| Dokumendiregister | Justiits- ja Digiministeerium |
| Viit | 8-1/4502-6 |
| Registreeritud | 03.07.2026 |
| Sünkroonitud | 06.07.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-1 Justiits- ja Digiministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega(Arhiiviväärtuslik) |
| Toimik | 8-1/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | Eesti Perearstide Selts |
| Saabumis/saatmisviis | Eesti Perearstide Selts |
| Vastutaja | Raavo Palu (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digitaristu- ja küberturvalisuse valdkond, Digitaristu- ja küberturvalisuse osakond, Riikliku küberturvalisuse talitus) |
| Originaal | Ava uues aknas |
| Taotle dokumendi eemaldamist või parandamist |
Eesti Perearstide Seltsi tagasiside Vabariigi Valitsuse määruse „Vabariigi Valitsuse 23.
detsembri 1996. a määruse nr 319 „Justiits- ja Digiministeeriumi põhimääruse kinnitamine“,
Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide
küberturvalisuse nõuded“ ning Vabariigi Valitsuse 3. jaanuari 2024. a määruse nr 1 „Võrgu- ja
infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“
muutmise eelnõule
02.07.2026
Eesti Perearstide Selts on jätkuvalt seisukohal, et infoturve on perearstide töös oluline ning avaldame
veelkord heameelt, et ministeerium on võtnud arvesse meie varasemat tagasisidet ning muutnud
„Võrgu- ja infosüsteemide küberturvalisuse nõuded“ määruse muudatuse kaudu perearstide suhtes
kehtivad nõuded oluliselt proportsionaalsemaks. Oleme veendunud, et lihtsamad, organisatsiooni
suurust arvestavad ning jõukohasemad meetmed aitavad kaasa perearstide infoturbe taseme tõstmise
eesmärgi saavutamisele, kuivõrd perearstid tulevad arusaadavamate ja hoomatavamate nõuete
rakendamisega paremini toime.
Seekordses tagasisides keskendume ettepanekutele, mida määruse nr 121 lisana kehtestatud
dokumendis „Esmased turvameetmed“ tuleks meie hinnangul täiendavalt muuta.
Teeme ettepaneku lisada preambuli viimasesse alapunkti sõna „proportsionaalsed“ ning sõnastada see
järgmiselt „Teenuseosutaja ei pea käesolevas lisas sätestatud meedet rakendama, kui meede ei ole
asjakohane, proportsionaalne või rakendatav ning kui ta on rakendamata jätmisega kaasnevad riskid
teadvustanud.“ Kuigi proportsionaalsuse nõue tuleneb üldpõhimõttena küberturvalisuse seadusest,
aitab selle otsene kajastamine ka käesolevas lisas tagada nõuete ühetaolisema tõlgendamise ning
rakendamise ja vähendada perearstide seas tekkinud ebakindlust selles, kas meetmete rakendamisel
saab proportsionaalsuse põhimõttest lähtuda. Mõni meede võib olla küll asjakohane ja tehniliselt
rakendatav, kuid selle rakendamise kulu, halduskoormus või nõutav kompetents võib olla väikese
teenuseosutaja jaoks ebamõistlikult suur võrreldes maandatava riskiga. Sellistes olukordades on
oluline, et teenuseosutaja mõistaks, et tal on võimalik lähtuda mitte üksnes meetme asjakohasusest ja
rakendatavusest, vaid ka selle proportsionaalsusest.
Teeme ka ettepaneku vaadata esmaste turvameetmete sõnastused tervikuna üle selliselt, et need
kirjeldaksid eelkõige teenuseosutaja juhtimis- ja korralduslikku vastutust ja tegevust, mitte tehniliste
tegevuste vahetut teostamist. Väikestes perearstikeskustes osutatakse valdav osa IT-teenuseid väliste
professionaalsete teenusepakkujate kaudu. Sellises mudelis on realistlik ja põhjendatud nõuda, et
perearstikeskus näiteks teaks ja otsustaks, kellel on ligipääs infosüsteemidele, kes tellib uue kasutaja
loomise, kes sulgeb lahkunud töötaja konto, kelle poole pöörduda logide või taastamise küsimuses ning
kuidas käitutakse katkestuse või intsidendi korral. Samas ei ole realistlik eeldada, et perearstikeskus
ise teostaks või kontrolliks detailselt kõiki tehnilisi tegevusi, mille tegemiseks puudub tal vajalik
kompetents ja ligipääs. Esmaste meetmete sõnastuses võiks seetõttu selgemalt eristada tehnilist
teostust ja perearstikeskuse vastutust. Väikese keskuse puhul ei peaks näiteks nõude sisuks olema
kõigi logide ja varukoopiate iseseisev haldamine, vaid arusaam sellest, kelle ülesandeks on korraldada
oluliste teenuste ligipääsude haldamine, logimine, varundamine ja taastamine ning – iseäranis kriitiliste
süsteemide puhul – otsustamine, kas süsteemides rakendatavad standardlahendused on
organisatsiooni vajadusi ja riske arvestades piisavad.
Lisaks palume jätkuvalt analüüsida tervishoiusektorit tervikuna ning kaaluda sektoripõhise regulatsiooni
loomist, mis võimaldaks nõudeid kehtestada sihitumalt ja vajaduspõhisemalt. Tervishoiusektoris sõltub
üksiku teenuseosutaja infoturbe tase olulisel määral ka kesksetest infosüsteemidest, tarkvaratootjatest,
pilveteenustest ning riiklikest taristutest. Seetõttu ei pruugi üksikutele perearstikeskustele suunatud
üldised kohustused viia alati kõige tõhusama riskide maandamiseni. Sektoripõhine regulatsioon
võimaldaks suunata täiendavad nõuded just neile osapooltele, kellel on tegelik võimekus ja mõju
infoturbe taseme kujundamisel.
Kokkuvõttes oleme seisukohal, et perearstikeskus peab tagama infoturbe teadliku korraldamise, kuid
nõuded peaksid rohkem keskenduma sellele, mida väike tervishoiuteenuse osutaja saab tegelikult
juhtida ja mõjutada.
Lugupidamisega
Eesti Perearstide Selts
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga. |
Tere
Saadan Eesti Perearstide Seltsi tagasiside.
Lugupidamisega
Kerstin Jürgenson
Eesti Perearstide Selts
From:
[email protected] <[email protected]>
Sent: Tuesday, June 9, 2026 09:11
To: Riigikogu Kanstelei <[email protected]>; Finantsinspektsioon <[email protected]>; Eesti Pangaliit <[email protected]>; Eesti
Haiglate Liit <[email protected]>; Eesti Arstide Liit <[email protected]>; Eesti Perearstide Selts <[email protected]>;
Eesti Vee-ettevõtete Liit <[email protected]>; Eesti Kiirabi Liit <[email protected]>; Eesti Ravimihulgimüüjate Liit <[email protected]>; Eesti Proviisorapteekide Liit
<[email protected]>; Eesti Apteekrite Liit <[email protected]>; Eesti Elektritööstuse Liit <[email protected]>; Eesti Jõujaamade ja Kaugkütte
Ühing <[email protected]>; Eesti Gaasiliit <[email protected]>; Eesti Transpordikütuste Ühing <[email protected]>; Eesti Infotehnoloogia ja Telekommunikatsiooni
Liit <[email protected]>
Subject: Eelnõu esitamine kooskõlastamiseks
|
_________________________
Selles e-kirjas sisalduv teave (kaasa arvatud manused) on mõeldud Eesti Perearstide Seltsi juhatusele kasutamiseks ning seda võivad kasutada vaid e-kirja adressaadid. E-kirjas sisalduvat teavet ei tohi ilma saatja selgelt väljendatud loata edasi saata ega mistahes
viisil kõrvalistele isikutele avaldada.
Eesti Perearstide Seltsi tagasiside Vabariigi Valitsuse määruse „Vabariigi Valitsuse 23.
detsembri 1996. a määruse nr 319 „Justiits- ja Digiministeeriumi põhimääruse kinnitamine“,
Vabariigi Valitsuse 9. detsembri 2022. a määruse nr 121 „Võrgu- ja infosüsteemide
küberturvalisuse nõuded“ ning Vabariigi Valitsuse 3. jaanuari 2024. a määruse nr 1 „Võrgu- ja
infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“
muutmise eelnõule
02.07.2026
Eesti Perearstide Selts on jätkuvalt seisukohal, et infoturve on perearstide töös oluline ning avaldame
veelkord heameelt, et ministeerium on võtnud arvesse meie varasemat tagasisidet ning muutnud
„Võrgu- ja infosüsteemide küberturvalisuse nõuded“ määruse muudatuse kaudu perearstide suhtes
kehtivad nõuded oluliselt proportsionaalsemaks. Oleme veendunud, et lihtsamad, organisatsiooni
suurust arvestavad ning jõukohasemad meetmed aitavad kaasa perearstide infoturbe taseme tõstmise
eesmärgi saavutamisele, kuivõrd perearstid tulevad arusaadavamate ja hoomatavamate nõuete
rakendamisega paremini toime.
Seekordses tagasisides keskendume ettepanekutele, mida määruse nr 121 lisana kehtestatud
dokumendis „Esmased turvameetmed“ tuleks meie hinnangul täiendavalt muuta.
Teeme ettepaneku lisada preambuli viimasesse alapunkti sõna „proportsionaalsed“ ning sõnastada see
järgmiselt „Teenuseosutaja ei pea käesolevas lisas sätestatud meedet rakendama, kui meede ei ole
asjakohane, proportsionaalne või rakendatav ning kui ta on rakendamata jätmisega kaasnevad riskid
teadvustanud.“ Kuigi proportsionaalsuse nõue tuleneb üldpõhimõttena küberturvalisuse seadusest,
aitab selle otsene kajastamine ka käesolevas lisas tagada nõuete ühetaolisema tõlgendamise ning
rakendamise ja vähendada perearstide seas tekkinud ebakindlust selles, kas meetmete rakendamisel
saab proportsionaalsuse põhimõttest lähtuda. Mõni meede võib olla küll asjakohane ja tehniliselt
rakendatav, kuid selle rakendamise kulu, halduskoormus või nõutav kompetents võib olla väikese
teenuseosutaja jaoks ebamõistlikult suur võrreldes maandatava riskiga. Sellistes olukordades on
oluline, et teenuseosutaja mõistaks, et tal on võimalik lähtuda mitte üksnes meetme asjakohasusest ja
rakendatavusest, vaid ka selle proportsionaalsusest.
Teeme ka ettepaneku vaadata esmaste turvameetmete sõnastused tervikuna üle selliselt, et need
kirjeldaksid eelkõige teenuseosutaja juhtimis- ja korralduslikku vastutust ja tegevust, mitte tehniliste
tegevuste vahetut teostamist. Väikestes perearstikeskustes osutatakse valdav osa IT-teenuseid väliste
professionaalsete teenusepakkujate kaudu. Sellises mudelis on realistlik ja põhjendatud nõuda, et
perearstikeskus näiteks teaks ja otsustaks, kellel on ligipääs infosüsteemidele, kes tellib uue kasutaja
loomise, kes sulgeb lahkunud töötaja konto, kelle poole pöörduda logide või taastamise küsimuses ning
kuidas käitutakse katkestuse või intsidendi korral. Samas ei ole realistlik eeldada, et perearstikeskus
ise teostaks või kontrolliks detailselt kõiki tehnilisi tegevusi, mille tegemiseks puudub tal vajalik
kompetents ja ligipääs. Esmaste meetmete sõnastuses võiks seetõttu selgemalt eristada tehnilist
teostust ja perearstikeskuse vastutust. Väikese keskuse puhul ei peaks näiteks nõude sisuks olema
kõigi logide ja varukoopiate iseseisev haldamine, vaid arusaam sellest, kelle ülesandeks on korraldada
oluliste teenuste ligipääsude haldamine, logimine, varundamine ja taastamine ning – iseäranis kriitiliste
süsteemide puhul – otsustamine, kas süsteemides rakendatavad standardlahendused on
organisatsiooni vajadusi ja riske arvestades piisavad.
Lisaks palume jätkuvalt analüüsida tervishoiusektorit tervikuna ning kaaluda sektoripõhise regulatsiooni
loomist, mis võimaldaks nõudeid kehtestada sihitumalt ja vajaduspõhisemalt. Tervishoiusektoris sõltub
üksiku teenuseosutaja infoturbe tase olulisel määral ka kesksetest infosüsteemidest, tarkvaratootjatest,
pilveteenustest ning riiklikest taristutest. Seetõttu ei pruugi üksikutele perearstikeskustele suunatud
üldised kohustused viia alati kõige tõhusama riskide maandamiseni. Sektoripõhine regulatsioon
võimaldaks suunata täiendavad nõuded just neile osapooltele, kellel on tegelik võimekus ja mõju
infoturbe taseme kujundamisel.
Kokkuvõttes oleme seisukohal, et perearstikeskus peab tagama infoturbe teadliku korraldamise, kuid
nõuded peaksid rohkem keskenduma sellele, mida väike tervishoiuteenuse osutaja saab tegelikult
juhtida ja mõjutada.
Lugupidamisega
Eesti Perearstide Selts
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|