| Dokumendiregister | Sotsiaalkindlustusamet |
| Viit | 5.2-2/14367-2 |
| Registreeritud | 17.06.2026 |
| Sünkroonitud | 18.06.2026 |
| Liik | Kiri VÄLJA |
| Funktsioon | 5.2 Õigusteenus |
| Sari | 5.2-2 Õigusaktide ja eelnõude kooskõlastamised, sisendi andmised ja analüüsid |
| Toimik | 5.2-2/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | Sotsiaalministeerium |
| Saabumis/saatmisviis | Sotsiaalministeerium |
| Vastutaja | Andrus Jürgens (SKA, Üldosakond, Õiguse talitus) |
| Originaal | Ava uues aknas |
Paldiski mnt 80 / 15092 Tallinn / 612 1360 / [email protected] / www.sotsiaalkindlustusamet.ee Registrikood 70001975
Sotsiaalministeerium [email protected] Suur-Ameerika 1 10122, Tallinn
Teie 26.05.2026 nr 1.2-3/1355-1/
Meie 17.06.2026 nr 5.2-2/14367-2
Eelnõu tagasiside
Sotsiaalkindlustusametile (SKA) on esitatud arvamuse avaldamiseks justiits- ja digiministri määruse „Eesti infoturbestandard“ eelnõu. SKA tutvus eelnõuga ja toome eelnõu auditite ja regulaarsete sisehindamiste korralduse osas välja järgmised murekohad
1. Riskide aktsepteerimise puudumine eelnõus: eelnõu (§ 10 lg 3) ja auditeerimiseeskiri (p 5.1) nõuavad sisehindamisel tuvastatud puuduste absoluutset kõrvaldamist auditi alguseks. Eelnõu seletuskirjas on nõuet selgitatud paindlikumalt, märkides, et puuduste kõrvaldamise või parandusmeetmete rakendamise hulka arvatakse ka riskide põhjendatud aktsepteerimine. Ettepanek: õigusselguse tagamiseks täpsustada eelnõu ja auditeerimiseeskirja teksti selliselt, et riskide põhjendatud aktsepteerimise võimalus kajastuks sõnaselgelt ka õigusaktis. Hetkel esineb eelnõu sätete ja seletuskirja vahel sisuline vastuolu.
2. Sisehindaja erapooletus: seletuskiri rõhutab, et sisehindaja ei tohi olla turvameetmete rakendaja, vaid peab olema erapooletu. Eelnõu tekstis see põhimõte puudub – § 10 kohustab hindamist läbi viima ja lubab kaasata väliseid isikuid, kuid ei sea nõudeid objektiivsusele. Ettepanek: sisehindamiste objektiivsuse tagamiseks lisada hindaja erapooletuse nõue ka eelnõu § 10 teksti.
3. Audiitorettevõtte rotatsioon: auditeerimiseeskirja p 2.2 keelab audiitorettevõttel teha sama asutuse auditit üle 2 korra järjest. Eesti piiratud IT-auditi turul võib see piirang hakata takistama kvalifitseeritud pakkujate leidmist ja hangete läbiviimist. Ettepanek: kaaluda rotatsiooninõude kehtestamist juhtivaudiitorile, mitte audiitorettevõttele. Alternatiivina kaaluda audiitorettevõtte rotatsiooniperioodi pikendamist.
4. Kõrgete riskide kõrvaldamine 6 kuuga: auditeerimiseeskirja p 7.3 nõuab kõrge tasemega riskide absoluutset kõrvaldamist 6 kuu jooksul (alates auditi lõpparuande saamisest). Praktikas võib see tähtaeg osutuda ebapiisavaks, eriti juhtudel, kus puuduse likvideerimine eeldab uute tarkvaralahenduste hankimist, infosüsteemide ülesehitamist vmt. Ettepanek: muuta nõuet paindlikumaks, lisades erandi, mis lubab objektiivsete takistuste korral asendada 6-kuulise kõrvaldamiskohustuse juhtkonna kinnitatud riskide leevendamise tegevuskavaga (koos reaalsete tähtaegade ja ajutiste kompenseerivate meetmetega).
Lugupidamisega (allkirjastatud digitaalselt) Maret Maripuu peadirektor
2
Andrus Jürgens 57833628, [email protected] Agnes Samberk 5787 2951, [email protected]
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|