| Dokumendiregister | Justiits- ja Digiministeerium |
| Viit | 20 |
| Registreeritud | 03.06.2026 |
| Sünkroonitud | 05.06.2026 |
| Liik | Ministri määrus |
| Funktsioon | 1 Ministeeriumi tegevuse korraldamine, juhtimine, planeerimine |
| Sari | 1-1 Ministri määrused (Arhiiviväärtuslik) |
| Toimik | 1-1/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Raavo Palu (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digitaristu- ja küberturvalisuse valdkond, Digitaristu- ja küberturvalisuse osakond, Riikliku küberturvalisuse talitus) |
| Originaal | Ava uues aknas |
1
19.05.2026
Justiits- ja digiministri määruse „Vastastikuse hindamise täpsemad
tingimused“ eelnõu
SELETUSKIRI
1. Sissejuhatus
1.1. Sisukokkuvõte
Küberturvalisuse 2. direktiiv ehk NIS2-direktiiv võeti suuremas osas üle küberturvalisuse
seaduse ja teiste seaduste muutmise seadusega (küberturvalisuse 2. direktiivi ülevõtmine
(eelnõu nr 739 SE))1 (edaspidi ülevõtmisseadus). Selle seletuskirja aluseks oleva eelnõu
eesmärk on võtta üle NIS2-direktiivi artikkel 19 osas, mida ei reguleerita küberturvalisuse
seaduse ega muude õigusaktidega. Määrusega kehtestatakse kord, mille alusel Eesti saab
osaleda Euroopa Liidu tasandil toimuvas küberturvalisuse vastastikuses hindamises.
Vastastikune hindamine on mõeldud selleks, et õppida jagatud kogemustest, tugevdada
vastastikust usaldust, saavutada küberturvalisuse ühtlaselt kõrge tase ning tugevdada
liikmesriikide küberturvalisusalaseid võimeid ja poliitikat, mis on vajalik NIS2-direktiivi
rakendamiseks. Määruse eesmärk on võimaldada Eestil osaleda hindamises koos teiste
liikmesriikidega ühistel alustel. Samuti sätestatakse, millised asutused vastutavad hindamise
korraldamise eest.
Kuna ülevõtmisseadus suurendas halduskoormust (küberturvalisuse seaduse kohaldamisala
täiendati uute subjektidega, kes peavad seaduse nõudeid täitma), tasakaalustati seda
halduskoormuse tõusu Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ muudatustega. Need muudatused jõustusid 1.
oktoobril 2025. Määruse rakendamine ei too kaasa uusi kohustusi ettevõtjatele ega elanikele
ning halduskoormuse tasakaalustamise reeglit ei ole vaja rakendada. Eelnõu on seotud
ennekõike Justiits- ja Digiministeeriumile või tema volitatud asutusele antud ülesande
kujundamise ja asjaomase töökoormusega. Riigiasutustele võib lisanduda mõningane
töökoormus juhul, kui otsustatakse osaleda Euroopa Liidu liikmesriikide vahelises
vastastikuses hindamises.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Justiits- ja Digiministeeriumi riikliku küberturvalisuse
talituse küberturvalisuse õigusnõunik Raavo Palu ([email protected]). Eelnõu ja
seletuskirja on keeleliselt toimetanud sama ministeeriumi õiguspoliitika osakonna õigusloome
korralduse talituse toimetaja Inge Mehide ([email protected]).
1.3. Märkused
Eelnõu on seotud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine) eelnõuga nr 739 SE.
1 Eelnõude infosüsteemi toimikud 24-1266 ja 25-0926. Riigikogus menetluses olnud eelnõu:
https://www.riigikogu.ee/tegevus/eelnoud/eelnou/4429a2b9-e6e2-41cf-991d-f6955c6c4a69/kuberturvalisuse-
seaduse-ja-teiste-seaduste-muutmise-seadus-kuberturvalisuse-2.-direktiivi-ulevotmine/.
2
Eelnõukohase määrusega võetakse üle Euroopa Parlamendi ja nõukogu 14. detsembri 2022. a
direktiivi (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt
kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL)
2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv)
(ELT L 333, 27.12.2022, lk 80–152) (edaspidi ka NIS2-direktiiv), artikkel 19 osas, mida ei
reguleerita küberturvalisuse seaduse ega muude õigusaktidega.
Eelnõu on seotud 2025.–2027. aasta koalitsioonileppe riigikaitse ja julgeoleku valdkonna
eesmärgiga „Tagame Eesti digiühiskonna toimepidevuse nii, et teenused on küberturvaliselt
kättesaadavad igas olukorras“ ning tõhusa asjaajamise valdkonna eesmärgiga „Võtame
Euroopa Liidu õiguse üle Eestile sobivaimal moel ja teeme Euroopas ettepanekud sobimatute
normide muutmiseks, sealhulgas ettepanek lükata edasi kestlikkusaruandluse esitamine ja
muuta need vabatahtlikuks“.2 Eelnõu väljatöötamise alus on Vabariigi Valitsuse
tegevusprogrammi 2023–20273 ELi direktiivide valdkonna all nimetatud ülesanne „Eelnõu
direktiivi (EL) 2022/2555 ülevõtmiseks (küberturvalisuse 2. direktiiv)“.
Kuna ülevõtmisseadusega suurendati halduskoormust (küberturvalisuse seaduse
kohaldamisala täiendati uute subjektidega, kes peavad seaduse nõudeid täitma), nähti
halduskoormuse tasakaalustamine ette Vabariigi Valitsuse 9. detsembri 2022. a määruse nr
121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muudatustega. Need muudatused
jõustusid 1. oktoobril 2025. Kommenteeritav eelnõu ei näe ette halduskoormuse kasvu, see on
seotud ennekõike Justiits- ja Digiministeeriumile või tema volitatud asutusele antud ülesande
kujundamise ja asjaomase töökoormusega, mis ilmneb vaid juhul, kui Eesti otsustab osaleda
vastastikuses hindamises.
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb neljast paragrahvist.
Paragrahvis 1 sätestatakse eelnõukohase määruse reguleerimisala. Lõike 1 kohaselt reguleerib
eelnõukohane määrus Eesti Vabariigi osalemist NIS2-direktiivi artiklis 19 sätestatud
vastastikuses hindamises. Lõikes 2 täpsustatakse määruse sisu, st sätestatakse vastastikuses
hindamises osalemise tingimused, sealhulgas vastastikuse hindamise nõuded, selles osalevate
asutuste ülesanded ja vastastikuses hindamises osalevad isikud.
Eelnõukohase määrusega on seotud ka NIS2-direktiivi põhjendused 75 ja 76:
(75) Kasutusele tuleks võtta vastastikune hindamine, et aidata õppida ühistest kogemustest,
tugevdada vastastikust usaldust ja saavutada küberturvalisuse ühtlaselt kõrge tase.
Vastastikune hindamine võib anda väärtuslikke teadmisi ja viia soovitusteni, mis tugevdavad
üldist küberturvalisuse võimekust, luues uue funktsionaalse tee parimate tavade jagamiseks
liikmesriikide vahel ning aidates tõsta liikmesriikide küberturvalisuse taset. Lisaks peaks
vastastikuses hindamises võtma arvesse sarnaste mehhanismide, näiteks CSIRTide võrgustiku4
vastastikuse hindamise süsteemi tulemusi, looma lisaväärtust ja vältima dubleerimist.
Vastastikuse hindamise rakendamine ei tohiks piirata konfidentsiaalse ja salastatud teabe
kaitset käsitlevate riiklike või liidu õigusaktide kohaldamist.
2 https://valitsus.ee/valitsuse-eesmargid-ja-tegevused/valitsemise-alused/koalitsioonilepe-2025-2027 3 https://valitsus.ee/sites/default/files/documents/2023-05/VVTP%202023-2027_26.pdf 4 CSIRTide võrgustik on NIS2-direktiivi artikli 15 kohane võrgustik. Küberturvalisuse seaduses nimetatakse seda
küberintsidentide käsitlemise riiklike üksuste võrgustikuks või lühidalt võrgustikuks.
3
(76) Koostöörühm5 peaks kehtestama liikmesriikide jaoks enesehindamise metoodika, mille
eesmärk on hõlmata selliseid tegureid nagu küberturvalisuse riskijuhtimismeetmete ja
teatamiskohustuse rakendamise tase, pädevate asutuste võimekuse tase ja ülesannete täitmise
tulemuslikkus, CSIRTide6 tegevusvõimekus, vastastikuse abi rakendamise tase,
küberturvalisuse alase teabevahetuse korra rakendamise tase või konkreetsed piiriülese või
valdkondadevahelise iseloomuga küsimused. Liikmesriike tuleks julgustada tegema
korrapäraselt enesehindamisi ning esitama ja arutama oma enesehindamise tulemusi
koostöörühmas.
Paragrahvis 2 sätestatakse vastastikuse hindamise metoodikast, korralduslikest aspektidest ja
tegevusjuhenditest lähtumine.
Lõikega 1 võetakse üle NIS2-direktiivi artikli 19 lõike 1 esimese lõigu esimene lause
(Koostöörühm töötab 17. jaanuariks 2025 komisjoni ja ENISA7 ning, kui see on asjakohane,
CSIRTide võrgustiku8 abiga välja vastastikuse hindamise metoodika ja korralduslikud aspektid,
et õppida jagatud kogemustest, tugevdada vastastikust usaldust, saavutada küberturvalisuse
ühtlaselt kõrge tase ning suurendada liikmesriikide küberturvalisuse alast võimekust ja
poliitikat, mis on vajalik [NIS2-direktiivi] rakendamiseks) ja lõike 6 kolmas lause
(Koostöörühm töötab koostöös komisjoni ja ENISAga välja asjakohased tegevusjuhendid,
millele määratud küberturvalisuse ekspertide töömeetodid toetuvad).
NIS2-direktiivi artikli 19 lõike 2 esimene lause näeb ette, et viidatud metoodika sisaldab
objektiivseid, mittediskrimineerivaid, õiglasi ja läbipaistvaid kriteeriume, mille alusel
liikmesriigid määravad vastastikuse hindamise läbiviimiseks sobivad küberturvalisuse
valdkonna eksperdid.
Kõnealuses paragrahvis viidatud vastastikuse hindamise metoodika leiab NIS2-direktiivi
artiklis 14 nimetatud koostöörühma veebilehelt.9
Lõikes 2 sätestatakse vastastikuse hindamise põhimõtted. Lõige koosneb viiest punktist.
Punktiga 1 võetakse üle NIS2-direktiivi artikli 19 lõike 6 esimene lause (Vastastikune
hindamine hõlmab kohapealseid või virtuaalseid külastusi ja teabevahetust väljaspool
tegevuskohta). Kommenteeritavasse punkti on tegevuskoha juurde lisatud sõna „hinnatavat“, et
oleks selgem seos, mida tegevuskoha all mõeldakse – tegemist on hinnatava tegevuskohaga.
Punktiga 2 võetakse üle NIS2-direktiivi artikli 19 lõike 6 neljas lause (Vastastikuses
hindamises saadavat teavet kasutatakse üksnes hindamise eesmärgil).
Punktiga 3 võetakse üle NIS2-direktiivi artikli 19 lõige 7 (Liikmesriigis juba vastastikku
hinnatud aspektid ei kuulu kõnealuses liikmesriigis enam vastastikusele hindamisele kahe aasta
jooksul pärast vastastikuse hindamise lõppemist, välja arvatud juhul, kui seda taotleb
liikmesriik või nii lepitakse kokku pärast koostöörühma ettepanekut).Hinnatavate aspektide
kohta vt eelnõu § 4 lõike 1 punkt 4. Kommenteeritava punktiga määratakse kindlaks üldreegel,
et hinnatud aspekte kõnealuses riigis kahe aasta jooksul pärast vastastikuse hindamise
lõppemist enam uuesti vastastikku ei hinnata. Riigi all on mõeldud nii Eesti Vabariiki kui ka
muud Euroopa Liidu liikmesriiki, kelle suhtes toimus vastastikune hindamine. Sellele
üldreeglile on erisused: 1) kui Eesti Vabariigi suhtes tehtud vastastikuse hindamise puhul Eesti
5 NIS2-direktiivi artikkel 14 reguleerib koostöörühma tegevust. Küberturvalisuse seaduses nimetatakse seda
koostöörühma artiklis 14 nimetatud koostöörühmaks või lühidalt koostöörühmaks. 6 NIS2-direktiivi artikkel 10 reguleerib küberintsidentidele reageerimise üksuste ehk CSIRTide tegevust.
Küberturvalisuse seaduses nimetatakse neid küberintsidentide käsitlemise üksusteks. 7 ENISA on Euroopa Liidu Küberturvalisuse Ameti rahvusvaheline lühend. 8 CSIRTide võrgustik on NIS2-direktiivi artikli 15 kohane võrgustik. Küberturvalisuse seaduses nimetatakse seda
küberintsidentide käsitlemise riiklike üksuste võrgustikuks või lühidalt võrgustikuks. 9 https://digital-strategy.ec.europa.eu/en/policies/nis-cooperation-group – täpsemalt:
https://ec.europa.eu/newsroom/dae/redirection/document/121656.
4
soovib mingi aspekti uuesti hindamist; või 2) kui uuesti hindamine lepitakse kokku pärast NIS2-
direktiivi artiklis 14 nimetatud koostöörühma ettepanekut.
Punktiga 4 võetakse üle NIS2-direktiivi artikli 19 lõike 9 esimene lause (Vastastikuses
hindamises osalevad küberturvalisuse eksperdid koostavad aruanded vastastikuse hindamise
tulemuste ja järelduste kohta) ja lõike 9 teine lause (Liikmesriigid, keda vastastikku hinnatakse,
võivad esitada märkusi neid käsitlevate aruannete kavandite kohta ning sellised märkused
lisatakse aruannetele). Eesti Vabariigi õigus teha märkusi on sätestatud eelnõu § 4 lõike 1
punktis 8.
Punktiga 5 võetakse üle NIS2-direktiivi artikli 19 lõike 9 kolmas lause (Aruanded sisaldavad
soovitusi vastastikuse hindamisega hõlmatud aspektide parandamiseks). Vastastikuse
hindamise tulemuste ja järelduste kohta võib koostada ühe või mitu aruannet. See sõltub
konkreetse vastastikuse hindamise käigus kokku lepitud tegevustest ja ülesannetest.
Paragrahviga 3 võetakse üle NIS2-direktiivi artikli 19 lõike 1 esimese lõigu kolmas lause
(Vastastikuse hindamise viivad läbi küberturvalisuse valdkonna eksperdid). Selle kohta vt ka
eelnõu § 2 lõike 1 selgitust.
Paragrahviga 4 sätestatakse vastastikuses hindamises osalevad asutused ja nende ülesanded.
Lõikega 1 nähakse ette, et vastastikuses hindamises osaleb vähemalt Justiits- ja
Digiministeerium, sh kehtestatakse tema vastastikuse hindamisega seotud ülesanded. Lõige
näeb ette, et ministeeriumil on võimalik oma ülesandeid ka edasi volitada – näiteks
ministeeriumi haldusala asutusele, nagu Riigi Infosüsteemi Amet. Ametil on ka eraldiseisev
ülesanne osaleda vastastikuses hindamises (vt ameti põhimääruse10 § 13 lõike 11 punkti 2).
Lõige koosneb kümnest punktist.
Punktiga 1 võetakse üle NIS2-direktiivi artikli 19 lõike 1 esimese lõigu neljas lause
(Küberturvalisuse eksperdid määravad vähemalt kaks liikmesriiki, mis on muud liikmesriigid
kui see, mida hinnatakse), mis on seotud ennekõike teise liikmesriigi suhtes tehtava vastastiku
hindamisega. Sellele lisaks on vaja määrata, kes määrab kindlaks vastastikuses hindamises
osalevad eksperdid, kui hinnatakse Eesti Vabariiki. Selle punktiga nähakse ka ette vastastikuse
hindamise osalemise otsustamine, mis on seotud NIS2-direktiivi artikli 19 lõike 1 esimese lõigu
teise lause (Vastastikuses hindamises osalemine on vabatahtlik) rakendamisega, tagamaks
selgust, kes otsustab vastastikuses hindamises osalemise.
Punktiga 2 võetakse üle NIS2-direktiivi artikli 19 lõike 8 esimene lause (Liikmesriigid
tagavad, et määratud küberturvalisuse ekspertidega seotud huvide konflikti oht tehakse enne
vastastikuse hindamise algust teatavaks teistele liikmesriikidele, koostöörühmale, komisjonile
ja ENISA-le11). Punktiga 3 võetakse üle NIS2-direktiivi artikli 19 lõike 8 teine lause
(Liikmesriik, keda vastastikku hinnatakse, võib esitada vastuväiteid konkreetsete
küberturvalisuse ekspertide määramisele piisavalt põhjendatud juhtudel, millest on teatatud
määravale liikmesriigile).
Punkt 4 on seotud NIS2-direktiivi artikli 19 lõike 1 teise lõigu rakendamisega ning sama artikli
lõigete 3 ja 4 ülevõtmisega.
NIS2-direktiivi artikli 19 lõike 1 teine lõik sätestab järgmist:
Vastastikuse hindamise raames hinnatakse vähemalt ühte järgmistest aspektidest:
a) artiklites 21 ja 23 sätestatud küberturvalisuse riskijuhtimismeetmete ja teatamiskohustuse
rakendamise tase;12
10 https://www.riigiteataja.ee/akt/129012026002 11 ENISA on Euroopa Liidu Küberturvalisuse Ameti rahvusvaheline lühend. 12 Nimetatud artiklid on ennekõike üle võetud küberturvalisuse seaduse §-dega 7, 8 ja 12, sh seal viidatud
määrustega.
5
b) võimekuse tase, sealhulgas olemasolevad rahalised, tehnilised ja inimressursid, ning
pädevate asutuste ülesannete täitmise tõhusus;
c) CSIRTide13 tegevusvõimekus;
d) artiklis 37 osutatud vastastikuse abi rakendamise tase;14
e) artiklis 29 osutatud küberturvalisuse alase teabevahetuse kokkulepete rakendamise tase;15
f) piiriülese või valdkonnaülese iseloomuga eriküsimused.
NIS2-direktiivi artikli 19 lõiked 3 ja 4 sätestavad järgmist:
3. Liikmesriigid võivad määrata kindlaks lõike 1 punktis f osutatud eriküsimused vastastikuseks
hindamiseks.
4. Enne lõikes 1 osutatud vastastikuse hindamise alustamist teatavad liikmesriigid osalevatele
liikmesriikidele selle ulatuse, sealhulgas lõike 3 kohaselt kindlaks määratud eriküsimused.
Punktiga 5 võetakse üle NIS2-direktiivi artikli 19 lõike 5 esimene lause (Enne vastastikuse
hindamise algust võib liikmesriik teha vaatlusaluste aspektide enesehindamise ja esitada selle
määratud küberturvalisuse ekspertidele). Punktiga 6 võetakse üle NIS2-direktiivi artikli 19
lõike 6 teine lause (Kooskõlas hea koostöö põhimõttega esitab liikmesriik, keda vastastikku
hinnatakse, määratud küberturvalisuse ekspertidele hindamiseks vajaliku teabe .. ). Selle
punktiga seoses vt ka eelnõu § 4 lõiget 2. Punkt 7 on seotud NIS2-direktiivi artikli 19 lõike 7
rakendamisega (mis võetakse üle eelnõu § 2 lõike 2 punktiga 3), et oleks selge, kes Eesti puhul
sellise taotluse teeb. Punktiga 8 võetakse üle NIS2-direktiivi artikli 19 lõike 9 teine lause
(Liikmesriigid, keda vastastikku hinnatakse, võivad esitada märkusi neid käsitlevate aruannete
kavandite kohta .. .). Punktiga 9 võetakse üle NIS2-direktiivi artikli 19 lõike 9 neljas lause
(Aruanded esitatakse koostöörühmale ja CSIRTide võrgustikule,16 kui see on asjakohane.).
Punktiga 10 võetakse üle NIS2-direktiivi artikli 19 lõike 9 viies lause (Liikmesriik, keda
vastastikku hinnatakse, võib otsustada teha oma aruande või selle toimetatud versiooni
üldsusele kättesaadavaks).
Kommenteeritavas lõikes või selle selgitustes mainitud metoodika kohta vt eelnõu § 2 lõike 1
selgitust.
Lõige 2 on seotud NIS2-direktiivi artikli 19 lõike 6 teise lause (Kooskõlas hea koostöö
põhimõttega esitab liikmesriik, keda vastastikku hinnatakse, määratud küberturvalisuse
ekspertidele hindamiseks vajaliku teabe, ilma et see piiraks konfidentsiaalse või salastatud
teabe kaitset või riigi põhifunktsioonide, näiteks riigi julgeoleku kaitset käsitleva liikmesriikide
või liidu õiguse kohaldamist) ülevõtmise ja rakendamisega. Selle kohta vt ka eelnõu § 4 lõike
1 punkti 6.
Määrusele lisatakse normitehniline märkus NIS2-direktiivi kohta.
3. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu vastab NIS2-direktiivile ning kuna direktiiv võeti ennekõike üle ülevõtmisseadusega,
on selle seaduseelnõu materjalide juures ka NIS2-direktiivi ja ülevõtmisseaduse vastavustabel.
Siinkohal esitatakse need NIS2-direktiivi artikli 19 sätted, mis on seotud kõnesoleva eelnõuga:
1) lõike 1 esimese lõigu esimene lause – on seotud eelnõu § 2 lõikega 1;
13 NIS2-direktiivi artikkel 10 reguleerib küberintsidentidele reageerimise üksuste ehk CSIRTide tegevust.
Küberturvalisuse seaduses nimetatakse neid küberintsidentide käsitlemise üksusteks. 14 Nimetatud artikkel on ennekõike üle võetud küberturvalisuse seaduse §-ga 173. 15 Nimetatud artikkel on ennekõike üle võetud küberturvalisuse seaduse §-ga 175. 16 CSIRTide võrgustik on NIS2-direktiivi artikli 15 kohane võrgustik. Küberturvalisuse seaduses nimetatakse seda
küberintsidentide käsitlemise riiklike üksuste võrgustikuks või lühidalt võrgustikuks.
6
2) lõike 1 esimese lõigu teine lause – ei võeta üle kõnesoleva eelnõuga, vaid on üle võetud
küberturvalisuse seaduse § 176 lõikega 1;
3) lõike 1 esimese lõigu kolmas lause – eelnõu § 3, kuid on seotud ka § 2 lõikega 1;
4) lõike 1 esimese lõigu neljas lause – eelnõu § 4 lõike 1 punkt 1;
5) lõike 1 teine lõik – see on seotud eelnõu § 4 lõike 1 punktiga 4;
6) lõike 2 esimene lause – ei ole vaja üle võtta, kuid on seotud eelnõu § 4 lõike 1 punktiga 1;
7) lõike 2 teine lause – ei ole vaja üle võtta, kuid on seotud eelnõu § 4 lõike 1 punktiga 1;
8) lõige 3 – eelnõu § 4 lõike 1 punkt 4;
9) lõige 4 – eelnõu § 4 lõike 1 punkt 4;
10) lõike 5 esimene lause – eelnõu § 4 lõike 1 punkt 5;
11) lõike 5 teine lause – ei ole vaja üle võtta;
12) lõike 6 esimene lause – eelnõu § 2 lõike 2 punkt 1;
13) lõike 6 teine lause – eelnõu § 4 lõike 1 punkt 6 ja lõige 2;
14) lõike 6 kolmas lause – on seotud eelnõu § 2 lõikega 1;
15) lõike 6 neljas lause – eelnõu § 2 lõike 2 punkt 2;
16) lõike 6 viies lause – ei võeta üle kõnesoleva eelnõuga, vaid on üle võetud küberturvalisuse
seaduse § 176 lõikega 2;
17) lõige 7 – eelnõu § 2 lõike 2 punkt 3, kuid on seotud ka § 4 lõike 1 punktiga 7;
18) lõike 8 esimene lause – eelnõu § 4 lõike 1 punkt 2;
19) lõike 8 teine lause – eelnõu § 4 lõike 1 punkt 3;
20) lõike 9 esimene lause – eelnõu § 2 lõike 2 punkt 4;
21) lõike 9 teine lause – eelnõu § 2 lõike 2 punkt 4 ja § 4 lõike 1 punkt 8;
22) lõike 9 kolmas lause – eelnõu § 2 lõike 2 punkt 5;
23) lõike 9 neljas lause – eelnõu § 2 lõike 2 punkt 9;
24) lõike 9 viies lause – eelnõu § 2 lõike 2 punkt 10.
Iga muudatuse juures on võrreldud muudetava sätte vastavust Euroopa Liidu õigusele, vajaduse
korral on toodud ka võimalikud sõnastusalternatiivid.
Sätete puhul, mis sõnastatakse teisiti kui NIS2-direktiivis, kohaldub ka NIS2-direktiivi artikkel
5, mis näeb ette järgmist: [NIS2-direktiiv] ei takista liikmesriike tarbijate kaitseks vastu võtmast
või kehtima jätmast sätteid, millega tagatakse kõrgem küberturvalisuse tase, tingimusel et
sellised sätted on kooskõlas liikmesriikide kohustustega, mis on sätestatud liidu õiguses.
4. Määruse mõjud
Vastastikuses hindamises osalemine on vabatahtlik. Seetõttu sõltuvad vastastikuse hindamisega
seotud ülesanded ja nende maht ennekõike asjaolust, kas Eesti soovib üldse NIS2-direktiiviga
ette nähtud vastastikuses hindamises osaleda.
Määruse rakendamisel võib olla otsene mõju üksnes riigiasutuste töökorraldusele, kuna Justiits-
ja Digiministeeriumile (vajaduse korral koostöös Riigi Infosüsteemi Ameti ja ka muude
asutuste küberturvalisuse valdkonna ekspertidega) võivad lisanduda vastastikuse hindamise
ettevalmistamise, koordineerimise, eksperdi määramise, teabe edastamise ja aruandlusega
seotud ülesanded. Tegemist on hindamisega, mis võib tuua ettevalmistamise ja elluviimise
perioodil kaasa lisatöökoormuse.
Määruse rakendamisel võib olla kaudne mõju riigi julgeolekule, siseturvalisusele ja
ettevõtluskeskkonnale. Hindamise käigus tehtavad soovitused võivad aidata suurendada
küberturvalisust, toetades seeläbi teenuste toimepidevust. Kuigi määrus ei kehtesta ettevõtjatele
uusi kohustusi, võib kujunev praktika mõjutada järelevalve ühtlustumist ja nõuete rakendamist.
Samuti toetab määrus Eesti osalemist Euroopa Liidu küberturvalisusalases koostöös ning aitab
kaasa turvalise ja usaldusväärse digikeskkonna arengule.
7
Muudes valdkondades eelnõu olulist mõju ei avalda, mistõttu pole mõju sihtrühmade kaupa
käsitletud.
5. Määruse rakendamisega seotud tegevused, vajalikud kulud ja määruse rakendamise
eeldatavad tulud
Eelnõukohase määrusega seotud tegevusi ja kulusid on üldistatult hinnatud ülevõtmisseaduse
eelnõu seletuskirjas (vt seletuskirja punkti 7 sissejuhatust), mistõttu selle tulemusi siin ei
korrata.17
Justiits- ja Digiministeeriumi ning teiste kaasatud osapoolte võimalikud seotud tegevused ja
kulud sõltuvad Eesti otsusest osaleda vastastikuses hindamises. Juhul kui kulud tekivad,
kaetakse need olemasolevast eelarvest. Kui mingil põhjusel on vaja lisaressursse, analüüsitakse
seda eelarve planeerimise käigus.
6. Määruse jõustumine
Avalikule kooskõlastusele esitatud eelnõus oli jõustumiskuupäevaks märgitud konkreetne
kuupäev ning selle määramisel lähtuti kuupäevast, mis oleks jätnud piisavalt aega eelnõu
avalikuks kooskõlastamiseks ning määruse kehtestamiseks ja avaldamiseks Riigi Teatajas.
Määruse kehtestamise faasis otsustati seda lähenemist muuta, kuna määruse sisu arvestades on
võimalik määrust jõustada ka üldises korras.
7. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
7.1. Enne eelnõu koostamist toimusid kaasamised seoses NIS2-direktiivi ülevõtmisega. Nende
käigus sai anda tagasisidet muu hulgas ka kommenteeritava määruse eelnõuga kavandatavate
nõuete kohta. Asjaomase tagasiside leiab ülevõtmisseaduse eelnõu dokumentide juurest.
7.3. Eelnõu esitati eelnõude infosüsteemi kaudu kooskõlastamiseks Riigikantseleile ja
Rahandusministeeriumile. Riigikantselei kooskõlastas eelnõu märkusteta.
Rahandusministeerium kooskõlastas märkusega (24.03.2026. a kiri nr 1.1-11/1132-2): Palume
kulude osa täiendada lausega: „Juhul kui kulud tekivad, kaetakse need olemasolevatest
eelarvetest“. Selle märkusega on arvestatud, kuid sellele lisati veel üks lause (vt seletuskirja
punkti 5 viimast lauset).
7.4. Eelnõu saadeti arvamuse avaldamiseks Riigi Infosüsteemi Ametile. Amet esitas järgmise
arvamuse (25.03.2026. a kiri nr 1.1-20/26474):
KüTS § 176 lg 3 sätestab, et määrusega kehtestab valdkonna eest vastutav
minister vastastikuses hindamises osalemise täpsemad tingimused ja korra, sealhulgas
vastastikuse hindamise korralduse nõuded, selles osalevate asutuste ülesanded ja vastastikuses
hindamises osalevad isikud.
Arvamuse avaldamiseks edastatud määruse eelnõu toob Eesti õigusesse üle NIS2 direktiivi
regulatsiooni, kuid jätab seejuures vastastikuse hindamise läbiviimise korra täpsustamata.
Täpsem kord võimaldaks asjasse puutuvatel asutustel ja isikutel (ekspertidel) sellise protsessi
läbi viimisel määrusest juhinduda ning hinnata, millises mahus hindamises osalevate asutuste
töökoormus võib kasvada.
Teeme ettepaneku määrust täiendada, sealhulgas:
1. Sätestada, kes ja mis tingimustel otsustab vastastikkuses hindamise osalemise.
17 Vt allviidet nr 1.
8
2. § 2 lg 1 näeb ette, et vastastikuses hindamises osalemisel lähtutakse Euroopa Parlamendi ja
nõukogu direktiivi (EL) 2022/2555 artikli 19 lõigetes 1 ja 6 nimetatud vastastikuse hindamise
metoodikast, korralduslikest aspektidest ning tegevusjuhenditest, kui need on välja töötatud.
Metoodika juba on välja töötatud (detsember 2024). Jääb ebaselgeks, millest lähtutakse ajal,
kui tegevusjuhendeid ei ole välja töötatud või kas seni ei viida vastastikkust hindamist läbi.
Sellest lähtuvalt tuleks nimetatud sätet täpsustada.
3. Täpsustada ekspertide määramise korda:
sätestades kuidas ja mis aja jooksul määratakse kindlaks vastastikkuses hindamises osalevad
eksperdid (§4 lg 1 p 1);
lisades viide, et eksperdid valitakse Euroopa Parlamendi ja nõukogu direktiivi (EL)
2022/2555 artikli 19 lõigetes 1 ja 6 nimetatud vastastikuse hindamise metoodikas toodud
kriteeriumitest lähtuvalt;
täpsustada, kas eksperdid osalevad eraisikute või asutuse esindajatena ning kas hindamises
osalemise eest nähakse ette tasu; kui jah, siis milline on tasustamise kord.
4. §-ga 4 sätestatakse vastastikuses hindamises osalevad asutused ja nende ülesanded. Lõikega
1 nähakse ette, et vastastikuses hindamises osaleb Justiits- ja Digiministeerium. NIS2 direktiivi
artiklist 19 võib aga järeldada, et vastastikkuses hindamises osaleb liikmesriik, mitte kindel
asutus. Sõltuvalt ulatusest ja liikmesriigi poolt püsitatud eriküsimustest võib osalevate asutuste
ring olla laiem (nagu nenditud ka seletuskirjas, lk 6) ning justiits- ja digiministeerium on selles
kontekstis vastutav või koordineeriv asutus. Kui eelnev arutlus vastab vastastikkuse hindamise
olemusele, tuleks täpsustada kuidas ja millal teavitab justiits- ja digiministeerium asutusi, keda
vastastikune hindamine puudutab või kes osalevad selle läbiviimisel (lisaks volitatud
asutusele).
Eelnõu koostaja tagasiside ameti esitatud ettepankutele:
- ettepanek nr 1: selle otsustab Justiits- ja Digiministeerium või tema volitatud asutus (vt §
4 lõike 1 sissejuhatavat lauset). Seetõttu täiendatakse eelnõu § 4 lõike 1 punkti 1 sõnastust.
Kooskõlastusele saadetud eelnõus ei soovitud niivõrd näha ette tingimusi, millal
otsustatakse vastastikuses hindamises osalemine, vaid hoida paindlikkust selle otsustamisel
– seetõttu ei ole ka parandatud eelnõus sellekohaseid detailseid nõudeid ette nähtud;
- ettepanek nr 2: eelnõu § 2 lõikest 1 on eemaldatud tekstiosa „,kui need on välja töötatud“,
mistõttu puudub vajadus ettepanekus olevat olukorda täpsustada;
- ettepanek nr 3 (esimene taane): kooskõlastusele saadetud eelnõus ei soovitud niivõrd ette
näha tingimusi, kuidas ja mis aja jooksul määratakse kindlaks vastastikuses hindamises
osalevad eksperdid, vaid hoida paindlikkust selle määramisel – seetõttu ei ole ka
parandatud eelnõus sellekohaseid kriteeriume ette nähtud;
- ettepanek nr 3 (teine taane): ettepanekut ei arvestata, kuna sellele vastab eelnõu § 3, mis
viitab eelnõu § 2 lõikele 1 ja selles viidatud metoodikale;
- ettepanek nr 3 (kolmas taane): vastab tõele, et vastastikuses hindamises osaleb liikmesriik
ning eelnõu annab ennekõike Justiits- ja Digiministeeriumile sellega seotud koordineeriva
rolli. Lisaks on ka Riigi Infosüsteemi Ametil ülesanne selles osaleda (vt ameti
põhimääruse18 § 13 lõike 11 punkti 2). Kooskõlastusele saadetud eelnõus ei soovitud ette
näha tingimusi, kuidas ja millal teavitatakse neid osapooli, keda vastastikune hindamine
puudutab, vaid hoida paindlikkust nende tegevuste puhul – seetõttu ei ole ka parandatud
eelnõus sellekohaseid detailseid nõudeid ette nähtud.
18 https://www.riigiteataja.ee/akt/129012026002
MINISTRI MÄÄRUS
03.06.2026 nr 20
Vastastikuse hindamise täpsemad tingimused1
Määrus kehtestatakse küberturvalisuse seaduse § 176 lõike 3 alusel. § 1. Reguleerimisala (1) Määrus reguleerib Eesti Vabariigi osalemist Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152), artiklis 19 sätestatud vastastikuses hindamises. (2) Määrus täpsustab vastastikuses hindamises osalemise tingimusi, sealhulgas vastastikuse hindamise nõudeid, selles osalevate asutuste ülesandeid ja vastastikuses hindamises osalevaid isikuid. § 2. Vastastikuse hindamise metoodika, korralduslikud aspektid ja tegevusjuhendid (1) Vastastikuses hindamises osalemise korral lähtutakse Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 19 lõigetes 1 ja 6 nimetatud vastastikuse hindamise metoodikast, korralduslikest aspektidest ning tegevusjuhenditest. (2) Vastastikuse hindamise põhimõtted on järgmised: 1) hindamise käigus võidakse korraldada kohapealseid või virtuaalseid kohtumisi ja teabevahetust väljaspool hinnatavat tegevuskohta; 2) hindamise käigus saadavat teavet kasutatakse üksnes vastastikuse hindamise eesmärgil; 3) juba hinnatud aspekte kõnealuses riigis kahe aasta jooksul pärast vastastikuse hindamise lõppemist uuesti ei hinnata, välja arvatud juhul, kui Eesti Vabariigi suhtes tehtud hindamise puhul taotleb seda Eesti Vabariik või nii lepitakse kokku pärast Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artiklis 14 nimetatud koostöörühma (edaspidi koostöörühm) ettepanekut; 4) hindamises osalevad küberturvalisuse eksperdid koostavad vastastikuse hindamise tulemuste ja järelduste aruande, lisades sellele ka aruande kohta esitatud märkused; 5) punktis 4 nimetatud aruanne sisaldab soovitusi vastastikku hinnatud aspektide parandamiseks. § 3. Vastastikuses hindamises osalevad isikud Vastastikuses hindamises osalevad küberturvalisuse valdkonna eksperdid, arvestades § 2 lõikes 1 viidatud metoodikas seatud kriteeriume. § 4. Vastastikuses hindamises osalevad asutused ja nende ülesanded (1) Justiits- ja Digiministeerium või tema volitatud asutus: 1) määrab kindlaks vastastikuses hindamises osalemise ning Eesti Vabariigi ja teise Euroopa Liidu liikmesriigi suhtes tehtavas vastastikuses hindamises Eesti Vabariigist osalevad küberturvalisuse valdkonna eksperdid;
2
2) teavitab vastastikuses hindamises osalevaid Euroopa Liidu liikmesriike, koostöörühma, Euroopa Komisjoni ja Euroopa Liidu Küberturvalisuse Ametit punkti 1 alusel määratud ekspertidega seotud huvide konflikti ohust enne hindamise alustamist; 3) võib põhjendatud juhul esitada vastuväite Eesti Vabariiki hindava teise Euroopa Liidu liikmesriigi küberturvalisuse valdkonna eksperdi määramise kohta asjaomasele Euroopa Liidu liikmesriigile; 4) määrab kindlaks vastastikku hinnatavad aspektid ja hindamise ulatuse, arvestades Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 19 lõigetes 1 ja 3 sätestatud nõudeid, ning teavitab neist vastastikuses hindamises osalevaid Euroopa Liidu liikmesriike enne hindamise alustamist, kui hinnatakse Eesti Vabariiki; 5) võib enne vastastikuse hindamise algust koordineerida enesehindamist, hinnates Eesti Vabariigi puhul hinnatavaid aspekte, arvestades Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 19 lõike 5 alusel kehtestatud metoodikat, ning esitada enesehindamise tulemused Eesti Vabariiki hindavatele Euroopa Liidu liikmesriikide küberturvalisuse valdkonna ekspertidele; 6) edastab Eesti Vabariiki hindavatele Euroopa Liidu liikmesriikide küberturvalisuse valdkonna ekspertidele hindamiseks vajaliku teabe; 7) võib esitada § 2 lõike 2 punktis 3 nimetatud taotluse; 8) võib koondada ja esitada märkusi Eesti Vabariiki käsitleva aruande kavandi kohta; 9) võib esitada koostöörühmale ning Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artiklis 16 nimetatud Euroopa küberkriisiga tegelevate kontaktasutuste võrgustikule Eesti Vabariigi kohta koostatud vastastikuse hindamise aruande; 10) võib teha Eesti Vabariigi kohta koostatud vastastikuse hindamise aruande või selle muudetud versiooni üldsusele kättesaadavaks. (2) Lõike 1 punktis 6 nimetatud teabe edastamise korral arvestatakse: 1) vastastikku hinnatavaid aspekte ja hindamise ulatust; 2) juurdepääsupiiranguga teabe ja salastatud teabe kaitset; 3) Eesti Vabariigi huve, sealhulgas julgeolekuhuve; 4) riigi julgeoleku suhtes kehtivaid õigusakte. 1 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152). (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister (allkirjastatud digitaalselt) Tiina Uudeberg kantsler