| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 1.1-20/261341 |
| Registreeritud | 10.06.2026 |
| Sünkroonitud | 11.06.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.1 Asutuse tegevuse korraldamine |
| Sari | 1.1-20 Arvamused õigusaktide eelnõudele |
| Toimik | 1.1-20/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Liina Lumiste (RIA, PDA Oigus) |
| Originaal | Ava uues aknas |
MINISTRI MÄÄRUSE EELNÕU MINISTRI MÄÄRUS
Riikliku küberturvalisuse strateegia koostamise ulatus,
tingimused ja elluviimise kord1 Määrus kehtestatakse küberturvalisuse seaduse § 5 lõike 2 alusel. § 1. Reguleerimisala (1) Määrusega reguleeritakse Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152), artiklis 7 sätestatud riikliku küberturvalisuse strateegia (edaspidi strateegia) koostamist. (2) Määruses sätestatakse strateegiakoostamise nõuded ja kord ning asjaomaste poliitikameetmete loetelu. § 2. Strateegia põhisisu (1) Strateegias määratakse kindlaks strateegilised eesmärgid, nende eesmärkide saavutamiseks vajalikud ressursid ning asjakohased poliitilised ja regulatiivsed meetmed, et saavutada ja säilitada kõrgel tasemel küberturvalisus. (2) Strateegia peab sisaldama järgmist: 1) strateegia eesmärgid ja prioriteedid eelkõige Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 I ja II lisas osutatud sektorite kohta; 2) juhtimisraamistik punktis 1 osutatud eesmärkide ja prioriteetide saavutamiseks, sealhulgas §-s 3 osutatud poliitikameetmed; 3) juhtimisraamistik, milles selgitatakse asjaomaste sidusrühmade rolli ja kohustusi riiklikul tasandil, mis toetavad Riigi Infosüsteemi Ameti, julgeolekuasutuste ja muude küberturvalisuse valdkonnaga seotud asutuste vahelist koostööd ja tegevuse koordineerimist riiklikul tasandil ning nimetatud asutuste ja valdkondlike liidu õigusaktide kohaste pädevate asutuste vahelist tegevuse koordineerimist ja koostööd; 4) asjakohaste ressursside kindlakstegemise mehhanism ja üleriigiline riskihinnang; 5) küberintsidentideks valmisoleku ja neile reageerimise meetmete ning seotud taastemeetmete, sealhulgas avaliku ja erasektori sellealase koostöö kirjeldus; 6) strateegia rakendamisse kaasatavate asutuste ja sidusrühmade loetelu; 7) poliitikaraamistik küberturvalisuse seaduses sätestatud pädevate asutuste, elutähtsa teenuse toimepidevust korraldava asutuse või tema poolt hädaolukorra seaduse § 37 lõike 5 alusel määratud asutuse, Päästeameti ja Riigikantselei vahelise tegevuse tõhusaks koordineerimiseks küberriskide, küberohtude ja küberintsidentide alase ning asjakohasel juhul muu teabe jagamise ning järelevalveülesannete täitmise eesmärgil; 8) kava, sealhulgas vajalikud meetmed elanike üldise küberturvalisusalase teadlikkuse parandamiseks. § 3. Strateegia poliitikameetmed (1) Strateegias määratakse kindlaks poliitikameetmed: 1) mis käsitlevad üksuste teenuste osutamiseks kasutatavate IKT-toodete ja IKT-teenuste tarneahela küberturvalisust; 2) mis käsitlevad IKT-toodete ja IKT-teenuste küberturvalisusega seotud nõuete ja vastavate spetsifikatsioonide lisamist riigihankemenetlusse, sealhulgas seoses küberturvalisuse sertifitseerimise, krüpteerimisnõuete ning avatud lähtekoodiga küberturvalisuse toodete kasutamisega; 3) turvahaavatavuste haldamiseks, muu hulgas turvahaavatavuste koordineeritud avaldamise edendamise ja hõlbustamise teel;
2
4) mis on seotud avatud interneti avaliku tuuma üldise kättesaadavuse, usaldusväärsuse ja konfidentsiaalsuse säilitamisega, sealhulgas vajaduse korral merealuste sidekaablite küberturvalisusega; 5) mis edendavad selliste asjakohaste kõrgetasemeliste tehnoloogiate väljatöötamist ja integreerimist, mille eesmärk on rakendada ajakohaseid küberturvalisuse riskijuhtimismeetmeid; 6) mille abil edendatakse ja arendatakse küberturvalisusalast haridust, koolitust ja teadlikkust, küberturvalisusalaseid oskusi ning teadus- ja arendusalgatusi ning suuniseid heade küberhügieenitavade ja küberkontrolli tagavate meetmete kohta elanikele, sidusrühmadele ja üksustele; 7) millega toetatakse akadeemilisi ja teadusasutusi küberturvalisuse vahendite ja turvalise võrgutaristu väljatöötamisel, täiustamisel ja kasutuselevõtmise edendamisel; 8) asjakohane menetluskord ja sobivad teabevahetusvahendid, millega toetatakse vabatahtlikku küberturvalisusalase teabe vahetamist üksuste vahel kooskõlas õigusaktidega; 9) mis tugevdavad väike- ja keskmise suurusega ettevõtjate, eelkõige küberturvalisuse seaduse kohaldamisalast välja jäetud väike- ja keskmise suurusega ettevõtjate küberkerksust ja baastasemel küberhügieeni, pakkudes nende spetsiifiliste vajaduste rahuldamiseks kergesti kättesaadavaid suuniseid ja abi; 10) mis edendavad aktiivset küberkaitset. (2) Lisaks lõikes 1 nimetatud poliitikameetmetele võib strateegia sisaldada ka muid poliitikameetmeid. § 4. Strateegia koostamine nõuded ja teavitamine (1) Strateegia viiakse ellu valdkonna arengukava programmiga riigieelarve seaduse § 19 tähenduses ning lähtuvalt valdkonna arengukava ja programmi koostamise, elluviimise, aruandluse, hindamise ja muutmise korrast, kui käesolev määrus ei sätesta teisiti. (2) Justiits- ja Digiministeerium teavitab Euroopa Komisjoni strateegia vastuvõtmisest kolme kuu jooksul pärast selle vastuvõtmist. (3) Lõike 2 alusel edastatavast teabest võib välja jätta teabe, mis on seotud riigi julgeolekuga. § 5. Strateegia hindamine ja uuendamine Strateegiat hinnatakse peamiste tulemusnäitajate põhjal regulaarselt ja vähemalt iga viie aasta tagant ning vajaduse korral ajakohastatakse seda. 1 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152). Liisa-Ly Pakosta
justiits- ja digiminister
Tiina Uudeberg
kantsler
1
01.06.2026
Justiits- ja digiministri määruse „Riikliku küberturvalisuse strateegia
koostamise ulatus, tingimused ja elluviimise kord“ eelnõu
SELETUSKIRI
1. Sissejuhatus
1.1. Sisukokkuvõte
Küberturvalisuse 2. direktiiv ehk NIS2-direktiiv võeti suuremas osas üle küberturvalisuse
seaduse ja teiste seaduste muutmise seadusega (küberturvalisuse 2. direktiivi ülevõtmine,
(eelnõu nr 739 SE) (edaspidi ülevõtmisseadus)).1 Selle seletuskirja aluseks oleva eelnõu
eesmärk on võtta üle ainult NIS2-direktiivi artikkel 7 osas, mida ei reguleerita küberturvalisuse
seadusega ega muude õigusaktidega. Konkreetsemalt sätestatakse kavandatava määrusega
riikliku küberturvalisuse strateegia koostamise ulatus, tingimused ja elluviimise kord ehk
strateegia sisu ja koostamise nõuded.
Kuna ülevõtmisseadus suurendas halduskoormust (küberturvalisuse seaduse kohaldamisala
täiendati uute subjektidega, kes peavad seaduse nõudeid täitma), tasakaalustati seda
halduskoormuse tõusu Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ muudatustega. Need muudatused jõustusid 1.
oktoobril 2025. Kommenteeritav eelnõu ei näe ette halduskoormuse kasvu, see on seotud
ennekõike Justiits- ja Digiministeeriumile antud ülesande sisustamise ja asjaomase
töökoormusega.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Justiits- ja Digiministeeriumi riikliku küberturvalisuse
talituse küberturvalisuse õigusnõunik Raavo Palu ([email protected]). Eelnõu ja
seletuskirja on keeleliselt toimetanud sama ministeeriumi õiguspoliitika osakonna õigusloome
korralduse talituse toimetaja Merike Koppel ([email protected]).
1.3. Märkused
Eelnõu on seotud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine) eelnõuga nr 739 SE.
Eelnõukohase määrusega võetakse üle Euroopa Parlamendi ja nõukogu 14. detsembri 2022.
aasta direktiivi (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse
ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi
(EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2.
direktiiv) (ELT L 333, 27.12.2022, lk 80–152) (edaspidi ka NIS2-direktiiv), artikkel 7 osas, mida
ei reguleerita küberturvalisuse seaduse ega muude õigusaktidega.
1 Eelnõude infosüsteemi toimikud 24-1266 ja 25-0926. Riigikogu menetluses olnud eelnõu:
https://www.riigikogu.ee/tegevus/eelnoud/eelnou/4429a2b9-e6e2-41cf-991d-f6955c6c4a69/kuberturvalisuse-
seaduse-ja-teiste-seaduste-muutmise-seadus-kuberturvalisuse-2.-direktiivi-ulevotmine/.
2
Eelnõu on seotud 2025.–2027. aasta koalitsioonileppe riigikaitse ja julgeoleku valdkonna
eesmärgiga „tagame Eesti digiühiskonna toimepidevuse nii, et teenused on küberturvaliselt
kättesaadavad igas olukorras“ ning tõhusa asjaajamise valdkonna eesmärgiga „võtame Euroopa
Liidu õiguse üle Eestile sobivaimal moel ja teeme Euroopas ettepanekud sobimatute normide
muutmiseks, sealhulgas ettepanek lükata edasi kestlikkusaruandluse esitamine ja muuta need
vabatahtlikuks“.2 Eelnõu väljatöötamise alus on Vabariigi Valitsuse tegevusprogrammi 2023–
20273 ELi direktiivide valdkonna all nimetatud ülesanne „Eelnõu direktiivi (EL) 2022/2555
ülevõtmiseks (küberturvalisuse 2. direktiiv)“.
Kuna ülevõtmisseadusega suurendati halduskoormust (küberturvalisuse seaduse
kohaldamisala täiendati uute subjektidega, kes peavad seaduse nõudeid täitma), tasakaalustati
seda halduskoormuse tõusu Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu-
ja infosüsteemide küberturvalisuse nõuded“ muudatustega. Need muudatused jõustusid 1.
oktoobril 2025. Kommenteeritav eelnõu ei näe ette halduskoormuse kasvu, eelnõu on seotud
ennekõike Justiits- ja Digiministeeriumile antud ülesande sisustamise ja asjaomase
töökoormusega.
2. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb viiest paragrahvist.
Paragrahv 1 sätestab määruse reguleerimisala ehk mis on määruse sisu. Lõikes 1 sätestatakse,
et määrus reguleerib NIS2-direktiivi artiklis 7 sätestatud küberturvalisuse strateegia (edaspidi
strateegia) koostamist. Lõikega 2 täpsustatakse eelnõukohase määruse sisu, sedastades, et
selles sätestatakse strateegia sisu ja (§ 2, mis käsitleb strateegia põhisisu), koostamise kord
(eelnõu §-d 4 ja 5, mis käsitlevad vastavalt strateegiast teavitamist ning strateegia hindamist ja
uuendamist, kuid kaudselt ka eelnõu § 2) ning asjaomaste poliitikameetmete loetelu (eelnõu §
3, mis käsitleb strateegias kehtestatavaid poliitikameetmeid). Kommenteeritava lõike sõnastus
on seotud eelnõukohase määruse volitusnormiga ehk küberturvalisuse seaduse § 5 lõikega 2
([r]iikliku küberturvalisuse strateegia ulatuse, tingimused ja elluviimise korra koos asjaomaste
poliitikameetmete loeteluga kehtestab riikliku küberturvalisuse valdkonna eest vastutav
minister määrusega).
Eelnõukohase määruse ja kommenteeritava paragrahviga seoses vt ka ülevõtmisseaduse eelnõu
seletuskirjas küberturvalisuse seaduse § 5 lõigete 1 ja 2 kohta esitatud selgitused, nii seal
viidatud NIS2-direktiivi põhjendused 48–57, 60 ja 97 kui ka viited Euroopa Komisjoni suuniste
NIS2-direktiivi artikli 4 lõigete 1 ja 2 kohaldamise kohta (2023/C 328/02)4 asjakohastele
punktidele ja osadele.
Paragrahvi 2 lõikega 1 võetakse üle NIS2-direktiivi artikli 7 lõike 1 sissejuhatava osa esimene
lause ([i]ga liikmesriik võtab vastu riikliku küberturvalisuse strateegia, milles määratakse
kindlaks strateegilised eesmärgid, nende eesmärkide saavutamiseks vajalikud ressursid ning
asjakohased poliitilised ja regulatiivsed meetmed, et saavutada ja säilitada kõrgel tasemel
küberturvalisus.).
2 https://valitsus.ee/valitsuse-eesmargid-ja-tegevused/valitsemise-alused/koalitsioonilepe-2025-2027 3 https://valitsus.ee/sites/default/files/documents/2023-05/VVTP%202023-2027_26.pdf 4 https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A52023XC0918%2801%29&qid=1751186614700
3
Paragrahvi 2 lõikega 2 võetakse üle NIS2-direktiivi artikli 7 lõike 1 sissejuhatava osa teine
lause ([r]iiklik küberturvalisuse strateegia peab sisaldama järgmist) koos sama lõike
punktidega a–h.
Lõike 2 punktiga 1 võetakse üle NIS2-direktiivi artikli 7 lõike 1 punkt a (liikmesriigi
küberturvalisuse strateegia eesmärgid ja prioriteedid, mis hõlmavad eelkõige I ja II lisas
osutatud sektoreid). Lõike 2 punktiga 2 võetakse üle artikli 7 lõike 1 punkt b (juhtimisraamistik
käesoleva lõike punktis a osutatud eesmärkide ja prioriteetide saavutamiseks, sealhulgas
lõikes 2 osutatud poliitikameetmed). Lõike 2 punktiga 3 võetakse üle artikli 7 lõike 1 punkt c
(juhtimisraamistik, milles selgitatakse asjaomaste sidusrühmade rolli ja kohustusi riiklikul
tasandil, mis toetavad [NIS2-direktiivi] kohaste pädevate asutuste, ühtsete kontaktpunktide ja
CSIRTide vahelist koostööd ja koordineerimist riiklikul tasandil, samuti nende organite ja
valdkondlike liidu õigusaktide kohaste pädevate asutuste vahelist koordineerimist ja koostööd).
Küberturvalisuse seaduse § 5 lõigete 3 ja 4 kohaselt on pädevad asutused Riigi Infosüsteemi
Amet ja julgeolekuasutused ning ühtse kontaktpunkti ja CSIRTi rolli täidab Riigi Infosüsteemi
Amet. Lõike 2 punktiga 4 võetakse üle artikli 7 lõike 1 punkt d (mehhanism asjakohaste
varade kindlaks tegemiseks ja kõnealuse liikmesriigi riskide hinnang). Lõike 2 punktiga 5
võetakse üle artikli 7 lõike 1 punkt e (intsidentideks valmisoleku ja neile reageerimise meetmete
ning seotud taastemeetmete, sealhulgas avaliku ja erasektori koostöö kirjeldus). Eelnõus
kasutatakse termini „intsident“ asemel terminit „küberintsident“, mis on defineeritud
küberturvalisuse seaduse § 2 punktis 19. Lõike 2 punktiga 6 võetakse üle artikli 7 lõike 1 punkt
f (riikliku küberturvalisuse strateegia rakendamisse kaasatavate asutuste ja sidusrühmade
loetelu). Lõike 2 punktiga 7 võetakse üle artikli 7 lõike 1 punkt g (poliitikaraamistik [NIS2-
direktiivi] ning direktiivi (EL) 2022/2557 kohaste pädevate asutuste vahelise tegevuse tõhusaks
koordineerimiseks küberriskide, -ohtude ja -intsidentide ning asjakohasel juhul muude kui
küberriskide, -ohtude ja -intsidentide alase teabe jagamise ning järelevalveülesannete täitmise
eesmärgil). Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/25575 kohaste pädevate
asutuste all on mõeldud elutähtsa teenuse toimepidavust korraldavat asutust või tema poolt
hädaolukorra seaduse § 37 lõike 5 alusel määratud asutust, Päästeametit ja Riigikantseleid.
Kommenteeritava punktiga on seotud ka küberturvalisuse seaduse § 174 lõige 2, mille puhul vt
ka ülevõtmisseaduse eelnõu seletuskirjast vastava lõike selgitusi. Lõike 2 punktiga 8 võetakse
üle artikli 7 lõike 1 punkt h (kava, sealhulgas vajalikud meetmed kodanike küberturvalisuse
alase teadlikkuse üldise taseme suurendamiseks). Kommenteeritavas punktis on sõna
„kodanike“ (NIS2-direktiivi ingliskeelses versioonis citizen) asemel kasutatud „elanike“, kuna
need meetmed ei peaks piirduma ainult kodanikega, vaid ka muude inimestega, kes Eestis
elavad.
Paragrahviga 3 võetakse üle NIS2-direktiivi artikli 7 lõike 2 sissejuhatav lauseosa ([r]iikliku
küberturvalisuse strateegia osana võtavad liikmesriigid vastu eelkõige poliitikameetmed) koos
punktidega a–j. Sõna „poliitikameetmed“ vaste NIS2-direktiivi ingliskeelses versioonis on
„policies“, saksakeelses „Konzepte“ ja prantsuskeelses versioonis „politiques“.
Lõike 1 punktiga 1 võetakse üle NIS2-direktiivi artikli 7 lõike 2 punkt a (mis käsitlevad üksuste
teenuste osutamiseks kasutatavate IKT-toodete ja IKT-teenuste tarneahela küberturvalisust).
Termini „üksus“ kohta vt küberturvalisuse seaduse § 2 punkt 39, terminite „IKT-toode“ ja „IKT-
teenus“ kohta vt Euroopa Parlamendi ja nõukogu määruse (EL) 2019/8816 artikli 2 punktid 12
ja 13.
5 Konsolideeritud tekst: https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A02022L2557-
20221227. 6 Konsolideeritud tekst: https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A02019R0881-
20250204.
4
Lõike 1 punktiga 2 võetakse üle NIS2-direktiivi artikli 7 lõike 2 punkt b (mis käsitlevad IKT-
toodete ja IKT-teenuste küberturvalisusega seotud nõuete ja vastavate spetsifikatsioonide
lisamist riigihankemenetlusse, sealhulgas seoses küberturvalisuse sertifitseerimise,
krüpteerimisnõuete ning avatud lähtekoodiga küberturvalisuse toodete kasutamisega). Avatud
lähtekoodi kohta vt ka kommenteeritava lõike punkti 5 selgitus.
Lõike 1 punktiga 3 võetakse üle NIS2-direktiivi artikli 7 lõike 2 punkt c (nõrkuste
haldamiseks, mis hõlmab kohase nõrkuste koordineeritud avalikustamise edendamist ja
hõlbustamist artikli 12 lõikele 1 kohaselt). Eelnõus kasutatakse termini „nõrkus“ asemel
terminit „turvahaavatavus“, mis on defineeritud küberturvalisuse seaduse § 2 punktis 31.
Kommenteeritava punktiga on seotud NIS2-direktiivi põhjendus 60:
(60) Liikmesriigid peaksid võtma koostöös ENISAga7 meetmeid, et nõrkuste8 koordineeritud
avalikustamist hõlbustada, kehtestades selleks asjakohase riikliku poliitika. Oma riikliku
poliitika raames peaksid liikmesriigid kooskõlas oma õigusega püüdma võimalikult suures
ulatuses lahendada probleeme, millega puutuvad kokku nõrkuste valdkonnas uuringuid läbi
viivad isikud, sealhulgas probleeme, mis on seotud nende võimaliku kriminaalvastutusega.
Võttes arvesse, et mõnes liikmesriigis võib nõrkuste valdkonnas uuringuid läbi viivate füüsiliste
ja juriidiliste isikute suhtes kohaldada kriminaal- ja tsiviilvastutust, soovitatakse liikmesriikidel
võtta vastu suunised, mis käsitlevad infoturbeuurijate nende tegevuse eest vastutusele võtmisest
loobumist ja tsiviilvastutusest vabastamist.
Lõike 1 punktiga 4 võetakse üle NIS2-direktiivi artikli 7 lõike 2 punkt d (mis on seotud avatud
interneti avaliku tuuma üldise kättesaadavuse, usaldusväärsuse ja konfidentsiaalsuse
säilitamisega, sealhulgas vajaduse korral merealuste sidekaablite küberturvalisusega).
Kommenteeritava punktiga on seotud NIS2-direktiivi põhjendus 97:
(97) Siseturg sõltub interneti toimimisest rohkem kui kunagi varem. Peaaegu kõigi elutähtsate9
ja oluliste üksuste teenused sõltuvad interneti kaudu pakutavatest teenustest. Et tagada
elutähtsate ja oluliste üksuste pakutavate teenuste sujuv osutamine, on oluline, et kõikidel
üldkasutatavate elektroonilise side võrkude pakkujatel10 oleksid asjakohased küberturvalisuse
riskijuhtimismeetmed ja et nendega seotud olulistest intsidentidest11 teatataks. Liikmesriigid
peaksid tagama üldkasutatavate elektroonilise side võrkude turvalisuse säilimise ning oma
eluliste julgeolekuhuvide kaitse sabotaaži ja spionaaži eest. Kuna rahvusvaheline ühenduvus
edendab ja kiirendab liidu ja selle majanduse konkurentsipõhist digitaliseerimist, tuleks
merealuseid sidekaableid mõjutavatest intsidentidest teavitada CSIRTi või, kui see on
kohaldatav, pädevat asutust. Kui see on asjakohane, tuleks merealuste sidekaablite
küberturvalisust riiklikus küberturvalisuse strateegias arvesse võtta ning see peaks hõlmama
võimalike küberturvalisuse riskide kaardistamist ja leevendusmeetmeid, et tagada nende kaitse
kõrgeimal tasemel.
Lõike 1 punktiga 5 võetakse üle NIS2-direktiivi artikli 7 lõike 2 punkt e (mis edendavad
selliste asjakohaste kõrgetasemeliste tehnoloogiate väljatöötamist ja integreerimist, mille
eesmärk on rakendada tipptasemel küberturvalisuse riskijuhtimismeetmeid). Kommenteeritava
punktiga on seotud ka NIS2-direktiivi põhjendused 51 ja 52:
(51) Liikmesriigid peaksid ergutama uuendusliku tehnoloogia, sealhulgas tehisintellekti
kasutamist, mis võiks parandada küberrünnete avastamist ja ennetamist ning ressursse
küberrünnete vastu paremini suunata. Seepärast peaksid liikmesriigid sellise tehnoloogia
7 ENISA on Euroopa Liidu Küberturvalisuse Ameti rahvusvaheline lühend. 8 Eelnõus kasutatakse termini „nõrkus“ asemel terminit „turvahaavatavus“, mis on defineeritud küberturvalisuse
seaduse § 2 punktis 31. 9 Küberturvalisuse seaduses on termini „elutähtis üksus“ asemel kasutatud terminit „ülioluline üksus“. 10 Küberturvalisuse seaduses on termini „üldkasutatava elektroonilise side võrgu pakkuja“ asemel kasutatud
terminit „üldkasutatava elektroonilise side võrgu teenuse osutaja“. 11 Küberturvalisuse seaduses nimetatakse neid „olulise mõjuga küberintsidentideks“.
5
kasutamise hõlbustamiseks soodustama oma riiklikes küberturvalisuse strateegiates teadus- ja
arendustegevust, eelkõige seoses küberturvalisuse automatiseeritud või poolautomaatsete
vahenditega, ning, kui see on kohane, jagama sellise tehnoloogia kasutajate koolitamiseks ja
tehnoloogia täiustamiseks vajalikke andmeid. Uuendusliku tehnoloogia, sealhulgas
tehisintellekti kasutamine peaks olema kooskõlas liidu andmekaitseõigusega, sealhulgas
andmekaitsepõhimõtetega, nagu andmete täpsus, võimalikult väheste andmete kogumine,
õiglus ja läbipaistvus ning andmeturve, näiteks tipptasemel krüpteerimine. Määruses
(EL) 2016/679 sätestatud lõimitud ja vaikimisi andmekaitse nõuetest tuleb täielikult kinni
pidada.
(52) Tänu avatud lähtekoodiga küberturbevahenditele ja -rakendustele võib tõusta avatuse tase
ja need võivad mõjuda soodsalt tööstusinnovatsiooni tõhususele. Avatud standardid
soodustavad turbevahendite koostalitlusvõimet, mis on kasulik tööstusvaldkonna sidusrühmade
turvalisuse seisukohast. Avatud lähtekoodiga küberturbevahendid ja -rakendused võivad
võimendada laiemat arendajate kogukonda, võimaldades tarnijate mitmekesistamist. Avatud
lähtekoodiga võib kaasneda küberturvalisusega seotud vahendite kontrolliprotsessi suurem
läbipaistvus ning kogukonna juhitav nõrkuste12 tuvastamise protsess. Seetõttu peaks
liikmesriikidel olema võimalik edendada avatud lähtekoodiga tarkvara ja avatud standardite
kasutuselevõttu, järgides poliitikat, mis on seotud avatud andmete ja avatud lähtekoodi
kasutamisega läbipaistvusel põhineva turvalisuse osana. Avatud lähtekoodiga
küberturbevahendite kasutuselevõttu ja kestlikku kasutamist edendavad tegevuskavad, on eriti
olulised väikeste ja keskmise suurusega ettevõtjate jaoks, kellel on märkimisväärsed
rakenduskulud, mida saaks vähendada, kui vajadust spetsiifiliste rakenduste või vahendite
järele vähendataks.
Lõike 1 punktiga 6 võetakse üle NIS2-direktiivi artikli 7 lõike 2 punkt f (mille abil edendatakse
ja arendatakse küberturvalisuse alast haridust ja koolitust, küberturvalisuse alaseid oskusi,
teadlikkust, teadus- ja arendusalgatusi ning suuniseid heade küberhügieenitavade ja -kontrolli
kohta kodanikele, sidusrühmadele ja üksustele). Eelnõu § 2 lõike 2 punkti 8 selgitustes on
selgitatud, miks kasutatakse sõna „kodanike“ asemel sõna „elanike“, see selgitus käib ka
kõnesoleva punkti kohta. Kommenteeritava punktiga on seotud ka NIS2-direktiivi põhjendused
49 ja 50:
(49) Võrgu- ja infosüsteemide taristu, riistvara, tarkvara ja veebipõhiste rakenduste turvalisuse
ning selliste ettevõtjate või lõppkasutajate andmete kaitsmiseks, millest üksused sõltuvad,
luuakse alus küberhügieeni poliitikameetmetega. Küberhügieeni poliitikameetmed, mis
koosnevad ühistest alustavadest, sealhulgas tarkvara ja riistvara uuendamine, salasõnade
muutmine, uute paigalduste haldamine, administraatori õigustega juurdepääsukontode
piiramine ja andmete varundamine, võimaldavad luua intsidentide13 või küberohtude puhuks
valmisoleku ning üldise turvalisuse ja julgeoleku ennetava raamistiku. Liikmesriikide
küberhügieeni poliitikameetmeid peaks jälgima ja analüüsima ENISA14.
(50) Küberturvalisuse alane teadlikkus ja küberhügieen on liidu küberturvalisuse taseme
tõstmiseks üliolulised, eelkõige seetõttu, et ühendatud seadmete arv kasvab pidevalt ja neid
võetakse küberrünnete puhul üha enam sihtmärgiks. Tuleks teha pingutusi, et suurendada üldist
teadlikkust selliste seadmetega seotud riskidest, samal ajal kui liidu tasandil tehtavad
hindamised võiksid aidata tagada ühtse arusaama sellistest riskidest siseturul.
Lõike 1 punktiga 7 võetakse üle NIS2-direktiivi artikli 7 lõike 2 punkt g (millega toetatakse
akadeemilisi ja teadusasutusi küberturvalisuse vahendite ja turvalise võrgutaristu
12 Eelnõus kasutatakse termini „nõrkus“ asemel terminit „turvahaavatavus“, mis on defineeritud küberturvalisuse
seaduse § 2 punktis 31. 13 Eelnõus kasutatakse termini „intsident“ asemel terminit „küberintsident“, mis on defineeritud küberturvalisuse
seaduse § 2 punktis 19. 14 ENISA on Euroopa Liidu Küberturvalisuse Ameti rahvusvaheline lühend.
6
väljatöötamisel, täiustamisel ja kasutuselevõtmise edendamisel). Eelnõus kasutatud termin
„teadusasutus“ on defineeritud küberturvalisuse seaduse § 2 punktis 29.
Lõike 1 punktiga 8 võetakse üle NIS2-direktiivi artikli 7 lõike 2 punkt h (sealhulgas
asjakohane menetluskord ja sobivad teabevahetuslahendused, millega toetatakse vabatahtlikku
küberturvalisuse alase teabe vahetamist üksuste vahel kooskõlas liidu õigusega).
Kommenteeritava punktiga seoses vt ka eelnõu § 3 lõige 2.
Lõike 1 punktiga 9 võetakse üle NIS2-direktiivi artikli 7 lõike 2 punkt i (mis tugevdavad
väikeste ja keskmise suurusega ettevõtjate, eelkõige nende, kes on [NIS2-direktiivi]
kohaldamisalast välja jäetud, kübervastupidavusvõimet ja küberhügieeni lähtetaset, pakkudes
nende erivajaduste rahuldamiseks kergesti kättesaadavaid suuniseid ja tuge). Eelnõus on
kasutatud sõna „kübervastupidavusvõime“ (ingl resilience) asemel sõna „küberkerksus“,
lähtudes Euroopa Parlamendi ja nõukogu määruse (EL) 2024/284715 sõnastusest. Samuti on
sõna „lähtetase“ asemel kasutatud sõna „baastase“. Sõna „erivajaduste“ asemel on kasutatud
sõnastust „spetsiifiliste vajaduste“, kuna viimane on sobilikum, kui arvestada NIS2-direktiivi
ingliskeelses versioonis olevat sõnastust „specific needs“. Kommenteeritava punktiga on seotud
NIS2-direktiivi põhjendus 56:
(56) Liikmesriigid peaksid oma riiklikes küberturvalisuse strateegiates käsitlema väikeste ja
keskmise suurusega ettevõtjate küberturvalisuse vajadusi. Liidus on väikeste ja keskmise
suurusega ettevõtjate osakaal tööstus- ja äriturul suur ning neil on sageli raske kohaneda uute
äritavadega üha rohkem ühendatud maailmas ja digitaalses keskkonnas, kus töötajad on
kodutööl ja äritegevus toimub järjest rohkem interneti kaudu. Mõnedel väikestel ja keskmise
suurusega ettevõtjatel on küberturvalisusega seoses sellised probleemid nagu vähene
küberteadlikkus, kaugtöösüsteemide IT-turvalisuse puudumine, küberturvalisuse tagamiseks
kasutatavate lahenduste suured kulud ja kõrgem ohutase, näiteks lunavaraga seoses, mille
lahendamiseks nad peaksid saama suuniseid ja tuge. Väikestest ja keskmise suurusega
ettevõtjatest on üha enam saamas tarneahela rünnete sihtmärk, sest nende küberturvalisuse
riskijuhtimismeetmed ja ründehaldamine ei ole nii ranged ning asjaolu tõttu, et neil on piiratud
turberessursid. Sellised tarneahela ründed ei mõjuta üksnes väikeseid ja keskmise suurusega
ettevõtjaid ja nende tegevust, vaid võivad avaldada astmelist mõju ka üksustele, kellele nad
tarnivad, põhjustades ulatuslikuma ründe. Liikmesriigid peaksid oma riiklike küberturvalisuse
strateegiate kaudu aitama väikestel ja keskmise suurusega ettevõtjatel tarneahelates esinevaid
probleeme lahendada. Liikmesriikidel peaks olema väikeste ja keskmise suurusega ettevõtjate
jaoks riiklikul või piirkondlikul tasandil kontaktpunkt, mis kas annab väikestele ja keskmise
suurusega ettevõtjatele suuniseid ja abi või suunab nad küberturvalisuse küsimustes suuniste
ja abi saamiseks asjakohaste asutuste juurde. Liikmesriike julgustatakse osutama ka selliseid
teenuseid nagu veebisaidi konfigureerimine ja logimise võimaldamine mikroettevõtjatele ja
väikestele ettevõtjatele, kellel see võimekus puudub.
Lõike 1 punktiga 10 võetakse üle NIS2-direktiivi artikli 7 lõike 2 punkt j (mis edendavad
aktiivset küberkaitset). Kommenteeritava punktiga on seotud NIS2-direktiivi põhjendus 57:
(57) Liikmesriigid peaksid oma riiklikes küberturvalisuse strateegiates laiema kaitsestrateegia
osana võtma kasutusele aktiivse küberkaitse edendamise poliitika. Selle asemel et tegutseda
reageerivalt, tähendab aktiivne küberkaitse võrguturbe rikkumise aktiivset ennetamist,
avastamist, seiret, analüüsimist ja tagajärgede leevendamist, milleks kasutatakse nii ohvri
võrgus kui ka sellest väljaspool olevaid võimalusi. See võiks hõlmata liikmesriike, kes pakuvad
teatavatele üksustele tasuta teenuseid või vahendeid, sealhulgas iseteeninduskontrolle,
avastamisvahendeid ja kõrvaldamisteenuseid. Võime ohuteavet ja -analüüse, kübertegevuse
hoiatusi ja reageerimismeetmeid kiiresti ja automaatselt jagada ning mõista on ülioluline, et
teha ühtseid pingutusi võrgu- ja infosüsteemide vastu suunatud rünnete tulemuslikuks
15 Konsolideeritud tekst: https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A02024R2847-
20241120.
7
ennetamiseks, avastamiseks ja vastumeetmete võtmiseks. Aktiivne küberkaitse põhineb
kaitsestrateegial, millega välistatakse ründemeetmed.
Lõige 2 sätestab, et lisaks eelmainitud poliitikameetmetele võib strateegia sisaldada ka muid
poliitikameetmeid. Sellega tagatakse, et strateegia võib sisaldada ka muid teemasid, mis on
välja toodud NIS2-direktiivi põhjendustes, mis ei ole strateegia kohustuslik sisu direktiivi
artiklis 7. Kommenteeritava lõikega on seotud NIS2-direktiivi põhjendused 53–55:
(53) Kommunaalettevõtted on üha enam ühendatud linnade digivõrkudega, et parandada
linnatranspordivõrke, ajakohastada veevarustust ja jäätmekäitlust ning suurendada valgustuse
ja hoonete kütmise tõhusust. Need digitaliseeritud kommunaalettevõtted on küberrünnete vastu
vähe kaitstud ja edukas küberrünne võib kodanikke nende ettevõtete omavahelise seotuse tõttu
ulatuslikult kahjustada. Liikmesriigid peaksid oma riikliku küberturvalisuse strateegia raames
välja töötama poliitika, milles käsitletakse selliste ühendatud või arukate linnade arendamist
ja nende võimalikku mõju ühiskonnale.
(54) Viimastel aastatel on liit seisnud silmitsi lunavararünnete hüppelise kasvuga, mille puhul
pahavara krüpteerib andmeid ja süsteeme ning nõuab vabastamiseks lunaraha maksmist.
Lunavararünnete sagenemist ja tõsidust võivad mõjutada mitmed tegurid, nagu erinevad
ründemustrid, nagu lunavara kui teenusega seotud kuritegelikud ärimudelid ja krüptoraha,
lunaraha nõudmised ja tarneahela rünnete sagenemine. Liikmesriigid peaksid oma riikliku
küberturvalisuse strateegia raames välja töötama poliitika, milles käsitletakse lunavararünnete
sagenemist.
(55) Sobiva raamistiku kõigi sidusrühmade vahel teadmiste vahetamiseks, parimate tavade
jagamiseks ja vastastikuse mõistmise ühise taseme loomiseks võib pakkuda küberturvalisuse
valdkonna avaliku ja erasektori partnerlus. Liikmesriigid peaksid edendama poliitikat, millega
toetatakse küberturvalisuse valdkonna avaliku ja erasektori partnerluse loomist. Niisuguses
poliitikas tuleks muu hulgas täpsustada, millised on avaliku ja erasektori partnerluse ulatus ja
kaasatud sidusrühmad, juhtimismudel, olemasolevad rahastamisvõimalused ja osalevate
sidusrühmade koostoime. Avaliku ja erasektori partnerluse raames saab võimendavalt
kasutada erasektori üksuste eksperditeadmisi, et abistada pädevaid asutusi tänapäevaste
teenuste ja protsesside arendamisel, sealhulgas teabevahetus, varajane hoiatamine,
küberohtude ja intsidentidega16 seotud õppused, kriisiohje ning vastupanuvõime kavandamine.
Lisaks eeltoodule osutab kommenteeritav lõige kaudselt ka Euroopa Komisjoni suunistele
[NIS2-direktiivi] artikli 4 lõigete 1 ja 2 kohaldamise kohta (2023/C 328/02)17. Need suunised
on praktikas seotud ennekõike küberturvalisuse seaduse § 1 lõike 4 rakendamisega, kuid neis
on selgitatud ka riikliku küberturvalisuse strateegiat. Nende suuniste liites on Euroopa
Parlamendi ja nõukogu määruse18 (EL) 2022/2554 kohta käivate selgituste punktis 2 sätestatud,
et [l]iikmesriigid peaksid jätkuvalt kaasama finantssektori oma küberturvalisuse
strateegiatesse.
Paragrahviga 4 võetakse üle NIS2-direktiivi artikli 7 lõige 3 ([l]iikmesriigid teavitavad
komisjoni oma riiklikust küberturvalisuse strateegiast kolme kuu jooksul pärast selle
vastuvõtmist. Liikmesriigid võivad jätta sellistest teadetest välja teabe, mis on seotud nende
riikliku julgeolekuga) ning määratletakse strateegia koostamise nõuded.
16 Eelnõus kasutatakse termini „intsident“ asemel terminit „küberintsident“, mis on defineeritud küberturvalisuse
seaduse § 2 punktis 19. 17 https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A52023XC0918%2801%29&qid=1751186614700 18 Konsolideeritud tekst: https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A02022R2554-
20221227.
8
Lõikega 1 nähakse ette, et strateegia viiakse ellu valdkonna arengukava programmiga
riigieelarve seaduse § 19 tähenduses ning lähtuvalt valdkonna arengukava ja programmi
koostamise, elluviimise, aruandluse, hindamise ja muutmise korrast, kui eelnõukohane määrus
ei sätesta teisiti.
Riigieelarve seaduse § 19 (strateegilised arengudokumendid) lõiked 3 ja 4 määratlevad
valdkonna arengukava ja programmi sisud:
Valdkonna arengukava on arengudokument, milles määratakse terviklikult ühe või
mitme poliitikavaldkonna üldeesmärk, alaeesmärgid ja nende mõõtmist võimaldavad
mõõdikud ning poliitikainstrumendid, mille kaudu seatud eesmärke plaanitakse
saavutada.
Programm on arengudokument, milles määratakse tulemusvaldkonna alaeesmärgi
saavutamisele suunatud meetmed, mõõdikud, tegevused ja rahastamiskava. Mõõdikud
peavad olema otseselt seotud programmi eesmärkidega ja olema perioodiliselt
mõõdetavad, et hinnata riigieelarve vahendite kasutamise efektiivsust ning
tulemuslikkust.
Sama seaduse § 20 (strateegiliste arengudokumentide koostamine, elluviimine ja muutmine)
lõiked 2, 4 ja 5 näevad ette:
Valdkonna arengukava koostatakse vähemalt eelarvestrateegia perioodiks. Valdkonna
arengukava kinnitab Vabariigi Valitsus, kui seadusest ei tulene teisiti. Valdkonna
arengukava esitatakse enne kinnitamist Riigikogule arutamiseks.
Programm koostatakse kooskõlas eelarvestrateegia perioodiga. Programmi kinnitab
minister. Kui programmi eesmärgi saavutamisse panustavad mitu ministeeriumi,
kinnitavad ministrid kogu programmi või jaotatakse programm osadeks, mille ministrid
kinnitavad.
Valdkonna arengukava ja programmi koostamise, elluviimise, aruandluse, hindamise ja
muutmise korra kehtestab Vabariigi Valitsus määrusega19.
Eelviidatud Vabariigi Valitsuse määruse nõuetest lähtutakse nii valdkonna arengukava kui ka
selle ellu viimisega seotud programmi(de) koostamisel ja muutmisel. Tolle määruse §-id 2, 4,
7 ja 9 näevad ette järgmist:
Valdkonna arengukava koostatakse üldjuhul seitsmeks kuni kümneks aastaks.
Valdkonna arengukava elluviimist hinnatakse vähemalt üks kord hiljemalt kolm aastat
enne kestuse lõppu.
Programm koostatakse ja seda muudetakse eelarvestrateegia ja riigieelarve koostamise
raames.
Programmi aruandlus toimub tulemusaruandluse raames riigieelarveseaduse § 331 lõike
5 alusel kehtestatud määruse20 kohaselt, sh selle määruse 5. peatükk sisustab
tulemusaruande sisu kui ka selle koostamise sageduse (seda tehakse sisuliselt kord
aastas, st lõppenud eelarveaasta kohta).
Kommenteeritavas lõikes on kasutatud sõnastust „kui käesolev määrus ei sätesta teisiti“, kuna
eelnõukohane § 5 määratleb, et strateegia hindamine ja uuendamine peab toimuma vähemalt
iga viie aasta tagant (vt ka selle paragrahvi selgitust).
Lõikega 2 võetakse üle NIS2-direktiivi artikli 7 lõike 3 esimene lause ning sellega nähakse ette,
et Justiits- ja Digiministeerium teatab Euroopa Komisjonile strateegia vastuvõtmisest kolme
kuu jooksul pärast selle vastuvõtmist. See ülesanne antakse ministeeriumile, kuna
küberturvalisuse seaduse § 5 lõike 1 teine lause näeb ette, et strateegia koostamist koordineerib
19 https://www.riigiteataja.ee/akt/123122019005 20 https://www.riigiteataja.ee/akt/123122023013
9
riikliku küberturvalisuse valdkonna eest vastutav minister. Lõikega 3 võetakse üle eelviidatud
direktiivi lõike 3 teine lause.
Paragrahviga 5 võetakse üle NIS2-direktiivi artikli 7 lõike 4 esimene lause ([l]iikmesriigid
hindavad oma riiklikke küberturvalisuse strateegiaid peamiste tulemusnäitajate põhjal
korrapäraselt ja vähemalt iga viie aasta järel ja vajaduse korral ajakohastavad neid). Eelnõus
on sõna „korrapäraselt“ asemel kasutatud „regulaarselt“. Siin vt ka eelnõukohase määruse § 4
lõike 1 selgitust.
Määrusele lisatakse normitehniline märkus NIS2-direktiivi kohta.
3. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu vastab NIS2-direktiivile ning kuna direktiiv võeti ennekõike üle ülevõtmisseadusega,
on seaduseelnõu materjalide hulgas ka NIS2-direktiivi ja ülevõtmisseaduse vastavustabel.
Siinkohal esitatakse need NIS2-direktiivi artikli 7 sätted, mis on seotud kõnesoleva eelnõuga:
1) lõike 1 esimene lause = eelnõu § 2 lõige 1 ja see on seotud ka § 1 lõikega 2;
2) lõike 1 teine lause = eelnõu § 2 lõike 2 sissejuhatav lauseosa;
3) lõike 1 punkt a = eelnõu § 2 lõike 2 punkt 1;
4) lõike 1 punkt b = eelnõu § 2 lõike 2 punkt 2;
5) lõike 1 punkt c = eelnõu § 2 lõike 2 punkt 3;
6) lõike 1 punkt d = eelnõu § 2 lõike 2 punkt 4;
7) lõike 1 punkt e = eelnõu § 2 lõike 2 punkt 5;
8) lõike 1 punkt f = eelnõu § 2 lõike 2 punkt 6;
9) lõike 1 punkt g = eelnõu § 2 lõike 2 punkt 7;
10) lõike 1 punkt h = eelnõu § 2 lõike 2 punkt 8;
11) lõike 2 sissejuhatav lauseosa = eelnõu § 3 lõike 1 sissejuhatav lauseosa ja see on seotud ka
lõikega 2;
12) lõike 2 punkt a = eelnõu § 3 lõike 1 punkt 1;
13) lõike 2 punkt b = eelnõu § 3 lõike 1 punkt 2;
14) lõike 2 punkt c = eelnõu § 3 lõike 1 punkt 3;
15) lõike 2 punkt d = eelnõu § 3 lõike 1 punkt 4;
16) lõike 2 punkt e = eelnõu § 3 lõike 1 punkt 5;
17) lõike 2 punkt f = eelnõu § 3 lõike 1 punkt 6;
18) lõike 2 punkt g = eelnõu § 3 lõike 1 punkt 7;
19) lõike 2 punkt h = eelnõu § 3 lõike 1 punkt 8;
20) lõike 2 punkt i = eelnõu § 3 lõike 1 punkt 9;
21) lõike 2 punkt j = eelnõu § 3 lõike 1 punkt 10;
22) lõike 3 esimene lause = eelnõu § 4 lõige 2;
23) lõike 3 teine lause = eelnõu § 4 lõige 3;
24) lõike 4 esimene lause = eelnõu § 5.
Iga muudatuse juures on võrreldud muudetava sätte vastavust Euroopa Liidu õigusele, vajaduse
korral on toodud ka võimalikud sõnastusalternatiivid.
Sätete puhul, mis sõnastatakse teisiti kui NIS2-direktiiv, kohaldub ka NIS2-direktiivi artikkel
5, mis näeb ette järgmist: [NIS2-direktiiv] ei takista liikmesriike tarbijate kaitseks vastu võtmast
või kehtima jätmast sätteid, millega tagatakse kõrgem küberturvalisuse tase, tingimusel et
sellised sätted on kooskõlas liikmesriikide kohustustega, mis on sätestatud liidu õiguses.
4. Määruse mõjud
10
Eelnõukohane määrus reguleerib riikliku küberturvalisuse strateegia koostamist, mille
koordineerimise ülesanne on riikliku küberturvalisuse valdkonna eest vastutaval ministril. See
tähendab, et eelnõu mõjutab ennekõike Justiits- ja Digiministeeriumi, kelle teenistujad
(konkreetsemalt riikliku küberturvalisuse talituse ametnikud) strateegiat ette valmistavad.
Määrusekohase strateegia koostamise ülesanne on põhimõtteliselt sama kui see, mille mõju on
tervikuna hinnatud ülevõtmisseaduse seletuskirjas21 (vt seletuskirja punkt 6.5), mistõttu selle
tulemusi siin ei korrata.
Eelnõu mõjutab ennekõike riigiasutuste korraldust. Muudes valdkondades eelnõu olulist mõju
ei avalda, mistõttu pole mõju sihtrühmade kaupa käsitletud.
5. Määruse rakendamisega seotud tegevused, vajalikud kulud ja määruse rakendamise
eeldatavad tulud
Eelnõukohase määrusega seotud tegevusi ja kulusid on üldistatult hinnatud ülevõtmisseaduse
eelnõu seletuskirjas22 (vt seletuskirja punkt 7, täpsemalt p 7.1), mistõttu selle tulemusi siin ei
korrata.
Kõnesoleva eelnõuga on seotud NIS2-direktiivi põhjendus 48:
(48) Küberturvalisuse kõrge taseme saavutamiseks ja säilitamiseks peaksid [NIS2-direktiiviga]
nõutavad riiklikud küberturvalisuse strateegiad koosnema sidusatest raamistikest, milles on
esitatud strateegilised eesmärgid ja prioriteedid küberturvalisuse valdkonnas ning nende
saavutamiseks vajalik juhtimine. Need strateegiad võivad koosneda ühest või mitmest
seadusandlikust või muust kui seadusandlikust aktist.
Eestis ei koostata strateegiaid eraldi dokumendina, vaid osana laiemast strateegilisest
raamistikust ehk konkreetse valdkonna arengukavast.23 Arvestades eelviidatud NIS2-direktiivi
põhjenduse 48 teist lauset, võib kõnesoleva määruse kohane strateegia olla mõne muu
dokumendi osa. Praktikas on Vabariigi Valitsuse kinnitatud digiühiskonna arengukavas
käsitletud ka küberturvalisuse valdkonda. Seega on kõnesoleva määruse kohane strateegia üks
osa digiühiskonna arengukavast ja Vabariigi Valitsuse vastu võetud (vt küberturvalisuse seaduse
§ 5 lõike 1 esimene lause: Vabariigi Valitsus võtab vastu Euroopa Parlamendi ja nõukogu
direktiivi (EL) 2022/2555 artiklis 7 nimetatud riikliku küberturvalisuse strateegia, mis võib olla
koostatud muu õigusakti kohase dokumendi osana). Justiits- ja Digiministeerium on ette
valmistanud digiühiskonna arengukava, millega seatakse Eesti digiarengu sihid kuni aastani
2035, mis hõlmab ka küberturvalisuse valdkonda. Vabariigi Valitsus saatis 19. veebruaril 2026
Riigikogule arutamiseks digiühiskonna arengukava. Pärast arutelusid Riigikogus esitatakse
arengukava kinnitamiseks Vabariigi Valitsusele.24
Lisaks eeltoodule tuleb selgitada kõnesoleva määruse kohase strateegia koostamise tausta.
Vabariigi Valitsuse seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse
eelnõu nr 505 SE kohase seadusega läksid digiühiskonna poliitika, avalike e-teenuste,
digiarengu ja küberturvalisuse, riigi infosüsteemide, kesksete võrgu- ja infosüsteemide ning
side ja telekommunikatsiooniga seotud ülesanded 1. jaanuaril 2025 Majandus- ja
Kommunikatsiooniministeeriumilt üle Justiits- ja Digiministeeriumile. Kõnesoleva määruse
kohast strateegiat25 hakati koostama siis, kui küberturvalisuse valdkonna koordineerimise
ülesanne oli Majandus- ja Kommunikatsiooniministeeriumil. Uue digiühiskonna arengukava
21 Vt allviide 1. 22 Vt allviide 1. 23 https://valitsus.ee/strateegia-eesti-2035-arengukavad-ja-planeering/strateegilised-arengudokumendid 24 Vt https://valitsus.ee/uudised/valitsus-saadab-riigikogule-digiuhiskonna-uue-arengukava ja eelnõude
infosüsteemi toimik 25-1360. https://eelnoud.valitsus.ee/main/mount/docList/9d05decd-60e7-4680-bc7c-
3e3ad5d52566 25 Küberturvalisuse strateegia 2024-2030. https://www.justdigi.ee/digi-side-ja-kuber/riigi-kuberturvalisuse-
tagamine
11
vastuvõtmisel peab Justiits- ja Digiministeerium koostatud küberturvalisuse strateegia 2024–
2030 üle vaatama ning seda vajaduse korral uuendama.
6. Määruse jõustumine
Algselt oli kavas lisada jõustumiskuupäevaks konkreetne kuupäev, mis jätaks piisavalt aega
eelnõu avalikuks kooskõlastamiseks ning määruse kehtestamiseks ja avaldamiseks Riigi
Teatajas. Määruse koostamise käigus otsustati seda lähenemist muuta, kuna määruse sisu
arvestades on võimalik määrust jõustada ka üldises korras. Lisaks ei tähenda üldises korras
jõustumine seda, et määruse kehtima hakkamise kuupäevaks tuleb küberturvalisuse strateegia
2024–2030 üle vaadata.
7. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
Enne eelnõu koostamist toimusid kaasamised seoses NIS2-direktiivi ülevõtmisega. Nende
käigus sai anda tagasisidet muu hulgas ka kommenteeritava määruse eelnõuga kavandatavate
nõuete kohta. Asjaomase tagasiside leiab ülevõtmisseaduse eelnõu dokumentide juurest.
Eelnõu esitatakse eelnõude infosüsteemi kaudu kooskõlastamiseks ministeeriumitele,
Riigikantseleile ning Eesti Linnade ja Valdade Liidule.
Eelnõu saadetakse arvamuse avaldamiseks Eesti Pangale, Eesti Interneti Sihtasutusele,
Finantsinspektsioonile ja Riigi Infosüsteemi Ametile.
Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898
Riigikantselei Ministeeriumid Eesti Linnade ja Valdade Liit Riikliku küberturvalisuse strateegia koostamise ulatus, tingimused ja elluviimise kord Saadame kooskõlastamiseks justiits- ja digiministri määruse „Riikliku küberturvalisuse strateegia koostamise ulatus, tingimused ja elluviimise kord“ eelnõu. Ootame teie kooskõlastusi ja arvamusi hiljemalt 10 tööpäeva jooksul alates kirja kuupäevast. Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister Lisad:
1. määruse eelnõu 2. määruse seletuskiri
Lisaadressaadid: Eesti Pank Eesti Interneti Sihtasutus Finantsinspektsioon Riigi Infosüsteemi Amet Raavo Palu [email protected]
Meie 10.06.2026 nr 8-1/4541-1