Arvamus
| Dokumendiregister | Justiits- ja Digiministeerium |
| Viit | 8-1/4143-6 |
| Registreeritud | 22.06.2026 |
| Sünkroonitud | 23.06.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-1 Justiits- ja Digiministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega(Arhiiviväärtuslik) |
| Toimik | 8-1/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | Eesti Haiglate Liit |
| Saabumis/saatmisviis | Eesti Haiglate Liit |
| Vastutaja | Guido Pääsuke (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digitaristu- ja küberturvalisuse valdkond, Digitaristu- ja küberturvalisuse osakond, Riikliku küberturvalisuse talitus) |
| Originaal | Ava uues aknas |
Failid
Digiallkirjad
Allkirjade kehtivust ei ole
kontrollitud.
Urmas Sule
PNOEE-36310062728
2026-06-22 09:24:37
Liisa-Ly Pakosta
Justiits- ja digiminister
Justiits- ja digiministeerium Teie: 25.05.2026 nr 8-1/4143-1 Meie: 22.06.2026 nr 232-2B
Arvamuse avaldamine
Täname, et saatsite Eesti Haiglate Liidule kooskõlastamiseks ja arvamuse avaldamiseks justiits- ja digiministeeriumi määruse „Eesti Infoturbestandard” eelnõu.
Kavandatud muudatused on tervikuna põhjendatud ning avaldavad positiivset mõju infoturbe halduse protsesside korraldusele. Positiivse aspektina tuleb esile tõsta asjaolu, et infoturbe halduse süsteem on määruses selgesõnaliselt määratletud ning sellele on lisatud seletuskiri. Nimetatu suurendab õigusselgust ning aitab kaasa regulatsiooni üheselt mõistetavale kohaldamisele, parandades seeläbi ka läbipaistvust ja arusaadavust.
Samas esineb eelnõu tekstis mitmeid ebakõlasid ning täpsustamist vajavaid asjaolusid, mis mõjutavad infoturbe halduse süsteemi rakendamist. Esitame alljärgnevalt vastavad märkused ja ettepanekud.
1. Eelnõu § 3 lg 2 sätestab kohustuse määrata infoturbe halduse süsteemis rollid (hankejuht, infoturbejuht, äriüksuse juht ja kasutaja). Selline rollipõhine lähenemine vajab meie hinnangul ümbervaatamist. Kuigi see lähenemine on sarnane ISO/IEC 27001 standardis kasutatavale praktikale, ei ole Eesti õigusloomes tavapärane sätestada organisatsioonisiseseid rolle normatiivse kohustusena. Määruse tsasandil tuleks sõnastada asutuse kohustused ja vastutused infoturbe halduse süsteemi toimimise tagamiseks. Sellise detailsusastmega rollide lahti kirjeldamine tekitab praktikas märkimisväärseid probleeme, kuna need rollid on asutustes juba laiemalt või kitsamalt defineeritud ja juhul, kui ei ole juba defineeritud, siis määruse praegune sõnastus seab rollidele liiga suured piirangud. Teeme ettepaneku eemaldada paragrahv 3 lõige 2 sellises sõnastuses, sest asutusesisesed rollid võivad olla praktikas väga erinevad. Teeme ettepaneku § 3 lõige 2 ümber sõnastada selliselt, et selles sätestataks asutuse kohustused ja vastutused, mitte konkreetsed organisatsioonisisesed rollid. Rollimõistet võiks kasutada üksnes kirjeldavas tähenduses.
2. Eelnõu § 3 lg 2 sätestab rollina hankejuhi. Praktikas on hankejuht sageli eraldiseisev ametikoht ning organisatsioonides kasutatakse paralleelselt ka muid nimetusi (nt hankespetsialist, hankejurist), mistõttu võib selline regulatsioon tekitada ebaselgust.
Ettepanek: täpsustada sätte sõnastust selliselt, et välistada vastuolud organisatsioonides kehtivate ametikohtade süsteemiga ning sätestada kohustus rakendada infoturbe meetmeid hangete läbiviimisel asutuse hankekorra alusel, mitte rollipõhiselt.
3. Eelnõu § 3 lg 2 sätestab rollina kasutaja. Ettevõtluspraktikas ei käsitleta kasutajat iseseisva juhtimisfunktsioonina ning vastava rolli kehtestamine ei ole otstarbekas, kuna see hõlmab sisuliselt kõiki organisatsiooni töötajaid.
Ettepanek: eemaldada § 3 lg 2-st kasutaja roll.
4. Eelnõu § 3 lg 2 sätestab rollidena infoturbejuhi ja äriüksuse juhi. Infoturbejuhi roll on eelnõu kohaselt kirjeldatud pigem nõustavana, samas kui äriüksuse juhile on omistatud ülesanded (nt kaitsemeetmete määramine ja rakendamise seire), mis kuuluvad oma olemuselt infoturbejuhi ning juhtorgani pädevusse tulenevalt küberturvalisuse seaduse § 6¹ lg-st 1.
Ettepanek: täpsustada sätte sõnastust selliselt, et infoturbejuhi ja äriüksuse juhi ülesanded oleksid selgelt eristatavad ning kooskõlas küberturvalisuse seaduse § 6¹ lg-ga 1.
5. Eelnõu § 4 lg 2 p 4 kohaselt on kogu juhatusele pandud vastutus aktsepteerida riske meetmete rakendamata jätmise korral. Nimetatud säte on vastuolus küberturvalisuse seaduse § 6¹ lg-ga 1, mille kohaselt on vastav kohustus määratud ühele juhatuse liikmele.
Ettepanek: viia § 4 lg 2 p 4 kooskõlla küberturvalisuse seaduse § 6¹ lg-ga 1.
6. Eelnõu § 6 lg 1 („Riskihaldusmetoodika kasutuselevõtmise eeldus on organisatsiooni varade arvelevõtmine ja nende kaitseala kindlaksmääramine“) on esitatud kirjeldavas vormis ega vasta normitehnilistele nõuetele, kuna ei kehtesta otsest kohustust.
Ettepanek: sõnastada § 6 lg 1 järgmiselt: „Organisatsioon peab võtma arvele varad ning määrama kindlaks kaitseala.“
7. Auditeerimiseeskirja peatüki 2 „Auditi üldine korraldus“ punkt 2.4 sisaldab sõnastust: „Kaugtöötunnid ei tohi ületada 30% audititööks kavandatud tundide koguarvust. Erandiks on auditeeritav, kes kasutab ainult virtuaalseid töökohti.“ Nimetatud piirang ei ole praktikas põhjendatud, kuivõrd see piirab auditeerimistoimingute, sealhulgas intervjuude läbiviimist kaugtöövahendite abil. Arvestades asjaolu, et auditeeritavad asutused (sh haiglad) paiknevad geograafiliselt üle Eesti ning auditeerivad ettevõtted asuvad valdavalt Tallinnas, toob nimetatud piirang kaasa põhjendamatult suure ajakulu ning märkimisväärse täiendava rahalise koormuse seoses transpordi- ja majutuskuludega. Sellest tulenevalt ei ole kehtestatud piirang proportsionaalne ega eesmärgipärane.
Ettepanek: muuta punkti 2.4 sõnastust selliselt, et kaugtöö piirang ei hõlmaks auditi intervjuude läbiviimist virtuaalkoosolekute vormis.
Täname veel kord võimaluse eest anda tagasisidet Eesti infoturbestandardile ja palume esitatud ettepanekuid eelnõu edasises menetluses arvesse võtta.
Lugupidamisega
/allkirjastatud digitaalselt/
Urmas Sule
Juhatuse esimees
Liisa-Ly Pakosta
Justiits- ja digiminister
Justiits- ja digiministeerium Teie: 25.05.2026 nr 8-1/4143-1 Meie: 22.06.2026 nr 232-2B
Arvamuse avaldamine
Täname, et saatsite Eesti Haiglate Liidule kooskõlastamiseks ja arvamuse avaldamiseks justiits- ja digiministeeriumi määruse „Eesti Infoturbestandard” eelnõu.
Kavandatud muudatused on tervikuna põhjendatud ning avaldavad positiivset mõju infoturbe halduse protsesside korraldusele. Positiivse aspektina tuleb esile tõsta asjaolu, et infoturbe halduse süsteem on määruses selgesõnaliselt määratletud ning sellele on lisatud seletuskiri. Nimetatu suurendab õigusselgust ning aitab kaasa regulatsiooni üheselt mõistetavale kohaldamisele, parandades seeläbi ka läbipaistvust ja arusaadavust.
Samas esineb eelnõu tekstis mitmeid ebakõlasid ning täpsustamist vajavaid asjaolusid, mis mõjutavad infoturbe halduse süsteemi rakendamist. Esitame alljärgnevalt vastavad märkused ja ettepanekud.
1. Eelnõu § 3 lg 2 sätestab kohustuse määrata infoturbe halduse süsteemis rollid (hankejuht, infoturbejuht, äriüksuse juht ja kasutaja). Selline rollipõhine lähenemine vajab meie hinnangul ümbervaatamist. Kuigi see lähenemine on sarnane ISO/IEC 27001 standardis kasutatavale praktikale, ei ole Eesti õigusloomes tavapärane sätestada organisatsioonisiseseid rolle normatiivse kohustusena. Määruse tsasandil tuleks sõnastada asutuse kohustused ja vastutused infoturbe halduse süsteemi toimimise tagamiseks. Sellise detailsusastmega rollide lahti kirjeldamine tekitab praktikas märkimisväärseid probleeme, kuna need rollid on asutustes juba laiemalt või kitsamalt defineeritud ja juhul, kui ei ole juba defineeritud, siis määruse praegune sõnastus seab rollidele liiga suured piirangud. Teeme ettepaneku eemaldada paragrahv 3 lõige 2 sellises sõnastuses, sest asutusesisesed rollid võivad olla praktikas väga erinevad. Teeme ettepaneku § 3 lõige 2 ümber sõnastada selliselt, et selles sätestataks asutuse kohustused ja vastutused, mitte konkreetsed organisatsioonisisesed rollid. Rollimõistet võiks kasutada üksnes kirjeldavas tähenduses.
2. Eelnõu § 3 lg 2 sätestab rollina hankejuhi. Praktikas on hankejuht sageli eraldiseisev ametikoht ning organisatsioonides kasutatakse paralleelselt ka muid nimetusi (nt hankespetsialist, hankejurist), mistõttu võib selline regulatsioon tekitada ebaselgust.
Ettepanek: täpsustada sätte sõnastust selliselt, et välistada vastuolud organisatsioonides kehtivate ametikohtade süsteemiga ning sätestada kohustus rakendada infoturbe meetmeid hangete läbiviimisel asutuse hankekorra alusel, mitte rollipõhiselt.
3. Eelnõu § 3 lg 2 sätestab rollina kasutaja. Ettevõtluspraktikas ei käsitleta kasutajat iseseisva juhtimisfunktsioonina ning vastava rolli kehtestamine ei ole otstarbekas, kuna see hõlmab sisuliselt kõiki organisatsiooni töötajaid.
Ettepanek: eemaldada § 3 lg 2-st kasutaja roll.
4. Eelnõu § 3 lg 2 sätestab rollidena infoturbejuhi ja äriüksuse juhi. Infoturbejuhi roll on eelnõu kohaselt kirjeldatud pigem nõustavana, samas kui äriüksuse juhile on omistatud ülesanded (nt kaitsemeetmete määramine ja rakendamise seire), mis kuuluvad oma olemuselt infoturbejuhi ning juhtorgani pädevusse tulenevalt küberturvalisuse seaduse § 6¹ lg-st 1.
Ettepanek: täpsustada sätte sõnastust selliselt, et infoturbejuhi ja äriüksuse juhi ülesanded oleksid selgelt eristatavad ning kooskõlas küberturvalisuse seaduse § 6¹ lg-ga 1.
5. Eelnõu § 4 lg 2 p 4 kohaselt on kogu juhatusele pandud vastutus aktsepteerida riske meetmete rakendamata jätmise korral. Nimetatud säte on vastuolus küberturvalisuse seaduse § 6¹ lg-ga 1, mille kohaselt on vastav kohustus määratud ühele juhatuse liikmele.
Ettepanek: viia § 4 lg 2 p 4 kooskõlla küberturvalisuse seaduse § 6¹ lg-ga 1.
6. Eelnõu § 6 lg 1 („Riskihaldusmetoodika kasutuselevõtmise eeldus on organisatsiooni varade arvelevõtmine ja nende kaitseala kindlaksmääramine“) on esitatud kirjeldavas vormis ega vasta normitehnilistele nõuetele, kuna ei kehtesta otsest kohustust.
Ettepanek: sõnastada § 6 lg 1 järgmiselt: „Organisatsioon peab võtma arvele varad ning määrama kindlaks kaitseala.“
7. Auditeerimiseeskirja peatüki 2 „Auditi üldine korraldus“ punkt 2.4 sisaldab sõnastust: „Kaugtöötunnid ei tohi ületada 30% audititööks kavandatud tundide koguarvust. Erandiks on auditeeritav, kes kasutab ainult virtuaalseid töökohti.“ Nimetatud piirang ei ole praktikas põhjendatud, kuivõrd see piirab auditeerimistoimingute, sealhulgas intervjuude läbiviimist kaugtöövahendite abil. Arvestades asjaolu, et auditeeritavad asutused (sh haiglad) paiknevad geograafiliselt üle Eesti ning auditeerivad ettevõtted asuvad valdavalt Tallinnas, toob nimetatud piirang kaasa põhjendamatult suure ajakulu ning märkimisväärse täiendava rahalise koormuse seoses transpordi- ja majutuskuludega. Sellest tulenevalt ei ole kehtestatud piirang proportsionaalne ega eesmärgipärane.
Ettepanek: muuta punkti 2.4 sõnastust selliselt, et kaugtöö piirang ei hõlmaks auditi intervjuude läbiviimist virtuaalkoosolekute vormis.
Täname veel kord võimaluse eest anda tagasisidet Eesti infoturbestandardile ja palume esitatud ettepanekuid eelnõu edasises menetluses arvesse võtta.
Lugupidamisega
/allkirjastatud digitaalselt/
Urmas Sule
Juhatuse esimees
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga. |
Tere
Käesolevaga edastame Eesti Haiglate Liidu tagasiside Eesti infoturbestandardile.
Lugupidamisega
Urmas Sule
Juhatuse esimees
From: [email protected] <[email protected]>
Sent: Tuesday, May 26, 2026 8:06 AM
To: Riigikogu Kantselei <[email protected]>; Finantsinspektsioon <[email protected]>; Riigi Info- ja Kommunikatsioonitehnoloogia Keskus <[email protected]>; Eesti Haiglate Liit <[email protected]>; Eesti Perearstide Selts <[email protected]>; Eesti Vee-Ettevõtete
Liit <[email protected]>; Eesti Kiirabi Liit <[email protected]>; Ravimitootjate Liit <[email protected]>; Eesti Proviisorapteekide Liit <[email protected]>; Eesti Apteekrite Liit <[email protected]>; Eesti Elektritööstuse Liit <[email protected]>; Eesti Jõujaamade ja
Kaugkütte Ühing <[email protected]>; Eesti Gaasiliit <[email protected]>; Eesti Transpordikütuste Ühing <[email protected]>; Eesti Infotehnoloogia ja Telekommunikatsiooni Liit <[email protected]>; Eesti Kaubandus-Tööstuskoda <[email protected]>; Eesti Põllumajandus-Kaubanduskoda
<[email protected]>; Eesti Infosüsteemide Audiitorite Ühing <[email protected]>; Eesti Esmatasandi Tervisekeskuste Liit <[email protected]>
Subject: Eesti infoturbestandard
|
Digiallkirjad
Allkirjade kehtivust ei ole
kontrollitud.
Urmas Sule
PNOEE-36310062728
2026-06-22 09:24:37
Liisa-Ly Pakosta
Justiits- ja digiminister
Justiits- ja digiministeerium Teie: 25.05.2026 nr 8-1/4143-1 Meie: 22.06.2026 nr 232-2B
Arvamuse avaldamine
Täname, et saatsite Eesti Haiglate Liidule kooskõlastamiseks ja arvamuse avaldamiseks justiits- ja digiministeeriumi määruse „Eesti Infoturbestandard” eelnõu.
Kavandatud muudatused on tervikuna põhjendatud ning avaldavad positiivset mõju infoturbe halduse protsesside korraldusele. Positiivse aspektina tuleb esile tõsta asjaolu, et infoturbe halduse süsteem on määruses selgesõnaliselt määratletud ning sellele on lisatud seletuskiri. Nimetatu suurendab õigusselgust ning aitab kaasa regulatsiooni üheselt mõistetavale kohaldamisele, parandades seeläbi ka läbipaistvust ja arusaadavust.
Samas esineb eelnõu tekstis mitmeid ebakõlasid ning täpsustamist vajavaid asjaolusid, mis mõjutavad infoturbe halduse süsteemi rakendamist. Esitame alljärgnevalt vastavad märkused ja ettepanekud.
1. Eelnõu § 3 lg 2 sätestab kohustuse määrata infoturbe halduse süsteemis rollid (hankejuht, infoturbejuht, äriüksuse juht ja kasutaja). Selline rollipõhine lähenemine vajab meie hinnangul ümbervaatamist. Kuigi see lähenemine on sarnane ISO/IEC 27001 standardis kasutatavale praktikale, ei ole Eesti õigusloomes tavapärane sätestada organisatsioonisiseseid rolle normatiivse kohustusena. Määruse tsasandil tuleks sõnastada asutuse kohustused ja vastutused infoturbe halduse süsteemi toimimise tagamiseks. Sellise detailsusastmega rollide lahti kirjeldamine tekitab praktikas märkimisväärseid probleeme, kuna need rollid on asutustes juba laiemalt või kitsamalt defineeritud ja juhul, kui ei ole juba defineeritud, siis määruse praegune sõnastus seab rollidele liiga suured piirangud. Teeme ettepaneku eemaldada paragrahv 3 lõige 2 sellises sõnastuses, sest asutusesisesed rollid võivad olla praktikas väga erinevad. Teeme ettepaneku § 3 lõige 2 ümber sõnastada selliselt, et selles sätestataks asutuse kohustused ja vastutused, mitte konkreetsed organisatsioonisisesed rollid. Rollimõistet võiks kasutada üksnes kirjeldavas tähenduses.
2. Eelnõu § 3 lg 2 sätestab rollina hankejuhi. Praktikas on hankejuht sageli eraldiseisev ametikoht ning organisatsioonides kasutatakse paralleelselt ka muid nimetusi (nt hankespetsialist, hankejurist), mistõttu võib selline regulatsioon tekitada ebaselgust.
Ettepanek: täpsustada sätte sõnastust selliselt, et välistada vastuolud organisatsioonides kehtivate ametikohtade süsteemiga ning sätestada kohustus rakendada infoturbe meetmeid hangete läbiviimisel asutuse hankekorra alusel, mitte rollipõhiselt.
3. Eelnõu § 3 lg 2 sätestab rollina kasutaja. Ettevõtluspraktikas ei käsitleta kasutajat iseseisva juhtimisfunktsioonina ning vastava rolli kehtestamine ei ole otstarbekas, kuna see hõlmab sisuliselt kõiki organisatsiooni töötajaid.
Ettepanek: eemaldada § 3 lg 2-st kasutaja roll.
4. Eelnõu § 3 lg 2 sätestab rollidena infoturbejuhi ja äriüksuse juhi. Infoturbejuhi roll on eelnõu kohaselt kirjeldatud pigem nõustavana, samas kui äriüksuse juhile on omistatud ülesanded (nt kaitsemeetmete määramine ja rakendamise seire), mis kuuluvad oma olemuselt infoturbejuhi ning juhtorgani pädevusse tulenevalt küberturvalisuse seaduse § 6¹ lg-st 1.
Ettepanek: täpsustada sätte sõnastust selliselt, et infoturbejuhi ja äriüksuse juhi ülesanded oleksid selgelt eristatavad ning kooskõlas küberturvalisuse seaduse § 6¹ lg-ga 1.
5. Eelnõu § 4 lg 2 p 4 kohaselt on kogu juhatusele pandud vastutus aktsepteerida riske meetmete rakendamata jätmise korral. Nimetatud säte on vastuolus küberturvalisuse seaduse § 6¹ lg-ga 1, mille kohaselt on vastav kohustus määratud ühele juhatuse liikmele.
Ettepanek: viia § 4 lg 2 p 4 kooskõlla küberturvalisuse seaduse § 6¹ lg-ga 1.
6. Eelnõu § 6 lg 1 („Riskihaldusmetoodika kasutuselevõtmise eeldus on organisatsiooni varade arvelevõtmine ja nende kaitseala kindlaksmääramine“) on esitatud kirjeldavas vormis ega vasta normitehnilistele nõuetele, kuna ei kehtesta otsest kohustust.
Ettepanek: sõnastada § 6 lg 1 järgmiselt: „Organisatsioon peab võtma arvele varad ning määrama kindlaks kaitseala.“
7. Auditeerimiseeskirja peatüki 2 „Auditi üldine korraldus“ punkt 2.4 sisaldab sõnastust: „Kaugtöötunnid ei tohi ületada 30% audititööks kavandatud tundide koguarvust. Erandiks on auditeeritav, kes kasutab ainult virtuaalseid töökohti.“ Nimetatud piirang ei ole praktikas põhjendatud, kuivõrd see piirab auditeerimistoimingute, sealhulgas intervjuude läbiviimist kaugtöövahendite abil. Arvestades asjaolu, et auditeeritavad asutused (sh haiglad) paiknevad geograafiliselt üle Eesti ning auditeerivad ettevõtted asuvad valdavalt Tallinnas, toob nimetatud piirang kaasa põhjendamatult suure ajakulu ning märkimisväärse täiendava rahalise koormuse seoses transpordi- ja majutuskuludega. Sellest tulenevalt ei ole kehtestatud piirang proportsionaalne ega eesmärgipärane.
Ettepanek: muuta punkti 2.4 sõnastust selliselt, et kaugtöö piirang ei hõlmaks auditi intervjuude läbiviimist virtuaalkoosolekute vormis.
Täname veel kord võimaluse eest anda tagasisidet Eesti infoturbestandardile ja palume esitatud ettepanekuid eelnõu edasises menetluses arvesse võtta.
Lugupidamisega
/allkirjastatud digitaalselt/
Urmas Sule
Juhatuse esimees
Liisa-Ly Pakosta
Justiits- ja digiminister
Justiits- ja digiministeerium Teie: 25.05.2026 nr 8-1/4143-1 Meie: 22.06.2026 nr 232-2B
Arvamuse avaldamine
Täname, et saatsite Eesti Haiglate Liidule kooskõlastamiseks ja arvamuse avaldamiseks justiits- ja digiministeeriumi määruse „Eesti Infoturbestandard” eelnõu.
Kavandatud muudatused on tervikuna põhjendatud ning avaldavad positiivset mõju infoturbe halduse protsesside korraldusele. Positiivse aspektina tuleb esile tõsta asjaolu, et infoturbe halduse süsteem on määruses selgesõnaliselt määratletud ning sellele on lisatud seletuskiri. Nimetatu suurendab õigusselgust ning aitab kaasa regulatsiooni üheselt mõistetavale kohaldamisele, parandades seeläbi ka läbipaistvust ja arusaadavust.
Samas esineb eelnõu tekstis mitmeid ebakõlasid ning täpsustamist vajavaid asjaolusid, mis mõjutavad infoturbe halduse süsteemi rakendamist. Esitame alljärgnevalt vastavad märkused ja ettepanekud.
1. Eelnõu § 3 lg 2 sätestab kohustuse määrata infoturbe halduse süsteemis rollid (hankejuht, infoturbejuht, äriüksuse juht ja kasutaja). Selline rollipõhine lähenemine vajab meie hinnangul ümbervaatamist. Kuigi see lähenemine on sarnane ISO/IEC 27001 standardis kasutatavale praktikale, ei ole Eesti õigusloomes tavapärane sätestada organisatsioonisiseseid rolle normatiivse kohustusena. Määruse tsasandil tuleks sõnastada asutuse kohustused ja vastutused infoturbe halduse süsteemi toimimise tagamiseks. Sellise detailsusastmega rollide lahti kirjeldamine tekitab praktikas märkimisväärseid probleeme, kuna need rollid on asutustes juba laiemalt või kitsamalt defineeritud ja juhul, kui ei ole juba defineeritud, siis määruse praegune sõnastus seab rollidele liiga suured piirangud. Teeme ettepaneku eemaldada paragrahv 3 lõige 2 sellises sõnastuses, sest asutusesisesed rollid võivad olla praktikas väga erinevad. Teeme ettepaneku § 3 lõige 2 ümber sõnastada selliselt, et selles sätestataks asutuse kohustused ja vastutused, mitte konkreetsed organisatsioonisisesed rollid. Rollimõistet võiks kasutada üksnes kirjeldavas tähenduses.
2. Eelnõu § 3 lg 2 sätestab rollina hankejuhi. Praktikas on hankejuht sageli eraldiseisev ametikoht ning organisatsioonides kasutatakse paralleelselt ka muid nimetusi (nt hankespetsialist, hankejurist), mistõttu võib selline regulatsioon tekitada ebaselgust.
Ettepanek: täpsustada sätte sõnastust selliselt, et välistada vastuolud organisatsioonides kehtivate ametikohtade süsteemiga ning sätestada kohustus rakendada infoturbe meetmeid hangete läbiviimisel asutuse hankekorra alusel, mitte rollipõhiselt.
3. Eelnõu § 3 lg 2 sätestab rollina kasutaja. Ettevõtluspraktikas ei käsitleta kasutajat iseseisva juhtimisfunktsioonina ning vastava rolli kehtestamine ei ole otstarbekas, kuna see hõlmab sisuliselt kõiki organisatsiooni töötajaid.
Ettepanek: eemaldada § 3 lg 2-st kasutaja roll.
4. Eelnõu § 3 lg 2 sätestab rollidena infoturbejuhi ja äriüksuse juhi. Infoturbejuhi roll on eelnõu kohaselt kirjeldatud pigem nõustavana, samas kui äriüksuse juhile on omistatud ülesanded (nt kaitsemeetmete määramine ja rakendamise seire), mis kuuluvad oma olemuselt infoturbejuhi ning juhtorgani pädevusse tulenevalt küberturvalisuse seaduse § 6¹ lg-st 1.
Ettepanek: täpsustada sätte sõnastust selliselt, et infoturbejuhi ja äriüksuse juhi ülesanded oleksid selgelt eristatavad ning kooskõlas küberturvalisuse seaduse § 6¹ lg-ga 1.
5. Eelnõu § 4 lg 2 p 4 kohaselt on kogu juhatusele pandud vastutus aktsepteerida riske meetmete rakendamata jätmise korral. Nimetatud säte on vastuolus küberturvalisuse seaduse § 6¹ lg-ga 1, mille kohaselt on vastav kohustus määratud ühele juhatuse liikmele.
Ettepanek: viia § 4 lg 2 p 4 kooskõlla küberturvalisuse seaduse § 6¹ lg-ga 1.
6. Eelnõu § 6 lg 1 („Riskihaldusmetoodika kasutuselevõtmise eeldus on organisatsiooni varade arvelevõtmine ja nende kaitseala kindlaksmääramine“) on esitatud kirjeldavas vormis ega vasta normitehnilistele nõuetele, kuna ei kehtesta otsest kohustust.
Ettepanek: sõnastada § 6 lg 1 järgmiselt: „Organisatsioon peab võtma arvele varad ning määrama kindlaks kaitseala.“
7. Auditeerimiseeskirja peatüki 2 „Auditi üldine korraldus“ punkt 2.4 sisaldab sõnastust: „Kaugtöötunnid ei tohi ületada 30% audititööks kavandatud tundide koguarvust. Erandiks on auditeeritav, kes kasutab ainult virtuaalseid töökohti.“ Nimetatud piirang ei ole praktikas põhjendatud, kuivõrd see piirab auditeerimistoimingute, sealhulgas intervjuude läbiviimist kaugtöövahendite abil. Arvestades asjaolu, et auditeeritavad asutused (sh haiglad) paiknevad geograafiliselt üle Eesti ning auditeerivad ettevõtted asuvad valdavalt Tallinnas, toob nimetatud piirang kaasa põhjendamatult suure ajakulu ning märkimisväärse täiendava rahalise koormuse seoses transpordi- ja majutuskuludega. Sellest tulenevalt ei ole kehtestatud piirang proportsionaalne ega eesmärgipärane.
Ettepanek: muuta punkti 2.4 sõnastust selliselt, et kaugtöö piirang ei hõlmaks auditi intervjuude läbiviimist virtuaalkoosolekute vormis.
Täname veel kord võimaluse eest anda tagasisidet Eesti infoturbestandardile ja palume esitatud ettepanekuid eelnõu edasises menetluses arvesse võtta.
Lugupidamisega
/allkirjastatud digitaalselt/
Urmas Sule
Juhatuse esimees
Seosed
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|