| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 1.1-21/24373 |
| Registreeritud | 04.04.2024 |
| Sünkroonitud | 05.04.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 1.1 Asutuse tegevuse korraldamine |
| Sari | 1.1-21 Õigusalane kirjavahetus ja muu dokumentatsioon |
| Toimik | 1.1-21/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Silver Lusti (RIA, PDA Oigus) |
| Originaal | Ava uues aknas |
Tere
Edastan selgitused Teie 1. märtsi pöördumises edastatud küsimustele:
Arvestades seda, et Riigi Infosüsteemi Amet (RIA) koordineerib küberturvalisuse tagamist ning küberintsidendi ennetamist ja lahendamist küberturvalisuse seaduse (KüTS) § 12 lg 1 alusel ning teeb riiklikku ja haldusjärelevalvet nõuete täitmise üle, soovime saada selgitusi KüTS kohaldamise kohta.
Selgitus
Kohaliku omavalitsuse (KOV) üksus kasutab elektroonilist andmebaasi, mida pakub erasektori teenuse osutaja SaaS mudelina. KOV töötajad sisestavad veebiliidese kaudu andmebaasi elanikkonna tugiteenuste kasutuse statistikat (nt osutatud sotsiaalteenused). Tegemist on avaliku ülesande täitmisega ja avaliku teabe seaduse (AvTS) § 3 lg 1 mõttes avaliku teabega. KOV kasutab SaaS teenust oma töö haldamiseks, elanikkonnal ei ole SaaS teenusele ligipääsu ja kasutajaliides on kättesaadav ainult KOV töötajatele. See tähendab, et KOVi elanikud ei sisesta ise andmeid kasutatud tugiteenuste kohta ja andmete töötlus toimub ainult KOVi töötajate kaudu. Tegemist ei ole andmekoguga AvTS § 431 lg 1 mõttes.
Küsimus
Kas kirjeldatud andmebaas on KüTS § 2 p 7 mõttes pilvandmetöötlusteenus, millele kohaldub KüTS, sealhulgas peab KOV hindama valitud SaaS teenuse küberturvalisust juhindudes määrusest „Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“?
Küberturvalisuse seaduse § 2 punkt 7 pakub pilvandmetöötluse definitsiooni, mille kohaselt on see infoühiskonna teenus, mis võimaldab juurdepääsu andmetöötlusressursside kogumile, mis on paindlikult jagatav ning laiendatav võrgu- ja infosüsteemi ennast muutmata. Tegemist on teenusega, mille puhul andmeid töödeldakse, säilitatakse ja edastatakse digitaalkujul andmete töötlemiseks ja säilitamiseks mõeldud elektrooniliste vahendite abil, seejuures osapooled ei viibi üheaegselt samas kohas. KüTS-i termin on üle võetud Euroopa Parlamendi ja nõukogu direktiivist (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (edaspidi NIS-i direktiiv, nt põhjenduspunkt 17).
KÜTS-i seletuskirjas on terminit „andmetöötlusressursside kogumile, mis on paindlikult jagatav ning laiendatav võrgu- ja infosüsteemi ennast muutmata“ täiendavalt selgitatud: „Andmetöötlusressursid hõlmavad selliseid ressursse nagu võrgud, serverid või muu taristu, hoidlad, rakendused ja teenused. Mõistet „paindlik kogum“ kasutatakse selliste andmetöötlusressursside kirjeldamiseks, mida pakutakse ja mis tehakse kättesaadavaks vastavalt nõudlusele, et kiiresti suurendada või vähendada kättesaadavaid ressursse vastavalt töökoormusele. Mõistet „jagatav“ kasutatakse selliste andmetöötlusressursside kirjeldamiseks, mida pakutakse paljudele kasutajatele, kellel on ühine juurdepääs teenusele, kuid andmete töötlemine toimub eraldi iga kasutaja jaoks, kuigi teenust osutatakse samade elektrooniliste seadmete abil.“
Seega on määruse termin „andmetöötlusressursside kogum, mis on paindlikult jagatav ja laiendatav võrgu- ja infosüsteemi ennast muutmata“ ning „pilveandmetöötlusteenus“ sisult sama teenus, vahe määruse mõistes seisneb selles, et lg 1 juhul pakub seda „kohaliku omavalitsuse üksus või küberturvalisuse seaduse § 3 lõike 4 punktides 12 ja 13 nimetatud asutus või isik“ ja lg 2 juhul erapakkuja. Seega, kokkuvõtvalt on määrus kohaldatav igas olukorras, kus andmed edastatakse pilveteenusesse, kui tegemist on avaliku teabega, sh juhul, kui avaliku teavet soovitakse töödelda pilveandmetöötlusteenuse pakkuja kaudu, kes osutab teenust majandustegevuse raames. Siinjuures ei ole vahet, kas teenust pakutakse tasu eest või tasuta. Seega peab KOV hindama valitud SaaS teenuse kasutusele võtmise eelduseid juhindudes Vabariigi Valitsuse 3. jaanuari määruse nr 1 „Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“ §-st 2.
Selgitus
Täiendavalt soovitame selgitusi turvameetmete rakendamise kohta KOVi kasutatud SaaS teenustele. KüTS § 3 lg 4 p 4 järgi kohaldatakse KüTSis teenuse osutaja kohta sätestatut KOV üksusele. See tähendab, et KOV kui teenuse osutaja peab tagama, et tema valitud SaaS teenus vastab KüTS § 7 lõigetes sätestatud turvanõuetele. Sealhulgas peab KOV järgima turvameetmeid, kui majutab süsteemi teise isiku juures.
Küsimus
Kas KOV peab KüTS § 7 lõigetes sätestatud turvameetmeid järgima ka siis, kui KOV kasutab üldotstarbelist SaaS teenust (nt Google, Meta, Microsoft) avaliku teabe haldamiseks? Juhul kui vastus on jaatav, kas see tähendab praktikas, et nt Google teenuste (Drive, Docs, Forms) kasutamine avalike ülesannete käigus eeldab, et Google rakendab piisavaid turvameetmeid, nt krüpteerib andmed? Kui Google ei paku piisavaid turvameetmeid, kas see välistab KOVi võimaluse kasutada Google teenuseid?
Kuivõrd KOV on KüTS § 3 lg 4 nimetatud isik peab KOV täitma ka KüTS § 7 välja toodud teenuse osutaja süsteemi turvameetmeid. Nagu KüTS § 7 lg 3 sätestab, vastutab teenuse tellija/tarbija andmete kaitse eest ning on kohustatud jälgima, et tellitav teenus vastaks kehtestatud turvanõuetele. Seega on KOVi jaoks vajalik rakendada KüTS § 7 välja toodud turvameetmeid. See, kas teenuseid on võimalik kasutada sõltub eelkõige riskianalüüsi hinnangute vastustest ning sellest, milliseid andmeid teenuste vahendusel hoiustatakse/edastatakse. Ka avaliku teabe haldamisel kasutatakse erineva sisu ja sensitiivsusega teavet.
Lugupidamisega
Sander Pelisaar
Õigusnõunik
+372 5366 7126
Riigi Infosüsteemide Amet
Küberturvalisuse keskus NCSC-EE
Pärnu maantee 139a, Tallinn 15169
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|