt seisukohti seletuskirja punktides 6.1. ja 6.11.

11. Eesti Kaubandus-Tööstuskoja arvamus

31.03.2026 kiri nr 4/68

11.1 1. Regulatsioonide lihtsustamine ja koostoime Kaubanduskoja hinnangul on kriitilise tähtsusega, et

küberturvalisuse paketi keskmes oleks tegelik regulatiivne

lihtsustamine. Ettevõtted tegutsevad juba täna mitme

paralleelse raamistikuga (nt NIS2, DORA, CRA), mille nõuded

osaliselt kattuvad ning tekitavad märkimisväärset

halduskoormust. Nagu ka ettepanekus on märgitud, on üheks eesmärgiks

vähendada regulatiivset killustatust ja lihtsustada nõuete

täitmist. Kaubanduskoda toetab seda eesmärki, kuid rõhutab, et

praktikas peab see tähendama dubleerivate nõuete

vähendamist, ühtlustatud aruandlust ja protsesse ning selget

prioriseerimist, millised meetmed on tegeliku turvalisuse

seisukohalt kõige olulisemad.

Võetud teadmiseks

11.2 2. Sertifitseerimine Küberturvalisuse määruse ettepanek sätestab Euroopa

küberjulgeoleku sertifitseerimise raamistiku ning artikkel 71 lg

3 ütleb, et Euroopa küberjulgeoleku sertifitseerimine on

vabatahtlik, kui liidu või liikmesriigi õigusaktides ei ole

sätestatud teisiti. Toetame põhimõtet, et sertifitseerimine jääb vabatahtlikuks,

kuna see võimaldab ettevõtetel valida oma tegevuse iseloomust

ja riskitasemest lähtuvad sobivaimad lahendused. Samas

tekitab küsimusi, miks on sellised sätted määrusesse lisatud

olukorras, kus sertifitseerimine ei ole kohustuslik. On oht, et

praktikas kujuneb vabatahtlik sertifitseerimine kaudselt

kohustuslikuks läbi teiste õigusaktide, hangete või turuosaliste

ootuste, mis võib omakorda suurendada ettevõtete haldus- ja

finantskoormust. Seetõttu peab Kaubanduskoda oluliseks, et

sertifitseerimise roll ja eesmärk oleksid selgelt põhjendatud

ning et välditaks olukorda, kus vabatahtlikest mehhanismidest

kujunevad siiski kohustuslikud nõuded ilma vastava

mõjuanalüüsita.

Võetud teadmiseks Vt seisukohta seletuskirja punktis 6.5.

11.3 3. Subjektide nimekiri Kaubanduskoda toetab NIS2 direktiivi puhul ettepanekut tõsta

oluliste üksuste subjektsuse lävend keskmise suurusega

ettevõtetelt väikeste keskmise turukapitalisatsiooniga

ettevõteteni (kuni 750 töötajat ja aastakäive kuni 150 miljonit

eurot) (artikkel 1 p 2). See vähendab nii ettevõtete

halduskoormust kui ka pädevate asutuste järelevalvekoormust. Lisaks oleme seisukohal, et NIS2 direktiivi

muudatusettepanekutega tuleks ka täpsustada direktiivi

subjektide nimekirja. Paljud kategooriad on kehtivas NIS2-s

sõnastatud ebaselgelt ning direktiivi ülevõtmisel on see

põhjustanud tõlgendamisraskusi, sest ei ole selge, millistele

ettevõtetele kohalduvad NIS2 direktiivi nõuded ja millistele

Selgitame Vt kommentaaride 6.1 ja 10.7 vastuseid

mitte. Seetõttu teeme ettepaneku vaadata üle tervikuna

direktiivi subjektide nimekiri ning täpsustada seda vastavalt

liikmesriikide poolt tõstatatud küsimustele. See aitaks vältida

olukorda, kus ettevõtetel on jätkuvalt keeruline hinnata oma

kuulumist NIS2 kohaldamisalasse. Samuti teeb Kaubanduskoda ettepaneku täiendada direktiivi

sättega, mis kohustab liikmesriigi pädevat asutust teavitama

ettevõtteid nende kuulumisest NIS2 reguleerimisalasse. Praegu

on liikmesriikide praktika subjektide määramisel erinev,

mistõttu oleks vajalik kehtestada ühtne lähenemine ka direktiivi

tasandil. Kui ettevõtja peab ise oma subjektsust hindama, paneb

see talle ebamõistliku koormuse. Leiame, et subjektide

määramine peaks olema kogu EL-is ühtne ja selge ning see

kohustus peaks lasuma riiklikul järelevalveasutusel, kellel on

terviklik ülevaade turuosalistest.

11.4 4. Liikmesriikide täiendavate nõuete keeld Kaubanduskoda toetab ettepanekut, mille kohaselt ei või

liikmesriigid kehtestada täiendavaid tehnilisi, metoodilisi ega

sektoripõhiseid nõudeid, kui Euroopa Komisjon on need juba

NIS2 artikli 21 lõike 5 alusel rakendusaktidega kehtestanud

(artikkel 1 p 7). See on oluline samm ühtse siseturu toimimiseks

ning on eriti oluline piiriülese tegevusega ettevõtete jaoks, et

vähendada nende halduskoormust.

Jäetud arvestamata ja selgitame

Vt seisukohti seletuskirja punktides 6.13. ja 6.14.

12. Eesti Tööandjate Keskliidu arvamus Kiri nr 1-3/59-1

12.1 Eesti Tööandjate Keskliit toetab Euroopa Liidu eesmärki

tugevdada liidu küberturvalisust ning suurendada digitaalse

majanduse ja avalike teenuste vastupanuvõimet.

Küberturvalisus on ettevõtluse ja ühiskonna toimimise

seisukohalt kriitilise tähtsusega ning tõhus regulatiivne

raamistik on vajalik.

Võetud teadmiseks

Samas rõhutame, et küberturvalisuse regulatsioonide edasine

arendamine peab olema proportsionaalne, õigusselge ja

praktiliselt rakendatav, vältides topeltkoormust ning

regulatiivset killustatust, mis ei paranda sisulist turvalisust,

kuid suurendab märkimisväärselt haldus- ja kulukoormust.

Oluline on arvestada Eesti organisatsioonide

investeerimisvõimekusega ja arendusressursi võimalustega (nt

küberturbe spetsialistide ja IT arendajate piisavus).

12.2 1. Regulatiivne raamistik ja üldpõhimõtted

Peame vajalikuks, et ELi küberturvalisuse raamistik lähtuks

järgmistest põhimõtetest:

1) Regulatsioonide lihtsustamine ja kattuvuste

vähendamine NIS2, DORA, CRA ja CSA2 vahel, et

ettevõtted ja asutused ei oleks sunnitud täitma

paralleelseid või sisuliselt kattuvaid nõudeid.

2) Õigusselgus ja regulatiivne stabiilsus – ettevõtjatele

tuleb anda piisav aeg regulatsioonide rakendamiseks

ning hoiduda olukorrast, kus värskelt kehtestatud

reegleid hakatakse enne mõjude hindamist uuesti

muutma.

3) Riskipõhine ja vähima vajaliku sekkumise printsiibile

tuginev lähenemine, mis arvestab organisatsioonide

tegelikku riskiprofiili, suurust ja tegevusvaldkonda.

4) Ühtne siseturg, kus piiriüleselt tegutsevad ettevõtted ei

pea kohanema liikmesriikide erinevate tõlgenduste ja

lisatingimustega.

Selgitame 1) nõustume põhimõttega, sh vt digiomnibussi eelnõude raames

koostatud6 seisukohti 1.1.1, 1.1.4, 1.3.1 ja 1.3.4 , mida on siinses

protsessi võimalik taaskasutada.

2) Vt seisukohti seletuskirja punktides 6.8.ja 6.14.

3) võetud teadmiseks

4) võetud teadmiseks

12.3 2. Sertifitseerimine ja vastavuse tõendamine

Eesti Tööandjate Keskliit on seisukohal, et küberturvalisuse

sertifitseerimine peab jääma vabatahtlikuks. Täiendavate

sertifitseerimisskeemide loomine ei tohi viia de facto

Selgitame

Vt seisukohta seletuskirja punktis 6.5.

ISO/IEC 27001 osas vt kommentaari 9.2 vastust.

6 https://eelnoud.valitsus.ee/main/mount/docList/a4bbca3f-8cca-4bcb-af5b-6d6e15dbb143

kohustuslikkuse tekkeni ega suurendada bürokraatiat ilma

sisulist turvalisust parandamata.

Rahvusvaheliselt tunnustatud standardeid, eeskätt ISO/IEC

27001, tuleb käsitleda sisulise vastavuse alusena NIS2 ja teiste

küberõigusaktide rakendamisel. Vastavuse tõendamine ei

tohiks nõuda paralleelsete auditite, protsesside ja

aruandlussüsteemide loomist olukorras, kus riskijuhtimine on

juba tõendatult toimiv. Eriti oluline on see rahvusvaheliselt

tegutsevate organisatsioonide, sh teadus- ja haridusasutuste

ning piiriüleste teenusepakkujate puhul.

12.4 3. ENISA roll ja ülesanded

Toetame ELi tasandil küberturvalisuse koordineerimist, kuid

rõhutame, et:

1) ENISA roll ei tohi liigselt laieneda viisil, mis hajutab

agentuuri fookust või dubleerib liikmesriikide pädevate

asutuste, standardiorganisatsioonide ja turuosaliste

tegevust.

2) Prioriteet peab olema kehtivate õigusaktide

rakendamist toetava praktilise juhendmaterjali ja

tehniliste suuniste arendamine.

3) Uute ülesannete lisamisel tuleb hinnata nende tegelikku

lisandväärtust ning mõju halduskoormusele.

Arvestatud

Vt seisukohta seletuskirja punktis 6.2.

12.5 4. Intsidentide teavitamine ja menetluste ühtlustamine

Toetame ühtse ELi-ülese intsidentide teavitamise kanali

loomist, kuna see aitab vähendada dubleerivat raporteerimist ja

ressursikulu, eriti piiriüleste ettevõtete puhul.

Samas rõhutame, et:

1) teavitamise tähtajad, vormid ja protseduurid tuleb

ühtlustada kõigis asjakohastes ELi küberturvalisuse

õigusaktides;

Võetud teadmiseks ja selgitame

Siinsete eelnõude puhul sama Eesti seisukohta ei koostata, kuna see

on juba koostatud7 digiomnibussi eelnõude raames, mida on siinses

protsessi võimalik taaskasutada.

7 https://eelnoud.valitsus.ee/main/mount/docList/a4bbca3f-8cca-4bcb-af5b-6d6e15dbb143

2) eesmärk peab olema ettevõtjate koormuse vähendamine

kriisiolukorras, mitte uute formaalsete kohustuste

lisamine.

12.6 5. IKT tarneahela turvalisus ja kõrge riskiga tarnijad

Mõistame vajadust käsitleda IKT tarneahelas ka mitte tehnilisi

riske, kuid peame oluliseks, et:

1) võimalikud piirangud või keelud põhineksid

läbipaistvatel, selgelt määratletud kriteeriumitel;

2) üleminekuperioodid oleksid piisavalt pikad ning seotud

olemasolevate seadmete elutsükli ja amortisatsiooniga;

3) arvesse võetaks ettevõtjate õiguspärast ootust

olukorras, kus seadmed on hangitud ajal, mil nende

kasutamine oli lubatud;

4) rakendusaktide sisu ja ajakava oleksid varakult teada,

vältimaks pikaajalist ebakindlust investeerimisotsustes.

Ilma nende eeldusteta võivad tarneahelapiirangud kaasa tuua

ebaproportsionaalse halduskoormuse ja turuhäired, mis ei ole

kooskõlas määruse eesmärgiga.

Arvestatud Vt seisukohti seletuskirja punktides 6.8.ja 6.14.

12.7 6. NIS2 muudatused

Toetame NIS2 muudatusi, mis:

1) täpsustavad subjektide ringi ja vähendavad ebaselgust

kohuslaste määratlemisel;

2) tõstavad subjektsuse lävendeid, vähendades

ebaproportsionaalset koormust;

3) keelavad täiendavate siseriiklike küberturvanõuete

kehtestamise, kui ELi tasandil on riskijuhtimismeetmed

juba kehtestatud.

Peame eriti oluliseks lahendada NIS2 ja DORA paralleelsed

kohustused IKT teenuse osutajatele, et vältida

topeltregulatsiooni ja vastuolulisi nõudeid.

Selgitame 1 ja 2 - võetud teadmiseks, sh vt seisukoha punkti 6.1;

3 – vt seisukoha punkti 6.13.

DORA määruse osas – siinsete eelnõude puhul sama Eesti

seisukohta ei koostata, kuna see on juba koostatud8 digiomnibussi

eelnõude raames, mida on siinses protsessi võimalik taaskasutada.

8 https://eelnoud.valitsus.ee/main/mount/docList/a4bbca3f-8cca-4bcb-af5b-6d6e15dbb143

12.8 Kokkuvõttes Eesti Tööandjate Keskliit toetab küberturvalisuse

tugevdamist Euroopa Liidus, kuid rõhutab, et selle eelduseks

on lihtsam, sidusam ja sisuliselt riskipõhine regulatiivne

raamistik. Küberturvalisus paraneb eelkõige läbi toimiva

riskijuhtimise ja tehnoloogia, mitte halduskoormuse

kasvatamise.

Võetud teadmiseks

Kaitseväe arvamus oli tunnistatud avaliku teabe seaduse § 35 lõike 2 punkti 1 alusel juurdepääsupiiranguga teabeks, mistõttu seda ei esitata siinses

seletuskirjas.

1

SELETUSKIRI

Vabariigi Valitsuse otsuse juurde

“Eesti seisukohad Euroopa Liidu küberturvalisuse õigusaktide eelnõude paketi kohta”

20.01.2026 esitas Euroopa Komisjon küberturvalisuse määruse teise ettepaneku (CSA2), mis

käsitleb Euroopa Liidu Küberturvalisuse Ametit, Euroopa küberturvalisuse sertifitseerimise

raamistikku ning info- ja kommunikatsioonitehnoloogia tarneahela turvalisust ning millega

tunnistatakse kehtetuks määrus (EL) 2019/881 ehk küberturvalisuse määrus.

Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 (NIS2) muutva direktiivi

ettepanek käsitleb NIS2 sihipäraseid muudatusi, et lihtsustada küberturvalisuse raamistiku

konkreetseid aspekte, suurendada õiguskindlust ja ühtlustada rakendamist.

Eesti peamised seisukohad CSA2 eelnõu ja NIS2 muudatuste kohta sisaldavad järgmist:

- Eesti toetab Euroopa Liidu küberturvalisuse tugevdamist, kuid peab oluliseks, et NIS2

muutva ja CSA2 eelnõude nõuded, terminoloogia ja kohaldumisala tagavad liikmesriikidele

ja puudutatud subjektidele selge ja üheselt mõistetava õigusraamistiku, kuna juba kehtiva

NIS2 sõnastused on ebaselged ja mitmeti tõlgendatavad.

- Eesti peab oluliseks, et Euroopa Liidu Küberturvalisuse Ameti (ENISA) rolli ja ülesannete

kujundamisel on tagatud selge tööjaotus liikmesriikidega ning välditakse liikmesriikide

pädevuste ja olemasolevate mehhanismide dubleerimist (sealhulgas varajase hoiatuse

süsteemide, küberintsidentide käsitlemise üksuste ja riiklike operatiivsete funktsioonide osas)

ega piirata liikmesriikide pädevate asutuste operatiivtööd. ENISA uued ülesanded peavad

toetama kehtivaid koostöömehhanisme, ei tohi luua paralleelseid infovahetuskanaleid ega

mõjutada negatiivselt riiklike küberintsidentide käsitlemise üksuste ja erasektori vahelist

koostööd.

- Eesti peab oluliseks, et IKT tarneahelate turvalisuse tagamisel pöörataks tähelepanu ka

mittetehniliste riskide maandamisele, kuid selleks eelnõus kavandatavad meetmed peavad

olema proportsionaalsed ja sihitud. Küberturvalisuse seisukohast muret tekitavate kolmandate

riikide kindlaksmääramisel peab liikmesriikidel olema tugev roll, et tagada mittetehniliste

riskide määratlemise protsessi läbipaistvus ja usaldusväärsus.

- Eesti toetab eelnõus küberturvalisuse riskijuhtimismeetmete tagamisega seotud nõuete

sõnastamist viisil, mis võimaldab liikmesriigil kehtestada riigispetsiifilisi

riskijuhtimismeetmete nõudeid ka nende üksuste suhtes, kes on hõlmatud Euroopa Komisjoni

samade nõuete alusel vastu võetud rakendusaktiga.

2

1. Sissejuhatus

Eesti seisukohad on koostatud järgmiste ettepanekute kohta:

1) COM (2026) 11: Ettepanek: EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS,

mis käsitleb Euroopa Liidu Küberturvalisuse Ametit (ENISA), Euroopa

küberturvalisuse sertifitseerimise raamistikku ja IKT tarneahela turvalisust ning millega

tunnistatakse kehtetuks määrus (EL) 2019/881 (küberturvalisuse 2. määrus);1

2) COM (2026) 13: Ettepanek: EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV

millega muudetakse direktiivi (EL) 2022/2555 seoses lihtsustamismeetmetega ja

vastavusse viimisega [küberturvalisuse 2. määruse ettepanekuga].2

Küberturvalisuse 2. määruse ettepaneku (edaspidi CSA2) eesmärk on tugevdada Euroopa Liidu

küberturvalisust. Küberrünnakute arv on kasvanud ning nende laad muutunud üha

keerukamaks, mõjutades elutähtsat taristut, ettevõtjaid ja ühiskonda tervikuna. Uued

tehnoloogiad, sealhulgas tehisintellekt ja kvantarvutus, kujundavad ümber nii

küberkaitsevõime ülesehitust kui ka vastaste tegutsemisviise. Püsivad küberturvalisuse ohud ei

kujuta endast üksnes tehnilisi väljakutseid, vaid strateegilisi riske demokraatiale ja

majandusele.

Seda tausta arvestades on CSA2 kavandatava läbivaatamise eesmärk käsitleda nelja peamist

probleemi:

1) Liidu küberturvalisuse poliitikaraamistiku ebapiisav vastavus sidusrühmade vajadustele üha

keerulisemas ohukeskkonnas;

2) Euroopa küberturvalisuse sertifitseerimisraamistiku (ECCF) aeglane rakendamine;

3) Liidu küberturvalisuse poliitikaraamistiku parem kohandamine sidusrühmade vajadustele

üha keerulisemas ohukeskkonnas;

4) IKT-tarneahelate turvalisusega seotud mitte-tehniliste riskide vähendamine.

Üldeesmärk on tugevdada liidu küberturvalisuse juhtimist ning tagada, et asjaomased

institutsioonid, asutused ja muud sidusrühmad oleksid küberturbeohtude ennetamiseks,

avastamiseks ja neile reageerimiseks paremini ette valmistatud ning suudaksid tegutseda

koordineeritult ja tõhusalt. Samuti on eesmärk toetada ühiste liidu küberturbeinstrumentide,

sealhulgas sertifitseerimiskavade, väljatöötamist, rakendamist ja laiemat kasutuselevõttu ning

luua ühtlustatud raamistikud, mis suurendavad liikmesriikidevahelist usaldust ja

koostalitlusvõimet.

Tegemist on seadusandliku tavamenetlusega. CSA2 vastuvõtmiseks nõukogus on vaja

kvalifitseeritud häälteenamust. CSA2 arutelud Euroopa Liidu nõukogu horisontaalse

küberasjade töögrupis on juba alanud.

1 https://eur-lex.europa.eu/procedure/ET/2026_11 2 https://eur-lex.europa.eu/procedure/ET/2026_12

3

Küberturvalisuse 2. direktiivi (edaspidi NIS2) muutmise ettepaneku eesmärk on CSA2 tõttu

teha lihtsustamismeetmeid kehtivas direktiivis, et lahendada Euroopa Liidu turvalisuse olekut

mõjutava küberturvalisusega seotud poliitika keerukuse ja mitmekesisuse probleemi, eelkõige

tehes täpsustusi osade direktiiviga reguleeritud üksuste sõnastustes ja lihtsustades nõudeid,

mida need üksused peavad täitma. NIS2 muudatuste eesmärki tuleks käsitada osana CSA2 vastu

võtmise eesmärkidest – ennekõike on siin seos CSA2 4. erieesmärgiga, st luua mehhanismid ja

tingimused, mis aitavad hõlbustada küberturvalisuse nõuete täitmist ning muuta seeläbi nende

rakendamine sidusamaks ja tulemuslikumaks. NIS2 sihipäraste muudatuste eesmärk on

lihtsustada küberturvalisuse raamistiku konkreetsete aspektide järgimist ning tagada nende

sujuv ja sidus rakendamine, sealhulgas seoses kohaldamisala, määratluste,

lunavaraintsidentidest teatamise ja piiriüleseid teenuseid osutavate üksuste järelevalvega.

Tegemist on seadusandliku tavamenetlusega. NIS2 muutva direktiivi vastuvõtmiseks nõukogus

on vaja kvalifitseeritud häälteenamust. Eelnõude subsidiaarsustähtpäev oli 13. mai 2026. NIS2-

ga seotud muudatusi arutatakse CSA2 ettepaneku järel, kuid Euroopa Liidu nõukogu

horisontaalse küberasjade töögrupis ei ole asjakohased arutelud seisukohtade koostamise hetkel

veel alanud.

2. Koostajad

Seisukohad ja seletuskirja koostasid Justiits- ja Digiministeeriumi EL asjade nõunik Sandra

Kaljumäe ([email protected]), digitaristu- ja küberturvalisuse osakonna

küberturvalisuse talituse rahvusvahelise küberturvalisuse koostöö juht Carmen Raal

([email protected]), sama talituse õigusnõunikud Raavo Palu

([email protected]) ja Guido Pääsuke ([email protected]).

Digitaristu- ja küberturvalisuse valdkonna eest vastutab Justiits- ja Digiministeeriumi

asekantsler Tõnu Grünberg ([email protected]).

3. Sisu ja võrdlev analüüs

3.1. CSA2

20.01.2026 esitas Euroopa Komisjon määruse ettepaneku, mis käsitleb Euroopa Liidu

Küberturvalisuse Ametit (edaspidi ENISA), Euroopa küberturvalisuse sertifitseerimise

raamistikku ning info- ja kommunikatsioonitehnoloogia (IKT) tarneahela turvalisust ning

millega tunnistatakse kehtetuks määrus (EL) 2019/881 ehk küberturvalisuse määrus .

CSA2 ettepanek käsitleb ENISAt, Euroopa küberturvalisuse sertifitseerimise raamistikku ja

IKT tarneahela turvalisust ning millega tunnistatakse kehtetuks määrus (EL) 2019/8813.

I jaotis - Üldsätted

I jaotis sätestab määruse üldise raamistiku. Selles määratakse kindlaks määruse reguleerimise

ja kohaldamisala, eelkõige ENISA missioon, eesmärgid, ülesanded ja korraldus, Euroopa

küberturvalisuse sertifitseerimise raamistik ning usaldusväärse IKT tarneahela raamistik.

4

Samuti rõhutatakse, et määrus ei piira liikmesriikide põhifunktsioone ega nende ainuvastutust

riigi julgeoleku eest. Lisaks koondab I jaotis määruses kasutatavad põhimõisted. Kokkuvõttes

loob I jaotis aluse kogu määruse edasisele sisule, määratledes selle kohaldamisala, peamised

raamistikud ja keskse terminoloogia.

II jaotis – Euroopa Liidu Küberturvalisuse Amet

Kavandatud määruse II jaotis käsitleb ENISA rolli ja toimimist Euroopa Liidu küberturvalisuse

raamistikus. Selles määratakse kindlaks ENISA missioon, eesmärgid ja peamised ülesanded,

mille keskmes on liidu küberturvalisuse poliitika toetamine, liikmesriikide suutlikkuse

suurendamine ning koostöö parandamine küberohtude ja -intsidentide ennetamisel ja neile

reageerimisel. ENISA ülesanded hõlmavad muu hulgas olukorrateadlikkuse parandamist,

varajaste hoiatuste andmist, Euroopa Liidu küberreservi käitamist, küberturvalisuse õppuste

korraldamist, nõrkusehalduse arendamist ning küberturvalisuse sertifitseerimise, standardimise

ja oskuste edendamist. Lisaks sätestatakse jaotises ENISA juhtimis- ja töökorraldus, eelarve- ja

personalireeglid ning üldised normid, mis puudutavad ENISA õiguslikku staatust, koostööd

liikmesriikide, Euroopa Liidu asutuste, kolmandate riikide ja teiste sidusrühmadega, samuti

teabe kaitset ja vastutust. Kokkuvõttes tugevdab II jaotis ENISA positsiooni Euroopa Liidu

keskse küberturvalisuse asutusena, andes ametile nii strateegilised, operatiivsed kui ka

tehnilised ülesanded.

Võrreldes kehtiva küberturvalisuse määrusega muutub ENISA roll operatiivsemaks ning

ENISA saab suurema vastutuse sertifitseerimisskeemide väljatöötamisel. Selgemalt on esile

toodud vajadus toetada küberturvalisuse õigusaktide ja poliitikameetmete rakendamise

toetamist. Lisaks rõhutatakse sihipärase toe pakkumise olulisust konkreetsetele sektoritele ning

olulisust panustada suutlikkuse suurendamisse. Määrusega (EL) 2019/881 võrreldes tuuakse

sisse küberturbeoskuste akadeemia rakendamine ja küberturbeoskuste tõendamise kava

väljatöötamine.

ENISA rolli tugevdatakse CSIRTide võrgustiku liikmena, eelkõige olukorrateadlikkuse

parandamise, varajaste hoiatuste ja analüüside jagamise ning turvaliste sidevahendite

kasutamise kaudu. Samuti nähakse ENISAle ette senisest olulisem roll nõrkusehalduses,

sealhulgas nõrkustega seotud teenuste arendamisel ja asjakohaste soovituste andmisel. Lisaks

toetab ENISA intsidentidest ja nõrkustest teatamise platvormide haldamist ning aitab kaasa

küberintsidentidele reageerimisele. Eraldi rõhku pannakse lunavararünnete vastase võimekuse

tugevdamisele, sealhulgas soovile luua ettevõtetele keskne kasutajatugi.

III jaotis – Euroopa küberturvalisuse sertifitseerimise raamistik

III jaotis keskendub Euroopa küberturvalisuse sertifitseerimise raamistikule. Eesmärk on

hõlbustada vastavust küberkerksuse määrusele (edaspidi CRA3) ja NIS2-le ning potentsiaalselt

ka teistele õigusaktidele. Võrreldes kehtiva küberturvalisuse määrusega, kus oli skoobis

määratletud IKT-tooted, IKT-teenused, IKT-protsessid ja hallatud turbeteenused, siis uue

määrusega lisandub juurde veel üksuste turvaolek. Üksuste turvaolek on sisuliselt

organisatsiooni või asutuse küberturvalisuse tase ehk see kui hästi on tema süsteemid,

3 Regulation - 2024/2847 - EN - EUR-Lex

5

protsessid ja korralduslikud meetmed küberriskide vastu kaitstud. Euroopa Komisjoni selgituse

järgi saavad üksused tulevikus sertifitseerida oma turvaolekut, et tõendada vastavust näiteks

NIS2-le ja teistele õigusaktidele. Võrreldes kehtiva määrusega tuuakse selgemalt välja ka

sertifitseerimisskeemide rollijaotus ja tähtajad. ENISA-l on 12 kuud, et koostada

küberturvalisuse sertifitseerimise ettevalmistava kava.

IV jaotis - IKT tarneahelate turvalisus

IV jaotis käsitleb mittetehnilisi riske IKT tarneahelate turvalisuse vaatest. Varasemad

õigusraamistikud (NIS2, CRA) keskenduvad tehniliste riskide maandamisele ning

mittetehnilsite IKT tarneahelate riskidega pole Euroopa Liidul olnud võimalik ühtselt tegeleda.

Menetluse võib algatada komisjon või vähemalt kolm liikmesriiki. Lisaks, on komisjonil

võimalik algatada erakorraline menetlus. Menetlus hõlmab riskihindamiste tegemist, oluliste

varade kindlaksmääramist ning riskipõhiste ja proportsionaalsete leevendusmeetmete

kohaldamist, lähtudes turuanalüüsist ning majandusliku ja ühiskondliku mõju põhjalikust

hindamisest. Tekib võimalus kehtestada piiranguid ka konkreetsetele kolmandate riikide

ettevõtjatele. Kehtestatud meetmed kehtivad NIS2 I ja II lisas osutatud liiki üksuste jaoks.

Raamistik näeb ette küberturvalisuse seisukohast muret tekitavate riikide kindlaksmääramist

vastavate kriteeriumide alusel. Samuti hõlmab see oluliste IKT-varade kindlakstegemist,

leevendusmeetmete, sealhulgas võimalike piirangute kohaldamist ning vajaduse korral

üleminekuperioodi ette nägemist konkreetsete tarneahelate jaoks teatavate kriitilise tähtsusega

üksuste puhul. Komisjon peab ja ajakohastab tehtud otsuste osas avalikku registrit, kus on

märgitud üksuste nimed, kellele piirangud kehtima hakkavad.

VI jaotis - Lõppsätted

VI jaotis sisaldab määruse lõppsätteid, millega reguleeritakse komiteemenetlust, komisjoni

delegeeritud volituste kasutamist, määruse korrapärast hindamist ja läbivaatamist ning senise

määruse (EL) 2019/881 kehtetuks tunnistamist. Samuti sätestatakse selles õigusjärgluse

põhimõtted, et tagada ENISA tegevuse, olemasolevate otsuste ja käimasolevate menetluste

sujuv jätkumine uue määruse alusel.

3.2. NIS2 muudatused

NIS2 muutva direktiivi ettepanek käsitleb NIS2 sihipäraseid muudatusi, et lihtsustada

küberturvalisuse raamistiku konkreetseid aspekte, suurendada õiguskindlust ja ühtlustada

rakendamist.

Kohaldamisala ja üksused

Kohaldamisala puhul jäetakse NIS2 kohaldamisalast välja mikro- ja väikeettevõtjatest

domeeninimede süsteemi teenuse osutajad. Kohaldamisalasse lisanduvad

digiidentiteedikukrute pakkujad ja Euroopa ettevõtluskukrute pakkujad ning need üksused, kes

6

on eraldiseisva EL määruse ettepaneku4 kohaselt kindlaks määratud strateegilise kahesuguse

kasutusega taristu omanike, haldajate ja käitajatena. Kohaldamisala kontekstis muudetakse ka

NIS2 I ja II lisade sõnastusi. Näiteks arvatakse NIS2 kohaldamisalast välja elektrienergia

tootjad, kelle kogu tootmisvõimsus ei ületa 1 MW. Samuti parandatakse viiteid seoses vesiniku5

ja intelligentsete transpordisüsteemidega6 seotud üksustega kui ka üksustega, kellele ei

kohaldata Euroopa Parlamendi ja nõukogu direktiivi7 2011/24/EL (st pikaajalise hoolduse

teenused). Samuti korrigeeritakse kemikaalide valdkonnaga seotud üksuste sõnastusi: edaspidi

on “kemikaalide valmistamise, tootmise ja levitamise” asemel NIS2ga hõlmatud “kemikaalide

valmistamine ja tootmine”. Samas lisatakse I lisasse merealuse andmeedastustaristu operaatorid

tingimusel, et nad ei ole hõlmatud muud liiki üksusena.

Lisandunud üksuste puhul käsitatakse NIS2 tähenduses elutähtsate üksustena

digiidentiteedikukrute pakkujad, Euroopa ettevõtluskukrute pakkujad ning üksused, mis on

kindlaks määratud strateegilise kahesuguse kasutusega taristu omanike, haldajate ja käitajatena.

Elutähtsate üksustega seonduvalt võetakse kasutusele uus kategooria – väikeste keskmise

turukapitalisatsiooniga ettevõtja (edaspidi VKTKE)8 – , mille nõuetele vastavad üksused tuleb

edaspidi määrata olulisteks üksusteks (varem olid nad NIS2 tähenduses elutähtsad üksused),

vähendades nende nõuete täitmisega seotud koormust ja pädevate asutuste

järelevalvekoormust. VKTKEdest suuremad üksused on edaspidi elutähtsad üksused.

Domeeninimede süsteemi teenuse osutajad on edaspidi olulised üksused. Lisanduvate üksuste

puhul täiendatakse ka mõisteid: ettepanekuga lisatakse VKTKE mõiste (komisoni

soovituse9 (EL) 2025/1099 lisas määratletud ettevõtja) ning merealuse andmeedastustaristu

mõiste (andmeid edastavad merekaablid, nendega seotud taristu ja muud andmeedastusega

seotud rajatised või elemendid).

Üksuste kohta käivad andmed ja ENISA register

Ettepanekuga muudetakse ka andmekoosseisude nimetusi, mida üksuste kohta kohustuslikus

korras kogutakse (kui üksus neid kasutab ehk kui tal on need andmed olemas): täiesti uus on

üksuse Euroopa ettevõtluskukru(te) kordumatu(d) tunnus(ed) ja digitaal(ne/sed) aadress(id).

Ülejäänud andmekoosseisu on juba kehtivas direktiivis juba olemas. Lisaks muutub teatud

üksuste (digitaalse teenuse osutajate) puhul nõue, mis aja jooksul nad peavad enda andmeid

uuendama, kui nendes on toimunud muudatused. Hetkel on neil selleks aega kuni kolm kuud,

4 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A52025PC0847&qid=1776094303364 5 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A32024L1788&qid=1776094772390 6 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A02010L0040- 20231220&qid=1776094831948 7 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A02011L0024- 20250112&qid=1776094876153 8 Mikro-, väikeste ja keskmise suurusega ettevõtete (VKEd) kategooriasse kuuluvad ettevõtted, millel on vähem kui 250 töötajat ja mille aastakäive ei ületa 50 miljonit eurot ja/või aastabilansi kogumaht ei ületa 43 miljonit eurot. Väikeste keskmise turukapitalisatsiooniga ettevõtjate kategooriasse kuuluvad ettevõtjad, kes ei ole väikesed ja keskmise suurusega ettevõtjad soovituse 2003/361/EÜ järgi, kellel on vähem kui 750 töötajat ja kelle aastakäive ei ületa 150 miljonit eurot või aastabilansi kogumaht ei ületa 129 miljonit eurot. https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025H1099, lisa punkt 2.

7

kuid ettepaneku tulemusena on selleks aega kuni kaks nädalat (sarnaselt nende üksustega, kes

ei ole digitaalse teenuse osutajad).

Ettepanekuga muudetakse ka seda, mis teavet liikmesriigi üksuste kohta ENISAle edastatakse

liikmesriigi keskse kontaktpunkti (Eestis Riigi Infosüsteemi Ameti) poolt. Kui hetkel on ENISA

ülesanne pidada registrit, milles on digitaalsete teenuste teatud valdkondadega seotud üksused

(nt need, mis on seotud ennekõike liikmesriikide piire ületavate teenustega; ehk nn digitaalse

teenuse osutajad), siis edaspidi tuleb ENISA-le edastada tema peetavasse registrisse kõikide

üksuste kõik andmed, kes on liikmesriigi siseriikliku õigusakti (millega NIS2 üle võeti)

kohaldamisalas: NIS2 mõttes elutähtsad üksused ja olulised üksused, Domeeninimede

registreerimise teenuse osutajate puhul otsesõnu taolist edastamise kohustust ei ole ette nähtud,

kuid ettepaneku kohaselt sisaldab register ka nende üksuste kohta käivaid andmeid. Eesti puhul

tähendab see muudatus, et sinna registrisse esitatakse (sisuliselt) kõikide üksuste andmed, kes

on enda andmed pädevatele asutustele (Riigi Infosüsteemi Amet, Kaitsepolitseiamet,

Välisluureamet) esitanud, st nii avalikust- kui erasektorist. Pädevad asutused saavad taotleda

juurdepääsu ENISA registrile ainult osas, mis on seotud eelmainitud digitaalsete teenuste

osutajate andmetega. Samas ei ole ettepanekus täpsemalt reguleeritud selle registri pidamisega

seotud muud asjaolud: mida ENISA nende andmetega teeb, kes ja millisel õiguslikul alusel saab

juurdepääsu registri andmetele, millal andmed kustutatakse jne. Ettepanekuga muudetakse

tähtaega, mis aja jooksul peavad digitaalse teenuse osutajad enda andmete muutumise korral

enda andmeid uuendama – varem oli selleks aega kuni kolm kuud, kuid edaspidi on selleks

aega kuni kaks nädalat.

Küberturvalisuse riskijuhtimismeetmed

Ettepanekuga soovitakse saavutada NIS2 artikli 21 lõike 5 kohaste rakendusaktide (milles

täpsustatakse küberturvalisuse riskijuhtimismeetmed) võimalikult suur ühtlustamine, et

hõlbustada üksuste jaoks nõuete täitmist ja ametiasutuste jaoks järelevalve tegemist. Selleks

hindab komisjon edaspidi regulaarselt, kas on vaja tolle artikli alusel teha rakendusakte, nt

konkreetse sektori või ettevõtja tüübi jaoks. Ettepanekuga nähakse ette, et kui komisjoni on

teinud viidatud sätte alusel rakendusakti(d), siis liikmesriigid ei kehtesta nende

rakendusakti(de) kohaldamisalasse kuuluvatele üksustele NIS2 artikli 21 lõikes 2 osutatud

meetmetega seoses täiendavaid tehnilisi, metoodilisi ega valdkondlikke nõudeid. Ettepanek ei

anna aimu, kas rakendusaktide puhul nähakse ette ka üleminekuajad, mis ajaks rakendusaktis

nimetatud üksus peab vastavad nõuded ära täitma.

Lisaks pakutakse ettepanekus välja, et komisjon võtaks vastu suunised selliste tarneahela

turvanõuete kohaldamise kohta, mida NIS2 kohaldamisalasse kuuluvad üksused nõuavad oma

tarnijatelt, et tagada õiguskindlus ja vältida kohustuste põhjendamatut edasiandmist üksustele,

mis ei kuulu NIS2 kohaldamisalasse. Paraku ei ole ettepanekust selgelt näha, millise NIS2

artikli alusel vastav ülesanne komisjonile antakse, kuid arvatavasti on selle puhul tegemist

komisjonile antava ülesandega ettepanekuga ette nähtud direktiivi põhjenduse tasandil, mis

viiakse ellu NIS2 artikli 21 lõike 5 alusel antavas rakendusaktis.

Lunavara

8

Ettepanekuga soovitakse ühtlustada ühe olulise intsidendiga seotud andmete kogumist:

soovitakse ette näha, et kui komisjon annab NIS2 art 23 lõike 11 alusel rakendusakti, siis peab

komisjon rakendusaktis ette nägema lunavara korral teatud andmekoosseisud. Lisaks

soovitakse kindlaks määrata, mis laadi teavet võib pädev asutus lunavara olukorras teavituse

esitanud üksuselt küsida: kas üksus on saanud lunavaranõude ja asjakohasel juhul ka nõude

esitaja info; ning kas lunaraha on makstud ja kui on, siis milline summa, millise maksevahendi

kaudu ja millisele saajale, sh asjakohasel juhul krüptovara ja krüptovarateenuse osutaja

andmed.

Küberturvalisuse sertifitseerimine

Selleks et üksustel ja tarnijatel oleks lihtsam tõendada vastavust NIS2le, on NIS2ga reguleeritud

üksustel võimalik saada sertifikaate organisatsioonide küberturvalisuse sertifitseerimise kavade

alusel, mis on välja töötatud Euroopa küberturvalisuse sertifitseerimise raamistikus kooskõlas

CSA2ga. Ettepanek näeb liikmesriikidele ette võimaluse näha ette kohustuse NIS2ga

reguleeritud üksustele, et üksus saaks sertifikaadi küberturvalisuse sertifitseerimise kavade

alusel, mis on välja töötatud Euroopa küberturvalisuse sertifitseerimise raamistikus kooskõlas

CSA2ga. Lisaks näeb ettepanek sisuliselt ette ka võimalus, et üksus võib vabatahtlikult saada

eelmainitud sertifikaati, et tõendada enda organisatsiooni vastavust NIS2s ette nähtud

küberturvalisuse riskijuhtimismeetmetega seotud nõuetele (mille detailid on ette nähtud

komisjoni rakendusaktis või liikmesriigi enda õiguses). Sel juhul ei või liikmesriigid nende

üksuste suhtes kohaldada järelevalvemeetmena sihipärast turvaauditit nende valdkondade või

teenuste osas, mis on sertifikaadi käsitlusala.

ENISA ülesanded ja pädevused

Ettepanekuga lisatakse küberintsidentide käsitlemise riiklike üksuste võrgustiku ehk CSIRTide

võrgustiku liikmeks ka ENISA (mis hetkel on sekretariaaditeenuse osutamise ja toetavas rollis).

Mitme riigiga seotud üksustes küberturvalisuse riskijuhtimismeetmete järgimise

hõlbustamiseks (mille üle teevad järelevalvet mitme liikmesriigi pädevad asutused), antakse

ENISAle uus roll toetada liikmesriike nende üksuste järelevalves, hõlbustades vastastikust abi

ja luues parema ülevaate NIS2 kohaldamisalasse kuuluvatest üksustest. ENISA analüüsib

põhjalikult piiriüleseid küberriske seoses piiriüleste üksustega ning analüüsi käigus hinnatakse

elutähtsaid ja olulisi üksuseid mõjutavate intsidentide võimalike piiriüleste ja siseturule

avalduvate tagajärgede ulatust. ENISA töötab nimetatud analüüsi metoodika välja koostöös

komisjoni ja NIS2 artiklis 14 nimetatud koostöörühmaga. Analüüsi pinnalt koostatakse

piiriülese küberriski hindamise aruanne, mida uuendatakse igal aastal. Selle aruande põhjal võib

ENISA: soovitada mitme riigi pädevaid järelevalveasutusi looma ühiseid

järelevalve rühmi; koostada suuniseid ühiste järelevalvemeetmete kohta või asjaomaste riikide

pädevate asutuste taotluse korral praktilise korra ühiste järelevalvemeetmete võtmiseks;

abistada liikmesriike järelevalves (näiteks ise osaleda järelevalves või aidata hinnata konkreetse

üksuse küberturvalisuse taset: selleks tuleb esitada kogu teave, sh järelevalve failid ja üksuse

enda dokumendid ENISAle). Liikmesriigi kontaktpunkt peab edaspidi teavitama ENISAt, kui

vastastikuse abi meedet kasutati kahe riigi vahel, sh anda teada ka millise piiriülese intsidendi

tõttu seda tehti.

9

Muud muudatused

Ettepanekuga muudetakse ka NIS2 minimaalse ühtlustamise eesmärki, lisades seos NIS2 artikli

21 lõike 5 viienda lõiguga. Samuti kehtestatakse nõue liikmesriikidele seoses riigi loodava

küberturvalisuse valdkonna strateegiaga – see peab sisaldama ka poliitikameetmeid

postkvantkrüptograafiale üleminekuks, võttes arvesse kohaldatavates liidu õigusaktides ja

poliitikas sätestatud ülemineku tähtaegu ja asjakohaseid nõudeid. Ettepanekuga muudetakse

lennuettevõtjatega seotud jurisdiktsiooni ning ka seda, millal Euroopa Liidu väline üksus peab

esindaja määrama.

Liikmesriikidel on aega ettepanekus toodud õigusnormide üle võtmiseks 12 kuud.

4. Euroopa Liidu asja vastavus pädevuse andmise, subsidiaarsuse ja proportsionaalsuse

põhimõtetele

4.1. Õiguslik alus

Mõlema ettepaneku (CSA2 ja NIS2 muutva direktiivi) õiguslikuks aluseks on valitud Euroopa

Liidu toimimise lepingu artikkel 114, millega on ette nähtud meetmete võtmine, et tagada

siseturu loomine ja toimimine. Selle sätte alusel on vastu võetud ka määrus (EL) 2019/881, mis

käsitleb ENISAt ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist

(tuntud kui küberturvalisuse määrus) kui ka NIS2.

4.2. Subsidiaarsus

4.2.1. CSA2

CSA2 keskendub peamiselt kolmele valdkonnale: ENISA mandaadile, küberturvalisuse

sertifitseerimisskeemidele ning IKT tarneahela riskide maandamisele. Kõigis neis küsimustes

annab Euroopa Liidu tasandi regulatsioon lisaväärtuse. ENISA rolli tugevdamine aitab tagada

liikmesriikide parema koostöö ja koordineerituse. Ühtsed sertifitseerimisskeemid aitavad

vältida olukorda, kus ettevõtted peavad täitma eri liikmesriikides erinevaid nõudeid. Samuti

eeldab IKT tarneahela mittetehniliste riskide maandamine ühist lähenemist, sest tarneahelad on

rahvusvahelised ja ühe liikmesriigi meetmetest üksi ei piisa.

CSA2 ei ole vastuolus subsidiaarsuse põhimõttega, sest käsitletavad küsimused on oma

olemuselt piiriülesed ning neid ei ole võimalik riigi tasandil piisava tõhususega lahendada.

Küberturvalisuse ohud, eriti IKT tarneahelaga seotud riskid, ei piirdu ühe liikmesriigi

territooriumiga, vaid mõjutavad kogu Euroopa Liitu.

4.2.2. NIS2 muudatused

Eesti hinnangul on Euroopa Liidu sekkumine võrgu- ja infoturbe vallas on õigustatud

subsidiaarsuse põhimõttega. Direktiiv kohaldub valdkonnas, kus on üha enam piiriüleseid

mõjusid. NIS2 sihipäraste muudatuste eesmärk on lihtsustada küberturvalisuse raamistiku

konkreetsete aspektide järgimist ning tagada nende sujuv ja sidus rakendamine, sealhulgas

seoses kohaldamisala, määratluste, lunavaraintsidentidest teatamise ja piiriüleseid teenuseid

osutavate üksuste järelevalvega. Käesolev ettepanek soodustab liidu küberturvalisuse

10

õigusaktide järgimist, vähendades mõjutatud üksuste nõuete täitmisega seotud kulusid ja

õiguskindlusetust ning hõlbustades ja parandades küberturvalisuse nõuete täitmise määra.

Samuti aitab see liikmesriikides ühtlustada lähenemisviise järelevalvele ja vastavuskontrollile.

4.3. Proportsionaalsus

4.3.1. CSA2

Euroopa Liidu lepingu artikli 5 lõikes 4 sätestatud proportsionaalsuse põhimõtte kohaselt

peavad konkreetse meetme laad ja tugevus olema vastavuses tuvastatud probleemiga.

Komisjoni hinnangul on CSA2 proportsionaalsus tagatud, kuna kavandatud meetmete eesmärk

on kajastada õiguslikult paremini ENISA volitusi ning Euroopa küberturvalisuse sertifikaatide

väljatöötamise, vastuvõtmise ja haldamise protsessi. Lisaks, mis puudutab IKT tarneahelate

turvalisust, eesmärk on vähendada küberturvalisuse osas ohtu kujutavate kolmandate riikide

tarnijate riske Euroopa Liidu IKT tarneahelast. Raamistikus on ette nähtud tõendite kogumine

oluliste varade ning meetmete kohta, mis oleksid proportsionaalsed ja vajalikud, et vähendada

riske kriitilise tähtsusega tarneahelates.

Eesti hinnangul on kavandatud meetmed üldises plaanis proportsionaalsed. Siiski tuleks

suuremat tähelepanu pöörata sellele, et meetmete kavandamisel oleks selgelt eristatud ühelt

poolt need tegevused, mis eeldavad Euroopa-ülest koordineerimist, et tagada küberturvalisuse

tulemuslik ja ühtlane tugevdamine kõigis liikmesriikides. On oluline selgelt piiritleda ka need

ülesanded ja vastutusvaldkonnad, mille prioriseerimine ning elluviimine peaks jääma

liikmesriikide siseseks pädevuseks, arvestades riikide erinevaid vajadusi, riskiprofiile ja

olemasolevaid võimekusi.

4.3.2. NIS2 muudatused

Käesoleva direktiivi kavandatud eeskirjadega reguleeritakse üksnes seda, mis on vajalik, et

saavutada kindlad eesmärgid rahuldaval tasemel. Kavandatav kohaldamisala, turvameetmete ja

teatamiskohustuste vastavusse viimine ja ühtlustamine lähtub liikmesriikide ja ettevõtjate

taotlustest praegust raamistikku parandada.

Ettepanekuga muudetakse kehtivat NIS2 ja ühtlustatakse veelgi ettevõtjatele kehtestatud

kohustusi, tagades seega kogu liidus ühtlasema taseme. Käesoleva ettepaneku jaoks valitud

vahend on vastab muudetavale õigusaktile, s.t NIS2le. Käesolevas ettepanekus tuginetakse

NIS2 eesmärgile anda liikmesriikidele paindlikkus, mida on vaja riiklike eripärade arvesse

võtmiseks.

Eesti hinnangul on kavandatavad meetmed õigustatud proportsionaalsuse põhimõttega, kuid

läbirääkimiste käigus tuleb veelgi rõhuda paindlikkusele, kaasamaks konkreetsemalt ja

selgemalt vaid kriitilisemad sektorid, sätestamaks proportsionaalsed nõuded ning vältimaks

liigse halduskoormuse tekitamist väikestele ettevõtetele.

5. Esialgne mõjude analüüsi kokkuvõte

11

5.1. CSA2

Esialgse hinnangu kohaselt toob CSA2 kaasa mõju ettevõtetele, regulaatoritele ja riigieelarvele.

Mõju ettevõtjatele

Komisjoni hinnangul, turu killustatuse vähendamine ja regulatiivsete nõuete ühtlustamine

aitavad valitud lahenduste kaudu parandada Euroopa Liidus võrdseid konkurentsitingimusi

ning annavad ettevõtjatele selgema raamistiku nii nõuete täitmiseks kui ka innovatsiooni

edendamiseks.

Euroopa sertifitseerimisskeemide abil tekib võimalus tõendada küberriskide juhtimise nõuete

täitmist. See võib vähendada dubleerivaid kontrolle, teha järelevalve ühtlasemaks. Lisaks,

peaks vähenema eri riikide erinevatest tõendamisnõuetest tulenev koormus, mis teeb piiriülese

tegutsemise lihtsamaks. Komisjon on hinnanud, et lihtsustatud ja vähendatud

vastavuskohustused võimaldavad ettevõtjatel viie aasta jooksul kokku hoida kuni 15,3 miljardit

eurot.

Seoses IKT tarneahelate turvalisusega on Komisjon hinnanud, kõrge riskiga

tarnijatekõrvaldamine võib tuua mobiilsideoperaatoritele viie aasta jooksul kaasa kulu

suurusega 3,4–4,3 miljardit eurot aastas ning investeeringud usaldusväärsetesse tarnijatesse

võivad kasvada kuni 2 miljardile eurole aastas, kuid see hinnang on kogu Euroopa Liidu peale

kokku. Praeguses etapis on täpset kulu Eesti ettevõtjatele veel keeruline hinnata, kuna CSA2-s

ei ole ära määratletud, kui sügavale tarneahelates riskihinnangud võivad minna, st seisukohtade

koostamise hetkel puudub selgus, mis valdkonna tehnoloogia ja nendega seotud komponentide

osas võidakse CSA2-s neid nõudeid ette näha. Lisaks on Eesti rakendanud 5G turvalisuse

tööriistakasti, mille raames oleme juba tegelenud ka mittetehniliste riskidega elektroonilise side

sektoris. Sellest tulenevalt võivad täiendavad kulud Eestile olla minimaalsed või neid ei pruugi

üldse tekkida.

Mõju regulaatoritele (RIA, TTJA ja teised asutused)

CSA2 toob regulaatoritele rohkem kontrolli-, hindamis- ja rakendusülesandeid, mis tähendab,

et hinnanguliselt võivad avalikus sektoris kulud kasvada kuni 80 miljonit eurot viie aasta

jooksul.

Personalikulude kasv on tõenäoline, kuna IKT tarneahelatega seotud riskide käsitlemine nõuab

liikmesriikidelt senisest suuremat ja järjepidevamat panust Euroopa tasandi

koostöövormidesse. Eelkõige tähendab see aktiivsemat osalemist NIS CG tegevustes,

sealhulgas riskide hindamises, seisukohtade kujundamises ja ühiste lähenemiste

väljatöötamises. Lisaks eeldab ENISA rolli tugevnemine suuremat panust ka liikmesriikidelt,

muu hulgas riiklike ekspertide (SNEde) lähetamise kaudu. Sellega kaasneb vajadus planeerida

täiendavaid personalikulusid, kuna ekspertide suunamine Euroopa tasandi ülesannetesse võib

vähendada riigisisest võimekust ning nõuda asenduste või lisapersonali kaasamist.

Mõju riigieelarvele

12

Praeguses etapis on täpset kulu veel keeruline hinnata, kuna CSA2-s ei ole ära määratletud, kui

sügavale tarneahelates riskihinnangud võivad minna, st puudub siinsete seisukohtade

koostamise hetkel selgus, mis valdkonna tehnoloogia ja nendega seotud komponentide osas

võidakse neid nõudeid ette näha. Lisaks on Eesti rakendanud 5G turvalisuse tööriistakasti9, mis

hõlmab ka mittetehnilisi riske. Seetõttu ei ole selge, kas CSA2 rakendamiseks tuleb veel midagi

lisaks teha (näiteks Eesti õigusakti või olemasoleva protsessi muutmine) või kehtestatakse

tulevikus kesksed ELi ülesed nõuded, mida Eesti on juba täitnud. Komisjon on välja toonud

järelevalvekulu mõju avaliku sektori asutustele kogu Euroopa Liidus, mis on kuni 80 miljonit

eurot viie aasta jooksul. Eesti peaks arvestama kuludega eelkõige järelevalveks, täiendavaks

personaliks ja tarneahela riskide maandamiseks. Eelarvelisi kulusid menetletakse edaspidi

riigieelarve strateegia ja riigieelarve koostamise käigus vastavalt riigi eelarvelistele

võimalustele. Eesti eesmärk on saavutada eelnõu läbirääkimistel proportsionaalne lahendus,

mis jätaks liikmesriikide ühekordsed ja püsikulud võimalikult madalaks.

Algse lisakulu kõrval võib tekkida ka hilisem halduslik kokkuhoid, kuna üks eesmärke on

vähendada killustatust ja parandada koordineerimist, mis peaks tagama vahendite tõhusama

kasutamise riiklikes asutustes.

5.2. NIS2 muudatused

Esialgse hinnangu kohaselt toovad NIS2 muudatused kaasa mõju KüTSi kohaldamisalas

olevatele üksustele (erasektorist ja avalikust sektorist), pädevatele asutustele, Justiits- ja

Digiministeeriumile kui ka riigieelarvele.

Mõju KüTSi kohaldamisalas olevatele üksustele

Mikro- ja väikeettevõtjatest domeeninimede süsteemi teenuse osutajatele avaldub mõju selles,

et nad ei pea ettepaneku kohaselt edaspidiselt NIS2 nõudeid järgima. Samuti muudetakse

elektrienergia tootmisega seotud sõnastust, millega on edaspidi NIS2 kohaldamisalast

välistatud need elektrienergia tootjad, kelle kogu tootmisvõimsus ei ületa 1 MW. Ettepanekuga

parandatakse ka teatud valdkondade (vesinik, intelligentsed transpordisüsteemid, pikaajalise

hoolduse teenuse, kemikaalid) üksustega seotud sõnastusi. Kuna Eestis on siinsete seisukohtade

koostamise hetkel KüTSi subjektide nimekiri alles koostamisel, siis ei ole ka võimalik anda

hinnangut kui paljusid taolisi üksusi see muudatus mõjutab. Üksused, kelle kohaldamisala

määratlemisega seotud sõnastusi korrigeeritakse – nende puhul on eelduslikult ettepanekuga

seotud mõjud samad, mis on üksustel, kelle sõnastuses muudatusi ei tehta, mistõttu ei analüüsita

neid eraldi sihtgrupina.

Uute lisanduvate üksuste (st digiidentiteedikukrute pakkujad, Euroopa ettevõtluskukrute

pakkujad ning strateegilise kahesuguse kasutusega taristu omanikud, haldajad ja käitajad ning

merealuse andmeedastustaristu operaatorid) puhul on peamised mõjud seotud

küberturvalisusega seotud turvameetmete rakendamisega, kohustusega teavitada olulise

mõjuga küberintsidentidest Riigi Infosüsteemi Ametit, selle üksuse juhatuse liikme

9 Vt eelmist altviidet.

13

kohustustega ning Riigi Infosüsteemi Ametile enda andmete esitamisega. Enamike nende

nõuete puhul sõltub mõju mitmest asjaolust. Näiteks, kas konkreetne üksus on mõne muu

tegevusvaldkonna või teenuse tõttu juba KüTSi kohaldamisalas; kui tegemist on uue üksusega,

siis mis on konkreetse üksuse küberturvalisuse nõuete tagamise tase, st kui palju on

küberturvalisuse nõuete peale mõeldud ning mida on riskide haldamiseks või küberintsidentide

käsitlemiseks ette võetud ning mil viisil on organisatsiooni juhtkond (st ennekõike asjakohane

juhatuse liige) on läbinud asjakohaseid koolitusi ning saanud aru, mis on tema roll

küberturvalisuse tagamises enda organisatsioonis. Eelduslikult ei oma olulist mõju üksuse

andmete esitamine Riigi Infosüsteemi Ametile, mida on võimalik üksuse esindusõiguslikul

isikul teha riigiportaalis eesti.ee ettevõtja vaates.10 Eeltoodud nõuete mõju on eelduslikult

sarnane nendele mõjudele, mida on hinnatud NIS2 ülevõtmise käigus, mistõttu neid siin ei

korrata.11

Ettepanekuga muudetakse käsitlust, millal mingi üksus on NIS2 tähenduses elutähtis üksus, mis

on KüTSi tähenduses ülioluline üksus. Kui seni on ülioluliseks üksuseks NIS2 I lisas olev

üksus, kes ületab keskmise suurusega ettevõtja ülemmäärasid, siis edaspidi on vastavaks

lävendiks need üksused, kes on suuremad kui VKTKEd. Need üksused, kes varem olid

üliolulised üksused, on edaspidi olulised üksused. Sellel muudatusel ei ole mõju üksuse

põhikohustustele (vt eelmist tekstilõiku), kuid ennekõike selles, kuidas nende üksuste puhul

toimub järelevalve korraldus (vt allpool pädevate asutuste mõjude selgitust) ning mis on

võimalik rahatrahvi ülemmäär (mida ettepanekuga ei muudeta). Kuna Eestis on siinsete

seisukohtade koostamise hetkel KüTSi subjektide nimekiri alles koostamisel, siis ei ole ka

võimalik anda hinnangut kui paljusid taolisi üksusi see muudatus mõjutab. Eelduslikult on

Eestis väga vähe neid ettevõtjaid, kes on suuremad kui VKTKEd.

Ettepanek näeb ette muudatusi, mida üksuste kohta kogutakse. Võrreldes varasemalt kogutud

andmetega on uuteks andmekategooriateks üksuse Euroopa ettevõtluskukru(te) kordumatu(d)

tunnus(ed) ja digitaal(ne/sed) aadress(id). Neid andmeid tuleb esitada Riigi Infosüsteemi

Ametile siis, kui vastavaid teenuseid kasutatakse. Lisaks muutub ka teatud üksuste (st digitaalse

teenuse osutajatel ehk üksused, kes on seotud piiriüleste ja digitaalsete teensutega) puhul

tähtaeg, mis aja jooksul peavad nad uuenenud andmetest ametit teavitada. Kui hetkel on nendel

üksustel selleks aega kuni kolm kuud, siis edaspidi on selleks aega kuni kaks nädalat (sarnaselt

teiste üksustega, kes ei ole digitaalse teenuse osutajad). Selle muudatuse mõju on eelduslikult

väike, kuna see sõltub sellest, millised andmed ja millise intervalliga muutuvad. Sellel

muudatusel on väiksem mõju nende üksuste puhul, kes osutab mitmeid teenuseid, mille

tulemusena on tal senini kohustus andmeid uuendada mõlemata tähtaja jooksul.

Ettepanek näeb ette, et kui komisjon on teinud rakendusakti NIS2 artikli 21 lõike 5 alusel, siis

liikmesriigid ei kehtesta nende rakendusaktide kohaldamisalasse kuuluvatele üksustele NIS2

artikli 21 lõikes 2 osutatud meetmetega seoses täiendavaid tehnilisi, metoodilisi ega

10 Lisainfo: https://ria.ee/kuberturvalisus/riigi-infoturbe-meetmete-haldus/teenuseosutaja-eits-auditi-iso- sertifikaadi-pilvandmetootluse-teade. 11 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/4429a2b9-e6e2-41cf-991d- f6955c6c4a69/kuberturvalisuse-seaduse-ja-teiste-seaduste-muutmise-seadus-kuberturvalisuse-2.- direktiivi-ulevotmine/

14

valdkondlikke nõudeid. Hetkel on olemas ainult üks rakendusakt12 ning sedasorti

rakendusaktide (st olemasoleva kui ka tulevaste rakendusaktide) puhul on lähtutud põhimõttest,

et üksus rakendab rakendusaktis oleva teenus(t)e puhul rakendusaktis olevaid turvameetmete

nõudeid. Muude teenuste puhul tuleb rakendada esmaseid turvameetmeid13 või teatud

juhtudel14 Eesti infoturbestandardit või selle alternatiivi (rahvusvaheline standard ISO/IEC

27001 või Eesti standard EVS-EN ISO/IEC 27001). Kui lähtuda ettepanekus toodud

lahendusest, siis üksus, kes saanus piirduda oma muude teenuste puhul ainult esmaste

turvameetmetega peab edaspidi rakendama rakendusaktis olevaid nõudeid ka nende muude

teenuste suhtes. See lähenemine võib tõsta nende ettevõtjate halduskoormust – eriti, kui

arvestada seda, et seni ei ole tolles rakendusaktis ette nähtud üleminekuaegasid nõuete

täitmiseks nii praeguste kui ka uute üksuste korral. Lisaks ei ole selle muudatuse puhul selgus,

kuivõrd on liikmesriigil üldse võimalik ette näha muid nõudeid, mis ei ole seotud NIS2

ülevõtmisega, kuid mis on kehtestud muu õigusakti alusel ning nendel nõuetel on ka teatav

küberturvalisuse tagamise element või kriteeriumid. Näiteks infosüsteemide infovahetuskihi

ehk X-teega seotud nõuded, mis kohalduvad ka neile üksustele, kes on X-teega liidestunud.

Ettepanekuga soovitakse reguleerida, mis teavet lunavara ehk ühe olulise mõjuga

küberintsidendi korral tuleks esitada intsidendist teavitamisel või mida pädev asutus saaks

täiendavalt küsida teavituse tegijalt. Selle muudatuse mõju jääb hetkel arusaamatuks, kuna

praktikas on juba praegu võimalik sama teavet esitada ning pädeval asutusel on võimalik sama

teavet ka omaalgatuslikult küsida (kui on saabunud esmane teavitus või intsidenditeade).

Sertifitseerimisega seotud nõuete muudatuste osas (NIS2 artikkel 24 täiendamine) ei ole

üksustele olulise mõjuga, kuna senini ei ole Eesti tekitanud volitust nõuda üksuselt konkreetse

Euroopa Liidu sertifitseerimiskava alusel sertifikaati. Kui taoline kohustus tekitatakse (nt siinse

ettepaneku ülevõtmise käigus või kunagi hiljem), siis on võimalik hinnata sellega seotud mõju.

Ettepanek annab üksustele sisuliselt ka võimaluse vabatahtlikult tõendada enda organisatsiooni

vastavust NIS2s ette nähtud küberturvalisuse riskijuhtimismeetmetega seotud nõuetele (mille

detailid on ette nähtud komisjoni rakendusaktis või liikmesriigi enda õiguses) – saades

asjakohase sertifikaadi. Tolle muudatuse mõju ei oma olulist mõju, kuna see sõltub konkreetse

üksuse enda soovist vabatahtlikult saada vastav sertifikaat. Üksuste vaatest on ettepanekul

teatav positiivne mõju, kuna pädevad asutused ei või kohaldada järelevalvemeetmena sihipärast

turvaauditit nende valdkondade või teenuste osas, mis on sertifikaadi käsitlusala.

Mõjud Eesti pädevatele asutustele ning Justiits- ja Digiministeeriumile

VKTKE käsitlus seostamine NIS2 I lisas olevate üksustega ehk NIS2 tähenduses olevate

elutähtsate üksustega (KüTSi tähenduse ülioluliste üksustega) seotud muudatused mõjutavad

ennekõike Riigi Infosüsteemi Ameti tegevust järelevalvemenetluse kontekstis. Edaspidi peab

amet eristama, millal teostatakse nende üksuse suhtes ainult järelkontrolli (vt KüTS § 2 punkti

12 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A32024R2690&qid=1777370813433 13 Vt Vabariigi Valitsuse 09.12.2022 määruse nr 121 ”Võrgu- ja infosüsteemide küberturvalisuse nõuded” § 3 lõige 21 ja § 51 ning https://eits.ria.ee/et/abimaterjalid/esmased-turvameetmed. 14 Vt eelnevalt viidatud määruse § 3 lõiget 21.

15

14 ning § 14 lõike 6 punkte 2 ja 3). Samas tuleb arvestada ka asjaoluga, et üks üksus võib

osutada mitmeid teenuseid, mistõttu võib ta olla ülioluline üksus ka mõne muu tegevusala või

kriteeriumi tõttu - näiteks on tegemist elutähtsa teenuse osutajaga.

Ettepanek näeb ette, et kõikide KüTSi kohaldamisalas olevate üksuste (st ülioluliste üksuste ja

oluliste üksuste) kohta käivad andmed tuleb keskse kontaktpunkti (Riigi Infosüsteemi Amet)

poolt edastada ENISAle, kes lisab need andmed tema peetavasse registrisse. Ettepanek näeb

ette, et ENISA peetavas registris on ka andmed domeeninimede registreerimise teenuse

osutajate kohta, kuid nende üksuste andmeid justkui ühtsed kontaktpunktid ei pea edastama.

Selle ettepaneku mõju Riigi Infosüsteemi Ameti töökoormusele on keeruline hinnata, kuna see

on sõltuvuses sellest, kui tihti üksused enda andmeid muudavad. Selle mõju on ka

julgeolekuasutustele (Kaitsepolitseiamet ja Välisluureamet, vt KüTS § 5 lõiget 4), kuid see on

tunduvalt väiksem kui on Riigi Infosüsteemi Ametil. Tolle Samas ei ole ettepanekus täpsemalt

reguleeritud selle registri pidamisega seotud muud asjaolud: mida ENISA nende andmetega

teeb, kes ja millisel õiguslikul alusel saab juurdepääsu registri andmetele, millal andmed

kustutatakse jne. Seetõttu on selle registri pidamise mõju keeruline hinnata.

Kehtiv NIS2 näeb ette võimaluse mitme liikmesriigi pädevatel asutustel viia läbi ühismenetlusi

ehk nö taotleda järelevalve- ja täitemeetmete teostamisel vastastikust abi. Ettepanekuga antakse

ENISAle volitus abistada neid pädevaid üksusi ning volitus analüüsida üliolulisi ja olulisi

üksuseid mõjutavate intsidentide võimalike piiriüleste ja siseturule avalduvate tagajärgede

ulatust. Selle aruande põhjal võib ENISA: soovitada mitme riigi pädevaid järelevalveasutusi

looma ühiseid järelevalve rühmi; koostada suuniseid ühiste järelevalvemeetmete kohta või

asjaomaste riikide pädevate asutuste taotluse korral praktilise korra ühiste järelevalvemeetmete

võtmiseks; abistada liikmesriike järelevalves (näiteks ise osaleda järelevalves või aidata hinnata

konkreetse üksuse küberturvalisuse taset: selleks tuleb esitada kogu teave, sh järelevalve failid

ja üksuse enda dokumendid ENISAle). Liikmesriigi kontaktpunkt peab edaspidi teavitama

ENISAt, kui vastastikuse abi meedet kasutati kahe riigi vahel, sh anda teada ka millise piiriülese

intsidendi tõttu seda tehti. Hetkel on keeruline hinnata, milline on selle muudatuse mõju

pädevate asutuste (st ennekõike Riigi Infosüsteemi Ameti) töökoormusele, kuna see sõltub

sellest, kas ja kui tihti vastastikuse abi raamistikku kasutatakse.

Ettepaneku kohaselt peavad riigi loodav küberturvalisuse valdkonna strateegia sisaldama ka

poliitikameetmeid postkvantkrüptograafiale üleminekuks, võttes arvesse kohaldatavates liidu

õigusaktides ja poliitikas sätestatud ülemineku tähtaegu ja asjakohaseid nõudeid. Tolle

strateegia koostamine on seotud Justiits- ja Digiministeeriumi tegevusega, kuid see ei oma suurt

mõju, kuna kehtiv strateegia juba sisaldab seda teemat.

Mõjud riigieelarvele

Ettepanekus endas on eelarveliste mõjude osas viidatud CSA2 mõjude hinnangule, kuid paraku

ei ole tolles analüüsis piisavalt käsitletud NIS2ga seotud muudatusi. Seetõttu on mõju

riigieelarvele keeruline hinnata. Teatavas osas leevendub Riigi Infosüsteemi Ameti töökoormus

(nt osad üksused muutuvad olulisteks üksusteks ning osad üksused ei ole NIS2 kohaldamisalas),

kuid samas lisandub ametile uusi kohustusi (nt kõikide ülioluliste üksuste ja oluliste üksuste

16

andmete edastamine ENISAle, vastastikuse abi korral teatud andmete edastamine ENISAle),

Kui mingil põhjusel on vaja lisaressursse, analüüsitakse seda eelarve planeerimise käigus.

6. Eesti seisukohad

Eesti seisukohad on jaotatud erinevatesse alapeatükkidesse järgmiselt:

 NIS2 muudatuste ja CSA2 üldised põhimõtted ehk seisukohad, mis kohalduvad mõlema

õigusakti ettepanekule; järgnevad alapeatükid on konkreetsete temaatikatega seotud

seisukohad;

 CSA2 ettepanekuga seotud seisukohad;

 NIS2 muudatuste ettepanekuga seotud seisukohad.

A. NIS2 muudatusi ja CSA2 eelnõusid puudutavad üldised põhimõtted

6.1. Eesti toetab Euroopa Liidu küberturvalisuse tugevdamist, kuid peab oluliseks, et

NIS2 muutva ja CSA2 eelnõude nõuded, terminoloogia ja kohaldumisala tagavad

liikmesriikidele ja puudutatud subjektidele selge ja üheselt mõistetava õigusraamistiku,

kuna juba kehtiva NIS2 sõnastused on ebaselged ja mitmeti tõlgendatavad.

Selgitus:

Euroopa Liidu õigusaktide nõuded ja kohaldumisala on paljuski seotud ka asjaoluga, mis

teemade osas on nõuete kehtestamise ainupädevus Euroopa Liidul või liikmesriikidel ning

millisel juhul on tegemist jagatud pädevusega. Kavandatavates õigusaktides tuleks selgelt

lähtuda või õigusakti enda tekstis välja tuua seisukohast, et kavandatavad regulatsioonid ei

puuduta valdkondi, kus Euroopa Liidu aluslepingutest tulenev pädevus puudub ega piira seal

täiendavate nõuete kehtestamist. Samuti ei või kavandatavad õigusaktid piirata riikide õigusi

valdkondades, kus liikmesriigid võtavad õigusakte vastus Euroopa Liidu toel15. Ehk NIS2 ja

CSA2 eelnõude lõplikud sõnastused peavad olema kooskõlas aluslepingutest tulenevate

pädevustega. Samuti ei tohi need piirata liikmesriikide õigust kehtestada täiendavaid nõudeid

nendes valdkondades, mis jäävad liikmesriikide pädevusse või kus Euroopa Liidu üleselt pole

valdkondlikke või konkreetseid nõudeid kehtestatud.

Eesti hinnangul on mitmes NIS2-ga seotud artiklis ja teemavaldkonnas endiselt ebaselgust, mis

takistab kehtiva direktiivi ühtset ja õiguspärast rakendamist. Seetõttu peab Eesti oluliseks saada

Euroopa Komisjonilt täiendavaid selgitusi nii direktiivi kohaldamisala kui ka konkreetsete

mõistete ja kohustuste tõlgendamise kohta. Selgitamist vajavad eelkõige küsimused, mis

puudutavad sektorite ja teenuste käsitlust, erineva suurusega ettevõtjate tuvastamise

metoodikat, üksuse mõiste kohaldumist filiaalidele, hallatud teenuste ja hallatud turbeteenuste

ulatust, liikmesriikide osalust kriisihalduse mehhanismides, juhatuse liikmete vastutuse sisu

ning sunniraha kohaldamise põhimõtteid. Nende küsimuste lahendamine on vajalik, et tagada

15 https://commission.europa.eu/about/role/law/areas-eu-action_et

17

NIS2 muudatuste järjepidev, proportsionaalne ja õigusselge rakendamine kõigis

liikmesriikides.

NIS2 muutmise ettepanekuga muudetakse ka lennuettevõtjatega seotud jurisdiktsiooni kui ka

seda, millal Euroopa Liidu väline üksus peab Euroopa Liidu territooriumil esindaja määrama.

Tegemist on muudatustega, mis suurendavad õigusselgust ja õiguskindlust.

Kuna küberturvalisuse määrus tunnistatakse kehtetuks uue CSA2ga, siis tuleb NIS2s teha ka

vastavad muudatused, mis viitavad kehtetuks tunnistatavale määrusele. Siin tuleb direktiivi

puhul ennekõike üle vaadata artikkel 6 punktid 3 (küberturvalisus), 10 (küberoht), 11 (IKT-

toode), 12 (IKT-teenus) ja 13 (IKT-protsess), artikli 18 lõige 2 (ENISA teeb aruande

küberturvalisuse olukorra kohta liidus) ning artikli 24 lõiked 1-3 (seotud Euroopa Liidu

sertifitseerimisskeemidega).

6.2. Eesti peab oluliseks, et Euroopa Liidu Küberturvalisuse Ameti (ENISA) rolli ja

ülesannete kujundamisel on tagatud selge tööjaotus liikmesriikidega ning välditakse

liikmesriikide pädevuste ja olemasolevate mehhanismide dubleerimist (sealhulgas

varajase hoiatuse süsteemide, küberintsidentide käsitlemise üksuste ja riiklike

operatiivsete funktsioonide osas) ega piirata liikmesriikide pädevate asutuste

operatiivtööd. ENISA uued ülesanded peavad toetama kehtivaid koostöömehhanisme, ei

tohi luua paralleelseid infovahetuskanaleid ega mõjutada negatiivselt riiklike

küberintsidentide käsitlemise üksuste ja erasektori vahelist koostööd.

Selgitus:

ENISA rolli ja ülesannete edasisel kujundamisel tuleb tagada selge ja läbipaistev tööjaotus. See

aitab vältida olemasolevate funktsioonide dubleerimist ning tagab, et iga osapool tegutseb oma

pädevuse piires võimalikult tõhusalt. Oluline on ka see, et ENISAle uute ülesannete

lisandumine toetaks juba toimivaid koostöömehhanisme ning ei mõjutaks negatiivselt

küberintsidentide käsitlemise üksuste (CSIRT) ja erasektori vahelist koostööd.

CSA2 näeb ette varajase hoiatuse süsteemi loomist, mis sisaldab teavet oluliste või ulatuslike

intsidentide ja piiriüleste küberohtude kohta. Tuleb kindlaks teha, et kavandatav süsteem ei

dubleeriks juba olemasolevaid teavitamismehhanisme, näiteks CSIRTide võrgustik ja CERT-

EU raamistikus. Samuti on oluline selgitada, kuidas tagatakse teavituste ajakohasus, täpsus ja

operatiivsus, arvestades, et ENISA tugineb sageli kaudsetele andmetele. Süsteem hõlmab ka

soovituste andmist, millega kaasneb risk, et ENISA soovitused ei ole kohandatud liikmesriikide

vajadustega. puudub vahetu ja põhjalik ülevaade Eesti küberruumis toimuvast ning soovitused

ei pruugi seetõttu olla täielikult kohandatud Eesti vajadustele. Samuti tuleb vältida olukorda,

kus riiklik CSIRT ei ole piisavalt kaasatud olulisse infovahetusse ega suhtlusesse asjaomaste

üksustega.

Lisaks näeb määrus ette lunavara intsidentidele reageerimiseks operatiivtoe pakkumist läbi

kasutajatoe loomise, mis tõstatab küsimuse võimaliku kattuvuse kohta riiklike CSIRTide

tegevusega. Sellega seoses on oluline selgitada, kuidas on kavandatud operatiivse toe

koordineerimine ning millised on infovahetuse mehhanismid. Ilma selgete protseduurideta võib

tekkida olukord, kus oluline teave ei jõua riikliku CSIRTini või kus asjaomased üksused saavad

18

paralleelselt erinevaid suuniseid riiklikult ja ENISA tasandilt. Samuti vajab täpsustamist, kuidas

tagatakse pakutava toe kvaliteet, arvestades, et detailne ja kontekstipõhine teadmus paikneb

eeskätt riiklikul tasandil.

NIS2 muudatuste ettepanekuga on edaspidiselt ENISA NIS2 artikli 15 alusel moodustatud

küberintsidentide käsitlemise riiklike üksuste võrgustiku ehk CSIRTide võrgustiku liige. Hetkel

on tal samas võrgustikuga seos sekretariaaditeenuse osutamise ja toetava rollina. NIS2 muutvas

direktiivi ettepanekus ei ole määratletud, mida see endaga kaasa toob, st millised on sel juhul

ENISA tulevased ülesanded.

Ettepanekuga luuakse ka NIS2 artikkel 37a, mis annab ENISAle ülesande abistada liikmesriike

vastastikuse abi osutamisel ning analüüsida piiriüleseid küberriske. Analüüsi põhjal koostatakse

iga-aastane piiriülese küberriski hindamise aruanne, mille alusel võib ENISA teha soovitusi

ühiste kontrollrühmade moodustamiseks, järelevalvemeetmete ühtlustamiseks või aidata

hinnata üksuste vastavust NIS2 artikli 21 nõuetele. Samuti peavad liikmesriigid teavitama

ENISAt vastastikuse abi kasutamisest.

Eesti seisukohtade koostamise ajal ei ole veel toimunud arutelusid NIS2 muutva direktiivi

ettepaneku osas, mistõttu ei ole veel olnud võimalik selgeks teha, mis on lisanduvate sätete

lisandväärtus ja otsene vajadus. Siiski ei tohi ENISA ülesanded dubleerida liikmesriikide, st

pädevate asutuste tegevust.

B. CSA2 eelnõu puudutavad seisukohad

6.3. Eesti peab oluliseks, et liikmesriikidele säilib otsustuspädevus ENISA kontaktisikute

määramisel ning võimalus otsustada, millises ulatuses ja millise esindatusega nad ENISA

töös osalevad. Juhul kui liikmesriikidel tuleb nimetada esindaja ENISA koostööformaati

või nõukogusse, peab neile säilima piisav paindlikkus otsustada, millisest asutusest pädev

esindaja määrata. Oluline on vältida väikeriikidele liigse töökoormuse tekkimist.

Selgitus:

Liikmesriikide ressursid on piiratud ning seetõttu on oluline tagada, et need oleksid suunatud

eelkõige sisuliste eesmärkide saavutamisele, sealhulgas küberturvalisuse tegelikule

tugevdamisele, vältides samal ajal ebaproportsionaalselt koormavaid kohustusi. Sama

põhimõte peab kehtima ka ekspertide kaasamisel. Kontaktametnike ülesanded, vastutus,

töökorraldus ja oodatav panus peavad olema selgelt määratletud ning nende lähetamine peab

andma selget lisaväärtust.

Üldine nõue määrata kindel arv kontaktametnikke võib osutuda ebaproportsionaalseks, eriti

väiksema haldus- ja eksperdivõimekusega riikide jaoks. Samuti võib tekkida olukord, kus

määratud isikute pädevus ei vasta ENISA tegelikele vajadustele, arvestades, et tehnilised

eksperdid on liikmesriikides piiratud ressurss. Paindlik lähenemine, mis võimaldab

liikmesriikidel lähtuda oma tegelikest võimalustest ja ENISA praktilistest vajadustest, oleks

seetõttu otstarbekam.

19

Samuti arvame, et kahe kontaktametniku määramise nõue on väikeriikidele

ebaproportsionaalselt ressursimahukas.

Lisaks, liikmesriikide halduskorraldus ei ole ühesugune ning seetõttu ei pruugi ühetaoline

lähenemine esindajate määramisele olla alati põhjendatud ega praktiliselt toimiv. Paindlikkus

võimaldab igal liikmesriigil määrata esindaja sellest asutusest, kus asjakohane pädevus ja

vastutus tegelikult paikneb, aidates seeläbi tagada nii sisuliselt tugevama panuse kui ka

tõhusama töökorralduse.

Mitmes liikmesriigis on küberturvalisuse valdkonna vastutused ja pädevused jaotatud mitme

asutuse vahel ning kõige asjakohasem ekspertiis ENISA haldusnõukogu või kontaktametniku

töös osalemiseks ei pruugi alati paikneda nimetatud asutuses Seetõttu peame oluliseks, et

liikmesriikidele jääks paindlikkus määrata haldusnõukogusse ja kontaktametnikuks esindaja,

kes kõige paremini vastab riigi vajadustele ja omab vajalikku sisulist pädevust.

6.4. Eesti toetab küberturvalisuse atesteerimisskeemi ja küberoskuste akadeemia loomist

ning nendega seotud ülesannete andmist ENISAle, kuid peab oluliseks vältida

liikmesriikide õppeasutustele lisanduvat halduskoormust. Loodavad atesteerimisskeemid

peavad arvestama olemasolevaid kompetentsimudeleid ja sertifikaate. Kaasnevad

lisakulud ja -ülesanded peavad olema põhjendatud ning arvestama liikmesriikide

olemasolevate õppekavade mahtu ja korraldust. Kompetentsiprofiilide välja töötamisel

peab arvestama ka Euroopa Liidu tööturu olukorra ning juba kasutusel olevate

rahvusvaheliste sertifikaatidega.

Selgitus:

Atesteerimine on ette nähtud liikmesriikide riiklike atesteerimisasutuste eestvedamisel,

atesteerimisasutused peavad ENISAle mandaadi saamiseks tasu alusel luba taotlema.

Sealjuures pole asutuste puhul kehtestatud nõudeid või profiile ning atesteerimine toimub

vabatahtlikkuse alusel. Määrusega EL-üleselt loodavad kompetentsiprofiilid ei peaks

dubleerima eksisteerivaid küberturvalisuse valdkonna sertifikaate. Oskuste akadeemia ja

atesteerimisskeem loovad selgema aluse küberturvalisuse valdkonna atesteerimiseks.

Kaasnev mõju õppeasutustele ja lisanduv halduskoormus peavad olema kooskõlas

eksisteerivate õppekavadega. Oskuste akadeemia loob täiendavad võimalused atesteerimiseks,

ent täiendavad kulud ja halduskoormus pole praeguseks määratletud kuna spetsiifilised

kompetentsiprofiilid ja atesteerimisskeemid pole veel piiritletud. Eeldatavalt toob

atesteerimisskeemide loomine kaasa täiendava vajaduse õppekavade ja õpiväljundite

täpsustamiseks IKT hariduses.

Loodav atesteerimisskeem peab arvestama tööturu ja küberturvalisuse valdkonna

muutlikkusega, arvestades sealjuures uute tehnoloogiate kasutuselevõttu. ENISA peab

atesteerimisskeeme vajadusel uuendama, hoides sealjuures kõrget standardit ning arvestades

uute tehnoloogiate kasutuselevõttu. Ühtne Euroopa Liidu ülene standard ja atesteerimisskeem

peaks võimaldama ka riikide-ülest atesteerimist, loomaks ühtset baasi ja arusaama

küberturvalisuse valdkonna kompetentsiprofiilidest.

20

6.5. Eesti toetab eelnõu ettepanekut, mille kohaselt jääb küberturvalisuse sertifitseerimine

IKT-toodete, -teenuste ja -protsesside pakkujatele vabatahtlikuks ning küberturvalisuse

sertifitseerimisskeemid ei raskenda mikro- ja väikeettevõtete ja uute ettevõtete turule

tulemist ja turul tegutsemist. Oluline on tagada, et sertifitseerimisega seotud nõuded ei

too ettevõtetele kaasa põhjendamatut haldus- ega kulukoormust, kuna ka vabatahtlik

sertifitseerimine võib praktikas muutuda turul osalemise, hanketingimustele vastamise

või klientide usalduse saavutamise eeltingimuseks.

Selgitus:

Kohustusliku sertifitseerimise kehtestamine võib kaasa tuua märkimisväärse haldus- ja

kulukoormuse ning piirata innovatsiooni, eriti väiksemate ettevõtjate puhul. Vabatahtlik mudel

võimaldab kasutada sertifitseerimist sihipärase ja riskipõhise vahendina juhtudel, kus selleks

on selge praktiline vajadus või turupõhine põhjendus. Nii saab sertifitseerimine täita oma

peamist eesmärki, mis on usalduse suurendamine IKT-lahenduste turvalisuse osas ning pakkuda

ettevõtjatele võimalust tõendada nõuetele vastavust seal, kus see on asjakohane. Kui

sertifitseerimisega kaasnev halduskoormus, ajakulu või rahaline kulu kujuneb liiga suureks,

võib see pärssida uute ja innovaatiliste toodete ning teenuste arendamist ja turule toomist,

vähendada konkurentsi ning tugevdada ebaproportsionaalselt juba turul tegutsevate suuremate

osalejate positsiooni.

Tuleb arvestada, et ka vabatahtlik sertifitseerimine võib praktikas omandada ettevõtjate jaoks

vältimatu iseloomu, eelkõige juhul, kui sellest kujuneb turul osalemise, hanketingimustele

vastamise või klientide usalduse saavutamise eeltingimus. Seetõttu on oluline vältida olukorda,

kus vabatahtlikuna kavandatud raamistik muutub sisuliselt kohustuslikuks ning toob

ettevõtjatele kaasa põhjendamatu haldus- ja kulukoormuse.

6.6. Eesti peab oluliseks, et liikmesriikidele jääks piisav õigus võimaldada põhjendatud

juhtudel kontrollida küberturvalisuse sertifikaadi aluseks olevate nõuete tegelikku

täitmist. Samuti peab olema liikmesriigil võimalik nõuda sertifikaadi omanikult

täiendavate nõuete täitmist juhul, kui sertifikaat ei kata kogu vajalikku riskispektrit või

ei anna piisavat kindlust kõigi asjakohaste nõuete täitmise kohta (näiteks julgeoleku

valdkond).

Selgitus:

Tuleb arvestada, et keskselt väljatöötatud sertifitseerimisskeemid ei pruugi alati täiel määral

peegeldada kiiresti muutuvat ohupilti ning nende nõuded põhinevad sageli erinevate

lähenemiste vahel saavutatud kompromissidel. Arvestades liikmesriikide erinevat

küberturvalisuse taset ja vajadusi, ei ole põhjendatud näha ette kohustust selliseid sertifikaate

tingimusteta aktsepteerida. Oluline on säilitada liikmesriikidele võimalus põhjendatud juhtudel

nõuetele vastavust täiendavalt hinnata või auditeerida.

Lisaks võib sertifikaadi tingimusteta ja täiendava kontrollita aktsepteerimise kohustus tekitada

küsimusi seoses liikmesriikide pädevusega julgeolekuvaldkonnas. Selline lähenemine võib

piirata liikmesriikide võimalusi võtta arvesse konkreetseid riiklikke julgeolekukaalutlusi,

21

sealhulgas vajadust teatud tehnoloogiaid täiendavalt hinnata või põhjendatud juhtudel nende

kasutamist piirata

6.7. Eesti peab oluliseks, et IKT tarneahelate turvalisuse tagamisel pöörataks tähelepanu

ka mittetehniliste riskide maandamisele, kuid selleks eelnõus kavandatavad meetmed

peavad olema proportsionaalsed ja sihitud. Küberturvalisuse seisukohast muret

tekitavate kolmandate riikide kindlaksmääramisel peab liikmesriikidel olema tugev roll,

et tagada mittetehniliste riskide määratlemise protsessi läbipaistvus ja usaldusväärsus.

Selgitus:

Mittetehniliste riskidega tegelemine on IKT tarneahelate turvalisuse tagamisel oluline. Selliste

riskide hindamisel ja maandamisel on tähtis, et kasutatavad meetmed oleksid läbimõeldud,

proportsionaalsed, paindlikud ning kohandatud tegelikele vajadustele ja riskitasemele. See aitab

tagada, et turvalisuse tugevdamine ei tooks kaasa liigset halduskoormust, põhjendamatuid

piiranguid ega lahendusi, mis ei ole konkreetse olukorra seisukohast vajalikud või tõhusad.

Mittetehniliste riskide maandamise raamistik peab võimaldama arvestada nii tehnoloogilise

keskkonna, turuolukorra kui ka liikmesriikide julgeoleku- ja halduseripäradega. Seetõttu on

oluline suurendada liikmesriikide rolli otsustusprotsessis. Liikmesriikide varajane ja sisuline

kaasamine võimaldab teha paremini informeeritud otsuseid.

Komisjoni ja liikmesriikide rollid peavad olema kogu protsessi vältel selgelt määratletud, et

liikmesriikidel oleks sisulisem ja mõjusam roll otsuste ettevalmistamisel ja kujundamisel.

Arvestades, et rakendamine toimub suures osas liikmesriikide tasandil ning mõju avaldub

otseselt nende asutustele ja turuosalistele on põhjendatud, et liikmesriigid oleksid protsessis

varakult ja sisuliselt kaasatud.

6.8. Eesti peab oluliseks, et liikmesriikide ja ettevõtjate jaoks on eelnõus IKT tarneahelate

mittetehniliste riskide maandamise protsessid sätestatud selgelt, läbipaistvalt ja

etteaimatavalt. CSA2 eelnõus või selle alusel kehtestatavates rakendusaktides tuleb ette

näha mõistlikud üleminekuajad vastavalt IKT tarneahelate riskihinnangutele, et

liikmeriigid ja ettevõtjad saaksid oma IKT tarneahelatega seotud protsessid, tooted ja

investeeringud uute küberturvalisuse nõuetega kooskõlla viia.

Selgitus:

On oluline, et liikmesriikide ja ettevõtjate jaoks oleksid eelnõus IKT tarneahelate mittetehniliste

riskide maandamise protsessid selged, läbipaistvad ja etteaimatavad, võimaldades neil oma

tegevusi ja investeeringuid aegsasti kavandada.Kui protsessid, tähtajad, nõuded või

hindamiskriteeriumid ei ole liikmesriikidele ja ettevõtjatele piisavalt selged või muutuvad

ootamatult, võib see raskendada strateegilist planeerimist, suurendada kulusid ning pidurdada

nii vastavusmeetmete rakendamist kui ka uute toodete ja teenuste turule toomist. Osalistel peab

olema võimalik aegsasti aru saada, millised kohustused neile kohalduvad, millal need

jõustuvad, milliseid samme tuleb vastavuse tagamiseks astuda ning millised võivad olla

võimalike muudatuste praktilised mõjud.

22

Seetõttu on oluline, et mittetehniliste riskide määramise protsess ja nõuded oleksid hästi

põhjendatud ja praktiliselt rakendatavad. Siinsete seisukohtade koostamise hetkel on keeruline

välja pakkuda, mis on mõistlikud üleminekutähtajad, kuna see sõltub paljuski sellest, mis

valdkonna tehnoloogia ja nendega seotud komponentide osas võidakse neid nõudeid ette näha,

st kuivõrd sügavale tarneahelate riskihinnangutega minnakse. Samuti on oluline kaasata

tööstust ja teisi osalisi varases etapis, et võimalikud probleemkohad oleks aegsasti tuvastatavad

ning vältida lahendusi, mis tekitavad põhjendamatuid ootamatusi või ebaproportsionaalset

koormust.

C. NIS2 muudatuste ettepanekuga seotud seisukohad

6.9. Eesti toetab Euroopa digiidentiteedikukrute pakkujate ja Euroopa ettevõtluskukrute

pakkujate ning strateegilise kahesuguse kasutusega taristu omanike, haldajate ja

käitajatena kindlaks määratud üksuste kui ka merealuse andmeedastustaristu

operaatorite lisandumist NIS2 kohaldamisalasse. Eesti toetab mikro- ja väikeettevõtjatest

domeeninimede süsteemi teenuse osutajate välja jätmist NIS2 kohaldamisalast.

Selgitus:

Euroopa digiidentiteedikukrute ja Euroopa ettevõtluskukrute pakkujad on üks osa Euroopa

ülesest digiidentiteedi valdkonnast, mistõttu on kohane nende lisamine ka NIS2

kohaldamisalasse, olenemata nende suurusest.

Strateegilise kahesuguse kasutusega taristu omanike, haldajad ja käitajate lisamine NIS2

kohaldumisalasse on kooskõlas eesmärgiga tugevdada kriitilise taristu kaitset ning toetab ka

Eesti varasemat väljendatud seisukohta, et sõjalistel eesmärkidel varustuse, kaupade ja

personali transporti osas tuleb minimeerides selle mõju tsiviiltranspordile.

Merealuse andmeedastustaristu operaatorid hõlmatakse NIS2 kohaldamisalasse, kuna seda

võivad käitada üksused, kes on juba direktiivi kohaldamisalas, näiteks üldkasutatava

elektroonilise side võrkude või -teenuste osutajad või pilvandmetöötlusteenuse osutajad, kuid

neid võivad käitada ka muud üksused, mis ei kuulu veel NIS2 kohaldamisalasse mõne muu

teenuse või tegevusala tõttu.

Eelnimetatud Eesti üksustele tähendab see muudatus, et nad peavad rakendama

küberturvalisuse seadust ja selle nõudeid. Nendeks nõueteks on ennekõike kohustus määrata

juhtorgani liige, kes tegeleb küberturvalisuse teemadega; nad peavad enda andmed esitama

Riigi Infosüsteemi Ametile; samuti peavad tegelema turvameetmete rakendamisega ning

olulise mõjuga küberintsidendi korral teavitama sellest juhtumist Riigi Infosüsteemi Ametit.

Hetkel on kõik domeeninimede süsteemi teenuse osutajad NIS2 kohaldamisalas. Ettepaneku

muudatuste tulemusena ei ole enam NIS2 kohaldamisalas selliste teenuste osutajad, kes on

mikro- või väikeettevõtjad, arvestades komisjoni soovitust 2003/361/EÜ mikro-, väikeste ja

keskmise suurusega ettevõtjate määratluse kohta. Samuti on need direktiivi kohaldamisalas

olevad üksused edaspidi elutähtsate üksuste küberturvalisuse seaduse tähenduses ülioluliste

23

üksuste asemel olulised üksused. Ettepaneku ajendiks on soov vähendada ettevõtjate

halduskulusid kokku 25 % ning väikeste ja keskmise suurusega ettevõtjate puhul 35 %.

6.10. Eesti toetab NIS2 tähenduses elutähtsate üksustega seotud lävendi muudatust, mille

kohaselt käsitatakse edaspidi elutähtsate üksustena NIS2 I lisas osutatud ettevõtjaid, kes

ületavad väikese keskmise turukapitalisatsiooniga ettevõtjate (VKTKE) ülemmäärasid.

Selgitus:

Ettepaneku kohaselt muudetakse NIS2 artikli 3 lõike 1 punkti a nii, et direktiivi tähenduses

elutähtsate üksuste (inglise k “essential entity”; küberturvalisuse seaduse tähenduses

üliolulised üksused16) hulgas on NIS2 I lisas olevad üksused, kes ületavad väikeste keskmise

turukapitalisatsiooniga ettevõtja ehk VKTKEde17 ülemmäärasid. NIS2 I lisas olevad üksused,

kes varasemalt oli suuremad kui väikese ja keskmise suurusega ettevõtjad18, kuid kes on

väiksemad kui VKTKE ülemmäärad, on edaspidi olulised üksused (inglise k ”important entity”;

küberturvalisuse seaduses19 samuti olulised üksused) – st nende puhul muutub järelevalve

korraldus (see on edaspidi järelkontrollina) kui ka võimalike trahvide ülemmäärad. See siiski

ei muuda NIS2ga ette nähtud peamisi kohustusi: ennekõike näiteks riskijuhtimismeetmete

(küberturvalisuse seaduse tähenduses turvameetmete) rakendamise kohustust, olulise mõjuga

küberintsidentidest teavitamise kohustust kui ka juhtorgani liikmega seotud kohustusi.

Direktiivi ettepanek ei muuda NIS2 artikli 3 lõike 1 punkte c–h, kuid täpsustab punkti b, lisades

elutähtsate üksustena Euroopa digiidentiteedikurkute pakkujad ja Euroopa ettevõtluskukrute

pakkujad ning eemaldades domeeninimede süsteemi teenuse osutajad. Punkti h lisatakse

strateegilise kahesuguse kasutusega taristu omanikud, haldajad ja käitajad. Need üksused (v.a.

domeeninimede süsteemi teenuse osutajad) on edaspidi NIS2 tähenduses elutähtsad üksused

ning küberturvalisuse seaduse tähenduses üliolulised üksused olenemata nende suurusest.

Domeeninimede süsteemi teenuse osutajad on edaspidi NIS2 tähenduses olulised üksused ning

küberturvalisuse seaduse tähenduses olulised üksused.

Eesti toetab muudatusi, kuid peab vajalikuks täiendavat selgust tagajärgedest. Eelkõige tuleb

selgelt määratleda, kuidas pädevad asutused teostavad järelevalvet nende üksuste osas, kes

muutuvad olulisteks üksusteks – eriti siis, kui nad on NIS2 tähenduses elutähtsad üksused

(KüTSi tähenduses üliolulised üksused) mõne muu kriteeriumi tõttu: näiteks on nad Eesti

õigusaktide tähenduses elutähtsa teenuse osutajad. NIS2 näeb ette, et elutähtsate üksuste puhul

on võimalik teha nii ennetavata kui ka järelkontrolli, see tähendab vastavalt ex nunc ja ex post

järelevalvet, kuid oluliste üksuste puhul on võimalik teha ainult järelkontrolli.

16 Vt võrdluseks küberturvalisuse seaduse § 3 lõikeid 2 ja 3, st ennekõike lõiget 3. 17 Väikeste keskmise turukapitalisatsiooniga ettevõtjate kategooriasse kuuluvad ettevõtjad, kes ei ole väikesed ja keskmise suurusega ettevõtjad soovituse 2003/361/EÜ järgi, kellel on vähem kui 750 töötajat ja kelle aastakäive ei ületa 150 miljonit eurot või aastabilansi kogumaht ei ületa 129 miljonit eurot. https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32025H1099, lisa punkt 2. 18 Mikro-, väikeste ja keskmise suurusega ettevõtete (VKEd) kategooriasse kuuluvad ettevõtted, millel on vähem kui 250 töötajat ja mille aastakäive ei ületa 50 miljonit eurot ja/või aastabilansi kogumaht ei ületa 43 miljonit eurot. 19 Vt võrdluseks küberturvalisuse seaduse § 3 lõikeid 4 ja 5, st ennekõike lõike 4 punkti 8.

24

Seetõttu on vaja saada selgust, kuidas eristada ex nunc ja ex post järelevalvet olukorras, kui üks

üksus on ühe tegevuse tõttu NIS2 mõttes ülioluline üksusja teise tegevuse tõttu oluline üksus.

6.11. Eesti leiab, et elutähtsad üksused, olulised üksused ja domeeninimede registreerimise

teenuse osutajad peavad esitama liikmesriigi pädevatele asutustele enda kohta käivat

teavet üksnes mahus, mis on eesmägipärane ja vajalik pädevate asutuste ülesannete

täitmiseks. Samuti peaksid pädevad asutused edastama samadest andmetest ENISAle

üksnes need andmed, mis on eesmärgipärased ja vajalikud ameti ülesannete täitmiseks.

ENISA peetavat eelnimetatud üksuste registrit puudutavad nõuded tuleb eelnõus

täpsemalt reguleerida, tagades muu hulgas selguse registri pidamises, sellele

juurdepääsus, registri ja selles sisalduvate andmete kaitses, andmete

säilitamistähtaegades kui ka muudes asjakohastes korralduslikes aspektides.

Selgitus:

NIS2 kohaselt peavad elutähtsad üksused, olulised üksused ja domeeninimede registreerimise

teenuse osutajad esitama pädevatele asutustele teatud andmed, mis on vajalikud järelevalve ja

muude ülesannete täitmiseks. Ettepaneku tulemusena koondatakse need andmekoosseisud

NIS2 artikli 3 lõikesse 4 ning lisatakse täiendavad andmed, nagu Euroopa ettevõtluskukru

kordumatu tunnus ja digiaadressid.

Eesti jaoks on oluline, et üksustelt kogutavad andmed oleksid eesmärgipärased ja

proportsionaalsed ning et pädevad asutused edastaksid ENISAle ainult need andmed, mis on

ameti ülesannete täitmiseks vältimatult vajalikud. Praegu ei ole selge, miks on vaja edastada

kõikide üksuste andmed ENISAle ega millisel viisil ENISA neid andmeid kasutab. Need

küsimused tuleb arutelude käigus selgeks teha. Eesti seisukohtade koostamise ajal ei ole veel

toimunud arutelusid NIS2 muutva direktiivi ettepaneku osas, mistõttu ei ole veel olnud

võimalik selgeks teha, mida tähendaks eelmainitud muudatus liikmesriikidele ning mis on

minimaalne andmekoosseis, mida liikmesriikide pädevatel asutustel kui ka ENISAl on enda töö

jaoks vaja.

Samuti vajab täpsustamist, milliseid IP-aadresse (sh IP-vahemikke) üksustelt oodatakse. Kui

nõue hõlmaks ka dünaamilisi IP-aadresse, oleks see ebaproportsionaalselt koormav ning ei

annaks pädevatele asutustele sisulist lisaväärtust. Seetõttu tuleb selgitada, millist eesmärki

IP-aadresside kogumine teenib ja kuidas pädevad asutused neid andmeid kasutavad.

Kuna ENISA hakkab pidama registrit kõikide elutähtsate üksuste, oluliste üksuste ja

domeeninimede registreerimise teenuse osutajate kohta, tuleb tagada, et registri pidamine

vastaks nt Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 artikli 4 põhimõtetele. See

hõlmab selgust registri pidamise korra, juurdepääsuõiguste, andmete kaitse,

säilitamistähtaegade ja muude korralduslike aspektide osas. Arvestada tuleb ka seda, et registris

võivad sisalduda füüsiliste isikute andmed (nt kontaktisikud või esindajad), mis nõuab

täiendavat tähelepanu andmekaitsele.

Eestis on vastavad üksuste nimekirjad käsitletud asutusesisese teabena, mistõttu tuleb arutelude

käigus tagada, et ENISA registri lahendus oleks kooskõlas riiklike andmekaitse- ja

juurdepääsupiirangutega.

25

6.12. Eesti toetab muudatust, mille kohaselt peavad liikmesriigid enda küberturvalisuse

strateegia osana võtma vastu postkvantkrüptograafiale üleminekuga seotud

poliitikameetmeid.

Selgitus:

NIS2 muutva direktiivi ettepaneku tulemusena täiendatakse NIS2 artikli 7 (riiklik

küberturvalisuse strateegia) lõiget 2 (Riikliku küberturvalisuse strateegia osana võtavad

liikmesriigid vastu eelkõige poliitikameetmed,) punktiga k järgmises sõnastuses

postkvantkrüptograafiale üleminekuks, võttes arvesse kohaldatavates liidu õigusaktides ja

poliitikas sätestatud ülemineku tähtaegu ja asjakohaseid nõudeid.

Eesti koostatud küberturvalisuse strateegia üheks osaks on postkvantkrüptograafiaga seotud

teemad, mistõttu saame seda lisandust toetada. Euroopa Komisjon on avaldanud teekaardi20

postkvantkrüptograafiale üleminekuks, millega on arvestatud Eesti postkvant-krüptograafia

ülemineku riikliku teekaardi21 koostamisel.

6.13. Eesti toetab eelnõus küberturvalisuse riskijuhtimismeetmete tagamisega seotud

nõuete sõnastamist viisil, mis võimaldab liikmesriigil kehtestada riigispetsiifilisi

riskijuhtimismeetmete nõudeid ka nende üksuste suhtes, kes on hõlmatud Euroopa

Komisjoni samade nõuete alusel vastu võetud rakendusaktiga.

Selgitus:

NIS2 muutva direktiivi ettepaneku tulemusena täiendatakse NIS2 artikli 21 (küberturvalisuse

riskijuhtimismeetmed) lõiget 5:

 üks muudatus on seotud sellega, et komisjonile antakse ülesanne siseturu toimimise

parandamise eesmärgil regulaarselt hinnata, kas selle artikliga seotud meetmete osas on

vaja koostada konkreetsete sektorite või üksuste liikide kohta rakendusakte; kui selliseid

rakendusakte on vaja, siis viiakse läbi kõiki huvitatud osapooli kaasav

konsultatsiooniprotsess;

 teise muudatusega soovitakse teha nõue, et kui komisjon koostab sama lõike esimeses

ja teises lõigus osutatud rakendusaktid, siis liikmesriigid ei kehtesta “nende

rakendusaktide kohaldamisalasse kuuluvatele üksustele NIS2 artikli 21 lõikes 2

osutatud meetmetega seoses täiendavaid tehnilisi, metoodilisi ega valdkondlikke

nõudeid”.

Eesti seisukohtade koostamise ajal ei ole veel toimunud arutelusid NIS2 muutva direktiivi

ettepaneku osas, mistõttu ei ole veel olnud võimalik selgeks teha, mida tähendaks eelmainitud

muudatus liikmesriikidele. Näiteks, kas ettepanekus toodud sõnastus kohalduks rakendusaktis

mainitud üksusele ka siis, kui konkreetse ettevõtja puhul on märgitud ainult üks teenus, kuid

praktikas on ta veel muude teenuste (nt 4-5 tk) alusel NIS2 kohaldamisalas. Kui vastus on

20 https://digital-strategy.ec.europa.eu/en/library/coordinated-implementation-roadmap-transition-post- quantum-cryptography 21 https://www.justdigi.ee/digi-side-ja-kuber/analuusid-ja-uuringud, täpsemalt 2026_ROAD2PQ_final_report__avalik_v1.0.pdf

26

jaatav, siis tekib küsimus, kuidas näiteks side valdkonnas suhestub see lähenemine nendesse

õigusnormidesse, millega 5G turvalisuse tööriistakast on üle võetud (mis on samuti mõeldud

tarneahela turvalisuse tagamise nõuetena). Samuti on vaja saada selgust, kuidas siinne

muudatus suhestub CSA2 ettepaneku artikkel 98 ([Usaldusväärse IKT tarneahela raamistiku]

kohaldamisala) lõikega 2: Käesolevas jaotises sätestatud kohustused ei piira kohustusi mis on

sätestatud määruse (EL) 2024/2847 artiklis 13 ning riiklikes sätetes, millega võetakse üle

direktiivi (EL) 2022/2555 artikkel 21.

Sellest hoolimata leiab Eesti, et liikmesriikidel peab jääma võimalus kehtestada NIS2 artikli 21

lõike 5 alusel vastu võetud rakendusaktide kohaldamisalasse jäävate üksuste suhtes ka

täiendavaid tehnilisi, metoodilisi või valdkondlikke nõudeid. Eesti on kehtestanud teiste

õigusaktide alusel kui KüTS teatud nõudeid ja tingimusi, millede kohaldumine tekitab

küsitavusi, kui NIS2 artikli 21 lõike 5 sõnastuse tulemiks on nii nagu on direktiivi ettepanekus

sõnastatud. Näiteks on üheks Eesti digiriigi keskseks komponendiks infosüsteemide

andmevahetuskiht ehk X-tee, mille kasutamiseks on ette nähtud teatavad tingimused (st ka

turvameetmed).22 Kui kõnealuse lõik 5 sõnastuseks on nii nagu on direktiivi ettepaneku

sõnastus, siis arvestatav osa Eesti digiühiskonnaga seotud üksuste puhul (kelle suhtes on juba

kehtestatud rakendusmäärus23 (EL) 2024/2690) muutub ebaselgeks, kuivõrd neile on üldse

võimalik X-tee kasutamisega seotud nõudeid kehtestada. Seetõttu peab liikmesriikidel olema

jätkuvalt võimalik taolisi nõudeid kehtestada või ette näha.

6.14. Eesti leiab, et NIS2 nõuete ning selle alusel antavate rakendusaktide täitmiseks

peavad olema ette nähtud konkreetsed üleminekuperioodid, kuna üleminekuperioode ei

ole sätestatud kehtivas NIS2s ega selle alusel antud rakendusaktis ning neid pole ka ette

nähtud NIS2 muutvas eelnõus. See on eriti oluline üksuste puhul, kes satuvad

esmakordselt NIS2 või selle alusel antud rakendusakti kohaldamisalasse.

Üleminekuperioodid peavad olema sobilikud konkreetsete nõuete olemuse ja

keerukusega, näiteks võiks küberturvalisuse riskijuhtimismeetmetega seotud nõuete

rakendamise puhul kuni kolm aastat.

Selgitus:

NIS2 ülevõtmise käigus ilmnes, et direktiiv ega selle rakendusmäärus (EL) 2024/2690 ei sätesta

tähtaegu, mille jooksul peavad üksused täitma neile kehtestatud kohustused. Sama probleem

tekib ka uute rakendusaktide puhul, eelkõige artikli 21 lõike 5 alusel antavate nõuete

rakendamisel. Selgusetus puudutab nii andmete esitamise tähtaegu, riskijuhtimismeetmete

rakendamise ajaraame, esindaja määramise kohustuse jõustumist kui ka intsidentidest

teavitamise kohustuse rakendumist.

Tähtajad on olulised nii üksustele, kes juba kuuluvad NIS2 kohaldamisalasse, kui ka neile, kes

lisanduvad direktiivi muutmise tulemusena või satuvad kohaldamisalasse uue tegevuse

alustamise tõttu. Ilma selgete üleminekuperioodideta ei ole võimalik tagada nõuete ühtset,

proportsionaalset ja realistlikku rakendamist.

22 https://www.riigiteataja.ee/akt/106082019017 23 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A32024R2690&qid=1776514494611

27

Samad probleemkohad tekivad nii nende üksuste suhtes, kes on tulevikus kehtiva NIS2

kohaldamisalas (näiteks kes hakkavad pakkuma usaldusteenust või saavad Eesti õigusaktide

tähenduses elutähtsa teenuse osutajateks) kui ka nende üksuste puhul, kes lisanduvad siinse

ettepaneku tulemusena.

Üleminekuperioodid peavad olema selged, konkreetsed, ettenähtavad ehk kokkuvõtlikult

sobilikud, arvestades konkreetse kohustuse olemust. Seetõttu on ka siinsete seisukohtade

koostamise käigus keeruline ette näha, mis oleksid sobilikud üleminekuperioodid - seetõttu on

seisukohas esitatud näitena, et küberturvalisuse riskijuhtimisega seotud nõuete puhul võiks see

olla kuni kolm aastat. Sarnane üleminekuperiood on ette nähtud ka küberturvalisuse seaduses

turvameemete (NIS2 tähenduses küberturvalisuse riskijuhtimisega seotud nõuete) rakendamise

kontekstis nendele üksustele, kes peavad selle seaduse nõudeid esmakordselt täitma pärast

01.01.2026. a.

6.15. Eesti leiab, et liikmesriigi pädevale asutusele NIS2 tähenduses olulisest intsidendist

teavitamine peab toimuma nii, et varajase hoiatusega esitatakse kogu teave, mis on

teavitamise hetkel teada. Järgnevad teavitused, sealhulgas intsidenditeade ja

vahearuanne, peavad täiendama ja ajakohastama varajase hoiatusega esitatud teavet.

Varajase hoiatuse andmekoosseis peab tagama piisava paindlikkuse teavitajale, kuid

samal ajal võimaldama pädeval asutusel täita oma ülesandeid ning andma teavitavale

üksusele aluse koostada lõpparuanne lahendatud intsidendist. Teavitustega seotud

andmeväljad peavad võimaldama tagada ka teiste Euroopa Liidu õigusaktide alusel sama

intsidendi kohta esitatavate teavituste kohustuste täitmist.

Selgitus:

NIS2 artikli 23 lõikes 4 on sätestatud varajase hoiatuse, intsidenditeate, vahearuande ja

lõpparuande esitamise tähtajad ning nende üldine sisu. Praktikas ei anna varajase hoiatuse

miinimumnõuded pädevale asutusele piisavat ülevaadet toimunud intsidendist, kuna need ei

sisalda teavet selle kohta, mis juhtus, millal intsident aset leidis ega milline teave on teavitamise

hetkel teada. Selline andmekoosseis ei võimalda pädeval asutusel oma ülesandeid tõhusalt täita.

NIS2 ülevõtmise käigus kujunes Eestis arusaam, et varajane hoiatus peab sisaldama kogu

teavet, mis on teavitamise hetkel teada, sealhulgas neid elemente, mis NIS2 järgi kuuluvad

intsidenditeate koosseisu. Seejuures edastatakse üksnes need andmed, mis on teavitamise hetkel

olemas, ning järgnevad teavitused täiendavad ja ajakohastavad varasemalt esitatud teavet.

Selline lähenemine tagab, et pädev asutus saab varakult piisava ülevaate intsidendist ning et

üksusel on võimalik koostada lõpparuanne ühtse loogika alusel.

Ühtne ja sisuline teavituste struktuur peab vähendama üksuste halduskoormust, võimaldades

sama teavitusega täita ka teiste õigusaktide alusel kehtivaid teavituskohustusi, kui sama

intsident kuulub mitme õigusakti reguleerimisalasse.

Eesti leiab, et sama põhimõte peab kajastuma ka NIS2 artikli 23 lõike 4 kohaldamisel ning

komisjoni võimalike rakendusaktide ettevalmistamisel artikli 23 lõike 11 alusel. Varajase

hoiatuse andmekoosseis peab olema piisavalt paindlik, et üksus saaks esitada teabe vastavalt

28

sellele, mis on teavitamise hetkel teada, kuid samal ajal piisavalt sisuline, et pädev asutus saaks

täita oma ülesandeid ja hinnata intsidendi mõju.

Kui selline lähenemine ei leia toetust NIS2 muutmise aruteludes, on võimalik seda põhimõtet

edendada ka digivaldkonna lihtsustamise koondpakettide (COM(2025) 836 ja COM(2025) 837)

ning nende alusel koostavate rakendusaktide menetluses.

6.16. Eesti leiab, et küberturvalisuse valdkonnas lunavararünnetega seotud intsidendist

teavitamise andmeväljade ning küberintsidentide käsitlemise üksustele või pädevale

asutusele täiendava selgituse küsimuse volituse lisamine dubleerib kehtivaid NIS2

nõudeid, mistõttu tuleks vastavad muudatused eelnõust välja jätta.

Selgitus:

NIS2 muutva direktiivi ettepanekuga lisatakse artikli 23 (teatamiskohustus) juurde lõiked 12 ja

13, mis näevad ette täiendavad teavitamisnõuded lunavararünnete kohta. Lõike 12 kohaselt

peab komisjon rakendusaktis sätestama lunavararünnete kohta esitatava teabe, ning lõige 13

kohustab üksusi esitama küberintsidentide käsitlemise üksusele (CSIRT) või pädevale asutusele

täiendavat teavet lunarahanõuete ja maksete kohta, kui pädev asutus seda taotleb.

Eesti hinnangul ei ole nende lõigete lisamise vajadus praegu piisavalt põhjendatud. Lõike 12

puhul ei ole selge, millist täiendavat lisandväärtust see loob, arvestades, et lunavararünnakud

on juba praegu olulised küberintsidendid, millest tuleb teavitada. Samuti ei ole üheselt

määratletud, mida peetakse ründevektori või leevendusmeetmete all, mistõttu vajaks nende sisu

täiendavat sisustamist. Selliste spetsiifiliste nõuete lisamine võib viia olukorrani, kus NIS2

raamistikku hakatakse täiendama eraldi nõuetega konkreetsete intsidenditüüpide kohta, mis ei

ole kooskõlas direktiivi horisontaalse ülesehitusega.

Lõike 13 puhul ei ole selge, millist lisandväärtust see loob võrreldes juba kehtiva

regulatsiooniga. CSIRTil ja pädeval asutusel on juba praegu õigus küsida täiendavat teavet

vahearuande esitamise käigus NIS2 artikli 23 lõike 4 punkti c alusel. Kavandatav lõige

dubleerib sisuliselt olemasolevat volitust ning ei loo uut sisulist vajadust.

Seetõttu leiab Eesti, et enne lõigete 12 ja 13 lisamist on vaja täiendavat õigusselgust nende sisu,

ulatuse ja vajalikkuse kohta, kuid dubleerimise korral tuleks need välja jätta. Vajaduse korral

oleks otstarbekam kohe reguleerida lunavararünnete teavitamise täpsustused komisjoni

rakendusaktis artikli 23 lõike 11 alusel, mitte lisada neid direktiivi tasandil eraldi lõigetena.

6.17. Eesti toetab muudatust, mille kohaselt on võimalik küberturvalisuse sertifitseerimist

kasutada riskijuhtimismeetmete täitmise tõendamiseks. Eesti leiab, et seda lähenemist

tuleks rakendada ka teiste Euroopa Liidu õigusaktide puhul, mis käsitlevad

küberturvalisuse riskijuhtimismeetmete või turvameetmete täitmise tõendamist.

Selgitus:

NIS2 artiklisse 24 kavandatavad lõiked 4–6 seonduvad küberturvalisuse sertifitseerimise

kasutamisega riskijuhtimismeetmete täitmise tõendamisel. Nende lõigete puhul tuleb arvestada

ka seisukohtadega 6.6 ja 6.7, mille kohaselt peab küberturvalisuse sertifitseerimine jääma

29

vabatahtlikuks ning liikmesriikidel peab säilima pädevus kontrollida sertifikaatide aluseks

olevate nõuete täitmist.

Kavandatav lõige 4 võimaldab liikmesriikidel nõuda, et elutähtsad ja olulised üksused

tõendaksid NIS2 artikli 21 nõuete täitmist CSA2 artikli 75 alusel vastu võetud Euroopa

küberturvalisuse sertifitseerimiskava kohase turvaoleku sertifikaadiga. See tähendab, et

sertifikaati kasutatakse konkreetse NIS2 kohustuse täitmise tõendina. Eesti toetab seda

lähenemist.

Kui selline lähenemine jääb direktiivi, tuleb analüüsida, kas sama põhimõtet saab rakendada ka

muude Euroopa Liidu õigusaktide puhul, mis sisaldavad küberturvalisuse riskijuhtimise või

turvameetmete nõudeid. Kui see on võimalik, siis Eesti leiab, et seda lähenemist on võimalik

laiendada ka muudesse õigusaktidesse. NIS2 kohaldamisalasse kuulub mitmeid üksusi, kellele

kohalduvad ka teised valdkondlikud õigusaktid lex specialis’na. Näiteks:

 finantssektorile kohaldub DORA määrus (EL) 2022/2554;

 kosmosevaldkonna üksustele hakkab tulevikus kohalduma Euroopa Liidu

kosmosemäärus;

 usaldusteenuste osutajatele kohalduvad eIDAS määruse (EL) 910/2014 nõuded ja

standardid;

 piiriüleste elektrivoogudega seotud üksustele kohalduvad võrgueeskirjad (nt

delegeeritud määrus (EL) 2024/1366);

 lennundussektorile kohalduvad infoturbe eeskirjad (nt rakendusmäärus (EL) 2023/203

ja delegeeritud määrus (EL) 2022/1645).

Need valdkonnad ei ole ammendavad, kuid näitavad, et küberturvalisuse sertifitseerimise

kasutamine vastavuse tõendina võib mõjutada mitut õigusraamistikku. Seetõttu tuleb hinnata,

kas ja millisel kujul on selline käsitlus kooskõlas teiste Euroopa Liidu õigusaktidega ning kas

see võib tekitada kattuvusi või vastuolusid valdkondlike nõuetega.

6.18. Eesti leiab, et NIS2 muudatuste ülevõtmise tähtaeg peab olema vähemalt 18 kuud.

Direktiivi ülevõtmise tähtaeg peab arvestama liikmesriikide õigusloomeprotsessiga ning

kaasneva haldus- ja töökoormusega.

Selgitus:

NIS2 muutva direktiivi ettepaneku artikli 2 kohaselt võtavad liikmesriigid selle direktiivi

ettepanekuga seotud meetmed vastu ja avaldavad need hiljemalt 12 kuud pärast ettepanekuga

seotud direktiivi jõustumist. NIS2 üle võtmine Euroopa Liidus on läinud vaevaliselt, sh mitmed

riigid (sh Eesti) ei suutnud seda tähtaegselt üle võtta. Ka osad riigid tegelevad tänaseni sellega,

et vajalikud siseriiklikud muudatused saaks lõpule viia. Kui arvestada asjaoluga, et

liikmesriikide samad esindajad on eelduslikult küberturvalisuse valdkonnaga seotud teiste

õigusaktide läbirääkimiste (nt nn digivaldkonna lihtsustamise koondpakettidega seotud

läbirääkimised) ja ülevõtmistega, näiteks küberkerksuse määrusega24 kui ka kübersolidaarsuse

24 Euroopa Parlamendi ja nõukogu määrus (EL) 2024/2847, 23. oktoober 2024, mis käsitleb digielemente sisaldavate toodete küberturvalisuse horisontaalseid nõudeid ja millega muudetakse

30

määrusega25 seotud sätted seotud, siis ei pruugi olla liikmesriikidel piisavalt võimekust, et mitut

teemat hallata. Samamoodi on vaja ka NIS2 rakendajatel aega, et valmistuda uute nõuetest

arusaamiseks ja rakendamiseks. Seetõttu peab direktiivi muudatuste ülevõtmise tähtaeg olema

pikem kui 12 kuud, st vähemalt 18 kuud.

7. Arvamuse saamine ning seisukohtade kooskõlastamine

7.1. Justiits- ja Digiministeerium on seisukohtade ettevalmistamisel küsinud sisendit Majandus-

ja Kommunikatsiooniministeeriumilt, Haridus- ja Teadusministeeriumilt,

Kaitseministeeriumilt, Kliimaministeeriumilt, Välisministeeriumilt, Kultuuriministeeriumilt,

Rahandusministeeriumilt, Siseministeeriumilt, Sotsiaalministeeriumilt, Regionaal- ja

Põllumajandusministeeriumilt, Andmekaitse Inspektsioon, Finantsinspektsioon,

Kaitsepolitseiamet, Politsei- ja Piirivalveamet, Põllumajandus- ja Toiduamet, Registrite ja

Infosüsteemide Keskus, Riigi Info- ja Kommunikatsioonitehnoloogia Keskus, Riigi

Infosüsteemi Amet, Siseministeeriumi infotehnoloogia- ja arenduskeskus, Tarbijakaitse ja

Tehnilise Järelevalve Amet, Terviseamet, Transpordiamet, Välisluureamet, Kaitsevägi

(küberväejuhatus), Kaitseliit (küberkaitseüksus), Eesti Pank, Eesti Interneti Sihtasutus, Eesti

Kaubandus-Tööstuskoda, Eesti Tarbijakaitse Liit, Eesti Tööandjate Keskliit, Eesti

Infotehnoloogia ja Telekommunikatsiooni Liit, Tervise Arengu Instituut, Tallinna

Tehnikakõrgkool, Tallinna Tehnikaülikool, Tallinna Ülikool, Tartu Ülikool, Cleveron,

Cybernetica, Eesti Raudtee, Health Founders, Metrosert, Startup Leaders Club, Sunly,

Tehnopol, Utilitas.

7.2. Arvamuste avaldamiseks saadeti huvigruppidele kaasamiskiri ning tagasiside esitamise

tähtaeg oli 31.03.2026.

7.3. Kooskõlastuse ja arvamuse saatsid Kliimaministeerium, Majandus- ja

Kommunikatsiooniministeerium, Rahandusministeerium, Siseministeerium,

Sotsiaalministeerium, Andmekaitse Inspektsioon, Riigi Infosüsteemi Amet, Tarbijakaitse ja

Tehnilise Järelevalve Amet, Eesti Maaülikool, Eesti Infotehnoloogia ja Telekommunikatsiooni

Liit, Eesti Kaubandus-Tööstuskoda ning Eesti Tööandjate Keskliit.

7.4. Saabunud sisendid on esitatud kaasamistabelis (lisa 1) ning saabunud ettepanekutega on

võimaluse korral arvestatud. Ministeeriumid on seisukohad kooskõlastanud EL

koordinatsioonikogus.

määrusi (EL) nr 168/2013 ja (EL) 2019/1020 ning direktiivi (EL) 2020/1828 (küberkerksuse määrus) - https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A02024R2847-20241120. 25 Euroopa Parlamendi ja nõukogu määrus (EL) 2025/38, 19. detsember 2024, millega nähakse ette meetmed, et tugevdada liidus solidaarsust ja suurendada suutlikkust küberohtude ja intsidentide avastamiseks, nendeks valmistumiseks ja neile reageerimiseks, ning millega muudetakse määrust (EL) 2021/694 (kübersolidaarsuse määrus) - https://eur-lex.europa.eu/legal- content/ET/TXT/?uri=CELEX%3A02025R0038-20250115.

Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898

Riigikantselei [email protected]

Teie 06.02.2026 nr 2-5/26-00267, 17.1.1/26-0037/-1T Meie 26.05.2026 nr 7-1/4159

Eesti seisukohad Euroopa Liidu küberturvalisuse õigusaktide eelnõude paketi kohta

Esitame Teile Vabariigi Valitsuse istungile edastamiseks Eesti seisukohad Euroopa Liidu küberturvalisuse õigusaktide eelnõude paketi kohta. Eesti seisukohad käsitlevad Euroopa Komisjoni küberturvalisuse õigusaktide eelnõude paketti, mis koosneb kahest ettepanekust: küberturvalisuse määruse teisest ettepanekust (edaspidi CSA2) ning küberturvalisuse 2. direktiivi (edaspidi NIS2) muudatustest.

Lugupidamisega

(allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister

Lisa: 1. Protokollilise otsuse eelnõu küberturvalisuse õigusaktide eelnõude paketi kohta 2. Seletuskiri Eesti seisukohad Euroopa Liidu küberturvalisuse õigusaktide eelnõude

paketa kohta 3. Kaasamistabel 4. Küberturvalisuse 2. määrus 5. Küberturvalisuse 2. määrus Lisa 6. Direktiivi (EL) 2022/2555 muudatused

Sandra Kaljumäe 54330051 [email protected]

EELNÕU

VABARIIGI VALITSUS

ISTUNGI PROTOKOLL

Tallinn, Stenbocki maja

25.05.2026

Päevakorrapunkt nr ...

Eesti seisukohad Euroopa Liidu küberturvalisuse õigusaktide eelnõude paketi kohta

1. Kiita heaks järgmised justiits- ja digiministri esitatud Eesti seisukohad. Euroopa Komisjoni

küberturvalisuse õigusaktide eelnõude paketi kohta, mis koosneb kahest ettepanekust:

küberturvalisuse määruse teisest ettepanekust (edaspidi CSA2) ning küberturvalisuse 2.

direktiivi (edaspidi NIS2) muudatustest.

NIS2 muudatuste ja CSA2 üldised põhimõtted

1.1. Eesti toetab Euroopa Liidu küberturvalisuse tugevdamist, kuid peab oluliseks, et NIS2

muutva ja CSA2 eelnõude nõuded, terminoloogia ja kohaldumisala tagavad liikmesriikidele ja

puudutatud subjektidele selge ja üheselt mõistetava õigusraamistiku, kuna juba kehtiva NIS2

sõnastused on ebaselged ja mitmeti tõlgendatavad.

1.2. Eesti peab oluliseks, et Euroopa Liidu Küberturvalisuse Ameti (ENISA) rolli ja ülesannete

kujundamisel on tagatud selge tööjaotus liikmesriikidega ning välditakse liikmesriikide

pädevuste ja olemasolevate mehhanismide dubleerimist (sealhulgas varajase hoiatuse

süsteemide, küberintsidentide käsitlemise üksuste ja riiklike operatiivsete funktsioonide osas)

ega piirata liikmesriikide pädevate asutuste operatiivtööd. ENISA uued ülesanded peavad

toetama kehtivaid koostöömehhanisme, ei tohi luua paralleelseid infovahetuskanaleid ega

mõjutada negatiivselt riiklike küberintsidentide käsitlemise üksuste ja erasektori vahelist

koostööd.

CSA2 ettepanekuga seotud seisukohad

1.3. Eesti peab oluliseks, et liikmesriikidele säilib otsustuspädevus ENISA kontaktisikute

määramisel ning võimalus otsustada, millises ulatuses ja millise esindatusega nad ENISA töös

osalevad. Juhul kui liikmesriikidel tuleb nimetada esindaja ENISA koostööformaati või

nõukogusse, peab neile säilima piisav paindlikkus otsustada, millisest asutusest pädev esindaja

määrata. Oluline on vältida väikeriikidele liigse töökoormuse tekkimist.

1.4. Eesti toetab küberturvalisuse atesteerimisskeemi ja küberoskuste akadeemia loomist ning

nendega seotud ülesannete andmist ENISAle, kuid peab oluliseks vältida liikmesriikide

õppeasutustele lisanduvat halduskoormust. Loodavad atesteerimisskeemid peavad arvestama

olemasolevaid kompetentsimudeleid ja sertifikaate. Kaasnevad lisakulud ja -ülesanded peavad

olema põhjendatud ning arvestama liikmesriikide olemasolevate õppekavade mahtu ja

korraldust. Kompetentsiprofiilide välja töötamisel peab arvestama ka Euroopa Liidu tööturu

olukorra ning juba kasutusel olevate rahvusvaheliste sertifikaatidega.

1.5. Eesti toetab eelnõu ettepanekut, mille kohaselt jääb küberturvalisuse sertifitseerimine IKT-

toodete, -teenuste ja -protsesside pakkujatele vabatahtlikuks ning küberturvalisuse

sertifitseerimisskeemid ei raskenda mikro- ja väikeettevõtete ja uute ettevõtete turule tulemist

ja turul tegutsemist. Oluline on tagada, et sertifitseerimisega seotud nõuded ei too ettevõtetele

kaasa põhjendamatut haldus- ega kulukoormust, kuna ka vabatahtlik sertifitseerimine võib

praktikas muutuda turul osalemise, hanketingimustele vastamise või klientide usalduse

saavutamise eeltingimuseks.

1.6. Eesti peab oluliseks, et liikmesriikidele jääks piisav õigus võimaldada põhjendatud juhtudel

kontrollida küberturvalisuse sertifikaadi aluseks olevate nõuete tegelikku täitmist. Samuti peab

olema liikmesriigil võimalik nõuda sertifikaadi omanikult täiendavate nõuete täitmist juhul, kui

sertifikaat ei kata kogu vajalikku riskispektrit või ei anna piisavat kindlust kõigi asjakohaste

nõuete täitmise kohta (näiteks julgeoleku valdkond).

1.7. Eesti peab oluliseks, et IKT tarneahelate turvalisuse tagamisel pöörataks tähelepanu ka

mittetehniliste riskide maandamisele, kuid selleks eelnõus kavandatavad meetmed peavad

olema proportsionaalsed ja sihitud. Küberturvalisuse seisukohast muret tekitavate kolmandate

riikide kindlaksmääramisel peab liikmesriikidel olema tugev roll, et tagada mittetehniliste

riskide määratlemise protsessi läbipaistvus ja usaldusväärsus.

1.8. Eesti peab oluliseks, et liikmesriikide ja ettevõtjate jaoks on eelnõus IKT tarneahelate

mittetehniliste riskide maandamise protsessid sätestatud selgelt, läbipaistvalt ja etteaimatavalt.

CSA2 eelnõus või selle alusel kehtestatavates rakendusaktides tuleb ette näha mõistlikud

üleminekuajad vastavalt IKT tarneahelate riskihinnangutele, et liikmeriigid ja ettevõtjad

saaksid oma IKT tarneahelatega seotud protsessid, tooted ja investeeringud uute

küberturvalisuse nõuetega kooskõlla viia.

NIS2 muudatuste ettepanekuga seotud seisukohad

1.9. Eesti toetab Euroopa digiidentiteedikukrute pakkujate ja Euroopa ettevõtluskukrute

pakkujate ning strateegilise kahesuguse kasutusega taristu omanike, haldajate ja käitajatena

kindlaks määratud üksuste kui ka merealuse andmeedastustaristu operaatorite lisandumist NIS2

kohaldamisalasse. Eesti toetab mikro- ja väikeettevõtjatest domeeninimede süsteemi teenuse

osutajate välja jätmist NIS2 kohaldamisalast.

1.10. Eesti toetab NIS2 tähenduses elutähtsate üksustega seotud lävendi muudatust, mille

kohaselt käsitatakse edaspidi elutähtsate üksustena NIS2 I lisas osutatud ettevõtjaid, kes

ületavad väikese keskmise turukapitalisatsiooniga ettevõtjate (VKTKE) ülemmäärasid.

1.11. Eesti leiab, et elutähtsad üksused, olulised üksused ja domeeninimede registreerimise

teenuse osutajad peavad esitama liikmesriigi pädevatele asutustele enda kohta käivat teavet

üksnes mahus, mis on eesmägipärane ja vajalik pädevate asutuste ülesannete täitmiseks. Samuti

peaksid pädevad asutused edastama samadest andmetest ENISAle üksnes need andmed, mis on

eesmärgipärased ja vajalikud ameti ülesannete täitmiseks. ENISA peetavat eelnimetatud

üksuste registrit puudutavad nõuded tuleb eelnõus täpsemalt reguleerida, tagades muu hulgas

selguse registri pidamises, sellele juurdepääsus, registri ja selles sisalduvate andmete kaitses,

andmete säilitamistähtaegades kui ka muudes asjakohastes korralduslikes aspektides.

1.12. Eesti toetab muudatust, mille kohaselt peavad liikmesriigid enda küberturvalisuse

strateegia osana võtma vastu postkvantkrüptograafiale üleminekuga seotud poliitikameetmeid.

1.13. Eesti toetab eelnõus küberturvalisuse riskijuhtimismeetmete tagamisega seotud nõuete

sõnastamist viisil, mis võimaldab liikmesriigil kehtestada riigispetsiifilisi

riskijuhtimismeetmete nõudeid ka nende üksuste suhtes, kes on hõlmatud Euroopa Komisjoni

samade nõuete alusel vastu võetud rakendusaktiga.

1.14. Eesti leiab, et NIS2 nõuete ning selle alusel antavate rakendusaktide täitmiseks peavad

olema ette nähtud konkreetsed üleminekuperioodid, kuna üleminekuperioode ei ole sätestatud

kehtivas NIS2s ega selle alusel antud rakendusaktis ning neid pole ka ette nähtud NIS2 muutvas

eelnõus. See on eriti oluline üksuste puhul, kes satuvad esmakordselt NIS2 või selle alusel antud

rakendusakti kohaldamisalasse. Üleminekuperioodid peavad olema sobilikud konkreetsete

nõuete olemuse ja keerukusega, näiteks võiks küberturvalisuse riskijuhtimismeetmetega seotud

nõuete rakendamise puhul kuni kolm aastat.

1.15. Eesti leiab, et liikmesriigi pädevale asutusele NIS2 tähenduses olulisest intsidendist

teavitamine peab toimuma nii, et varajase hoiatusega esitatakse kogu teave, mis on teavitamise

hetkel teada. Järgnevad teavitused, sealhulgas intsidenditeade ja vahearuanne, peavad

täiendama ja ajakohastama varajase hoiatusega esitatud teavet. Varajase hoiatuse

andmekoosseis peab tagama piisava paindlikkuse teavitajale, kuid samal ajal võimaldama

pädeval asutusel täita oma ülesandeid ning andma teavitavale üksusele aluse koostada

lõpparuanne lahendatud intsidendist. Teavitustega seotud andmeväljad peavad võimaldama

tagada ka teiste Euroopa Liidu õigusaktide alusel sama intsidendi kohta esitatavate teavituste

kohustuste täitmist.

1.16. Eesti leiab, et küberturvalisuse valdkonnas lunavararünnetega seotud intsidendist

teavitamise andmeväljade ning küberintsidentide käsitlemise üksustele või pädevale asutusele

täiendava selgituse küsimuse volituse lisamine dubleerib kehtivaid NIS2 nõudeid, mistõttu

tuleks vastavad muudatused eelnõust välja jätta.

1.17. Eesti toetab muudatust, mille kohaselt on võimalik küberturvalisuse sertifitseerimist

kasutada riskijuhtimismeetmete täitmise tõendamiseks. Eesti leiab, et seda lähenemist tuleks

rakendada ka teiste Euroopa Liidu õigusaktide puhul, mis käsitlevad küberturvalisuse

riskijuhtimismeetmete või turvameetmete täitmise tõendamist.

1.18. Eesti leiab, et NIS2 muudatuste ülevõtmise tähtaeg peab olema vähemalt 18 kuud.

Direktiivi ülevõtmise tähtaeg peab arvestama liikmesriikide õigusloomeprotsessiga ning

kaasneva haldus- ja töökoormusega.

2. Eesti esindajatel Euroopa Liidu Nõukogu erinevatel tasanditel väljendada ülaltoodud

seisukohti.

3. Riigikantseleil esitada punktis 1 nimetatud eelnõu ja seisukohad Riigikogu juhatusele ja teha

seisukohad teatavaks Eestis valitud Euroopa Parlamendi liikmetele ning Eestist nimetatud

Majandus- ja Sotsiaalkomitee ja Regioonide Komitee liikmetele.

Kristen Michael Keit Kasemets

peaminister riigisekretär

ET ET

EUROOPA KOMISJON

Strasbourg, 20.1.2026

COM(2026) 11 final

ANNEXES 1 to 3

LISAD

järgmise dokumendi juurde:

Ettepanek: Euroopa Parlamendi ja nõukogu määrus,

mis käsitleb Euroopa Liidu Küberturvalisuse Ametit (ENISA), Euroopa

küberturvalisuse sertifitseerimise raamistikku ja IKT tarneahela turvalisust ning

millega tunnistatakse kehtetuks määrus (EL) 2019/881 (küberturvalisuse 2. määrus)

{SEC(2026) 11 final} - {SWD(2026) 11 final} - {SWD(2026) 12 final}

ET 1 ET

I LISA

VASTAVUSHINDAMISASUTUSTE SUHTES KEHTIVAD NÕUDED

1. Vastavushindamisasutus peab olema asutatud liikmesriigi õiguse kohaselt ning

olema juriidiline isik.

2. Vastavushindamisasutus ei tohi olla suure riskiga tarnija.

3. Vastavushindamisasutus on kolmandast isikust asutus, kes on sõltumatu üksusest ja

IKT-tootest, -teenusest, -protsessist või hallatud turbeteenustest, mida ta hindab.

Asutust, mis kuulub ettevõtjate ühendusse või kutseliitu, mis esindab ettevõtjaid, kes

on seotud hinnatavate IKT-toodete, -teenuste ja -protsesside või hallatud

turbeteenuste projekteerimise, tootmise, tarnimise, monteerimise, kasutamise või

hooldamisega, võib käsitada sellise kolmandast isikust asutusena tingimusel, et on

tõendatud selle sõltumatus ja huvide konflikti puudumine.

4. Vastavushindamisasutus, selle kõrgem juhtkond ja vastavushindamisülesannete

täitmise eest vastutavad töötajad ei tohi olla hinnatavate IKT-toodete, -teenuste, -

protsesside, hallatud turbeteenuste või üksuste projekteerija, tootja, pakkuja,

paigaldaja, ostja, omanik, kasutaja, hooldaja ega ühegi nimetatud isiku volitatud

esindaja. See ei välista vastavushindamisasutuse tegevuseks vajalike hinnatavate

IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste kasutamist ega selliste

IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste kasutamist isiklikul

otstarbel.

5. Vastavushindamisasutus, selle kõrgem juhtkond ja vastavushindamisülesannete

täitmise eest vastutavad töötajad ei tohi olla otseselt seotud hinnatavate IKT-toodete,

-teenuste, -protsesside, hallatud turbeteenuste või üksuste projekteerimise, tootmise

või konstrueerimise, turustamise, paigaldamise, kasutamise või hooldamisega ega

esindada ühtegi isikut, kes nimetatud tegevusega tegeleb. Nad ei tohi osaleda üheski

tegevuses, mis võib olla vastuolus tehtavate otsuste sõltumatusega või

ausameelsusega nende vastavushindamistoimingutes. See kehtib eelkõige

nõustamisteenuste kohta.

6. Vastavushindamisasutused peavad tagama, et nende tütarettevõtjate ja

lepingupartnerite tegevus ei mõjuta vastavushindamistoimingute konfidentsiaalsust,

objektiivsust ega erapooletust.

7. Kui vastavushindamisasutus kuulub avaliku sektori üksusele või institutsioonile või

on selle hallatav asutus, tuleb tagada selle sõltumatus ning riikliku küberturvalisuse

sertifitseerimise asutuse ja vastavushindamisasutuse vahelise huvide konflikti

puudumine ning see dokumenteerida.

8. Vastavushindamisasutused ja nende töötajad teevad vastavushindamistoiminguid

suurima erialase kohusetunde ja konkreetses valdkonnas nõutava tehnilise

pädevusega, laskmata end mõjutada mis tahes surveavaldustel ja ahvatlustel

(eelkõige rahalistel), millel võib olla mõju nende otsustele või vastavushindamise

tulemustele, eriti isikute või isikute rühmade poolt, kes on huvitatud nimetatud

toimingute tulemustest.

9. Vastavushindamisasutus peab olema võimeline täitma kõiki talle käesoleva

määrusega pandud vastavushindamisülesandeid olenemata sellest, kas

vastavushindamisasutus täidab neid ülesandeid ise või neid täidetakse tema nimel ja

vastutusel. Alltöövõtt ja konsulteerimine asutuseväliste töötajatega peab olema

nõuetekohaselt dokumenteeritud ja ellu viidud ilma vahendajateta ning selle kohta

ET 2 ET

tuleb sõlmida kirjalik leping, milles käsitletakse muu hulgas konfidentsiaalsust ja

huvide konflikti küsimusi.

10. Vastavushindamisasutuse käsutuses peavad alati ja iga IKT-toodete, -teenuste, -

protsesside, hallatud turbeteenuste või üksuste liigi, kategooria või alamkategooria

ning iga vastavushindamismenetluse puhul olema järgmised vajalikud vahendid:

(a) töötajad, kellel on tehnilised teadmised ning piisav asjakohane kogemus

vastavushindamisülesannete täitmiseks;

(b) menetluste kirjeldused, mille kohaselt vastavushindamist tehakse ning mis

tagavad nende menetluste läbipaistvuse ja võimaluse neid korrata;

vastavushindamisasutusel peavad olema asjakohased tegevuspõhimõtted ja

menetlused, milles eristatakse ülesandeid, mida ta täidab artikli 93 kohaselt

teatatud vastavushindamisasutusena, ja muud tegevust;

(c) menetlused toimingute tegemiseks, mis võtavad asjakohaselt arvesse ettevõtja

suurust, tegutsemisvaldkonda, tema struktuuri, IKT-toote, -teenuse või -

protsessi tehnoloogia keerukuse astet ning seda, kas tegemist on mass- või

seeriatootmisega.

11. Vastavushindamisasutusel peavad olema vajalikud vahendid

vastavushindamistoimingute nõuetekohase teostamisega seotud tehniliste ja

haldusülesannete täitmiseks ning juurdepääs vajalikule varustusele ja vahenditele.

12. III jaotise kohaseid vastavushindamistoiminguid tehes ei kasuta ega paigalda

vastavushindamisasutus suure riskiga tarnijatelt saadud IKT-komponente ega IKT-

komponente sisaldavaid komponente artikli 102 kohaselt kindlaks tehtud peamistesse

IKT-varadesse ega integreeri neid sinna muul viisil.

13. Vastavushindamistoimingute teostamise eest vastutavatel töötajatel peavad olema:

(a) heal tasemel tehniline väljaõpe, mis hõlmab kõiki vastavushindamistoiminguid,

millega seoses vastavushindamisasutus on akrediteeritud ja asjakohasel juhul

loa saanud;

(b) piisavad teadmised nende tehtavate vastavushindamistoimingute nõuetest ning

piisav pädevus nimetatud hindamistoimingute läbiviimiseks;

(c) sobilikud teadmised ja arusaam kehtivatest nõuetest ja standarditest ning liidu

ühtlustamisõigusaktide ja nende rakendusaktide asjakohastest sätetest;

(d) oskus koostada sertifikaate, protokolle ja aruandeid, mis tõendavad

vastavushindamistoimingute läbiviimist.

14. Vastavushindamisasutused, nende kõrgem juhtkond, vastavushindamistoimingute

teostamise eest vastutavad töötajad ja alltöövõtjad peavad olema erapooletud.

15. Vastavushindamisasutuse kõrgema juhtkonna ja hindamispersonali tasu suurus ei

tohi sõltuda tehtud vastavushindamiste arvust ega nimetatud hindamiste tulemustest.

16. Vastavushindamisasutus peab sõlmima vastutuskindlustuslepingu, välja arvatud

juhul, kui vastutust kannab liikmesriigi õiguse kohaselt liikmesriik või kui

vastavushindamine on liikmesriigi enda otsene ülesanne.

17. Vastavushindamisasutuse töötajad peavad hoidma ametisaladust teabe osas, mis on

saadud käesoleva määruse või selle täitmise tagamiseks vastu võetud liikmesriigi

õigusaktide kohaselt täidetud ülesannete käigus, välja arvatud juhul, kui teabe

avalikustamine on nõutav selliste isikute suhtes kohaldatava liidu või liikmesriigi

ET 3 ET

õigusega, ja välja arvatud teabevahetus nende liikmesriikide pädevate asutustega, kus

nad tegutsevad. Omandiõiguste kaitse peab olema tagatud. Vastavushindamisasutusel

peavad olema käesoleva punkti täitmiseks kehtestatud dokumenteeritud menetlused.

18. Vastavushindamisasutus tegutseb vastavalt sidusatele, õiglastele,

proportsionaalsetele ja mõistlikele tingimustele, vältides ettevõtjate liigset

koormamist ja võttes tasude puhul arvesse mikro-, väikeste ja keskmise suurusega

ettevõtjate huve.

19. Sertifikaate väljaandev vastavushindamisasutus peab vastama asjakohase, määruse

(EÜ) nr 765/2008 artikli 2 punktis 9 määratletud harmoneeritud standardi nõuetele

IKT-toodete, -teenuste, -protsesside, hallatud turbeteenuste või üksuste turvaoleku

sertifitseerimist läbiviivate vastavushindamisasutuste akrediteerimiseks.

20. Hindamistoiminguid tegev vastavushindamisasutus peab vastama neid toiminguid

tegevate vastavushindamisasutuste akrediteerimist käsitlevate asjakohaste

harmoneeritud standardite nõuetele.

21. Kui vastavushindamisasutus kasutab vastavushindamisega seotud konkreetsete

ülesannete täitmiseks alltöövõtjat või tütarettevõtjat, siis peab ta tagama, et

alltöövõtja või tütarettevõtja vastab käesolevas lisas sätestatud nõuetele ja

asjakohasel juhul Euroopa küberturvalisuse sertifitseerimise kavas sätestatud lisa-

või erinõuetele. Vastavushindamisasutus teavitab sellest riiklikku küberturvalisuse

sertifitseerimise asutust.

22. Vastavushindamisasutus vastutab täielikult oma alltöövõtjate ja tütarettevõtjate

täidetud ülesannete eest, olenemata nende asukohast.

23. Vastavushindamisasutus võib alltöövõtjat või tütarettevõtjat kasutada ainult tootja

või pakkuja nõusolekul.

24. Vastavushindamisasutus hoiab riiklikule küberturvalisuse sertifitseerimise asutusele

esitamiseks alles dokumente alltöövõtja või tütarettevõtja kvalifikatsiooni hindamise

kohta ja nende poolt käesoleva määruse kohaselt tehtud tööde kohta.

ET 4 ET

II LISA

Elektroonilise side mobiili- ja püsivõrkude peamised IKT-varad

Elutähtis taristu Olulised IKT-varad

1. Elektroonilise side 5G

võrgud (mitteeraldiseisvad ja

eraldiseisvad)

Mobiilivõrkude tuumikvõrgu funktsioonid

Võrgufunktsioonide virtualiseerimine (NFV) ning

haldamine ja võrgu orkestreerimine (MANO)

Raadio juurdepääsuvõrk

2. Elektroonilise side

püsivõrgud

Elektroonilise side püsivõrkude tuumikvõrgu funktsioonid

Võrguhaldussüsteem

Edastus- ja ülekandevõrk

Juurdepääsuvõrk

3. Elektroonilise side

satelliitvõrgud

Elektroonilise side satelliitvõrkude tuumvõrk

Võrguhaldussüsteem

Kaugjuhtimist/telemeetriat kaitsvad krüptovahendid

Maapealsed jaamad ja täiendavad maapealsed jaamad

ET 5 ET

III LISA

VASTAVUSTABEL

Määrus (EL) 2019/881 Käesolev määrus

Artikli 1 lõige 1 Artikli 1 lõige 1

Artikli 1 lõike 1 teine lõik Artikli 1 lõige 2

Artikli 1 lõige 2 Artikli 1 lõige 4

Artikkel 2 Artikkel 2

Artikkel 3 Artikkel 3

Artikkel 4 Artikkel 4

Artikkel 5 Artikkel 5

Artikkel 6 Artikkel 6

Artikli 7 lõige 1 Artikli 10 lõige 1

Artikli 7 lõige 2 Artikli 68 lõiked 1 ja 2

Artikli 7 lõige 3 Artikli 10 lõige 2

Artikli 7 lõike 4 esimese lõigu punktid a–d Artikli 10 lõige 4

Artikli 7 lõike 4 teine lõik Artikli 68 lõige 3

Artikli 7 lõige 5 Artikli 14 lõiked 3–5

Artikli 7 lõige 6 Artikli 11 lõike 1 punkt f ja lõige 5

Artikli 7 lõige 7 Artikkel 11, artikli 10 lõige 5

Artikli 8 lõige 1 Artikli 17 lõiked 1 ja 2

Artikli 8 lõige 2 –

Artikli 8 lõige 3 –

Artikli 8 lõige 4 Artikli 17 lõike 1 punkt d

Artikli 8 lõige 5 Artikli 18 lõige 6

Artikli 8 lõige 6 Artikli 18 lõige 4

Artikli 8 lõige 7 Artikkel 8

ET 6 ET

Artikli 9 punkt a Artikli 11 lõike 2 punkt a

Artikli 9 punkt b Artikli 11 lõike 2 punkt c

Artikli 9 punkt c Artikli 5 lõike 1 punkt a

Artikli 9 punkt d –

Artikli 9 punkt e –

Artikkel 10 Artikkel 7

Artikkel 11 –

Artikkel 12 Artikkel 9

Artikkel 13 Artikkel 24

Artikkel 14 Artikkel 25

Artikkel 15 Artikkel 28

Artikkel 16 Artikkel 26

Artikkel 17 Artikkel 27

Artikkel 18 Artikkel 29

Artikkel 19 Artikkel 30

Artikkel 20 Artikkel 32

Artikkel 21 Artikkel 35

Artikkel 22 –

Artikkel 23 –

Artikkel 24 Artikkel 44

Artikkel 25 Artikkel 52

Artikkel 26 Artikkel 53

Artikkel 27 Artikkel 54

Artikkel 28 Artikkel 55

Artikkel 29 Artikkel 45

Artikkel 30 Artikkel 46

ET 7 ET

Artikkel 31 Artikkel 48

Artikkel 32 Artikkel 50

Artikkel 33 Artikkel 51

Artikkel 34 Artikkel 56

Artikkel 35 Artikkel 57

Artikkel 36 Artikkel 31

Artikkel 37 Artikkel 59

Artikkel 38 Artikkel 60

Artikkel 39 Artikkel 64

Artikkel 40 Artikkel 65

Artikkel 41 Artikkel 66

Artikli 42 lõige 1 Artikli 70 lõige 1

Artikli 42 lõige 2 Artikli 70 lõige 4

Artikli 42 lõige 3 Artikli 70 lõige 2

Artikkel 43 Artikkel 67

Artikkel 44 Artikkel 62

Artikkel 45 Artikkel 63

Artikli 46 lõiked 1 ja 2 Artikli 71 lõiked 1 ja 2

Artikkel 47 –

Artikkel 48 Artikli 73 lõiked 1 ja 2

Artikli 49 lõige 1 Artikli 74 lõige 1

Artikli 49 lõige 2 –

Artikli 49 lõige 3 Artikli 74 lõige 4

Artikli 49 lõige 4 Artikli 74 lõige 2

Artikli 49 lõige 5 Artikli 74 lõige 3

Artikli 49 lõige 6 Artikli 74 lõige 5

ET 8 ET

Artikli 49 lõige 7 Artikli 74 lõige 9

Artikli 49 lõige 8 Artikli 76 lõige 1

Artikli 49a lõiked 1–3 Artikli 72 lõiked 3–5

Artikli 49a lõige 4 –

Artikkel 50 Artikli 79 lõiked 1 ja 3

Artiklid 51 ja 51a Artikli 80 lõige 1

Artikkel 52 Artikli 82 lõiked 1–7 ja 9

Artikkel 53 Artikkel 83

Artikli 54 lõiked 1 ja 2 Artikli 81 lõiked 1–4

Artikli 54 lõiked 3 ja 4 Artikli 78 lõiked 1 ja 3

Artikli 55 lõige 1 Artikli 84 lõiked 1 ja 2

Artikli 55 lõige 2 Artikli 84 lõige 3

Artikli 56 lõige 1 Artikli 85 lõige 1

Artikli 56 lõige 2 Artikli 71 lõige 3

Artikli 56 lõige 3 –

Artikli 56 lõige 4 Artikli 85 lõige 2

Artikli 56 lõiked 5–9 Artikli 84 lõiked 3, 4, 6, 8 ja 9

Artikli 56 lõige 10 Artikli 71 lõige 4

Artikkel 57 Artikli 86 lõiked 1–4

Artikkel 58 Artikkel 88

Artikkel 59 Artikkel 89

Artikli 60 lõiked 1, 2 ja 4 Artikli 91 lõiked 1–3

Artikli 60 lõige 3 Artikli 92 lõige 1

Artikli 61 lõige 1 Artikli 93 lõige 1

Artikli 61 lõiked 2–4 –

Artikli 61 lõige 5 Artikli 93 lõige 3

ET 9 ET

Artikli 62 lõiked 1, 2, 4 ja 5 Artikli 90 lõiked 1–4

Artikli 62 lõige 3 –

Artiklid 63 ja 64 Artikkel 96

Artikkel 65 Artikkel 97

Artikkel 66 Artikkel 118

Artikkel 67 Artikkel 120

Artikkel 68 Artikkel 121

Artikkel 69 Artikkel 122

ET ET

EUROOPA KOMISJON

Strasbourg, 20.1.2026

COM(2026) 11 final

2026/0011 (COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS,

mis käsitleb Euroopa Liidu Küberturvalisuse Ametit (ENISA), Euroopa

küberturvalisuse sertifitseerimise raamistikku ja IKT tarneahela turvalisust ning

millega tunnistatakse kehtetuks määrus (EL) 2019/881 (küberturvalisuse 2. määrus)

{SEC(2026) 11 final} - {SWD(2026) 11 final} - {SWD(2026) 12 final}

(EMPs kohaldatav tekst)

ET 1 ET

SELETUSKIRI

1. ETTEPANEKU TAUST

• Ettepaneku põhjused ja eesmärgid

Alates küberturvalisuse määruse vastuvõtmisest 2019. aastal on küberohtude pilt üha

keerukamas geopoliitilises olukorras märkimisväärselt muutunud1. Elutähtsa taristu,

ettevõtjate ja üldsuse vastu suunatud küberründed, eelkõige lunavararünded, on järsult

sagenenud ja muutunud keerukamaks2. Kujunemisjärgus tehnoloogiad, nagu tehisintellekt ja

kvantarvutus, kujundavad ümber kaitsevahendeid ja vastaste taktikat. Mario Draghi rõhutas

oma 2024. aasta aruandes „Euroopa konkurentsivõime tulevik“, et vajadus suurendada

turvalisust ja vähendada sõltuvust on üks peamine valdkond, millega tuleb Euroopa Liidus

tegeleda3. Nii ELi kriisivalmiduse strateegias4 kui ka Euroopa sisejulgeoleku strateegias

(ProtectEU)5 on küberturvalisus seatud liidu vastupanuvõime suurendamise tegevuskava

keskmesse. Neis strateegiates tunnistatakse, et püsivad küberohud ei ole pelgalt tehnilised

probleemid, vaid ka strateegilised riskid meie demokraatiale, majandusele ja eluviisile.

Samamoodi peetakse teatises ELi majandusjulgeoleku tugevdamise kohta6 esmatähtsateks

eesmärkideks juurdepääsu takistamist tundlikule teabele ja andmetele, mis võib kahjustada

ELi majandusjulgeolekut, ning ELi majandust mõjutavate elutähtsa taristu häirete ennetamist

ja leevendamist, milles on oluline koht tulemuslikel küberturvalisuse meetmetel.

Seda arvesse võttes püütakse küberturvalisuse määruse kavandatud läbivaatamisega

lahendada neli peamist probleemi: i) ebakõla liidu küberturvalisuse poliitikaraamistiku ja

sidusrühmade vajaduste vahel üha vaenulikumal ohumaastikul; ii) Euroopa küberturvalisuse

sertifitseerimise raamistiku rakendamise takerdumine; iii) liidu turvaolekut mõjutavate

küberturvalisusega seotud poliitikameetmete keerukus ja mitmekesisus ning iv) suurenevad

turvariskid IKT tarneahelates.

Kindlakstehtud peamisi probleeme arvesse võttes on sekkumise kaks üldeesmärki

suurendada küberturvalisuse alast suutlikkust ja kerksust ning vältida killustumist kogu ühtsel

turul,

 aidates tugevdada küberturvalisuse juhtimist liidus ning aidates tagada, et

asjaomased institutsioonid, asutused ja muud sidusrühmad on paremini ette

valmistatud, et koordineeritud viisil ja tõhusalt ennetada ja avastada küberohte ja

neile reageerida, ning

 toetades liidu ühiste küberturvalisuse vahendite, näiteks sertifitseerimiskavade

väljatöötamist, rakendamist ja kasutuselevõttu ning luues ühtlustatud raamistikud,

mis suurendavad usaldust ja koostalitlusvõimet kõigis liikmesriikides.

1 ENISA, ENISA ohtude kaardistamise aruanne 2024, https://www.enisa.europa.eu/publications/enisa-

threat-landscape-2024. 2 ENISA, ENISA ohtude kaardistamise aruanne 2025. 3 Euroopa Komisjon, „The future of European Competitiveness“ (Euroopa konkurentsivõime tulevik),

https://commission.europa.eu/document/download/97e481fd-2dc3-412d-be4c-

f152a8232961_en?filename=The%20future%20of%20European%20competitiveness%20_%20A%20c

ompetitiveness%20strategy%20for%20Europe.pdf. 4 JOIN(2025) 130 final. 5 COM(2025) 148 final. 6 JOIN(2025) 977 final.

ET 2 ET

Need üldeesmärgid on vastus probleemi püstituses nimetatud peamistele probleemidele. Need

kajastavad üldist poliitilist eesmärki tugevdada liidus küberturvalisuse juhtimist ning toetada

turvalise, vastupidava ja konkurentsivõimelise digitaalse ühtse turu arengut.

Selleks et aidata saavutada eespool nimetatud üldeesmärgid, taotletakse sekkumisega järgmisi

erieesmärke:

 et kaotada ebakõla liidu küberturvalisuse poliitikaraamistiku ja sidusrühmade

vajaduste vahel:

 1. erieesmärk: luua suutlikkus küberturvalisuse alaste liidu poliitikameetmete

tulemuslikuks rakendamiseks ja pidevaks operatiivkoostööks, mis võimaldab

struktureeritumat koostööd liikmesriikide vahel;

 2. erieesmärk: töötada välja ja võtta kasutusele vahendid ja mehhanismid, et

liikmesriike, tööstust ja muid sidusrühmi tulemuslikult toetada ning rahuldada

nende vajadusi;

 et lahendada Euroopa küberturvalisuse sertifitseerimise raamistiku piiratud

kasutamise ja tulemuslikkuse probleem:

 3. erieesmärk: luua eeltingimused turuvajadustest lähtuvate küberturvalisuse

sertifitseerimise kavade kiiremaks elluviimiseks, laiendades Euroopa

küberturvalisuse sertifitseerimise raamistiku kohaldamisala, tagades tõhusa

haldamise ja paindlikud menetlused ning suurendades läbipaistvust;

 et vähendada killustatust nõuete täitmisel ning horisontaalsete ja valdkondlike

raamistike keerukust:

 4. erieesmärk: luua mehhanismid ja tingimused, et hõlbustada küberturvalisuse

nõuete täitmist, muutes seeläbi nende rakendamise sidusamaks ja

tulemuslikumaks;

 et vähendada küberriske tarneahelas:

 5. erieesmärk: vähendada riske kriitilise tähtsusega IKT tarneahelates, mis

saavad alguse küberturvalisuse seisukohast muret tekitavates kolmandates

riikides asutatud või sealt pärit üksuste kontrolli all olevatest üksustest (suure

riskiga tarnijad), ning vähendada kriitilist sõltuvust, töötades ELi tasandil välja

sidusa ja tulemusliku raamistiku IKT tarneahelates esinevate turvariskidega

käsitlemiseks.

Küberturvalisuse määruse läbivaatamine on osa õigusloome kvaliteedi ja tulemuslikkuse

programmist. See aitab olulisel määral suurendada selgust, kaotada ebatõhusust ja ühtlustada

menetlusi eri õigusraamistikes. Küberturvalisuse määruse läbivaatamine aitab kaasa siseturu

nõuetekohasele toimimisele, tagades samal ajal liidu julgeoleku ja strateegilise autonoomia.

Konkreetsemalt hõlmab see ettepanekut täielikult reformida Euroopa Liidu Küberturvalisuse

Ameti (ENISA) volitused, et pakkuda tõhusat tuge poliitika rakendamisel ja lisaväärtust, mis

seisneb liikmesriikidevahelise operatiivkoostöö toetamises.

Arvestades liidu ees seisvate küberriskide ja probleemide kasvu, on ettepaneku eesmärk

suurendada ENISA finants- ja inimressursse, et need vastaksid ENISA ulatuslikumale rollile,

ET 3 ET

ülesannetele ja kriitilise tähtsusega positsioonile liidu digitaalse ökosüsteemi kaitsmisel ja

võimaldaksid ENISA-l tulemuslikult täita talle käesoleva ettepanekuga pandud ülesandeid.

Läbivaatamine aitab ka vähendada tavade killustatust ja parandada koordineerimist,

vähendades samal ajal pikas perspektiivis nõuete täitmise ja tegevuskulusid. Kehtiva

küberturvalisuse määruse kehtetuks tunnistamisega ja reformitud Euroopa küberturvalisuse

sertifitseerimise raamistiku kehtestamisega luuakse tulemuslikum ja tõhusam vahend, mis nii

kasvatab usaldust ettevõtjate, üldsuse ja avaliku sektori asutuste seas kui ka lihtsustab

asjakohaste liidu õigusaktide järgimist. Ettepanekuga suurendatakse tõhusust, vaadates läbi

juhtimismudeli ning toetades prognoositavamaid, sidusamaid ja kiiremaid

sertifitseerimismenetlusi, et kavu saaks kiiremini välja töötada ja rakendada .

Suurem koostoime asjakohaste kehtivate liidu õigusraamistikega edendab sertifitseerimist kui

nõuetelevastavuse kinnitamise vahendit ettevõtjate jaoks ja vähendab mitme küberturvalisust

käsitleva õigusakti alusel tegutsevate vastavushindamisasutuste halduskoormust. Euroopa

küberturvalisuse sertifitseerimise raamistiku kohaldamisala laiendamise ja üksuste turvaoleku

kava koostamise võimaldamise kaudu vähendatakse ettepanekuga nõuete täitmisega seotud

kulusid üksuste jaoks, kelle suhtes kohaldatakse asjakohaseid küberturvalisust käsitlevaid

liidu õigusakte, alustades küberturvalisuse 2. direktiivi kohaldamisalasse kuuluvatest

üksustest. See lähenemisviis lihtsustab märkimisväärselt nende üksuste seadusest tulenevaid

kohustusi, kelle suhtes kohaldatakse mitmeid vastavusnõudeid, ja tagab vahendite tõhusama

kasutamise riiklikes asutustes. Lisaks käesolevale läbivaatamisele püütakse küberturvalisuse

2. direktiivi sihipäraste muudatuste tegemise direktiivi ettepanekuga, lihtsustada

küberturvalisuse sertifitseerimise raamistiku konkreetsete aspektide järgimist ning tagada

nende ühtlustatud ja sidus rakendamine, muuhulgas seoses kohaldamisala, määratluste,

lunavarast teatamise ja piiriüleseid teenuseid osutavate üksuste järelevalvega.

Uue määrusega luuakse ka ühtlustatud raamistik IKT tarneahelaid mõjutavate mittetehniliste

riskidega tegelemiseks, et vähendada liikmesriikide lähenemisviiside praegust killustatust.

See kõik kokku tähendab liidu küberturvalisuse õigusraamistiku märkimisväärset

lihtsustamist ja ajakohastamist, mis on täielikult kooskõlas õigusloome kvaliteedi ja

tulemuslikkuse programmis sätestatud selguse, tõhususe ja digivalmiduse põhimõttega.

• Kooskõla poliitikavaldkonnas praegu kehtivate õigusnormidega

Liit on laiendanud oma õiguslikke ja poliitilisi vahendeid, võttes vastu mitu õigusakti ja

poliitikameedet: i) küberturvalisuse 2. direktiivi eesmärk on tugevdada elutähtsa taristu

küberturvalisust; ii) selle nn sõsardirektiivis, elutähtsa teenuse osutajate toimepidevuse

direktiivis, on määratletud füüsilise turvalisuse meetmed; iii) küberkerksuse määrusega

suurendatakse toodete küberturvalisust; iv) kübersolidaarsuse määrusega parandatakse kogu

ELis reageerimissuutlikkust; v) ELi kübervaldkonna tegevuskavaga7 toetatakse ELi tasandi

koostööd kriisiohje valdkonnas, kus komisjonil ja kõrgel esindajal on oluline roll ulatuslikeks

küberintsidentideks valmistumisel ja neile reageerimisel; vi) 5G küberturvalisuse

meetmepaketiga toetatakse 5G-võrkude küberturvalisust; vii) Euroopa haiglate ja

tervishoiuteenuste osutajate küberturvalisuse tegevuskava8 aitab parandada haiglate ja

7 COM(2025) 66 final. 8 COM(2025) 10 final.

ET 4 ET

teenuseosutajate küberturvalisust ning viii) küberturbeoskuste akadeemia9 kaudu lahendatakse

üha suuremat küberturvalisuse valdkonna talendinappuse probleemi.

Eespool kirjeldatud küberturvalisuse õigusraamistikku on täiendatud valdkondlike

õigusaktidega, nagu digitaalse tegevuskerksuse määrus (DORA määrus) finantssektori jaoks,

võrgueeskiri piiriüleste elektrivoogude küberturvalisust käsitlevate sektoripõhiste normide

kohta elektri allsektori jaoks ning infoturbe eeskirjad10 lennutranspordi allsektori jaoks.

Küberturvalisuse määruse läbivaatamine on kooskõlas küberturvalisuse 2. direktiiviga ja

tugevdab selle sätteid selles osas, mis puudutab ENISA toetavat rolli direktiivi rakendamisel,

sh operatiivkoostöö toetamisel. Läbivaatamine on kooskõlas ka küberkerksuse määrusega,

muu hulgas selles osas, mis puudutab ülevaadet siseturu nõrkustest ja nende nõrkuste

haldamist, ning suurendab ühise olukorrateadlikkuse lisaväärtust. Euroopa küberturvalisuse

sertifitseerimise raamistiku osas on küberkerksuse määruse läbivaatamine kooskõlas

küberkerksuse määrusega, mis puudutab toodete turvalisuse eesmärke ja nõrkuste käsitlemist,

ning akrediteerimist käsitleva uue õigusraamistikuga. Peale selle on olemas tugev koostoime,

mis tuleneb turvaoleku sertifitseerimise väljatöötamisest küberturvalisuse 2. direktiivi jaoks

ning võimalik et ka selle jaoks, et hõlbustada muude asjakohaste liidu õigusaktide, näiteks

isikuandmete kaitse üldmääruse järgimist, ilma et see piiraks neis õigusaktides sätestatud

sertifitseerimisnõuete kohaldamist. Samuti toetab horisontaalne raamistik, mis käsitleb IKT

tarneahelates esinevaid küberriske, küberturvalisuse 2. direktiivi üldeesmärki saavutada

küberturvalisuse ühtlaselt kõrge tase kogu liidus ning tugineb selle direktiivi riskipõhisele

lähenemisviisile.

Lisaks tagab küberturvalisuse määruse läbivaatamine koos küberturvalisuse 2. direktiivi

sihipäraste muudatuste tegemise direktiivi ettepanekuga vajalikud vahendid, et suurendada

selle tervikliku raamistiku tulemuslikkust ja tõhusust oodatavate tulemuste saavutamisel,

tagada tugevam Euroopa mõõde ja täita allesjäänud regulatiivsed lüngad.

• Kooskõla muude liidu tegevuspõhimõtetega

Küberturvalisuse määruse läbivaatamine täiendaks elutähtsa teenuse osutajate toimepidevuse

direktiivi, mis hõlmab tarneahelaga seotud kaalutlusi kui osa elutähtsa teenuse osutajate

toimepidevusmeetmetest. Peale selle täiendaks läbivaatamine tulevasi algatusi, nagu i) ELi

pilvandmetöötluse ja tehisintellekti arendamise õigusakt, mille üks eesmärke on tegeleda

probleemiga, et liidus ei pakuta piisavas ulatuses konkurentsivõimelisi

pilvandmetöötlusteenuseid, et rahuldada eriti kriitilise tähtsusega kasutusjuhtude või sektorite

vajadusi; ii) digivõrkude õigusakti ettepanek; iii) määruse (EL) 2023/178111 eelseisev

läbivaatamine; iv) riigihangete raamistik,12 mida praegu hinnatakse,13 ning ettepanek võtta

vastu määrus digivaldkonna õigusaktide lihtsustamise kohta (digivaldkonna koondpakett),14

9 COM(2023) 207 final. 10 Komisjoni rakendusmäärus (EL) 2023/203 ja komisjoni delegeeritud määrus (EL) 2022/1645. 11 Euroopa Parlamendi ja nõukogu 13. septembri 2023. aasta määrus (EL) 2023/1781, millega

kehtestatakse meetmete raamistik Euroopa pooljuhiökosüsteemi tugevdamiseks ja muudetakse määrust

(EL) 2021/694 (kiibimäärus) (ELT L 229, 18.9.2023, lk 1–53). 12 Eelkõige direktiivid 2014/23/EL, 2014/24/EL ja 2014/25/EL. 13 Euroopa Komisjon, „Commission launches call for evidence and public consultation on the evaluation

of the Public Procurement Directives“ (Komisjon kuulutab välja tagasisidekorje ja avaliku

konsultatsiooni seoses riigihankedirektiivide hindamisega), https://single-market-

economy.ec.europa.eu/news/commission-launches-call-evidence-and-public-consultation-evaluation-

public-procurement-directives-2024-12-13_en. 14 COM(2025) 837 final.

ET 5 ET

milles on sätestatud ENISA kohustus luua intsidentidest teatamiseks ühtne kontaktpunkt, mis

võimaldab üksustel samaaegselt täita mitme õigusakti kohaseid intsidentidest teatamise

kohustusi. Lisaks tugevdaks läbivaatamine liidu ametiasutuste ja ettevõtjate positsiooni

suhtlemisel Vahemere lõunapiirkonna partneritega, eelkõige parandades kogu Vahemere

piirkonnas ühendatust turvaliste ja usaldusväärsete digitaristute kaudu, mis on üks Vahemere

pakti põhieesmärke.

Küberturvalisuse määruse läbivaatamine on kooskõlas ka liidu strateegiliste dokumentidega,

eelkõige mis puudutab IKT tarneahela turvalisuse raamistikku. Komisjon on strateegias

ProtectEU märkinud, et ühtlustatud lähenemisviis IKT tarneahela turvalisusele võib

vähendada siseturu praegust killustatust, mille on põhjustanud erinevad lähenemisviisid

riikide tasandil, aidata vältida kriitilist sõltuvust ja muuta IKT tarneahelad suure riskiga

tarnijate osas riskikindlamaks, kindlustades seeläbi elutähtsat taristut. Majandusjulgeoleku

strateegias on samuti rõhutatud vajadust suurendada ELi majanduse ja tarneahelate

vastupanuvõimet, et edendada ELi konkurentsivõimet15. Vajadust käsitleda häireid

tarneahelates ja küberründeid on rõhutatud ka ELi kriisivalmiduse strateegias ja valges

raamatus Euroopa kaitse tuleviku kohta16. Küberturvalisuse määruse läbivaatamine on

kooskõlas ka Mario Draghi aruandega Euroopa konkurentsivõime tuleviku kohta, nagu on

märgitud eespool. Ja veel, küberturvalisuse määruse läbivaatamine IKT tarneahela turvalisuse

osas on kooskõlas hiljuti vastu võetud ühisteatisega Euroopa Parlamendile ja nõukogule ELi

majandusjulgeoleku tugevdamise kohta17.

2. ÕIGUSLIK ALUS, SUBSIDIAARSUS JA PROPORTSIONAALSUS

• Õiguslik alus

Käesoleva ettepaneku õiguslik alus on Euroopa Liidu toimimise lepingu (edaspidi „ELi

toimimise leping“) artikkel 114. ELi toimimise lepingu artikliga 114 on ette nähtud meetmete

võtmine, et tagada siseturu loomine ja toimimine. Selle sätte alusel on vastu võetud ka määrus

(EL) 2019/881, mis käsitleb ENISAt ning info- ja kommunikatsioonitehnoloogia

küberturvalisuse sertifitseerimist,18 tuntud kui küberturvalisuse määrus.

IKT tarneahela küberturvalisuse valdkonnas avaldab siseturu toimimisele kahjulikku mõju

mittetehnilisi riskitegureid käsitlevate riiklike raamistike killustatus, kuna erinevused riiklikes

lähenemisviisides võivad lõppkokkuvõttes suurendada mõne liikmesriigi haavatavust, millel

võib olla üldist vastupanuvõimet ja ka usaldusväärsust kahjustav ülekanduv mõju kogu liidus.

Võttes arvesse küberohtude muutuvat olemust ja liikmesriikide digisüsteemide üha suuremat

vastastikust sõltuvust, on ELi toimimise lepingu artikkel 114 jätkuvalt põhjendatud õiguslik

alus küberturvalisuse määruse läbivaatamiseks. Kavandatud määrus kajastab viimaseid

arengusuundumusi küberturvalisuse õigusmaastikul, eriti pidades silmas ENISA suurenevaid

kohustusi ning sertifitseerimise ja riskijuhtimise ulatuse laienemist.

15 JOIN(2023) 20 final. 16 JOIN(2025) 120 final. 17 JOIN(2025) 977 final. 18 Määrus – 2019/881 – ET – EUR-Lex.

ET 6 ET

• Subsidiaarsus (ainupädevusse mittekuuluva valdkonna puhul)

Subsidiaarsuse põhimõtte kohaselt tuleb hinnata liidu meetme vajalikkust ja lisaväärtust.

Subsidiaarsuse põhimõtte järgimist selles valdkonnas tunnistati juba kehtiva küberturvalisuse

määruse vastuvõtmisel.

Nagu leiti küberturvalisuse määruse puhul, on liidu sekkumine väga oluline, kuna küberohud

ja nendega seotud probleemid ulatuvad üksikutest liikmesriikidest kaugemale. Killustatud

riiklikud lahendused on osutunud ebapiisavaks, et saavutada usaldus ja koordineerimine kogu

turul. Selleks et kõrvaldada tõkked, tagada järjekindel rakendamine ja toetada liikmesriike üha

keerukamas regulatiivses ja ohukeskkonnas on vaja läbivaadatud liidu õigusraamistikku.

Küberturvalisus on liidule ühist huvi pakkuv küsimus.

Kavandatud määrusega hõlmatud meetmed pakuvad selget lisaväärtust, toetades ühtlustamist,

õigusselgust ja koordineeritud reageerimist küberturvalisusega seotud probleemidele.

ENISA ülesandeid on hiljem vastu võetud õigusaktidega laiendatud, ilma et oleks põhjalikult

läbi vaadatud ameti põhikohustusi ja vahendeid. See on tekitanud ebatõhusust ja toonud kaasa

selle, et liikmesriikide toetamisega seotud põhiülesandeid pole peetud piisavalt prioriteetseks.

Seepärast püütakse sekkumisettepanekuga ENISA praeguseid ülesandeid täpsustada ja

prioriseerida, et tugevdada ENISA volitusi, võimaldades tal tegutseda liidu tasandi ühtse

küberturvalisuse eksperdikeskusena. Selles küsimuses ei ole subsidiaarsuse vaatenurgast

märkimisväärseid erinevusi võrreldes küberturvalisuse määrusega. Lisaks põhjustavad

liikmesriikide erinevad sertifitseerimiskavad ja regulatiivsed lähenemisviisid turu killustatust

ja täiendavat nõuete täitmisega seotud koormust, mis kahjustab konkurentsivõimet.

Ettepanekuga nähakse ette ka uued meetmed seoses tarneahela poliitika ja

lihtsustamispüüdlustega liidu tasandil. Sellega tugevdatakse veelgi tarneahela turvalisust ja

küberturvalisuse sektorit liidus ning suurendatakse liikmesriikide ja tööstusharu valmisolekut

ja vastupanuvõimet.

Sõltuvus üksustest, mis on asutatud küberturvalisuse seisukohast muret tekitavates

kolmandates riikides või mida sellised kolmandad riigid, neis asutatud üksused või nende

kodanikud kontrollivad (suure riskiga tarnijad), mõjutab üksusi kogu liidus, kuna tarneahelas

aset leidvad olulised küberintsidendid levivad sageli üle riigipiiride. Lisaks, võttes arvesse

IKT tarneahelate piiriülest olemust, kahjustab vastavusnõuete killustatus siseturul üksuste

õiguskindlust. Peale selle on mitmeaastast finantsraamistikku käsitlevate ettepanekutega ette

nähtud suure riskiga tarnijate väljajätmine, et kaitsta ELi eelarve terviklikkust ja

julgeolekuhuve. Kavandatud määruses sisalduv tarneahela raamistik hõlmab mehhanismi, et

selgitada välja küberturvalisuse seisukohast muret tekitavad riigid, mida saab tulemuslikult

teha vaid ELi tasandil. Mis puudutab IKT tarneahela turvalisust, siis ühesuguse minimaalse

turvalisuse taseme kogu liidus ja lähenemisviiside vajaliku ühtlustamise tagab vaid ELi

tasandi sekkumine.

Läbivaatamisel säilitatakse kehtiva küberturvalisuse määruse eesmärk ja seda tugevdatakse

veelgi. Liikmesriigid ei suuda seda eesmärki piisavalt saavutada, küll aga saab seda saavutada

liidu tasandil kooskõlas Euroopa Liidu lepingu artikliga 5.

• Proportsionaalsus

Kavandatud meetmed ei lähe ettepaneku poliitikaeesmärkide saavutamiseks vajalikust

kaugemale. Liidu sekkumise ulatus ei takista täiendavate riiklike meetmete võtmist riikliku

ET 7 ET

julgeoleku valdkonnas. Seega on liidu meede subsidiaarsuse ja proportsionaalsuse seisukohast

põhjendatud.

Ettepaneku eesmärk on kajastada õiguslikult paremini ENISA volitusi ning Euroopa

küberturvalisuse sertifikaatide väljatöötamise, vastuvõtmise ja haldamise protsessi. Kuigi

ettepanek sisaldab ENISA jaoks teatavaid uusi ülesandeid, on nende eesmärk toetada

liikmesriike valdkondades, kus on kindlaks tehtud märkimisväärsed lüngad. ENISA ei asenda

liikmesriikide küberintsidentidele reageerimise üksuseid (CSIRT). Mis puudutab Euroopa

küberturvalisuse sertifitseerimise raamistikku, siis sertifitseerimine jääb vabatahtlikuks ja see

võib aidata üksustel tõendada vastavust liidu küberturvalisuse nõuetele. Selline lähenemisviis

tagab proportsionaalsuse põhimõtte järgimise.

Mis puudutab lahendusi, mis on kavandatud seoses IKT tarneahela turvalisusega, siis

raamistikus nähakse ette tõendite kogumine selle kohta, mis on olulised varad ning millised

meetmed oleksid proportsionaalsed ja vajalikud, et vähendada riske kriitilise tähtsusega

tarneahelates. Enne nende meetmete kindlaksmääramist tehakse majandusliku mõju

hindamine, mille raames vaadeldakse muu hulgas majanduslikku teostatavust, turul

kättesaadavaid alternatiive ja konkreetsete toodete elutsüklit. See hindamine võimaldab saada

teavet selle kohta, millised riskipõhised meetmed on vajalikud ja kõige asjakohasemad.

• Vahendi valik

Käesoleva ettepanekuga vaadatakse läbi määrus (EL) 2019/881, milles on sätestatud ENISA

praegused volitused ja ülesanded ning Euroopa küberturvalisuse sertifitseerimise raamistik.

Seetõttu on kõige parem kehtestada ENISA läbivaadatud volitused ja Euroopa

küberturvalisuse sertifitseerimise raamistiku muudatused, kasutades sama õiguslikku

vahendit, st määrust. Kavandatud õigusakt hõlmab ka tõhusat ELi tasandi raamistikku IKT

tarneahela turvariskide käsitlemiseks, mille puhul kindlakstehtud probleemide lahendamise ja

sõnastatud eesmärkide saavutamise jaoks oles määrus tulemuslikum, kuna vaid ELi tasandi

sekkumine tagab ühesuguse turvalisuse taseme kogu liidus ja lähenemisviiside vajaliku

ühtlustamise. Sellise sekkumise jaoks direktiivi kasutamise korral võib ülevõtmisprotsessis

olla riigi tasandil liiga palju kaalutlusruumi, mis võib põhjustada teatavate oluliste

küberturvalisuse nõuete ebaühtlust, õiguskindlusetust, täiendavat killustumist või isegi

diskrimineerivaid piiriüleseid olukordi.

3. JÄRELHINDAMISE, SIDUSRÜHMADEGA KONSULTEERIMISE JA MÕJU

HINDAMISE TULEMUSED

• Praegu kehtivate õigusaktide järelhindamine või toimivuse kontroll

Euroopa Komisjon hindas kooskõlas määruse (EL) 2019/881 artikliga 67 ENISA ja Euroopa

küberturvalisuse sertifitseerimise raamistiku asjakohasust, mõju, tulemuslikkust, tõhusust,

sidusust ja lisaväärtust, võttes arvesse muutuvat tehnoloogiamaastikku ja regulatiivset

keskkonda. Hindamine, mis viidi lõpule 2024. aasta detsembris, hõlmas ajavahemikku 2017–

2023 ning selle eesmärk oli vaadata läbi ENISA volitused ja tegevus ning hinnata Euroopa

küberturvalisuse sertifitseerimise raamistiku rolli turvalise küberkeskkonna edendamisel kogu

ELis. Peamised tähelepanekud saab kokku võtta järgmiselt.

 Asjakohasus. ENISA asjakohasust küberturvalisuse valdkonnas kinnitab tema

võime reageerida sidusrühmade muutuvatele vajadustele ja kohaneda muutuva

olukorraga. Kuigi sidusrühmade rahulolu on üldiselt hea, on ENISA mõju võimalik

suurendada. Seda saab teha, parandades pakutavat tuge ja nähtavust eri sektorite

ET 8 ET

jaoks, eelkõige pidades silmas väikeseid ja keskmise suurusega ettevõtjaid (VKEd),

kellel on sageli raskusi küberturvalisuse nõuete täitmisel. Oluline on vahendite parem

korraldus ja selgem koordineerimine riiklike asutustega. Prioriteetide muutmine ja

olemasolevate vahendite optimeerimine viib ENISA tegevuse paremini kooskõlla

dünaamiliste vajadustega Euroopa küberturvalisuse maastikul.

Euroopa küberturvalisuse sertifitseerimise raamistiku puhul leitakse, et ehkki

raamistik on paljutõotav, on sel endiselt rohkem potentsiaali kui praktilist mõju, kuna

viimasel ajal on kasutusele võetud ainult üks sertifitseerimiskava.Raamistik on

kavandatud integreeruma sujuvalt muude liidu õigusaktidega, et ühtlustada menetlusi

ja hõlbustada piiriülest kaubandust. Raamistiku olulisust rõhutatakse sellistes suurt

kindlust nõudvates valdkondades nagu pilvteenused ja 5G-taristud.

 Tulemuslikkus. ENISA on täitnud edukalt oma volitusi ja saavutanud peaaegu kõik

kavandatud väljundid, näidates üles paindlikkust ja vastupanuvõimet selliste kriiside

ajal nagu COVID-19 pandeemia ja Venemaa Ukraina-vastane agressioonisõda.

Tulemuslikkuse suurendamiseks on siiski vaja paremat prioriteetide seadmist, selget

fookust ja vahendite strateegilist jaotamist. Selleks et kohaneda muutuvate

vajadustega küberturvalisuse valdkonnas ja minimeerida viivitusi, on oluline

paindlikum lähenemisviis sisejuhtimisele.

Euroopa küberturvalisuse sertifitseerimise raamistikuga on püütud ühtlustada

küberturvalisuse sertifitseerimist kogu liidus, kuid selle rakendamisel on seistud

silmitsi märkimisväärsete probleemide, sh menetluslike piirangute ja killustatusega,

mis on põhjustanud viivitusi ja ebatõhusust, näiteks lükanud edasi Euroopa

ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava vastuvõtmise.

Euroopa küberturvalisuse sertifitseerimise raamistiku eesmärkide saavutamist on

veelgi raskendanud välised tegurid, nagu geopoliitilised pinged ja COVID-19

pandeemia, mis osutab sellele, et vaja on kohandatavaid meetmeid ja vahendite

järjekindlat jaotamist sidusrühmade vahel, et saavutada ühetaoline ja tulemuslik

küberturvalisuse sertifitseerimine. Neist takistustest hoolimata on saavutatud

rõõmustavaid tulemusi, eelkõige on suurendatud liikmesriikide teadlikkust

küberturvalisuse sertifitseerimise tähtsusest ja üksikasjadest.

 Tõhusus. ENISA on tegutsenud oma maatriksipõhises organisatsioonilises

raamistikus tõhusalt, edendades koostööd ja ülesannete prioriseerimist. Samas on

ENISA seisnud kasvavate vajaduste rahuldamisel ja spetsiifilisemate ametikohtade

täitmisel silmitsi raskustega (mida on süvendanud IT-spetsialistide ülemaailmne

nappus), mis on põhjustanud viivitusi ja suurt töökoormust. Nende probleemide

lahendamiseks saaks ENISA optimeerida oma asutusesisest tööjõudu ja jaotada

vahendid tulemuslikult ümber, mida näitavad tehtud strateegilised kohandused, nagu

vahendite ümberpaigutamine küberturvalisuse toetusmeetmesse 2022. aastal. Lisaks

saaks muuta ENISA tegevuse veelgi tõhusamaks, kui parandada eelarve haldamist ja

vähendada halduskulusid.

Euroopa küberturvalisuse sertifitseerimise raamistiku tõhusust on kritiseeritud

küberturvalisuse sertifitseerimise kavade vastuvõtmise pikale venitatud ajakava ja

seonduva keerukuse tõttu – esimene kava võeti vastu alles 2024. aasta alguses, st

peaaegu viis aastat pärast küberturvalisuse määruse vastuvõtmist. Muu hulgas on

viivitusi põhjustanud poliitilised ja tehnilised probleemid, nagu arutelud

andmesuveräänsuse üle ja raskused eelnõude õigusaktideks muutmisel. Poliitilised

probleemid ja tehnilised nõudmised on takistanud edasiminekut, nagu on näha ELi

pilvandmetöötluse sertifitseerimise kava ja kava EU5G puhul. Sellest ebatõhususest

ET 9 ET

hoolimata võib raamistikuga seoses täheldada mitut positiivset aspekti.

Sidusrühmade kaasamist ja sisejuhtimist on siiski vaja parandada, et tagada

optimaalne toimimine ja strateegiline panus.

 Sidusus. ENISA sidusust toetab sidusrühmade märkimisväärne kaasamine ja

vastavusseviimine hiljutiste õigusraamistikega. Sidususe ja vahendite eraldamise

edendamiseks on siiski oluline parandada koostoimet teiste liidu organitega, nagu

küberturvalisuse valdkonna tööstuse, tehnoloogia ja teadusuuringute Euroopa

pädevuskeskus, ja riiklike asutustega. Peale selle tuleb täiustada ENISA-sisest

suhtlust ja vahendite haldamist ning läbipaistvat suhtlust erasektori sidusrühmadega.

ENISA ülesannete selge piiritlemine kooskõlas küberkerksuse määruse ja

küberturvalisuse 2. direktiiviga parandab nii tõhusust kui ka regulatiivset

järjepidevust.

Euroopa küberturvalisuse sertifitseerimise raamistiku puhul on küberturvalisuse

vallas ühtse lähenemisviisi tagamiseks väga oluline täielik kooskõla muude liidu

õigusaktidega, sh küberturvalisuse 2. direktiivi ja küberkerksuse määrusega. Kuigi

raamistik on nende seadusandlike meetmetega teoreetiliselt kooskõlas, on tegelik

integratsioon endiselt keeruline ja nõuab hoolikat järelevalvet. Oluliseks proovikiviks

saab olema vastu võetud Euroopa ühiskriteeriumidel põhineva küberturvalisuse

sertifitseerimise kava rakendamine küberkerksuse määruse raamistikus.

 ELi lisaväärtus. ENISA on andnud märkimisväärse panuse liidu küberturvalisuse

ökosüsteemi, edendades koostööd ja kooskõlastades tavasid. Ametil on olnud väga

oluline roll riikide jõupingutuste hõlbustamisel ja esilekerkivate ohtude kohta teabe

andmisel. Erasektori sidusrühmade kriitika, milles osutatakse vajadusele paremini

kohandatud toetuse järele, näitab siiski, et vaja on sidusrühmade paremat kaasamist

ja tööstusharu koostööd. Vahendite haldamise strateegiline ümberhindamine

võimaldaks ENISA-l paremini kohaneda muutuvate küberturvalisuse alaste

probleemidega ja teenida tulemuslikumalt eri sidusrühmade huve. Euroopa

küberturvalisuse sertifitseerimise raamistiku eesmärk oli kehtestada ühtlustatud

sertifitseerimisprotsessid, kuid selle rakendamisel on esinenud pikale venitatud

ajakavast ja killustatusest tingitud probleeme. Seoses vajakajäämistega eesmärkide

saavutamisel ja vähese tõhususega on raamistiku lisaväärtus olnud piiratud. Neist

probleemidest hoolimata on raamistik parandanud liikmesriikidevahelist ühtlustamist

ja toonud kaasa paremad koostöövõimalused, eelkõige tänu loodud sidusrühmade

koostööfoorumitele, nagu Euroopa küberturvalisuse sertifitseerimise rühm.

• Konsulteerimine sidusrühmadega

Aastatel 2023–2025 peeti küberturvalisuse määruse hindamise ja läbivaatamise raames

sidusrühmadega mitmeid konsultatsioone, nagu on näha allpool.

– 2023. aastal korraldati 65 intervjuud (52 neist keskendusid rohkem ENISA-le ja 13

peamiselt Euroopa küberturvalisuse sertifitseerimise raamistikule), viidi läbi uuring, mille

raames saadi 209 vastust (neist 70 Euroopa küberturvalisuse sertifitseerimise raamistiku

kohta), viidi lõpule avalik konsultatsioon ning korraldati kaks seminari, kus käsitleti

tugevuste, nõrkuste, võimaluste ja ohtude analüüsi (SWOT-analüüs) ning soovitusi

(vastavalt 26 ja 70 osalejat). Nende ettevõtmiste konkreetne eesmärk oli koguda

sidusrühmade seisukohti, et hinnata ENISA mõju, tulemuslikkust ja tõhusust. PwC,

Intellera Consulting ja PPMI tegid komisjoni jaoks ENISA ja Euroopa küberturvalisuse

sertifitseerimise raamistiku hindamist toetava uuringu, mille lõpparuanne valmis

2024. aasta detsembris.

ET 10 ET

– 2025. aastal kuulutas komisjon välja tagasisidekorje. Sidusrühmadel paluti esitada kirjalik

tagasiside, sh seisukohavõtud, tehnilised aruanded ja märkused konkreetsete

reformiettepanekute kohta.  Mitmesugustelt sidusrühmadelt, sh tööstusliitudelt,

küberturvalisuse ettevõtetelt, VKEdelt, akadeemilistelt asutustelt ja avaliku huvi

organisatsioonidelt, saadi kokku 184 vastust.

– 2025. aasta aprillist juunini korraldas komisjon küberturvalisuse määruse läbivaatamise

raames avaliku konsultatsiooni ja sai 193 vastust. Konsultatsioon hõlmas 38 suletud ja

avatud küsimust ENISA volituste, Euroopa küberturvalisuse sertifitseerimise raamistiku,

IKT tarneahela turvalisuse ja lihtsustamise kohta.

– Sihtkonsultatsioon (intervjuud). Viidi läbi mitu poolstruktureeritud intervjuud valitud

sidusrühmadega. Nende hulka kuulusid ENISA esindajad ja riikliku teatamisplatvormi

välja töötanud või seda haldavad riikide ametiasutused. Intervjuudes keskenduti ENISA

rollile ja suutlikkusele, Euroopa küberturvalisuse sertifitseerimise raamistiku toimimisele,

praktilistele probleemidele riiklike ja liidu tasandi sertifitseerimisprotsesside ühtlustamisel,

aruandluskoormusele ja rakendamistakistustele. Vestluste käigus saadi kvalitatiivset teavet,

mis võimaldas paremini tõlgendada avaliku konsultatsiooni tulemusi ja täpsustada

poliitikavariante.

– Konsultatsioonid liikmesriikide esindajatega nõukogu töörühma19 raames ja

kahepoolsetel aruteludel võimaldasid liikmesriikidel väljendada oma seisukohti

küberturvalisuse määruse läbivaatamise kohta.

– Sihtkonsultatsioon Euroopa küberturvalisuse sertifitseerimise rühmaga ja

sidusrühmade küberturvalisuse sertifitseerimise rühmaga. Komisjon kui mõlema

rühma eesistuja tutvustas Euroopa küberturvalisuse sertifitseerimise rühma koosolekutel

12. märtsil ja 3. juulil 2025 ning sidusrühmade küberturvalisuse sertifitseerimise rühma

koosolekul 17. märtsil 2025 küberturvalisuse määruse läbivaatamise seisu. Lisaks koguti

Euroopa küberturvalisuse sertifitseerimise rühma liikmetelt täiendavaid eksperdiarvamusi,

kasutades küsimustikke.

Konsulteerimisel keskenduti viiele liidu küberturvalisuse raamistiku tulevase toimimise ja

sidususe seisukohast kesksele põhivaldkonnale:

 ENISA volitused ja operatiivroll, sh liikmesriikide toetamine ja eksperditeadmised

kujunemisjärgus tehnoloogiate valdkonnas;

 Euroopa küberturvalisuse sertifitseerimise raamistiku, sh juhtimis- ja

arendusprotsesside tulemuslikkus;

 küberturvalisusega seotud kohustuste keerukus ja killustatus, pöörates

tähelepanu aruandluskoormusele ja lihtsustamisvõimalustele;

 nõuete proportsionaalsus VKEde jaoks ja nõuete täitmise eri viiside võimalus ning

 küberturvalisust käsitlevate ühtlustatud normide sotsiaalne ja majanduslik mõju, sh

mõju tarbijatele, õigustele, innovatsioonile ja konkurentsivõimele.

• Mõjuhinnang

Küberturvalisuse määruse läbivaatamist ning küberturvalisuse 2. direktiivi sihipäraste

muudatuste tegemise direktiivi ettepanekut toetab mõjuhinnang (vt kokkuvõte allpool).

19 Horisontaalne küberküsimuste töörühm.

ET 11 ET

Õiguskontrollikomitee esitas küberturvalisuse määruse20 läbivaatamisega seotud esialgse

mõjuhinnangu uuesti esitatud aruande kohta reservatsioonidega positiivse arvamuse.

Õiguskontrollikomitee soovituste ja märkuste arvesse võtmiseks mõjuhinnangut kohandati.

Lõplik poliitikaettepanek ei kaldu kõrvale mõjuhinnangus hinnatud poliitikavariantidest.

Komisjon uuris saavutatavaid konkreetseid eesmärke silmas pidades poliitikavariante neljas

sekkumisvaldkonnas: 1) ENISA volitused (mis on ka kehtiva küberturvalisuse määruse osa);

2) Euroopa küberturvalisuse sertifitseerimise raamistik (mis on samuti kehtiva

küberturvalisuse määruse osa); 3) küberturvalisuse 2. direktiivi sihipärased muudatused, et

direktiivi lihtsustada, mis on seotud ka ENISA volituste ja Euroopa küberturvalisuse

sertifitseerimise raamistikuga, ning 4) IKT tarneahela turvalisus, mis on oluline nii

küberturvalisuse 2. direktiivi ökosüsteemi kui ka Euroopa küberturvalisuse sertifitseerimise

raamistiku jaoks. Kõik kindlaksmääratud poliitikavariandid on eraldiseisvad

sekkumisvaldkonnad, mis on samal ajal omavahel seotud ja vastastikku olulised.

Poliitikavariandid ELi küberturvalisuse poliitikaraamistiku ja sidusrühmade vajaduste

kooskõlastamiseks üha vaenulikumas keskkonnas

Variant A.1: ENISA volituste täpsustamine ja prioriteetide seadmine – see variant tagaks

selge ja stabiilse raamistiku ENISA ülesannete täitmiseks, sest hõlmaks ka muudes

õigusaktides sätestatud ülesandeid.

Variant A.2: ENISA volituste reform – selle variandiga tunnistataks küberturvalisuse määrus

kehtetuks ja asendataks see, korraldades ameti volitused põhjalikult ümber.

Variant A.3: ENISA volituste reform, milles pööratakse suurt tähelepanu operatiivtoetusele –

see variant oleks variandi A.2 edasiarendus. Täiendavalt arendataks ENISA suutlikkust, et

pakkuda küberturvalisuse 2. direktiivi kohaldamisalasse kuuluvatele üksustele liikmesriigi

taotlusel otsest tuge küberintsidentidele reageerimisel ja neist taastumisel.

Euroopa küberturvalisuse sertifitseerimise raamistikuga seotud poliitikavariandid

Variant B.1: Euroopa küberturvalisuse sertifitseerimise raamistiku kohaldamisala, elementide

ja eesmärkide täpsustamine ning haldusmehhanismi kasutuselevõtt – selle variandiga nähakse

ette uus kavade haldamise mehhanism, mida ENISA hakkaks rakendmaa pärast kavade

vastuvõtmist.

Variant B.2: Euroopa küberturvalisuse sertifitseerimise raamistiku reform, mille käigus

vaadatakse läbi raamistiku menetlused ja laiendatakse selle kohaldamisala, et aidata

lihtsustada õigusnormide järgimist – selle variandi puhul tunnistataks küberturvalisuse

määrus kehtetuks ja asendataks uue määrusega. Lisaks variandis B.1 kavandatule vaadataks

läbi kavade taotlemise, väljatöötamise ja vastuvõtmisega seotud menetlused, et suurendada

vastutust ja tõhusust.

Variant B.3: Euroopa küberturvalisuse sertifitseerimise raamistiku reform, nagu on ette

nähtud variandi B.2 korral, ja turvaoleku sertifitseerimise kohustuse kehtestamine – see

variant põhineks variandil B.2, kuid selle eesmärk on raamistiku mõju veelgi tugevdada,

kehtestades elutähtsate üksuste sertifitseerimise kohustuse, võttes arvesse konkreetseid

riskistsenaariume, selle asemel, et tugineda ainult üksuste vabatahtlikule sertifitseerimisele.

Lihtsustamisega seotud poliitikavariandid

20 Määrus (EL) 2019/881 (http://data.europa.eu/eli/reg/2019/881/oj).

ET 12 ET

Variant C.1: pehmel õigusel ja muudel kui seadusandlikel vahenditel põhineva lähenemisviisi,

sh olemasolevate volituste kasutamine (rakendusaktide vastuvõtmine küberturvalisuse

2. direktiivi artikli 21 lõike 5 ja artikli 23 lõike 11 alusel) – selle variandi kohaselt võetaks

vastu rakendusaktid, kasutades olemasolevaid küberturvalisuse 2. direktiivis sätestatud

volitusi, et tagada küberriskide juhtimise meetmete, intsidentidest teatamise künniste ning

teabe liigi, vormi ja teatamise korra parem ühtlustamine. Samuti on kavandatud suuniste

vastuvõtmine, et suurendada õiguskindlust ja ühtlustada rakendamist.

Variant C.2: sihipärane sekkumine – asjaomase liidu küberturvalisuse õigusraamistiku

järgimise edasine lihtsustamine – see variant hõlmab piiratud sekkumist küberturvalisuse

määruse ja küberturvalisuse 2. direktiivi muutmise kaudu, mille eesmärk on lihtsustada

küberturvalisuse raamistiku konkreetseid aspekte, sh kohandada kohaldamisala, rakendusakte

võimalikult palju ühtlustada, tõendada nõuete täitmist sertifitseerimise kaudu ja võtta vastu

variandi C.1 all ette nähtud suunised.

Variant C.3: liidu õiguses sätestatud küberturvalisuse meetmete ühtlustamine – see variant

põhineks variandil C.2 ja sellega eemaldataks kõik valdkondlikes õigusaktides sätestatud

küberturvalisuse riskijuhtimismeetmed ja nende seotud volitused. Selle asemel muudetaks

küberturvalisuse 2. direktiivi ökosüsteemi, et näha ette ühtlustatud nõuded igat liiki üksustele,

tagades sel viisil suurema ühtlustamise.

IKT tarneahela turvalisusega seotud poliitikavariandid

Variant D.1: pehme õiguse lähenemisviisi kasutamine IKT tarneahelate küberriskide

käsitlemiseks – see variant ei näeks ette ELi tasandi regulatiivset sekkumist. Selle asemel

suurendaks komisjon koordineeritud riskihindamiste ja vabatahtlike abivahendite arvu.

Variant D.2: sihtotstarbeline regulatiivne sekkumine, millega kodifitseeritakse 5G

meetmepakett – selle variandiga kodifitseeritaks 5G meetmepaketi meetmed. Sellega

kehtestataks liikmesriikidele kohustus tagada, et võrgu olulistes varades ei kasutata suure

riskiga tarnijate komponente.

Variant D.3: terviklik ja horisontaalne raamistik IKT tarneahelate küberriskide

käsitlemiseks – selle variandiga loodaks IKT tarneahelates esinevate mittetehniliste

küberriskide käsitlemiseks tehnoloogia- ja sektorineutraalne horisontaalne õigusraamistik.

Põhjaliku analüüsi tulemusel osutus eelistatud poliitikapaketiks järgmine

poliitikavariantide kombinatsioon:variant A.2 (ENISA volituste reform), variant B.2

(Euroopa küberturvalisuse sertifitseerimise raamistiku reform, mille käigus vaadatakse läbi

raamistiku menetlused ja laiendatakse selle kohaldamisala, et aidata lihtsustada õigusnormide

järgimist), variant C.2 (sihipärane sekkumine – asjaomase liidu küberturvalisuse

õigusraamistiku järgimise edasine lihtsustamine) ja variant D.3 (terviklik ja horisontaalne

raamistik IKT tarneahelate küberriskide käsitlemiseks).

Need poliitikavariandid võimaldavad kindlakstehtud poliitikaprobleemidele tasakaalustatult

reageerida ja suurendavad märkimisväärselt tulemuslikkust, tõhusust ja sidusust kogu liidus.

Eelistatud variantide rakendamisega õigusraamistikus kaasnevad kulud nii ENISA-le uute

ülesannete täitmisel (hinnanguliselt kuni 161,3 miljonit eurot viie aasta jooksul) kui ka

avaliku sektori asutustele kogu liidus järelevalve tegemisel (hinnanguliselt kuni 80 miljonit

eurot viie aasta jooksul, võttes arvesse asjakohast kulude kokkuhoidu). Mis puudutab

ettevõtjaid, siis suure riskiga seadmete järkjärguline kasutuselt kõrvaldamine võib tuua

mobiilsideoperaatoritele viie aasta jooksul kaasa kulud suurusega 3,4–4,3 miljardit eurot

ET 13 ET

aastas ning investeeringud usaldusväärsetesse tarnijatesse võivad kasvada kuni 2 miljardile

eurole aastas.

Samal ajal peaksid lihtsustatud ja vähendatud vastavuskohustused võimaldama ettevõtjatel

viie aasta jooksul kokku hoida kuni 15,3 miljardit eurot. Lisaks tooks liidu üldise turvaoleku

ja tehnoloogilise suveräänsuse parandamine ning innovatsiooni ja konkurentsivõime

edendamine märkimisväärset kasu üldsusele, avaliku sektori asutustele ja ettevõtjatele. See

peaks esialgsed kulutused pikas perspektiivis suures osas tasakaalustama.

Turu killustatuse vähendamisega ja regulatiivsete nõuete ühtlustamisega suurendatakse

eelistatud variantidega konkurentsialast võrdsust liidus ning pakutakse ettevõtjatele selgemaid

võimalusi nõuete täitmiseks ja innovatsiooniks.

Samuti aitaksid eelistatud variandid selgete suuniste ja integreeritud süsteemide kaudu kaasa

lihtsustamisele, vähendades halduskoormust. Variandid on kooskõlas põhimõttega „üks sisse,

üks välja“, kuna uute kohustuste tasakaalustamiseks vähendatakse mujal kohustusi.

• Õigusnormide toimivus ja lihtsustamine

Küberturvalisuse määruse läbivaatamine valitud poliitikavariantide A.2, B.2, C.2 ja D.3

rakendamisega aitab olulisel määral suurendada selgust, kaotada ebatõhusust ja ühtlustada

menetlusi õigusraamistikes. Täpsemalt on variandis A.2 kavandatud ENISA volituste täielik

reformimine, millega toetatakse tulemuslikult poliitika rakendamist ja liikmesriikide

operatiivkoostööd. Selline konsolideerimine aitab ka vähendada tavade killustatust ning

parandada koordineerimist ja vähendada samal ajal pikas perspektiivis nõuete täitmise ja

tegevuskulusid. Variandiga B.2, mis hõlmab kehtiva küberturvalisuse määruse kehtetuks

tunnistamist ja reformitud Euroopa küberturvalisuse sertifitseerimise raamistiku

kasutuselevõttu, suurendatakse tõhusust tänu juhtimismudeli läbivaatamisele ning

prognoositavamate, sidusamate ja kiiremate sertifitseerimismenetluste toetamisele. See

võimaldab kavade kiiremat vastuvõtmist ja paremat vastavusse viimist valdkonnaüleste

õigusaktidega, vähendades regulatiivset killustatust ning nii avaliku kui ka erasektori

sidusrühmade koormust. Variandiga C.2 vähendatakse asjaomaste küberturvalisust käsitlevate

liidu õigusaktide kohaldamisalasse kuuluvate üksuste nõuete täitmisega seotud kulusid,

muutes küberturvalisuse raamistiku kohaldamisala ning võimaldades töötada küberturvalisuse

2. direktiivi ja muude õigusaktide kohaldamisalasse jäävate üksuste jaoks välja

organisatsiooni küberturvalisuse sertifitseerimise kavasid. See lähenemisviis lihtsustab

märkimisväärselt nende üksuste seadusest tulenevaid kohustusi, kelle suhtes kohaldatakse

mitmeid nõudeid, ja tagab vahendite tõhusama kasutamise riiklikes asutustes. Variandiga D.3

luuakse ühtlustatud raamistik tegelemiseks IKT tarneahelaid mõjutavate mittetehniliste

riskidega tegelemiseks ühtlustatud raamistik, millega vähendada liikmesriikide

lähenemisviiside praegust killustatust. Need variandid kokku tähendavad liidu

küberturvalisuse õigusraamistiku märkimisväärset lihtsustamist ja ajakohastamist, mis on

täielikult kooskõlas õigusloome kvaliteedi ja tulemuslikkuse programmis sätestatud selguse,

tõhususe ja digivalmiduse põhimõttega.

Ettepanek on kooskõlas digikontrolliga, kuna selle rõhuasetus ühtlustatud digitaalsetele

protsessidele näitab liidu pühendumust lähenemisviisile „kõigepealt digitaalne“, mis tagab

kiirema ja usaldusväärsema andmevahetuse ja otsuste tegemise. Variandil D.3 võib olla suur

mõju ka digiüleminekule, kuna see toob kaasa küberturvalisuse seisukohast muret tekitavates

kolmandates riikides asutatud üksuste või selliste üksuste kontrolli all olevate üksuste (suure

riskiga tarnijad) komponentide asendamise.

ET 14 ET

• Põhiõigused

Seadusandliku ettepaneku hindamisel vaadeldi ettepaneku potentsiaali tugevdada või seada

ohtu põhiõigusi ning edendada võrdõiguslikkust ja usaldust, pöörates erilist tähelepanu

sotsiaalmõjule ja -õigustele, sh eraelu puutumatusele, andmekaitsele ning üksikisikute

võimele mõista, kasutada ja panna maksma oma õigusi.

ENISA volituste laiendamine aitab suurendada küberkerksust kogu majanduses ja ühiskonnas

üldiselt, mis toob kaasa inimeste eraelu puutumatuse ja isikuandmete parema kaitse.

Ettepanekuga toetatakse ka küberturvalisuse alast haridust ja koolitust, kuna sellega

muudetakse selgemaks ENISA roll küberturvalisuse valdkonna töötajate oskuste arendamisel.

Lisaks suurendab Euroopa küberturvalisuse sertifitseerimise raamistik ELi üldsuse ja

ettevõtjate usaldust igapäevaelu toetavate sertifitseeritud IKT-lahenduste vastu. Seda mõju

võimendaks täiendavate kavade kehtestamine.

Ettepanek aitab suurendada inimeste usaldust, innustades kriitilise tähtsusega sektorite üksusi

hankima küberturvalisuse sertifikaate ja näitama seeläbi avalikult oma küberturvalisuse kõrget

taset. Tagades ühtlustatud teatamise lunavaraintsidentidest ja nähes ette meetmed

üleminekuks postkvantkrüptograafiale, aitab ettepanek suurendada üldsuse usku tundlike

andmete kaitsesse kriitilise tähtsusega sektorites.

Tarneahela turvalisust käsitlevad sätted mõjutavad teataval määral põhiõiguste kaitset, piirates

välissekkumist. Sellised tegevused nagu spionaaž ja jälgimine kahjustavad oluliselt kodanike

põhiõigusi. Kõnealune horisontaalne raamistik võib suurendada usaldust, turvalisust ja eraelu

puutumatust mitmesuguste tehnoloogiate ja digilahenduste puhul.

4. MÕJU EELARVELE

Euroopa Liidu Küberturvalisuse Ameti (ENISA) eelarveks, millega panustatakse ELi

turvalisuse märkimisväärsesse suurendamisse, hinnati 341 miljonit eurot seitsme aasta

jooksul, mis teeb keskmiseks aastaeelarveks 49 miljonit eurot (prognoos aastateks 2028–

2034). See tähendab, et ameti 2025. aasta eelarvet suurendatakse 81,5 %. Kavandatud

algatusest saadav kasu, mida on analüüsitud mõjuhinnangus, on märkimisväärne, kuna

ettevõtjate kulud vähenevad kuni 14,6 miljardit eurot. Kuigi võimalikku kulude kokkuhoidu

seoses liidu küberintsidentideks valmisoleku üldise paranemisega on keeruline

kvantifitseerida, võib kiirema reageerimise ja küberintsidentide leviku aeglustamisega seotud

kulude kokkuhoid viie aasta jooksul jääda hinnanguliselt vahemikku 3,7–4,4 miljardit eurot.

Komisjon uurib tulevaste poliitikaalgatuste raames vahendite üldist jaotust küberturvalisuse

valdkonnas tegutsevate Euroopa institutsioonide, organite ja asutuste vahel ja sees, et

võimendada üldisi teadmisi ja eksperditeadmisi ning teha kindlaks ja arendada koostoimet. ENISA tugevdamiseks kavandatud lisavahendid teisendatakse 118 täistööajale taandatud

töötaja ametikohaks ja täiendavateks tegevuskuludeks ENISA ja komisjoni vaheliste kehtivate

rahalist toetust käsitlevate lepingute jaoks, näiteks ühtse teatamisplatvormi haldamiseks, ELi

küberreservi käitamise ja haldamisega tegelevate täistööajale taandatud töötajate jaoks ning

olulisteks komisjoni algatusteks, nagu digivaldkonna koondpaketi ettepaneku kohase ühtse

kontaktpunkti loomine. Tegevuskulud on seotud ka nõrkuste koordineeritud avalikustamise

programmiga, küberohuteadmuse kogumise ja analüüsimisega, turvalise sidega ja ENISA

küberturvalisuse küpsuse suurendamisega. Lisaks sisaldab see eelarve Euroopa

küberturvalisuse sertifitseerimise kavade haldamise, küberturbeoskustega seotud lubade ja

testimisvahendite teenustega seotud tegevuskulusid, ehkki nende kulude katmiseks

kasutatakse tasude kaudu ka omafinantseerimist.

ET 15 ET

Ettepaneku oluline aspekt on kasutusele võetavad tasude mehhanismid, mis lisaks muudele

poliitikaeesmärkidele toetavad kestlikku raharinglust ametis. Läbivaadatud küberturvalisuse

määrus sisaldab kolme liiki tasusid, millega panustatakse ENISA eelarvesse, nimelt oskuste

tõendamise lubade väljaandmise tasud, testimisvahendite teenustega seotud tasud ja Euroopa

küberturvalisuse sertifitseerimise kavade haldamise toetamise tasud. Eeldatav kasu ELi

eelarvele on hinnanguliselt 18,5 miljonit eurot seitsme aasta jooksul (2028–2034).

Komisjoni eelarvetaotlus hõlmab 50 täiendavat täistööajale taandatud töötaja ametikohta

tarneahela raamistiku rakendamiseks, aga ka ülesandeid, mis on seotud muu hulgas tasude

mehhanisme käsitlevate rakendusaktide koostamisega, sertifitseerimiskavade haldamisega,

standardimisega ja operatiivkoostöö toetamisega. Komisjoni kulusid tarneahela raamistiku

rakendamisel mõjutab eeldatavasti eriti see, kui palju teeb komisjon omandi ja kontrolli

hindamisi. Samas aitavad nende hindamiste tulemused liikmesriikidel küberturvalisuse

2. direktiivi kohaldamisalasse kuuluvate üksuste suhtes raamistikuga kehtestatud

leevendusmeetmete rakendamise ja kohustuste täitmise üle järelevalve tegemisel oluliselt

kokku hoida. Liikmesriigid saavad kasutada omandi ja kontrolli hindamiste tulemusi, selle

asemel et kulutada vahendeid samade hindamisvajaduste rahuldamiseks.

Üksikasjalikum teave on esitatud küberpaketile lisatud finantsselgituses.

5. MUU TEAVE

• Rakenduskavad ning järelevalve, hindamise ja aruandluse kord

Komisjon jälgib kavandatud määruse kohaldamist ning esitab iga viie aasta tagant Euroopa

Parlamendile ja nõukogule aruande selle hindamise kohta. Need aruanded on avalikud ning

neis kirjeldatakse üksikasjalikult määruse tegelikku kohaldamist ja täitmise tagamist.

• Selgitavad dokumendid (direktiivide puhul)

Ei kohaldata, kuna ettepanek on määrus.

• Ettepaneku sätete üksikasjalik selgitus

Ettepanekus selgitatakse ENISA rolli ning antakse ametile konkreetsed ülesanded, et toetada

sidusrühmi, iseäranis liikmesriike, eelkõige liidu poliitika ja õigusaktide rakendamisel,

operatiivkoostöö tegemisel, suutlikkuse suurendamisel, küberturvalisuse sertifitseerimisel ja

standardimisel ning küberturvalisuse valdkonna tööjõu arendamisel ja selle liikuvuse

parandamisel kogu liidus. Samuti püütakse ettepanekuga tugevdada ja tõhustada Euroopa

küberturvalisuse sertifitseerimise raamistikku, et tõsta küberturvalisuse taset liidus ja

võimaldada klientidel teha IKT-toodete, -teenuste ja -protsesside ning hallatud turbeteenuste

puhul kogu siseturul teadlikke valikuid. Koos küberturvalisuse 2. direktiivi sihipäraste

muudatuste tegemise direktiivi ettepanekuga on käesoleva ettepaneku eesmärk hõlbustada

küberturvalisusega seotud kohustuste täitmist ja vabastada vahendeid, et tugevdada liidu

kriitilise tähtsusega sektorite üksuste operatiivset küberturvalisuse alast valmisolekut. Lisaks

käsitletakse ettepanekus vajadust muuta liidu majandus ja IKT tarneahel vastupidavamaks, et

edendada liidu julgeolekut ja konkurentsivõimet. Üksikasjalikum kirjeldus on esitatud allpool.

I JAOTIS. ÜLDSÄTTED

Kavandatud määruse I jaotis sisaldab üldsätteid: reguleerimisese (artikkel 1) ja mõisted

(artikkel 2), sh viited asjakohastele määratlustele muudes liidu õigusaktides, nagu direktiiv

ET 16 ET

(EL) 2022/255521 (küberturvalisuse 2. direktiiv), määrus (EÜ) nr 765/200822 ja määrus (EL)

nr 1025/201223.

II JAOTIS. ENISA (EUROOPA LIIDU KÜBERTURVALISUSE AMET)

Kavandatud määruse II jaotis sisaldab ENISAga seotud põhisätteid.

I peatükis kirjeldatakse ENISA missiooni (artikkel 3) ja eesmärke (artikkel 4).

II peatükis kirjeldatakse kolmes jaos ENISA ülesandeid.

1. jagu sisaldab sätteid ülesannete kohta, mis on seotud liidu poliitikameetmete ja õiguse

rakendamise toetamisega. Selles määratakse kindlaks, milliseid üksusi ja organisatsioone

tuleb toetada ja kuidas seda tuleks teha (artikkel 5). Artiklis 6 piiritletakse ameti kohustused

suutlikkuse suurendamisel, sh liikmesriikidele küberohtude ennetamiseks ja nendega

tegelemiseks teadmiste ja eksperditeadmiste pakkumine, küberturvalisuse strateegiate

ajakohastamine ja küberturvalisuse valdkonna töötajate arvu suurendamine. ENISA abistab

liikmesriike ka nende teadlikkuse suurendamise alases tegevuses (artikkel 7), analüüsib

peamisi turusuundumusi küberturvalisuse valdkonnas ning levitab tehnilisi nõuandeid ja

analüüse (artikkel 8). Samuti toetab ja edendab ENISA rahvusvahelist koostööd

küberturvalisusega seotud küsimustes, nagu kirjeldatakse artiklis 9.

2. jaos sätestatakse ENISA ülesanded seoses liikmesriikide, liidu üksuste ning liidu

institutsioonide, organite ja asutuste küberturvalisuse teenistuse (CERT-EU),

küberintsidentidele reageerimise üksuste (CSIRTide) võrgustiku, Euroopa küberkriisiga

tegelevate kontaktasutuste võrgustiku (EU-CyCLONe) ja muude sidusrühmade vahelise

operatiivkoostööga, sh suuniste andmine ja turvaliste sidevahendite rakendamine

(artikkel 10). Samuti aitab ENISA parandada küberohtude ja -intsidentide alast

olukorrateadlikkust, luues (muu hulgas) ühe või mitu küberohuteadmuse hoidlat, tehes

analüüse ja esitades varajasi hoiatusi (artikkel 11). Varajasi hoiatusi (sisu, ajastust,

kättetoimetamist) käsitlevad normid sätestatakse artiklis 12. Selleks et aidata elutähtsatel ja

olulistel üksustel valmistuda lunavaraintsidentideks, neile reageerida ja neist taastuda, käitab

ENISA ELi küberreservi, nagu selgitatakse artiklis 13, ning teeb vajaduse korral koostööd

Europoli ja CSIRTide või muude pädevate asutustega. Artikkel 14 sisaldab sätteid ENISA

rolli kohta liidu tasandi küberturvalisuse õppuste korraldamisel, sh nende õppuste iga-aastase

jooksva programmi koostamisel. Lisaks neile ülesannetele peaks ENISA tagama vahendid ja

platvormid, eelkõige määruse (EL) 2024/2847 artikli 16 lõike 1 kohaselt loodud ühtse

teatamisplatvormi (artikkel 15). Samuti peab amet arendama liidu ühist suutlikkust

nõrkusehalduse valdkonnas ja osutama nõrkusehalduse teenuseid (artikkel 16).

3. jaos küberturvalisuse sertifitseerimise ja standardimise kohta sätestatakse ENISA

asjaomased ülesanded. Artiklis 17 kirjeldatakse ENISA rolli Euroopa küberturvalisuse

sertifitseerimise raamistiku arendamisel ja rakendamisel, sh ameti juhtivat rolli kavade

ettevalmistamisel ja nende haldamise tagamisel ning suutlikkuse suurendamisel. Artiklis 18

kirjeldatakse, kuidas ENISA peaks osalema tehniliste kirjelduste koostamises ning panustama

standardimisse Euroopa ja rahvusvahelisel tasandil, sh krüptoalgoritmide valdkonnas.

21 http://data.europa.eu/eli/dir/2022/2555/oj. 22 http://data.europa.eu/eli/reg/2008/765/oj. 23 http://data.europa.eu/eli/reg/2012/1025/oj.

ET 17 ET

4. jaos kirjeldatakse üksikasjalikult ENISA ülesandeid seoses küberturbeoskuste

akadeemiaga. Artikkel 19 sisaldab sätteid, mis puudutavad ENISA rolli Euroopa

küberturbeoskuste raamistikus, artiklis 20 sätestatakse ENISA ülesanded seoses Euroopa

individuaalsete küberturbeoskuste tõendamise kavade väljatöötamise ja haldamisega.

Artiklis 21 sätestatakse nõuded, mis peavad olema täidetud volitatud tõendajaks saamiseks, ja

artiklis 22 nõuded, mis on seotud taotluste menetlemisega. ENISA peab andma Euroopa

küberturbeoskuste raamistiku ja individuaalsete küberturbeoskuste tõendite kohta avalikku

teavet (artikkel 23).

III peatükis käsitletakse ENISA töökorraldust. Ameti haldus- ja juhtimisstruktuuri kuulub ka

tegevdirektori asetäitja (artikkel 24). 1. jaos on sätted haldusnõukogu, selle koosseisu,

esimehe, koosolekute, ülesannete ja hääletuskorra kohta (artiklid 25–29). 2. jao artiklis 30

sätestatakse, et haldusnõukogu abistab juhatus. 3. jagu sisaldab tegevdirektori ametisse

nimetamise, ametist vabastamise ja ametiaja pikendamise korda (artikkel 31) ning

tegevdirektori ülesandeid ja vastutust käsitlevaid norme (artikkel 32). Haldusnõukogu võib

otsustada luua tegevdirektori abistamiseks tegevdirektori asetäitja ametikoha (4. jagu,

artiklid 33 ja 34). Haldusnõukogu peab looma ENISA nõuanderühma, mis peab ENISAt

nõustama vastavalt artiklis 35 sätestatud normidele. 6. jaos sätestatakse normid, mis

käsitlevad apellatsiooninõukogu moodustamist ja koosseisu (artikkel 36) ja selle liikmeid

(artikkel 37). Artiklis 38 määratakse kindlaks asjaolud, mille korral apellatsiooninõukogu

liikmed peavad kaebuse menetlemisest hoiduma, ning esitatakse apellatsiooninõukogu liikme

osalemise suhtes vastuväite esitamise põhjused. Apellatsiooninõukogule võib esitada kaebuse

ENISA otsuse kohta või ENISA tegevusetuse korral (artikkel 39). Artikkel 40 sisaldab sätteid

kaebeõigusega isikute, kaebetähtaja ja kaebuse vormi kohta. Artiklites 41–43 sätestatakse

normid, mis käsitlevad esialgset läbivaatamist, kaebuste kohta tehtud otsuste läbivaatamist ja

asja andmist Euroopa Kohtusse. Artiklis 44 kirjeldatakse ühtse programmdokumendiga

seotud protsessi.

IV peatükis käsitletakse ENISA eelarve koostamist ja struktuuri ning selle esitamise ja

täitmise norme (artiklid 45–55). Peatükk sisaldab ka sätteid, mis hõlbustavad võitlust pettuste,

korruptsiooni ja muu ebaseadusliku tegevuse vastu (artikkel 51).

V peatükis käsitletakse ENISA personali. See sisaldab üldsätteid personalieeskirjade ja muude

teenistujate teenistustingimuste kohta ning privileege ja immuniteete reguleerivaid norme

(artiklid 56 ja 57). Samuti on selles sätted, mille kohaselt liikmesriigid peavad määrama

riiklikud eksperdid, kes lähetatakse ENISAsse kontaktametnikeks, ning milles kirjeldatakse

nende kontaktametnike rolli ametis (artikkel 58). Lisaks sisaldab peatükk sätteid, millega

reguleeritakse riikide lähetatud ekspertide ja muude ametiväliste töötajate kasutamist

(artikkel 59).

VI peatükk sisaldab ENISAga seotud üldsätteid. Selles kirjeldatakse ameti õiguslikku

seisundit (artikkel 60) ja määratakse kindlaks ameti asukoht (artikkel 61) ning selles on sätted

ameti peakorterilepingu ja tegutsemistingimuste ning ombudsmani tehtava halduskontrolli

kohta (artiklid 62 ja 63). Peatükk sisaldab sätteid, millega reguleeritakse selliseid küsimusi

nagu vastutus, keelekasutuse kord ja isikuandmete kaitse (artiklid 64–66), ning tundliku

salastamata teabe ja salastatud teabe kaitset käsitlevaid turvanorme (artikkel 67). Selles

sätestatakse normid koostöö tegemiseks liidu üksuste ja riiklike asutustega (artikkel 68) ning

muude sidusrühmadega (artikkel 69). Selles on normid, mis reguleerivad ameti koostööd

kolmandate riikide ja rahvusvaheliste organisatsioonidega (artikkel 70).

ET 18 ET

III JAOTIS. EUROOPA KÜBERTURVALISUSE SERTIFITSEERIMISE

RAAMISTIK

Kavandatud määruse III jaotisega kehtestatakse Euroopa küberturvalisuse sertifitseerimise

raamistik.

I peatükis tutvustatakse raamistiku eesmärke, kohaldamisala ja menetlusi. Raamistiku

eesmärkideks on tugevdada küberturvalisust kogu liidus ning hõlbustada ühtlustatud

lähenemisviisi IKT-toodete, -teenuste, -protsesside, hallatud turbeteenuste ja üksuste

turvaoleku sertifitseerimisele (artikkel 71). Samuti peaks raamistik kasutama sertifitseerimist,

et lihtsustada kohaldatavate liidu õigusaktide järgimist nõuetele vastavuse eelduse kaudu, tänu

millele väheneb ettevõtjate koormus (artikkel 78). Järgmisena kirjeldatakse I peatükis

üksikasjalikult menetluslikke aspekte, mille hulka kuuluvad konsultatsioonid Euroopa

küberturvalisuse sertifitseerimise strateegiliste prioriteetide üle, komisjoni antav avalik teave

kavade väljatöötamise kohta ning uue Euroopa küberturvalisuse sertifitseerimise assamblee

loomine (artikkel 72). Pärast komisjonilt üksikasjaliku taotluse saamist peaks ENISA esitama

ettevalmistava kava 12 kuu jooksul (artikkel 73). Artiklis 74 sätestatakse Euroopa

küberturvalisuse sertifitseerimise rühma arvamuse ja kava esitamise tähtajad, pidades silmas

kava vastuvõtmist komisjonis. Artikliga 75 kehtestatakse selge kord olemasolevate kavade

haldamiseks, mis võib kaasa tuua kava läbivaatamise (artikkel 76). Kava läbivaatamisel võib

tugineda kava tulemuslikkuse ja ühtsele turule avaldatava mõju korrapärasele hindamisele.

Artikliga 77 luuakse ENISA-le alus, et koostada Euroopa küberturvalisuse sertifitseerimise

kavade väljatöötamise ja haldamise toetamiseks tehnilisi kirjeldusi. Komisjon võib viidata

nendele tehnilistele kirjeldustele kava vastuvõtmisel või läbivaatamisel (artikkel 74).

Erinevate menetluste abil tagatakse läbipaistvus ja tulemuste kvaliteet, kaasates

sertifitseerimiskavade kavandamise, väljatöötamise, vastuvõtmise ja haldamise eri etappidesse

eksperte ja üldisi sidusrühmi. Artikliga 79 nähakse ette ENISA spetsiaalne Euroopa

küberturvalisuse sertifitseerimise kavade veebisait, mis peaks sisaldama teavet vastuvõetud

kavade ning nende alusel välja antud Euroopa küberturvalisuse sertifikaatide ja ELi

vastavusdeklaratsioonide kohta.

II peatükis sätestatakse Euroopa küberturvalisuse sertifitseerimise kavade sisu käsitlevad

üldeeskirjad.

Artiklis 80 esitatakse loetelu turbe-eesmärkidest, mille alusel ENISA kava koostab, ning

sellega tagatakse kooskõla asjakohaste küberturvalisust käsitlevate õigusaktidega. Euroopa

küberturvalisuse sertifitseerimise kava võib sisaldada artiklis 81 sätestatud elemente. Need

elemendid peavad olema kooskõlas liidu õigusaktidega ja neid võib kavades ühtlustada,

kasutades näidissätteid. Mõlemad artiklid tagavad vajaliku paindlikkuse eri liiki kavade jaoks.

Järgmistes artiklites sätestatakse normid, mis on seotud usaldusväärsuse tasemetega

(artikkel 82) ja vastavuse enesehindamisega (artikkel 83). Lisaks esitatakse selles peatükis

loetelu täiendava teabe kohta, mille IKT-toodete, -teenuste või -protsesside tootja või pakkuja

peab kättesaadavaks tegema (artikkel 84).

III peatükis, mis koosneb kolmest jaost, kehtestatakse Euroopa küberturvalisuse

sertifitseerimise raamistiku juhtimist käsitlevad normid.

1. jagu sisaldab norme Euroopa küberturvalisuse sertifikaatide väljastamise kohta, muu hulgas

kõrge usaldusväärsuse taseme korral (artikkel 85). Lisaks sätestatakse selles normid Euroopa

küberturvalisuse sertifitseerimise kavade ühtlustamiseks riiklike küberturvalisuse

sertifitseerimise kavade ja küberturvalisuse sertifikaatidega (artikkel 86) ning nähakse ette

ET 19 ET

võimalus Euroopa küberturvalisuse sertifikaatide rahvusvaheliseks tunnustamiseks

samaväärsuse põhimõtte alusel (artikkel 87). Selles jaos kirjeldatakse ka riiklike

küberturvalisuse sertifitseerimise asutuste rolli ja nende suhtes kohaldatavaid norme

(artikkel 88) ning sätestatakse normid, mis käsitlevad nende asutuste vahelise vastastikuse

hindamise mehhanismi, millega tagatakse samaväärsed standardid kogu liidus (artikkel 89),

ning nende asutuste vahelist koostööd Euroopa küberturvalisuse sertifitseerimise rühmas

(artikkel 90).

2. jaos sätestatakse i) vastavushindamisasutuste akrediteerimise ja nendele asutustele lubade

andmise ühtlustatud eeskirjad (artiklid 91–92); ii) teavitamiseeskirjad, sh õigused, et tagada

edasine kooskõla asjakohase liidu õiguse ja uue õigusraamistikuga (artikkel 93), ning

iii) vaidlustamismenetlus, millega tagatakse vastavushindamisasutustele kehtestatud nõuete

täitmine (artikkel 94).

3. jaos sätestatakse õigused ja õiguskaitsevahendid seoses sertifitseerimisotsustega

(artikkel 96) ning nõutakse, et liikmesriigid kehtestaksid ja jõustaksid proportsionaalsed

karistused õigusnormide rikkumiste eest.

IV JAOTIS

I peatüki artiklis 98 sätestatakse usaldusväärse IKT tarneahela raamistiku kohaldamisala.

Raamistikus käsitletakse mittetehnilisi riske direktiivis (EL) 2022/2555 osutatud kriitilise

tähtsusega sektorites ja muudes kriitilise tähtsusega sektorites. Selle mehhanismiga

määratakse kindlaks kriitilise tähtsusega IKT tarneahelate olulised IKT-varad ning

sätestatakse asjakohased ja proportsionaalsed leevendusmeetmed direktiivi (EL) 2022/2555 I

ja II lisas osutatud liiki üksuste jaoks. Raamistik põhineb komisjoni või vähemalt kolme

liikmesriigi taotlusel korraldatavatel liidu tasandi koordineeritud turvariskide hindamistel.

Artiklis 99 kirjeldatakse üksikasjalikult, kuidas neid riskihindamisi tehakse, ja nähakse ette, et

nende raames tuleks välja pakkuda ka leevendusmeetmeid. Riskihindamine tuleks lõpule viia

kuue kuu jooksul alates taotluse esitamisest. Komisjoni taotlusel võib võrgu- ja infoturbe

koostöörühm nõustuda lühema tähtajaga. Raamistikuga nähakse ette võimalus rakendada

kiirmenetlust, kui viivitamatu sekkumine on põhjendatud, et säilitada siseturu nõuetekohane

toimimine, ja kui komisjonil on piisavalt põhjust arvata, et seoses kriitilise tähtsusega IKT

tarneahelatega ähvardab liigu julgeolekut märkimisväärne küberoht. Sellisel juhul

konsulteerib komisjon liikmesriikidega ühe või mitme leevendusmeetme võtmise vajaduse üle

ja viib läbi riskihindamise. Artiklis 100 sätestatakse, et kui artiklis 99 osutatud

riskihindamisest või muust allikast, näiteks liidu või liikmesriigi nimel tehtud avalikust

avaldusest ilmneb, et kolmas riik põhjustab IKT tarneahelatele tõsiseid ja struktuurseid

mittetehnilisi riske, kontrollib komisjon asjaomasest riigist tulenevat ohtu, võttes arvesse

artiklis 100 loetletud elemente. Juhuks, kui komisjon jõuab järeldusele, et kolmas riik

põhjustab IKT tarneahelatele tõsiseid ja struktuurseid mittetehnilisi riske, sätestatakse

artiklis 100 menetlus, mille kohaselt komisjon nimetab asjaomase kolmanda riigi IKT

tarneahelate küberturvalisuse seisukohast muret tekitavaks riigiks. Üksustel, mis on asutatud

selle artikli kohaselt küberturvalisuse seisukohast muret tekitavaks nimetatud kolmandas riigis

või on sellise kolmanda riigi, selles asutatud üksuse või selle kodaniku kontrolli all, ei ole

lubatud tegeleda mitme selles artiklis kindlaks määratud tegevusega. Artikliga 101 nähakse

ette üldine IKT tarneahela mehhanism, mille kohaselt võib komisjon pärast turvariski

hindamist, mille on teinud artikli 99 kohaselt võrgu- ja infoturbe koostöörühm või komisjon

ise, võtta artiklites 102 ja 103 sätestatud meetmeid.

ET 20 ET

Komisjon saab rakendusaktidega kindlaks määrata olulised IKT-varad, mida direktiivi

(EL) 2022/2555 I ja II lisas osutatud üksused kasutavad toodete tootmiseks ja teenuste

osutamiseks. Artiklis 102 kirjeldatakse üksikasjalikumalt elemente, mida tuleb arvesse võtta

oluliste IKT-varade kindlaksmääramisel. Artikliga 103 kehtestatakse võimalikud

leevendusmeetmed IKT tarneahelas. Komisjon võib võtta rakendusaktidega vastu otsuseid, et

kriitilise tähtsusega sektorites ja muudes kriitilise tähtsusega sektorites tegutsevate üksuste

suhtes tuleb kohaldada selles artiklis kirjeldatud konkreetseid leevendusmeetmeid.

Komisjon kehtestab rakendusaktidega loetelud suure riskiga tarnijatest, kelle suhtes

kohaldatakse artikli 103 lõike 1 või 7 kohaselt vastu võetud rakendusaktides sätestatud keelde

või artikli 110 lõikes 1 osutatud keeldu, olles hinnanud tarnijate tegutsemist ning omandi- ja

kontrollistruktuure. Komisjon peaks konsulteerima asjaomaste tarnijate ja pädevate asutustega

(artikkel 104).

Üksus, mis on asutatud artikli 100 kohaselt küberturvalisuse seisukohast muret tekitavaks

nimetatud kolmandas riigis või on sellisest kolmandast riigist pärit üksuse kontrolli all, võib

taotleda luba pakkuda direktiivi (EL) 2022/2555 I ja II lisas osutatud liiki üksuste oluliste

IKT-varade IKT-komponente ning osaleda selliste IKT-komponentidega seotud riigihangetes.

Artiklis 105 täpsustatakse, mida selline taotlus peaks sisaldama ja milline on sellise erandi

tegemise kord. Artiklis 106 sätestatakse kõnealuste üksuste kaitseõigus. Komisjon peab

erandeid käsitlevate otsuste avalikku registrit (artikkel 107). Artiklites 108 ja 109 sätestatakse

erandi tegemisega seotud konfidentsiaalsuseeskirjad ja tasud.

II peatükis nähakse ette usaldusväärse IKT tarneahela raamistiku kohaldamine elektroonilise

side mobiili-, püsi- ja satelliitvõrkude suhtes, millega tagatakse kooskõla kavandatava

digivõrkude õigusaktiga.

Elektroonilise side mobiili-, püsi- ja satelliitvõrkude olulised IKT-varad sätestatakse II lisas.

Üleminekuperiood suure riskiga tarnijatelt mobiilivõrgu oluliste IKT-varade jaoks saadud

IKT-komponentide järkjärguliseks kasutuselt kõrvaldamiseks ei tohi olla pikem kui 36 kuud

alates käesoleva määruse jõustumisest. Üleminekuperioodid elektroonilise side püsi- ja

satelliitvõrkude jaoks määrab komisjon kindlaks rakendusaktidega. Komisjonil on õigus võtta

vastu delegeeritud õigusakte, et muuta kindlaksmääratud olulisi IKT-varasid ja

üleminekuperioode, sh tulevaste mobiilsidepõlvkondade jaoks (artikkel 110). Artiklis 111

sätestatakse, et elektroonilise side mobiili-, püsi- ja satelliitvõrkude pakkujad ei tohi mingil

kujul kasutada, paigaldada ega integreerida suure riskiga tarnijate IKT-komponente ning et

neile ei saa anda üldist ega individuaalset luba.

Pädevad asutused, järelevalve ja täitmise tagamine, jurisdiktsioon, kaitseõigus

(III peatükk)

III peatükis sätestatakse normid pädevate asutuste, järelevalve, täitmise tagamise ja

jurisdiktsiooni kohta.

Artiklites 112–114 määratakse kindlaks liikmesriikide volitused, vahendid ja vastutus

IV jaotise sätete rakendamise ja täitmise tagamisel. Liikmesriigid peavad määrama ühe või

mitu pädevat asutust, millest tuleb komisjonile teatada. Artikliga 113 nähakse ette, et

komisjon loob liikmesriikide pädevate asutuste ja komisjoni koostöövõrgustiku, et hõlbustada

nõuete täitmist, ning artiklis 114 määratakse kindlaks järelevalve- ja täitemeetmed, mida

pädevatel asutustel on õigus võtta. Artiklis 115 sätestatakse karistused IV jaotise sätete

rikkumise eest. Artiklis 116 kirjeldatakse üksikasjalikult liikmesriikide võimalust üksteist

abistada, kui üksuste tegevus on piiriülene või kui nende olulised IKT-varad asuvad mitmes

liikmesriigis. Artiklis 117 sätestatakse kohtualluvust ja territoriaalsust käsitlevad normid.

ET 21 ET

VI JAOTIS. LÕPPSÄTTED

Kavandatud määruse VI jaotis sisaldab lõppsätteid, mis käsitlevad rakendusaktide ja

delegeeritud õigusaktide vastuvõtmist, kavandatud määruse hindamist ning määruse

(EL) 2019/881 kehtetuks tunnistamist ja jätkamist. Selles sätestatakse ka kavandatud määruse

jõustumise kuupäev.

ET 22 ET

2026/0011 (COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS,

mis käsitleb Euroopa Liidu Küberturvalisuse Ametit (ENISA), Euroopa

küberturvalisuse sertifitseerimise raamistikku ja IKT tarneahela turvalisust ning

millega tunnistatakse kehtetuks määrus (EL) 2019/881 (küberturvalisuse 2. määrus)

(EMPs kohaldatav tekst)

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artiklit 114,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust24,

võttes arvesse Regioonide Komitee arvamust25,

toimides seadusandliku tavamenetluse kohaselt

ning arvestades järgmist:

(1) Pärast Euroopa Parlamendi ja nõukogu määruse (EL) 2019/88126 vastuvõtmist on

geopoliitiline olukord ning tehnoloogia- ja poliitikamaastik märkimisväärselt

muutunud. Küberintsidendid, olgu need põhjustatud süsteemirikkest, inimlikust

eksimusest, pahatahtlikust tegevusest või loodusnähtustest, on järsult sagenenud ja

küberründed on muutunud keerukamaks, kahjustades elutähtsaid üksusi, ettevõtjaid ja

üldsust. Küberkuritegevuse ökosüsteem on laienenud, kusjuures selle keskmes on

lunavararünded. Sagedamaks on muutunud ka tarneahelat kahjustavad intsidendid,

mida põhjustavad kurjategijad rahalise kasu saamiseks või riiklikud osalejad häirete,

spionaaži, desinformatsiooni või sõjategevuse huvides. Olles osa laiemast

hübriidstrateegiast, levivad pahatahtlikust kübertegevusest ja süsteemiriketest

tulenevad intsidendid kaugemale ning häirivad olulisi teenuseid, õõnestavad usaldust

institutsioonide vastu ning mõjutavad liidu ühiskonna valmisolekut ja kaitsevalmidust.

Sellised intsidendid on tõestanud oma potentsiaali mõjutada majandustegevust,

finantsstabiilsust ja inimeste elu. Samal ajal seab elutähtsa tsiviiltaristu ja elutähtsate

tsiviilsüsteemide haavatavus ohtu tsiviiltaristule ja -süsteemidele tugineva

kaitsevõime.

24 ELT C […], lk […]. 25 ELT C […], lk […]. 26 Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrus (EL) 2019/881, mis käsitleb ENISAt

(Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse

sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus)

(ELT L 151, 7.6.2019, lk 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj).

ET 23 ET

(2) Samaaegselt avaldavad küberturvalisusele ja küberkaitsele murrangulist mõju

kujunemisjärgus tehnoloogiad, nagu tehisintellekt ja kvantarvutus. Need toovad kaasa

kaitsevahendite ja vastaste taktika ümberkujundamise, seades niiviisi ohtu

küberturvalisuse ja küberkaitse, ent pakuvad samuti võimalusi tehnoloogia arenguks.

Kujunemisjärgus tehnoloogiad võivad aidata küberturvalisust parandada, tõhustades

ohtude avastamist või automaatset reageerimist intsidentidele, kuid need suurendavad

ka organisatsioonide üldist ründepinda, need võivad olla manipuleerimise sihtmärk

ning need võivad kahjustada turbemeetmete, näiteks krüpteerimise pikaajalist

elujõulisust.

(3) Selle arengu arvessevõtmiseks on liit tõhustanud oma õiguslikke ja poliitilisi

vahendeid. Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2022/255527

tugevdatakse elutähtsa taristu küberturvalisust; füüsilise julgeoleku osas täiendab seda

direktiivi Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/255728. Euroopa

Parlamendi ja nõukogu määrusega (EL) 2024/284729 edendatakse digielemente

sisaldavate toodete küberturvalisust. Euroopa Parlamendi ja nõukogu määrusega

(EL) 2025/3830 suurendatakse liidu ühist reageerimissuutlikkust ning nõukogu 6. juuni

2025. aasta soovitusega ELi küberkriiside ohjamise tegevuskava kohta31 (edaspidi

„kübervaldkonna tegevuskava käsitlev soovitus“) toetatakse liidu tasandi koostööd

kriisiohje valdkonnas. 5G küberturvalisuse meetmepakett32 on esimene samm liidu

tasandi koordineeritud lähenemisviisi suunas 5G-võrkude turvalisuse tagamiseks.

Komisjoni teatises küberturbeoskuste akadeemia kohta33 käsitletakse küberturvalisuse

valdkonna talendinappuse üha suuremat probleemi. Peale selle on küberturvalisuse

raamistikku tõhustatud valdkondlike õigusaktidega, eelkõige Euroopa Parlamendi ja

nõukogu määrusega (EL) 2022/255434 finantssektori puhul, komisjoni delegeeritud

27 Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb

meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse

määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv

(EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80, ELI:

http://data.europa.eu/eli/dir/2022/2555/oj). 28 Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2557, mis käsitleb

elutähtsa teenuse osutajate toimepidevust ja millega tunnistatakse kehtetuks nõukogu

direktiiv 2008/114/EÜ (ELT L 333, 27.12.2022, lk 164, ELI: http://data.europa.eu/eli/dir/2022/2557/oj). 29 Euroopa Parlamendi ja nõukogu 23. oktoobri 2024. aasta määrus (EL) 2024/2847, mis käsitleb

digielemente sisaldavate toodete küberturvalisuse horisontaalseid nõudeid ja millega muudetakse

määrusi (EL) nr 168/2013 ja (EL) 2019/1020 ning direktiivi (EL) 2020/1828 (küberkerksuse määrus)

(ELT L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj). 30 Euroopa Parlamendi ja nõukogu 19. detsembri 2024. aasta määrus (EL) 2025/38, millega nähakse ette

meetmed, et tugevdada liidus solidaarsust ja suurendada suutlikkust küberohtude ja intsidentide

avastamiseks, nendeks valmistumiseks ja neile reageerimiseks, ning millega muudetakse määrust

(EL) 2021/694 (kübersolidaarsuse määrus) (ELT L, 2025/38, 15.1.2025, ELI:

http://data.europa.eu/eli/reg/2025/38/oj). 31 ELT C, C/2025/3445, 20.6.2025, ELI: http://data.europa.eu/eli/C/2025/3445/oj. 32 Võrgu- ja infoturbe koostöörühm, „Cybersecurity of 5G networks – EU Toolbox of risk mitigating

measures“ (5G-võrkude küberturvalisus – ELi riskimaandamismeetmete pakett), CG Publication

1/2020, https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-networks-eu-toolbox-risk-

mitigating-measures. 33 Komisjoni 18. aprilli 2023. aasta teatis Euroopa Parlamendile ja nõukogule „Korvata küberturvalisuse

valdkonna talendinappus edendamaks ELi konkurentsivõimet, majanduskasvu ja kerksust

(„Küberturbeoskuste akadeemia“), COM(2023) 207 final. 34 Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb

finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL)

nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1,

ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

ET 24 ET

määrusega (EL) 2024/136635 elektri allsektori puhul, komisjoni delegeeritud

määrusega (EL) 2022/164536 ja komisjoni rakendusmäärusega (EL) 2023/203,37

samuti asjakohaste lennundusjulgestusnormidega, mis on sätestatud komisjoni

määruses (EL) 2019/158338 lennutranspordi allsektori jaoks, ning muude

poliitikadokumentidega, nagu komisjoni teatis Euroopa haiglate ja tervishoiuteenuse

osutajate küberturvalisuse tegevuskava kohta39. Liidu üksusi tugevdatakse ka Euroopa

Parlamendi ja nõukogu määrusega (EL, Euratom) 2023/2841,40 millega on nähtud ette

meetmed, mille eesmärk on saavutada küberturvalisuse ühtlaselt kõrge tase liidu

institutsioonides, organites ja asutustes. Selle küberturvalisust käsitleva tõhustatud

õigusraamistikuga on veelgi täpsustatud ENISA ülesandeid.

(4) Sellega seoses – nagu on öeldud Euroopa sisejulgeoleku strateegias ProtectEU,41 mis

täiendab ELi kriisivalmiduse strateegiat,42 – on liidu ühiskonna ja majanduse

valmisoleku, turvalisuse ja vastupanuvõime tagamiseks vaja tugevat koordineerimist

Euroopa tasandil, usaldust ja teabevahetust sidusrühmade vahel, tugevaid raamistikke

IKT-toodete, -teenuste ja -protsesside ning hallatud turbeteenuste turvalisuse

tagamiseks ning küberturvalisuse valdkonna tööjõu suurendamist ja tugevdamist.

Strateegias kutsutakse ka üles tugevdama IKT tarneahelaid, tagades oluliste varade

puhul Euroopa tehnoloogilise suveräänsuse, mis suurendaks liidu vastupanuvõimet ja

35 Komisjoni 11. märtsi 2024. aasta delegeeritud määrus (EL) 2024/1366, millega täiendatakse Euroopa

Parlamendi ja nõukogu määrust (EL) 2019/943 ning kehtestatakse võrgueeskiri piiriüleste

elektrivoogude küberturvalisust käsitlevate sektoripõhiste normide kohta (ELT L, 2024/1366,

24.5.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1366/oj). 36 Komisjoni 14. juuli 2022. aasta delegeeritud määrus (EL) 2022/1645, millega kehtestatakse Euroopa

Parlamendi ja nõukogu määruse (EL) 2018/1139 rakendamise eeskirjad nõuete osas, mis on seotud

selliste infoturvariskide juhtimisega, mis võivad mõjutada komisjoni määrustega (EL) nr 748/2012 ja

(EL) nr 139/2014 hõlmatud organisatsioonide lennuohutust, ning muudetakse komisjoni määrusi (EL)

nr 748/2012 ja (EL) nr 139/2014 (ELT L 248, 26.9.2022, lk 18–31,

ELI: http://data.europa.eu/eli/reg_del/2022/1645/oj). 37 Komisjoni 27. oktoobri 2022. aasta rakendusmäärus (EL) 2023/203, millega kehtestatakse Euroopa

Parlamendi ja nõukogu määruse (EL) 2018/1139 rakendamise eeskirjad nõuete osas, mis on seotud

selliste infoturvariskide juhtimisega, mis võivad mõjutada lennuohutust ning mida kohaldatakse

komisjoni määrustega (EL) nr 1321/2014, (EL) nr 965/2012, (EL) nr 1178/2011, (EL) 2015/340 ning

komisjoni rakendusmäärustega (EL) 2017/373 ja (EL) 2021/664 hõlmatud organisatsioonide ning

komisjoni määrustega (EL) nr 748/2012, (EL) nr 1321/2014, (EL) nr 965/2012, (EL) nr 1178/2011,

(EL) 2015/340 ja (EL) nr 139/2014, komisjoni rakendusmäärustega (EL) 2017/373 ja (EL) 2021/664

hõlmatud pädevate asutuste suhtes, ning muudetakse komisjoni määrusi (EL) nr 1178/2011, (EL)

nr 748/2012, (EL) nr 965/2012, (EL) nr 139/2014, (EL) nr 1321/2014, (EL) 2015/340 ning komisjoni

rakendusmäärusi (EL) 2017/373 ja (EL) 2021/664 (ELT L 31, 2.2.2023, lk 1, ELI:

http://data.europa.eu/eli/reg_impl/2023/203/oj). 38 Komisjoni 25. septembri 2019. aasta rakendusmäärus (EL) 2019/1583, millega muudetakse komisjoni

rakendusmäärust (EL) 2015/1998 (millega nähakse ette lennundusjulgestuse ühiste põhistandardite

rakendamise üksikasjalikud meetmed) küberkaitsemeetmete osas (ELT L 246, 26.9.2019, lk 15–18,

ELI: http://data.europa.eu/eli/reg_impl/2019/1583/oj). 39 Komisjoni 15. jaanuari 2025. aasta teatis Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja

Sotsiaalkomiteele ning Regioonide Komiteele „Euroopa haiglate ja tervishoiuteenuse osutajate

küberturvalisuse tegevuskava“, COM(2025) 10 final. 40 Euroopa Parlamendi ja nõukogu 13. detsembri 2023. aasta määrus (EL, Euratom) 2023/2841, millega

nähakse ette meetmed küberturvalisuse ühtlaselt kõrge taseme tagamiseks liidu institutsioonides,

organites ja asutustes (ELT L, 2023/2841, 18.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2841/oj). 41 Komisjoni 1. aprilli 2025. aasta teatis Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja

Sotsiaalkomiteele ning Regioonide Komiteele „Euroopa sisejulgeoleku strateegia ProtectEU“,

COM(2025) 148 final. 42 Ühisteatis Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide

Komiteele ELi kriisivalmiduse strateegia kohta, JOIN(2025) 130 final.

ET 25 ET

millest võiks olla kasu küberkaitsealaste jõupingutuste tegemisel. Peale selle peetakse

ELi majandusjulgeoleku tugevdamist käsitlevas teatises43 esmatähtsaks vajadust

takistada juurdepääsu tundlikule teabele ja andmetele, mis võib kahjustada ELi

majandusjulgeolekut, ning ennetada ja leevendada ELi majandust mõjutavaid ELi

elutähtsa taristu häireid. Teatises tunnistatakse, et selles mängivad olulist rolli tõhusad

küberturvalisuse meetmed.

(5) Ulatuslikud küberintsidendid, mis kahjustavad elutähtsat taristut, digiteenuseid või

olulisi ühiskondlikke funktsioone, võivad avaldada mõju elanikkonnale, mistõttu on

vaja võtta liidu tasandil koordineeritud elanikkonnakaitse- ja kriisiohjemeetmeid.

Kooskõlas kõiki ohte hõlmava lähenemisviisiga, mis on sätestatud Euroopa

kriisivalmiduse strateegias ja liidu elanikkonnakaitse mehhanismi käsitlevas otsuses

nr 1313/2013/EL, tuleks käesoleva määruse kohast olukorrateadlikkuse, intsidentidele

reageerimise ja õppuste korda kasutada liidu kriisiohjes, eelkõige hädaolukordadele

reageerimise koordineerimiskeskuse (ERCC) kaudu.

(6) Käesolev ettepanek on kooskõlas seda täiendava [ettepanekuga võtta vastu direktiiv,

millega täiendatakse [määruse (EL) 2019/881 läbivaatamist] ja muudetakse direktiivi

(EL) 2022/2555 seoses küberturvalisuse ühtlaselt kõrge taseme tagamise meetmete

rakendamise lihtsustamisega kogu liidus] ning [ettepanekuga võtta vastu määrus

digivaldkonna õigusaktide lihtsustamise kohta (digivaldkonna koondpakett)],44

millega nähakse ette ENISA kohustus luua intsidentidest teatamise jaoks ühtne

kontaktpunkt, mis võimaldab üksustel samaaegselt täita mitme õigusakti kohaseid

intsidentidest teatamise kohustusi.

(7) ENISA loodi Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 460/200445 selleks,

et aidata kaasa kõrgetasemelise ja toimiva võrgu- ja infoturbe tagamisele liidus ning

arendada võrgu- ja infoturbekultuuri kodanike, tarbijate, ettevõtete ja ametiasutuste

heaks. ENISA volitusi pikendati kolm korda, enne kui talle anti määrusega

(EL) 2019/881 alalised volitused. Selleks et paremini rahuldada muutuval ohu- ja

tehnoloogiamaastikul tekkivaid vajadusi, eelkõige mis puudutab operatiivkoostööd ja

suurenenud vajadust küberturbespetsialistide järele, tuleks ENISA volitusi veelgi

tugevdada. Õiguskindluse huvides tuleks määrus (EL) 2019/881 asendada.

(8) Muutuval ohumaastikul, kus küberintsidendid on üha märkimisväärsemad, on olulisem

kui kunagi varem suurendada üksikisikute, avaliku sektori asutuste ja ettevõtjate

usaldust igapäevaselt kasutatava tehnoloogia vastu. Usalduse suurendamisele saab

kaasa aidata Euroopa küberturvalisuse sertifitseerimise raamistiku kohase kogu liitu

hõlmava sertifitseerimise tõhustamisega, et tagada ühised küberturvalisuse nõuded ja

hindamiskriteeriumid kõigi liikmesriikide turgudel ja kõigis sektorites. Uues

raamistikus tuleks sätestada Euroopa küberturvalisuse sertifitseerimise kavade

peamised horisontaalsed nõuded ning võimaldada tunnustada ja kasutada Euroopa

küberturvalisuse sertifikaate ja ELi vastavusdeklaratsioone kõigis liikmesriikides.

Sellega tuleks kehtestada menetlus ja juhtimisraamistik, mis võimaldab Euroopa

küberturvalisuse sertifitseerimise kavade õigeaegset ja prognoositavat väljatöötamist

ja haldamist. Euroopa küberturvalisuse sertifitseerimise kavu tuleks kohaldada

43 Ühisteatis Euroopa Parlamendile ja nõukogule „ELi majandusjulgeoleku tugevdamine“,

JOIN(2025) 977 final. 44 COM(2025) 837 final. 45 Euroopa Parlamendi ja nõukogu 10. märtsi 2004. aasta määrus (EÜ) nr 460/2004, millega luuakse

Euroopa Võrgu- ja Infoturbeamet (ELT L 77, 13.3.2004, lk 1, ELI:

http://data.europa.eu/eli/reg/2004/460/oj).

ET 26 ET

kõikides liikmesriikides ühetaoliselt, et tagada küberturvalisuse nõuete ühtlustatud

rakendamine, luua võrdsed tingimused ja vältida soodsama sertifitseerimise otsimist,

mida põhjustaks nõuete erinev rangus liikmesriikides. ENISA-l peaks olema kavade

väljatöötamisel keskne roll tänu tehnilistele kirjeldustele ja selle tagamisele, et kavad

püsivad tehniliselt ajakohased. Selleks et rahuldada tulemuslikult turu vajadusi, tuleks

raamistikuga näha lisaks ette võimalus sertifitseerida üksustele suunatud küberriskide

juhtimise meetmeid ja hõlbustada küberturvalisuse valdkonnas kohaldatavate muude

liidu õigusaktide järgimist. Kooskõla kehtiva liidu õigusega, näiteks määrusega

(EL) 2024/2847 ja direktiiviga (EL) 2022/2555, on oluline selleks, et Euroopa

küberturvalisuse sertifitseerimise kavad aitaksid vähendada ettevõtjate nõuete

täitmisega seotud koormust, suurendada kavade atraktiivsust ja tugevdada liidu

küberkerksust.

(9) ENISA missioon peaks olema toetada liikmesriike ja liidu üksusi, et saavutada liidus

küberturvalisuse, vastupanuvõime ja usalduse kõrge tase. Selleks peaks ENISA

tegutsema küberturvalisuse alast nõu ja eksperditeadmisi pakkuva kontaktüksusena

ning keskenduma oma liidu tasandil tehtavas töös neljale küberturvalisuse

põhivaldkonnale. Esiteks peaks ENISA toetama liikmesriike küberturvalisust käsitleva

liidu poliitika ja õigusaktide järjekindlal rakendamisel ning abistama liikmesriike

suutlikkuse suurendamise meetmete kaudu, et pidevalt parandada liikmesriikide

valmisolekut, vastupanuvõimet ja reageerimissuutlikkust. Teiseks peaks ENISA

aitama liidu tasandil kaasa liikmesriikide operatiivkoostööle ning küberohtude ja -

intsidentide alase ühise olukorrateadlikkuse suurendamisele liikmesriikide ja liidu

üksuste seas. Kolmas põhivaldkond peaks olema küberturvalisuse sertifitseerimine ja

standardimine ning neljas küberturbeoskuste akadeemia rakendamine, mis peaks

aitama kaasa liikmesriikide vahel ülekantavaid oskusi omava Euroopa

küberturvalisuse valdkonna töötajaskonna jõudsale arengule.

(10) Määruses (EL, Euratom) 2023/2841, millega nähakse ette meetmed küberturvalisuse

ühtlaselt kõrge taseme tagamiseks liidu institutsioonides, organites ja asutustes, on

sätestatud CERT-EU kui liidu institutsioonide, organite ja asutuste küberturvalisuse

teenistuse volitused, et aidata kaasa liidu üksuste salastamata IKT-keskkonna

turvalisusele, andes neile küberturvalisuse alast nõu, toetades neid intsidentide

ennetamisel, avastamisel, käsitlemisel, leevendamisel, neile reageerimisel ja neist

taastumisel ning tegutsedes nende küberturvalisuse alase teabevahetuse ja

intsidentidele reageerimise koordineerimise keskusena. Peale selle on CERT-EU

ülesanne pakkuda liidu üksustele asjakohaseid küberturbeteenuseid. Osana oma

missioonist peaks ENISA toetama ka liidu üksusi. Eelkõige peaks ta selleks tegema

CERT-EUga struktureeritud koostööd suutlikkuse suurendamise, operatiivkoostöö ja

küberohtude pikaajalise strateegilise analüüsi valdkonnas. Kui see on asjakohane, võib

ENISA struktureeritud koostööd CERT-EUga võimendada, et pakkuda oma

küberturbeteenuseid või tuge, millel võib olla liidu üksuste jaoks lisaväärtus, tehes

seda koordineeritud viisil, et tagada CERT-EU jõupingutuste koostoime.

(11) ENISA üks põhiülesandeid peaks olema toetada liikmesriike küberturvalisust

käsitlevate liidu poliitikameetmete ja õiguse, eelkõige direktiivi (EL) 2022/2555,

määruse (EL) 2024/2847 ja määruse (EL) 2025/38 järjekindlal rakendamisel. Selleks

et aidata saavutada liidu küberturvalisuse acquis’ järjekindel ja tõhus rakendamine,

peaks ENISA avaldama tehnilisi suuniseid ja aruandeid, andma nõu ja jagama

parimaid tavasid ning hõlbustama parimate tavade vahetamist pädevate asutuste vahel.

Lisaks hindab ENISA küberturvalisuse olukorda liidus ja võtab selle kohta vastu

aruande kooskõlas direktiivi (EL) 2022/2555 artikliga 18. Samuti peaks ENISA-l

ET 27 ET

olema võimalik reageerida liikmesriikide ja vajaduse korral liidu üksuste nõuande- ja

abitaotlustele enda pädevusse kuuluvates küsimustes.

(12) Selleks et soodustada avaliku ja erasektori vahelist ning erasektori sisest koostööd,

eelkõige eesmärgiga toetada elutähtsa taristu kaitset, peaks ENISA toetama teabe

jagamist sektorite sees ja vahel, eriti mis puudutab direktiivi (EL) 2022/2555 I ja

II lisas loetletud sektoreid, ning teabe jagamist määruse (EL) 2024/2847

kohaldamisalasse kuuluvate digielemente sisaldavate toodete kohta. Pakutav tugi võib

seisneda olemasolevate vahendite ja menetlustega seotud parimate tavade ja suuniste

jagamises ning suuniste andmises selle kohta, kuidas lahendada teabe jagamisega

seotud regulatiivseid küsimusi näiteks hõlbustades valdkondlike teabe jagamise ja

analüüsimise keskuste loomist.

(13) Strateegilise koostöö ja teabevahetuse toetamiseks ja lihtsustamiseks peaks ENISA

aitama kaasa direktiiviga (EL) 2022/2555 loodud võrgu- ja infoturbe koostöörühma

tööle, eelkõige pakkudes eksperditeadmisi ja andes nõu ning hõlbustades parimate

tavade vahetamist riskide ja intsidentide kohta, muu hulgas seoses piiriüleste

sõltuvustega. ENISA peaks aitama kaasa ka Euroopa Parlamendi ja nõukogu

määrusega (EL) nr 910/201446 loodud Euroopa digiidentiteedi koostöörühma, Euroopa

küberturvalisuse sertifitseerimise rühma ja määrusega (EL) 2024/2847 loodud

halduskoostöörühma tööle.

(14) Avatud interneti avalik tuum, nimelt selle põhilised protokollid ja taristu, mis on

üleilmne avalik hüve, tagab interneti kui terviku põhifunktsionaalsuse ja toetab selle

tavapärast toimimist. ENISA peaks oma volituste piires toetama avatud interneti

avaliku tuuma turvalisust ja kerksust ning selle toimimise stabiilsust, sh

põhiprotokollide (eelkõige domeeninimede süsteem, piirilüüsi protokoll ja

internetiprotokolli versioon 6) turvalist kasutuselevõttu ja käitamist ning

domeeninimede süsteemi (nt kõigi tippdomeenide) käitamist, edendades parimaid

tavasid, suuniseid ja koostööd kooskõlas väljakujunenud ülemaailmse mitut

sidusrühma hõlmava interneti haldamise korraga ning asjaomaste rahvusvaheliste

tehniliste ja operatiivasutuste vastavate rollide ja kohustustega.

(15) ENISA tegutseb küberturvalisuse alast nõu ja eksperditeadmisi pakkuva

kontaktüksusena. Seepärast peaks ENISA komisjoni taotlusel abistama komisjoni

eksperditeadmiste, tehnilise nõu, teabe, analüüside, sh teostatavusuuringute, arvamuste

ja ettevalmistava tööga mis tahes konkreetses küberturvalisusega seotud küsimuses, et

anda komisjonile teavet poliitika kujundamiseks ja hõlbustada komisjoni järelevalvet

küberturvalisust käsitlevate liidu õigusaktide rakendamise üle.

(16) Samamoodi, võttes arvesse ENISA eksperditeadmisi, peaks ENISA abistama

liikmesriike nende püüdlustes luua ja parandada suutlikkust ja valmisolekut ennetada

ja avastada küberohte ja -intsidente ning neile reageerida, ning seoses võrgu- ja

infosüsteemide turvalisusega. Eeskätt peaks ENISA toetama direktiiviga

(EL) 2022/2555 ette nähtud küberintsidentidele reageerimise üksuste (CSIRTid)

arendamist ja tõhustamist, et saavutada nende ühtmoodi kõrge küpsuse tase kogu

liidus.

46 Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrus (EL) nr 910/2014 e-identimise ja e-

tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks

direktiiv 1999/93/EÜ (ELT L 257, 28.8.2014, lk 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).

ET 28 ET

(17) ENISA on toetanud ja peaks ka edaspidi toetama liikmesriike riiklikke

küberturvalisuse strateegiaid käsitlevate suuniste koostamisel ja rakendamisel, aidates

niiviisi kaasa nende strateegiate vastuvõtmisele ja rakendamisele kõigis

liikmesriikides. ENISA peaks edendama kõnealuste strateegiate levitamist

interaktiivse riiklike küberturvalisuse strateegiate kaardi kaudu ning peaks jätkuvalt

jälgima strateegiate rakendamisel tehtavaid edusamme, sealhulgas toetama sellega

seoses peamiste tulemusnäitajate väljatöötamist.

(18) Määrusega (EL, Euratom) 2023/2841 on antud institutsioonidevahelisele

küberturvalisuse nõukojale ülesanne toetada liidu üksusi nende turvaoleku taseme

tõstmisel ning CERT-EU-le ülesanne aidata kaasa kõigi liidu üksuste salastamata IKT-

keskkonna turvalisusele. Tuginedes oma kogemustele küberturvalisuse valdkonnas,

peaks ENISA seda nõukoda ja CERT-EUd nende ülesannete täitmisel toetama

vastavalt määrusele (EL, Euratom) 2023/2841, sh aidates kaasa küberohtude

analüüsile, olukorrateadlikkusele, küberturvalisuse õppustele, intsidentidele

reageerimise koordineerimisele ning oskusteabe ja parimate tavade vahetamisele.

(19) Võttes arvesse ENISA eksperditeadmisi, peaks ENISA liikmesriikide ja liidu avaliku

sektori asutuste suutlikkuse täiendamiseks pakkuma Euroopa küberturbeoskuste

raamistikku kasutades koolitusi, eelkõige et toetada poliitikameetmete tulemuslikku

rakendamist, operatiivkoostööd ja teadlikkuse suurendamist.

(20) Selleks et tagada koostoime küberturvalisuse valdkonna tööstuse, tehnoloogia ja

teadusuuringute Euroopa pädevuskeskusega ning Euroopa Parlamendi ja nõukogu

määruse (EL) 2021/88747 kohaselt loodud riiklike koordineerimiskeskuste

võrgustikuga, peaks ENISA neid toetama, jagades teavet praeguste ja tekkivate riskide

ja küberohtude, sh info- ja kommunikatsioonitehnoloogiaga seotud riskide ja ohtude

kohta.

(21) Kriisivalmiduse strateegias rõhutatakse, et selleks, et suurendada kodanike võimet

panna vastu võimalikele kriisidele, on oluline digikirjaoskus, mis sõltub

elementaarsete digioskuste omandamisest. Nagu on rõhutatud komisjoni teatises

oskuste liidu kohta,48 ei ole peaaegu pooltel täiskasvanutel paraku elementaarseid

digioskusi, kuigi neid on vaja rohkem kui 90 % töökohtadest. Kandmaks hoolt selle

eest, et praegustel ja potentsiaalsetel tulevastel töötajatel on kiiresti arenevas

digikeskkonnas vajalikud oskused, ning aitamaks kaasa Euroopa küberturvalisuse

talendireservi väljaarendamisele, peaks ENISA toetama küberturvalisuse alase

teadlikkuse suurendamise meetmeid, nagu Euroopa küberturvalisuse võistlus, mille

eesmärk on meelitada ligi talente ning aidata teavitada haridusest ja oskustest, mida

küberturvalisusega seoses vaja läheb. Sellega seoses peaks ENISA koordineerima

küberturvalisuse võistlusi, küberlahinguid ja sarnaseid praktilisi õppusi, et parandada

küberturvalisusega seotud oskusi ja edendada suutlikkuse suurendamist kogu liidus.

Teadlikkuse suurendamise meetmete võtmisel peaks ENISA tagama, et elluviidavad

meetmed vastavad riikide ametiasutuste ja liidu üksuste, ent samuti ettevõtjate,

eelkõige VKEde, ning haridus- ja koolitusasutuste vajadustele, pakkudes praktilisi

47 Euroopa Parlamendi ja nõukogu 20. mai 2021. aasta määrus (EL) 2021/887, millega luuakse

küberturvalisuse valdkonna tööstuse, tehnoloogia ja teadusuuringute Euroopa pädevuskeskus ning

riiklike koordineerimiskeskuste võrgustik (ELT L 202, 8.6.2021, lk 1, ELI:

http://data.europa.eu/eli/reg/2021/887/oj). 48 Komisjoni 5. märtsi 2025. aasta teatis Euroopa Parlamendile, Euroopa Ülemkogule, nõukogule,

Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele „Oskuste liit“,

COM(2025) 90 final.

ET 29 ET

raamistikke ja koolitusi, nagu terviklikud teadlikkuse suurendamise töövahendid.

ENISA peaks ka tulevikus koostama praktilisi ja rakendatavaid suuniseid, et toetada

küberturvalisust käsitleva liidu poliitika ja õigusaktide rakendamist. Samuti peaks

ENISA püüdma pakkuda asjakohast teavet kohaldatavate sertifitseerimiskavade kohta,

näiteks andes suuniseid ja soovitusi.

(22) Selleks et toetada küberturvalisuse sektoris tegutsevaid ettevõtjaid ja küberturvalisuse

lahenduste kasutajaid ning tagada käesoleva määruse III jaotise tõhus rakendamine,

peaks ENISA välja töötama n-ö turuseirekeskuse ja seda alal hoidma, analüüsides

korrapäraselt peamisi suundumusi nii küberturvalisuse turu nõudluse kui ka

pakkumise poolel ja levitades selle kohta teavet. Peale selle peaks ENISA selleks, et

toetada määruse (EL) 2025/38 kohaselt loodud ELi küberreservi kasutajad, koostama

ülevaate selliste kasutajate jaoks vajalikest teenustest ja nende teenuste

kättesaadavusest kooskõlas kõnealuse määrusega.

(23) Küberohud on üleilmne probleem. Küberturvalisuse parandamiseks, sh ühiste

käitumisnormide ja lähenemisviiside kindlaksmääramiseks, on vaja tihedamat

rahvusvahelist koostööd. Sellega seoses peaks ENISA toetama liidu koostööd

kolmandate riikidega, keskendudes liidu kandidaatriikidele, ja rahvusvaheliste

organisatsioonidega, näiteks NATOga, pakkudes vajaduse korral komisjonile ja

asjaomastele liidu üksustele vajalikke eksperditeadmisi ja analüüse. ENISA tegevus

rahvusvahelisel areenil peaks olema alati kooskõlas liidu prioriteetidega.

(24) Selleks et aidata saavutada küberturvalisuse kõrge tase liidus, peaks ENISA toetama

operatiivkoostööd liikmesriikide seas (koostöös CERT-EUga) ning liidu üksuste ja

sidusrühmade seas. Selleks tuleks ENISA rolli tugevdada. ENISAst peaks saama

CSIRTide võrgustiku liige, kes aitab kaasa võrgustikus toimuvale teabevahetusele ja

analüüsile. ENISA peaks veelgi edendama ja toetama asjaomaste CSIRTide vahelist

koostööd CSIRTide hallatavates või kaitstavates võrgustikes või taristutes esinevate

intsidentide, rünnete või häirete korral. ENISA aktiivne toetus CSIRTide võrgustiku ja

Euroopa küberkriisiga tegelevate kontaktasutuste võrgustiku (EU-CyCLONe) tööle

peaks võimaldama neil võrgustikel jätkata oma küpsustaseme tõstmist. ENISA roll

sellise koostöö toetamisel hõlmab võitlust ohtude vastu, mis ähvardavad

demokraatlike institutsioonide, valimiste ja muude protsesside turvalisust ja

terviklikkust ning elutähtsat taristut, millest need sõltuvad, kooskõlas teatisega

„Euroopa demokraatia kaitsekilp: tugevate ja vastupanuvõimeliste demokraatlike

riikide võimestamine“49.

(25) Selleks et toetada suutlikkuse suurendamist, operatiivkoostööd ja küberohtude

pikaajalist strateegilist analüüsi, peaks ENISA kasutama struktureeritud koostöö

raames, näiteks spetsiaalsete kokkulepete alusel, CERT-EU olemasolevaid tehnilisi ja

operatiivseid eksperditeadmisi.

(26) Selleks et tugevdada küberturvalisust kogu liidus ning tagada kiire ja tulemuslik

reageerimine küberohtudele, peaks ENISA pakkuma liikmesriikidele nende taotluse

korral tuge, sh andma nõu, kuidas parandada liikmesriikide intsidentide ennetamise,

avastamise, neile reageerimise ja neist taastumise suutlikkust, hõlbustama direktiivis

(EL) 2022/2555 määratletud oluliste intsidentide tehnilist käsitlemist, eelkõige

toetades tehniliste lahenduste vabatahtlikku jagamist liikmesriikide vahel, või tagama

küberohtude ja -intsidentide analüüsimise. ENISA peaks samuti abistama EU-

CyCLONe-t aruannete koostamisel liidu ja liikmesriikide poliitilise tasandi jaoks.

49 JOIN(2025) 791 final.

ET 30 ET

(27) Selleks et vähendada avatust välistele sekkumistele, manipuleerimist tarneahelaga ja

strateegiliste andmete väljaimbumist, peaks ENISA kasutama CSIRTide võrgustikus

ja EU-CyCLONe-s turvalisi sidevahendeid. Kübervaldkonna tegevuskava käsitleva

soovituse põhjal peaksid neid vahendeid pakkuma juriidilised isikud, kes on asutatud

liidus või keda loetakse liidus asutatuks ja kes on liikmesriigi või selle kodanike

kontrolli all.

(28) Selleks et parandada liidu tasandi valmisolekut ja reageerimist ulatuslike

küberintsidentide ja kriiside korral, peaks ENISA võtma küberturvalisuse alase

olukorrateadlikkusega seotud meetmeid.

(29) Juurdepääs kontrollitud ja usaldusväärsele küberohuteadmusele reaalaja on otsustava

tähtsusega, et suurendada liidus ühist olukorrateadlikkust. ENISA, komisjon, CERT-

EU ja Europoli juures tegutsev küberkuritegevuse vastase võitluse Euroopa keskus on

juba loonud küberohuteadmuse hoidlad, lähtudes oma konkreetsetest vajadustest.

ENISA ja muud asjaomased liidu üksused peaksid tegema vabatahtlikult koostööd, et

arendada kontrollitud ja usaldusväärse reaalaja küberohuteadmuse hoidlaid, ning

püüdma saavutada koostoimet, et tagada mastaabisääst ja tugevdada usaldusväärset

finantsjuhtimist. Sellesse töösse tuleks kaasata ka liidu valdkondlikud üksused, nagu

Euroopa Liidu Kosmoseprogrammi Amet. Üksused peaksid jagama ainult tuletatud

analüüse ja suundumusi ning taktikaid, meetodeid ja menetlusi, mitte töötlemata

andmeid, ning austada tuleks üksuste sõltumatust hallata oma küberohuteadmuse

elutsüklit kooskõlas oma volituste ja teadmisvajadust käsitlevate eeskirjadega.

(30) Selleks et aidata kaasa õigeaegsele ja koordineeritud reageerimisele, peaks ENISA-l

olema võimalik saata asjaomasele CSIRTile või asjaomastele CSIRTidele ning

vajaduse korral CSIRTide võrgustikule ja EU-CyCLONe-le varajasi hoiatusi

võimaliku või käimasoleva olulise või ulatusliku intsidendi või potentsiaalselt

piiriülese küberohu kohta, eelkõige seoses direktiivi (EL) 2022/2555 I ja II lisas

loetletud üksustega. Sellistes varajastes hoiatustes sisalduv teave võib hõlmata

avalikult teadaolevaid nõrkusi ja teavet selle kohta, kas need nõrkused mõjutavad

määruse (EL) 2024/2847 kohaldamisalasse kuuluvaid digielemente sisaldavaid

tooteid, samuti meetodeid ja menetlusi, rikkeindikaatoreid, kahjulikke taktikaid,

ohusubjektipõhist teavet ja soovitusi leevendusmeetmete kohta.

(31) Selleks et säilitada usaldus ja vältida teabe jagamise ohtu seadmist, on oluline, et

ENISA kasutaks nähtavaid märgiseid, mis näitavad, millises ulatuses võib tema

koostatud või saadud dokumenti või teavet edasi jagada. Samuti peaks ENISA oma

tegevuse eluviimiseks saadud dokumente või teavet kasutades võtma arvesse nähtavast

märgisest tulenevaid teabe edasise levitamise piiranguid.

(32) Selleks et aidata suurendada teadlikkust küberohu indikaatoritest ja soovitustest

leevendusmeetmete kohta, peaks ENISA tegema direktiivi (EL) 2022/2555 I ja II lisas

loetletud sektorites tegutsevatele üksustele kättesaadavaks varajase hoiatamise

teenuse. Sellised üldised vabatahtlikud varajased hoiatused peaksid tooma kasu

eelkõige VKEdele ja need tuleks esitada üldsusele kättesaadavas masinloetavas

vormingus. Selline vabatahtlik teenus on igal juhul eraldiseisev teenus, mis ei ole

seotud ühegi ENISA loodava või juba loodud avaliku ja erasektori partnerlusega.

(33) Selleks et toetada liidu küberturvalisuse alast ühist olukorrateadlikkust, peaks ENISA

koostama tihedas koostöös liikmesriikidega korrapäraselt ELi küberturvalisuse

tehnilise olukorra põhjalikke aruandeid intsidentide ja küberohtude kohta, võttes

aluseks avalikult kättesaadava teabe, omaenda tehtud analüüsid ja aruanded, mida on

temaga jaganud liikmesriikide CSIRTid või direktiivis (EL) 2022/2555 ettenähtud

ET 31 ET

riiklikud võrgu- ja infosüsteemide turbe ühtsed kontaktpunktid (mõlemad

vabatahtlikkuse alusel), Europol ja CERT-EU. Koostatud aruanne tuleks teha

kättesaadavaks nõukogule, Euroopa välisteenistusele, EU-CyCLONe-le, CSIRTide

võrgustikule, komisjonile ja Europolile.

(34) Selleks et suurendada sidusrühmade seas küberohtude ja -intsidentide alast ühist

olukorrateadlikkust, peaks ENISA analüüsima küberohtude ja -intsidentidega seotud

suundumusi. See peaks hõlmama korrapärast analüüsi, milles vaadeldakse direktiivi

(EL) 2022/2555 I ja II lisas loetletud kriitilise tähtsusega sektoreid ja muid kriitilise

tähtsusega sektoreid, sh tervishoiu-, energia- ja transpordisektorit. Muu hulgas tuleks

analüüsida sektorite küpsuse taset ja teha kindlaks konkreetsele sektorile omased

võimalikud probleemid. Kui see on asjakohane, tuleks analüüsis käsitleda määruse

(EL) 2024/2847 kohaldamisalasse kuuluvate tootekategooriatega seotud küberohte ja

suundumusi, et teha kindlaks mõju tarneahelale. ENISA peaks arendama

eksperditeadmisi taristute küberturvalisuse ja kriitilise tähtsusega tarneahela sõltuvuse

valdkonnas, eelkõige et toetada direktiivi (EL) 2022/2555 I ja II isas loetletud

sektoreid ning määruse (EL) 2024/2847 rakendamist. Selleks peaks ENISA tegema

asjakohasel juhul koostööd teiste asjaomaste liidu üksustega.

(35) Selleks et paremini mõista küberturvalisuse valdkonnas esinevaid probleeme, peab

ENISA lisaks analüüsima olemasolevaid ja kujunemisjärgus tehnoloogiaid ning andma

teemakohaseid hinnanguid küberturvalisuse valdkonna tehnoloogiliste uuenduste

eeldatava ühiskondliku, õigusliku, majandusliku ja regulatiivse mõju kohta. Selleks et

tagada üldsuse lihtsam juurdepääs teabele küberriskide ja võimalike vastumeetmete

kohta, võib ENISA esitada oma veebisaidil asjakohast teavet kasutajasõbralikul ja

hästi struktureeritud viisil.

(36) ENISA tugevdatud roll olukorrateadlikkuse parandamisel, ohtude analüüsimisel ja

tehnilise nõu andmisel aitab suurendada ühiseid jõupingutusi digielemente sisaldavate

toodete küberturvalisuse valdkonnas ja toetab määruse (EL) 2024/2847 rakendamist.

Vastavalt määrusele (EL) 2024/2847 võib ENISA teha turujärelevalveasutustele

ettepanekuid ühismeetmete kohta, et kontrollida digielemente sisaldavate toodete

nõuetelevastavust ja määrata kindlaks digielemente sisaldavate toodete kategooriad,

mille puhul võib korraldada lauskontrolle. Küberohtude analüüsist ja varajastest

hoiatustest saadav teave peaks tugevdama ENISA poolt neile asutustele pakutavat

toetust ning aitama tagada määruse (EL) 2024/2847 tulemusliku täitmise, et ennetada

küberrünnete mõju tarneahelale kogu siseturul ja suurendada liidu üldist valmisolekut.

(37) Märkimisväärne küberoht liidus on lunavararünded. Selleks et edendada liidu

küberturvalisust ja võidelda lunavara vastu, peaks ENISA suurendama

olukorrateadlikkuse alast suutlikkust ning intsidentidele reageerimiseks ja neist

taastumiseks pakutavat tuge. Aidates individuaalsetel elutähtsatel ja olulistel üksustel

lunavararünnetele reageerida ja neist taastuda, peaks ENISA tegema tihedat koostööd

Europoli ja vastavalt vajadusele CSIRTide või pädevate asutustega, et kasutada ära

Europoli kogemusi lunavarakuritegude vastu võitlemisel. Selline abi peaks täiendama

CSIRTide tegevust, millega toetatakse intsidentidele reageerimist. Lunavaravastases

töös koostoime saavutamiseks peaks ENISA looma kasutajatoe, mille jaoks võiks ta

koondada asjakohase suutlikkuse ja lunavaravastased teenused ning teha kergesti

kättesaadavaks teabe, suunised ja vahendid, mis võivad aidata elutähtsatel ja olulistel

üksustel lunavaraintsidentidele reageerida ja neist taastuda.

(38) ENISA peaks pakkuma komisjonile tehnilisi eksperditeadmisi ja tuge liidu tasandi

küberturvalisuse õppuste iga-aastase jooksva programmi koostamisel kooskõlas

ET 32 ET

kübervaldkonna tegevuskava käsitleva soovitusega, et valmistuda küberkriisideks,

testida sellistel õppustel osalevate üksuste küberturvalisuse taset ja minimeerida

jõupingutuste dubleerimist. ENISA peaks näiteks andma nõu õppuste asjakohase liigi

kohta (lauaõppus, hübriidõppus või täismahus reaalajas õppus), aga ka eesmärkide,

stsenaariumide ja osalemise kohta.

(39) Küberturvalisuse kõrge taseme tagamiseks siseturul on hädavajalikud juurdepääs

korrektsele ja õigeaegsele teabele nõrkuste kohta ning usaldusväärne nõrkusehaldus.

Seetõttu peaks ENISA pidama Euroopa nõrkuste andmebaasi vastavalt direktiivile

(EL) 2022/2555 ja looma liidu ühise nõrkusehalduse teenuste alase suutlikkuse,

tagades vastupidava ja kestliku teenuste taseme ning vähendades häirete riski. Selleks

peaks ENISA uurima võimalusi süvendada struktureeritud koostööd Euroopa nõrkuste

andmebaasiga sarnaste programmide, registrite või andmebaaside haldajatega, et

vältida jõupingutuste dubleerimist ja püüda asjakohasel juhul saavutada vastastikune

täiendavus rahvusvahelisel tasandil. Peale selle peaks ENISA toetama mitut osapoolt

puudutavate nõrkuste koordineeritud avalikustamist liidu tasandil ja pakkuma

lisaväärtusega teenuseid, nagu nõrkustega seotud nõustamine, raskusastme hindamine

ja toodete loetelud, ning pakkuma Euroopa teadaolevate ärakasutatavate nõrkuste

täiustatud kataloogi, et aidata üksustel hallata oma nõrkusi.

(40) ENISA volituste üks põhiaspekte peaks olema tema roll Euroopa küberturvalisuse

sertifitseerimise raamistiku arendamisel. ENISA peaks pakkuma tehnilisi

eksperditeadmisi kogu Euroopa küberturvalisuse sertifitseerimise kavade elutsükli

vältel. ENISA peaks kindlaks tegema olemasolevad standardid või tehnilised

kirjeldused, mida saab aluseks võtta tulevaste kavade väljatöötamisel, ja vajaduse

korral koostama tehnilised kirjeldused, millele neis kavades viidata. ENISA peaks

juhtima ettevalmistava kava koostamist pärast komisjon sellekohast taotlust. ENISA

peaks vastutama olemasolevate kavade haldamise eest. Seda tehes peaks ENISA

aitama kujundada ja arendada sellist sertifitseerimise ökosüsteemi, kus küsitakse

liikmesriikidelt ja erasektori sidusrühmadelt tagasisidet ning suurendatakse nende

sertifitseerimissuutlikkust. See peaks hõlmama spetsiaalse sertifitseerimise veebisaiti,

kus on vabalt ja avalikult kättesaadav asjakohane teave vastuvõetud kavade, sh

sertifikaatide ja vastavusdeklaratsioonide kohta.

(41) ENISA peaks kujundama küberturvalisuse valdkonna tehnika taset, pakkudes tehnilisi

kirjeldusi, et toetada asjakohaste liidu õigusaktide rakendamist, muu hulgas selleks, et

neile saaks viidata Euroopa küberturvalisuse sertifitseerimise kavades. Samuti peaks

ENISA jälgima standardite loomist ja arendamist asjaomastes

standardiorganisatsioonides, et olla kursis standardimissuundumustega Euroopa ja

ülemaailmsel tasandil ning vajaduse korral asjaomaseid standardeid kujundada,

osaledes standardiorganisatsioonide töös, muu hulgas sisendite koostamisega, ja

juhtides nende tegevust. Seda tehes peaks ENISA jääma erapooletuks. Näiteks võib

tekkida olukordi, kus ENISA peaks loobuma osalemisest standardiorganisatsiooni

asjaomases tegevuses, kui tal palutakse hinnata Euroopa standardeid, mida komisjon

on taotlenud liidu õigusaktide toetamiseks. ENISA ei tohiks kaasa aidata selliste

standardite koostamisele, mille hindamise eest ta vastutab.

(42) Selleks et toetada liidu poliitikameetmete rakendamist ja potentsiaalse standardimise

ettevalmistamist, peaks ENISA aitama kaasa krüptoalgoritmide väljatöötamisele ja

hindamisele, eelkõige kvanttehnoloogiajärgse krüptograafia valdkonnas. Sellega

seoses võib ENISA kehtestada komisjoni taotlusel ja Euroopa Parlamendi ja nõukogu

ET 33 ET

määruses (EL, Euratom) 2024/250950 määratletud rahalist toetust käsitleva lepingu

alusel protsessi, et küsida asjaomastelt sidusrühmadelt, eelkõige krüptograafia-,

akadeemilistelt ja teadusringkondadelt, samuti tootjatelt, CSIRTidelt, riiklikelt

küberturvalisuse sertifitseerimise asutustelt ja direktiivis (EL) 2022/2555 määratletud

pädevatelt asutustelt krüptoalgoritmide jaoks algoritme ja neid hinnata. Kui ENISA

osaleb selliste protsesside kehtestamises, peaks ta edendama koostööd asjaomaste

sidusrühmade vahel ja rakendama korralduslikke aspekte. Protsess peaks olema

ametlik, avatud, läbipaistev ja kaasav, hõlmates konsulteerimist asjaomaste

sidusrühmadega kavandatavate miinimumnõuete ning hindamisprotsessi ja -

kriteeriumide üle, eelkõige hindamise turvalisuse ja teostamise huvides.

(43) Selleks et toetada Euroopa küberturvalisuse sertifitseerimise kavade ja muude

asjakohaste liidu õigusaktide kohast vastavushindamist, võib ENISA pakkuda

liikmesriikide, ettevõtjate ja vastavushindamisasutuste hindamistegevuse toetamiseks

asjakohaseid tehnilisi testimisvahendeid. Nende vahenditega tuleks püüda tagada liidu

tasandil koostoime ja vastavushindamismenetluste tõhus toimimine, et rahuldada

liikmesriikide ja turu vajadusi. Sellised vajadused võivad tekkida näiteks

sisseprojekteeritud turbe valdkonnas, et toetada ettevõtjaid, sh VKEsid, töös, mida nad

teevad määruse (EL) 2024/2847 rakendamiseks. Seoses sellega peaks ENISA nõudma

tasu, et katta kulud, mis on seotud selliste testimisvahendite jaoks vajaliku tark- ja

riistvara projekteerimise, väljatöötamise, arendamise, hooldamise ja ajakohastamisega.

(44) Selleks et toetada liikmesriike nende püüdlustes vähendada küberturbespetsialistide

nappust ning rahuldada kasvavat vajadust kvalifitseeritud, mitmekesise (sh soolise

tasakaalu vaatenurgast) ja paindliku tööjõu järele ning võimaldada tööjõu liikuvust ja

valmisolekut kõigis liikmesriikides, peaks ENISA arendama edasi küberturbeoskuste

akadeemia põhimõtteid ja tööd. Eelkõige peaks ENISA looma Euroopa

küberturbeoskuste raamistiku kui küberturvalisuse valdkonna rollikirjelduste ühise

raamistiku. Peale sellel peaks ENISA toetama liikmesriike küberturvalisusega seotud

rollide soolise ebavõrdsuse vähendamisel. See lähenemisviis on kooskõlas oskuste

liitu käsitlevas komisjoni teatises esitatud visiooniga ja aitaks kaasa selle eesmärkide

saavutamisele. Lisaks tuleks edasi tegeleda Euroopa individuaalsete küberturbeoskuste

tõendi kvaliteedimärgisega.

(45) Euroopa küberturbeoskuste raamistik peaks olema vabatahtlikkuse alusel kasutatav

praktiline ja paindlik vahend, mis tagab ühise terminoloogia ja arusaama

küberturvalisusega seotud rollidest ja nendega seotud ülesannetest ning enamasti

vajaminevatest oskustest ja teadmistest, et toetada töötajate kriitilise tähtsusega

oskuste, sh valdkonnaüleste oskuste kindlaksmääramist, võimaldada koolitajatel, sh

ettevõtjatel, kõrgharidusasutustel ning kutsehariduse ja -õppe pakkujatel kavandada

programme ning aidata poliitikakujundajatel töötada välja algatusi oskuste nappuse

leevendamiseks. Kuna Euroopa küberturbeoskuste raamistikku võidakse kasutada

võrdlusraamistikuna oskuste tunnustamisel, peaks see olema koostalitlusvõimeline

oskuste, kompetentside, kvalifikatsioonide ja ametite Euroopa klassifikaatoriga

(ESCO), et aidata personaliosakondadel mõista küberturvalisuse vajadusi toetava

vahendite planeerimise, värbamise ja karjääri arendamise nõudeid. Kui Euroopa

kodanike digipädevuse raamistikus (DigComp 3.0) kirjeldatakse teadmisi, oskusi ja

hoiakuid, mida on vaja, et olla igapäevaelu, ühiskonnaelus osalemise, töötamise ja

50 Euroopa Parlamendi ja nõukogu 23. septembri 2024. aasta määrus (EL, Euratom) 2024/2509, mis

käsitleb liidu üldeelarve suhtes kohaldatavaid finantsreegleid (ELT L, 2024/2509, 26.09.2024, ELI:

http://data.europa.eu/eli/reg/2024/2509/oj).

ET 34 ET

õppimise jaoks digitaalselt pädev, ning seda saavad kasutada nii täiskasvanud kui ka

lapsed, siis Euroopa küberturbeoskuste raamistik on lihtne raamistik, milles

määratakse kindlaks küberturvalisusega seotud rollid, nendega seotud ülesanded ning

nende täitmiseks vajalikud teadmised ja oskused. Seega on see mõeldud

küberturvalisusele spetsialiseerunud sihtrühmadele alates olemasolevatest või

potentsiaalsetest küberturbespetsialistidest ja haridusasutustest kuni tööandjateni.

Euroopa küberturbeoskuste raamistik peaks olema toeks ka Euroopa individuaalsete

küberturbeoskuste tõendamise arendamisel kui asjaomaste kavade väljatöötamise

oluline vahend, mis võimaldab uute turuosaliste esilekerkimist ja toetab

turukonkurentsi ühises raamistikus. Raamistikku tuleks korrapäraselt hinnata ja

ajakohastada, kandmaks hoolt selle eest, et see kajastab asjakohaselt küberturvalisuse

tööturu vajadusi ning tehnoloogia ja poliitika arengut. ENISA peaks toetama Euroopa

küberturbeoskuste raamistiku kasutuselevõttu liikmesriikide ja liidu üksuste poolt ja

nende sees ning pakkuma piisavat tuge, kui seda vajatakse.

(46) Küberturvalisuse alased oskused ja kvalifikatsioonid tuleks muuta võrreldavaks,

läbipaistvaks ja usaldusväärseks kogu siseturul. Sel eesmärgil peaksid Euroopa

individuaalsete küberturbeoskuste tõendid51 aitama tööandjatel, sh VKEdel ja

idufirmadel, liikmesriikides ja eri liikmesriikide vahel tulemuslikult värvata

olemasolevaid või potentsiaalseid küberturbespetsialiste kooskõlas oskuste liitu

käsitlevas teatises sätestatud eesmärkidega. Selleks et tagada järjekindel rakendamine

kõigis liikmesriikides, peaksid Euroopa individuaalsete küberturbeoskuste tõendid

põhinema liidu tasandi ühisel arusaamal nende eesmärkide saavutamiseks vajalikest

oskustest ning tõendeid peaksid väljastama ENISA poolt ühiste kriteeriumide alusel

volitatud tõendajad. See lähenemisviis peaks olema kooskõlas tulevase oskuste

ülekantavuse algatuse eesmärkidega ja aitama neid eesmärke saavutada.

(47) Euroopa individuaalsete küberturbeoskuste tõendamise kavade väljatöötamisega tuleks

täiendada liikmesriikide meetmeid, pakkudes avaliku sektori asutustele ja ettevõtjatele

võimalust kasutada Euroopa tõendamismehhanismi kooskõlas liidu toetava

pädevusega hariduse ja kutseõppe valdkonnas, millele on osutatud ELi toimimise

lepingu artikli 6 punktis e, artikli 165 lõikes 1 ja artikli 166 lõikes 1.Kõnealused

kavad koos küberturbeoskuste akadeemia tööga võivad olla aluseks ka

kõrgharidusprogrammidele, nagu valdkondlikud Euroopa kraadid, ja

mikrokvalifikatsioonide arendamisel. Seepärast ei tuleks Euroopa individuaalsete

küberturbeoskuste tõendamise kavadega püüda ühtlustada liikmesriikide õigusnorme,

vaid neid tuleks pigem pidada võimaluseks, mida liikmesriigid ja ettevõtjad võivad

soovida kasutada ja edendada.

(48) ENISA peaks tagama, et Euroopa individuaalsete küberturbeoskuste tõendamise kavad

järgivad turu vajadusi ning tuginevad nii avaliku kui ka erasektori individuaalsete

tõendite väljaandjate, sh liikmesriikide, kõrgharidusasutuste, kutseharidus- ja -

õppeasutuste ning ettevõtjate kogemustele. ENISA peaks konsulteerima Euroopa

individuaalsete küberturbeoskuste tõendamise kavade prioriseerimise küsimuses

komisjoniga, võttes nõuetekohaselt arvesse poliitika rakendamist ja turu vajadusi.

51 Euroopa individuaalsete küberturbeoskuste tõendid peaksid järgima sarnast lähenemisviisi kui

küberturvalisuse sertifikaadid. Selleks et vältida segiajamist Euroopa küberturvalisuse sertifitseerimise

raamistikuga, eelistatakse väljendit „tõendamine“, mida on juba kasutatud küberturbeoskuste

akadeemiat käsitlevas teatises.

ET 35 ET

(49) Selleks et tagada kooskõla Euroopa küberturbeoskuste raamistiku ja Euroopa

individuaalsete küberturbeoskuste tõendamise kavade vahel, peaks Euroopa

küberturbeoskuste raamistiku rollikirjelduse muutmine tooma automaatselt kaasa

asjaomas(t)e Euroopa individuaalsete küberturbeoskuste tõendamise kava(de)

sobivuse hindamise, mis võib viia kava läbivaatamiseni.

(50) Võttes arvesse küberturvalisusega seotud rollide ning nendega seotud ülesannete,

oskuste ja teadmiste mitmekesisust, võib juhtuda, et üksikisikute hindamist ja

hindamismeetodeid on vaja igas Euroopa individuaalsete küberturbeoskuste

tõendamise kavas kohandada. Iga kava peaks tagama, et isikult nõutavate oskuste

hindamist õpitulemuste, sh vajaduse korral oskuste taseme osas hinnatakse

süstemaatiliselt Euroopa küberturbeoskuste raamistiku rollikirjelduse või selle osa

põhjal. Hindamismeetodid võivad hõlmata teoreetiliste teadmiste kontrolli, praktilist

eksamit, eeltingimusi ja vastastikust hindamist. Üksikisikute kogemusi tuleks

nõuetekohaselt arvesse võtta.

(51) Selleks et tagada Euroopa individuaalsete küberturbeoskuste tõendamise kavade

järjepidev rakendamine, eelkõige üksikisikute hindamise osas, peaks ENISA pakkuma

üksikisikute hindamise eest vastutavatele töötajatele kohustuslikku koolitust. Sellistel

töötajatel peaks olema küberturvalisuse valdkonnas kogemus, mida saab tõendada

Euroopa individuaalsete küberturbeoskuste tõendiga, mis kinnitab hindaja vastavust

selle rolli kirjeldusele, mida ta hindab, ja oskuste taset, mis on vähemalt samaväärne

hinnatava isiku oskuste tasemega.

(52) Volitatud tõendaja ülesanne on tõendada ja anda tööandjatele kogu liidus kindlus, et

isikul on teadmised ja pädevus, mis võimaldavad tal täita Euroopa küberturbeoskuste

raamistikus kindlaks määratud rolli. Kuna kinnitusele Euroopa individuaalsete

küberturbeoskuste tõendi saanud isikute oskuste ja pädevuse kvaliteedi kohta

pööravad tähelepanu ka liidu elutähtsat taristut käitavad tööandjad, peaksid oskuste ja

pädevuse taset tõendavad volitatud tõendajad olema küberturvalisuse seisukohast

usaldusväärsed ning neid ei tohiks lubamatult mõjutada kolmas riik, kelle puhul on

põhjust muret tunda küberturvalisuse pärast. Seepärast ei tohiks üksused, mis on

asutatud käesoleva määruse kohaselt küberturvalisuse seisukohast muret tekitavaks

nimetatud kolmandas riigis või on sellise kolmanda riigi, selles asutatud üksuse või

selle kodaniku kontrolli all (suure riskiga tarnijad), saada volitatud tõendajaks, kes

annab välja II jaotise 4. jao kohaseid Euroopa individuaalsete küberturbeoskuste

tõendeid.

(53) Tagamaks, et isikud, kellel on Euroopa küberturbeoskuste tõend, saaksid seda

tunnistust hõlpsasti kasutada ja jagada kõigis liikmesriikides, peaksid volitatud

tõendajad tagama, et asjaomase isiku taotlusel väljastatakse Euroopa individuaalsete

küberturbeoskuste tõend elektroonilisel kujul määrusega (EL) nr 910/2014 loodud

Euroopa digiidentiteedikukrusse. Volitatud tõendajaid tuleks käsitada usaldusteenuse

osutajatena ning nende suhtes tuleks kohaldada määruses (EL) nr 910/2014 sätestatud

järelevalve- ja vastutuskorda. Komisjoni rakendusmääruse (EL) 2025/156952 kohaselt

kasutatav atribuutide tõendamise kava tuleks registreerida selles rakendusmääruses

sätestatud atribuutide tõendamise kavade kataloogis.

52 Rakendusmäärus – EL – 2025/1569.

ET 36 ET

(54) Selleks et aidata kaasa küberturvalisuse valdkonna tööjõu arendamisele ja oskuste

ülekantavusele kogu liidus, peaks ENISA tegema Euroopa individuaalsete

küberturbeoskuste tõendamise kavad ja volitatud tõendajate loetelu üldsusele

kättesaadavaks spetsiaalse veebisaidi kaudu.

(55) ENISA juhtimisel ja tegevuses tuleks arvesse võtta 19. juulil 2012 Euroopa

Parlamendi, nõukogu ja komisjoni poolt vastu võetud liidu detsentraliseeritud asutusi

käsitleva ühise lähenemisviisi53 põhimõtteid. Samuti peaksid ühises lähenemisviisis

sisalduvad soovitused asjakohaselt kajastuma ENISA tööprogrammides, hindamistes

ning aruandlus- ja haldustavades.

(56) Selleks et haldusnõukogu saaks tõhusalt oma ülesandeid täita, eelkõige ENISA

tegevuse üldisel suunamisel ja strateegiliste prioriteetide seadmisel, on oluline, et

haldusnõukogu koosneks liikmesriikide ja komisjoni kõrgetasemelistest esindajatest.

Seega peaks iga liikmesriik nimetama haldusnõukogu liikmeks direktiivi

(EL) 2022/2555 artikli 8 lõike 1 kohaselt määratud küberturvalisuse eest vastutava

riikliku pädeva asutuse juhi.

(57) Tagamaks, et haldusnõukogu asendusliikmed saavad nõuetekohaselt oma rolli täita,

peaksid liikmesriigid nimetama asendusliikmed, kellel on asjakohased

eksperditeadmised ja kogemused. Komisjon ja liikmesriigid peaksid püüdma

asendusliikmete puhul saavutada meeste ja naiste tasakaalustatud esindatuse

haldusnõukogus ning piirama liikmete vahetumist, et tagada haldusnõukogu töö

järjepidevus.

(58) Selleks et ENISA saaks tulemuslikult oma missiooni täita, peaks liikmesriikide ja

komisjoni esindajatest koosnev haldusnõukogu määrama kindlaks ENISA tegevuse

üldsuuna, sh strateegilised prioriteedid, ning tagama, et ENISA täidab oma ülesandeid

vastavalt käesolevale määrusele. Haldusnõukogule tuleks anda õigus koostada ENISA

eelarve ja kontrollida selle täitmist, võtta vastu asjakohased finantsreeglid, kehtestada

ENISA otsuste tegemiseks läbipaistev kord, võtta vastu ENISA ühtne

programmdokument, võtta vastu oma kodukord, nimetada ametisse tegevdirektor,

otsustada tegevdirektori ametiaja pikendamise ja lõpetamise üle ning otsustada

tegevdirektori asetäitja ametikoha loomise üle ning selle loomise korral tegevdirektori

asetäitja ametisse nimetamise ning tema ametiaja pikendamise ja lõpetamise üle.

Seega peaks iga isiku, kellel on ENISAs täidesaatev funktsioon, nimetama ametisse

haldusnõukogu. Haldusnõukogu peaks vastutama ka apellatsiooninõukogu liikmete

ametisse nimetamise ja ametist vabastamise eest ning nende liikmete huvide

konfliktide ennetamise ja lahendamise eeskirjade kehtestamise eest.

(59) Selleks et aidata tagada, et ENISA määrab kindlaks oma strateegilised prioriteedid ja

hoiab neid ajakohasena, peaks haldusnõukogu pidama aastas vähemalt ühe koosoleku,

kus keskendutakse ENISA strateegilistele prioriteetidele. Haldusnõukogu koosolekute

tulemuslikkuse ja haldusnõukogu liikmete informeerituse tagamiseks võib

haldusnõukogu kutsuda oma koosolekule arvamusi, eksperditeadmisi või nõu jagama

mis tahes isiku, kelle seisukoht võib olla arutatavate teemade vaatenurgast oluline ja

huvipakkuv. Selline isik on hääleõiguseta ajutine vaatleja.

53 Ühine lähenemisviis, mis on lisatud 19. juulil 2012 vastu võetud Euroopa Parlamendi, Euroopa Liidu

Nõukogu ja Euroopa Komisjoni ühisavaldusele detsentraliseeritud asutuste kohta, https://european-

union.europa.eu/document/download/d4199ff4-1e3d-45e6-af7e-

90cf1a7b10bc_en?filename=joint_statement_on_decentralised_agencies_en.pdf.

ET 37 ET

(60) Haldusnõukogu peaks võtma otsused vastu oma hääleõiguslike liikmete absoluutse

häälteenamusega, kui käesolevas määruses ei ole sätestatud teisiti. Otsused eelarve- ja

personaliküsimuste kohta, eelkõige aastaeelarve, iga-aastase tegevusaruande,

pettustevastase strateegia, personalieeskirjade rakenduseeskirjade, tegevdirektori,

tegevdirektori asetäitja ja peaarvepidaja ametisse nimetamise, Euroopa Pettustevastase

Ameti (OLAF) ja Euroopa Prokuratuuri järelduste järelmeetmete ning ENISA

finantseeskirjade vastuvõtmisega seotud küsimustes, peaks haldusnõukogu nende

küsimuste olulisuse tõttu vastu võtma üksnes juhul, kui komisjoni esindaja hääletab

otsuse poolt. Lõpliku ühtse programmdokumendi vastuvõtmise otsuse tegemisel pärast

komisjoni arvamuse arvessevõtmist on komisjoni esindaja poolthääl vajalik ainult

nende otsuse elementide puhul, mis ei ole seotud ENISA iga-aastase ja mitmeaastase

tööprogrammiga.

(61) Juhatus peaks aitama kaasa haldusnõukogu tõhusale toimimisele. Osana

haldusnõukogu otsustega seotud ettevalmistustööst peaks juhatus põhjalikult

analüüsima asjakohast teavet ja olemasolevaid võimalusi ning pakkuma nõu ja

lahendusi haldusnõukogu asjakohaste otsuste ettevalmistamiseks. Samuti peaks ta

abistama ja nõustama tegevdirektorit haldusnõukogu otsuste rakendamisel.

(62) ENISA sujuvaks toimimiseks on tarvis, et tegevdirektori ametisse nimetamisel

lähtutakse tema teenetest, dokumenteeritud haldamis- ja juhtimisoskusest ning

küberturvalisuse alastest teadmistest ja kogemustest. Tegevdirektori ülesandeid tuleks

täita täiesti sõltumatult. Haldusnõukogu peaks nimetama tegevdirektori komisjoni

koostatud kandidaatide nimekirjast, järgides avatud ja läbipaistvat menetlust, kus

austatakse soolise tasakaalu põhimõtet.

(63) Tegevdirektor peaks pärast komisjoniga konsulteerimist koostama ettepaneku ENISA

ühtse programmdokumendi kohta ning võtma kõik vajalikud meetmed, et tagada

programmdokumendi nõuetekohane rakendamine. Tegevdirektor peaks koostama

haldusnõukogule esitatava aastaaruande ENISA iga-aastase tööprogrammi

rakendamise kohta, koostama ENISA tulude ja kulude kalkulatsiooni eelnõu ning

vastutama eelarve täitmise eest. Lisaks peaks tegevdirektoril olema võimalik

moodustada ajutisi töörühmi, et käsitleda konkreetseid, eeskätt teaduslikku, tehnilist,

õiguslikku või sotsiaal-majanduslikku laadi küsimusi. Ajutise töörühma moodustamist

peetakse vajalikuks eelkõige seoses Euroopa küberturvalisuse sertifitseerimise

ettevalmistava kava koostamisega. Ajutise töörühma moodustamine võib olla vajalik

ka konkreetsete vastuvõetud Euroopa küberturvalisuse sertifitseerimise kavade

haldamiseks. Ajutised töörühmad tuleks moodustada ka selleks, et koostada ja hallata

Euroopa individuaalsete küberturbeoskuste tõendamise kavasid ning abistada ENISAt

Euroopa küberturbeoskuste raamistiku juhtimisel, rakendamisel ja arendamisel.

Tegevdirektor peaks tagama, et ajutiste töörühmade liikmed valitakse kõige

põhjalikumate eksperditeadmiste põhjal, püüdes tagada soolise tasakaalu ning selle, et

seal oleksid (konkreetse küsimuse puhul asjakohasel viisil) tasakaalustatult esindatud

liikmesriikide ametiasutused, liidu üksused ning erasektor, sh tööstusharu, kasutajad

ning võrgu- ja infoturbe valdkonna ja digielemente sisaldavate toodete valdkonna

teaduseksperdid.

(64) Haldusnõukogu võib otsustada luua tegevdirektori abistamiseks tegevdirektori

asetäitja ametikoha, kui ta leiab, et selline ametikoht on vajalik, et tagada või säilitada

ENISA sujuv toimimine. Selle ametikoha loomise üle otsustamisel võib

haldusnõukogu võtta arvesse tegevdirektori arvamust.

ET 38 ET

(65) ENISA-l peaks olema nõuanderühm, et tagada korrapärane dialoog erasektori,

tarbijaorganisatsioonide ja teiste asjaomaste sidusrühmadega. ENISA nõuanderühm,

mille moodustab tegevdirektori ettepanekul haldusnõukogu, peaks keskenduma

sidusrühmade jaoks olulistele küsimustele ja juhtima nendele küsimustele ENISA

tähelepanu. Eelkõige tuleks ENISA nõuanderühmaga konsulteerida ENISA iga-aastase

tööprogrammi kavandi üle. ENISA nõuanderühma koosseis ja ülesanded peaksid

tagama sidusrühmade piisava esindatuse ENISA töös. ENISA nõuanderühmas peaksid

olema esindatud liikmesriikide ja liidu õiguskaitse-, andmekaitse- ja

turujärelevalveasutuste esindajad.

(66) Isikutel, kes soovivad saada volitatud tõendajateks või oma volitust uuendada, peaks

olema neid mõjutava ENISA otsuse korral juurdepääs vajalikele

õiguskaitsevahenditele. Seepärast tuleks luua asjakohane edasikaebamismehhanism, et

ENISA asjakohaseid otsuseid saaks vaidlustada apellatsiooninõukogus, kelle otsuseid

on omakorda võimalik edasi kaevata Euroopa Liidu Kohtusse kooskõlas

aluslepingutega. Nõue kasutada enne asja Euroopa Liidu Kohtusse andmist ENISA-

sisest kaebemenetlust on kohaldatav üksnes isikutele, kellel on apellatsiooninõukogus

kaebeõigus.

(67) Selleks et tagada ENISA täielik autonoomia ja sõltumatus ning võimaldada tal täita

oma ülesandeid, tuleks ENISA-le eraldada piisav ja autonoomne eelarve, mida

rahastatakse peamiselt liidu rahalisest toetusest, ent samuti ENISA töös osalevate

kolmandate riikide rahalisest osalusest ning tasudest, mida maksavad kavades

osalevad ning Euroopa küberturvalisuse sertifikaate ja ELi vastavusdeklaratsioone

välja andvad volitatud tõendajad ja vastavushindamisasutused. Asukohaliikmesriigil ja

mis tahes muul liikmesriigil peaks olema lubatud teha ENISA eelarvesse

vabatahtlikult sissemakseid. Liikmesriikidelt, kolmandatelt riikidelt või teistelt

üksustelt või isikutelt saadud rahalised või mitterahalised panused ei tohiks kahjustada

ENISA sõltumatust ja erapooletust. Liidu rahalise toetuse ja muude liidu üldeelarvest

makstavate toetuste suhtes tuleks kohaldada liidu eelarvemenetlust. Kontrollikoda

peaks auditeerima ENISA raamatupidamisarvestust, et tagada läbipaistvus ja vastutus.

Selleks et võimaldada ENISA-l osaleda kõigis asjakohastes tulevastes projektides,

peaks tal olema võimalik saada toetusi.

(68) Selleks et tagada ENISA suutlikkus rahuldada oma tegevusega seotud nõudlust,

eelkõige seoses otsustega, millega antakse luba väljastada Euroopa individuaalsete

küberturbeoskuste tõendeid, ning seoses Euroopa küberturvalisuse sertifitseerimise

kavade ja testimisvahendite haldamisega, tuleks ENISA-le anda õigus nõuda tasu.

Volitatud tõendajaks saamise taotluste menetlemisega seotud tasud tuleks kindlaks

määrata nii, et need aitaksid piisaval määral katta prognoositud kulusid, mis on seotud

Euroopa individuaalsete küberturbeoskuste tõendamise kavade väljatöötamise ja

haldamisega ning selle hindamisega, kas volitatud tõendajaks saamise ja sellena

tegutsemise nõuded ja kohustused on (jätkuvalt) täidetud. Tasud, mis on seotud

volitatud tõendajatele lubade väljaandmise ja nende lubade uuendamise kuludega,

peaksid hõlmama ENISA läbiviidavate või tema järelevalve all tehtavate hindamiste

kulusid. Tasud, mis on seotud Euroopa küberturvalisuse sertifitseerimise kavades

osalemisega ja nende kavade alusel sertifikaatide välja andmisega, tuleks kindlaks

määrata nii, et need aitaksid piisavalt kaasa nende kavade haldamise prognoositud

kulude katmisele. Tasude maksmine peaks võimaldama teatatud

vastavushindamisasutustel ja asjakohasel juhul kava kohaste sertifikaatide omanikel

osaleda kõnealuses tegevuses ning asjakohases suutlikkuse suurendamises ja

ET 39 ET

edendustegevuses, et edendada parimate tavade vahetamist ning kavade ja

sertifitseeritud lahenduste kasutuselevõttu.

(69) Proportsionaalsuse, läbipaistvuse ja õiguskindluse tagamiseks tuleks tasud kehtestada

läbipaistvalt ja õiglaselt. Neis kuludes peaksid kajastuma kõik ENISA kulud, mis on

seotud tasulistes toimingutes osalevate töötajatega, eelkõige tööandja

proportsionaalsed maksed pensioniskeemi, ja kulud, mis on seotud

apellatsiooninõukoguga. Tasud ei tohi põhjustada taotlejatele tarbetut finants- või

halduskoormust. Tasude maksmiseks tuleks kehtestada mõistlikud tähtajad.

(70) On vaja kehtestada näitajad, et mõõta ameti töökoormust, tulemuslikkust ja tõhusust

tasudest rahastatavate toimingute tegemisel. Neid näitajaid silmas pidades peaks

ENISA kohandama oma personaliplaneerimist ja tasudega seotud vahendite haldamist,

et oleks võimalik asjakohaselt reageerida asjaomasele nõudlusele ja tasudest saadava

tulu kõikumisele.

(71) Selleks et teha kindlaks tegelike ja tajutavate huvide konflikti risk ja seda riski

nõuetekohaselt juhtida, peaksid ENISA-l olema eeskirjad huvide konfliktide

ärahoidmise ja kõrvaldamise kohta. ENISA peaks kohaldama ka dokumentidele

juurdepääsu käsitlevaid norme, mis on sätestatud Euroopa Parlamendi ja nõukogu

määruses (EÜ) nr 1049/200154. ENISA peaks töötlema isikuandmeid kooskõlas

Euroopa Parlamendi ja nõukogu määrusega (EL) 2018/172555. ENISA peaks järgima

teabe, eelkõige tundliku salastamata teabe ja Euroopa Liidu salastatud teabe

käitlemisel liidu üksuste suhtes kohaldatavaid sätteid ja liikmesriikide õigusakte.

(72) ENISA-l võib olla oma ülesannete täitmisel juurdepääs tundlikule teabele, näiteks

teabele küberohtude ja -intsidentide kohta. Seetõttu on oluline, et ENISA säilitaks

käideldava teabe konfidentsiaalsuse. Eelkõige, kooskõlas ELi toimimise lepingu

artikliga 339, ei tohiks ENISA ametnikud ja muud teenistujad isegi pärast oma

ametikohustuste lõppemist avalikustada ametisaladuse pidamise kohustuse alla

kuuluvat teavet, iseäranis teavet ettevõtjate, nende ärisuhete või nende

kulukomponentide kohta.

(73) Tagamaks, et ENISA saavutab oma eesmärgid täies ulatuses, peaks ta suhtlema

asjaomaste liidu järelevalve- ja muude pädevate asutustega, asjaomaste liidu

üksustega, kelle hulka kuuluvad CERT-EU, Europoli juures tegutsev

küberkuritegevuse vastase võitluse Euroopa keskus (ECCC), küberturvalisuse

valdkonna tööstuse, tehnoloogia ja teadusuuringute Euroopa pädevuskeskus, Euroopa

Kaitseagentuur (EDA), Euroopa Liidu Kosmoseprogrammi Amet (EUSPA),

elektroonilise side Euroopa reguleerivate asutuste amet (BEREC), Vabadusel,

Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide

Operatiivjuhtimise Euroopa Liidu Amet (eu-LISA), Euroopa Keskpank (EKP),

Euroopa Pangandusjärelevalve (EBA), Euroopa Andmekaitsenõukogu, Euroopa Liidu

Energeetikasektorit Reguleerivate Asutuste Koostöö Amet (ACER), Euroopa Liidu

Lennundusohutusamet (EASA) ja muud liidu üksused, kes tegelevad

küberturvalisusega. Samuti peaks ENISA suhtlema direktiivi (EL) 2022/2555 kohaste

54 Euroopa Parlamendi ja nõukogu 30. mai 2001. aasta määrus (EÜ) nr 1049/2001 üldsuse juurdepääsu

kohta Euroopa Parlamendi, nõukogu ja komisjoni dokumentidele (EÜT L 145, 31.5.2001, lk 43, ELI:

http://data.europa.eu/eli/reg/2001/1049/oj). 55 Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb

füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning

isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus

nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ET 40 ET

pädevate asutustega, turujärelevalveasutustega ja andmekaitsega tegelevate

ametiasutustega, et vahetada oskusteavet ja parimaid tavasid ning anda nõu

küberturvalisuse küsimustes, mis võivad mõjutada nende asutuste tööd.

(74) Europolil on oluline roll küberkuritegevuse, sh võrgu- ja infoturbeintsidentidega

seotud küberkuritegevuse ennetamisel ja nende vastu võitlemisel.Selleks et luua

koostoime Europoli ja ENISA vastavate ülesannete vahel, peaks ENISA tegema

Europoliga koostööd, eelkõige jagama teavet lunavararünnete meetodite, nõuete ja

mõju kohta. See koostöö võib hõlmata direktiivi (EL) 2022/2555 I ja II lisas loetletud

üksuste vastu suunatud kõige levinumate lunavaratüvede kindlakstegemist, et toetada

elutähtsaid ja olulisi üksusi intsidentidele reageerimisel ja neist taastumisel.

(75) Selleks et toetada operatiivkoostööd ning küberohtude ja -intsidentide alast ühist

olukorrateadlikkust, on oluline, et ENISA teeks koostööd sidusrühmadega, eelkõige

erasektori ettevõtjate ja organisatsioonidega, kellega ENISA võib luua avaliku ja

erasektori partnerlusi.

(76) Selleks et saavutada tulemuslikult käesolevas määruses sätestatud eesmärgid, võib

ENISA teha koostööd eeskätt selliste akadeemiliste asutustega, kes viivad asjaomastes

valdkondades ellu teadusalgatusi, ning luua kanalid, mis võimaldavad saada sisendit

tarbijaorganisatsioonidelt- ja muudelt organisatsioonidelt.

(77) Küberohud ja -intsidendid ei hooli riigipiiridest, mistõttu võib liidu üksusi mõjutada

kolmandate riikide küberturvalisuse ja valmisoleku tase. Seepärast peaks ENISA-l

olema võimalik pakkuda kolmandatele riikidele suutlikkuse suurendamise meetmeid,

sh koolitust, suutlikkuse suurendamist ja mestimist, ning eelkõige kohandatud

suutlikkuse suurendamise meetmeid liidu kandidaatriikidele või muudele

partnerriikidele kooskõlas liidu prioriteetidega. Neid meetmeid tuleks võtta, kui

esitatakse konkreetne taotlus, et pakutaks asjakohast tuge, võttes arvesse liidu

prioriteete, ning neid tuleks rakendada konkreetsete kokkulepete, sh määruses (EL,

Euratom) 2024/2509 osutatud rahalist toetust käsitlevate lepingute kaudu. Euroopa

küberturvalisuse sertifitseerimise raamistiku eesmärk on kaitsta küberohtude eest,

nagu pahatahtlikult ärakasutatavad küberturvalisusega seotud nõrkused või

küberintsidendid, mis mõjutavad IKT-toodete, -teenuste ja -protsesside ning hallatud

turbeteenuste funktsionaalsust (disainilahendust ja toimimist) või üksuste turvaolekut.

Keskendudes IKT-toodete, -teenuste ja -protsesside, hallatud turbeteenuste ning

üksuste turvaolekuga seotud tehnilistele riskidele, peaks Euroopa küberturvalisuse

sertifitseerimise raamistik täiendama IKT tarneahelate turvalisuse raamistikku, mille

eesmärk on tagada liidu tasandi ühtlustatud lähenemisviis tegelemiseks mittetehniliste

riskidega kriitilise tähtsusega sektorites ja muudes kriitilise tähtsusega sektorites.

(78) Liikmesriikidel peaks olema võimalik kasutada Euroopa küberturvalisuse

sertifitseerimist riigihangete kontekstis kooskõlas Euroopa Parlamendi ja nõukogu

direktiiviga 2014/24/EL56.

(79) Selleks et oleks hõlpsam üksuste jaoks nõuete täitmist lihtsustada, tuleks Euroopa

küberturvalisuse sertifitseerimise raamistikus ette näha üksuste turvaoleku

sertifitseerimise võimalus. Üksustel, eelkõige neil, kes osutavad mitut liiki teenuseid

mitmes liikmesriigis, võivad olla erinevad küberturvalisuse ja andmeturbega seotud

56 Euroopa Parlamendi ja nõukogu 26. veebruari 2014. aasta direktiiv 2014/24/EL riigihangete kohta ja

direktiivi 2004/18/EÜ kehtetuks tunnistamise kohta (ELT L 94, 28.3.2014, lk 65, ELI:

http://data.europa.eu/eli/dir/2014/24/oj).

ET 41 ET

kohustused, mis tulenevad horisontaalsetest õigusaktidest, nagu Euroopa Parlamendi

ja nõukogu määrus (EL) 2016/67957 ja Euroopa Parlamendi ja nõukogu direktiiv

(EL) 2022/2555,58 aga ka valdkondlikest õigusaktidest. Selleks et ühtlustada üldise

küberturvalisuse õigusraamistiku rakendamist ja lihtsustada selle järgimist, peaks

olema võimalik anda üksustele liidu õigusaktiga võimalus tõendada küberriskide

juhtimise nõuete täitmist Euroopa küberturvalisuse sertifitseerimise sertifikaadi abil.

Asjakohane kava võiks aidata ühtlustada eri õigusaktidest tulenevaid vastavusnõudeid,

piiramata neis sätestatud sertifitseerimisnõudeid. Sellised lihtsustamismeetmed võivad

aidata vähendada halduskoormust ning vabastada vahendeid, et tugevdada liidu

kriitilise tähtsusega sektorite üksuste operatiivset küberturvalisuse alast valmisolekut.

(80) Euroopa küberturvalisuse sertifitseerimise raamistikus väljatöötatud küberriskide

juhtimise nõuete Euroopa sertifitseerimine peaks võimaldama üksustel tõendada

asjakohastes liidu õigusaktides sätestatud nõuete täitmist, kui sertifitseerimiskava

hõlmab selles õigusaktis sätestatud õigusnõudeid ja õigusaktiga on taoline võimalus

ette nähtud. Selle põhjal võib liidu õigusaktiga ette näha neile nõuetele vastavuse

eelduse. Sellised kavad võiksid aidata parandada liidu õigusaktides sätestatud

küberturvalisuse nõuete sidusat rakendamist, et tagada kõigis liikmesriikides võrdsed

tingimused ja vähendada nõuete täitmisega seotud koormust.

(81) Euroopa küberturvalisuse sertifitseerimise raamistikus tuleks näha ette võimalus

sertifitseerida IKT-protsesse, mis on määratletud kui IKT-toote või -teenuse

projekteerimiseks, arendamiseks, tarnimiseks või hooldamiseks tehtavate toimingute

kogum. Näiteks komisjoni rakendusmääruses (EL) 2024/48259 määratletud

kaitseprofiil on IKT-protsess. Teise IKT-protsessi näitena võib nimetada toiminguid,

mida tootja teeb IKT-toote turvaliseks projekteerimiseks ja arendamiseks, sh

füüsilised, loogilised, menetluslikud, personaliga seotud ja muud turbemeetmed, mis

on vajalikud IKT-toote disainilahenduse ja rakendamise konfidentsiaalsuse ja

tervikluse kaitsmiseks selle arenduskeskkonnas. Sellise tegevuse sertifitseerimist

nimetatakse komisjoni rakendusmääruse (EL) 2024/482 kohase

sertifitseerimisprotsessi kontekstis sageli tegevuskoha sertifitseerimiseks.

(82) Käesolevas määruses sätestatud mõiste „hallatud turbeteenused“ määratlus peaks

olema kooskõlas direktiivis (EL) 2022/2555 kasutatud mõiste „hallatud turbeteenuse

osutaja“ määratlusega. Kõnealused teenused seisnevad klientide küberriskide

juhtimisega seotud tegevuse korraldamises või toetamises ning need on muutunud

intsidentide ennetamisel ja leevendamisel üha olulisemaks. Seega käsitatakse selliste

teenuste osutajaid elutähtsate või oluliste üksustena, mis kuuluvad direktiivi

(EL) 2022/2555 kohaselt kriitilise tähtsusega sektorisse. Sellistes valdkondades nagu

57 Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse

kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks

tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1, ELI:

http://data.europa.eu/eli/reg/2016/679/oj). 58 Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb

meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse

määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv

(EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80,

ELI: http://data.europa.eu/eli/dir/2022/2555/oj). 59 Komisjoni 31. jaanuari 2024. aasta rakendusmäärus (EL) 2024/482, millega kehtestatakse Euroopa

Parlamendi ja nõukogu määruse (EL) 2019/881 rakenduseeskirjad seoses Euroopa ühiskriteeriumidel

põhineva küberturvalisuse sertifitseerimise kava (EUCC) vastuvõtmisega (ELT L, 2024/482, 7.2.2024,

ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).

ET 42 ET

intsidentidele reageerimine, läbistustestimine, turvaaudit ja konsultatsioonid on

hallatud turbeteenuse osutajatel eriti oluline roll, et aidata üksustel intsidente ennetada,

avastada, lahendada ja neist taastuda. Paraku on hallatud turbeteenuse osutajad olnud

ka ise küberrünnete sihtmärgiks ja kuna nad on tihedalt lõimitud oma klientide

tegevusse, kujutavad nad endast erilist riski. Seepärast on vajalik, et elutähtsad ja

olulised üksused direktiivi (EL) 2022/2555 tähenduses oleksid hallatud turbeteenuse

osutajate valimisel iseäranis hoolikad.

(83) Euroopa küberturvalisuse sertifitseerimise kavad on olulised paljude sidusrühmade

jaoks, nagu IKT-lahenduste pakkujad, vastavushindamisasutused ja kasutajad.

Sidusrühmade laialdase kaasamise edendamiseks tuleks vähemalt kord aastas kokku

kutsuda Euroopa küberturvalisuse sertifitseerimise assamblee, et edendada koostööd

komisjoni, ENISA, liikmesriikide ja asjaomaste sidusrühmade vahel. Assambleel on

keskne roll uute küberturvalisuse probleemide ja sertifitseerimise strateegiliste

prioriteetide kindlakstegemisel ja käsitlemisel ning selle tagamisel, et

sertifitseerimiskavad hõlbustavad digitehnoloogia turvalist integreerimist ja vastavad

kasutajate vajadustele. Assamblee peaks tugevdama liidu juhtpositsiooni

sertifitseerimistegevuses ning aitama säilitada sertifitseerimisraamistiku

usaldusväärsuse ettevõtjate, avaliku sektori asutuste ja üldsuse silmis.

(84) Komisjon peaks haldama spetsiaalset veebisaiti, et tagada läbipaistvus, avaldades

ajakohastatud teavet Euroopa küberturvalisuse sertifitseerimise raamistiku

rakendamisel tehtud edusammude kohta. Veebisait peaks sisaldama teavet koostamisel

olevate sertifitseerimiskavade kohta, tulevaste sertifitseerimiskavade strateegilisi

prioriteete, ENISA-le esitatud ettevalmistavate sertifitseerimiskavade koostamise

taotlusi ja teavet sertifitseerimiskavade vastuvõtmise kohta. Komisjoni veebisait

täiendab ENISA hallatavat Euroopa küberturvalisuse sertifitseerimise kavade

veebisaiti, mis peaks sisaldama üksikasjalikku teavet ettevalmistavate kavade tehnilise

ettevalmistamise ja kavade haldamise kohta, keskendudes välja antud Euroopa

küberturvalisuse sertifikaatidele ja ELi vastavusdeklaratsioonidele.

(85) Selleks et tõhustada dialoogi liidu institutsioonide vahel ning aidata kaasa ametlikule,

avatud, läbipaistvale ja kaasavale konsultatsiooniprotsessile, peaks komisjon võtma

käesoleva määruse hindamisel arvesse Euroopa Parlamendi, nõukogu ja Euroopa

küberturvalisuse sertifitseerimise assamblee väljendatud seisukohti.

(86) ENISA tehtud teostatavusuuringud peaksid aitama teha ettevalmistusi küberturvalisuse

sertifitseerimise kavade ettevalmistamiseks ja väljatöötamiseks. Uuringud peaksid

hõlmama asjaomaste sidusrühmade vaatenurki ja nende abil tuleks viia tulevased

sertifitseerimiskavad kooskõlla käimasoleva teadus- ja arendustegevusega ning

tehnoloogia hindamisega, võttes arvesse eelkõige liidu ja liikmesriikide

teadusalgatuste panust. Sellised uuringud võivad aidata kindlaks teha olemasolevaid

standardeid ja tehnilisi kirjeldusi. Neid tuleks teha komisjoni taotlusel või kooskõlas

liidu strateegiliste prioriteetidega, et tagada areneva tehnoloogiamaastiku ja muutuvate

küberturvalisuse vajaduste piisav käsitlemine ja kajastamine kavade taotlemisel ja

väljatöötamisel.

(87) Ettevalmistava kava ülesehitus ning turvaeesmärkide ja -elementide hõlmatus peaks

olema vastavuses sertifitseerimisobjekti sisu ja ulatusega. Seega võib näiteks

pilvteenuste sertifitseerimise kavas käsitleda turvaeesmärke, mis on asjakohased IKT-

teenuste ja organisatsiooni turvalisuse seisukohast. Teise näitena võib märkida, et

IKT-protsesside sertifitseerimisel ei ole tõenäoliselt asjakohane turvaeesmärk, mis on

seotud teadaolevate ärakasutatavate nõrkuste väljajätmisega.

ET 43 ET

(88) Selleks et tagada Euroopa küberturvalisuse sertifitseerimise kavade ühtlustatud

rakendamine kõigis liikmesriikides, on vaja ette näha eeskirjad nende kavade

haldamise kohta. Kavade haldamine on vajalik muu hulgas selleks, et tagada kavade ja

neile lisatud dokumentide ajakohasus, eelkõige küberturvalisuse valdkonnas, kus ohud

ja tehnoloogia pidevalt muutuvad. Seepärast peaks sertifitseerimiskavade

kavandamine ja haldamine toimuma viisil, millega välditakse ohtu, et kava aegub

kiiresti. Kavade haldamine peaks üldjuhul hõlmama lisadokumentide, sh tehniliste

kirjelduste ja suuniste koostamist ja ajakohastamist ning asjakohaste standardite või

tehniliste kirjelduste kindlakstegemist. Samuti tuleks kava haldamise raames

analüüsida kava toimimist, selle võimalikke puudusi ja vajalikke täiustusi. Lisaks

peaks haldamine hõlmama liikmesriikidevahelist teabevahetust kavade rakendamise

kohta ning panustamist vastastikustesse eksperdihinnangutesse ja vastastikuse

hindamise mehhanismidesse.

(89) Kuna tegemist on laadilt tehnilise tegevusega, peaks ENISA haldama kavu koostöös

komisjoniga ning teda peaksid toetama Euroopa küberturvalisuse sertifitseerimise

rühm ja selle kavade haldamise allrühm. Kõnealuse kavade hindamise allrühma

loomine võimaldab koguda liikmesriikidelt lähenemisviiside ühtlustamiseks tehnilist

teavet ja seisukohti.

(90) Kavade haldamise raames tuleks suhelda asjaomaste sidusrühmadega, et tagada muu

hulgas tehnilise panuse jagamise ja vastuvõtmise kaudu, et kavad vastavad jätkuvalt

turu vajadustele ja on ajakohased. Nendeks sidusrühmadeks võivad olla

standardiorganisatsioonid, vastavushindamisasutused, müüjad, kasutajad, avaliku

sektori asutused või kutseorganisatsioonid. Iga kava, sh asjaomaste tehniliste

foorumite ja tööstusharude iseärasuste tõttu peaks olema võimalik koguda tehnilisi

panuseid eri kavade puhul erinevalt. Mõne kava puhul peaks ENISA saama tugineda

ajutisele töörühmale, mis koondab liikmesriikide ametiasutuste, liidu üksuste ja

erasektori eksperte. Tehnilise panuse võivad anda ka teabe jagamise ja analüüsimise

keskused ja standardiorganisatsioonid. ENISA peaks analüüsima, milline vorm on iga

kava jaoks kõige sobivam, ja sätestama igas ettevalmistavas kavas kava haldamise

strateegia.

(91) Euroopa küberturvalisuse sertifitseerimise kavad peaksid tuginema standarditele või

tehnilistele kirjeldustele, eelkõige turvanõuete ja hindamismetoodika

kindlaksmääramise osas. ENISA-le tuleks anda võimalus koostada tehnilisi kirjeldusi,

et toetada kavade väljatöötamist ja haldamist, eelkõige juhul, kui

standardiorganisatsioonide koostatud dokumendid puuduvad või ei sobi need kava

eesmärkide saavutamiseks. Teksti koostamisel peaks ENISAt toetama Euroopa

küberturvalisuse sertifitseerimise rühm ja vajaduse korral asjaomase kava jaoks

loodud ajutine töörühm. ENISA peaks küsima sisendit ka sidusrühmadelt. Lisaks

peaks ENISA kaaluma, kas tehniline kirjeldus on turule vastuvõetav, ning võtma

arvesse Euroopa ja rahvusvahelisi standardeid. Arvestades tehniliste kirjelduste

kvaliteeti ja kava eesmärke, peaks komisjonil olema võimalik viidata Euroopa

küberturvalisuse sertifitseerimise kavas ENISA koostatud tehnilistele kirjeldustele.

(92) ENISA koostatud ja kavas viidatud tehnilised kirjeldused tuleks teha kättesaadavaks

ENISA hallataval Euroopa küberturvalisuse sertifitseerimise kavade veebisaidil, et

neile pääseksid ligi kõik huvitatud isikud. Mõnel konkreetsel juhul võib veebisaidil

avaldamine seada ohtu sertifitseeritud IKT-toodete, -teenuste, -protsesside või hallatud

turbeteenuste küberturvalisuse või üksuste turvaoleku ja seega ka avaliku julgeoleku.

Näiteks võivad tehnilised kirjeldused sisaldada täpset teavet uute ründevektorite kohta

ja selle teabe avalik kättesaadavus võimaldaks pahatahtlikel isikutel neid kasutada.

ET 44 ET

Sellist teavet tuleks levitada piiratult ja teadmisvajaduse alusel asjaomastele

sidusrühmadele, nagu riiklikud küberturvalisuse sertifitseerimise asutused,

vastavushindamisasutused ja sertifitseeritavad müüjad. Seoses piiratud levitamisega ei

tohiks Euroopa küberturvalisuse sertifitseerimise kavades sellistele tehnilistele

kirjeldustele viidata, mistõttu peaksid need kirjeldused olema mittesiduvad.

(93) Turvaoleku sertifitseerimise kavad tuleks üles ehitada modulaarselt, et oleks võimalik

tõendada nõuete täitmist ja eeldada vastavust muudes liidu õigusaktides sätestatud

asjakohastele küberturvalisuse nõuetele, kui asjaomase õigusaktiga on selline

võimalus ette nähtud. Seega saab muus õigusaktis sätestatud nõuetele vastavuse

eeldust kasutada nõuete täitmise tõendamiseks vaid siis, kui asjaomane õigusakt seda

võimaldab. Turvaoleku sertifitseerimise Sellise kava üksikasjad, nimelt otstarve,

eesmärk või elemendid, erinevad tõenäoliselt teiste kavade üksikasjadest. Eeskätt

tuleks turvaoleku sertifitseerimise kavad välja töötada selleks, et oleks võimalik

hinnata, kas üksus järgib järjekindlalt liidu õigusakte. Seetõttu ei ole vaja, et üksuste

turvaoleku sertifitseerimise kavad hõlmaksid kõiki Euroopa küberturvalisuse

sertifitseerimise kavade elemente, näiteks usaldusväärsuse tasemeid, ning see peaks

kajastuma ka neid kavu käsitlevates õigusnormides.

(94) Raamistik turvaoleku sertifitseerimiseks Euroopa küberturvalisuse sertifitseerimise

raamistikus võimaldab töötada välja kava, mis annab mitmes liikmesriigis teenuseid

osutavatele üksustele võimaluse tõendada Euroopa Parlamendi ja nõukogu direktiivis

(EL) 2022/2555 sätestatud küberriskide juhtimise kohustuste täitmist. See võimalus

tõendada nõuetelevastavust tähendab üksuste jaoks sidusamat ja vähem koormavat

järelevalvet kogu siseturul. Sellise sertifitseerimiskava väljatöötamist tuleks

hõlbustada rakendusaktide vastuvõtmisega direktiivi (EL) 2022/2555 alusel. Tänu

laiendusprofiilidele võimaldab turvaoleku sertifitseerimise kava tõendada

nõuetelevastavust olukorras, kus liikmesriik on kooskõlas direktiiviga (EL) 2022/2555

vastu võtnud või jätnud kehtima sätted, millega tagatakse küberturvalisuse kõrgem

tase. Üksus, kes osutab teenuseid mitmes liikmesriigis, saab tõendada ühtse Euroopa

küberturvalisuse sertifikaadi abil vastavust kõigile asjakohastele laiendusprofiilidele.

(95) Euroopa küberturvalisuse sertifitseerimise kavades sätestatud turvaeesmärgid ja -

nõuded, mis on seotud toodete turvalisusega, peaksid olema kooskõlas määruse

(EL) 2024/2847 I lisas sätestatud oluliste küberturvalisuse nõuetega. See sidusus on

vajalik selle tagamiseks, et tootjate suhtes, kelle tooted kuuluvad määruse

(EL) 2024/2847 kohaldamisalasse, ei kohaldata üksteisele vastukäivaid nõudeid, kui

nende tooteid sertifitseeritakse Euroopa küberturvalisuse sertifitseerimise kava alusel.

Lisaks hõlbustab nõuete järjepidevus nõuetele vastavuse eeldamist kooskõlas määruse

(EL) 2024/2847 artikliga 27, mille kohaselt võidakse tootjate puhul, kes toodavad

Euroopa küberturvalisuse sertifitseerimise kava alusel sertifitseeritud digielemente

sisaldavaid tooteid, teatavatel tingimustel eeldada kõnealuse määruse I lisas sätestatud

oluliste küberturvalisuse nõuete täitmist.

(96) Euroopa küberturvalisuse sertifitseerimise kavas peaks olema võimalik määrata

kindlaks laiendusprofiil, nähes kasutusjuhtude jaoks ette lisa- või erinõuded, sh

lisasuutlikkus, nagu täiustatud tooteomadused, eriteenuste pakkumine või

eriotstarbelised varad, optimeeritud protsessid ja täiustatud turbemeetmed. Kuna

laiendusprofiilid ei vasta konkreetsele usaldusväärsuse tasemele, tuleks neis

üksikasjalikult kirjeldada taotletavat eesmärki, sh käsitletavaid küberohte.

Laiendusprofiilid on mõeldud eeskätt selleks, et tõendada vastavust konkreetsetele

standarditele ja regulatiivsetele nõuetele, sh vajaduse korral vastavust nõuetele, mis on

seotud küberriskide juhtimise meetmetega, mille liikmesriik on täiendavalt

ET 45 ET

kehtestanud, järgides kooskõlas direktiiviga (EL) 2022/2555 minimaalse ühtlustamise

põhimõtet.

(97) Ilma et see piiraks üldist vastastikuse hindamise süsteemi, mis kehtestatakse Euroopa

küberturvalisuse sertifitseerimise raamistiku raames kõigis riiklikes küberturvalisuse

sertifitseerimise asutustes, peaks olema võimalik lisada Euroopa küberturvalisuse

sertifitseerimise kavadesse vastastikuse hindamise mehhanism asutustele, kes

väljastavad IKT-toodete, -teenuste, -protsesside, hallatud turbeteenuste või üksuste

turvaoleku kohta Euroopa küberturvalisuse sertifikaate, eelkõige neile asutustele, kes

annavad selliste kavade alusel välja sertifikaate kõrge usaldusväärsuse taseme kohta.

Nende asutuste hulka peaksid kuuluma ka kõrge usaldusväärse taseme kohta

sertifikaate välja andvad riiklikud küberturvalisuse sertifitseerimise asutused. Selliste

vastastikuse hindamise mehhanismide rakendamist peaks toetama Euroopa

küberturvalisuse sertifitseerimise rühm. Vastastikuse hindamise käigus tuleks hinnata

eeskätt seda, kas asjaomased asutused täidavad oma ülesandeid ühtlustatud viisil, ja

see võib hõlmata edasikaebamise mehhanisme.

(98) Sertifitseerimistegevusele võivad avaldada kahjulikku mõju kriisid, näiteks sõjad,

loodusõnnetused ja pandeemiad. Sellises kriisiolukorras ei pruugi taristu hävimise,

küberrünnete, töötajate kättesaamatuse või tegevuskoha ligipääsmatuse tõttu olla

võimalik tagada näiteks tegevuskoha turvalisust. Seepärast tuleks Euroopa

küberturvalisuse sertifitseerimise kavas sätestada ajutised eeskirjad

sertifitseerimistegevuse järjepidevuse tagamiseks selliste stsenaariumide korral.

(99) Tehniliste ettevalmistavate kavade muutmine rakendusaktideks nõuab põhjalikke

tehnilisi ja juriidilisi teadmisi ning võib tekitada märkimisväärse halduskoormuse.

Lisaks on Euroopa küberturvalisuse sertifitseerimise kavade teatavad elemendid, nagu

nõrkusehaldus või märkide või märgistuste kasutamise tingimused,

valdkondadevahelised ja nende puhul võiksid olla kasulikud ühtlustatud

viitamissätted. Selleks et tagada vastuvõetud Euroopa küberturvalisuse

sertifitseerimise kavade kvaliteet ja vähendada ettevõtjate jaoks nõuete täitmisega

seotud koormust, peaks komisjonil olema õigus võtta vastu sertifitseerimiskavade

teatavaid elemente käsitlevad näidissätted.

(100) Euroopa küberturvalisuse sertifitseerimise raamistiku järjepidevuse tagamiseks peaks

Euroopa küberturvalisuse sertifitseerimise kavas saama täpsustada asjaomase kava

alusel välja antavate Euroopa küberturvalisuse sertifikaatide ja ELi

vastavusdeklaratsioonide usaldusväärsuse tasemed. Euroopa küberturvalisuse

sertifikaat peaks osutama ühele usaldusväärsuse tasemele: usaldusväärsuse

baastasemele, märkimisväärsele usaldusväärsuse tasemele või kõrgele usaldusväärsuse

tasemele, ELi vastavusdeklaratsioon aga üksnes baastasemele. Usaldusväärsuse

tasemed peaksid kajastama IKT-toote, -teenuse, -protsessi, hallatud turbeteenuse või

turvaoleku hindamise rangust ja põhjalikkust ning nende kirjeldamisel tuleks viidata

asjaomastele tehnilistele kirjeldustele, standarditele ja menetlustele, sh tehnilistele

kontrollidele, mille eesmärk on vähendada või ennetada intsidente. Iga

usaldusväärsuse tase peaks olema järjepidev eri valdkondade lõikes, kus

sertifitseerimist kohaldatakse.

(101) Euroopa küberturvalisuse sertifikaadi kasutajad peaksid valima asjakohase

sertifitseerimise ja seonduvad turvanõuded, lähtudes IKT-toodete, -teenuste, -

protsesside või hallatud turbeteenuste kasutamisega seotud riskide või üksuste

sertifitseerimise konteksti analüüsist. Seega peaks usaldusväärsuse tase vastama

riskitasemele, mida seostatakse IKT-toote, -teenuse, -protsessi või hallatud

ET 46 ET

turbeteenuse kavandatud kasutamisega või selle üksuse tegevuskeskkonna ja laadiga,

kelle turvaolekut sertifitseeritakse.

(102) Usaldusväärsuse baastaseme hindamisel tuleks juhinduda vähemalt järgmistest

usaldusväärsuse komponentidest: hindamine peaks sisaldama vähemalt seda, et

vastavushindamisasutus vaatab läbi IKT-toote, -teenuse, -protsessi, hallatud

turbeteenuse või üksuse turvaoleku tehnilise dokumentatsiooni. Kui sertifitseerimine

hõlmab IKT-protsesse, peaks tehnilist läbivaatamist kohaldama ka protsesside suhtes,

mida on kasutatud IKT-toote, -teenuse, hallatud turbeteenuse või üksuse turvaoleku

projekteerimiseks, arendamiseks ja hooldamiseks. Kui Euroopa küberturvalisuse

sertifitseerimise kavaga on ette nähtud vastavuse enesehindamine, peaks piisama

sellest, kui IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootja või

pakkuja või üksus, kelle turvaolekut sertifitseeritakse, on viinud läbi enesehindamise,

et hinnata oma IKT-toote, -teenuse, -protsessi, hallatud turbeteenuse või üksuse

turvaoleku vastavust sertifitseerimiskavale.

(103) Märkimisväärse usaldusväärsuse taseme jaoks tuleks hindamisel lisaks

usaldusväärsuse baastaseme puhul ette nähtule kontrollida vähemalt IKT-toote, -

teenuse, -protsessi, hallatud turbeteenuse või üksuse turvaoleku turvafunktsioonide

vastavust asjaomasele tehnilisele dokumentatsioonile.

(104) Kõrge usaldusväärsuse taseme jaoks tuleks hindamisel lisaks märkimisväärse

usaldusväärsuse taseme puhul nõutule teha vähemalt tõhususe kontroll, mille käigus

hinnatakse turvafunktsioonide võimet panna vastu küberrünnetele, mida panevad

toime isikud, kellel on selleks märkimisväärsed oskused ja vahendid. Kõrge

usaldusväärsuse taseme jaoks või juhul, kui kava eesmärk on tõendada vastavust ja

anda alus eeldada vastavust muudele liidu õigusaktidele, tuleks vastavushindamine

teha Euroopa Majanduspiirkonnas. Seda nõuet õigustab asjaolu, et väljaspool Euroopa

Majanduspiirkonda tehtavad hindamistoimingud põhjustavad küberturvalisusele,

eelkõige hinnatavate IKT-toodete, -teenuste, -protsesside, hallatud turbeteenuste või

üksuste intellektuaalomandile, täiendavaid ohte. Näiteks võidakse kolmanda riigi piiri

ületamisel kontrollida IKT-toote lähtekoodi, mis kujutab endast riski

intellektuaalomandile. Lisaks ei tegutse kolmandates riikides asutatud katselaborid

keskkonnas, mille suhtes kohaldatakse ELi õigusaktidega, näiteks direktiiviga

(EL) 2022/2555 või määrusega (EL) 2024/2847 ette nähtud küberturvalisuse

meetmeid. Näiteks võib katselabor kasutada kolmandast isikust pilvteenuse osutajat,

kes ei täida direktiivis (EL) 2022/2555 sätestatud küberturvalisuse nõudeid.

Sellegipoolest peaks olema lubatud näha sertifitseerimiskavas ette mehhanism erandite

tegemiseks, näiteks tegevuskoha sertifitseerimisel või muudel juhtudel, kui

vastavushindamist ei ole võimalik mõistlikult teha Euroopa Majanduspiirkonnas.

(105) Mõnel juhul võib konkreetse usaldusväärsuse taseme turvaeesmärkide saavutamiseks

olla vaja erinevaid lähenemisviise, et võtta arvesse IKT-toodete, -teenuste, -

protsesside, hallatud turbeteenuste või üksuse turvaoleku spetsiifikat. Üksikasjalikuma

lähenemisviisi võimaldamiseks peaks olema võimalik määrata Euroopa

küberturvalisuse sertifitseerimise kavas kindlaks üks või mitu ühele usaldusväärsuse

tasemele vastavat hindamistaset. See võimaldaks koostada kavu, kus konkreetse

usaldusväärsuse tasemega seotud turvalisuse tasemele vastavad mitu eri eesmärgil

kavandatud hindamistaset.

(106) Euroopa küberturvalisuse sertifitseerimise kavas peaks olema lubatud näha ette

vastavushindamise läbiviimine nii, et selle eest vastutab vaid IKT-toodete, -teenuste, -

protsesside või hallatud turbeteenuste tootja või pakkuja või üksus, kelle turvaolekut

ET 47 ET

sertifitseeritakse („vastavuse enesehindamine“). Sellistel juhtudel peaks selle

tagamiseks, et IKT-toode, -teenus, -protsess, hallatud turbeteenus või üksuse turvaolek

vastab Euroopa küberturvalisuse sertifitseerimise kavale, piisama sellest, kui tootja,

pakkuja või üksus, kelle turvaolekut sertifitseeritakse, teeb ise kõik kontrollid.

Vastavuse enesehindamist tuleks pidada asjakohaseks IKT-toodete, -teenuste, -

protsesside, hallatud turbeteenuste ja üksuse turvaoleku puhul, mis on vähekeerukad,

kujutavad endast avalikkusele väikest riski ning on lihtsa disainilahenduse või

tootmismehhanismiga.

(107) Kui Euroopa küberturvalisuse sertifitseerimise kava võimaldab nii IKT-toodete, -

teenuste, -protsesside, hallatud turbeteenuste ja üksuste turvaoleku vastavuse

enesehindamist kui ka sertifitseerimist, tuleks sertifitseerimiskavas ette näha selged ja

arusaadavad vahendid, mille abil saaksid tarbijad või muud kasutajad teha vahet tootja

või pakkuja enda hinnatud ja kolmanda isiku sertifitseeritud IKT-toodetel, -teenustel, -

protsessidel, hallatud turbeteenustel ja üksuste turvaolekul.

(108) IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootja või pakkuja või

üksus, kelle turvaolekut sertifitseeritakse, peaks saama vastavushindamismenetluse

raames väljastada ja allkirjastada ELi vastavusdeklaratsiooni. ELi

vastavusdeklaratsioon on dokument, mis kinnitab, et konkreetne IKT-toode, -teenus, -

protsess, hallatud turbeteenus või üksuse turvaolek vastab Euroopa küberturvalisuse

sertifitseerimise kavas esitatud nõuetele. ELi vastavusdeklaratsiooni väljastamise ja

allkirjastamisega võtab IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste

tootja või pakkuja või üksus, kelle turvaolekut sertifitseeritakse, endale vastutuse selle

eest, et IKT-toode, -teenus, -protsess, hallatud turbeteenus või turvaolek vastab

Euroopa küberturvalisuse sertifitseerimise kavas sätestatud turvanõuetele. ELi

vastavusdeklaratsiooni koopia tuleks esitada riiklikule küberturvalisuse

sertifitseerimise asutusele ja ENISA-le.

(109) IKT-toodete, -teenuste, -protsesside või hallatud turbeteenuste tootjad ja pakkujad

ning üksused, kelle turvaolekut sertifitseeritakse, peaksid tegema ELi

vastavusdeklaratsiooni, tehnilise dokumentatsiooni ja kogu muu teabe, mis puudutab

vastavust Euroopa küberturvalisuse sertifitseerimise kavale, pädevale riiklikule

küberturvalisuse sertifitseerimise asutusele kättesaadavaks asjaomases

sertifitseerimiskavas kindlaks määratud tähtaja jooksul kooskõlas kohaldatavate liidu

õigusaktidega. Tehnilistes dokumentides tuleks kindlaks määrata kava kohaselt

kohaldatavad nõuded, mis on vastavuse enesehindamise seisukohast asjakohased.

Tehnilised dokumendid peaksid olema koostatud nii, et need võimaldavad hinnata

IKT-toote, -teenuse, -protsessi, hallatud turbeteenuse või üksuse turvaoleku vastavust

kava kohaselt kohaldatavatele nõuetele.

(110) Euroopa küberturvalisuse sertifikaadid ja ELi vastavusdeklaratsioonid peaksid aitama

kasutajatel teha teadlikke valikuid. Seepärast tuleks asjakohane teave avaldada ENISA

hallataval veebisaidil. Lisaks tuleks koos sertifitseeritud või ELi

vastavusdeklaratsiooni saanud IKT-toodete, -teenuste ja -protsessidega esitada

struktureeritud teave, mis on kohandatud kavandatud kasutaja eeldatavale tehnilisele

tasemele. Kõigil kasutajatel peaks olema juurdepääs sellisele teabele nagu

sertifitseerimiskava viitenumber, sertifikaadi välja andnud asutus või organ ja

asjakohasel juhul usaldusväärsuse tase, või neil peaks olema võimalus saada Euroopa

küberturvalisuse sertifikaadi koopia. Seda teavet tuleks korrapäraselt ajakohastada ja

see peaks olema kättesaadav spetsiaalsel Euroopa küberturvalisuse sertifitseerimise

kavade veebisaidil. Selleks et tagada teabe pidev kättesaadavus, tuleks tootjatelt ja

ET 48 ET

pakkujatelt nõuda, et nad teavitaksid asjaomast sertifitseerimisasutust, kui veebis

esitatud või asjakohasel juhul füüsilise teabe asukoht muutub.

(111) Vastavushindamine on protseduur, mille käigus hinnatakse, kas IKT-toote, -teenuse, -

protsessi, hallatud turbeteenuse või üksusega seotud konkreetsed nõuded on täidetud.

Selle protseduuri teostab sõltumatu kolmas isik, kes ei ole sertifitseeritava IKT-toote, -

teenuse, -protsessi või hallatud turbeteenuse tootja ega pakkuja ega üksus, kelle

turvaolekut hinnatakse. IKT-tootele, -teenusele, -protsessile, hallatud turbeteenusele

või üksuse turvaolekule positiivse hinnangu andmise tulemusel tuleks välja anda

Euroopa küberturvalisuse sertifikaat. Euroopa küberturvalisuse sertifikaati tuleks

käsitada kinnitusena selle kohta, et hindamine on toimunud nõuetekohaselt.

(112) Selleks et vältida moonutusi ja häireid, mis võivad tekkida olukordades, kus

turujärelevalvet teostav üksus ka ise sama turul konkureerib, on väga oluline hoida

järelevalve- ja sertifitseerimistegevus rangelt lahus. Tegevusi, mida ellu viies riiklik

küberturvalisuse sertifitseerimise asutus üksnes täidab oma järelevalverolli (nt annab

eelneva heakskiidu sertifikaadi väljaandmiseks), ei peaks olema vaja täiendavalt

eraldada muust järelevalvetegevusest. Nende tegevuste hulka kuulub ka see, kui riiklik

küberturvalisuse sertifitseerimise asutus kogub eraõigusliku vastavushindamisasutuse

läbiviidava protsessi jooksul aktiivselt teavet ja esitab seejärel oma arvamuse selle

kohta, kas vastavushindamisasutus peaks sertifikaadi välja andma (edaspidi „eelneva

heakskiidu mudel“).

(113) Euroopa küberturvalisuse sertifitseerimise kavades tuleks kindlaks määrata

tingimused, mille korral võib tekkida vajadus sertifitseerida IKT-toode, -teenus, -

protsess, hallatud turbeteenus või üksuse turvaolek uuesti või vähendada konkreetse

Euroopa küberturvalisuse sertifikaadi kohaldamisala. Lisaks tuleks Euroopa

küberturvalisuse sertifitseerimise kavades arvesse võtta sertifitseeritud IKT-toote, -

teenuse, -protsessi, hallatud turbeteenuse või üksuse turvaolekuga seotud hiljem

avastatud nõrkuse või mittevastavuse võimalikku kahjulikku mõju vastavusele

asjaomase sertifikaadi turvanõuetega.

(114) Range küberturvalisuse tagamiseks ja ettevõtjate turulepääsu parandamiseks on tähtis

ühtlustamine. Killustatus ja sertifikaatide vastastikune mittetunnustamine takistavad

märkimisväärselt andmete sujuvat liikumist, suurendades seeläbi liidu tootmisharu

tegevuskulusid. Nende probleemide leevendamiseks on oluline vältida kogu liidus

killustatust nii turvakontrollimeetmete kohaldamisala kui ka

vastavushindamismeetodite puhul.

(115) Liikmesriigid peaksid teavitama komisjoni ja Euroopa küberturvalisuse

sertifitseerimise rühma piisavalt aegsasti enne uue riikliku küberturvalisuse

sertifitseerimise kava vastuvõtmist IKT-toodete, -teenuste, -protsesside, hallatud

turbeteenuste või üksuste turvaoleku jaoks, et aidata komisjonil ja sel rühmal hinnata

uue riikliku kava mõju siseturu nõuetekohasele toimimisele ning pidades silmas mis

tahes strateegilist huvi taotleda Euroopa küberturvalisuse sertifitseerimise kava.

(116) Liikmesriikide õigusaktides sisalduvad viited riiklikele standarditele, mida Euroopa

küberturvalisuse sertifitseerimise kava jõustumise tõttu enam ei kohaldata, võivad

põhjustada segadust. Seetõttu peaksid liikmesriigid asjakohasel juhul kajastama

Euroopa küberturvalisuse sertifitseerimise kava vastuvõtmist oma siseriiklikes

õigusaktides.

(117) Selleks et hõlbustada usaldusväärse siseturu kasvu ja luua samal ajal partnerlusi

kolmandate riikidega, tuleks Euroopa küberturvalisuse sertifitseerimise raamistikus

ET 49 ET

kehtestatud sertifitseerimismenetlust rakendada viisil, mis hõlbustab rahvusvahelist ja

vastastikust tunnustamist ning kooskõlastamist rahvusvaheliste standarditega.

(118) Selleks et veelgi enam lihtsustada kaubandust ja tunnistades, et IKT tarneahelad on

rahvusvahelised, võib liit sõlmida kooskõlas ELi toimimise lepingu artikliga 218

Euroopa küberturvalisuse sertifikaatide vastastikuse tunnustamise lepinguid.

Komisjonil peaks olema õigus võtta vastu rakendusakte, et ühepoolselt tunnistada

kolmandate riikide sertifikaatide samaväärsust Euroopa küberturvalisuse

sertifikaatidega. Kolmandate riikide sertifikaatide selliseks tunnustamiseks peaks

olema võimalik kehtestada eritingimused.

(119) Selleks et saavutada raamistiku samaväärne rakendamine kogu liidus, hõlbustada

vastastikust tunnustamist ning edendada Euroopa küberturvalisuse sertifikaatide ja ELi

vastavusdeklaratsioonide üldist aktsepteerimist, tuleb kehtestada riiklike

küberturvalisuse sertifitseerimise asutuste vaheline vastastikuse hindamise süsteem.

Vastastikune hindamine peaks hõlmama menetlusi, et kontrollida, kas IKT-tooted, -

teenused, -protsessid, hallatud turbeteenused ja üksuste turvaolek vastavad Euroopa

küberturvalisuse sertifikaadi nõuetele, teha vastavuse enesehindamist läbiviivatee

IKT-toodete, -teenuste, -protsesside ja hallatud turbeteenuste tootjate ja pakkujate ja

sertifitseeritud üksuste kohustuste järelevalvet, vastavushindamisasutuste järelevalvet

ning kontrollida, kas kõrge usaldusväärsuse taseme kohta sertifikaate väljaandvate

asutuste töötajatel on sobivad eksperditeadmised. ENISA peaks osalema vastastikuses

hindamises vaatlejana ning toetama vastastikuse hindamise mehhanismi rakendamist

ja vastastikuse hindamise korraldamist, sh töötama koostöös komisjoni ja Euroopa

küberturvalisuse sertifitseerimise rühmaga välja asjakohased juhenddokumendid ja

vormid. Samuti peaks ENISA tegema enda hallataval Euroopa küberturvalisuse

sertifitseerimise kavade veebisaidil üldsusele kättesaadavaks teabe vastastikuste

hindamiste ajakava kohta ja loetelu vastastikuse hindamise läbinud riiklikest

küberturvalisuse sertifitseerimise asutustest, kes peavad selle ajakava ellu viima.

Vastuvõetud Euroopa küberturvalisuse sertifitseerimise kavades kasutatav vastastikuse

hindamise kava on kehtestatud määruse (EL) 2019/881 alusel vastu võetud komisjoni

rakendusmäärusega (EL) 2025/254060. On vaja tagada vastastikuse hindamise

jätkumine. Komisjonil peaks siiski olema võimalik vajaduse korral kehtestada

rakendusaktiga vähemalt viieaastane uus vastastikuse hindamise kava ning sätestada

vastastikuse hindamise süsteemi töö kriteeriumid ja metoodikad.

(120) Kui Euroopa küberturvalisuse sertifitseerimise kava vastu võetakse, siis peaks IKT-

toodete, -teenuste, -protsesside ja hallatud turbeteenuste tootjatel või pakkujatel või

üksustel, kelle turvaolekut sertifitseeritakse, olema võimalik esitada oma IKT-toodete,

-teenuste, -protsesside, hallatud turbeteenuste või turvaoleku sertifitseerimise taotlusi

nende valitud vastavushindamisasutusele kõikjal liidus. Vastavushindamisasutused

peaks akrediteerima riiklik akrediteerimisasutus, kui nad vastavad käesolevas

määruses sätestatud nõuetele ja, kui see on kohaldatav, käesoleva määruse kohaselt

komisjoni kindlaks määratud nõuetele. Käesolevas määruses kindlaks määratud

60 Komisjoni 9. detsembri 2025. aasta rakendusmäärus (EL) 2025/2540, milles sätestatakse Euroopa

Parlamendi ja nõukogu määruse (EL) 2019/881 rakenduseeskirjad seoses vastastikuse hindamise kava

koostamisega (ELT L, 2025/2540, 12.12.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/2540/oj).

ET 50 ET

süsteemi peaks täiendama Euroopa Parlamendi ja nõukogu määruses (EÜ)

nr 765/200861 sätestatud akrediteerimissüsteem.

(121) Vastavushindamisasutused, mis on akrediteeritud või millest on teatatud kehtivate

liidu õigusaktide alusel, eelkõige määruse (EL) 2024/2847 või rakendusmääruse

(EL) 2024/482 alusel, võivad omada uute vastuvõetud Euroopa küberturvalisuse

sertifitseerimise kavade jaoks asjakohast pädevust. Põhjendamatu finants- ja

halduskoormuse vältimiseks on asjakohane luua koosmõju käesoleva määruse alusel

vastavushindamisasutuste akrediteerimiseks. Seetõttu tuleks kehtestada kavade

akrediteerimise nõuded selliselt, et tagada võimalikult suures ulatuses vastavus

määruses (EL) 2024/2847 sätestatud nõuetele, mis puudutavad teada antud asutusi,

ning rakendusmääruses (EL) 2024/482 sätestatud akrediteerimisnõuetele. Lisaks

sellele peaks käesoleva määruse alusel akrediteerimisprotsessi läbinud

vastavushindamisasutustel olema võimalik tugineda nende pädevuse hindamise

varasematele tulemustele, mis on saadud muude liidu õigusaktide alusel, kui

akrediteerimisnõuded kattuvad.

(122) Liidus ühtlustatud vastavushindamisteenuste soodustamiseks peaks olema võimalik

määrata Euroopa küberturvalisuse sertifitseerimise kavas vastavushindamisasutuste

jaoks lisa- või erinõudeid. Sertifitseerimise kontekstis tuleks luba käsitada riikliku

küberturvalisuse sertifitseerimise asutuse otsusena, mille kohaselt vastab

vastavushindamisasutus Euroopa küberturvalisuse sertifitseerimise kava lisa- või

erinõuetele konkreetse vastavushindamistoimingu elluviimiseks.

(123) Kui Euroopa küberturvalisuse sertifitseerimise kavas on kooskõlas käesoleva

määrusega sätestatud lisa- või erinõuded, peaks riiklikud küberturvalisuse

sertifitseerimise asutused andma vastavushindamisasutustele loa sellise kava alusel

ülesannete täitmiseks. Mitmekordse lubade andmise vältimiseks, loa andmise otsuste

aktsepteerimise ja tunnustamise lihtsustamiseks ning loa saanud

vastavushindamisasutuste tulemuslikuks järelevalveks peaksid

vastavushindamisasutused taotlema asukohaliikmesriigi riikliku küberturvalisuse

sertifitseerimise asutuse luba. Sellegipoolest tuleb tagada, et vastavushindamisasutusel

oleks võimalik taotleda luba teises liikmesriigis, juhul kui tema asukohaliikmesriigis ei

ole riiklikku küberturvalisuse sertifitseerimise asutust või kui riiklik küberturvalisuse

sertifitseerimise asutus ei ole taotletava loa andmise teenuste osutamiseks pädev.

Sellisteks juhtudeks tuleks tagada riiklike küberturvalisuse sertifitseerimise asutuste

asjakohane koostöö ja teabevahetus. Komisjonil peaks olema volitus võtta vastu

rakendusakte, millega kehtestatakse loa andmise menetlused, sh loa andmisega seotud

piiriülese koostöö jaoks.

(124) IKT-toote, -teenuse, -protsessi, hallatud turbeteenuse või üksuse turvaoleku vajaliku

kaitsetaseme tagamiseks on hädavajalik, et vastavushindamise alltöövõtjatelt ja

tütarettevõtjatelt nõutakse vastavushindamise ülesannete täitmise puhul samade nõuete

täitmist kui teada antud vastavushindamisasutustelt. Seega peaks

vastavushindamisasutusel olema sobilik pädevus ja ta peaks suutma kontrollida, et

tema alltöövõtjad täidavad kohaldatavaid nõudeid.

(125) Teavitav ametiasutus peaks nõuetekohaselt hindama seda, kui suures ulatuses kavatseb

vastavushindamisasutus kasutada väljaspool liitu asuvaid alltöövõtjaid või mil määral

61 Euroopa Parlamendi ja nõukogu 9. juuli 2008. aasta määrus (EÜ) nr 765/2008, millega sätestatakse

akrediteerimise ja turujärelevalve nõuded seoses toodete turustamisega ja tunnistatakse kehtetuks

määrus (EMÜ) nr 339/93 (ELT L 218, 13.8.2008, lk 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).

ET 51 ET

tal on juurdepääs väljaspool liikmesriiki asuvatele töötajatele või rajatistele.

Liikmesriigi avaliku sektori asutusel peaks olema võimalik otsustada, et ta ei saa võtta

riikliku küberturvalisuse sertifitseerimise asutusena üldist vastutust kõnealuse

korralduse eest, ning teatamisest keelduda või selle ulatust piirata.

(126) IKT-toote, -teenuse, -protsessi, hallatud turbeteenuse või üksuste turvaoleku

küberturvalisuse nõuete hindamiseks peaksid riiklikud küberturvalisuse

sertifitseerimise asutused teatama komisjonile ja teistele liikmesriikidele akrediteeritud

vastavushindamisasutustest. Akrediteeritud ja, kui see on kohaldatav, loa saanud

vastavushindamisasutustest teatamine näitab, et neid asutusi saab usaldada käesoleva

määruse ja Euroopa küberturvalisuse sertifitseerimise kava kohaste hindamis- ja

sertifitseerimistegevuse elluviimisel, millega panustatakse Euroopa küberturvalisuse

sertifitseerimise üldisesse mainesse. Seetõttu on hädavajalik tagada, et

vastavushindamisasutused, millest on teatatud, täidavad nende suhtes kehtivaid

nõudeid ja kohustusi pidevalt ning et teatatud vastavushindamisasutuste loetelu

hoitakse ajakohasena.

(127) Määruse (EL) 2019/881 kohaselt vastu võetud komisjoni rakendusmäärusega

(EL) 2024/314362 on ette nähtud teadete esitamise asjaolud, vormingud ja menetlused,

mida kasutatakse vastuvõetud Euroopa küberturvalisuse sertifitseerimise kavades.

Seetõttu on vaja tagada teavitamistegevuse jätkumine. Sellest hoolimata tuleks

komisjonile anda volitus võtta vastu rakendusakte, et kohandada neid asjaolusid,

menetlusi ja vorminguid vastavushindamisasutuste teavitamise otstarbel. Selles

kontekstis peaks komisjon tuginema olemasolevate kavade käigus omandatud

kogemustele ja proovima tagada vastavuse muudele asjakohastele liidu õigusaktidele

ja raamistikele, eelkõige määrusele (EL) 2024/2847 ning uuele õigusraamistikule, et

vähendada eri õigusaktide alusel tegutsevate vastavushindamisasutuste regulatiivset

koormust.

(128) Info- ja kommunikatsioonitehnoloogia (edaspidi „IKT“) tarneahelad koosnevad

ettevõtjatevaheliste ressursside ja protsesside omavahel seotud kogumist. IKT

tarneahelatel on ülioluline roll sotsiaalse stabiilsuse säilitamisel ja majandustegevuse

edendamisel kogu liidus. Ühtlasi on neil on kriitilise tähtsusega roll liidu digitaristu

võimaldamisel ning need on liidu ühiskonna ja majanduse toimimise alus. IKT

tarneahelad võimaldavad mitmesuguste kriitilise ja eriti kriitilise tähtsusega sektorite

(sh tervishoid, rahandus, transport, telekommunikatsioon, energeetika ja toll) aluseks

olevate IKT-teenuste, -süsteemide ja -toodete valmistamist, tootmist, levitamist ja

hooldamist. Nende kriitilise tähtsusega sektorite IKT tarneahelate turvalisus võib

mõjutada ka kaitse- ja sõjalise taristu turvalisust, kui kõnealune taristu tugineb

tsiviilvaldkonna kriitilise tähtsusega sektoritele ja nende IKT tarneahelatele. ENISA

välja antud küberohtude olukorda käsitleva aruande (edaspidi „ENISA ohtude

kaardistamise aruanne 2025“)63 kohaselt on ründed tarneahelate vastu siiski üks viiest

peamisest küberturvalisust ähvardavast ohust, mis näitab, et ründajad kasutavad

aktiivselt kaudseid mõjuahelaid kolmandast isikust teenuseosutajate ja sõltuvuste

kaudu. IKT tarneahelate häirimine võib tõkestada majandustegevust siseturul,

62 Komisjoni 18. detsembri 2024. aasta rakendusmäärus (EL) 2024/3143, millega nähakse ette teadete

esitamise asjaolud, vormingud ja menetlused vastavalt Euroopa Parlamendi ja nõukogu määruse

(EL) 2019/881 (mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja

kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist) artikli 61 lõikele 5 (ELT L,

2024/3143, 19.12.2025, ELI: http://data.europa.eu/eli/reg_impl/2024/3143/oj). 63 ENISA ohtude kaardistamise aruanne 2025, oktoober 2025.

ET 52 ET

põhjustada rahalist kahju, õõnestada kasutajate usaldust ning tekitada suurt kahju liidu

majandusele ja ühiskonnale. Seetõttu on küberturvalisuse alane valmisolek ja tõhusus

siseturu tõrgeteta toimimiseks olulisem kui kunagi varem.

(129) Lisaks tehnilistele riskidele, mida maandatakse Euroopa Parlamendi ja nõukogu

direktiiviga (EL) 2022/55,64 Euroopa Parlamendi ja nõukogu määrusega

(EL) 2024/284765 ning määrusega (EL) 2019/881 loodud Euroopa küberturvalisuse

sertifitseerimise raamistikuga, on IKT tarneahelad üha enam avatud mittetehnilise

olemusega riskidele. Kõnealused mittetehnilised riskid võivad muu hulgas olla seotud

teatavate komponentide tarnija suhtes kohaldatava jurisdiktsiooniga, eelkõige kui

kolmas riik või sellest riigist kontrollitavad ohusubjektid tegelevad

majandusspionaažiga, viivad ellu pahatahtlikku kübertegevust või -kampaaniaid liidu

või selle liikmesriikide vastu või käituvad riigina küberruumis vastutustundetult.

Mittetehnilised riskid võivad samuti olla seotud varjatud nõrkuste, tagauste või

võimalike süsteemsete tarnehäiretega, eelkõige tehnoloogilise kinnistumise või

tarnijatest sõltuvuse puhul. Näiteks võidakse kasutada hädaseiskamislüliteid, et

negatiivselt mõjutada side- ja elektrivõrkude kättesaadavust.

(130) Ühisteatises ELi majandusjulgeoleku tugevdamise kohta66 rõhutati riski, et kolmandad

riigid saavad juurdepääsu liidu või selle liikmesriikide tundlikule teabele ja andmetele

kas tööstusspionaaži või teatavates toodetes kasutatava riist- või tarkvara tarnimise

tulemusena või seetõttu, et nad on omandanud ja kontrollivad teatavaid tundlikku

teavet ja andmeid omavaid ettevõtteid. Selles toodi samuti esile risk, et välismaised

osalejad põhjustavad häiringuid ELi elutähtsas taristus (sh elutähtis transporditaristu,

kosmosesüsteemid, energia- ja sidetaristu, eelkõige need, mida käsitletakse sõjalise

liikuvuse seisukohast strateegilisena), mis võib tekitada ahelmõju liidu majandusele.

Häired võivad tekkida füüsiliste või hübriidrünnakute või küberrünnete tulemusena, sh

tervete rajatiste või nende osade või alakomponentide sabotaaži tõttu. Need võivad

olla seotud ka IKT tarneahelatega, millel põhinevad elutähtsa taristu ülitähtsad

komponendid või teenused.

(131) Selleks, et reageerida IKT tarneahela turvalisuse probleemidele, mille on põhjustanud

mittetehnilised riskid, on teatavad liikmesriigid võtnud regulatiivseid meetmeid, sh

määranud suure riskiga tarnijad, ning teiste liikmesriikide puhul on nende meetmete

võtmine tõenäoline. See võib põhjustada riiklike lähenemisviiside üha suuremat

lahknevust ja kokkuvõttes teatavate liikmesriikide suuremat nõrkust, mille ülekanduv

mõju võib avalduda kogu liidus. Seetõttu on vaja ühtlustada teatavaid aspekte, mis on

seotud IKT tarneahelale avalduvate mittetehniliste küberriskidega. Kõnealune

sekkumine liidu tasandil on samuti põhjendatud, võttes arvesse vajadust tagada

küberturvalisuse kõrge tase kogu liidus. IKT tarneahela turvalisust käsitlevate sätete

eesmärk on kõrvaldada kõnealused suured erinevused liikmesriikide vahel, eelkõige

64 Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb

meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse

määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv

(EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152, ELI: https://eur-

lex.europa.eu/eli/dir/2022/2555/oj). 65 Euroopa Parlamendi ja nõukogu 23. oktoobri 2024. aasta määrus (EL) 2024/2847, mis käsitleb

digielemente sisaldavate toodete küberturvalisuse horisontaalseid nõudeid ja millega muudetakse

määrusi (EL) nr 168/2013 ja (EL) 2019/1020 ning direktiivi (EL) 2020/1828 (küberkerksuse määrus)

(ELT L, 2024/2847, 20.11.2024, ELI: https://eur-lex.europa.eu/eli/reg/2024/2847/oj/est). 66 Ühisteatis Euroopa Parlamendile ja nõukogule „ELi majandusjulgeoleku tugevdamine“, 3. detsember

2025, JOIN(2025) 977 final.

ET 53 ET

kehtestades liidu tasandil IKT tarneahela turvalisuse riskide hindamise mehhanisme

käsitlevad normid ning IKT tarneahela riskide eest kaitsmise miinimumnõuded.

(132) Kriitiliste sõltuvuste ja nõrkuste vähendamiseks on vaja luua usaldusväärne IKT

tarneahela raamistik, mis peaks aitama lahendada suure riskiga tarnijate ja

sõltuvustega seotud mittetehnilisi riske kriitilise tähtsusega sektorites ja muudes

kriitilise tähtsusega sektorites. Seega on vaja tagada liidu tasandil objektiivne,

riskipõhine, tulevikukindel ja tehnoloogianeutraalne raamistik, et määrata kindlaks

olulised IKT-varad ning näha riskide vähendamiseks ette proportsionaalsete

leevendusmeetmete kogum.

(133) Küberriske, sh riske, mis on seotud sõltuvusega suure riskiga tarnijatest, võib

täheldada mitmes kriitilise tähtsusega IKT tarneahelas liidus, sh tuvastamisseadmed,

ühendatud ja automatiseeritud sõidukid, elektrivarustuse süsteemid ja elektri

salvestamine, veevarustuse süsteemid, mehitamata õhusõidukid ja mehitamata

õhusõidukite vastased süsteemid, pilvandmetöötlusteenused, meditsiiniseadmed,

jälgimisseadmed, kosmoseteenused ja pooljuhid. Näiteks nõrkused turvaseadmetes

võivad anda juurdepääsu IKT-süsteemidele, mis võimaldavad kuritahtlikel osalejatel

manipuleerida skannereid viisil, mis võimaldab tuua keelatud objekte läbi

turvakontrolli ilma neid avastamata, mille tagajärjed võivad olla katastroofilised.

(134) Käesolev määrus ei tohiks takistada liikmesriike vastu võtmast või kehtima jätmast

sätteid, millega tagatakse IKT tarneahela küberturvalisuse kõrgem tase, tingimusel et

sellised sätted on kooskõlas liikmesriikide kohustustega, mis on sätestatud liidu

õiguses. Kõnealused sätted võivad näiteks hõlmata oluliste IKT-varade puhul

rangemate leevendusmeetmete kehtestamist.

(135) Konkreetseid IKT tarneahelaid mõjutavate võimalike küberriskide kindlaks

tegemiseks võib direktiivi (EL) 2022/2555 artikliga 14 loodud koostöörühm (edaspidi

„võrgu- ja infoturbe koostöörühm“) hinnata konkreetseid IKT tarneahelaid liidu

tasandi koordineeritud turvariski hindamiste teel. Liidu tasandi koordineeritud

turvariski hindamiste käigus tuleks muu hulgas kontrollida peamisi ohusubjekte,

peamisi ohte ja nõrkusi, mis mõjutavad olulisi IKT-varasid. Liidu tasandi

koordineeritud turvariski hindamiste käigus tuleks koostada riskistsenaariumide

loetelu ja riskide maandamise meetmete loetelu. Liidu tasandi koordineeritud

turvariski hindamised tuleks läbi viia kuue kuu jooksul. Eriti kiireloomulistes

olukordades peaks olema võimalik tähtaegu lühendada.

(136) Kui komisjonil on piisavalt põhjust olla seisukohal, et seoses elutähtsate IKT

tarneahelatega ähvardab liidu julgeolekut märkimisväärne küberoht ning siseturu

nõuetekohase toimimise säilitamiseks võib olla vaja võtta meetmeid, peaks komisjon

viivitamata konsulteerima liikmesriikidega leevendusmeetmete võtmise vajaduse asjus

ning viima läbi turvariski hindamise, võttes arvesse liikmesriikidega konsulteerimist.

(137) Kui võrgu- ja infoturbe koostöörühma või komisjoni läbiviidud turvariski hindamise

tulemusena nähtub, et konkreetne kolmas riik põhjustab IKT tarneahelatele tõsiseid ja

struktuurseid mittetehnilisi küberriske, siis peaks komisjon kontrollima selle riigi

põhjustatud ohtu. Komisjon võib selle kontrolli algatada ka muude allikate alusel,

nagu liidu või liikmesriigi nimel tehtud avaldus, millega reageeritakse küberruumis

riigi vastutustundetule käitumisele, mis on põhjustanud küberintsidendi. Ohutaseme

hindamiseks peaks komisjon võtma arvesse selliseid elemente nagu see, kas

kolmandas riigis on õigusakte või tavasid, millega nõutakse nende jurisdiktsiooni

kuuluvatelt üksustelt teabe esitamist tark- või riistvara nõrkuste kohta kõnealuse

kolmanda riigi asutustele, enne kui on teada, et kõnealuseid nõrkusi on ära kasutatud.

ET 54 ET

Teine oluline element on tulemuslike õiguskaitsevahendite ning sõltumatute ja

demokraatlike kontrollimehhanismide puudumine, mis aitavad turvalisuse probleeme

lahendada, sh kehtivate tavade puhul, põhjendatud teave kõnealuse riigi territooriumil

tegutsevate ning kuritahtlikku kübertegevust või -kampaaniaid ellu viivate

ohusubjektidega seotud intsidentide kohta ning kolmanda riigi võime või valmiduse

puudumine teha komisjoni või liikmesriikidega koostööd kõnealuste ohusubjektide

tegevusest tuleneva riski maandamiseks. Komisjon peaks samuti võtma arvesse teavet,

mis tuleneb liidu tasandi koordineeritud turvariski hindamistest või liikmesriikide või

rahvusvaheliste organisatsioonide (nt NATO) esitatud aruannetest.

(138) Käesoleva määruse kohaldamisel tuleks käsitada kontrolli võimena avaldada otsustava

tähtsusega mõju juriidilisele isikule kas otseselt või kaudselt ühe või enama vahendava

juriidilise isiku kaudu. Küberturvalisuse seisukohast muret tekitavate kolmandate

riikide üksuste kontroll tuleks kehtestada ka olukordades, kus kõnealusel üksusel

tegutsevad selles riigis juhatuse struktuurid.

(139) Liit ei tohiks rahastada suure riskiga tarnijaid hõlmavaid projekte, mis ohustaksid liidu

turvalisust ning õõnestaksid liidu huve ja usaldusväärsust. Käesoleva määruse alusel

kindlaks määratud suure riskiga tarnijatel ei tohiks seega olla õigust osaleda üheski

liidu rahastamisprogrammis ja -vahendis, mida rakendatakse eelarve otsese ja kaudse

täitmise alusel kooskõlas määruse (EL/Euratom) 2024/2509 artikliga 136 ja liidu

sektoripõhiste normidega, ega üheski eelarve jagatud täitmise alusel rakendatavas liidu

rahastamistegevuses, sh järgmise mitmeaastase finantsraamistiku alusel seoses selliste

IKT-komponentide või IKT-komponente sisaldavate komponentide pakkumisega,

mida hakatakse kasutama kindlaksmääratud olulistes IKT-varades. Liidu

rakenduspartnerid, nagu Euroopa Investeerimispanga Grupp ja riiklikud tugipangad ja

-asutused ei tohiks toetada eespool märgituga vastuolus olevaid projekte, sh omal

vastutusel toimuva tegevuse puhul.

(140) Riigihanked võivad olla tugev vahend, mille abil avaliku sektori asutused saavad

panustada innovatiivsemasse, kestlikumasse ja konkurentsivõimelisemasse

majandusse, ning mis aitab riigi raha strateegiliselt kasutada. IKT tarneahelatega

seotud riigihankeid ei tohiks kasutada liidu elutähtsa taristu turvalisust ohustavate

tarnijate huvides. Käesoleva määruse alusel kindlaks määratud suure riskiga tarnijatel

ei tohiks seega olla õigust osaleda kindlaks määratud olulistes IKT-varades

kasutatavate IKT-komponentide või IKT-komponente sisaldavate komponentide

tarnimise riigihangetes.

(141) Küberturvalisuse sertifitseerimisel on roll üldise turvalisuse suurendamisel ja

küberohtude tõkestamisel ning seega on see usalduse näitaja. Kõnealune usaldus võib

väheneda, kui küberturbeoskuste tõendeid väljastavad suure riskiga tarnijad, kellel ei

tohiks seega olla õigust kandideerida liidu individuaalsete küberturbeoskuste volitatud

tõendajaks saamiseks. Samal moel on asjakohane välistada suure riskiga tarnijate

puhul küberturvalisuse sertifikaadi saamine Euroopa küberturvalisuse sertifitseerimise

raamistiku alusel ja kõnealuseid sertifikaate väljastavaks akrediteeritud

vastavushindamisasutuseks saamine.

(142) Küberturvalisuse standarditel on ülioluline roll digitaristu turvalisuse ja

usaldusväärsuse tagamisel. On vaja võtta sobilikke meetmeid, et tagada standardimine

küberturvalisuse valdkonnas. Kui osalevad üksused, mis on asutatud riikides või mida

kontrollivad riigid, mis on kooskõlas käesoleva määrusega tehtud kindlaks IKT

tarneahelale küberturvalisuse seisukohast muret tekitavate riikidena, võib see

ET 55 ET

mõjutada küberturvalisuse standardeid nende turvalisust ja usaldusväärsust õõnestaval

viisil.

(143) Komisjon võib määrata turvariski hindamise tulemuste põhjal rakendusaktidega

kindlaks, milliseid IKT-varasid tuleks nende kriitilise tähtsuse tõttu käsitada oluliste

IKT-varadena, mille suhtes kohaldatakse konkreetseid leevendusmeetmeid. Juba

puhtalt vara ühendamisvõimaluse olemasolu peaks olema piisav alus küberriski

hindamiseks.

(144) Kui see on liidus küberturvalisuse, küberkerksuse ja usalduse kõrge taseme tagamiseks

vajalik, siis võidakse üksuste suhtes kohaldada leevendusmeetmeid nende IKT

tarneahela puhul ja eelkõige kindlaks tehtud oluliste IKT-varade puhul. Väljapakutud

leevendusmeetmed peaksid põhinema kõnealuste meetmete võimalike riskide ja

sõltuvuste, sh kriitilise tähtsusega või muudes kriitilise tähtsusega sektorites

tegutsevatele üksustele ning eelkõige VKEdele avalduva võimaliku majandusliku ja

sotsiaalse mõju hindamisel. Majandusliku mõju puhul tuleks analüüsida

leevendusmeetmete rakendamise kulusid, sh oluliste IKT-varade asjaomaste

komponentide elutsükli kestust juhul, kui meetmed hõlmavad tarnijate asendamist.

Samuti tuleks hinnata alternatiivsete tarnijate kättesaadavust turul, et tagada teenuste

jätkuv osutamine.

(145) Kuna leevendusmeetmed võivad avaldada piiravat mõju rahvusvahelisele

kaubandusele ja teenuskaubandusele, peaksid need olema proportsionaalsed ja

sihipärased, et saavutada õiguspärane eesmärk, milleks on tagada IKT tarneahelate

küberturvalisus direktiivi (EL) 2022/2555 I ja II lisas osutatud liiki üksuste puhul

kooskõlas liidu rahvusvaheliste kohustustega.

(146) Suure riskiga tarnijate pakutud komponentide kasutamine, paigaldamine või muud

liiki integreerimine oluliste IKT-varade käitamisse võib olla seotud riskiga, et andmed

edastatakse hiljem kolmandasse riiki. Eelkõige võib riske tekitada kolmandas riigis

andmetele pakutava kaitse ebapiisav tase, näiteks põhiõiguste, intellektuaalomandi või

ärisaladuste kaitse puhul, või ebaseaduslik juurdepääs andmetele ja nende

ebaseaduslik kasutamine võimalikeks tulevasteks tarneahela häireteks ning spionaaži

eesmärgil. Selliste riskide maandamiseks võib konkreetset liiki andmete

kolmandatesse riikidesse edastamise suhtes kohaldada piiranguid.

(147) Märkimisväärsed nõrkused tulenevad direktiivi (EL) 2022/2555 I ja II lisas osutatud

liiki üksuste kasutatavate seadmete ebapiisavast mitmekesisusest. Kui tuginetakse

ühele tarnijale, siis tekib sõltuvus konkreetsetest seadmetest või lahendustest. Kui ei

ole piisavalt erinevaid tarnijaid, siis suureneb elutähtsa taristu üldine nõrkus, eriti kui

üksused hangivad oma tundlikes IKT-varades kasutatavaid IKT-komponente suure

riskiga tarnijalt. Sõltuvus mõjutab märkimisväärselt ka riikide ja kogu ELi kerksust

ning tekitab nõrku lülisid. Selliste riskide maandamiseks võidakse kohaldada nõuet

kasutada konkreetsete oluliste IKT-varade jaoks rohkem kui ühte tarnijat.

(148) Käesolevas määruses määratletud olulisi varasid võivad kasutada ka liidu üksused.

Seega tuleks käesolevas määruses sätestatud norme, mis käsitlevad IKT tarneahela

turvalisust, kohaldada ka nende suhtes. Selleks et võtta arvesse liidu üksuste

iseärasusi, on oluline võtta liidu tasandi koordineeritud turvariski hindamisel arvesse

liidu üksustele tekkivaid mittetehnilisi riske, mis tulenevad IKT tarneahelatest.

(149) Erandlike asjaolude korral, kui siseturu nõuetekohase toimimise säilitamiseks on

põhjendatud viivitamatu sekkumine ning kui on selgeid tõendeid, mis annavad

komisjonile piisava põhjuse olla seisukohal, et konkreetselt tarnijalt pärit IKT-

ET 56 ET

komponentide või IKT-komponente sisaldavate komponentide kasutamine põhjustab

märkimisväärse küberohu vähemalt kolme liikmesriigi majanduslikule või

ühiskondlikule tegevusele, võib komisjon teha tihedalt liikmesriikidega konsulteerides

ettepaneku keelata direktiivi (EL) 2022/2555 I ja II lisas osutatud liiki üksustel

kasutada, paigaldada või kaasata selliseid komponente, mis pärinevad kõnealuselt

tarnijalt.

(150) Kohaldatavate meetmete proportsionaalsuse tagamiseks võivad üksused, mis on

asutatud käesoleva määruse kohaselt küberturvalisuse seisukohast muret tekitavaks

nimetatud kolmandas riigis või mida kontrollib kõnealune kolmas riik, sellises

kolmandas riigis asutatud üksus või sellise kolmanda riigi kodanik, esitada taotluse, et

neile tehtaks erand keelust pakkuda direktiivi (EL) 2022/2555 I ja II lisas osutatud liiki

üksustele IKT-komponente või IKT-komponente sisaldavaid komponente, et

kõnealune üksus saaks neid oma olulistes IKT-varades kasutada, neid sinna paigaldada

või integreerida, ning et neil oleks õigus osaleda riigihankemenetlustes, mis on

korraldatud kooskõlas Euroopa Parlamendi ja nõukogu direktiivide 2014/24/EL67 ja

2014/25/EL68 ülevõtmise õigusaktidega ning mis käsitlevad IKT-komponentide või

IKT-komponente sisaldavate komponentide pakkumist kindlaks määratud olulistes

IKT-varades kasutamise otstarbel. Selleks peaks üksus selgete tõendite alusel

näitama, et ta kohaldab tulemuslikke meetmeid mittetehniliste riskide maandamiseks

ning tagab, et küberturvalisuse seisukohast muret tekitav kolmas riik ei avalda talle

mingit sobimatut mõju.

(151) Elektroonilise side võrgud on aluseks väga mitmesugustele teenustele, mis on olulised

siseturu toimimiseks ning ühiskonna ja majanduse eluliselt tähtsate funktsioonide (nt

energeetika, transport, pangandus, tervishoid, kaitsevaldkond ja tööstuslikud

juhtimissüsteemid) haldamiseks ja toimimiseks. Seetõttu on need väga kriitilise

tähtsusega võrgud atraktiivsed sihtmärgid igasuguste küberrünnete ja hübriidohtude,

häirete, spionaaži, luureandmete kogumise ning samuti pettuste ja finantskuritegude

jaoks. Võrgu- ja infoturbe koostöörühma läbiviidud Euroopa sidetaristu ja -võrkude

küberturvalisuse ja -kerksuse riskihindamise tulemusena tehti kindlaks mitu liidu

seisukohast strateegilise olulisusega riski ja ohtu, näiteks pühkur/lunavara, ründed,

tarneahela ründed, võrkutungid ja hajusad teenusetõkestusründed.

(152) Võttes arvesse eri riikide elektroonilise side võrkude omavahelist ühendatust ja

sõltuvust, on vaja, et kõik liikmesriigid võtaksid sobilikke meetmeid oma võrkude

turvalisuse tagamiseks. Samadel põhjustel on vaja võtta liidu tasandil kasutusele

tulemuslik õigusraamistik, mis aitab käsitleda ka mittetehnilisi riske ning tagada

omavahel ühendatud elektroonilise side võrkude tervikliku turvalisuse.

(153) Eeskätt 5G võrkude küberturvalisus on liidu jaoks strateegilise olulisusega, kuna need

võrgud on mitmesuguste siseturu toimimise jaoks määrava tähtsusega teenuste alus

ning samuti määrava tähtsusega kaitsevalmiduse tagamiseks, sh sõjalise liikuvuse

puhul. 5G-võrkude kaudu saab pakkuda usaldusväärset ja ülikiiret ühenduvust näiteks

67 Euroopa Parlamendi ja nõukogu 26. veebruari 2014. aasta direktiiv 2014/24/EL riigihangete kohta ja

direktiivi 2004/18/EÜ kehtetuks tunnistamise kohta (ELT L 94, 28.3.2014, lk 65–242, ELI: https://eur-

lex.europa.eu/eli/dir/2014/24/oj/est). 68 Euroopa Parlamendi ja nõukogu 26. veebruari 2014. aasta direktiiv 2014/25/EL, milles käsitletakse vee-

, energeetika-, transpordi- ja postiteenuste sektoris tegutsevate üksuste riigihankeid ja millega

tunnistatakse kehtetuks direktiiv 2004/17/EÜ (ELT L 94, 28.3.2014, lk 243–374, ELI: https://eur-

lex.europa.eu/eli/dir/2014/25/oj).

ET 57 ET

andmete ja teabe jagamiseks, mehitamata õhusõidukite avastamiseks ning lahinguvälja

koordineerimiseks reaalajas.

(154) 5G kasutuselevõtt hõlmab peamiselt mitteeraldiseisvaid võrke, mille puhul

täiustatakse 5G-tehnoloogiaga ainult raadio juurdepääsuvõrku, kuid ülejäänud võrk

tugineb jätkuvalt olemasolevale 4G-tuumikvõrgule. Mitteeraldiseisvad 5G-võrgud

tuginevad peamiselt juba kasutusel olevale taristule, mis tähendab, et tulevaste 5G-

võrkude turvalisuse määravad teatavas ulatuses kindlaks juba kasutusel olevad

võrguseadmed ja selliste seadmete seadistus. Seetõttu peaksid leevendusmeetmed

hõlmama ka 4G-võrke, millele 5G kasutuselevõtt tugineb.

(155) 5G-võrkude oluliste turvaprobleemide lahendamiseks viisid liikmesriigid võrgu- ja

infoturbe koostöörühma raames koos komisjoni ja ENISAga läbi 5G-võrkude liidu

tasandi koordineeritud turvariski hindamise, analüüsides nii tehnilisi kui ka

mittetehnilisi riske. Selle hindamise käigus tehti kindlaks mitu riski, sh kolmandate

riikide või kolmandate riikide osalejate potentsiaalsed sekkumised tarneahela kaudu,

ning liigitati varad lähtuvalt nende olulisusest. Sellest hindamisest tuleks lähtuda 5G

sidevõrkude jaoks oluliste IKT-varade kindlaksmääramisel.

(156) 5G-võrkude liidu tasandi koordineeritud turvariski hindamise käigus kindlaks tehtud

riskide maandamiseks võttis võrgu- ja infoturbe koostöörühm kasutusele 5G

küberturvalisuse ELi meetmepaketi, milles on kindlaks määratud strateegilised ja

tehnilised meetmed. Kuigi enamikul liikmesriikidest on õigusraamistikud, mis

võimaldavad suure riskiga tarnijate piiranguid või välistamist, nagu on soovitatud 5G

meetmepaketis, ei ole neid raamistikke ühtselt rakendatud. Seetõttu varustavad

märkimisväärset osa 5G objektidest liidus suure riskiga tarnijad, nagu on osutatud

komisjoni teatises 5G meetmepaketi rakendamise kohta69. See olukord tekitab nõrkusi,

sh strateegilist sõltuvust ja võimalikku avatust kolmandate riikide sekkumisele, mis

võib samuti mõjutada olemasolevatele 5G-võrkudele rajatavat tulevast 6G-taristut. 5G

meetmepaketi soovitatud meetmete killustatud rakendamine, eelkõige suure riskiga

tarnijate piirangute kohaldamisala puhul, on põhjustanud liikmesriikidevahelisi

erinevusi, millest tulenevad ebavõrdsed tingimused, mis jaotavad siseturu osadeks ja

õõnestavad võrkude üldist turvalisust. Euroopa Kontrollikoda on toonud esile

kõnealused erinevused ja hoiatanud et kooskõlastatud lähenemisviisi puudumine

õõnestab siseturu toimimist. Püsiv sõltuvus suure riskiga tarnijatest tekitab

märkimisväärseid riske liidu elutähtsa taristu turvalisusele ning võib õõnestada

usaldust siseturul, kuna erinevad turvalisuse tasemed võivad ajendada tarbijaid ja

ettevõtteid hoiduma 5G-l põhinevatele toodetele ja teenustele tuginemisest kogu liidus.

Seetõttu on hädavajalik kehtestada liidu tasandi meetmed, et tagada ühtlustatud

lähenemisviis 5G-võrkude turvalisusele.

(157) Elektroonilise side püsi- ja satelliitvõrkude oluliste IKT-varade järkjärgulise kasutuselt

kõrvaldamise ajavahemiku kehtestamiseks peaks komisjon viima läbi hindamise,

võttes nõuetekohaselt arvesse püsi- ja satelliitvõrkude iga konkreetse olulise IKT-

varaga seotud turvariskide ulatust, asjakohaste komponentide kasutusaega ja

majanduslikku mõju, mida kõnealuste komponentide kõrvaldamine asjaomastele

ettevõtjatele avaldaks. Kõnealuse hindamise tulemuste põhjal võib komisjon kaaluda

erinevate järkjärgulise kasutuselt kõrvaldamise ajavahemike kehtestamist

konkreetsetele olulistele IKT-varadele ja nende lahutamatutele osadele.

69 Komisjoni teatis 5G küberturvalisuse meetmepaketi rakendamise kohta, 15. juuni 2023,

C(2023) 4049 final.

ET 58 ET

(158) Elektroonilise side mobiili-, püsi- ja satelliitvõrkude pakkujaid puudutavate kohustuste

tulemusliku järelevalve ja täitmise tagamise otstarbel peaksid asjaomased käesoleva

määruse kohaselt pädevad asutused tagama tiheda koostöö [digivõrkude õigusakti

ettepaneku] kohaselt pädevate asutustega. Käesoleva määruse kohaselt määratud

pädeva asutuse taotluse korral peaksid riigi reguleerivad asutused või muud

raadiospektri pädevad asutused tunnistama vajaduse korral kehtetuks [digivõrkude

õigusakti ettepaneku] artiklis 9 ja artiklis 20 osutatud õigused, kui üldkasutatavate

elektroonilise side võrkude pakkuja ei täida käesolevast määrusest tulenevaid

kohustusi, sh kui pakkuja ei kõrvalda järk-järgult kasutuselt suure riskiga tarnijatelt

pärinevaid IKT-komponente või IKT-komponente sisaldavaid komponente, mida

kasutatakse oluliste IKT-varade käitamiseks, käesolevas määruses kindlaks määratud

ajavahemiku jooksul.

(159) Võttes arvesse riiklike juhtimisstruktuuride erinevusi, peaksid liikmesriigid määrama

või asutama pädeva(d) asutuse(d), mis vastutab või vastutavad käesoleva määruse

kohaste järelevalve- ja täitemeetmete eest.

(160) Pädevad asutused peaksid toetama direktiivi (EL) 2022/2555 I ja II lisas osutatud liiki

üksusi käesolevast määrusest tulenevate kohustuste täitmisel. Sel otstarbel peaks

komisjon hindama, kas tarnijad, keda konkreetsed keelud võivad mõjutada, on

asutatud küberturvalisuse seisukohast muret tekitavas kolmandas riigis või on

kõnealuse kolmanda riigi või kõnealuses kolmandas riigis asutatud üksuse või selle

kodaniku kontrolli all. Pädevad asutused peaksid tegema tihedat koostööd komisjoni ja

muude pädevate asutustega käesoleva määruse alusel loodud võrgustikus. Pädevad

asutused peaksid komisjoni hindamise põhjal jagama suure riskiga tarnijaid käsitlevat

asjakohast teavet direktiivi (EL) 2022/2555 I ja II lisas osutatud liiki asjaomaste

üksustega. Üksustelt ei eeldata selle kontrollimist, kas tarnija on välisriigi kontrolli all,

vaid nad võivad täielikult tugineda pädevatelt asutustelt saadud teabele. Pädevad

asutused peaksid tagama, et kõnealustele üksustele ei tekitata põhjendamatut

halduskoormust.

(161) Tulemusliku nõuete täitmise tagamiseks tuleks käesolevas määruses ette näha

järelevalve- ja täitemeetmed, mille abil pädevad asutused saavad teha direktiivi

(EL) 2022/2555 I ja II lisas osutatud liiki üksuste järelevalvet. Kui pädevad asutused

täidavad kõnealuste üksuste puhul oma järelevalve- ja nõuete täitmise tagamise

kohustusi, siis ei tohiks nad minna kaugemale sellest, mis on kindlaks tehtud riskide

jaoks vajalik ja proportsionaalne.

(162) Selleks et muuta nõuete täitmise tagamine liidus tulemuslikuks ja järjepidevaks, on

vaja ette näha nõuete täitmise tagamise volitused, mida pädevad asutused saavad

kasutada käesolevas määruses sätestatud kohustuste rikkumise korral. Kõnealuste

nõuete täitmise tagamise volituste rakendamisel peaksid pädevad asutused võtma

nõuetekohaselt arvesse mitmesuguseid tegureid, sh rikkumise laadi, tõsidust ja kestust,

põhjustatud varalist või mittevaralist kahju, seda, kas rikkumine oli tahtlik või tingitud

hooletusest, varalise või mittevaralise kahju vältimiseks või leevendamiseks võetud

meetmeid, vastutuse taset ja varasemaid asjaomaseid rikkumisi, pädeva asutusega

tehtud koostöö ulatust ning muid raskendavaid või leevendavaid tegureid. Sellised

täitemeetmed, sh karistused, peaksid olema proportsionaalsed ja nende määramise

suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja Euroopa Liidu põhiõiguste

hartaga kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sh õigust tõhusale

õiguskaitsevahendile ja õiglasele kohtulikule arutamisele, süütuse presumptsiooni ja

kaitseõigust.

ET 59 ET

(163) Samuti on oluline näha ette õigus määrata sunniraha, mille eesmärk on sundida

direktiivi (EL) 2022/2555 I või II lisas osutatud liiki üksust käesoleva määruse

rikkumist lõpetama, kooskõlas pädeva asutuse eelneva otsusega.

(164) Selleks et tagada käesolevas määruses sätestatud kohustuste tulemuslik täitmine,

peaks igal pädeval asutusel olema õigus karistusi määrata või nende määramist

taotleda.

(165) Kui karistusi määratakse direktiivi (EL) 2022/2555 I ja II lisas osutatud liiki üksusele,

mis on ettevõtja, siis käsitatakse ettevõtjana ettevõtjat kooskõlas Euroopa Liidu

toimimise lepingu artiklitega 101 ja 102. Kui trahv määratakse isikule, kes ei ole

ettevõtja, peaks pädev asutus karistuse sobiva suuruse määramisel arvesse võtma

üldist sissetulekutaset selles liikmesriigis ja isiku majanduslikku olukorda. See, kas ja

kui palju tuleks avaliku sektori asutustele karistusi määrata, peaks olema

liikmesriikide otsustada. Karistuse määramine ei tohiks mõjutada pädevate asutuste

muude volituste kohaldamist.

(166) Selleks et tagada ühtsed tingimused käesoleva määruse rakendamiseks, tuleks anda

komisjonile rakendamisvolitused, et võtta vastu rakendusaktid, millega kehtestatakse

üksikasjalikud normid ENISA nõutavate tasude kohta, rakendusaktid, millega nähakse

IKT-toodete, -teenuste, -protsesside, hallatud turbeteenuste või üksuste turvaoleku

jaoks ette Euroopa küberturvalisuse sertifitseerimise kava, rakendusaktid, millega

kehtestatakse ühised põhimõtted ja viitamissätted, mille eesmärk on näha ette Euroopa

küberturvalisuse sertifitseerimise kavade elemendid, rakendusaktid, millega

täpsustatakse eelneva heakskiidu või üldise delegeerimise mudelite menetlused,

rakendusaktid, mis käsitlevad kolmanda riigi või rahvusvahelise organisatsiooni

küberturvalisuse sertifikaatide tunnustamist Euroopa küberturvalisuse sertifikaatidega

võrdväärsena, rakendusaktid, millega kehtestatakse vastastikuste eksperdihinnangute

kava, rakendusaktid, millega kehtestatakse menetlused, sh piiriülese koostöö

menetlused vastavushindamisasutustele lubade väljastamiseks, rakendusaktid, millega

määratakse kindlaks vastavushindamisasutustest teatamise asjaolud, vormingud ja

menetlused, rakendusaktid, millega nimetatakse kolmas riik IKT tarneahelate

küberturvalisuse seisukohast muret tekitaks riigiks, rakendusaktid, millega määratakse

kindlaks direktiivi (EL) 2022/2555 I ja II lisas osutatud liiki üksuste poolt toodete

valmistamiseks või teenuste osutamiseks kasutatavad olulised IKT-varad,

rakendusaktid, millega määratakse kindlaks, et kriitilise tähtsusega sektorites ja

muudes kriitilise tähtsusega sektorites tegutsevate üksuste suhtes kohaldatakse

konkreetseid leevendusmeetmeid, ning millega määratakse kindlaks suure riskiga

tarnijate tarnitavate IKT-komponentide või IKT-komponente sisaldavate

komponentide järkjärgulise kasutuselt kõrvaldamise ajavahemikud, rakendusaktid,

millega täpsustatakse küberturvalisuse seisukohast muret tekitavas kolmandas riigis

asutatud üksustele või sellisest riigist pärit üksuste kontrolli all olevate üksustele

erandi tegemise tingimused, ning samuti rakendusaktid, millega kehtestatakse

üksikasjalikud normid komisjoni nõutavate tasude kohta. Neid volitusi tuleks

rakendada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011

ning kasutada tuleks kontrollimenetlust. Käesoleva määruse rakendamisel ühtsete

tingimuste tagamiseks tuleks komisjonile samuti anda rakendusvolitused, et koostada

suure riskiga tarnijate loetelu, mis on asjakohane teatavate käesolevas määruses

sätestatud meetmete puhul.

(167) Euroopa küberturvalisuse sertifitseerimise kavad peavad kajastama tehnoloogia

uusimaid arengusuundi, uusi asjakohaseid ohte ja uute liidu õigusaktide vastuvõtmist,

millega kehtestatakse Euroopa küberturvalisuse sertifitseerimise kaudu vastavuse

ET 60 ET

tõendamine ja nõuetele vastavuse eeldus kõnealuste õigusaktide asjakohaste

küberturvalisuse nõuete puhul. Neil põhjustel tuleks komisjonile delegeerida õigus

võtta kooskõlas ELi toimimise lepingu artikliga 290vastu õigusakte, et lisada või

muuta Euroopa küberturvalisuse sertifitseerimise kavade turvaeesmärke. Samal moel

tuleks usaldusväärse IKT tarneahela raamistiku huvides delegeerida komisjonile õigus

võtta kooskõlas ELi toimimise lepingu artikliga 290 vastu õigusakte, et muuta

käesoleva määruse II lisa selle kohandamiseks tehnoloogia arenguga. On eriti oluline,

et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone,

sealhulgas ekspertide tasandil, ja et kõnealused konsultatsioonid viidaks läbi kooskõlas

13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes

sätestatud põhimõtetega. Eelkõige selleks, et tagada delegeeritud õigusaktide

ettevalmistamises võrdne osalemine, peaksid Euroopa Parlament ja nõukogu saama

kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel peaks

olema pidev juurdepääs komisjoni eksperdirühmade koosolekutele, millel arutatakse

delegeeritud õigusaktide ettevalmistamist.

(168) ENISA tööd tuleks hinnata korrapäraselt ja sõltumatult. Hindamisel tuleks pidada

silmas ENISA eesmärke ja ülesannete asjakohasust, eelkõige seoses liidu tasandil

operatiivkoostööga seotud ülesannetega. Läbivaatamise korral peaks komisjon

hindama seda, kuidas on võimalik tugevdada ENISA rolli nõu ja eksperditeadmisi

pakkuva kontaktüksusena.

(169) Komisjoni rakendusmääruses (EL) 2024/482 on sätestatud normid Euroopa

ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava vastuvõtmiseks.

Euroopa ühiskriteeriumidel põhinev küberturvalisuse sertifitseerimise kava on

esimene ja ainus määruse (EL) 2019/881 kohaselt vastu võetud Euroopa

küberturvalisuse sertifitseerimise kava. See käsitleb IKT-toodete sertifitseerimist, sh

tehnilistesse valdkondadesse „Kiipkaardid ja samalaadsed seadmed“ ning

„Turvaümbrisega riistvaraseadmed“ kuuluvate toodete ning kaitseprofiilide (kui IKT-

protsesside) puhul. Seetõttu on vaja tagada sertifitseerimistegevuse ja ameti tegevuse

jätkumine.

(170) Vastavalt määruse (EL) 2018/172570 artikli 42 lõikele 2 on konsulteeritud Euroopa

Andmekaitseinspektori ja Euroopa Andmekaitsenõukoguga, kes esitasid oma

ühisarvamuse [kuupäev].

(171) Määrus (EL) 2019/881 tuleks kehtetuks tunnistada.

(172) Kuna käesoleva määruse eesmärke ei suuda liikmesriigid piisavalt saavutada, küll aga

saab neid meetme ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit

võtta meetmeid kooskõlas Euroopa Liidu lepingu (edaspidi „ELi leping“) artiklis 5

sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud

proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärkide

saavutamiseks vajalikust kaugemale,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I JAOTIS

ÜLDSÄTTED

70 Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb

füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning

isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus

nr 1247/2002/EÜ (ELT L 295, 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ET 61 ET

Artikkel 1

Reguleerimisese ja kohaldamisala

1. Käesolevas määruses sätestatakse järgmine:

a) Euroopa Liidu Küberturvalisuse Ameti (edaspidi „ENISA“) missioon,

eesmärgid, ülesanded ja organisatsioonilised aspektid,

b) Euroopa küberturvalisuse sertifitseerimise kavade kehtestamise raamistik, et

kindlustada liidus IKT-toodete, -teenuste, -protsesside, hallatud turbeteenuste

või üksuste turvaoleku piisav küberturvalisuse tase ning vältida siseturu

killustatust seoses küberturvalisuse sertifitseerimise kavadega liidus, ning

c) usaldusväärse IKT tarneahela raamistik.

2. Lõike 1 punktis b osutatud raamistiku kohaldamine ei piira muude liidu õigusaktide

erinormide kohaldamist, mis käsitlevad vabatahtlikku või kohustuslikku

sertifitseerimist.

3. Lõike 1 punktis c osutatud raamistikku kohaldatakse direktiivi (EL) 2022/2555 I või

II lisas osutatud liiki avaliku või erasektori üksuste suhtes, mis osutavad oma

teenuseid või viivad ellu oma tegevust liidus.

4. Käesolev määrus ei piira liikmesriikide põhifunktsioone riigina, sealhulgas riigi

territoriaalse terviklikkuse tagamist, avaliku korra säilitamist ja riigi julgeoleku

kaitsmist. Eelkõige jääb riigi julgeolek iga liikmesriigi ainuvastutusse.

Artikkel 2

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

1) „küberturvalisus“ – tegevused, mis on vajalikud selleks, et kaitsta võrgu- ja

infosüsteeme, selliste süsteemide kasutajaid ja muid küberohtudest mõjutatud

isikuid;

2) „liidu üksused“ – direktiivi (EL) 2023/2841 artikli 3 punktis 1 määratletud üksused;

3) „volitatud tõendaja“ – avaliku või erasektori üksus, mille kohta ENISA on teinud

otsuse, millega on kõnealune üksus volitatud andma Euroopa individuaalsete

küberturbeoskuste tõendeid, nagu on sätestatud Euroopa individuaalsete

küberturbeoskuste tõendamise kavas;

4) „Euroopa individuaalsete küberturbeoskuste tõend“ – digitaalne või füüsiline kirje,

mis tõendab, et üksikisik teab, mõistab ja on suuteline täitma ülesandeid, mis on

seotud Euroopa küberturbeoskuste raamistiku ametikirjelduse või ametikirjelduste

alamkogumiga, pärast Euroopa individuaalsete küberturbeoskuste tõendamise kavas

sätestatud hindamist;

5) „Euroopa individuaalsete küberturbeoskuste tõendamise kava“ – terviklik normide,

nõuete, standardite ja menetluste komplekt, mille on kehtestanud ENISA ja mis on

seotud Euroopa küberturbeoskuste raamistiku ametikirjelduse või selle

alamkogumiga ja mida kohaldatakse volitatud tõendajate suhtes ja mida kohaldavad

volitatud tõendajad;

6) „võrgu- ja infosüsteem“ – direktiivi (EL) 2022/2555 artikli 6 punktis 1 määratletud

võrgu- ja infosüsteem;

ET 62 ET

7) „riiklik küberturvalisuse strateegia“ – direktiivi (EL) 2022/2555 artikli 6 punktis 4

määratletud riiklik küberturvalisuse strateegia;

8) „intsident“ – direktiivi (EL) 2022/2555 artikli 6 punktis 6 määratletud intsident;

9) „ulatuslik küberintsident“ – direktiivi (EL) 2022/2555 artikli 6 punktis 7 määratletud

ulatuslik küberintsident;

10) „intsidendi käsitlemine“ – direktiivi (EL) 2022/2555 artikli 8 punktis 6 määratletud

intsidendi käsitlemine;

11) „küberoht“ – võimalik asjaolu, sündmus või tegevus, mis võib kahjustada või häirida

võrgu- ja infosüsteeme, nende kasutajaid ja teisi isikuid või neile muul viisil halba

mõju avaldada;

12) „Euroopa küberturvalisuse sertifitseerimise kava“ – liidu tasandil kindlaks määratud

reeglite, tehniliste nõuete, standardite ja menetluste põhjalik kogum, mida

kasutatakse konkreetsete IKT-toodete, -teenuste, -protsesside, hallatud turbeteenuste

või üksuste turvaoleku sertifitseerimiseks või nende vastavuse hindamiseks;

13) „riiklik küberturvalisuse sertifitseerimise kava“ – riigi ametiasutuse välja töötatud ja

kehtestatud reeglite, tehniliste nõuete, standardite ja menetluste põhjalik kogum,

mida kasutatakse konkreetse kava kohaldamisalasse kuuluvate IKT-toodete, -

teenuste, -protsesside, hallatud turbeteenuste või üksuste turvaoleku

sertifitseerimiseks või nende vastavuse hindamiseks;

14) „Euroopa küberturvalisuse sertifikaat“ – asjakohase asutuse välja antud dokument,

mis kinnitab, et hinnatud on asjaomase IKT-toote, -teenuse, -protsessi, hallatud

turbeteenuse või üksuse turvaoleku vastavust Euroopa küberturvalisuse

sertifitseerimise kavas kindlaks määratud turvalisuse erinõuetele;

15) „ELi vastavusdeklaratsioon“ – dokument, mille on väljastanud IKT-toote, -teenuse, -

protsessi, hallatud turbeteenuse tootja või pakkuja või üksus, kelle turvaolekut

sertifitseeritakse, ja milles on märgitud, et vastavuse enesehindamise teel on

tõendatud nõuete täitmist, mis vastavad usaldusväärsuse baastasemele, mis on

sätestatud Euroopa küberturvalisuse sertifitseerimise kavas;

16) „IKT-toode“ – võrgu- või infosüsteemi element või elementide rühm;

17) „IKT-teenus“ – teenus, mis koosneb täielikult või peamiselt võrgu- ja infosüsteemide

kaudu teabe edastamisest, säilitamisest, väljavõtmisest või töötlemisest;

18) „IKT-protsess“ – tegevused, mille käigus projekteeritakse või töötatakse välja IKT-

toode või -teenus, seda tarnitakse või hooldatakse;

19) „hallatud turbeteenus“ – kolmandale isikule osutatav teenus, mis seisneb

küberriskide juhtimisega seotud tegevuse, näiteks intsidentide käsitlemise,

läbistustestimise, turvaauditite ja tehnilise toega seotud konsultatsioonide, sh

eksperdinõu pakkumise korraldamises või nende korraldamiseks toe pakkumises;

20) „akrediteerimine“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 10 määratletud

akrediteerimine;

21) „riiklik akrediteerimisasutus“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 11

määratletud riiklik akrediteerimisasutus;

22) „vastavushindamine“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 12 määratletud

vastavushindamine;

ET 63 ET

23) „vastavushindamisasutus“ – määruse (EÜ) nr 765/2008 artikli 2 punktis 13

määratletud vastavushindamisasutus;

24) „standard“ – Euroopa Parlamendi ja nõukogu määruse (EL) nr 1025/201271 artikli 2

punktis 1 määratletud standard;

25) „tehniline kirjeldus“ – määruse (EL) nr 1025/2012 artikli 2 punktis 4 määratletud

tehniline kirjeldus;

26) „harmoneeritud standard“ – määruse (EL) nr 1025/2012 artikli 2 punkti 1

alapunktis c määratletud harmoneeritud standard;

27) „usaldusväärsuse tase“ – alus kindlustundele, et IKT-toode, -teenus, -protsess,

hallatud turbeteenus või üksuse turvaolek vastab konkreetse Euroopa

küberturvalisuse sertifitseerimise kava turvanõuetele, näidates ühtlasi, millisel

tasemel on seda hinnatud, aga usaldusväärsuse tase ei mõõda IKT-toote, -teenuse, -

protsessi, hallatud turbeteenuse või üksuse turvaoleku enda turvalisust;

28) „vastavuse enesehindamine“ – IKT-toodete, -teenuste, -protsesside, hallatud

turbeteenuse tootja või pakkuja või sertifitseeritava turvaolekuga üksuse läbiviidav

tegevus, mille käigus hinnatakse nende IKT-toodete, -teenuste, -protsesside, hallatud

turbeteenuste või üksuste turvaoleku vastavust teatavatele Euroopa küberturvalisuse

sertifitseerimise kavas kindlaks määratud nõuetele;

29) „üksuste turvaolek“ – üksuste küberturvalisuse tase turvalisuse erinõuete puhul;

30) „eelneva heakskiidu mudel“ – mudel, mille alusel võib vastavushindamisasutus

väljastada Euroopa küberturvalisuse sertifikaadi lähtuvalt riikliku küberturvalisuse

sertifitseerimise asutuse hindamisest, mis on läbi viidud asjaomase kava konkreetse

sertifitseerimisprotsessi kontekstis;

31) „üldise delegeerimise mudel“ – mudel, mille alusel võib vastavushindamisasutus

väljastada Euroopa küberturvalisuse sertifikaadi, mis põhineb riikliku

küberturvalisuse sertifitseerimise asutuse delegeeritud sertifitseerimistegevusel;

32) „küberintsidentidele reageerimise üksus“ ehk „CSIRT“ – küberintsidentidele

reageerimise üksus (edaspidi „CSIRT“), mis on määratud või asutatud vastavalt

direktiivi (EL) 2022/2555 artiklile 10;

33) „IKT-komponendid“ – IKT-tooted, -teenused või -protsessid, mida võidakse

kasutada IKT-varade käitamiseks;

34) „IKT-varad“ – võrgu- ja infosüsteemide tark- ja riistvara, mida kasutab direktiivi

(EL) 2022/2555 I või II lisas osutatud üksus;

35) „olulised IKT-varad“ – artiklis 102 määratletud IKT-varad;

36) „elektroonilise side võrk“ – määruse (EL) XX/XXXX [digivõrkude õigusakti

ettepanek] artikli 2 punktis 1 määratletud elektroonilise side võrk;

71 Euroopa Parlamendi ja nõukogu 25. oktoobri 2012. aasta määrus (EL) nr 1025/2012, mis käsitleb

Euroopa standardimist ning millega muudetakse nõukogu direktiive 89/686/EMÜ ja 93/15/EMÜ ning

Euroopa Parlamendi ja nõukogu direktiive 94/9/EÜ, 94/25/EÜ, 95/16/EÜ, 97/23/EÜ, 98/34/EÜ,

2004/22/EÜ, 2007/23/EÜ, 2009/23/EÜ ja 2009/105/EÜ ning millega tunnistatakse kehtetuks nõukogu

otsus 87/95/EMÜ ning Euroopa Parlamendi ja nõukogu otsus nr 1673/2006/EÜ (ELT L 316,

14.11.2012, lk 12, ELI: http://data.europa.eu/eli/reg/2012/1025/oj).

ET 64 ET

37) „kontroll“ – võime otsustavalt mõjutada õigussubjekti kas otse või kaudselt ühe või

mitme vahepealse õigussubjekti kaudu;

38) „tegutsemine“ – tegevuse tegelik elluviimine püsivate korralduste alusel riigis, kus

asub üksuse keskne haldusasutus või peamine tegevuskoht;

39) „suure riskiga tarnija“ – üks järgmistest:

a) üksus, mis tegutseb kolmandas riigis, mis on nimetatud küberturvalisuse

seisukohast muret tekitavaks riigiks vastavalt artiklile 100, või on kõnealuse

kolmanda riigi või kõnealuses kolmandas riigis asutatud üksuse või kõnealuse

kolmanda riigi kodaniku kontrolli all;

b) kooskõlas artikli 103 lõikega 7 määratud üksus ja kõnealuse üksuse kontrolli

all olevad üksused;

40) „IKT tarneahel“ – IKT-teenuste, -toodete ja -protsesside kogum, mis hõlmab kõigi

turul kättesaadavaks tehtava toote või osutatava teenuse eelneva etapi tegevusi ja

osalejaid;

41) „kolmas riik“ – Euroopa Parlamendi ja nõukogu määruse (EL) 2023/267572 artikli 3

punktis 4 määratletud kolmas riik;

42) „mittetehniline risk“ – tõenäosus, et tarnija on kolmanda riigi mõju all, mis võib

põhjustada osutatava teenuse kaotamise või häirimise või kahjustada üksuse

valmistatud toodet või põhjustada andmete väljatoimetamise, sh spionaaži või tulu

saamise eesmärgil;

43) „oluline mittetehniline küberrisk“ – mittetehniline küberrisk, mille puhul võib

eeldada suurt tõenäosust sellise intsidendi tekkeks, mis võib põhjustada tõsist

negatiivset mõju, muu hulgas olulist varalist või mittevaralist kahju või häiret;

44) „elektroonilise side mobiilivõrkude tuumikvõrgu funktsioonid“ – elektroonilise side

mobiilivõrkude arhitektuuri keskne element, mis ühendab peamisi võrgusõlmi

internetiga ja haldab olulisi süsteemifunktsioone, mis hõlmab kasutaja seadmete

autentimist, seadusliku infopüügi funktsioone, turvalüüse (SeGW) võrgu serval,

signaalimise turvafunktsioone, rändluse ja seansihaldust, kasutaja ja juhttasandi

andmeedastust, juurdepääsupoliitika haldamist, võrguteenuste registreerimist ja

lubade väljastamist, lõppkasutaja ja võrguandmete salvestamist, kriitilise tähtsusega

võrguteenuseid, sh domeeninimede süsteemi (DNS), omavahelist ühendamist

kolmandate isikute mobiilivõrkudega, tuumikvõrgu funktsioonide avatus

välisrakendustele ning tükeldatud võrguosade valimist ja haldamist;

45) „elektroonilise side mobiilivõrkude võrgufunktsioonide virtualiseerimine (NFV) ning

haldamine ja võrgu orkestreerimine (MANO)“ – tarkvara- ja arhitektuuriraamistik,

millega tagatakse virtualiseeritud võrgufunktsioonide (VNF) ja pilvepõhiste

võrgufunktsioonide (CNF) elutsükli haldamine, orkestreerimine ja automatiseerimine

ning tükeldatud võrguosade valimine ja haldamine elektroonilise side

mobiilivõrkudes;

46) „elektroonilise side mobiilivõrkude raadio juurdepääsuvõrk (RAN)“ – võrk, mis

ühendab mobiilikasutaja seadmeid tuumikvõrguga, sh tugijaamad (eNodeB 4G

72 Euroopa Parlamendi ja nõukogu 22. novembri 2023. aasta määrus (EL) 2023/2675, mis käsitleb liidu ja

selle liikmesriikide kaitset kolmandatest riikidest tuleneva majandusliku survestamise eest (ELT L,

2023/2675, 7.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2675/oj).

ET 65 ET

puhul, gNodeB 5G puhul), kaugtransiiverid (RRH) ja põhiribaseadmed (BBU),

aktiivsed antennisüsteemid (AAS) ning, kui see on kohaldatav, eraldiseisvad raadio

juurdepääsuvõrgu komponendid, nagu kesküksused (CU) ja hajusüksused (DU) ning

raadio juurdepääsuvõrgu arukas kontroller (RIC);

47) „elektroonilise side püsivõrkude tuumikvõrgu funktsioonid“ – võrgu tuumandmed,

mis ühendavad peamisi sõlmi ja täidavad mitmesuguseid olulisi funktsioone, sh

kasutajate autentimine ja volitamine (AAA), seadusliku infopüügi (LI) funktsioonid,

domeeninimede süsteem (DNS) ning IP-aadresside määramise teenused (DHCP),

juurdepääsupoliitika haldamine, lõppkasutaja ja võrguandmete salvestamine, IP

kommutatsioon ja IP marsruutimine ning rahvusvahelised netilüüsid (IIG);

48) „elektroonilise side püsivõrkude haldamise süsteem“ – kõik keskplatvormid ja

tarkvarakomponendid, mis on vajalikud võrgu käitamiseks, haldamiseks,

hooldamiseks ja tagamiseks (OAM&P) ning võrguga seotud teabe seireks;

49) „elektroonilise side püsivõrkude edastus- ja ülekandefunktsioonid“ – kõik

komponendid, mis on vajalikud võrguliikluse tagasiühenduse ja agregeerimise jaoks,

sh optilised edastusseadmed, mikrolaineühendused, ning merekaablisüsteemid, mis

hõlmavad veealuseid seadmeid ning veelause liini lõppseadmeid (SLTE) ja füüsilise

maabumispunkti rajatisi;

50) „elektroonilise side püsivõrgu juurdepääsuvõrk“ – võrk, mis ühendab lõppkasutaja

ruume agregeerimis- või tuumikvõrguga, sh kiudoptiliste võrkude optilise liini

terminal (OLT) ja optilise võrgu terminal (ONT); koaksiaalkaabelmodemi

terminalisüsteem (CMTS) ja kaabelmodemid koaksiaalkaabelvõrkude jaoks ning

traadita püsijuurdepääsu komponendid, kui neid kasutatakse püsivõrgu liini

asendajana.

II JAOTIS

EUROOPA LIIDU KÜBERTURVALISUSE AMET

I peatükk

Missioon ja eesmärgid

Artikkel 3

ENISA missioon

1. ENISA missioon on toetada liikmesriike ja liidu üksusi liidus küberturvalisuse,

küberkerksuse ja usalduse kõrge taseme saavutamisel.

2. ENISA tegutseb küberturvalisuse vallas liikmesriikidele ja liidu muudele

sidusrühmadele nõu ja eksperditeadmisi pakkuva kontaktüksusena.

3. ENISA aitab käesoleva määrusega talle pandud ülesannete täitmisega kaasa siseturu

killustatuse vähendamisele.

4. ENISA täidab talle liidu õigusaktidega määratud ülesandeid.

5. ENISA arendab oma võimekusi, sh tehnilist ja inimvõimekust ning oskusi, mis on

vajalikud käesoleva määrusega talle pandud ülesannete täitmiseks.

ET 66 ET

Artikkel 4

ENISA eesmärgid

1. ENISA on küberturvalisuse alaste eksperditeadmiste keskus tänu oma sõltumatusele,

antava nõu, panuse ja abi ning levitatava teabe teaduslikule ja tehnilisele kvaliteedile,

töökorra läbipaistvusele, töömeetoditele ja oma ülesannete hoolikale täitmisele.

2. ENISA aitab liikmesriike ja vajaduse korral liidu üksusi küberturvalisusega seotud

horisontaalsete ja valdkondlike liidu poliitikameetmete ja õigusaktide rakendamisel,

sh turujärelevalve tegevuse puhul.

3. ENISA pakub oma eksperditeadmisi ja aitab komisjonil välja töötada liidu

küberturvalisusega seotud poliitikat ja õigusakte.

4. ENISA toetab suutlikkuse suurendamist ja valmisolekut liidus, aidates liikmesriikidel

ja liidu üksustel määruse (EL, Euratom) 2023/2841 IV peatükis osutatud liidu

institutsioonide, organite ja asutuste küberturvalisuse teenistuse (edaspidi „CERT-

EU“) kaudu ning avaliku ja erasektori sidusrühmadel suurendada nende võrgu- ja

infosüsteemide kaitset ning arendada ja täiustada küberkerksust ja

reageerimisvõimekust.

5. ENISA aitab rakendada küberturbeoskuste akadeemiat ja suurendada

küberturvalisuse valdkonna töötajate arvu liidus, toetades jõupingutusi liidus oskuste

ülekantavuse arendamiseks, sh Euroopa küberturbeoskuste raamistiku haldamise ja

kasutuselevõtu teel ning Euroopa individuaalsete küberturbeoskuste tõendamise

kavade väljatöötamise, haldamise ja kasutuselevõtu teel kooskõlas käesoleva jaotise

4. jao II peatükiga ning tagades koolituste pakkumise kooskõlas artikli 6 punktiga 8.

6. ENISA edendab liidu tasandil küberturvalisusega seotud küsimuste alast koostööd,

sh teabe jagamist ning koordineerimist liikmesriikide ja liidu üksuste seas kooskõlas

määrusega (EL, Euratom) 2023/2841 ning asjaomaste era- ja avaliku sektori

sidusrühmade seas.

7. ENISA aitab kaasa küberturvalisuse alase suutlikkuse suurendamisele liidu tasandil,

et toetada liikmesriikide tegevust küberohtude ennetamisel ja neile reageerimisel.

8. ENISA toetab operatiivkoostööd liidu tasandil, sh panustades küberohtude ja

intsidentide maastiku alasesse ühisesse olukorrateadlikusse liikmesriikide hulgas

ning koos CERT-EUga liidu üksuste hulgas.

9. ENISA teeb tihedat koostööd Europoli, CSIRTide ja muude asjaomaste riiklike

asutustega, et parandada küberturvalisuse alast valmisolekut ja reageerimist lunavara

intsidentidele.

10. ENISA aitab luua ja kasutusel hoida Euroopa küberturvalisuse sertifitseerimise

raamistikku kooskõlas käesoleva määruse III jaotisega. ENISA propageerib Euroopa

küberturvalisuse sertifitseerimise kasutamist, et vältida siseturu killustatust.

11. ENISA aitab ühtlustada digitaalset ühtset turgu, osaledes standardimistegevuses, mis

on küberturvalisusega seotud liidu poliitika seisukohast oluline, ning töötades välja

tehnilisi kirjeldusi.

12. ENISA edendab küberturvalisusealase teadlikkuse kõrget taset organisatsioonide ja

ettevõtete hulgas.

ET 67 ET

II peatükk

Ülesanded

1. jagu

Liidu poliitikameetmete ja õiguse rakendamise toetamine

Artikkel 5

Liidu poliitikameetmete ja õiguse rakendamise toetamine

1. ENISA aitab liidu poliitikameetmete ja õiguse rakendamisele kaasa järgmiselt:

a) aitab liikmesriikidel järjekindlalt rakendada küberturvalisusega seotud liidu

poliitikameetmeid ja õigust, sh väljastades tehnilisi suuniseid ja aruandeid,

andes nõu ja jagades parimaid tavasid ning soodustades parimate tavade

vahetamist pädevate asutuste vahel seoses sellega;

b) toetab teabe jagamist sektorite piires ja vahel, eelkõige direktiivi

(EL) 2022/2555 I ja II lisas loetletud sektorite puhul ning määruse

(EL) 2024/2847 kohaldamisalasse kuuluvate digielemente sisaldavate toodete

puhul, pakkudes parimaid tavasid ja suuniseid kättesaadavate vahendite ja

menetluste kohta;

c) aitab komisjoni taotluse korral liikmesriike, andes toetust, nt tehnilisi suuniseid

muu hulgas küberriski juhtimise meetmete kohta, vahendeid küberturvalisuse

küpsustaseme hindamiseks ning küberintsidentidele reageerimise

käsiraamatuid, mis on kohandatud direktiivi (EL) 2022/2555 I ja II lisas

loetletud sektoritele, või toetades digielemente sisaldavate toodete

sisseprojekteeritud turbe rakendamist kooskõlas määrusega (EL) 2024/2847, et

edendada küberturvalisuse küpsustaseme parandamist ning küberturvalisuse

valdkonnas liidu õiguse järgimist;

d) panustab direktiivi (EL) 2022/2555 artikli 14 lõike 1 kohaselt loodud

koostöörühma (edaspidi „võrgu- ja infoturbe koostöörühm“), määruse (EL)

nr 910/2014 artikli 46e lõike 1 kohaselt loodud Euroopa digiidentiteedi

koostöörühma, käesoleva määruse artiklis 90 osutatud Euroopa

küberturvalisuse sertifitseerimise rühma ning määruse (EL) 2024/2847

artikli 52 lõike 15 kohaselt loodud halduskoostöörühma tegevusse;

e) aitab liikmesriikidel ja asjaomastel liidu üksustel välja töötada ja edendada

küberturvalisuse alaseid poliitikameetmeid, mis on seotud interneti avaliku

tuuma üldise kättesaadavuse ja terviklikkuse säilitamisega;

f) annab liikmesriikidele ja komisjonile kõnealuse määruse rakendamisega seotud

küsimustes tehnilist nõu ja toetust kooskõlas määrusega (EL) 2024/2847;

g) aitab liikmesriikidel anda vastastikust abi ning edendada elutähtsate ja oluliste

üksuste koostööprotsesse kooskõlas [direktiivi (EL) 2022/2555 artikliga 37a];

h) annab Euroopa Andmekaitsenõukogu taotlusel nõu liidu poliitikameetmete ja

õiguse konkreetsete küberturvalisuse aspektide rakendamise kohta andmekaitse

ja privaatsuse valdkonnas.

2. ENISA panustab liidu tasandi küberriski koordineeritud hindamistesse, sh kui neid

viiakse ellu kooskõlas direktiivi (EL) 2022/2555 artikliga 22.

ET 68 ET

3. ENISA väljastab suunised teabe jagamiseks kasutatavate võrgu- ja infosüsteemide

koostalitlusvõime kohta, sh määruse (EL) 2025/38 artikli 6 lõikes 3 osutatud

piiriüleste küberkeskustega.

4. ENISA on direktiivi (EL) 2022/2555 artikli 14 lõike 3 kohaselt loodud võrgu- ja

infoturbe koostöörühma liige.

5. ENISA pakub komisjoni taotlusel eksperditeadmisi, tehnilist nõu, teavet ja

analüüsitulemusi või teeb ettevalmistavat tööd konkreetsetes küberturvalisuse

küsimustes, et komisjon saaks neist lähtuda poliitikakujundamisel ja liidu

õigusaktide rakendamise järelevalves.

Artikkel 6

Suutlikkuse suurendamine

ENISA abistab:

1) liikmesriike nende tegevuses, et parandada küberohtude ja intsidentide

ennetamist, avastamist, analüüsimist ja neile reageerimise suutlikkust,

pakkudes liikmesriikidele üldisi ja eksperditeadmisi;

2) liikmesriike nende taotlusel turvanõrkuste avalikustamise poliitikameetmete

vabatahtlikkuse alusel loomisel ja rakendamisel;

3) kooskõlas määrusega (EL, Euratom) 2023/2841 CERT-EUd ja

institutsioonidevahelist küberturvalisuse nõukoda, kui nad toetavad liidu

üksusi, et suurendada nende küberturvalisust, täiustada küberohtude ja

intsidentide ennetamist, avastamist ja analüüsimist ning suurendada nende

võimekust reageerida kõnealustele küberohtudele ja intsidentidele;

4) liikmesriike riiklike CSIRTide väljatöötamisel, kui nad seda taotlevad vastavalt

direktiivi (EL) 2022/2555 artikli 10 lõikele 10;

5) liikmesriike riikliku küberturvalisuse strateegia ja kõnealuse strateegia

hindamiseks kasutatavate peamiste tulemusnäitajate väljatöötamisel või

ajakohastamisel, kui nad seda taotlevad vastavalt direktiivi (EL) 2022/2555

artikli 7 lõikele 4, ning edendab nimetatud strateegiate levitamist ja sedastab

nende rakendamisel tehtavad edusammud kogu liidus, et edendada parimaid

tavasid;

6) liidu institutsioone, kui nad seda taotlevad, liidu küberturvalisuse alaste

strateegiate väljatöötamisel ja läbivaatamisel, nende levitamisel ning nende

rakendamisel tehtavate edusammude jälgimisel;

7) riiklikke CSIRTe nende suutlikkuse arendamisel, muu hulgas edendades

dialoogi ja teabevahetust tagamaks vastavalt tehnika tasemele, et iga CSIRTi

võimekus vastab ühistele miinimumsuutlikkuse nõuetele ning et iga CSIRT

toimib kooskõlas parimate tavadega;

8) liikmesriike, liidu üksusi ning avaliku ja erasektori sidusrühmi, kui nad

hindavad küberturvalisuse valdkonna töötajaid, suurendavad nende arvu ja

täiustavad nende oskusi, sh arendades asjakohaseid vahendeid, nagu Euroopa

küberturbeoskuste raamistik ja Euroopa individuaalsete küberturbeoskuste

tõendamise kavad, hallates neid ja edendades nende kasutuselevõttu kooskõlas

käesoleva peatüki 4. jaotisega;

ET 69 ET

9) asjaomaseid avaliku sektori asutusi ja erasektori sidusrühmi sihtotstarbeliste

koolituste korraldamisel, kui see on asjakohane, siis koostöös sidusrühmadega;

10) võrgu- ja infoturbe koostöörühma parimate tavade ja teabe vahetamisel,

eelkõige direktiivi (EL) 2022/2555 rakendamise kohta kooskõlas kõnealuse

direktiivi artikli 14 lõike 4 punktiga c;

11) määruse (EL) 2024/2847 kohaselt määratud turujärelevalveasutusi tegevuses,

mille eesmärk on tagada kõnealuse määruse tulemuslik rakendamine, sh

toetada suuniseid ja tehnilisi nõuandeid ettevõtjatele, toetada nõuetele

vastavuse kontrolle, riskide hindamist, ühismeetmeid ning lauskontrolle nagu

on sätestatud määruses (EL) 2024/2847;

12) Euroopa küberturvalisuse sertifitseerimise rühma liikmeid parimate tavade

vahetamisel ning individuaalsete liikmesriikide taotluse korral abistab riiklikke

küberturvalisuse sertifitseerimise asutusi Euroopa küberturvalisuse

sertifitseerimise kavade rakendamisel riiklikul tasandil;

13) avaliku sektori asutusi ja erasektori sidusrühmi vastavushindamisel ja

hindamistegevuses, sh vastavushindamisasutusi ning väikeseid ja keskmise

suurusega ettevõtjaid, et toetada kindlat, konkurentsivõimelist, kaasavat ja

ühtlustatud vastavushindamise ökosüsteemi, mis toetab määruse

(EL) 2024/2847 ja Euroopa küberturvalisuse sertifitseerimise raamistiku

rakendamist;

14) küberturvalisuse valdkonna tööstuse, tehnoloogia ja teadusuuringute Euroopa

pädevuskeskust ja riiklike koordineerimiskeskuste võrgustikku, mis on loodud

määruse (EL) 2021/887 kohaselt, jagades teavet praeguste ja tekkivate riskide

ning küberohtude kohta, sh uue ning esilekerkiva info- ja

kommunikatsioonitehnoloogia puhul;

15) liikmesriike, pakkudes tehnilist tuge, sh küberturvalisuse valdkonnas

regulatiivliivakastide loomiseks ja käitamiseks kooskõlas asjakohaste liidu

õigusaktidega.

Artikkel 7

Teadlikkuse suurendamine ja talendireserv

ENISA abistab liikmesriike, kui nad suurendavad teadlikkust liidu poliitikameetmetest ja

õigusaktidest küberturvalisuse valdkonnas ning edendavad nende märgatavust, töötades välja

rakendatavaid vahendeid ja suuniseid. ENISA toetab algatusi, mille eesmärk on suurendada

Euroopa küberturvalisuse alast talendireservi, eelkõige koordineerides konkursse.

Artikkel 8

Turuteadmised ja -analüüsid

1. ENISA viib läbi peamiste turusuundumuste analüüse küberturvalisuse turu nõudluse

ja pakkumise poolel ning levitab nende tulemusi, eelkõige valdkondades, mille puhul

on kasutusele võetud või kavas Euroopa küberturvalisuse sertifitseerimise kavad,

direktiivi (EL) 2022/2555 I ja II lisas loetletud sektorites ning määrusega

(EL) 2024/2847, sh selle määruse III ja IV lisaga hõlmatud tootekategooriate puhul.

2. ENISA viib läbi tehnoloogiliste küberturvalisuse suundumuste analüüse ja levitab

nende tulemusi, eelkõige direktiivi (EL) 2022/2555 kohaldamisalasse kuuluvate

ET 70 ET

tegevuste ja üksuste ning määruse (EL) 2024/2847 kohaldamisalasse kuuluvate

digielementidega toodete puhul.

3. ENISA kogub teadmisi ning levitab tehnilisi nõuandeid ja analüüse tipptasemel

küberturvalisuse vahendite, raamistike, standardite ja parimate tavade kohta.

Artikkel 9

Rahvusvaheline koostöö

ENISA annab panuse liidu jõupingutustesse teha koostööd kolmandate riikide ja

rahvusvaheliste organisatsioonidega ning asjaomastes rahvusvahelistes koostööraamistikes, et

edendada rahvusvahelist koostööd küberturvalisusega seotud küsimustes, sh:

a) osaleb asjakohasel juhul vaatlejana rahvusvaheliste õppuste korraldamises ning

analüüsib selliste õppuste tulemusi ja annab nende kohta aru haldusnõukogule;

b) soodustab komisjoni taotluse korral parimate tavade vahetamist kolmandate riikide ja

rahvusvaheliste organisatsioonidega;

c) pakub komisjonile taotluse korral eksperditeadmisi;

d) annab komisjonile eksperdinõuandeid ja toetust Euroopa küberturvalisuse

sertifikaatide rahvusvahelise tunnustamise küsimustes kooskõlas artikliga 87;

e) annab komisjonile eksperdinõuandeid ja pakub komisjonile toetust küsimustes, mis

käsitlevad rahvusvahelist standardimist ja rahvusvaheliste

standardiorganisatsioonidega suhtlemist, vajaduse korral koostöös artikli 90 kohaselt

moodustatud Euroopa küberturvalisuse sertifitseerimise rühmaga.

2. jagu

Operatiivkoostöö

Artikkel 10

Operatiivkoostöö liidu tasandil

1. ENISA toetab operatiivkoostööd liikmesriikide, CERT-EU kaudu liidu üksuste ning

muude sidusrühmade vahel.

2. ENISA on direktiivi (EL) 2022/2555 artikli 15 lõike 1 kohaselt loodud riiklike

CSIRTide võrgustiku liige ning tagab CSIRTide võrgustiku sekretariaaditeenused

kooskõlas direktiivi (EL) 2022/2555 artikli 15 lõikega 2.

3. ENISA tagab Euroopa küberkriisiga tegelevate kontaktasutuste võrgustiku (edaspidi

„EU-CyCLONe“) sekretariaaditeenused kooskõlas direktiivi (EL) 2022/2555

artikli 16 lõike 2 teise lõiguga.

4. ENISA toetab liikmesriikide tehnilist ja operatiivkoostööd, eelkõige CSIRTide

võrgustiku ja EU-CyCLONe kaudu. Kõnealune toetus hõlmab järgmist:

a) nõuandeid intsidentide ennetamise, avastamise, neile reageerimise ja neist

taastumise võimekuste suurendamise kohta;

b) ühe või mitme liikmesriigi taotluse korral nõuannete andmist konkreetse

võimaliku või käimasoleva intsidendi või võimaliku või avalduva küberohu

kohta ning nende hindamist, sh pakkudes eksperditeadmisi ja edendades

ET 71 ET